Annexe 1 : Commandes de base pour CATALYST 2900
Transcription
Annexe 1 : Commandes de base pour CATALYST 2900
M. JATTI Aziz Commandes de base CLI CISCO Principes des commandes CLI Cisco Mode de commandes Prompt du routeur affiché Se connecter Router> A partir du mode utilisateur, entrez la Router# commande enable Mode de commande Méthode d’accès Méthode de sortie Mode utilisateur Mode Privilégié La commande logout. Pour retourner dans le mode utilisateur, utilisez la commande disable, exit ou logout. Pour retourner dans le mode Privilégié, utilisez la commande exit ou end ou tapez Ctrl+z. Pour retourner dans le mode Configuration globale, utilisez la commande exit. Configuration Globale A partir du mode Privilégié, entrez la commande configure terminal Router(config)# Configuration interface A partir du mode de configuration Router(config-if)# globale, tapez interface type numéro, comme interface serial 0. Accès à un matériel CISCO avec le lien console : Lancez le programme HyperTerminal (Putty ou autre) et créez une connexion COM avec les paramètres par défaut (bouton paramètres par défaut) : 9600 / 8 / None / 1 / None Authentification : Tapez enable pour entrer en mode privilégié. Aucun mot de passe n’a été défini pour l’instant (le cas échéant, tapez cisco ou classe). Router>enable Router# Suppression de l’ancienne configuration : Commencez par effacer toute configuration existante (startup configuration) Tapez erase startup-config puis confirmez. Vous devez redémarrer le matériel afin d’effacer les éventuelles configurations résiduelles. Tapez reload puis confirmez. Une configuration de base pour un routeur ou un switch : Entrez dans le mode de configuration globale pour modifier la configuration des routeurs. Tapez configure terminal Donner un nom au matériel Vous allez donner un nom (host name) à votre matériel (Lyon1 ou Paris1). Tapez hostname Lyon1 Sécurisation des accès (console, enable, telnet,…) Afin d’empêcher n’importe qui de voir et modifier la configuration des routeurs/Swicths, il est nécessaire de définir des mots de passe. Il y a 3 niveaux de mots de passe: mode utilisateur, mode privilégié (configuration), et pour l’accès via telnet. Le mot de passe du mode privilégié sera cisco. Lyon1(config)#enable password cisco Nous allons ajouter un niveau de sécurité supplémentaire en utilisant la commande de configuration globale enable secret. Celle-ci permet de crypter le mot de passe. Lyon1(config)#enable secret class Page 1 sur 11 M. JATTI Aziz Nous allons également donner un mot de passe pour l’accès telnet. Tapez les commandes ci-dessous pour configurer le mot de passe telnet pour 5 sessions telnet simultanées vty 0 à 4. Lyon1(config)#line vty 0 4 Lyon1(config-line)#password cisco Lyon1(config-line)#login Lyon1(config-line)#exit Le terminal utilisé pour configurer le routeur ou le Switch est relié par le port console. Pour configurer les paramètres de la ligne, tapez line console 0. Nous allons également attribuer un mot de passe pour l’accès par le port console Lyon1(config)#line console 0 Lyon1(config-line)#password cisco Lyon1(config-line)#login Lyon1(config-line)#exit Configuration SSH Vérification de la prise en compte du protocole ssh par l'IOS Switch#show version Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(37)SE1, RELEASE SOFTWARE (fc1) Tout d'abord, il faut vérifier que l'IOS du switch supporte ssh. La mention k9 (crypto) doit figurer dans le nom de l'IOS. Configuration du nom d'hôte et du nom de domaine sw(config)#hostname Dist-A.1 Dist-A.1(config)#ip domain-name ENTREPRISE.local Création de la clé Dist-A.1(config)#crypto key generate rsa Préciser le nombre de bits de la clé (pour SSH v2, il faut une clé supérieure à 768 bits) : How many bits in the modulus [512]: 1024 Activation de ssh Dist-A.1(config)#ip ssh version 2 Ajout d'un compte administrateur (admin et password=sio2r) Dist-A.1(config)#username admin secret sio2r Création d’un mot de passe crypté