Escolar Documentos
Profissional Documentos
Cultura Documentos
CommandescommutateursCisco
7 aot 2011
6,806 Vues
Cet article prsente les principales commandes et configurations possible sur une commutateur Cisco. Il
vous faudra videmment adapter les commandes votre configuration.
ADMINISTRATION DE SWITCH
Commande de base
Historique des commandes
Configuration de la connectivit IP d un switch
Configuration du mode bidirectionnel
Configuration dune interface web
Gestion de la table d adresse mac switch
Verifier les configuration avec show
CONFIGURATION DE LA SECURITE
Mot de passe console
Mot de passe execution privilgi
Chiffrer tous les mots de passe d un coup
Recuperation de mot de pas aprs oublis
Creer une banniere de connexion
Pour le motd
Acces avec telnet et ssh
Parametrer ssh sur serveur cisco
Blocage des ports non fiable contre attaque dhcp
Eviter les paquets CDP
Eviter attaque mot de passe par force brute
Securiser les ports avec adresse mac
Mode de violation de la securit
configuration de la securit des ports
Configuration avanc de la securit des ports
Verification de la securit des ports
Desactiver les ports qui ne son pas utilis
http://www.actualitix.com/commandescommutateurscisco.html
1/15
30/8/2015
CommandescommutateursCisco
ADMINISTRATIONDESWITCH
Commandesdebases
R1#show history : pour afficher les commandes dexcution qui ont t rcemment entres.
switch#terminal history : Configure la taille de lhistorique du terminal.Lhistorique du terminal peut
conserver entre 0 et 256 lignes de commande.
switch#terminal history size 50 : Configure la taille de lhistorique du terminal.Lhistorique du terminal
peut conserver entre 0 et 256 lignes de commande.
switch#terminal no history size : Rtablit la taille de lhistorique du terminal daprs sa valeur par dfaut,
soit 10 lignes de commande
switch#terminal no history : Dsactive lhistorique du terminal.
ConfigurationdelaconnectivitIPdunswitch
2/15
30/8/2015
CommandescommutateursCisco
Comm1(config)#interface fastethernet 0/18 : Entrer dans linterface pour affecter le rseau local virtuel.
Comm1(config-if)#switchport mode access : Dfinir le mode dappartenance du port un rseau local
virtuel.
Comm1(config-if)#switchport acces vlan 99 : Affecter le port un rseau local virtuel.
Comm1(config-if)#end : Repasser en mode dexcution privilgi.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration
de dmarrage du commutateur.
Comm1(config)#ip default-gateway 172.17.99.1 : Configurer la passerelle par dfaut sur le commutateur.
Comm1(config)#end : Repasser en mode dexcution privilgi.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration
de dmarrage du commutateur.
Comm1# mdix auto : detecte le cablage ( crois ou direct ) pour pas avoir a sans occup
Configurationdumodebiderectionnel
3/15
30/8/2015
CommandescommutateursCisco
swicth#no mac-address-table static vlan {1-4096, ALL} interface id_interface. : annule le mappage static
Verifierlesconfigurationavecshow
switch# show interfaces [interface-id] : Affiche ltat et la configuration dune ou de lensemble des
interfaces disponibles sur le commutateur.
switch# show startup-config : Affiche le contenu de la configuration de dmarrage.
switch# show running-config : Affiche la configuration actuelle.
switch# show flash : Affiche des informations sur le systme de fichiers flash.
switch# show version : Affiche ltat du logiciel et du matriel systme.
switch# show ip {interface | http | arp} : Affiche des informations IP. Loption dinterface dvoile ltat et
la configuration de linterface IP. Loption http affiche les donnes HTTP relatives au gestionnaire de
priphriques excut sur le commutateur. Loption arp affiche la table ARP IP.
switch# show mac-address-table : Affiche la la table de transmission MAC.
