Cet article présente les principales commandes et configurations possible sur une commutateur Cisco. Il vous faudra évidemment adapter les commandes à votre configuration.
ADMINISTRATION DE SWITCH
Commande de base
Historique des commandes
Configuration de la connectivité IP d un switch
Configuration du mode bidirectionnel
Configuration d’une interface web
Gestion de la table d adresse mac switch
Verifier les configuration avec show
GESTION DE BASE DES COMMUTATEURS
Sauvegarde et restauration des configurations des commutateur
Supprimer configuration
CONFIGURATION DE LA SECURITE
Mot de passe console
Mot de passe execution privilégié
Chiffrer tous les mots de passe d un coup
Recuperation de mot de pas aprés oublis
Creer une banniere de connexion
Pour le motd
Acces avec telnet et ssh
Parametrer ssh sur serveur cisco
Blocage des ports non fiable contre attaque dhcp
Eviter les paquets CDP
Eviter attaque mot de passe par force brute
Securiser les ports avec adresse mac
Mode de violation de la securité
configuration de la securité des ports
Configuration avancé de la securité des ports
Verification de la securité des ports
Desactiver les ports qui ne son pas utilisé
CONFIGURATION DES VLANS
Activation vlan voix
Affectation d’un port de commutateur
Vérification des réseaux loaux virtuels et des appartenances des ports
Configuration d’une agrégation 802.1Q
Gestion de la configuration d’une agrégation
Configuration du protocole Rapid PVST+
Configuration du routage entre VLAN
Configuration du routage entre VLAN « Router-on-a-Stick »
Livre complet sur la configuration du commutateur Cisco
ADMINISTRATION DE SWITCH
Commandes de bases
switch>enable : Passez du mode d’exécution utilisateur au mode d’exécution privilégié.
Password:password : Si vous avez défini un mot de passe en mode d’exécution privilégié, le système vous demande de le saisir.
switch#disable : Passez du mode d’exécution privilégié au mode d’exécution utilisateur.
switch#configure terminal : Passez du mode d’exécution privilégié au mode de configuration globale.
switch(config)#interface fastethernet 0/1 : Passez du mode de configuration globale au mode de configuration d’interface pour l’interface Fast Ethernet 0/1.
switch(config-if)#exit : Passez du mode de configuration d’interface en mode de configuration globale.
Historique des commandes
R1#show history : pour afficher les commandes d’exécution qui ont été récemment entrées.
switch#terminal history : Configure la taille de l’historique du terminal.L’historique du terminal peut conserver entre 0 et 256 lignes de commande.
switch#terminal history size 50 : Configure la taille de l’historique du terminal.L’historique du terminal peut conserver entre 0 et 256 lignes de commande.
switch#terminal no history size : Rétablit la taille de l’historique du terminal d’après sa valeur par défaut, soit 10 lignes de commande
switch#terminal no history : Désactive l’historique du terminal.
Configuration de la connectivité IP d un switch
Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#interface vlan 99 : Passer en mode de configuration d’interface pour l’interface du VLAN 99.
Comm1(config-if)#ip address 172.17.99.11 255.255.255.0 : Configurer l’adresse IP de l’interface.
Comm1(config-if)#no shutdown : Activer l’interface.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Comm1#configure terminal : Passer en mode de configuration globale.
Comm1(config)#interface fastethernet 0/18 : Entrer dans l’interface pour affecter le réseau local virtuel.
Comm1(config-if)#switchport mode access : Définir le mode d’appartenance du port à un réseau local virtuel.
Comm1(config-if)#switchport acces vlan 99 : Affecter le port à un réseau local virtuel.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration de démarrage du commutateur.
Comm1(config)#ip default-gateway 172.17.99.1 : Configurer la passerelle par défaut sur le commutateur.
Comm1(config)#end : Repasser en mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration de démarrage du commutateur.
Comm1# mdix auto : detecte le cablage ( croisé ou direct ) pour pas avoir a sans occupé
Configuration du mode biderectionnel
Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#Interface fastethernet 0/1 : Passer en mode de configuration d’interface.
