docAnnexe 1 : Commandes de base pour CATALYST 2900
download 
Plainte Transcription
Annexe 1 : Commandes de base pour CATALYST 2900
M. JATTI Aziz
Commandes de base CLI CISCO
Principes des commandes CLI Cisco
Mode de commandes
Prompt du
routeur affiché
Se connecter
Router>
A partir du mode utilisateur, entrez la Router#
commande enable
Mode de commande Méthode d’accès
Méthode de sortie
Mode utilisateur
Mode Privilégié
La commande logout.
Pour retourner dans le mode utilisateur,
utilisez la commande disable, exit ou
logout.
Pour retourner dans le mode Privilégié,
utilisez la commande exit ou end ou
tapez Ctrl+z.
Pour retourner dans le mode
Configuration globale, utilisez la
commande exit.
Configuration
Globale
A partir du mode Privilégié, entrez la
commande configure terminal
Router(config)#
Configuration
interface
A partir du mode de configuration
Router(config-if)#
globale, tapez interface type numéro,
comme interface serial 0.
Accès à un matériel CISCO avec le lien console :
Lancez le programme HyperTerminal (Putty ou autre) et créez une connexion COM avec les paramètres par défaut
(bouton paramètres par défaut) : 9600 / 8 / None / 1 / None
Authentification :
Tapez enable pour entrer en mode privilégié. Aucun mot de passe n’a été défini pour l’instant (le cas échéant, tapez
cisco ou classe).
Router>enable
Router#
Suppression de l’ancienne configuration :
Commencez par effacer toute configuration existante (startup configuration)
Tapez erase startup-config puis confirmez.
Vous devez redémarrer le matériel afin d’effacer les éventuelles configurations résiduelles.
Tapez reload puis confirmez.
Une configuration de base pour un routeur ou un switch :
Entrez dans le mode de configuration globale pour modifier la configuration des routeurs.
Tapez configure terminal
Donner un nom au matériel
Vous allez donner un nom (host name) à votre matériel (Lyon1 ou Paris1).
Tapez hostname Lyon1
Sécurisation des accès (console, enable, telnet,…)
Afin d’empêcher n’importe qui de voir et modifier la configuration des routeurs/Swicths, il est nécessaire de définir
des mots de passe. Il y a 3 niveaux de mots de passe: mode utilisateur, mode privilégié (configuration), et pour l’accès
via telnet.
Le mot de passe du mode privilégié sera cisco.
Lyon1(config)#enable password cisco
Nous allons ajouter un niveau de sécurité supplémentaire en utilisant la commande de configuration globale enable
secret. Celle-ci permet de crypter le mot de passe.
Lyon1(config)#enable secret class
Page 1 sur 11
M. JATTI Aziz
Nous allons également donner un mot de passe pour l’accès telnet.
Tapez les commandes ci-dessous pour configurer le mot de passe telnet pour 5 sessions telnet simultanées vty 0 à 4.
Lyon1(config)#line vty 0 4
Lyon1(config-line)#password cisco
Lyon1(config-line)#login
Lyon1(config-line)#exit
Le terminal utilisé pour configurer le routeur ou le Switch est relié par le port console. Pour configurer les paramètres de la
ligne, tapez line console 0. Nous allons également attribuer un mot de passe pour l’accès par le port console
Lyon1(config)#line console 0
Lyon1(config-line)#password cisco
Lyon1(config-line)#login
Lyon1(config-line)#exit
Configuration SSH
Vérification de la prise en compte du protocole ssh par l'IOS
Switch#show version
Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(37)SE1, RELEASE
SOFTWARE (fc1)
Tout d'abord, il faut vérifier que l'IOS du switch supporte ssh. La mention k9 (crypto) doit figurer dans le
nom de l'IOS.
