Modes IOS — navigation & raccourcis›
Hiérarchie des modes
| Prompt | Mode | Accès |
|---|---|---|
| Router> | Mode utilisateur | Démarrage |
| Router# | Mode privilégié (Enable) | enable |
| Router(config)# | Configuration globale | configure terminal |
| Router(config-if)# | Configuration interface | interface Gi0/0 |
| Router(config-router)# | Configuration routage | router ospf 1 |
| Router(config-line)# | Configuration ligne | line vty 0 4 |
Raccourcis et commandes de navigation
exit ! Remonter d'un niveau end (ou Ctrl+Z) ! Retour direct au mode privilégié do show ... ! Exécuter une commande show depuis n'importe quel mode ? ! Aide contextuelle Tab ! Auto-complétion Ctrl+C ! Interrompre une commande no commande ! Annuler une commande
Sauvegarder la configuration
copy running-config startup-config ! Sauvegarde permanente write memory ! Alias équivalent show running-config ! Config active show startup-config ! Config au démarrage
Routeur 2921 — configuration de base›
enable configure terminal ! Nom et mots de passe hostname R1 enable secret Cisco@2921 ! MDP mode privilégié (chiffré) service password-encryption ! Chiffre tous les MDP en clair ! Console line console 0 password Cisco123 login logging synchronous ! Évite que les logs coupent la saisie exec-timeout 10 0 ! Déconnexion après 10 min ! VTY (Telnet/SSH) line vty 0 4 password Cisco123 login local ! Utilise la base locale (username) transport input ssh ! SSH uniquement, pas Telnet exec-timeout 10 0 ! Utilisateur local username admin privilege 15 secret Admin@2921 ! Bannière d'avertissement banner motd # !! Accès réservé au personnel autorisé !! !! Toute connexion non autorisée est interdite !! # ! Désactiver la résolution DNS (évite les longs timeouts) no ip domain-lookup end copy running-config startup-config
Routeur 2921 — interfaces & sous-interfaces›
Interface physique
interface GigabitEthernet0/0 description LAN_Vers_Switch ip address 192.168.1.1 255.255.255.0 no shutdown ! Activer l'interface (désactivée par défaut) duplex auto speed auto interface GigabitEthernet0/1 description WAN_Vers_Internet ip address 10.0.0.1 255.255.255.252 no shutdown
Sous-interfaces (Router-on-a-Stick pour inter-VLAN)
interface GigabitEthernet0/0 no ip address no shutdown interface GigabitEthernet0/0.10 encapsulation dot1Q 10 ! VLAN 10 ip address 192.168.10.1 255.255.255.0 description VLAN10_SERVERS interface GigabitEthernet0/0.20 encapsulation dot1Q 20 ! VLAN 20 ip address 192.168.20.1 255.255.255.0 description VLAN20_USERS interface GigabitEthernet0/0.99 encapsulation dot1Q 99 native ! VLAN natif description VLAN_MANAGEMENT
Vérification
show ip interface brief ! Statut résumé de toutes les interfaces show interfaces GigabitEthernet0/0 ! Détails d'une interface show interfaces status ! Statut physique
Routeur 2921 — routage statique & OSPF›
Routes statiques
! Route par défaut (vers Internet) ip route 0.0.0.0 0.0.0.0 10.0.0.2 ! Route statique classique ip route 192.168.2.0 255.255.255.0 10.0.0.2 ! Route flottante (backup, AD=150 > AD OSPF=110) ip route 192.168.2.0 255.255.255.0 10.0.0.6 150 show ip route ! Table de routage complète show ip route static ! Routes statiques uniquement
OSPF (protocole de routage dynamique)
router ospf 1 router-id 1.1.1.1 ! ID unique par routeur network 192.168.1.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 10.0.0.0 0.0.0.3 area 0 passive-interface GigabitEthernet0/0 ! Pas d'annonces OSPF vers les hôtes default-information originate ! Redistribuer la route par défaut ! Priorité OSPF sur une interface (pour élire le DR) interface GigabitEthernet0/1 ip ospf priority 100 ! 0 = jamais DR/BDR show ip ospf neighbor ! Voisins OSPF show ip ospf ! Informations OSPF show ip route ospf ! Routes apprises par OSPF
Routeur 2921 — DHCP & NAT/PAT›
Serveur DHCP
! Exclure les adresses statiques ip dhcp excluded-address 192.168.1.1 192.168.1.20 ! Pool DHCP ip dhcp pool LAN_POOL network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 8.8.8.8 1.1.1.1 lease 7 ! Durée du bail : 7 jours domain-name monentreprise.local ip dhcp pool VLAN10 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 192.168.1.53 lease 1 show ip dhcp binding ! Baux actifs show ip dhcp pool ! Statistiques des pools