pour l’accès ENABLE si vous ne l’avez pas fait auparavant : Dist-A.1(config)#enable secret sio2r Désactivation de telnet et redirection vers SSH Dist-A.1(config)#line vty 0 15 Dist-A.1(config)#login local Dist-A.1(config)#transport input ssh Vérification de la configuration Dist-A.1#show ip ssh Sauvegarde de la configuration Sauvez la configuration courante (running configuration) vers le fichier de configuration de démarrage (startup) Lyon1#copy running-config startup-config OU Lyon1#write memory Page 2 sur 11 M. JATTI Aziz Afficher la configuration d’un routeur / switch a. Afficher la configuration courante Nom_A#show running-config b. Afficher la configuration utilisée au démarrage Nom_A#show startup-config Page 3 sur 11 M. JATTI Aziz Configuration de base d’un routeur CISCO Configuration des interfaces : Exemple pour FastEthernet 0/0 : Lyon1(config)#interface FastEthernet 0/0 Lyon1(config-if)#ip address 192.168.1.1 255.255.255.0 Lyon1(config-if)#no shutdown Lorsque vous configurez des interfaces séries synchrones un clock rate doit être défini pour l’interface ETCD (DCE). Exemple pour Serial 0/0 Lyon1(config)#interface Serial 0/0 Lyon1(config-if)#ip address 192.168.2.1 255.255.255.0 Lyon1(config-if)#clock rate 56000 Lyon1(config-if)#no shutdown Sauvegarde de la configuration Sauvez la configuration courante (running configuration) vers le fichier de configuration de démarrage (startup) Lyon1#copy running-config startup-config OU Lyon1#write memory Affichage de la configuration : Visualisez la configuration courante Lyon1#show running-config Pour vérifier l’état des interfaces utilisons la commande show ip interface brief et vérifions le statut de chacune d’elles. Lyon1#show ip interface brief Utilisez la commande show ip route, et regardez la table de routage IP Lyon1#show ip route Routage statique : La commande pour ajouter une route distante : Lyon1(config)#ip route [net_distant] [netmask] [gateway] Exemple : Lyon1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2 Ajouter la route par défaut : Lyon1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 Routage dynamique avec RIP Version 2 : Lyon(config)#router rip Lyon(config-router)# version 2 Lyon(config-router)#network 192.168.1.0 Lyon(config-router)#network 192.168.2.0 Page 4 sur 11 M. JATTI Aziz Commandes de base pour CATALYST 2900 Configuration de base : Nom, adresse IP, protection a. Connexion console au démarrage b. Connexion en mode privilège switch_A>enable Password: switch_A# c. Suppression du fichier d’informations de la base de données : Switch_A# delete flash:vlan.dat (attention ne pas faire « delete flash: » sans préciser le fichier à supprimer. Le risque c’est de supprimer également l’IOS Cisco) d. Suppression de la configuration de démarrage : Switch_A# erase startup-config Switch_A# reload e. Entrer en mode configuration switch_A#configure terminal Enter configuration commands, one per line. switch_A(config)# End with CNTL/Z. f. Changement du nom switcher(config)#hostname switch_A switch_A(config)# g. Changement de l’adresse IP du switch Mode configuration switch_A#configure terminal utiliser le vlan par défaut (vlan 1) switch_A(config)#interface vlan 1 adresse du switch et son masque de sous réseau switch_A(config-if)#ip address 192.168.0.1 255.255.255.0 Activer cette interface (l’interface virtuelle VLAN1) : switch_A(config-if)#no shutdown sortir de l’interface vlan 1 switch_A(config-if)#exit Ajouter la passerelle par défaut pour le vlan 1 switch_A(config)#ip default-gateway 192.168.0.254 pour revenir en mode privilege switch_A(config)#end switch_A# Pour sauvegarder la configuration switch_A#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] switch_A# h. Sécurisation des accès Même commandes que les routeurs (Voir ci-dessus). c. d. e. f. Accès console Accès enable Accès telnet Accès http i. Afficher la configuration du switch g. Afficher la configuration courante switch_A#show running-config Page 5 sur 11 