Configuration du nom d'hôte et du nom de domaine
sw(config)#hostname Dist-A.1
Dist-A.1(config)#ip domain-name ENTREPRISE.local
Création de la clé
Dist-A.1(config)#crypto key generate rsa
Préciser le nombre de bits de la clé (pour SSH v2, il faut une clé supérieure à 768 bits) :
How many bits in the modulus [512]: 1024
Activation de ssh
Dist-A.1(config)#ip ssh version 2
Ajout d'un compte administrateur (admin et password=sio2r)
Dist-A.1(config)#username admin secret sio2r
Création d’un mot de passe crypté pour l’accès ENABLE si vous ne l’avez pas fait auparavant :
Dist-A.1(config)#enable secret sio2r
Désactivation de telnet et redirection vers SSH
Dist-A.1(config)#line vty 0 15
Dist-A.1(config)#login local
Dist-A.1(config)#transport input ssh
Vérification de la configuration
Dist-A.1#show ip ssh
Sauvegarde de la configuration
Sauvez la configuration courante (running configuration) vers le fichier de configuration de démarrage (startup)
Lyon1#copy running-config startup-config
OU
Lyon1#write memory
Page 2 sur 11
M. JATTI Aziz
Afficher la configuration d’un routeur / switch
a. Afficher la configuration courante
Nom_A#show running-config
b. Afficher la configuration utilisée au démarrage
Nom_A#show startup-config
Page 3 sur 11
M. JATTI Aziz
Configuration de base d’un routeur
CISCO
Configuration des interfaces :
Exemple pour FastEthernet 0/0 :
Lyon1(config)#interface FastEthernet 0/0
Lyon1(config-if)#ip address 192.168.1.1 255.255.255.0
Lyon1(config-if)#no shutdown
Lorsque vous configurez des interfaces séries synchrones un clock rate doit être défini pour l’interface ETCD (DCE).
Exemple pour Serial 0/0
Lyon1(config)#interface Serial 0/0
Lyon1(config-if)#ip address 192.168.2.1 255.255.255.0
Lyon1(config-if)#clock rate 56000
Lyon1(config-if)#no shutdown
Sauvegarde de la configuration
Sauvez la configuration courante (running configuration) vers le fichier de configuration de démarrage (startup)
Lyon1#copy running-config startup-config
OU
Lyon1#write memory
Affichage de la configuration :
Visualisez la configuration courante
Lyon1#show running-config
Pour vérifier l’état des interfaces utilisons la commande show ip interface brief et vérifions le statut de
chacune d’elles.
Lyon1#show ip interface brief
Utilisez la commande show ip route, et regardez la table de routage IP
Lyon1#show ip route
Routage statique :
La commande pour ajouter une route distante :
Lyon1(config)#ip route [net_distant] [netmask] [gateway]
Exemple :
Lyon1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2
Ajouter la route par défaut :
Lyon1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254
Routage dynamique avec RIP Version 2 :
Lyon(config)#router rip
Lyon(config-router)# version 2
Lyon(config-router)#network 192.168.1.0
Lyon(config-router)#network 192.168.2.0
Page 4 sur 11
M. JATTI Aziz
Commandes de base pour CATALYST 2900
Configuration de base : Nom, adresse IP, protection
a. Connexion console au démarrage
b. Connexion en mode privilège
switch_A>enable
Password:
switch_A#
c. Suppression du fichier d’informations de la base de données :
Switch_A# delete flash:vlan.dat (attention ne pas faire « delete flash: » sans
préciser le fichier à supprimer. Le risque c’est de supprimer également l’IOS Cisco)
d. Suppression de la configuration de démarrage :
Switch_A# erase startup-config
Switch_A# reload
e. Entrer en mode configuration
switch_A#configure terminal
Enter configuration commands, one per line.
switch_A(config)#
End with CNTL/Z.
f. Changement du nom
switcher(config)#hostname switch_A
switch_A(config)#
g. Changement de l’adresse IP du switch
Mode configuration
switch_A#configure terminal
utiliser le vlan par défaut (vlan 1)
switch_A(config)#interface vlan 1
adresse du switch et son masque de sous réseau
switch_A(config-if)#ip address 192.168.0.1 255.255.255.0
Activer cette interface (l’interface virtuelle VLAN1) :
switch_A(config-if)#no shutdown
sortir de l’interface vlan 1
switch_A(config-if)#exit
Ajouter la passerelle par défaut pour le vlan 1
switch_A(config)#ip default-gateway 192.168.0.254
pour revenir en mode privilege
switch_A(config)#end
switch_A#
Pour sauvegarder la configuration
switch_A#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
switch_A#
h. Sécurisation des accès
Même commandes que les routeurs (Voir ci-dessus).
c.
d.
e.
f.