NAT/PAT (overload)
! Définir les interfaces inside/outside interface GigabitEthernet0/0 ip nat inside interface GigabitEthernet0/1 ip nat outside ! ACL qui définit les adresses à translater access-list 1 permit 192.168.0.0 0.0.255.255 ! Activer PAT (overload = plusieurs IPs privées → 1 IP publique) ip nat inside source list 1 interface GigabitEthernet0/1 overload ! NAT statique (pour exposer un serveur) ip nat inside source static 192.168.1.100 203.0.113.100 show ip nat translations ! Table NAT active show ip nat statistics ! Statistiques NAT clear ip nat translation * ! Vider la table NAT
Routeur 2921 — ACL (listes de contrôle d'accès)›
ACL standard (filtre sur IP source uniquement)
access-list 10 permit 192.168.1.0 0.0.0.255 ! Autoriser subnet access-list 10 deny any ! Refuser le reste (implicite) interface GigabitEthernet0/1 ip access-group 10 out ! Appliquer en sortie ! Règle : Standard ACL = proche de la DESTINATION
ACL étendue (filtre sur source, destination, port, protocole)
! ACL numérotée étendue access-list 100 remark Autoriser HTTP et HTTPS depuis LAN access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80 access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443 access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 53 access-list 100 permit udp 192.168.1.0 0.0.0.255 any eq 53 access-list 100 deny ip any any log ! Refuser et logger interface GigabitEthernet0/0 ip access-group 100 in ! Appliquer en entrée ! Règle : Extended ACL = proche de la SOURCE
ACL nommée étendue (recommandée)
ip access-list extended BLOCK_TELNET deny tcp any any eq 23 ! Bloquer Telnet permit ip any any ! Autoriser le reste interface GigabitEthernet0/1 ip access-group BLOCK_TELNET in show access-lists ! Voir toutes les ACL avec compteurs show ip interface GigabitEthernet0/0 ! Voir les ACL appliquées sur une interface
Toujours tester les ACL avant de les appliquer en prod ! Une règle mal placée peut couper l'accès SSH.
Routeur 2921 — SSH›
! 1. Configurer le nom de domaine (obligatoire pour générer les clés) ip domain-name monentreprise.local ! 2. Générer les clés RSA (2048 bits minimum) crypto key generate rsa modulus 2048 ! 3. Activer SSH v2 uniquement ip ssh version 2 ip ssh time-out 60 ip ssh authentication-retries 3 ! 4. Créer un utilisateur local username admin privilege 15 secret Admin@Secure123 ! 5. Configurer les lignes VTY pour SSH uniquement line vty 0 4 login local transport input ssh exec-timeout 5 0 show ip ssh ! Version et statut SSH show ssh ! Sessions SSH actives
Depuis un PC :
ssh -l admin 192.168.1.1Switch Catalyst 2960-S — configuration de base›
enable configure terminal hostname SW1 enable secret Cisco@Switch ! Désactiver les ports inutilisés (sécurité) interface range FastEthernet0/10 - 24 shutdown description PORT_INUTILISE ! Interface de management (SVI = Switched Virtual Interface) interface vlan 99 ip address 192.168.99.10 255.255.255.0 description MANAGEMENT no shutdown ! Passerelle par défaut (le switch n'est pas un routeur) ip default-gateway 192.168.99.1 ! SSH sur le switch (même procédure que le routeur) ip domain-name monentreprise.local crypto key generate rsa modulus 2048 ip ssh version 2 line vty 0 15 login local transport input ssh username admin privilege 15 secret Admin@2960 service password-encryption copy running-config startup-config
Switch Catalyst 2960-S — VLANs›
Créer les VLANs
vlan 10 name SERVERS vlan 20 name USERS vlan 30 name VOIP vlan 99 name MANAGEMENT show vlan brief ! Liste des VLANs et ports associés
Port ACCESS (liaison hôte)
interface FastEthernet0/1 description PC_Utilisateur switchport mode access switchport access vlan 20 spanning-tree portfast ! Active immédiatement (pas d'attente STP) spanning-tree bpduguard enable ! Désactive le port si BPDU reçu (sécurité) no shutdown ! Pour plusieurs ports en même temps : interface range FastEthernet0/1 - 8 switchport mode access switchport access vlan 20 spanning-tree portfast no shutdown
