S'authentifier
Commandes CCNA
Naviguer entre les différents modes de commande IOS
Entrer en mode d’exécution privilégié à l’aide de la commande
Switch>enable
Revenez au mode d’exécution privilégié à l’aide de la commande disable .
Switch#disable
Re-enterez en mode d'exécution privilégié.
Switch>enable
Passez en mode de configuration globale au moyen de la commande configure terminal.
Switch#configure terminal
Quitte le mode de configuration et repasse en mode d'exécution privilégié en utilisant la commande exit .
Switch(config)#exit
Repassez en mode de configuration global.
Switch#configure terminal
Entrez le sous-modes de configuration de ligne pour le port de la console à l'aide de la commande line console 0 .
Switch(config)#line console 0
Passez en mode de configuration globale au moyen de la commande exit .
Switch(config-line)#exit
Entrez le sous-modes de configuration de ligne Vty à l'aide de la commande line vty 0 15 .
Switch(config)#line vty 0 15
Repassez en mode de configuration globale.
Switch(config-line)#exit
Entrez le sous-modes de configuration de ligne VTY :
Switch(config)#interface vlan 1
À partir du mode de configuration de l'interface, passez au sous-modes de configuration de la console de ligne à l'aide de la commande de configuration globale line console 0 .
Switch(config-if)#line console 0
Revenez au mode d’exécution privilégié à l’aide de la commande end .
Switch(config-line)#end
Touches d’accès rapide et raccourcis.
Régler l'horloge
S1# clock set15:00:00 31 Jan 2035
Configurer un noms de périphériques
Switch# configure terminal Switch(config)# hostname Sw-Floor-1 Sw-Floor-1(config)#
Configurer les mots de passe line console 0
Sw-Floor-1# configure terminal Sw-Floor-1(config)# line console 0 Sw-Floor-1(config-line)# password cisco Sw-Floor-1(config-line)# login Sw-Floor-1(config-line)# end
Configurer les mots de passe exécution privilégié
Sw-Floor-1# configure terminal Sw-Floor-1(config)# enable secret class Sw-Floor-1(config)# exit
Configurer les mots de passe sécuriser les lignes VTY
Sw-Floor-1# configure terminal Sw-Floor-1(config)# line vty 0 15 Sw-Floor-1(config-line)# password cisco Sw-Floor-1(config-line)# login Sw-Floor-1(config-line)# end
Chiffrer les mots de passe
Sw-Floor-1# configure terminal Sw-Floor-1(config)# service password-encryption
Vérifier que les mots de passe sont maintenant chiffrés
Sw-Floor-1# show running-config
Créer une bannière MOTD (Message Of The Day)
Sw-Floor-1# configure terminal Sw-Floor-1(config)# banner motd #Authorized Access Only#
Afficher la configuration en cours :
Sw-Floor-1# show running-config
Afficher la configuration de démarrage :
Sw-Floor-1# show startup-config
Redémarrer :
Sw-Floor-1# reload
Effacer la configuration initiale :
Sw-Floor-1# erase startup-config
Configuration de l'interface de commutateur virtuelle
Sw-Floor-1# configure terminal Sw-Floor-1(config)# interface vlan 1 Sw-Floor-1(config-if)# ip address 192.168.1.20 255.255.255.0 Sw-Floor-1(config-if)# no shutdown Sw-Floor-1(config-if)# exit Sw-Floor-1(config)# ip default-gateway 192.168.1.1
Désactivez la commande de recherche DNS.
S1(config)# no ip domain-lookup
Affichez les adresses MAC sur le commutateur
Sw-Floor-1(config-if)# show mac address-table
Effacez la table d'adresses MAC
Sw-Floor-1(config-if)# clear mac address-table dynamic
Afficher la table de routage IPv4:
RT-Floor-1(config-if)# show ip route
Afficher la table de routage IPv6:
RT-Floor-1(config-if)# show ipv6 route
Afficher la table ARP d’un routeur :
RT-Floor-1(config-if)# show ip arp
Étapes de la configuration de base d'un routeur
Router(config)# hostname hostname Router(config)# enable secret password Router(config)# line console 0 Router(config-line)# password password Router(config-line)# login Router(config-line)# line vty 0 4 Router(config-line)# password password Router(config-line)# login Router(config-line)# transport input {ssh | telnet} Router(config-line)# exit Router(config)# service password-encryption Router(config)# banner motd delimiter message delimiter Router(config)# end Router# copy running-config startup-config
Configurer une interface de routeur IPv4
R1(config)# interface gigabitEthernet 0/0/0 R1(config-if)# description Link to LAN R1(config-if)# ip address 192.168.10.1 255.255.255.0 R1(config-if)# ipv6 address 2001:db8:acad:10::1/64 R1(config-if)# no shutdown R1(config-if)# exit
Configuration de GUA IPv6 sur le routeur R1
R1(config)# interface gigabitethernet 0/0/0 R1(config-if)# ipv6 address 2001:db8:acad:1::1/64 R1(config-if)# no shutdown R1(config-if)# exit
Configuration de LLA IPv6 sur le routeur R1
R1(config)# interface gigabitethernet 0/0/0 R1(config-if)# ipv6 address fe80::1:1 link-local R1(config-if)# exit
Vérifier la configuration d'une interface IPv4
R1# show ip interface brief
Vérifier la configuration d'une interface IPv6
R1# show ipv6 interface brief
Configuration de la passerelle par défaut
(Exemple avec l’adresse 192.168.1.254)
S1(config)#ip default-gateway 192.168.1.254
Activer le routage IPV6
R1# ipv6 unicast routing
Sécurité supplémentaire des mots de passe :
Exemple : déconnecter automatiquement un utilisateur inactif sur une ligne vty SSH après que l'utilisateur a été inactif pendant 5 minutes et 30 secondes.