GESTIONDEBASEDESCOMMUTATEURS
Sauvegardeetrestaurationdesconfigurationdescommutateur
http://www.actualitix.com/commandescommutateurscisco.html
4/15
30/8/2015
CommandescommutateursCisco
CONFIGURATIONDELASECURITE
Motdepasseconsole
switch#conf t
switch(config)#service password-encryption
Recuperationdemotdepasaprsoublis
Pour rcuprer le mot de passe sur un commutateur Cisco 2960, procdez comme suit :
tape 1. Au moyen dun logiciel dmulation de terminal, connectez un terminal ou un PC au port de la
console du commutateur.
tape 2. Dfinissez le dbit de la ligne dans le logiciel dmulation 9 600 bauds.
tape 3. Mettez le commutateur hors tension. Reconnectez le cordon dalimentation au commutateur,
puis appuyez sur le bouton Mode pendant les 15 secondes qui suivent tandis que le LED systme continue
de clignoter en vert. Maintenez le bouton Mode enfonc jusqu ce que le LED systme devienne
http://www.actualitix.com/commandescommutateurscisco.html
5/15
30/8/2015
CommandescommutateursCisco
brivement orange, puis prenne une couleur verte dfinitive. Relchez ensuite le bouton Mode.
tape 4. Initialisez le systme de fichiers flash laide de la commande flash_init.
tape 5. Chargez tous les fichiers daide au moyen de la commande load_helper.
tape 6. Affichez le contenu de la mmoire flash laide de la commande dir flash :
Le systme de fichiers du commutateur apparat :
Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX 11 -rwx 5825 Mar 01
1993 22:31:59 config.text 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat 16128000 bytes total (10003456
bytes free)
tape 7. laide de la commande rename flash:config.text flash:config.text.old, modifiez le fichier de
configuration en le renommant config.text.old , soit le fichier contenant la dfinition du mot de passe.
tape 8. Dmarrez le systme avec la commande boot.
tape 9. Le systme vous demande de dmarrer le programme de configuration. linvite, entrez N et
lorsque le systme vous demande si vous souhaitez poursuivre dans la bote de dialogue de configuration,
entrez N.
tape 10. linvite du commutateur, entrez le mode dexcution privilgi en vous servant de la
commande enable.
tape 11. Utilisez la commande rename flash:config.text.old flash:config.text pour renommer le fichier de
configuration daprs son nom dorigine.
tape 12. Copiez le fichier de configuration dans la mmoire laide de la commande copy
flash:config.text system:running-config. Une fois cette commande entre, le texte suivant saffiche dans la
console :
Source filename [config.text]?
Destination filename [running-config]?
Appuyez sur la touche Entre en rponse linvite de confirmation. Le fichier de configuration est
dsormais recharg et vous pouvez modifier le mot de passe.
tape 13. Passez en mode de configuration globale au moyen de la commande configure terminal.
tape 14. Modifiez le mot de passe en utilisant la commande enable secret mot de passe.
tape 15. Repassez en mode dexcution privilgi avec la commande exit.
tape 16. Inscrivez la configuration en cours dans le fichier de configuration de dmarrage au moyen de la
commande copy running-config startup-config.
tape 17. Rechargez le commutateur laide de la commande reload.
Remarque : la procdure de rcupration de mots de passe peut varier selon la gamme de commutateurs
Cisco. Pensez alors vous reporter la documentation du produit avant toute tentative de rcupration.
Creerunebannieredeconnexion
Comm1#configure terminal
Comm1(config)#banner login Personnel autoris uniquement : Configurer une bannire de connexion.
Ou alors :
http://www.actualitix.com/commandescommutateurscisco.html
6/15
30/8/2015
CommandescommutateursCisco
Comm1#configure terminal
Comm1(config)#banner motd Personnel autoris uniquement : Configurer une bannire de connexion.
Ou alors :
Comm1(config)#banner motd & ou & definit fin du texte : La bannire MOTD affiche tous les terminaux
connects la connexion et permet de transmettre des messages destins tous les utilisateurs du
rseau (pour les avertir, par exemple, dun arrt imminent du systme). La bannire MOTD apparat avant
la configuration de la bannire de connexion.