M. JATTI Aziz h. Afficher la configuration utilisée au démarrage switch_A#show startup-config Gestion des VLANs Création des VLANs Création du vlan 200 dont le nom est service1 switch_A(config)#vlan 200 switch_A(config-vlan)#name service1 OU switch_A#vlan database switch_A(vlan)# vlan 200 name service1 sortir et enregistrer les vlan dans le fichier correspondant switch_A(vlan)#exit Remarque : la configuration des VLANs est sauvegardé dans le fichier vla.dat qui se trouve dans flash: (flash :vlan.dat) Association des ports aux VLANs Association d’un port à un VLAN : switch_A#configure terminal switch_A(config)#interface fastEthernet 0/2 switch_A(config-if)#switchport access vlan 200 Association d’une rangé de ports à un VLAN (exemple port 1 à 10 dans le VLAN 200) : Switch_A(config)#interface range fastEthernet 0/1-10 Switch_A(config-if-range)# Afficher les informations concernant les VLANs switch_A#show vlan OU switch_A#show vlan brief Création d’un lien Trunk (taggé) Le port 24 est déclaré en tant que port Trunk switch_A(config)#interface fastEthernet 0/24 switch_A(config-if)#switchport mode trunk Création du domaine VTP et déclarer ce switch comme serveur Le protocole VTP (Vlan Trunking Protocol) permet de propager la configuration VLAN vers tous les switchs qui sont en mode vtp client à condition que les switchs sont connectés entre eux grâce à un lien TRUNK. Configuration sur le switch Serveur : Switch_A# vtp domain {nom_domaine} Switch_A# vtp server Switch_A# exit Configuration à effectuer sur tous les switchs Clients : Switch_X# vtp domain {nom_domaine} Switch_X# vtp client Switch_X# exit Mise à jour d'un IOS Avec un IOS déjà présent, la mise à jour se fait très simplement. Il faut commencer par configurer l'interface auquel est relié le serveur : Page 6 sur 11 M. JATTI Aziz Router# configure terminal Router(config)# interface FastEthernet 0 Router(config-if )# ip address 10.0.0.2 255.255.255.0 Router(config-if )# no shutdown La mise à jour peut maintenant être commencée. Elle se déroule en trois étapes : Effacement de la mémoire flash Pour mettre un nouvel IOS, il faut effacer l’IOS car il n’y aura pas assez de place pour deux IOS dans la majorité des cas. La commande est différente selon le modèle du routeur, la version d’IOS chargé et le type de mémoire flash : Router# format flash ou Router# copy /erase flash ou Router# erase flash Envoi du nouvel IOS sur le router L’envoi du nouveau fichier binaire se fait tout simplement grâce à la commande copy. En effet, on copie l’IOS depuis le serveur TFPT vers la mémoire flash du routeur. Router# copy tftp flash Address or name of remote host []? 10.0.0.1 Source filename []? c180x-adventerprisek9-mz.124-4.T1.bin Destination filename [c180x-adventerprisek9-mz.124-4.T1.bin]? Une fois la commande validée, le routeur commence par nous demander l’adresse du poste où est hébergé le serveur TFPT : 10.0.0.1 dans notre cas. Il veut ensuite le nom du fichier à télécharger. C’est le nom de l’IOS tel qu’il est mit dans le dossier C:\TFTP-Root du serveur (c180x-adventerprisek9-mz.124-4.T1.bin) La dernière question concerne le nom du fichier tel qu’il sera sur le routeur. Le routeur propose par défaut le même nom. Il suffit de valider Redémarrage du routeur Router# reload Une fois le routeur redémarré, on peut vérifier si la manipulation a marché avec la commande show version. Elle nous indique quel IOS a été chargé. Note : Si la mémoire flash a été corrompue, si la mise à jour ne s’est pas bien passée ou si le nouvel IOS n’a pas assez de place pour ce décompressé le routeur démarrera en mode ROMMON. Page 7 sur 11 M. JATTI Aziz Configuration du commutateur Cisco CTALYST 3750 Ce commutateur est utilisé dans notre cas en tant que « cœur du réseau ». C’est un commutateur de niveau 3 c’est-à-dire capable de faire du routage (notamment le routage inter-Vlan). Exemple d’utilisation : Vlan_Ressources Réseau : 192.168.5.0/24 Répartiteur Central Lien Fibre taggé Sw