R1(config)# service password-encryption R1(config)# security passwords min-length 8 R1(config)# login block-for 120 attempts 3 within 60 R1(config)# line vty 0 4 R1(config-line)# password cisco123 R1(config-line)# exec-timeout 5 30 R1(config-line)# transport input ssh R1(config-line)# end
Activation de SSH
Router# configure terminal Router(config)# hostname R1 R1(config)# ip domain name span.com R1(config)# crypto key generate rsa general-keys modulus 1024 The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled R1(config)# R1(config)# username Bob secret cisco R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# exit
Vérifier les ports ouverts sur un routeur
Router# show ip ports all
Fixez la longueur minimale du mot de passe à 10 caractères.
RTA(config)# security password min-length 10
Empêcher les messages de console d'interrompre
les commandes sur la ligne console 0
S1(config)# line con 0
S1(config-line)# logging synchronous
Empêcher les messages de console d'interrompre
les commandes sur la ligne VTY
S1(config)# line vty 0 4
S1(config-line)# logging synchronous
Configuration des ports de commutateur au niveau de la couche physique
S1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. S1(config)#interface FastEthernet0/1 S1(config-if)#duplex auto S1(config-if)#speed auto S1(config-if)#mdix auto S1(config-if)#end
Vérifier le support SSH.
S1# show ip ssh
IPv4 Loopback Interfaces
R1(config)# interface loopback 0 R1(config-if)# ip address 10.0.0.1 255.255.255.0 R1(config-if)# exit
Définir la longueur de l’historique
R1>terminal history size 200
Afficher l’historique
R1>show history
Création de VLAN
S1# configure terminal S1(config)# vlan 20 S1(config-vlan)# name student S1(config-vlan)# end
Attribution de port VLAN
S1# configure terminal S1(config)# interface fa0/6 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 20 S1(config-if)# end
Exemple de VLAN de données ET de voix
S3(config)# vlan 20 S3(config-vlan)# name student S3(config-vlan)# vlan 150 S3(config-vlan)# name VOICE S3(config-vlan)# exit S3(config)# interface fa0/18 S3(config-if)# switchport mode access S3(config-if)# switchport access vlan 20 S3(config-if)# mls qos trust cos S3(config-if)# switchport voice vlan 150 S3(config-if)# end
Commandes de configuration du trunk
S1(config)# interface fastEthernet 0/1 S1(config-if)# switchport mode trunk S1(config-if)# switchport trunk native vlan 99 S1(config-if)# switchport trunk allowed vlan 10,20,30,99 S1(config-if)# end
Pour permettre le trunking d'un commutateur Cisco vers un appareil qui ne prend pas en charge le DTP
S1(config-if)# switchport mode trunk S1(config-if)# switchport nonegotiate
Configurations de VLAN et de trunk de commutateur S2
S2(config)# vlan 10 S2(config-vlan)# name LAN10 S2(config-vlan)# exit S2(config)# vlan 20 S2(config-vlan)# name LAN20 S2(config-vlan)# exit S2(config)# vlan 99 S2(config-vlan)# name Management S2(config-vlan)# exit S2(config)# S2(config)# interface vlan 99 S2(config-if)# ip add 192.168.99.3 255.255.255.0 S2(config-if)# no shut S2(config-if)# exit S2(config)# ip default-gateway 192.168.99.1 S2(config)# interface fa0/18 S2(config-if)# switchport mode access S2(config-if)# switchport access vlan 20 S2(config-if)# no shut S2(config-if)# exit S2(config)# interface fa0/1 S2(config-if)# switchport mode trunk S2(config-if)# no shut S2(config-if)# exit S2(config-if)# end
Configuration de la sous-interface R1
R1(config)# interface G0/0/1.10 R1(config-subif)# description Default Gateway for VLAN 10 R1(config-subif)# encapsulation dot1Q 10 R1(config-subif)# ip add 192.168.10.1 255.255.255.0 R1(config-subif)# exit R1(config)# R1(config)# interface G0/0/1.20 R1(config-subif)# description Default Gateway for VLAN 20 R1(config-subif)# encapsulation dot1Q 20 R1(config-subif)# ip add 192.168.20.1 255.255.255.0 R1(config-subif)# exit R1(config)# R1(config)# interface G0/0/1.99 R1(config-subif)# description Default Gateway for VLAN 99 R1(config-subif)# encapsulation dot1Q 99 R1(config-subif)# ip add 192.168.99.1 255.255.255.0 R1(config-subif)# exit R1(config)# R1(config)# interface G0/0/1 R1(config-if)# description Trunk link to S1 R1(config-if)# no shut R1(config-if)# end
Routage inter-VLAN de commutateur de couche 3 :
Créez les VLAN.
D1(config)# vlan 10 D1(config-vlan)# name LAN10 D1(config-vlan)# vlan 20 D1(config-vlan)# name LAN20 D1(config-vlan)# exit
Créez les interfaces VLAN SVI.