Comm1(config-if)#duplex auto : Configurer le mode birectionnel d’interface pour activer la configuration bidirectionnelle automatique.
Comm1(config-if)#speed auto : Configurer la vitesse bidirectionnelle d’interface et activer la configuration de vitesse automatique.
Comm1(config-if)#end : Revenir au mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration de démarrage du commutateur.
Configuration d’une interface web
Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#ip http authentication enable : Configurer l’interface du serveur HTTP pour le type d’authentification enable. Les autres options disponibles sont les suivantes : enable : utilisation du mot de passe actif, soit la méthode par défaut pour l’authentification utilisateur du serveur HTTP. local : utilisation de la base de données utilisateur telle que définie sur le routeur Cisco ou le serveur d’accès. tacacs : utilisation du serveur TACACS.
Comm1(config)#ip http server : Activer le serveur HTTP.
Comm1(config)#end : Revenir au mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration de démarrage du commutateur.
Gestion de la table d adresse mac switch
swicth# show mac-address-table : montre la table d adresse mac
swicth#mac-address-table static vlan {1-4096, ALL} interface id_interface. : creer un mappage static donc permet de dire quelle adresse mac pour quelle port
swicth#no mac-address-table static vlan {1-4096, ALL} interface id_interface. : annule le mappage static
Verifier les configuration avec show
switch# show interfaces [interface-id] : Affiche l’état et la configuration d’une ou de l’ensemble des interfaces disponibles sur le commutateur.
switch# show startup-config : Affiche le contenu de la configuration de démarrage.
switch# show running-config : Affiche la configuration actuelle.
switch# show flash : Affiche des informations sur le système de fichiers flash.
switch# show version : Affiche l’état du logiciel et du matériel système.
switch# show ip {interface | http | arp} : Affiche des informations IP. L’option d’interface dévoile l’état et la configuration de l’interface IP. L’option http affiche les données HTTP relatives au gestionnaire de périphériques exécuté sur le commutateur. L’option arp affiche la table ARP IP.
switch# show mac-address-table : Affiche la la table de transmission MAC.
GESTION DE BASE DES COMMUTATEURS
Sauvegarde et restauration des configuration des commutateur
Comm1#copy system:running-config flash:startup-config : Nom du fichier de destination [startup-config] ? : Version officielle de la commande de copie de Cisco IOS. Confirmez le nom du fichier de destination. Appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
Comm1#copy running-config startup-config Nom du fichier de destination [startup-config] ? : Version non officielle de la commande de copie. Il est supposé alors que la configuration en cours est exécutée sur le système et que le fichier de configuration de démarrage sera stocké dans la mémoire vive non volatile flash. Appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
Comm1#copy startup-config flash:config.bak1 Nom du fichier de destination [config.bak1] ? : Sauvegardez la configuration de démarrage dans un fichier stocké dans la mémoire vive non volatile flash. Confirmez le nom du fichier de destination. Appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
RESTAURER
Comm1#copy flash:config.bak1 startup-config : Nom du fichier de destination [startup-config] ? : Copiez le fichier config.bak1 stocké dans la mémoire flash dans la configuration de démarrage qui doit être stockée dans la mémoire flash. Appuyez sur la touche Entrée pour valider et sur les touches Crtl+C pour annuler.
Comm1#reload System configuration has been modified. Save? [yes/no]: n Proceed with reload? [confirm]? : Demandez à Cisco IOS de redémarrer le commutateur. Si vous avez modifié le fichier de configuration en cours, le système vous demande de l’enregistrer. Confirmez par un ‘y’ (oui) ou un ‘n’ (non). Pour confirmer le rechargement, appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
SUR SERVEUR TFTP
#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] system:running-config
ou
#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] nvram:startup-config. : Téléchargez le fichier de configuration du serveur TFTP afin de configurer le commutateur. Précisez l’adresse IP ou le nom d’hôte du serveur TFTP, ainsi que le nom du fichier à télécharger.