Central Niv 3 @IP : 192.168.0.250/24 1 3 5 7 9 11 13 15 17 19 21 23 2 4 6 8 10 12 14 16 18 20 22 24 CATALYST 3550 1 Lien Cuivre 1Gbps 2 SYSTEM RPS STAT UTIL DUPLEX SPEED 1 2 3 4 5 6 7 8 1X SYST RPS MASTR STAT DUPLX SPEED 9 10 11 13 12 11X 13X 12X 14X 14 15 16 17 18 19 20 21 22 23 Catalyst 2960 SERIES 24 23X 1 2X 2 24X MODE Répartiteur B Commutateur_1 @IP : 192.168.0.251 1 2 3 4 5 6 7 1 9 10 11 13 12 11X 14 15 16 17 18 19 20 21 22 13X 23 Catalyst 2960 SERIES 24 12X 14X 3 4 5 6 7 8 9 10 11 13 12 11X 13X 12X 14X 14 15 16 17 18 19 20 21 22 23 Catalyst 2960 SERIES 24 23X 1 2X 24X 2 Répartiteur A MODE 23X 1 2X 2 1X SYST RPS MASTR STAT DUPLX SPEED 8 1X SYST RPS MASTR STAT DUPLX SPEED Commutateur_3 @IP : 192.168.0.253 Commutateur_2 @IP : 192.168.0.252 2 24X MODE Borne WiFi Vlan_Reso @192.168.1.0/24 Vlan_Admin @192.168.2.0/24 Vlan_Dev @192.168.3.0/24 Vlan_Wifi @192.168.6.0/24 Vlan_Dev @192.168.3.0/24 Vlan_Reso @192.168.1.0/24 Vlan_Admin @192.168.2.0/24 Vlan_Wifi @192.168.6.0/24 Configuration: Configuration du Vlan 1 (vlan de gestion par défaut) @ IP du switch coeur(config)#interface vlan 1 coeur(config-if)# !−−− This is the IP address for management. coeur(config-if)#ip address 192.168.0.254 255.255.255.0 coeur(config-if)#ip no shutdown création des Vlan Exemple : coeur(config)#vlan 16 coeur(config-vlan)#name INTERNET coeur(config-vlan)#exit coeur(config)#vlan 32 coeur(config-vlan)#name RESSOURCES coeur(config-vlan)#exit Remarque : Il faut créer tous les VLANs de l’entreprise dans le commutateur central même quand il n’y a aucun port assigné à ces VLAN. Parce que ce commutateur doit faire le routage inter-vlan ou pour les propager aux autres commutateurs via le protocole VTP. Ajout des ports dans les VLANs a. Ajout d’un port coeur(config)#interface fastethernet 1/0/1 coeur(config−if)#switchport access vlan 16 b. Ajout d’une série de ports coeur(config)#interface range fastEthernet 0/11-20 coeur(config−if−range)#switchport access vlan 16 coeur(config−if−range)#switchport mode access Page 8 sur 11 M. JATTI Aziz configuration du port 25 et 26 (connexion avec les deux répartiteurs : les liens Trunk) coeur(config)#interface GigabitEthernet 1/0/25 coeur(config−if)#switchport trunk encapsulation dot1q coeur(config−if)#switchport mode trunk coeur(config)#interface GigabitEthernet 1/0/26 coeur(config−if)#switchport trunk encapsulation dot1q coeur(config−if)#switchport mode trunk Remarque : par défaut, les ports sont en auto. S’ils sont connectés directement à un autre commutateur, ils se mettront automatiquement en mode TRUNK. configuration du routage inter-vlan Le principe est simple : chaque VLAN doit avoir sa propre passerelle par défaut. Etant donné que c’est un découpage virtuel, nous allons créer logiciellement une passerelle (geteway) par VLAN. Syntaxe : interface VLAN xxx Puis, nous pouvons lui appliquer toute les commandes classiques d’une interface physique. Cette interface jouera le rôle de la passerelle par défaut du VLAN xxx. 1. Configuration de l’interface virtuelle pour le VLAN 16 Cette interface virtuelle va jouer le rôle de la passerelle par défaut de tous les terminaux du VLAN 16. coeur#configure terminal coeur(config)#interface vlan 16 coeur(config−if)#ip address 192.168.16.254 255.255.255.0 2. Configuration de l’interface virtuelle pour le VLAN 32 coeur#configure terminal coeur(config)#interface Vlan 32 coeur(config−if)#ip address 192.168.32.254 255.255.255.0 3. Activation de la fonction routage sur le switch niv. 3 Coeur(config)#ip routing 4. Utilisation du switch comme un routeur On peut transformer un switch comme routeur classique c’est-à-dire un port quelconque du switch sera adressé comme un port d’un routeur et jouera le rôle de la passerelle par défaut. Exemple : L’interface 24 se transformera en interface de routeur grâce à la commande : no switchport + attribution d’une adresse IP interface FastEthernet 0/24 no switchport ip address 192.168.2.254 255.255.255.0 Remarque : Il faut