Accès console
Accès enable
Accès telnet
Accès http
i. Afficher la configuration du switch
g. Afficher la configuration courante
switch_A#show running-config
Page 5 sur 11
M. JATTI Aziz
h. Afficher la configuration utilisée au démarrage
switch_A#show startup-config
Gestion des VLANs
Création des VLANs
Création du vlan 200 dont le nom est service1
switch_A(config)#vlan 200
switch_A(config-vlan)#name service1
OU
switch_A#vlan database
switch_A(vlan)# vlan 200 name service1
sortir et enregistrer les vlan dans le fichier correspondant
switch_A(vlan)#exit
Remarque : la configuration des VLANs est sauvegardé dans le fichier vla.dat qui se trouve dans flash: (flash :vlan.dat)
Association des ports aux VLANs
Association d’un port à un VLAN :
switch_A#configure terminal
switch_A(config)#interface fastEthernet 0/2
switch_A(config-if)#switchport access vlan 200
Association d’une rangé de ports à un VLAN (exemple port 1 à 10 dans le VLAN
200) :
Switch_A(config)#interface range fastEthernet 0/1-10
Switch_A(config-if-range)#
Afficher les informations concernant les VLANs
switch_A#show vlan
OU
switch_A#show vlan brief
Création d’un lien Trunk (taggé)
Le port 24 est déclaré en tant que port Trunk
switch_A(config)#interface fastEthernet 0/24
switch_A(config-if)#switchport mode trunk
Création du domaine VTP et déclarer ce switch comme serveur
Le protocole VTP (Vlan Trunking Protocol) permet de propager la configuration VLAN vers tous les switchs qui
sont en mode vtp client à condition que les switchs sont connectés entre eux grâce à un lien TRUNK.
Configuration sur le switch Serveur :
Switch_A# vtp domain {nom_domaine}
Switch_A# vtp server
Switch_A# exit
Configuration à effectuer sur tous les switchs Clients :
Switch_X# vtp domain {nom_domaine}
Switch_X# vtp client
Switch_X# exit
Mise à jour d'un IOS
Avec un IOS déjà présent, la mise à jour se fait très simplement. Il faut commencer par configurer l'interface
auquel est relié le serveur :
Page 6 sur 11
M. JATTI Aziz
Router# configure terminal
Router(config)# interface FastEthernet 0
Router(config-if )# ip address 10.0.0.2 255.255.255.0
Router(config-if )# no shutdown
La mise à jour peut maintenant être commencée. Elle se déroule en trois étapes :
Effacement de la mémoire flash
Pour mettre un nouvel IOS, il faut effacer l’IOS car il n’y aura pas assez de place pour deux
IOS dans la majorité des cas. La commande est différente selon le modèle du routeur, la
version d’IOS chargé et le type de mémoire flash :
Router# format flash
ou
Router# copy /erase flash
ou
Router# erase flash
Envoi du nouvel IOS sur le router
L’envoi du nouveau fichier binaire se fait tout simplement grâce à la commande copy. En
effet, on copie l’IOS depuis le serveur TFPT vers la mémoire flash du routeur.
Router# copy tftp flash
Address or name of remote host []? 10.0.0.1
Source filename []? c180x-adventerprisek9-mz.124-4.T1.bin
Destination filename [c180x-adventerprisek9-mz.124-4.T1.bin]?
Une fois la commande validée, le routeur commence par nous demander l’adresse du poste où est hébergé le
serveur TFPT : 10.0.0.1 dans notre cas. Il veut ensuite le nom du fichier à télécharger. C’est le nom de l’IOS tel
qu’il est mit dans le dossier C:\TFTP-Root du serveur (c180x-adventerprisek9-mz.124-4.T1.bin)
La dernière question concerne le nom du fichier tel qu’il sera sur le routeur. Le routeur
propose par défaut le même nom. Il suffit de valider
Redémarrage du routeur
Router# reload
Une fois le routeur redémarré, on peut vérifier si la manipulation a marché avec la commande
show version. Elle nous indique quel IOS a été chargé.
Note : Si la mémoire flash a été corrompue, si la mise à jour ne s’est pas bien passée ou si le
nouvel IOS n’a pas assez de place pour ce décompressé le routeur démarrera en mode
ROMMON.
Page 7 sur 11
M. JATTI Aziz
Configuration du commutateur
Cisco CTALYST 3750
Ce commutateur est utilisé dans notre cas en tant que « cœur du réseau ». C’est un commutateur de niveau 3 c’est-à-dire
capable de faire du routage (notamment le routage inter-Vlan).
