ADMINISTRATION DE SWITCH



Commandes de bases

switch>enable : Passez du mode d’exécution utilisateur au mode d’exécution privilégié.
Password:password : Si vous avez défini un mot de passe en mode d’exécution privilégié, le système vous demande de le saisir.
switch#disable : Passez du mode d’exécution privilégié au mode d’exécution utilisateur.
switch#configure terminal : Passez du mode d’exécution privilégié au mode de configuration globale.
switch(config)#interface fastethernet 0/1 : Passez du mode de configuration globale au mode de configuration d’interface pour l’interface Fast Ethernet 0/1.
switch(config-if)#exit : Passez du mode de configuration d’interface en mode de configuration globale.

Historique des commandes

R1#show history : pour afficher les commandes d’exécution qui ont été récemment entrées.
switch#terminal history : Configure la taille de l’historique du terminal.L’historique du terminal peut conserver entre 0 et 256 lignes de commande.
switch#terminal history size 50 : Configure la taille de l’historique du terminal.L’historique du terminal peut conserver entre 0 et 256 lignes de commande.
switch#terminal no history size : Rétablit la taille de l’historique du terminal d’après sa valeur par défaut, soit 10 lignes de commande
switch#terminal no history : Désactive l’historique du terminal.

Configuration de la connectivité IP d un switch

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#interface vlan 99 : Passer en mode de configuration d’interface pour l’interface du VLAN 99.
Comm1(config-if)#ip address 172.17.99.11 255.255.255.0 : Configurer l’adresse IP de l’interface.
Comm1(config-if)#no shutdown : Activer l’interface.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Comm1#configure terminal : Passer en mode de configuration globale.
Comm1(config)#interface fastethernet 0/18 : Entrer dans l’interface pour affecter le réseau local virtuel.
Comm1(config-if)#switchport mode access : Définir le mode d’appartenance du port à un réseau local virtuel.
Comm1(config-if)#switchport acces vlan 99 : Affecter le port à un réseau local virtuel.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration de démarrage du commutateur.
Comm1(config)#ip default-gateway 172.17.99.1 : Configurer la passerelle par défaut sur le commutateur.
Comm1(config)#end : Repasser en mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration de démarrage du commutateur.
Comm1# mdix auto : detecte le cablage ( croisé ou direct ) pour pas avoir a sans occupé

Configuration du mode biderectionnel

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#Interface fastethernet 0/1 : Passer en mode de configuration d’interface.
Comm1(config-if)#duplex auto : Configurer le mode birectionnel d’interface pour activer la configuration bidirectionnelle automatique.
Comm1(config-if)#speed auto : Configurer la vitesse bidirectionnelle d’interface et activer la configuration de vitesse automatique.
Comm1(config-if)#end : Revenir au mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration de démarrage du commutateur.

Configuration d’une interface web

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#ip http authentication enable : Configurer l’interface du serveur HTTP pour le type d’authentification enable. Les autres options disponibles sont les suivantes : enable : utilisation du mot de passe actif, soit la méthode par défaut pour l’authentification utilisateur du serveur HTTP. local : utilisation de la base de données utilisateur telle que définie sur le routeur Cisco ou le serveur d’accès. tacacs : utilisation du serveur TACACS.
Comm1(config)#ip http server : Activer le serveur HTTP.
Comm1(config)#end : Revenir au mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration de démarrage du commutateur.

Gestion de la table d adresse mac switch

swicth# show mac-address-table : montre la table d adresse mac
swicth#mac-address-table static vlan {1-4096, ALL} interface id_interface. : creer un mappage static donc permet de dire quelle adresse mac pour quelle port
swicth#no mac-address-table static vlan {1-4096, ALL} interface id_interface. : annule le mappage static

Verifier les configuration avec show

switch# show interfaces [interface-id] : Affiche l’état et la configuration d’une ou de l’ensemble des interfaces disponibles sur le commutateur.
switch# show startup-config : Affiche le contenu de la configuration de démarrage.
switch# show running-config : Affiche la configuration actuelle.
switch# show flash : Affiche des informations sur le système de fichiers flash.
switch# show version : Affiche l’état du logiciel et du matériel système.
switch# show ip {interface | http | arp} : Affiche des informations IP. L’option d’interface dévoile l’état et la configuration de l’interface IP. L’option http affiche les données HTTP relatives au gestionnaire de périphériques exécuté sur le commutateur. L’option arp affiche la table ARP IP.
switch# show mac-address-table : Affiche la la table de transmission MAC.