D1(config)# interface vlan 10 D1(config-if)# description Default Gateway SVI for 192.168.10.0/24 D1(config-if)# ip add 192.168.10.1 255.255.255.0 D1(config-if)# no shut D1(config-if)# exit D1(config)# D1(config)# int vlan 20 D1(config-if)# description Default Gateway SVI for 192.168.20.0/24 D1(config-if)# ip add 192.168.20.1 255.255.255.0 D1(config-if)# no shut D1(config-if)# exit
Configurez les ports d'accès.
D1(config)# interface GigabiteThernet1/0/6 D1(config-if)# description Access port to PC1 D1(config-if)# switchport mode access D1(config-if)# switchport access vlan 10 D1(config-if)# exit D1(config)# D1(config)# interface GigabiteThernet1/0/18 D1(config-if)# description Access port to PC2 D1(config-if)# switchport mode access D1(config-if)# switchport access vlan 20 D1(config-if)# exit
Activation du routage IP.
D1(config)# ip routing
Configuration du routage sur un commutateur de couche 3
Configurez le port routé.
D1(config)# interface GigabitEthernet1/0/1 D1(config-if)# description routed Port Link to R1 D1(config-if)# no switchport D1(config-if)# ip address 10.10.10.2 255.255.255.0 D1(config-if)# no shut D1(config-if)# exit
Activez le routage
D1(config)# ip routing
Configurez le routage ospf (Selon les cas)
D1(config)# router ospf 10 D1(config-router)# network 192.168.10.0 0.0.0.255 area 0 D1(config-router)# network 192.168.20.0 0.0.0.255 area 0 D1(config-router)# network 10.10.10.0 0.0.0.3 area 0
Configuration LACP
S1(config)# interface range FastEthernet 0/1 - 2 S1(config-if-range)# channel-group 1 mode active Creating a port-channel interface Port-channel 1 S1(config-if-range)# exit S1(config)# interface port-channel 1 S1(config-if)# switchport mode trunk S1(config-if)# switchport trunk allowed vlan 1,2,20
Configurer un serveur Cisco IOS DHCPv4
R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9 R1(config)# ip dhcp excluded-address 192.168.10.254 R1(config)# ip dhcp pool LAN-POOL-1 R1(dhcp-config)# network 192.168.10.0 255.255.255.0 R1(dhcp-config)# default-router 192.168.10.1 R1(dhcp-config)# dns-server 192.168.11.5 R1(dhcp-config)# domain-name example.com R1(dhcp-config)# end
Désactiver le serveur Cisco IOS DHCPv4
R1(config)# no service dhcp
DHCPv4 Relay
R1(config)# interface g0/0/0 R1(config-if)# ip helper-address 192.168.11.6 R1(config-if)# end
Routeur Cisco en tant que client DHCPv4
SOHO(config)# interface G0/0/1 SOHO(config-if)# ip address dhcp SOHO(config-if)# no shutdown
Activation de la SLAAC
R1(config)# ipv6 unicast-routing R1(config)# exit
Activer DHCPv6 sans état sur une interface
R1(config-if)# ipv6 nd other-config-flag R1(config-if)# end
Activer DHCPv6 avec état sur une interface
R1(config)# int g0/0/1 R1(config-if)# ipv6 nd managed-config-flag R1(config-if)# ipv6 nd prefix default no-autoconfig R1(config-if)# end
Configurer un serveur DHCPv6 sans état.
Étape 1. Activer le routage IPv6.
R1(config)# ipv6 unicast-routing
Étape 2. Définissez un nom de pool DHCPv6.
R1(config)# ipv6 dhcp pool IPV6-STATELESS
Étape 3. Configurez le pool DHCPv6.
R1(config-dhcpv6)# dns-server 2001:db8:acad:1::254 R1(config-dhcpv6)# domain-name example.com R1(config-dhcpv6)# exit
Étape 4. Lier le pool DHCPv6 à une interface.
R1(config)# interface GigabitEthernet0/0/1 R1(config-if)# description Link to LAN R1(config-if)# ipv6 address fe80::1 link-local R1(config-if)# ipv6 address 2001:db8:acad:1::1/64 R1(config-if)# ipv6 nd other-config-flag R1(config-if)# ipv6 dhcp server IPV6-STATELESS R1(config-if)# no shut R1(config-if)# end
Configurer un client DHCPv6 sur un routeur
R3(config)# ipv6 unicast-routing R3(config)# interface g0/0/1 R3(config-if)# ipv6 enable R3(config-if)# ipv6 address autoconfig
Configurer un serveur DHCPv6 avec état.