Exemple d’utilisation :
Vlan_Ressources
Réseau :
192.168.5.0/24
Répartiteur
Central
Lien Fibre taggé
Sw Central Niv 3
@IP : 192.168.0.250/24
1
3
5
7
9
11
13
15
17
19
21
23
2
4
6
8
10
12
14
16
18
20
22
24
CATALYST 3550
1
Lien Cuivre 1Gbps
2
SYSTEM
RPS
STAT
UTIL
DUPLEX
SPEED
1
2
3
4
5
6
7
8
1X
SYST
RPS
MASTR
STAT
DUPLX
SPEED
9
10
11
13
12
11X
13X
12X
14X
14
15
16
17
18
19
20
21
22
23
Catalyst 2960 SERIES
24
23X
1
2X
2
24X
MODE
Répartiteur B
Commutateur_1
@IP : 192.168.0.251
1
2
3
4
5
6
7
1
9
10
11
13
12
11X
14
15
16
17
18
19
20
21
22
13X
23
Catalyst 2960 SERIES
24
12X
14X
3
4
5
6
7
8
9
10
11
13
12
11X
13X
12X
14X
14
15
16
17
18
19
20
21
22
23
Catalyst 2960 SERIES
24
23X
1
2X
24X
2
Répartiteur A
MODE
23X
1
2X
2
1X
SYST
RPS
MASTR
STAT
DUPLX
SPEED
8
1X
SYST
RPS
MASTR
STAT
DUPLX
SPEED
Commutateur_3
@IP : 192.168.0.253
Commutateur_2
@IP : 192.168.0.252
2
24X
MODE
Borne WiFi
Vlan_Reso
@192.168.1.0/24
Vlan_Admin
@192.168.2.0/24
Vlan_Dev
@192.168.3.0/24
Vlan_Wifi
@192.168.6.0/24
Vlan_Dev
@192.168.3.0/24
Vlan_Reso
@192.168.1.0/24
Vlan_Admin
@192.168.2.0/24
Vlan_Wifi
@192.168.6.0/24
Configuration:
Configuration du Vlan 1 (vlan de gestion par défaut) @ IP du switch
coeur(config)#interface vlan 1
coeur(config-if)#
!−−− This is the IP address for management.
coeur(config-if)#ip address 192.168.0.254 255.255.255.0
coeur(config-if)#ip no shutdown
création des Vlan
Exemple :
coeur(config)#vlan 16
coeur(config-vlan)#name INTERNET
coeur(config-vlan)#exit
coeur(config)#vlan 32
coeur(config-vlan)#name RESSOURCES
coeur(config-vlan)#exit
Remarque : Il faut créer tous les VLANs de l’entreprise dans le commutateur central même quand il n’y a aucun port assigné
à ces VLAN. Parce que ce commutateur doit faire le routage inter-vlan ou pour les propager aux autres commutateurs via le
protocole VTP.
Ajout des ports dans les VLANs
a. Ajout d’un port
coeur(config)#interface fastethernet 1/0/1
coeur(config−if)#switchport access vlan 16
b. Ajout d’une série de ports
coeur(config)#interface range fastEthernet 0/11-20
coeur(config−if−range)#switchport access vlan 16
coeur(config−if−range)#switchport mode access
Page 8 sur 11
M. JATTI Aziz
configuration du port 25 et 26 (connexion avec les deux répartiteurs : les liens Trunk)
coeur(config)#interface GigabitEthernet 1/0/25
coeur(config−if)#switchport trunk encapsulation dot1q
coeur(config−if)#switchport mode trunk
coeur(config)#interface GigabitEthernet 1/0/26
coeur(config−if)#switchport trunk encapsulation dot1q
coeur(config−if)#switchport mode trunk
Remarque : par défaut, les ports sont en auto. S’ils sont connectés
directement à un autre commutateur, ils se mettront automatiquement en mode
TRUNK.
configuration du routage inter-vlan
Le principe est simple : chaque VLAN doit avoir sa propre passerelle par défaut. Etant donné que c’est un
découpage virtuel, nous allons créer logiciellement une passerelle (geteway) par VLAN.
Syntaxe : interface VLAN xxx
Puis, nous pouvons lui appliquer toute les commandes classiques d’une interface physique. Cette interface jouera
le rôle de la passerelle par défaut du VLAN xxx.
1. Configuration de l’interface virtuelle pour le VLAN 16
Cette interface virtuelle va jouer le rôle de la passerelle par défaut de tous les terminaux du VLAN 16.
coeur#configure terminal
coeur(config)#interface vlan 16
coeur(config−if)#ip address 192.168.16.254 255.255.255.0
2. Configuration de l’interface virtuelle pour le VLAN 32
coeur#configure terminal
coeur(config)#interface Vlan 32
coeur(config−if)#ip address 192.168.32.254 255.255.255.0
3. Activation de la fonction routage sur le switch niv. 3
Coeur(config)#ip routing
4. Utilisation du switch comme un routeur
On peut transformer un switch comme routeur classique c’est-à-dire un port quelconque du switch sera adressé comme un port
d’un routeur et jouera le rôle de la passerelle par défaut.
Exemple : L’interface 24 se transformera en interface de routeur grâce à la commande : no switchport + attribution d’une
adresse IP
interface FastEthernet 0/24
no switchport
ip address 192.168.2.254 255.255.255.0
Remarque :
Il faut refaire l’opération pour tous les VLANs de l’entreprise (ou ceux qu’on souhaite router).