Supprimer configuration
switch#erase nvram: ou erase startup-config : supprimer la configuration
CONFIGURATION DE LA SECURITE
Mot de passe console
Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#line con 0 : Passer du mode de configuration globale au mode de configuration de ligne pour la console 0.
Comm1(config-line)#password cisco : Définir cisco en tant que mot de passe pour la ligne de console 0 sur le commutateur.
Comm1(config-line)#login : Définir la ligne de console pour exiger la saisie du mot de passe avant l’octroi de l’accès.
Comm1(config-line)#end : Quitter le mode de configuration de ligne et revenir en mode d’exécution privilégié.
Pour le mot de passe terminal il suffit de mettre à la place de Comm1(config)#line con 0 mettre Comm1(config)#line vty 0 4
Mot de passe execution privilégié
Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#enable secret mot_de_passe : Configurer le mot de passe enable secret pour le passage en mode d’exécution privilégié.
Comm1(config)#end : Quitter le mode de configuration de ligne et revenir en mode d’exécution privilégié.
Chiffrer tous les mots de passe d un coup
switch#conf t
switch(config)#service password-encryption
Recuperation de mot de pas aprés oublis
Pour récupérer le mot de passe sur un commutateur Cisco 2960, procédez comme suit :
Étape 1. Au moyen d’un logiciel d’émulation de terminal, connectez un terminal ou un PC au port de la console du commutateur.
Étape 2. Définissez le débit de la ligne dans le logiciel d’émulation à 9 600 bauds.
Étape 3. Mettez le commutateur hors tension. Reconnectez le cordon d’alimentation au commutateur, puis appuyez sur le bouton Mode pendant les 15 secondes qui suivent tandis que le LED système continue de clignoter en vert. Maintenez le bouton Mode enfoncé jusqu’à ce que le LED système devienne brièvement orange, puis prenne une couleur verte définitive. Relâchez ensuite le bouton Mode.
Étape 4. Initialisez le système de fichiers flash à l’aide de la commande flash_init.
Étape 5. Chargez tous les fichiers d’aide au moyen de la commande load_helper.
Étape 6. Affichez le contenu de la mémoire flash à l’aide de la commande dir flash :
Le système de fichiers du commutateur apparaît :
Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX 11 -rwx 5825 Mar 01 1993 22:31:59 config.text 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat 16128000 bytes total (10003456 bytes free)
Étape 7. À l’aide de la commande rename flash:config.text flash:config.text.old, modifiez le fichier de configuration en le renommant « config.text.old », soit le fichier contenant la définition du mot de passe.
Étape 8. Démarrez le système avec la commande boot.
Étape 9. Le système vous demande de démarrer le programme de configuration. À l’invite, entrez N et lorsque le système vous demande si vous souhaitez poursuivre dans la boîte de dialogue de configuration, entrez N.
Étape 10. À l’invite du commutateur, entrez le mode d’exécution privilégié en vous servant de la commande enable.
Étape 11. Utilisez la commande rename flash:config.text.old flash:config.text pour renommer le fichier de configuration d’après son nom d’origine.
Étape 12. Copiez le fichier de configuration dans la mémoire à l’aide de la commande copy flash:config.text system:running-config. Une fois cette commande entrée, le texte suivant s’affiche dans la console :
Source filename [config.text]?
Destination filename [running-config]?
Appuyez sur la touche Entrée en réponse à l’invite de confirmation. Le fichier de configuration est désormais rechargé et vous pouvez modifier le mot de passe.
Étape 13. Passez en mode de configuration globale au moyen de la commande configure terminal.
Étape 14. Modifiez le mot de passe en utilisant la commande enable secret mot de passe.
Étape 15. Repassez en mode d’exécution privilégié avec la commande exit.
Étape 16. Inscrivez la configuration en cours dans le fichier de configuration de démarrage au moyen de la commande copy running-config startup-config.
Étape 17. Rechargez le commutateur à l’aide de la commande reload.
Remarque : la procédure de récupération de mots de passe peut varier selon la gamme de commutateurs Cisco. Pensez alors à vous reporter à la documentation du produit avant toute tentative de récupération.