R1(config)# ipv6 unicast-routing R1(config)# ipv6 dhcp pool IPV6-STATEFUL R1(config-dhcpv6)# address prefix 2001:db8:acad:1::/64 R1(config-dhcpv6)# dns-server 2001:4860:4860::8888 R1(config-dhcpv6)# domain-name example.com R1(config)# interface GigabitEthernet0/0/1 R1(config-if)# description Link to LAN R1(config-if)# ipv6 address fe80::1 link-local R1(config-if)# ipv6 address 2001:db8:acad:1::1/64 R1(config-if)# ipv6 nd managed-config-flag R1(config-if)# ipv6 nd prefix default no-autoconfig R1(config-if)# ipv6 dhcp server IPV6-STATEFUL R1(config-if)# no shut R1(config-if)# end
Configuration de l'agent de relais DHCPv6
R1(config)# interface gigabitethernet 0/0/1 R1(config-if)# ipv6 dhcp relay destination 2001:db8:acad:1::2 G0/0/0 R1(config-if)# exit
Configurer HSRP
Configurez HSRP sur R1
R1(config)# interface g0/1 R1(config-if)# standby version 2 R1(config-if)# standby 1 ip 192.168.1.254 R1(config-if)# standby 1 priority 150 R1(config-if)# standby 1 preempt
Configurez HSRP sur R2
R1(config)# interface g0/1 R1(config-if)# standby version 2 R1(config-if)# standby 1 ip 192.168.1.254
Sécurisation des ports inutilisés
Désactiver les ports non utilisés
S1(config)# interface range fa0/8 - 24
S1(config-if-range)# shutdown
S1(config-if-range)#
Activer la sécurité des ports
S1(config)# interface f0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1# show port-security interface f0/1
Limiter et apprendre les adresses MAC
Définir le nombre maximal d'adresses MAC autorisées
S1(config)# interface f0/1
S1(config-if)# switchport port-security maximum ?
<1-8192> Maximum addresses
S1(config-if)# switchport port-security maximum xxx
- Configuration manuelle
Switch(config-if)# switchport port-security mac-address AE43:34CB
- Apprentissage dynamique (Terminal Déjà connecté)
Switch(config-if)# switchport port-security
- Apprentissage dynamique – Sticky
Switch(config-if)# switchport port-security mac-address sticky
Obsolescence de la sécurité des ports
type d'obsolescence (aging type) à 10 minutes d'inactivité
S1(config)# interface fa0/1
S1(config-if)# switchport port-security aging time 10
S1(config-if)# switchport port-security aging type inactivity
S1(config-if)# end
Modes de Violation de la Sécurité des Ports
Switch(config-if)# switchport port-security violation { protect | restrict | shutdown}
Protect : Le port passe immédiatement à l'état désactivé par erreur, éteint la le voyant du port et envoie un message Syslog
Restrict : Ce mode provoque la sécurité de violation compteur pour augmenter et générer un message syslog.
Shutdown : Le port supprime les paquets avec des adresses source MAC inconnues jusqu'à ce que vous supprimez un un nombre suffisant d'adresses MAC sécurisées pour descendre en dessous du maximum ou augmentez la valeur maximale. No syslog message est envoyé.
Atténuer les attaques par sauts de VLAN
Etape 1: désactivez les négociations DTP (jonction automatique) sur les ports sans trunc à l'aide de la commande de configuration de l'interface switchport mode access .
Étape 2: désactivez les ports inutilisés et placez-les dans un VLAN inutilisé.
Étape 3: Activez manuellement la liaison de jonction sur un port de jonction à l'aide de la commande switchport mode trunk .
Étape 4: désactivez les négociations DTP (trunking automatique) sur les ports de jonction à l'aide de la commande switchport nonegotiate .
Étape 5: définissez le VLAN natif sur un VLAN autre que VLAN 1 à l'aide de la commande switchport trunk native vlan vlan_number.
Le saut de VLAN peut être atténué en mettant en œuvre la configuration suivante
S1(config)# interface range fa0/1 - 16
S1(config-if-range)# switchport mode access
S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# shutdown
S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
implémenter l'espionnage DHCP
Utilisez les étapes suivantes pour activer l'espionnage DHCP (snooping):
Étape 1. Activez l'espionnage DHCP à l'aide de la commande de configuration globale ip dhcp snooping .
Étape 2. Sur les ports approuvés, configurez l'interface avec la commande ip dhcp snooping trust.
Étape 3: Limitez le nombre de messages de découverte DHCP pouvant être reçus par seconde sur les ports non approuvés à l'aide de la commande de configuration d'interface ip dhcp snooping limit rate .
Étape 4. Activez la surveillance DHCP par VLAN ou par une plage de VLAN à l'aide de la commande de configuration globale ip dhcp snooping vlan.
S1(config)# ip dhcp snooping
S1(config)# interface f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6
S1(config-if-range)# exit
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1(config)# show ip dhcp snooping
Exemple de configuration DAI (inspection ARP Dynamique)
S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust
S1(config)# ip arp inspection validate ?
dst-mac Validate destination MAC address
ip Validate IP addresses
src-mac Validate source MAC address
S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1(config)# do show run | include validate
ip arp inspection validate ip
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate
ip arp inspection validate src-mac dst-mac ip
S1(config)#
Configurer PortFast
S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# spanning-tree portfast
S1(config-if)# exit
S1(config)# spanning-tree portfast default
S1(config)# exit
S1# show running-config | begin span
Configuration BPDU Guard
S1(config)# interface fa0/1
S1(config-if)# spanning-tree bpduguard enable
S1(config-if)# exit
S1(config)# spanning-tree portfast bpduguard default
S1(config)# end
Les exemples suivants illustrent la configuration complète de R1.
Router> enable
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# hostname R1
R1(config)# enable secret class
R1(config)# line console 0
R1(config-line)# logging synchronous
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# exit
R1(config)# line vty 0 4
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# transport input ssh telnet
R1(config-line)# exit
R1(config)# service password-encryption
R1(config)# banner motd #
Enter TEXT message. End with a new line and the #
***********************************************
WARNING: Unauthorized access is prohibited!