GESTION DE BASE DES COMMUTATEURS

Sauvegarde et restauration des configuration des commutateur

Comm1#copy system:running-config flash:startup-config : Nom du fichier de destination [startup-config] ? : Version officielle de la commande de copie de Cisco IOS. Confirmez le nom du fichier de destination. Appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
Comm1#copy running-config startup-config Nom du fichier de destination [startup-config] ? : Version non officielle de la commande de copie. Il est supposé alors que la configuration en cours est exécutée sur le système et que le fichier de configuration de démarrage sera stocké dans la mémoire vive non volatile flash. Appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
Comm1#copy startup-config flash:config.bak1 Nom du fichier de destination [config.bak1] ? : Sauvegardez la configuration de démarrage dans un fichier stocké dans la mémoire vive non volatile flash. Confirmez le nom du fichier de destination. Appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
RESTAURER
Comm1#copy flash:config.bak1 startup-config : Nom du fichier de destination [startup-config] ? : Copiez le fichier config.bak1 stocké dans la mémoire flash dans la configuration de démarrage qui doit être stockée dans la mémoire flash. Appuyez sur la touche Entrée pour valider et sur les touches Crtl+C pour annuler.
Comm1#reload System configuration has been modified. Save? [yes/no]: n Proceed with reload? [confirm]? : Demandez à Cisco IOS de redémarrer le commutateur. Si vous avez modifié le fichier de configuration en cours, le système vous demande de l’enregistrer. Confirmez par un ‘y’ (oui) ou un ‘n’ (non). Pour confirmer le rechargement, appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
SUR SERVEUR TFTP
#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] system:running-config
ou
#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] nvram:startup-config. : Téléchargez le fichier de configuration du serveur TFTP afin de configurer le commutateur. Précisez l’adresse IP ou le nom d’hôte du serveur TFTP, ainsi que le nom du fichier à télécharger.

Supprimer configuration

switch#erase nvram: ou erase startup-config : supprimer la configuration

CONFIGURATION DE LA SECURITE

Mot de passe console

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#line con 0 : Passer du mode de configuration globale au mode de configuration de ligne pour la console 0.
Comm1(config-line)#password cisco : Définir cisco en tant que mot de passe pour la ligne de console 0 sur le commutateur.
Comm1(config-line)#login : Définir la ligne de console pour exiger la saisie du mot de passe avant l’octroi de l’accès.
Comm1(config-line)#end : Quitter le mode de configuration de ligne et revenir en mode d’exécution privilégié.
Pour le mot de passe terminal il suffit de mettre à la place de Comm1(config)#line con 0 mettre Comm1(config)#line vty 0 4

Mot de passe execution privilégié

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.
Comm1(config)#enable secret mot_de_passe : Configurer le mot de passe enable secret pour le passage en mode d’exécution privilégié.
Comm1(config)#end : Quitter le mode de configuration de ligne et revenir en mode d’exécution privilégié.