refaire l’opération pour tous les VLANs de l’entreprise (ou ceux qu’on souhaite router). Si le switch est relié à un routeur pour accéder à internet, il faut configurer la passerelle par défaut pour tous les VLANs : Si le routeur internet possède l'adresse 192.168.16.253 Ajouter la route par défaut : coeur(config)#ip route 0.0.0.0 0.0.0.0 192.168.16.253 Puis connecter le routeur internet sur le VLAN adéquat. Configuration du relais DHCP Nous plaçons un serveur DHCP dans le VLAN RESSOURCES. Le rôle de ce serveur est d’attribuer des adresses IP sur tous les VLANs. Étant donné que chaque VLAN est un domaine de diffusion, il faut activer le relais DHCP sur le switch niveau 3. Le serveur DHCP doit disposer d’autant d’étendues DHCP que de VLAN. La commande pour activer le relais DHCP pour les clients du VLAN 2 est la suivante : Page 9 sur 11 M. JATTI Aziz coeur(config)#interface Vlan 16 coeur(config-if)#ip helper-address 192.168.32.67 Avec 192.168.32.67 l’adresse du serveur DHCP qui se trouve dans le VLAN ressources. Cette commande est à exécuter dans chaque interface VLAN pour que ces interfaces virtuelles puissent relayer la requête DHCP DISCOVER vers le serveur DHCP qui écoute sur le port 67. Configuration des ACL : Il existe 3 types d’ACL Cisco : - ACL Standards : ne contient que l’adresse source et la permission (deny/permit) access-list <#ACL> {permit/deny} <@IP source> <masque> - ACL Etendues : contient l’@ et le port source, l’@ et le port de destination et la permission access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque> [port] <@IPdest> <masque> [port] [established] - ACL Nommées : peut être une ACL standard nommée ou étendue nommée (le nom doit être évocateur du rôle de l’ACL). Ex ip access-list standard Internet Coeur(config-std-nacl)# Exemple : Autoriser le VLAN Wifi à accéder uniquement au serveur Proxy et DHCP. VLAN Wifi : 192.168.6.0/24 VLAN Ressources : 192.168.5.0/24 @ IP Serveur DHCP : 192.168.5.67 @ IP Serveur PROXY : 192.168.5.80 Phase 1 : Création de l’ACL (ou des listes) : En mode configuration : access-list 101 permit tcp 192.168.6.0 0.0.0.255 host 192.168.5.67 eq 67 access-list 101 permit tcp 192.168.6.0 0.0.0.255 host 192.168.5.80 eq 3128 access-list 101 deny any any Phase 2 : Application de l’ACL à une interface (activation) Coeur(config)#interface vlan 6 Coeur(config-if)#ip access-group 101 out Activer SSL / Telenet Vérification de la prise en compte du protocole ssh par l'IOS Switch#show version Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(37)SE1, RELEASE SOFTWARE (fc1) Tout d'abord, il faut vérifier que l'IOS du switch supporte ssh. La mention k9 (crypto) doit figurer dans le nom de l'IOS. Configuration du nom d'hôte et du nom de domaine sw(config)#hostname Dist-A.1 Dist-A.1(config)#ip domain-name ENTREPRISE.local Création de la clé Dist-A.1(config)#crypto key generate rsa Page 10 sur 11 M. JATTI Aziz Préciser le nombre de bits de la clé (pour SSH v2, il faut une clé supérieure à 768 bits) : How many bits in the modulus [512]: 1024 Activation de ssh Dist-A.1(config)#ip ssh version 2 Ajout d'un compte administrateur (admin et password=xxxxxxx) Dist-A.1(config)#username admin secret xxxxxxx Création d’un mot de passe crypté pour l’accès ENABLE si vous ne l’avez pas fait auparavant : Dist-A.1(config)#enable secret xxxxxxx Désactivation/Activation de telnet et SSH Dist-A.1(config)#line vty 0 15 Dist-A.1(config)#login local Dist-A.1(config)#transport input ssh (Ici SSH mais vous pouvez activer l’un ou l’autre ou les deux). Vérification de la configuration Dist-A.1#show ip ssh 1. Autoriser les accès VTY (Telnet / SSH) uniquement du réseau 192.168.17.0 (config)#access-list 2 permit 192.168.17.0 0.0.0.255 (config)#line vty 0 15 (config-line)#access-class 2 in (config-line)#end 2. Limiter le nombre d’adresses MAC par port (config)#interface range Fa 0/1 -24 (config-range)#switchport port-security maximum 1 Ici on limite à un terminal par port. Page 11 sur 11