Accesavectelnetetssh
Si vous devez ractiver le protocole Telnet sur un commutateur Cisco 2960, utilisez la commande suivante
partir du mode de configuration de ligne : (config-line)#transport input telnet ou (config-line)#transport
input all.
Parametrersshsurserveurcisco
7/15
30/8/2015
CommandescommutateursCisco
La procdure ci-aprs illustre la manire de configurer la surveillance DHCP sur un commutateur Cisco
IOS :
tape 1. Activez la surveillance DHCP laide de la commande de configuration globale ip dhcp snooping.
tape 2. Activez la surveillance DHCP pour des rseaux locaux virtuels spcifiques au moyen de la
commande ip dhcp snooping vlan number [ nombre].
tape 3. Au niveau de linterface, dfinissez les ports comme tant fiables ou non en dfinissant les ports
fiables avec la commande ip dhcp snooping trust.
tape 4. (Facultatif) Pour limiter la frquence laquelle un pirate peut perptuellement transmettre de
fausses requtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping
limit rate frquence.
EviterlespaquetsCDP
Il faut les desactiver sur les peripherique inutiles, ils sont de niveau deux donc ne passe pas les routeurs.
La figure montre une partie dune capture de paquets Ethereal dvoilant lintrieur dun paquet CDP. La
version du logiciel Cisco IOS dcouverte par CDP permettrait notamment au pirate de rechercher et
http://www.actualitix.com/commandescommutateurscisco.html
8/15
30/8/2015
CommandescommutateursCisco
didentifier quelques points vulnrables en matire de scurit inhrents cette version spcifique du
code. De mme, du fait que CDP nest pas authentifi, un pirate peut concevoir de faux paquets CDP et les
transmettre via le priphrique Cisco directement connect dont il dispose.
Pour rsoudre ce problme de vulnrabilit, il est prfrable de dsactiver CDP sur les priphriques sur
lesquels ce protocole est inutile.
Sur commutateur blocage des ports non fiable pour requete dhcp La procdure ci-aprs illustre la
manire de configurer la surveillance DHCP sur un commutateur Cisco IOS :
tape 1. Activez la surveillance DHCP laide de la commande de configuration globale ip dhcp snooping.
tape 2. Activez la surveillance DHCP pour des rseaux locaux virtuels spcifiques au moyen de la
commande ip dhcp snooping vlan number [ nombre].
tape 3. Au niveau de linterface, dfinissez les ports comme tant fiables ou non en dfinissant les ports
fiables avec la commande ip dhcp snooping trust.
tape 4. (Facultatif) Pour limiter la frquence laquelle un pirate peut perptuellement transmettre de
fausses requtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping
limit rate frquence.
Eviterattaquemotdepasseparforcebrute
La chose la plus simple faire de votre ct pour limiter votre vulnrabilit face aux attaques en force est
de modifier frquemment vos mots de passe et dutiliser des mots de passe forts combinant au hasard
des lettres en majuscules et minuscules et des chiffres. Des configurations plus avances vous permettent
de limiter les personnes autorises communiquer avec les lignes vty grce des listes daccs, mais ce
sujet nest pas au programme de ce cours.
Securiserlesportsavecadressemac
9/15
30/8/2015
CommandescommutateursCisco
Vous pouvez configurer linterface pour lun des trois modes de violation en fonction de laction
entreprendre en cas de violation. La figure illustre les types de trafic de donnes transmis lorsque lun des
modes de violation de scurit suivants est configur sur un port :
protect : lorsque le nombre dadresses MAC scurises atteint la limite autorise sur le port, des paquets
munis dadresses source inconnues sont ignors jusqu ce que vous supprimiez un nombre suffisant
dadresses MAC scurises ou augmentiez le nombre maximal dadresses autoriser. Aucun message de
notification ne vous est adress en cas de violation de la scurit.
restrict : lorsque le nombre dadresses MAC scurises atteint la limite autorise sur le port, des paquets
munis dadresses source inconnues sont ignors jusqu ce que vous supprimiez un nombre suffisant
dadresses MAC scurises ou augmentiez le nombre maximal dadresses autoriser. Ce mode vous
permet dtre inform si une violation de la scurit est constate. Dans ce cas, une interruption SNMP est
transmise, un message syslog est consign et le compteur de violation est incrment.