Chiffrer tous les mots de passe d un coup

switch#conf t
switch(config)#service password-encryption

Recuperation de mot de pas aprés oublis

Pour récupérer le mot de passe sur un commutateur Cisco 2960, procédez comme suit :
Étape 1. Au moyen d’un logiciel d’émulation de terminal, connectez un terminal ou un PC au port de la console du commutateur.
Étape 2. Définissez le débit de la ligne dans le logiciel d’émulation à 9 600 bauds.
Étape 3. Mettez le commutateur hors tension. Reconnectez le cordon d’alimentation au commutateur, puis appuyez sur le bouton Mode pendant les 15 secondes qui suivent tandis que le LED système continue de clignoter en vert. Maintenez le bouton Mode enfoncé jusqu’à ce que le LED système devienne brièvement orange, puis prenne une couleur verte définitive. Relâchez ensuite le bouton Mode.
Étape 4. Initialisez le système de fichiers flash à l’aide de la commande flash_init.
Étape 5. Chargez tous les fichiers d’aide au moyen de la commande load_helper.
Étape 6. Affichez le contenu de la mémoire flash à l’aide de la commande dir flash :
Le système de fichiers du commutateur apparaît :
Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX 11 -rwx 5825 Mar 01 1993 22:31:59 config.text 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat 16128000 bytes total (10003456 bytes free)
Étape 7. À l’aide de la commande rename flash:config.text flash:config.text.old, modifiez le fichier de configuration en le renommant « config.text.old », soit le fichier contenant la définition du mot de passe.
Étape 8. Démarrez le système avec la commande boot.
Étape 9. Le système vous demande de démarrer le programme de configuration. À l’invite, entrez N et lorsque le système vous demande si vous souhaitez poursuivre dans la boîte de dialogue de configuration, entrez N.
Étape 10. À l’invite du commutateur, entrez le mode d’exécution privilégié en vous servant de la commande enable.
Étape 11. Utilisez la commande rename flash:config.text.old flash:config.text pour renommer le fichier de configuration d’après son nom d’origine.
Étape 12. Copiez le fichier de configuration dans la mémoire à l’aide de la commande copy flash:config.text system:running-config. Une fois cette commande entrée, le texte suivant s’affiche dans la console :
Source filename [config.text]?
Destination filename [running-config]?
Appuyez sur la touche Entrée en réponse à l’invite de confirmation. Le fichier de configuration est désormais rechargé et vous pouvez modifier le mot de passe.
Étape 13. Passez en mode de configuration globale au moyen de la commande configure terminal.
Étape 14. Modifiez le mot de passe en utilisant la commande enable secret mot de passe.
Étape 15. Repassez en mode d’exécution privilégié avec la commande exit.
Étape 16. Inscrivez la configuration en cours dans le fichier de configuration de démarrage au moyen de la commande copy running-config startup-config.
Étape 17. Rechargez le commutateur à l’aide de la commande reload.
Remarque : la procédure de récupération de mots de passe peut varier selon la gamme de commutateurs Cisco. Pensez alors à vous reporter à la documentation du produit avant toute tentative de récupération.

Creer une banniere de connexion

Comm1#configure terminal
Comm1(config)#banner login « Personnel autorisé uniquement » : Configurer une bannière de connexion.
Ou alors :
Comm1(config)#banner login & ou « & » definit fin du texte

Pour le motd

Comm1#configure terminal
Comm1(config)#banner motd « Personnel autorisé uniquement » : Configurer une bannière de connexion.
Ou alors :
Comm1(config)#banner motd & ou « & » definit fin du texte : La bannière MOTD affiche tous les terminaux connectés à la connexion et permet de transmettre des messages destinés à tous les utilisateurs du réseau (pour les avertir, par exemple, d’un arrêt imminent du système). La bannière MOTD apparaît avant la configuration de la bannière de connexion.

Acces avec telnet et ssh

Si vous devez réactiver le protocole Telnet sur un commutateur Cisco 2960, utilisez la commande suivante à partir du mode de configuration de ligne : (config-line)#transport input telnet ou (config-line)#transport input all.