***********************************************
#
R1(config)# ipv6 unicast-routing
R1(config)# interface gigabitethernet 0/0/0
R1(config-if)# description Link to LAN 1
R1(config-if)# ip address 10.0.1.1 255.255.255.0
R1(config-if)# ipv6 address 2001:db8:acad:1::1/64
R1(config-if)# ipv6 address fe80::1:a link-local
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# interface gigabitethernet 0/0/1
R1(config-if)# description Link to LAN 2
R1(config-if)# ip address 10.0.2.1 255.255.255.0
R1(config-if)# ipv6 address 2001:db8:acad:2::1/64
R1(config-if)# ipv6 address fe80::1:b link-local
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# interface serial 0/1/1
R1(config-if)# description Link to R2
R1(config-if)# ip address 10.0.3.1 255.255.255.0
R1(config-if)# ipv6 address 2001:db8:acad:3::1/64
R1(config-if)# ipv6 address fe80::1:c link-local
R1(config-if)# no shutdown
R1(config-if)# exit
R1# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
R1#
Commandes de Route Statique IPv6
Router(config)# ipv6 route ipv6-prefix/prefix-length {ipv6-address | exit-intf [ipv6-address]} [distance]
Routes Statiques de Tronçon Suivant d'IPv4
R1(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.2
R1(config)# ip route 192.168.1.0 255.255.255.0 172.16.2.2
R1(config)# ip route 192.168.2.0 255.255.255.0 172.16.2.2
Routes Statiques de Tronçon Suivant d'IPv6
R1(config)# ipv6 unicast-routing
R1(config)# ipv6 route 2001:db8:acad:1::/64 2001:db8:acad:2::2
R1(config)# ipv6 route 2001:db8:cafe:1::/64 2001:db8:acad:2::2
R1(config)# ipv6 route 2001:db8:cafe:2::/64 2001:db8:acad:2::2
Route statique connectée directement d'IPv4
R1(config)# ip route 172.16.1.0 255.255.255.0 s0/1/0
R1(config)# ip route 192.168.1.0 255.255.255.0 s0/1/0
R1(config)# ip route 192.168.2.0 255.255.255.0 s0/1/0
Route statique connectée directement d'IPv6
R1(config)# ipv6 route 2001:db8:acad:1::/64 s0/1/0
R1(config)# ipv6 route 2001:db8:cafe:1::/64 s0/1/0
R1(config)# ipv6 route 2001:db8:cafe:2::/64 s0/1/0
Route statique entièrement spécifiée d'IPv6
R1(config)# ip route 172.16.1.0 255.255.255.0 GigabitEthernet 0/0/1 172.16.2.2
R1(config)# ip route 192.168.1.0 255.255.255.0 GigabitEthernet 0/0/1 172.16.2.2
R1(config)# ip route 192.168.2.0 255.255.255.0 GigabitEthernet 0/0/1 172.16.2.2
Route statique entièrement spécifiée d'IPv6
1(config)# ipv6 route 2001:db8:acad:1::/64 fe80::2
%Interface has to be specified for a link-local nexthop
R1(config)# ipv6 route 2001:db8:acad:1::/64 s0/1/0 fe80::2
Route statique par défaut IPv4
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2
Route statique par défaut IPv6
R1(config)# ipv6 route ::/0 2001:db8:acad:2::2
Configuration de routes statiques flottantes d'IPv4
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2
R1(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.2 5
Configuration de routes statiques flottantes IPv6
R1(config)# ipv6 route ::/0 2001:db8:acad:2::2
R1(config)# ipv6 route ::/0 2001:db8:feed:10::2 5
Vérification des routes statiques IPv4 et IPv6
R1# show ip route static | begin Gateway
R1# show ipv6 route static | begin :
R1# show run | include ipv6 route
Configuration de routes d'hôtes statiques
Branch(config)# ip route 209.165.200.238 255.255.255.255 198.51.100.2
Branch(config)# ipv6 route 2001:db8:acad:2::238/128 2001:db8:acad:1::2
Branch# show ip route | begin Gateway
Configurer la route de l'hôte statique IPv6 avec le tronçon suivant link-local
Branch(config)# no ipv6 route 2001:db8:acad:2::238/128 2001:db8:acad:1::2
Branch(config)# ipv6 route 2001:db8:acad:2::238/128 serial 0/1/0 fe80::2
Branch# show ipv6 route | begin ::
Mode de configuration du routeur pour OSPF
R1(config)# router ospf 10
Configurer une interface de bouclage comme ID de routeur
R1(config-if)# interface Loopback 1
R1(config-if)# ip address 1.1.1.1 255.255.255.255
R1(config-if)# end
R1# show ip protocols | include Router ID
Configurer explicitement un ID de routeur
R1(config)# router ospf 10
R1(config-router)# router-id 1.1.1.1
R1(config-router)# end
R1# show ip protocols | include Router ID
Modification d'un ID de routeur
R1# show ip protocols | include Router ID
R1# conf t
R1(config)# router ospf 10
R1(config-router)# router-id 1.1.1.1
R1(config-router)# end
R1# clear ip ospf process
R1# show ip protocols | include Router ID
Réseaux point à point OSPF
Syntaxe de commande réseau
Router(config-router)# network network-address wildcard-mask area area-id
Configurer OSPF à l'aide de la commande network
R1(config)# router ospf 10