shutdown : si vous optez pour ce mode, toute violation de scurit de port entrane immdiatement la
dsactivation de lenregistrement des erreurs dans linterface et celle de la LED du port. Une interruption
SNMP est galement transmise, un message syslog est consign et le compteur de violation est
incrment. Lorsquun port scuris opre en mode de dsactivation des erreurs, vous pouvez annuler cet
tat par simple saisie des commandes de configuration dinterface shutdown et no shutdown. Il sagit du
mode par dfaut.
Configurationdelasecuritdesports
http://www.actualitix.com/commandescommutateurscisco.html
10/15
30/8/2015
CommandescommutateursCisco
Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Prcisez le type et le numro de linterface physique
configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration dinterface. Utilisez la
commande Cisco IOS
Comm1(config-if)#switchport mode access : Dfinissez le mode dinterface en accs. Vous ne pouvez pas
configurer une interface en tant que port scuris selon le mode dynamique par dfaut appropri. Utilisez
la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la scurit des ports sur linterface. Utilisez la
commande Cisco IOS :
Configurationavancdelasecuritdesports
Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Prcisez le type et le numro de linterface physique
configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration dinterface. Utilisez la
commande Cisco IOS
Comm1(config-if)#switchport mode access : Dfinissez le mode dinterface en accs. Vous ne pouvez pas
configurer une interface en tant que port scuris selon le mode dynamique par dfaut appropri. Utilisez
la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la scurit des ports sur linterface. Utilisez la
commande Cisco IOS :
Comm1(config-if)#switchport port-security maximum 50 : Dfinissez le nombre maximal dadresses
scurises 50. Utilisez la commande Cisco IOS :
Comm1(config-if)#switchport port-security mac-address sticky : Activez lapprentissage rmanent. Utilisez
la commande Cisco IOS :
Verificationdelasecuritdesports
switch#show port-security [interface id_interface] : Pour afficher les paramtres de scurit des ports du
commutateur ou de linterface spcifie
switch#show port-security [interface id_interface] : Pour afficher toutes les adresses MAC scurises
configures dans toutes les interfaces de commutation ou sur une interface dfinie avec informations
dobsolescence pour chacune
Desactiverlesportsquinesonpasutilis
CONFIGURATIONDESVLANS
Activationvlanvoix
s3(config)#interface fa0/18
s3(config-if)#mls qos trust cos : garantit que le trafic vocal est identifi en tant que trafic prioritaire.
Noubliez pas que le rseau tout entier doit tre configur de manire donner la priorit au trafic vocal.
http://www.actualitix.com/commandescommutateurscisco.html
11/15
30/8/2015
CommandescommutateursCisco
12/15
30/8/2015
CommandescommutateursCisco
numro de port) et les canaux de port. La plage des canaux de port est comprise entre 1 et 6.
vlan id_vlan : Identification du VLAN. La plage est comprise entre 1 et 4094. >
switchport : Afficher ltat administratif et oprationnel dun port de commutation, y compris les
paramtres de blocage et de protection du port.
Grerlesappartenancesdesports
13/15
30/8/2015
CommandescommutateursCisco
Sur le commutateur :
Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport access vlan 10
Comm1(config-if)#interface f0/4
Comm1(config-if)#switchport access vlan 30
Comm1(config-if)#end
Sur le routeur :
R1#configure terminal
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.10 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface f0/1
R1(config-if)#ip address 192.168.3.10 255.255.255.0
R1(config-if)#no shutdown
ConfigurationduroutageentreVLANRouteronaStick
Sur le commutateur :
Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport mode trunk Comm1(config-if)#end
Sur le routeur :
R1#configure terminal
R1(config)#interface f0/0.10
http://www.actualitix.com/commandescommutateurscisco.html
14/15
30/8/2015
CommandescommutateursCisco
http://www.actualitix.com/commandescommutateurscisco.html
15/15