Parametrer ssh sur serveur cisco

Étape 1. Passez en mode de configuration globale au moyen de la commande configure terminal.
Étape 2. Configurez un nom d’hôte pour votre commutateur au moyen de la commande hostname nom_hôte.
Étape 3. Configurez un domaine hôte pour votre commutateur à l’aide de la commande ip domain-name nom_domaine.
Étape 4. Activez le serveur SSH en vue d’une authentification locale et distante sur le commutateur et générez une paire de clés RSA en utilisant la commande crypto key generate rsa.
Lorsque vous créez des clés RSA, le système vous demande d’entrer une longueur de modulus. Cisco préconise l’utilisation d’une taille de modulus de 1024 bits. Une longueur de modulus plus importante peut s’avérer plus sûre, mais sa création et son utilisation prennent plus de temps.
Étape 5. Repassez en mode d’exécution privilégié à l’aide de la commande end.
Étape 6. Affichez l’état du serveur SSH sur le commutateur en vous servant de la commande show ip ssh ou show ssh.
Pour supprimer la paire de clés RSA, utilisez la commande de configuration globale crypto key zeroize rsa. Une fois la paire de clés RSA supprimée, le serveur SSH est automatiquement désactivé.
Configuration du serveur SSH
Débutez en mode d’exécution privilégié et procédez comme suit pour configurer le serveur SSH.
Étape 1. Passez en mode de configuration globale au moyen de la commande configure terminal.
Étape 2. (Facultatif) Configurez le commutateur pour exécuter SSHv1 ou SSHv2 à l’aide de la commande ip ssh version [1 | 2].
Si vous n’entrez pas cette commande ou ne spécifiez aucun mot de passe, le serveur SSH sélectionne la dernière version SSH prise en charge par le client SSH. Par exemple, si le client SSH prend en charge les versions SSHv1 et SSHv2, le serveur SSH choisit la version SSHv2.
Étape 3. Configurez les paramètres de contrôle SSH :
Précisez la valeur de délai d’attente en secondes. La valeur par défaut est 120 secondes. La valeur peut aller de 0 à 120 secondes. Pour une connexion SSH à établir, vous devez exécuter plusieurs phases, telles que la connexion, la négociation de protocole et la négation de paramètre. La valeur de délai d’attente désigne le temps que le commutateur autorise pour l’établissement d’une connexion.
Par défaut, cinq connexions SSH chiffrées simultanées sont disponibles au maximum pour plusieurs sessions de l’interface de ligne de commande (ILC) sur le réseau (session 0 à session 4). Après le démarrage de l’interpréteur de commandes d’exécution, le délai d’attente de la session d’interface de ligne de commande revient à sa valeur par défaut de 10 minutes.
Précisez le nombre de fois qu’il est possible d’authentifier de nouveau un client sur le serveur. La valeur par défaut est 3 dans un éventail de 0 à 5. Par exemple, un utilisateur peut définir à trois reprises un temps d’attente de dix minutes avant que la session ne prenne fin.
Répétez cette étape lors de la configuration de ces deux paramètres. Pour configurer ces paramètres, utilisez la commande ip ssh {timeoutsecondes | authentication-retries nombre}.
Étape 4. Repassez en mode d’exécution privilégié à l’aide de la commande end.
Étape 5. Indiquez l’état des connexions du serveur SSH sur le commutateur en vous servant de la commande show ip ssh ou show ssh.
Étape 6. (Facultatif) Enregistrez vos entrées dans le fichier de configuration à l’aide de la commande copy running-config startup-config.
Si vous souhaitez éviter des connexions non SSH, ajoutez la commande transport input ssh en mode de configuration de ligne afin de limiter le commutateur aux connexions SSH uniquement. Les connexions Telnet directes (non SSH) sont rejetées.

Blocage des ports non fiable contre attaque dhcp

La procédure ci-après illustre la manière de configurer la surveillance DHCP sur un commutateur Cisco IOS :
Étape 1. Activez la surveillance DHCP à l’aide de la commande de configuration globale ip dhcp snooping.
Étape 2. Activez la surveillance DHCP pour des réseaux locaux virtuels spécifiques au moyen de la commande ip dhcp snooping vlan number [ nombre].
Étape 3. Au niveau de l’interface, définissez les ports comme étant fiables ou non en définissant les ports fiables avec la commande ip dhcp snooping trust.
Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement transmettre de fausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping limit rate fréquence.

Eviter les paquets CDP

Il faut les desactiver sur les peripherique inutiles, ils sont de niveau deux donc ne passe pas les routeurs.
La figure montre une partie d’une capture de paquets Ethereal dévoilant l’intérieur d’un paquet CDP. La version du logiciel Cisco IOS découverte par CDP permettrait notamment au pirate de rechercher et d’identifier quelques points vulnérables en matière de sécurité inhérents à cette version spécifique du code. De même, du fait que CDP n’est pas authentifié, un pirate peut concevoir de faux paquets CDP et les transmettre via le périphérique Cisco directement connecté dont il dispose.
Pour résoudre ce problème de vulnérabilité, il est préférable de désactiver CDP sur les périphériques sur lesquels ce protocole est inutile.
Sur commutateur blocage des ports non fiable pour requete dhcp La procédure ci-après illustre la manière de configurer la surveillance DHCP sur un commutateur Cisco IOS :
Étape 1. Activez la surveillance DHCP à l’aide de la commande de configuration globale ip dhcp snooping.
Étape 2. Activez la surveillance DHCP pour des réseaux locaux virtuels spécifiques au moyen de la commande ip dhcp snooping vlan number [ nombre].
Étape 3. Au niveau de l’interface, définissez les ports comme étant fiables ou non en définissant les ports fiables avec la commande ip dhcp snooping trust.
Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement transmettre de fausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping limit rate fréquence.