R1(config-router)# network 10.10.1.0 0.0.0.255 area 0
R1(config-router)# network 10.1.1.4 0.0.0.3 area 0
R1(config-router)# network 10.1.1.12 0.0.0.3 area 0
R2(config)# router ospf 10
R2(config-router)# network 10.10.1.1 0.0.0.0 area 0
R2(config-router)# network 10.1.1.5 0.0.0.0 area 0
R2(config-router)# network 10.1.1.14 0.0.0.0 area 0
Configurer OSPF à l'aide de la commande ip ospf
Router(config-if)# ip ospf process-id area area-id
R1(config)# router ospf 10
R1(config-router)# no network 10.10.1.1 0.0.0.0 area 0
R1(config-router)# no network 10.1.1.5 0.0.0.0 area 0
R1(config-router)# no network 10.1.1.14 0.0.0.0 area 0
R1(config-router)# interface GigabitEthernet 0/0/0
R1(config-if)# ip ospf 10 area 0
R1(config-if)# interface GigabitEthernet 0/0/1
R1(config-if)# ip ospf 10 area 0
R1(config-if)# interface Loopback 0
R1(config-if)# ip ospf 10 area 0
Configurer des interfaces passives
R1(config)# router ospf 10
R1(config-router)# passive-interface loopback 0
R1(config-router)# end
Réseaux point à point de l'OSPF
R1(config)# interface GigabitEthernet 0/0/0
R1(config-if)# ip ospf network point-to-point
R1(config-if)# interface GigabitEthernet 0/0/1
R1(config-if)# ip ospf network point-to-point
R1(config-if)# end
R1# show ip ospf interface GigabitEthernet 0/0/0
Loopbacks et réseaux point à point
R2# show ip route | include 10.10.1
R1(config-if)# interface Loopback 0
R1(config-if)# ip ospf network point-to-point
R2# show ip route | include 10.10.1
Configurer la priorité OSPF
Modifiez la priorité de l'interface R1 G0/0/0 de 1 à 255.
R1(config)# interface GigabitEthernet 0/0/0
R1(config-if)# ip ospf priority 255
R1(config-if)# end
Modifiez la priorité de l'interface R3 G0/0/0 de 1 à 0.
R3(config)# interface GigabitEthernet 0/0/0
R3(config-if)# ip ospf priority 0
R3(config-if)# end
R1# clear ip ospf process (Sur chaque routeur)
Ajuster la largeur de bande de référence
R1# show ip ospf interface gigabitethernet0/0/0
R1# config t
R1(config)# router ospf 10
R1(config-router)# auto-cost reference-bandwidth 10000
Définir manuellement la valeur de coût OSPF
R1(config)# interface g0/0/1
R1(config-if)# ip ospf cost 30
R1(config-if)# interface lo0
R1(config-if)# ip ospf cost 10
R1(config-if)# end
Intervalles Hello et Dead OSPF
R1(config)# interface g0/0/0
R1(config-if)# ip ospf hello-interval 5
R1(config-if)# ip ospf dead-interval 20
R2(config)# interface g0/0/0
R2(config-if)# ip ospf hello-interval 5
Propager une route statique par défaut dans OSPFv2
R2(config)# interface lo1
R2(config-if)# ip address 64.100.0.1 255.255.255.252
R2(config-if)# exit
R2(config)# ip route 0.0.0.0 0.0.0.0 loopback 1
%Default route without gateway, if not a point-to-point interface, may impact performance
R2(config)# router ospf 10
R2(config-router)# default-information originate
R2(config-router)# end
Vérifier les voisins OSPF
- show ip interface brief - Ceci vérifie que les interfaces souhaitées sont actives avec un adressage IP correct.
- show ip route - Ceci vérifie que la table de routage contient tous les itinéraires attendus.
Les commandes supplémentaires permettant de déterminer si OSPF fonctionne comme prévu sont les suivantes :
- show ip ospf neighbor
- show ip protocols
- show ip ospf
- show ip ospf interface
Les ACLs standard
R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
et étendues
R1(config)# access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www
Listes de contrôle d'accès numérotées
Les ACL numéro 1 à 99, ou 1300 à 1999 sont des ACL standard tandis que les ACL numéro 100 à 199, ou 2000 à 2699 sont des ACL étendues, comme indiqué dans la sortie.
R1(config)# access-list ?
Listes de contrôle d'accès nommées
R1(config)# ip access-list extended FTP-FILTER
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data
Exemple de listes de contrôle d’accès IPv4 standard numérotées
Seul PC1 est autorisé d’accéder à l'internet
R1(config)# access-list 10 remark ACE permits ONLY host 192.168.10.10 to the internet
R1(config)# access-list 10 permit host 192.168.10.10
R1(config)# do show access-lists
Standard IP access list 10
10 permit 192.168.10.10
R1(config)#
Nouvelle politique : les hôtes du LAN 2 doivent également être autorisés à accéder à l'internet
R1(config)# access-list 10 remark ACE permits all host in LAN 2
R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255
R1(config)# do show access-lists
Standard IP access list 10
10 permit 192.168.10.10
20 permit 192.168.20.0, wildcard bits 0.0.0.255
R1(config)#
Appliquez ACL 10 sortant sur l'interface Serial 0/1/0.