Creer une banniere de connexion
Comm1#configure terminal
Comm1(config)#banner login « Personnel autorisé uniquement » : Configurer une bannière de connexion.
Ou alors :
Comm1(config)#banner login & ou « & » definit fin du texte
Pour le motd
Comm1#configure terminal
Comm1(config)#banner motd « Personnel autorisé uniquement » : Configurer une bannière de connexion.
Ou alors :
Comm1(config)#banner motd & ou « & » definit fin du texte : La bannière MOTD affiche tous les terminaux connectés à la connexion et permet de transmettre des messages destinés à tous les utilisateurs du réseau (pour les avertir, par exemple, d’un arrêt imminent du système). La bannière MOTD apparaît avant la configuration de la bannière de connexion.
Acces avec telnet et ssh
Si vous devez réactiver le protocole Telnet sur un commutateur Cisco 2960, utilisez la commande suivante à partir du mode de configuration de ligne : (config-line)#transport input telnet ou (config-line)#transport input all.
Parametrer ssh sur serveur cisco
Étape 1. Passez en mode de configuration globale au moyen de la commande configure terminal.
Étape 2. Configurez un nom d’hôte pour votre commutateur au moyen de la commande hostname nom_hôte.
Étape 3. Configurez un domaine hôte pour votre commutateur à l’aide de la commande ip domain-name nom_domaine.
Étape 4. Activez le serveur SSH en vue d’une authentification locale et distante sur le commutateur et générez une paire de clés RSA en utilisant la commande crypto key generate rsa.
Lorsque vous créez des clés RSA, le système vous demande d’entrer une longueur de modulus. Cisco préconise l’utilisation d’une taille de modulus de 1024 bits. Une longueur de modulus plus importante peut s’avérer plus sûre, mais sa création et son utilisation prennent plus de temps.
Étape 5. Repassez en mode d’exécution privilégié à l’aide de la commande end.
Étape 6. Affichez l’état du serveur SSH sur le commutateur en vous servant de la commande show ip ssh ou show ssh.
Pour supprimer la paire de clés RSA, utilisez la commande de configuration globale crypto key zeroize rsa. Une fois la paire de clés RSA supprimée, le serveur SSH est automatiquement désactivé.
Configuration du serveur SSH
Débutez en mode d’exécution privilégié et procédez comme suit pour configurer le serveur SSH.
Étape 1. Passez en mode de configuration globale au moyen de la commande configure terminal.
Étape 2. (Facultatif) Configurez le commutateur pour exécuter SSHv1 ou SSHv2 à l’aide de la commande ip ssh version [1 | 2].
Si vous n’entrez pas cette commande ou ne spécifiez aucun mot de passe, le serveur SSH sélectionne la dernière version SSH prise en charge par le client SSH. Par exemple, si le client SSH prend en charge les versions SSHv1 et SSHv2, le serveur SSH choisit la version SSHv2.
Étape 3. Configurez les paramètres de contrôle SSH :
Précisez la valeur de délai d’attente en secondes. La valeur par défaut est 120 secondes. La valeur peut aller de 0 à 120 secondes. Pour une connexion SSH à établir, vous devez exécuter plusieurs phases, telles que la connexion, la négociation de protocole et la négation de paramètre. La valeur de délai d’attente désigne le temps que le commutateur autorise pour l’établissement d’une connexion.
Par défaut, cinq connexions SSH chiffrées simultanées sont disponibles au maximum pour plusieurs sessions de l’interface de ligne de commande (ILC) sur le réseau (session 0 à session 4). Après le démarrage de l’interpréteur de commandes d’exécution, le délai d’attente de la session d’interface de ligne de commande revient à sa valeur par défaut de 10 minutes.
Précisez le nombre de fois qu’il est possible d’authentifier de nouveau un client sur le serveur. La valeur par défaut est 3 dans un éventail de 0 à 5. Par exemple, un utilisateur peut définir à trois reprises un temps d’attente de dix minutes avant que la session ne prenne fin.