Eviter attaque mot de passe par force brute

La chose la plus simple à faire de votre côté pour limiter votre vulnérabilité face aux attaques en force est de modifier fréquemment vos mots de passe et d’utiliser des mots de passe forts combinant au hasard des lettres en majuscules et minuscules et des chiffres. Des configurations plus avancées vous permettent de limiter les personnes autorisées à communiquer avec les lignes vty grâce à des listes d’accès, mais ce sujet n’est pas au programme de ce cours.

Securiser les ports avec adresse mac

Types d’adresses MAC sécurisées
Il existe plusieurs façons de configurer la sécurité des ports. Les sections suivantes décrivent les moyens de configurer la sécurité des ports sur un commutateur Cisco :
Adresses MAC sécurisées statiques : les adresses MAC sont configurées manuellement à l’aide de la commande de configuration d’interface switchport port-security mac-address adresse_mac. Les adresses MAC configurées de cette manière sont stockées dans la table d’adresses et sont ajoutées à la configuration en cours sur le commutateur.
Adresses MAC sécurisées dynamiques : les adresses MAC sont assimilées de manière dynamique et stockées uniquement dans la table d’adresses. Les adresses MAC configurées ainsi sont supprimées au redémarrage du commutateur.
Adresses MAC sécurisées rémanentes : vous pouvez configurer un port pour assimiler dynamiquement des adresses MAC, puis enregistrer ces dernières dans la configuration en cours.
Adresses MAC rémanentes
Les adresses MAC sécurisées rémanentes présentent les caractéristiques suivantes :
Lorsque vous activez l’apprentissage rémanent dans une interface au moyen de la commande de configuration d’interface switchport port-security mac-address sticky, l’interface convertit toutes les adresses MAC sécurisées dynamiques, y compris celles qui ont été dynamiquement assimilées avant que l’apprentissage rémanent ne soit activé, en adresses MAC sécurisées rémanentes et ajoute l’ensemble de ces dernières dans la configuration en cours.
Si vous désactivez l’apprentissage rémanent à l’aide de la commande de configuration d’interface no switchport port-security mac-address sticky, les adresses MAC sécurisées rémanentes restent intégrées à la table d’adresses mais sont supprimées de la configuration en cours. Lorsque vous faites appel à la commande de configuration d’interface switchport port-security mac-address sticky adresse_mac pour configurer des adresses MAC sécurisées rémanentes, ces dernières sont ajoutées à la table d’adresses et la configuration en cours. Si vous désactivez la sécurité du port, les adresses MAC sécurisées rémanentes demeurent dans la configuration en cours.
Si vous enregistrez les adresses MAC sécurisées rémanentes dans le fichier de configuration, il n’est pas nécessaire pour l’interface de réassimiler ces adresses lorsque vous redémarrez le commutateur ou arrêtez l’interface. Si vous ne les enregistrez pas, les adresses MAC sécurisées rémanentes seront perdues.
Si vous désactivez l’apprentissage rémanent et entrez la commande de configuration d’interface switchport port-security mac-address sticky adresse_mac, un message d’erreur apparaît et l’adresse MAC sécurisée rémanente n’est pas ajoutée dans la configuration en cours

Mode de violation de la securité

Vous pouvez configurer l’interface pour l’un des trois modes de violation en fonction de l’action à entreprendre en cas de violation. La figure illustre les types de trafic de données transmis lorsque l’un des modes de violation de sécurité suivants est configuré sur un port :
protect : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d’adresses source inconnues sont ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou augmentiez le nombre maximal d’adresses à autoriser. Aucun message de notification ne vous est adressé en cas de violation de la sécurité.
restrict : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d’adresses source inconnues sont ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou augmentiez le nombre maximal d’adresses à autoriser. Ce mode vous permet d’être informé si une violation de la sécurité est constatée. Dans ce cas, une interruption SNMP est transmise, un message syslog est consigné et le compteur de violation est incrémenté.
shutdown : si vous optez pour ce mode, toute violation de sécurité de port entraîne immédiatement la désactivation de l’enregistrement des erreurs dans l’interface et celle de la LED du port. Une interruption SNMP est également transmise, un message syslog est consigné et le compteur de violation est incrémenté. Lorsqu’un port sécurisé opère en mode de désactivation des erreurs, vous pouvez annuler cet état par simple saisie des commandes de configuration d’interface shutdown et no shutdown. Il s’agit du mode par défaut.