Port TRUNK (liaison switch/routeur)
interface GigabitEthernet0/1 description TRUNK_Vers_Routeur switchport mode trunk switchport trunk allowed vlan 10,20,30,99 ! Autoriser seulement ces VLANs switchport trunk native vlan 99 ! VLAN natif (non tagué) no shutdown show interfaces trunk ! Ports trunk et VLANs autorisés show interfaces GigabitEthernet0/1 trunk
Switch Catalyst 2960-S — sécurité des ports›
Port Security (limiter les adresses MAC)
interface FastEthernet0/1 switchport mode access switchport access vlan 20 switchport port-security ! Activer port-security switchport port-security maximum 1 ! 1 seule MAC autorisée switchport port-security mac-address sticky ! Apprendre dynamiquement la MAC switchport port-security violation shutdown ! Action si violation : shutdown port ! Autres violations : protect (drop silencieux), restrict (drop + log) show port-security interface FastEthernet0/1 ! Statut d'un port show port-security ! Résumé de tous les ports ! Réactiver un port après violation interface FastEthernet0/1 shutdown no shutdown
DHCP Snooping (protège contre DHCP rogue)
ip dhcp snooping ip dhcp snooping vlan 10,20,30 ! Port de confiance = vers le serveur DHCP légitime interface GigabitEthernet0/1 ip dhcp snooping trust show ip dhcp snooping binding ! Table DHCP Snooping
Dynamic ARP Inspection (protège contre ARP spoofing)
ip arp inspection vlan 10,20,30 interface GigabitEthernet0/1 ip arp inspection trust ! Faire confiance au port trunk show ip arp inspection ! Statut DAI
Switch Catalyst 2960-S — STP & EtherChannel›
Spanning Tree Protocol
! Activer Rapid PVST+ (recommandé) spanning-tree mode rapid-pvst ! Forcer un switch à être Root Bridge spanning-tree vlan 10 priority 4096 ! Plus faible = prioritaire (défaut 32768) spanning-tree vlan 20 priority 4096 ! Ou utiliser la commande automatique : spanning-tree vlan 10 root primary spanning-tree vlan 20 root secondary show spanning-tree vlan 10 ! STP pour le VLAN 10 show spanning-tree summary ! Résumé STP
EtherChannel / LACP (agrégation de liens)
! Sur les 2 switches : même configuration interface range GigabitEthernet0/1 - 2 channel-group 1 mode active ! LACP active (négocie automatiquement) ! mode on = force sans négociation ! mode desirable = PAgP (protocole Cisco) no shutdown ! Configurer le port-channel créé automatiquement interface port-channel 1 description LACP_Vers_SW2 switchport mode trunk switchport trunk allowed vlan 10,20,30,99 show etherchannel summary ! Statut EtherChannel show etherchannel port-channel ! Détails du port-channel
Les deux extrémités du EtherChannel doivent avoir la même configuration (vitesse, duplex, VLANs, mode trunk/access).
Commandes de vérification & dépannage Cisco›
Vérifications essentielles — Routeur
show ip interface brief ! Résumé interfaces : IP + état show interfaces GigabitEthernet0/0 ! Détails complets (erreurs, débit) show ip route ! Table de routage show ip route ospf ! Routes OSPF uniquement show ip ospf neighbor ! Voisins OSPF (état FULL = OK) show ip nat translations ! Table NAT active show ip dhcp binding ! Baux DHCP actifs show access-lists ! ACL avec compteurs de matches show ip ssh ! Statut SSH show version ! Version IOS, RAM, Flash, uptime
Vérifications essentielles — Switch
show vlan brief ! VLANs et ports associés show interfaces trunk ! Ports trunk actifs show interfaces status ! État de tous les ports show mac address-table ! Table MAC show port-security ! Sécurité des ports show spanning-tree ! STP global show etherchannel summary ! EtherChannel show cdp neighbors ! Équipements Cisco voisins show cdp neighbors detail ! Avec adresses IP
Dépannage réseau
ping 192.168.1.1 ! Test de connectivité basique ping 192.168.1.1 source Gi0/0 ! Ping depuis une interface spécifique traceroute 8.8.8.8 ! Chemin vers la destination debug ip packet ! Debug (attention : charge le CPU !) undebug all ! Désactiver tous les debugs
Ne jamais lancer
debug all sur un routeur en production — risque de surcharge CPU et de perte de connectivité.