Répétez cette étape lors de la configuration de ces deux paramètres. Pour configurer ces paramètres, utilisez la commande ip ssh {timeoutsecondes | authentication-retries nombre}.
Étape 4. Repassez en mode d’exécution privilégié à l’aide de la commande end.
Étape 5. Indiquez l’état des connexions du serveur SSH sur le commutateur en vous servant de la commande show ip ssh ou show ssh.
Étape 6. (Facultatif) Enregistrez vos entrées dans le fichier de configuration à l’aide de la commande copy running-config startup-config.
Si vous souhaitez éviter des connexions non SSH, ajoutez la commande transport input ssh en mode de configuration de ligne afin de limiter le commutateur aux connexions SSH uniquement. Les connexions Telnet directes (non SSH) sont rejetées.
Blocage des ports non fiable contre attaque dhcp
La procédure ci-après illustre la manière de configurer la surveillance DHCP sur un commutateur Cisco IOS :
Étape 1. Activez la surveillance DHCP à l’aide de la commande de configuration globale ip dhcp snooping.
Étape 2. Activez la surveillance DHCP pour des réseaux locaux virtuels spécifiques au moyen de la commande ip dhcp snooping vlan number [ nombre].
Étape 3. Au niveau de l’interface, définissez les ports comme étant fiables ou non en définissant les ports fiables avec la commande ip dhcp snooping trust.
Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement transmettre de fausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping limit rate fréquence.
Eviter les paquets CDP
Il faut les desactiver sur les peripherique inutiles, ils sont de niveau deux donc ne passe pas les routeurs.
La figure montre une partie d’une capture de paquets Ethereal dévoilant l’intérieur d’un paquet CDP. La version du logiciel Cisco IOS découverte par CDP permettrait notamment au pirate de rechercher et d’identifier quelques points vulnérables en matière de sécurité inhérents à cette version spécifique du code. De même, du fait que CDP n’est pas authentifié, un pirate peut concevoir de faux paquets CDP et les transmettre via le périphérique Cisco directement connecté dont il dispose.
Pour résoudre ce problème de vulnérabilité, il est préférable de désactiver CDP sur les périphériques sur lesquels ce protocole est inutile.
Sur commutateur blocage des ports non fiable pour requete dhcp La procédure ci-après illustre la manière de configurer la surveillance DHCP sur un commutateur Cisco IOS :
Étape 1. Activez la surveillance DHCP à l’aide de la commande de configuration globale ip dhcp snooping.
Étape 2. Activez la surveillance DHCP pour des réseaux locaux virtuels spécifiques au moyen de la commande ip dhcp snooping vlan number [ nombre].
Étape 3. Au niveau de l’interface, définissez les ports comme étant fiables ou non en définissant les ports fiables avec la commande ip dhcp snooping trust.
Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement transmettre de fausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping limit rate fréquence.
Eviter attaque mot de passe par force brute
La chose la plus simple à faire de votre côté pour limiter votre vulnérabilité face aux attaques en force est de modifier fréquemment vos mots de passe et d’utiliser des mots de passe forts combinant au hasard des lettres en majuscules et minuscules et des chiffres. Des configurations plus avancées vous permettent de limiter les personnes autorisées à communiquer avec les lignes vty grâce à des listes d’accès, mais ce sujet n’est pas au programme de ce cours.
Securiser les ports avec adresse mac
Types d’adresses MAC sécurisées
Il existe plusieurs façons de configurer la sécurité des ports. Les sections suivantes décrivent les moyens de configurer la sécurité des ports sur un commutateur Cisco :
Adresses MAC sécurisées statiques : les adresses MAC sont configurées manuellement à l’aide de la commande de configuration d’interface switchport port-security mac-address adresse_mac. Les adresses MAC configurées de cette manière sont stockées dans la table d’adresses et sont ajoutées à la configuration en cours sur le commutateur.
Adresses MAC sécurisées dynamiques : les adresses MAC sont assimilées de manière dynamique et stockées uniquement dans la table d’adresses. Les adresses MAC configurées ainsi sont supprimées au redémarrage du commutateur.
