Beruflich Dokumente
Kultur Dokumente
Scnario
Un commutateur connecte une ou deux stations de travail dans un LAN (192.168.1.0 /24). On suppose lexistence dune passerelle dont on ne soucie pas. La configuration est ralise via la console physique. A des fins de gestion seulement, une adresse IP est fixe sur le commutateur.
Topologie
Objectifs
Configuration globale Configuration de linterface de gestion Activation de la console distante SSH Scurisation de base Scurisation des ports Diagnostic de base
Password Recovery
On peut reprendre la main sur un commutateur dj configur en interrompant son dmarrage et en renommant le fichier de configuration initiale. La procdure est bien documente : http://www.cisco. com/c/en/us/support/docs/switches/catalyst-2950-seriesswitches/12040-pswdrec-2900xl.html
Navigation CLI
Passage en mode privlge >enable # Passage en mode de configuration globale #configure terminal (config)# Configuration dune interface (config)#interface FastEthernet 0/1 (config-if)# Passage aux modes infrieurs (config-if)#exit (config)#exit #
Aide au CLI
Une aide est accessible via le point dinterrogation. Les commandes sauto-compltent avec la touche de tabulation. Lenvironnement indique lendroit dune erreur. Les commandes sabrgent si il ny pas dambigut. En cas dambigut, lenvironnement propose les choix. Par dfaut les logs apparaissent dans la console, pas en terminal distant. raccourcis clavier : on peut faire dfiler lhistorique des commandes avec les flches du haut et du bas, on peut revenir au mode privilge directement (CTRL-Z), etc. La commande do permet dexcuter une commande du mode privilge dans un autre mode.
Navigation CLI
Toutes les commandes dadministration s excutent en mode privilge :
Commande IOS #show running-config #show flash: #show ip interface brief #show vlan #copy running-config startup-config #write memory Signification Visualise la configuration courante (RAM) Visualise le contenu de la mmoire Flash Visualise ltat des interfaces (IPv4) Visualise la DB des VLANs Enregistre la configuration courante Enregistre la configuration courante
Configuration globale
Accs au mode de configuration globale Nom dhte Nom du domaine Accs au mode privilge >en #configure terminal (config)# hostname SW0 ip domain-name entreprise.lan enable secret cisco
Configuration de la passerelle ip default-gateway 192.168.1.254 soit ladresse IP de linterface du routeur qui est dans le VLAN 30. Configuration dun serveur de nom ( condition den disposer en laboratoire) ip name-server 8.8.8.8
Enregistrement et vrification
Enregistrement de la configuration courante
(config)# ^Z # %SYS-5-CONFIG_I: Configured from console by console copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] #
activera l'encryption type 7 sur les mots de passe. Dans le fichier de configuration :
service password-encryption ! hostname SW1 ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! username admin privilege 1 password 7 0822455D0A16
On prfrera toujours le paramtre "secret" au lieu de password fournissant une encryption type 5 (MD5) :
(config)#username admin secret cisco
Dcryption type 7
http://www.ibeast. com/content/tools/CiscoPassword/
Mode de violation
(config-if)#switchport port-security violation {protect | restrict | shutdown} Mode protect : ds que la violation est constate, le port arrte de transfrer le trafic des adresses non autorises sans envoyer de message de log. Mode restrict : ds que la violation est constate, le port arrte de transfrer le trafic des adresses non autorises et transmet un message de log. Mode shutdown : ds que la violation est constate, le port passe en tat err-disabled (shutdown) et un message de log est envoy.
Diagnostic :
#show port-security #show port-security interface f0/1 #show running-config #clear port-security {all | configured | dynamic | sticky}
Rfrences
http://www.cisco. com/en/US/docs/switches/lan/catalyst2960/software/rel ease/12.2_55_se/configuration/guide/scg_2960.html