Configuration de la securité des ports

Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Précisez le type et le numéro de l’interface physique à configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration d’interface. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport mode access : Définissez le mode d’interface en accès. Vous ne pouvez pas configurer une interface en tant que port sécurisé selon le mode dynamique par défaut approprié. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la sécurité des ports sur l’interface. Utilisez la commande Cisco IOS :

Configuration avancé de la securité des ports

Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Précisez le type et le numéro de l’interface physique à configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration d’interface. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport mode access : Définissez le mode d’interface en accès. Vous ne pouvez pas configurer une interface en tant que port sécurisé selon le mode dynamique par défaut approprié. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la sécurité des ports sur l’interface. Utilisez la commande Cisco IOS :
Comm1(config-if)#switchport port-security maximum 50 : Définissez le nombre maximal d’adresses sécurisées à 50. Utilisez la commande Cisco IOS :
Comm1(config-if)#switchport port-security mac-address sticky : Activez l’apprentissage rémanent. Utilisez la commande Cisco IOS :

Verification de la securité des ports

switch#show port-security [interface id_interface] : Pour afficher les paramètres de sécurité des ports du commutateur ou de l’interface spécifiée
switch#show port-security [interface id_interface] : Pour afficher toutes les adresses MAC sécurisées configurées dans toutes les interfaces de commutation ou sur une interface définie avec informations d’obsolescence pour chacune

Desactiver les ports qui ne son pas utilisé

Utiliser shutdown et interface range

CONFIGURATION DES VLANS

Activation vlan voix

s3(config)#interface fa0/18
s3(config-if)#mls qos trust cos : garantit que le trafic vocal est identifié en tant que trafic prioritaire. N’oubliez pas que le réseau tout entier doit être configuré de manière à donner la priorité au trafic vocal. Vous ne pouvez pas simplement configurer le port avec cette commande.
s3(config-if)#switchport voice vlan 150 : identifie le VLAN 150 en tant que VLAN voix. Vous pouvez vérifier que c’est bien le cas dans la capture d’écran du bas : Voice VLAN: 150 (VLAN0150).
s3(config-if)#switchport mode access
s3(config-if)#switchport access vlan 20 : configure le VLAN 20 en tant que VLAN (de données) en mode accès. Vous pouvez vérifier que c’est bien le cas dans la capture d’écran du bas : Access Mode VLAN: 20 (VLAN0020).
s3(config-if)#end
s3#show interface fa0/18 switchport

Ajout d’un réseau local virtuel

Comm1#configure terminal : Passer en mode de configuration globale sur le commutateur Comm1.
Comm1(config)#vlan id_vlan : Créer un VLAN. « id_vlan » est le numéro de VLAN à créer. Passe en mode de configuration de VLAN pour l’ID de VLAN du VLAN.
Comm1(config-vlan)#name nom_vlan : (Facultatif) Spécifier un nom de VLAN unique pour identifier le VLAN. Si aucun nom n’est entré, le numéro de VLAN, complété par des zéros, est ajouté au mot « VLAN », comme par exemple VLAN0020.
Comm1(config-if)#end

Affectation d’un port de commutateur

Comm1#configure terminal : Passer en mode de configuration globale sur le commutateur Comm1.
Comm1(config)#interface F0/1 : Passer en mode de configuration d’interface.
Comm1(config-if)#switchport mode trunk : Définir l’interface F0/1 comme agrégation IEEE 802.1Q
Comm1(config-if)#switchport trunk native vlan 99 : Configurer le VLAN 99 en tant que VLAN natif.
Comm1(config-if)#end

Vérification des réseaux loaux virtuels et des appartenances des ports

La commande show vlan
show vlan [brief | id id_vlan | name nom_vlan | summary].
brief : Afficher une ligne pour chaque VLAN comportant le nom du VLAN, son état et ses ports.
id id_vlan : Afficher des informations sur un VLAN unique identifié par un numéro d’ID de VLAN. La valeur id_vlan peut être comprise entre 1 et 4094.
name nom_vlan : Afficher des informations sur un VLAN unique identifié par un nom de VLAN. Le nom de VLAN est une chaîne ASCII de 1 à 32 caractères de long..
summary : Afficher un résumé sur les VLAN.