Adresses MAC sécurisées rémanentes : vous pouvez configurer un port pour assimiler dynamiquement des adresses MAC, puis enregistrer ces dernières dans la configuration en cours.
Adresses MAC rémanentes
Les adresses MAC sécurisées rémanentes présentent les caractéristiques suivantes :
Lorsque vous activez l’apprentissage rémanent dans une interface au moyen de la commande de configuration d’interface switchport port-security mac-address sticky, l’interface convertit toutes les adresses MAC sécurisées dynamiques, y compris celles qui ont été dynamiquement assimilées avant que l’apprentissage rémanent ne soit activé, en adresses MAC sécurisées rémanentes et ajoute l’ensemble de ces dernières dans la configuration en cours.
Si vous désactivez l’apprentissage rémanent à l’aide de la commande de configuration d’interface no switchport port-security mac-address sticky, les adresses MAC sécurisées rémanentes restent intégrées à la table d’adresses mais sont supprimées de la configuration en cours. Lorsque vous faites appel à la commande de configuration d’interface switchport port-security mac-address sticky adresse_mac pour configurer des adresses MAC sécurisées rémanentes, ces dernières sont ajoutées à la table d’adresses et la configuration en cours. Si vous désactivez la sécurité du port, les adresses MAC sécurisées rémanentes demeurent dans la configuration en cours.
Si vous enregistrez les adresses MAC sécurisées rémanentes dans le fichier de configuration, il n’est pas nécessaire pour l’interface de réassimiler ces adresses lorsque vous redémarrez le commutateur ou arrêtez l’interface. Si vous ne les enregistrez pas, les adresses MAC sécurisées rémanentes seront perdues.
Si vous désactivez l’apprentissage rémanent et entrez la commande de configuration d’interface switchport port-security mac-address sticky adresse_mac, un message d’erreur apparaît et l’adresse MAC sécurisée rémanente n’est pas ajoutée dans la configuration en cours
Mode de violation de la securité
Vous pouvez configurer l’interface pour l’un des trois modes de violation en fonction de l’action à entreprendre en cas de violation. La figure illustre les types de trafic de données transmis lorsque l’un des modes de violation de sécurité suivants est configuré sur un port :
protect : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d’adresses source inconnues sont ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou augmentiez le nombre maximal d’adresses à autoriser. Aucun message de notification ne vous est adressé en cas de violation de la sécurité.
restrict : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d’adresses source inconnues sont ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou augmentiez le nombre maximal d’adresses à autoriser. Ce mode vous permet d’être informé si une violation de la sécurité est constatée. Dans ce cas, une interruption SNMP est transmise, un message syslog est consigné et le compteur de violation est incrémenté.
shutdown : si vous optez pour ce mode, toute violation de sécurité de port entraîne immédiatement la désactivation de l’enregistrement des erreurs dans l’interface et celle de la LED du port. Une interruption SNMP est également transmise, un message syslog est consigné et le compteur de violation est incrémenté. Lorsqu’un port sécurisé opère en mode de désactivation des erreurs, vous pouvez annuler cet état par simple saisie des commandes de configuration d’interface shutdown et no shutdown. Il s’agit du mode par défaut.