R1(config)# interface Serial 0/1/0
R1(config-if)# ip access-group 10 out
R1(config-if)# end
R1# show run | section access-list
Exemple de listes de contrôle d’accès IPv4 standard nommées
R1(config)# no access-list 10
R1(config)# ip access-list standard PERMIT-ACCESS
R1(config-std-nacl)# remark ACE permits host 192.168.10.10
R1(config-std-nacl)# permit host 192.168.10.10
R1(config-std-nacl)#
R1(config-std-nacl)# remark ACE permits host 192.168.10.10
R1(config-std-nacl)# permit host 192.168.10.10
R1(config-std-nacl)# remark ACE permits all hosts in LAN 2
R1(config-std-nacl)# permit 192.168.20.0 0.0.0.255
R1(config-std-nacl)# exit
R1(config)#
R1(config)# interface Serial 0/1/0
R1(config-if)# ip access-group PERMIT-ACCESS out
R1(config-if)# end
R1# show access-lists
R1# show run | section ip access-list
R1# show ip int Serial 0/1/0 | include access list
Deux méthodes pour modifier une ACL
Méthode d’éditeur de texte
supposons que ACL 1 a été entré de manière incorrecte en utilisant 19 plutôt que 192 pour le premier octet, comme indiqué dans la configuration en cours d'exécution.
R1# show run | section access-list
access-list 1 deny 19.168.10.10
access-list 1 permit 192.168.10.0 0.0.0.255
Pour corriger l'erreur:
- Copiez l'ACL à partir de la configuration en cours d'exécution et collez-la dans l'éditeur de texte.
- Effectuez les modifications nécessaires.
- Supprimez l'ACL précédemment configurée sur le routeur sinon, le collage des commandes ACL modifiées ne fera qu'ajouter (par exemple, ajouter) aux ACE ACL existantes sur le routeur.
- Copiez et collez la liste ACL modifiée sur le routeur.
l'ACL incorrecte doit être supprimée et les instructions ACL1 corrigées doivent être collées en mode de configuration globale, comme indiqué dans la sortie.
R1(config)# no access-list 1
R1(config)#
R1(config)# access-list 1 deny 19.168.10.10
R1(config)# access-list 1 permit 192.168.10.0 0.0.0.255
Méthode des numéros de séquence
l'ACE incorrecte pour ACL 1 utilise le numéro de séquence 10, comme indiqué dans l'exemple.
R1# show access-lists
Standard IP access list 1
10 deny 19.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1# conf t
R1(config)# ip access-list standard 1
R1(config-std-nacl)# no 10
R1(config-std-nacl)# 10 deny host 192.168.10.10
R1(config-std-nacl)# end
R1# show access-lists
Standard IP access list 1
10 deny 192.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
Exemple de modification d'une liste ACL nommée
R1# show access-lists
Standard IP access list NO-ACCESS
10 deny 192.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1# configure terminal
R1(config)# ip access-list standard NO-ACCESS
R1(config-std-nacl)# 15 deny 192.168.10.5
R1(config-std-nacl)# end
R1#
R1# show access-lists
Standard IP access list NO-ACCESS
15 deny 192.168.10.5
10 deny 192.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
Statistiques de la liste de contrôle d'accès ACL
R1# show access-lists
R1# clear access-list counters NO-ACCESS
R1# show access-lists
Sécurisation des ports VTY à l'aide d'une liste de contrôle d'accès IPv4 standard
La commande access-class
R1(config)# username ADMIN secret class
R1(config)# ip access-list standard ADMIN-HOST
R1(config-std-nacl)# remark This ACL secures incoming vty lines
R1(config-std-nacl)# permit 192.168.10.10
R1(config-std-nacl)# deny any
R1(config-std-nacl)# exit
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input telnet
R1(config-line)# access-class ADMIN-HOST in
R1(config-line)# end
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# access-class ADMIN-HOST in
R1(config-line)# end
Se connecter avec Putty ensuite
Configuration de listes de contrôle d'accès IPv4 étendues
Exemple de liste ACL étendue IPv4 nommée
R1(config)# ip access-list extended SURFING
R1(config-ext-nacl)# Remark Permits inside HTTP and HTTPS traffic
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config-ext-nacl)# exit
R1(config)#
R1(config)# ip access-list extended BROWSING
R1(config-ext-nacl)# Remark Only permit returning HTTP and HTTPS traffic
R1(config-ext-nacl)# permit tcp any 192.168.10.0 0.0.0.255 established
R1(config-ext-nacl)# exit
R1(config)# interface g0/0/0
R1(config-if)# ip access-group SURFING in
R1(config-if)# ip access-group BROWSING out
R1(config-if)# end
R1# show access-lists
Extended IP access list SURFING
10 permit tcp 192.168.10.0 0.0.0.255 any eq www
20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (124 matches)
Extended IP access list BROWSING
10 permit tcp any 192.168.10.0 0.0.0.255 established (369 matches)
R1#
Edit Extended ACLs
R1# show access-lists
Extended IP access list BROWSING
10 permit tcp any 192.168.10.0 0.0.0.255 established
Extended IP access list SURFING
10 permit tcp 19.168.10.0 0.0.0.255 any eq www
20 permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1# configure terminal
R1(config)# ip access-list extended SURFING
R1(config-ext-nacl)# no 10
R1(config-ext-nacl)# 10 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config-ext-nacl)# end
R1# show access-lists
Extended IP access list BROWSING
10 permit tcp any 192.168.10.0 0.0.0.255 established
Extended IP access list SURFING
10 permit tcp 192.168.10.0 0.0.0.255 any eq www
20 permit tcp 192.168.10.0 0.0.0.255 any eq 443
Exemple d'un autre ACL IPv4 étendu nommé
R1(config)# ip access-list extended PERMIT-PC1
R1(config-ext-nacl)# Remark Permit PC1 TCP access to internet
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 20
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 21
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 22
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 23
R1(config-ext-nacl)# permit udp host 192.168.10.10 any eq 53
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 53
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 80
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 443
R1(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 any
R1(config-ext-nacl)# exit
R1(config)#
R1(config)# ip access-list extended REPLY-PC1
R1(config-ext-nacl)# Remark Only permit returning traffic to PC1
R1(config-ext-nacl)# permit tcp any host 192.168.10.10 established
R1(config-ext-nacl)# exit
R1(config)# interface g0/0/0
R1(config-if)# ip access-group PERMIT-PC1 in
R1(config-if)# ip access-group REPLY-PC1 out
R1(config-if)# end
R1#
Configurer la traduction d'adresses réseau (NAT) statique
La configuration des traductions NAT statiques comporte deux étapes fondamentales:
Étape 1. La première tâche consiste à créer un mappage entre les adresses locales internes et les adresses globales internes. Par exemple, l'adresse locale interne 192.168.10.254 et l'adresse globale interne 209.165.201.5 de la figure sont configurées comme étant une traduction NAT statique.