La commande show interfaces
show interfaces [id_interface | vlan id_vlan] | switchport
id_interface : Les interfaces autorisées comprennent les ports physiques (y compris le type, le module et le numéro de port) et les canaux de port. La plage des canaux de port est comprise entre 1 et 6.
vlan id_vlan : Identification du VLAN. La plage est comprise entre 1 et 4094. >
switchport : Afficher l’état administratif et opérationnel d’un port de commutation, y compris les paramètres de blocage et de protection du port.

Gérer les appartenances des ports

Comm1#configure terminal : Passer en mode de configuration globale.
Comm1(config)#interface id_interface : Passer en mode de configuration d’interface pour configurer l’interface.
Comm1(config-if)#no switchport access vlan : Supprimer l’affectation de VLAN sur cette interface de port de commutateur et revenir à l’appartenance par défaut au VLAN 1.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.

Configuration d’une agrégation 802.1Q

Comm1#configure terminal : Passer en mode de configuration globale.
Comm1(config)#interface id_interface : Passer en mode de configuration d’interface pour configurer l’interface.
Comm1(config-if)#switchport mode trunk : Forcer la liaison reliant les commutateurs à devenir une liaison agrégée.
Comm1(config-if)#switchport trunk native vlan id_vlan : Spécifier un autre VLAN en tant que VLAN natif pour le trafic non étiqueté pour les agrégations IEEE 802.1Q.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Pour vérifier la configuration d’une agrégation : show interfaces id_interface switchport.

Gestion de la configuration d’une agrégation

Comm1#configure terminal : Passer en mode de configuration globale.
Comm1(config-if)#no switchport trunk allowed vlan : Utilisez cette commande en mode de configuration d’interface pour réinitialiser tous les VLAN configurés sur l’interface d’agrégation.
Comm1(config-if)#no switchport trunk native vlan : Utilisez cette commande en mode de configuration d’interface pour réinitialiser le VLAN natif et le réaffecter au VLAN 1.
Comm1(config-if)#switchport mode access : Utilisez cette commande en mode de configuration d’interface pour réinitialiser l’interface du port d’agrégation en port de mode d’accès statique.

Configuration du protocole Rapid PVST+

configure terminal : Passer en mode de configuration globale.
spanning-tree mode rapid-pvst : Configurer le mode d’arbre recouvrant du protocole rapid PVST+.
interface interface-id : Spécifier une interface à configurer, et accéder au mode de configuration d’interface. Les valeurs autorisées pour l’ID de VLAN sont comprises entre 1 et 4 094. Les valeurs autorisées pour le canal de port sont comprises entre 1 et 6.
spanning-tree link-type point-to-point : Spécifier que le type de liaison pour ce port est point à point.
end : Repasser en mode d’exécution privilégié.
clear spanning-tree detected-protocols : Désactiver tous les protocoles STP détectés.
Vérifier la configuration du protocole Rapid PVST+
show spanning-tree interface_id

Configuration du routage entre VLAN

Sur le commutateur :
Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport access vlan 10
Comm1(config-if)#interface f0/4
Comm1(config-if)#switchport access vlan 30
Comm1(config-if)#end

Sur le routeur :
R1#configure terminal
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.10 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface f0/1
R1(config-if)#ip address 192.168.3.10 255.255.255.0
R1(config-if)#no shutdown

Configuration du routage entre VLAN « Router-on-a-Stick »

Sur le commutateur :
Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport mode trunk Comm1(config-if)#end

Sur le routeur :
R1#configure terminal
R1(config)#interface f0/0.10
R1(config-if)#encapsulation dot1q 10 R1(config-if)#ip address 192.168.1.10 255.255.255.0
R1(config)#interface f0/0.30
R1(config-if)#encapsulation dot1q 30 R1(config-if)#interface f0/1
R1(config-if)#ip address 192.168.3.10 255.255.255.0
R1(config-if)#no shutdown


التعليقات : 0

إرسال تعليق


أخي الكريم، رجاء قبل وضع أي كود في تعليقك، حوله بهذه الأداة ثم ضع الكود المولد لتجنب اختفاء بعض الوسوم.
الروابط الدعائية ستحذف لكونها تشوش على المتتبعين و تضر بمصداقية التعليقات.

المشاركات الشائعة