Configuration de la securité des ports
Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Précisez le type et le numéro de l’interface physique à configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration d’interface. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport mode access : Définissez le mode d’interface en accès. Vous ne pouvez pas configurer une interface en tant que port sécurisé selon le mode dynamique par défaut approprié. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la sécurité des ports sur l’interface. Utilisez la commande Cisco IOS :
Configuration avancé de la securité des ports
Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Précisez le type et le numéro de l’interface physique à configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration d’interface. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport mode access : Définissez le mode d’interface en accès. Vous ne pouvez pas configurer une interface en tant que port sécurisé selon le mode dynamique par défaut approprié. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la sécurité des ports sur l’interface. Utilisez la commande Cisco IOS :
Comm1(config-if)#switchport port-security maximum 50 : Définissez le nombre maximal d’adresses sécurisées à 50. Utilisez la commande Cisco IOS :
Comm1(config-if)#switchport port-security mac-address sticky : Activez l’apprentissage rémanent. Utilisez la commande Cisco IOS :
Verification de la securité des ports
switch#show port-security [interface id_interface] : Pour afficher les paramètres de sécurité des ports du commutateur ou de l’interface spécifiée
switch#show port-security [interface id_interface] : Pour afficher toutes les adresses MAC sécurisées configurées dans toutes les interfaces de commutation ou sur une interface définie avec informations d’obsolescence pour chacune
Desactiver les ports qui ne son pas utilisé
Utiliser shutdown et interface range
CONFIGURATION DES VLANS
Activation vlan voix
s3(config)#interface fa0/18
s3(config-if)#mls qos trust cos : garantit que le trafic vocal est identifié en tant que trafic prioritaire. N’oubliez pas que le réseau tout entier doit être configuré de manière à donner la priorité au trafic vocal. Vous ne pouvez pas simplement configurer le port avec cette commande.
s3(config-if)#switchport voice vlan 150 : identifie le VLAN 150 en tant que VLAN voix. Vous pouvez vérifier que c’est bien le cas dans la capture d’écran du bas : Voice VLAN: 150 (VLAN0150).
s3(config-if)#switchport mode access
s3(config-if)#switchport access vlan 20 : configure le VLAN 20 en tant que VLAN (de données) en mode accès. Vous pouvez vérifier que c’est bien le cas dans la capture d’écran du bas : Access Mode VLAN: 20 (VLAN0020).
s3(config-if)#end
s3#show interface fa0/18 switchport
Ajout d’un réseau local virtuel
Comm1#configure terminal : Passer en mode de configuration globale sur le commutateur Comm1.
Comm1(config)#vlan id_vlan : Créer un VLAN. « id_vlan » est le numéro de VLAN à créer. Passe en mode de configuration de VLAN pour l’ID de VLAN du VLAN.
Comm1(config-vlan)#name nom_vlan : (Facultatif) Spécifier un nom de VLAN unique pour identifier le VLAN. Si aucun nom n’est entré, le numéro de VLAN, complété par des zéros, est ajouté au mot « VLAN », comme par exemple VLAN0020.
Comm1(config-if)#end
Affectation d’un port de commutateur
Comm1#configure terminal : Passer en mode de configuration globale sur le commutateur Comm1.
Comm1(config)#interface F0/1 : Passer en mode de configuration d’interface.
Comm1(config-if)#switchport mode trunk : Définir l’interface F0/1 comme agrégation IEEE 802.1Q
Comm1(config-if)#switchport trunk native vlan 99 : Configurer le VLAN 99 en tant que VLAN natif.
Comm1(config-if)#end
Vérification des réseaux loaux virtuels et des appartenances des ports
La commande show vlan
show vlan [brief | id id_vlan | name nom_vlan | summary].
brief : Afficher une ligne pour chaque VLAN comportant le nom du VLAN, son état et ses ports.
id id_vlan : Afficher des informations sur un VLAN unique identifié par un numéro d’ID de VLAN. La valeur id_vlan peut être comprise entre 1 et 4094.
name nom_vlan : Afficher des informations sur un VLAN unique identifié par un nom de VLAN. Le nom de VLAN est une chaîne ASCII de 1 à 32 caractères de long..
summary : Afficher un résumé sur les VLAN.
La commande show interfaces
show interfaces [id_interface | vlan id_vlan] | switchport
id_interface : Les interfaces autorisées comprennent les ports physiques (y compris le type, le module et le numéro de port) et les canaux de port. La plage des canaux de port est comprise entre 1 et 6.
vlan id_vlan : Identification du VLAN. La plage est comprise entre 1 et 4094. >
switchport : Afficher l’état administratif et opérationnel d’un port de commutation, y compris les paramètres de blocage et de protection du port.
Gérer les appartenances des ports
Comm1#configure terminal : Passer en mode de configuration globale.
Comm1(config)#interface id_interface : Passer en mode de configuration d’interface pour configurer l’interface.