R2(config)# ip nat inside source static 192.168.10.254 209.165.201.5
Étape 2. Une fois que le mappage est configuré, les interfaces participant à la traduction sont configurées comme étant internes ou externes par rapport à la NAT. Dans l'exemple, l'interface série 0/1/0 de R2 est une interface interne et l'interface série 0/1/0 est une interface externe.
R2(config)# interface serial 0/1/0
R2(config-if)# ip address 192.168.1.2 255.255.255.252
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial 0/1/1
R2(config-if)# ip address 209.165.200.1 255.255.255.252
R2(config-if)# ip nat outside
R2# show ip nat translations
Configuration de la NAT dynamique
R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config-if)# ip nat inside source list 1 pool NAT-POOL1
R2(config)# Interface serial 0/0/0
R2(config-if)# ip nat inside
R2(config)# interface serial 0/1/1
R2(config-if)# ip nat outside
Vérification de la NAT dynamique
R2# show ip nat translations
R2# show ip nat translation verbose
Configurer PAT pour utiliser une seule adresse IPv4
R2(config)# ip nat inside source list 1 interface serial 0/1/1 overload
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface Serial0/1/1
R2(config-if)# ip nat outside
Configurer PAT pour utiliser un pool d'adresses
R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload
R2(config)#
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial0/1/1
R2(config-if)# ip nat outside
R2(config-if)# end
R2#
Vérifier PAT
R2# show ip nat translations
R2# show ip nat statistics
Détection de périphériques avec le protocole CDP
Router# show cdp
Router(config)# no cdp run
Router(config)# exit
Router# show cdp
CDP is not enabled
Router# configure terminal
Router(config)# cdp run
Switch(config)# interface gigabitethernet 0/0/1
Switch(config-if)# cdp enable
Router# show cdp neighbors
Router# show cdp interface
Configuration et vérification du protocole LLDP
Switch# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# lldp run
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# lldp transmit
Switch(config-if)# lldp receive
Switch(config-if)# end
Switch# show lldp
Configurer et vérifier le protocole NTP
R1# show clock detail
R1(config)# ntp server 209.165.200.225
R1(config)# end
Configurer l'horodatage Syslog
R1# configure terminal
R1(config)# interface g0/0/0
R1(config-if)# shutdown
R1(config-if)# exit
R1(config)# service timestamps log datetime
R1(config)# interface g0/0/0
R1(config-if)# no shutdown
Utiliser TFTP pour sauvegarder et restaurer la configuration
R1# copy running-config tftp
Procédures de récupération des mots de passe
La console d'accès permet à l'utilisateur d'accéder au mode ROMMON au moyen d'une séquence de pause pendant le processus de démarrage ou en retirant la mémoire flash externe au moment de la mise hors tension du périphérique. En cas de succès, l'invite rommon 1 > s'affiche, comme indiqué dans l'exemple.
Remarque: La séquence de pause pour PuTTY est Ctrl+Break. Vous trouverez la liste des séquences de pause standard pour les autres émulateurs de terminaux et systèmes d'exploitation à l'adresse en faisant une recherche sur Internet.
Readonly ROMMON initialized
monitor: command "boot" aborted due to user interrupt
rommon 1 >
rommon 1 > confreg 0x2142
rommon 2 > reset
Router# copy startup-config running-config
R1# configure terminal
R1(config)# enable secret cisco
R1(config)# config-register 0x2102
R1(config)# Fin
R1# copy running-config startup-config
R1# reload
Exemple de sauvegarde d'une image IOS sur un serveur TFTP
R1# ping 172.16.1.100
R1# show flash0:
R1# copy flash: tftp:
Exemple de copie d'une image IOS sur un périphérique
R1# ping 2001:db8:cafe:100::99
R1# show flash:
R1# copy tftp: flash:
La Commande «boot system»
R1(config)# boot system flash0:isr4200-universalk9_ias.16.09.04.SPA.bin
R1(config)# exit
R1#
R1# copy running-config startup-config
R1#
R1# reload