Si le switch est relié à un routeur pour accéder à internet, il faut configurer la passerelle par défaut pour tous les
VLANs : Si le routeur internet possède l'adresse 192.168.16.253
Ajouter la route par défaut :
coeur(config)#ip route 0.0.0.0 0.0.0.0 192.168.16.253
Puis connecter le routeur internet sur le VLAN adéquat.
Configuration du relais DHCP
Nous plaçons un serveur DHCP dans le VLAN RESSOURCES. Le rôle de ce serveur est d’attribuer des adresses IP sur tous
les VLANs. Étant donné que chaque VLAN est un domaine de diffusion, il faut activer le relais DHCP sur le switch niveau 3.
Le serveur DHCP doit disposer d’autant d’étendues DHCP que de VLAN.
La commande pour activer le relais DHCP pour les clients du VLAN 2 est la suivante :
Page 9 sur 11
M. JATTI Aziz
coeur(config)#interface Vlan 16
coeur(config-if)#ip helper-address 192.168.32.67
Avec 192.168.32.67 l’adresse du serveur DHCP qui se trouve dans le VLAN ressources.
Cette commande est à exécuter dans chaque interface VLAN pour que ces interfaces virtuelles puissent relayer la requête
DHCP DISCOVER vers le serveur DHCP qui écoute sur le port 67.
Configuration des ACL :
Il existe 3 types d’ACL Cisco :
- ACL Standards : ne contient que l’adresse source et la permission (deny/permit)
access-list <#ACL> {permit/deny} <@IP source> <masque>
-
ACL Etendues : contient l’@ et le port source, l’@ et le port de destination et la permission
access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque>
[port] <@IPdest> <masque> [port] [established]
-
ACL Nommées : peut être une ACL standard nommée ou étendue nommée (le nom doit être évocateur du rôle de
l’ACL).
Ex
ip access-list standard Internet
Coeur(config-std-nacl)#
Exemple : Autoriser le VLAN Wifi à accéder uniquement au serveur Proxy et DHCP.
VLAN Wifi : 192.168.6.0/24
VLAN Ressources : 192.168.5.0/24
@ IP Serveur DHCP : 192.168.5.67
@ IP Serveur PROXY : 192.168.5.80
Phase 1 : Création de l’ACL (ou des listes) :
En mode configuration :
access-list 101 permit tcp 192.168.6.0 0.0.0.255 host 192.168.5.67 eq 67
access-list 101 permit tcp 192.168.6.0 0.0.0.255 host 192.168.5.80 eq 3128
access-list 101 deny any any
Phase 2 : Application de l’ACL à une interface (activation)
Coeur(config)#interface vlan 6
Coeur(config-if)#ip access-group 101 out
Activer SSL / Telenet
Vérification de la prise en compte du protocole ssh par l'IOS
Switch#show version
Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(37)SE1, RELEASE
SOFTWARE (fc1)
Tout d'abord, il faut vérifier que l'IOS du switch supporte ssh. La mention k9 (crypto) doit figurer dans le
nom de l'IOS.
Configuration du nom d'hôte et du nom de domaine
sw(config)#hostname Dist-A.1
Dist-A.1(config)#ip domain-name ENTREPRISE.local
Création de la clé
Dist-A.1(config)#crypto key generate rsa
Page 10 sur 11
M. JATTI Aziz
Préciser le nombre de bits de la clé (pour SSH v2, il faut une clé supérieure à 768 bits) :
How many bits in the modulus [512]: 1024
Activation de ssh
Dist-A.1(config)#ip ssh version 2
Ajout d'un compte administrateur (admin et password=xxxxxxx)
Dist-A.1(config)#username admin secret xxxxxxx
Création d’un mot de passe crypté pour l’accès ENABLE si vous ne l’avez pas fait auparavant :
Dist-A.1(config)#enable secret xxxxxxx
Désactivation/Activation de telnet et SSH
Dist-A.1(config)#line vty 0 15
Dist-A.1(config)#login local
Dist-A.1(config)#transport input ssh (Ici SSH mais vous pouvez activer l’un ou
l’autre ou les deux).
Vérification de la configuration
Dist-A.1#show ip ssh
1. Autoriser les accès VTY (Telnet / SSH) uniquement du réseau 192.168.17.0
(config)#access-list 2 permit 192.168.17.0 0.0.0.255
(config)#line vty 0 15
(config-line)#access-class 2 in
(config-line)#end
2. Limiter le nombre d’adresses MAC par port
(config)#interface range Fa 0/1 -24
(config-range)#switchport port-security maximum 1
Ici on limite à un terminal par port.
Page 11 sur 11