Comm1(config-if)#no switchport access vlan : Supprimer l’affectation de VLAN sur cette interface de port de commutateur et revenir à l’appartenance par défaut au VLAN 1.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Configuration d’une agrégation 802.1Q
Comm1#configure terminal : Passer en mode de configuration globale.
Comm1(config)#interface id_interface : Passer en mode de configuration d’interface pour configurer l’interface.
Comm1(config-if)#switchport mode trunk : Forcer la liaison reliant les commutateurs à devenir une liaison agrégée.
Comm1(config-if)#switchport trunk native vlan id_vlan : Spécifier un autre VLAN en tant que VLAN natif pour le trafic non étiqueté pour les agrégations IEEE 802.1Q.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Pour vérifier la configuration d’une agrégation : show interfaces id_interface switchport.
Gestion de la configuration d’une agrégation
Comm1#configure terminal : Passer en mode de configuration globale.
Comm1(config-if)#no switchport trunk allowed vlan : Utilisez cette commande en mode de configuration d’interface pour réinitialiser tous les VLAN configurés sur l’interface d’agrégation.
Comm1(config-if)#no switchport trunk native vlan : Utilisez cette commande en mode de configuration d’interface pour réinitialiser le VLAN natif et le réaffecter au VLAN 1.
Comm1(config-if)#switchport mode access : Utilisez cette commande en mode de configuration d’interface pour réinitialiser l’interface du port d’agrégation en port de mode d’accès statique.
Configuration du protocole Rapid PVST+
configure terminal : Passer en mode de configuration globale.
spanning-tree mode rapid-pvst : Configurer le mode d’arbre recouvrant du protocole rapid PVST+.
interface interface-id : Spécifier une interface à configurer, et accéder au mode de configuration d’interface. Les valeurs autorisées pour l’ID de VLAN sont comprises entre 1 et 4 094. Les valeurs autorisées pour le canal de port sont comprises entre 1 et 6.
spanning-tree link-type point-to-point : Spécifier que le type de liaison pour ce port est point à point.
end : Repasser en mode d’exécution privilégié.
clear spanning-tree detected-protocols : Désactiver tous les protocoles STP détectés.
Vérifier la configuration du protocole Rapid PVST+
show spanning-tree interface_id
Configuration du routage entre VLAN
Sur le commutateur :
Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport access vlan 10
Comm1(config-if)#interface f0/4
Comm1(config-if)#switchport access vlan 30
Comm1(config-if)#end
Sur le routeur :
R1#configure terminal
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.10 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface f0/1
R1(config-if)#ip address 192.168.3.10 255.255.255.0
R1(config-if)#no shutdown
Configuration du routage entre VLAN « Router-on-a-Stick »
Sur le commutateur :
Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport mode trunk Comm1(config-if)#end
Sur le routeur :
R1#configure terminal
R1(config)#interface f0/0.10
R1(config-if)#encapsulation dot1q 10 R1(config-if)#ip address 192.168.1.10 255.255.255.0
R1(config)#interface f0/0.30
R1(config-if)#encapsulation dot1q 30 R1(config-if)#interface f0/1
R1(config-if)#ip address 192.168.3.10 255.255.255.0
R1(config-if)#no shutdown
j’apprécie et j’aime me former d’avantage
Merci pour votre aide
mrc pour vous
Merci à vous
Vous me permettez d’économiser un temps précieux. Je réalisais moi-même ce travail de mémo en reprenant mes cours sur la CCNA quand je suis tombé sur votre site. Merci !
Merci, je me suis moi-même appuyé sur les cours du CCNA. Bonne continuation
Trop cool ce coure
Merci 😉
Bonjour à tous voilà je cherche la commande qui permet de repérer les ports avec une date de dernière connexion car le switch cisco est complet pour que je puisse brasser de nouvelles prises réseau
merci pour les explications tres precises, continuez à nous aider, nous qui sommmes en train de preparer la ceritification cisco.
Avec plaisir
merci bcp pour les informations
Merci 😉