Cet article présente les principales commandes et configurations possible sur une

commutateur Cisco. Il vous faudra évidemment adapter les commandes à votre

configuration.

ADMINISTRATION DE SWITCH
Commande de base
Historique des commandes
Configuration de la connectivité IP d un switch
Configuration du mode bidirectionnel
Configuration d’une interface web
Gestion de la table d adresse mac switch
Verifier les configuration avec show

GESTION DE BASE DES COMMUTATEURS

Sauvegarde et restauration des configurations des commutateur
Supprimer configuration

CONFIGURATION DE LA SECURITE
Mot de passe console
Mot de passe execution privilégié
Chiffrer tous les mots de passe d un coup
Recuperation de mot de pas aprés oublis
Creer une banniere de connexion
Pour le motd
Acces avec telnet et ssh
Parametrer ssh sur serveur cisco
Blocage des ports non fiable contre attaque dhcp
Eviter les paquets CDP
Eviter attaque mot de passe par force brute
Securiser les ports avec adresse mac
Mode de violation de la securité
configuration de la securité des ports
Configuration avancé de la securité des ports
Verification de la securité des ports
Desactiver les ports qui ne son pas utilisé

CONFIGURATION DES VLANS

Activation vlan voix
Affectation d’un port de commutateur
Vérification des réseaux loaux virtuels et des appartenances des ports
Configuration d’une agrégation 802.1Q
Gestion de la configuration d’une agrégation
Configuration du protocole Rapid PVST+
Configuration du routage entre VLAN
Configuration du routage entre VLAN « Router-on-a-Stick »

ADMINISTRATION DE SWITCH
COMMANDES DE BASES

switch>enable : Passez du mode d’exécution utilisateur au mode d’exécution privilégié.

Password:password : Si vous avez défini un mot de passe en mode d’exécution privilégié, le
système vous demande de le saisir.
switch#disable : Passez du mode d’exécution privilégié au mode d’exécution utilisateur.
switch#configure terminal : Passez du mode d’exécution privilégié au mode de configuration
globale.
switch(config)#interface fastethernet 0/1 : Passez du mode de configuration globale au
mode de configuration d’interface pour l’interface Fast Ethernet 0/1.
switch(config-if)#exit : Passez du mode de configuration d’interface en mode de
configuration globale.

HISTORIQUE DES COMMANDES

R1#show history : pour afficher les commandes d’exécution qui ont été récemment entrées.
switch#terminal history : Configure la taille de l’historique du terminal.L’historique du
terminal peut conserver entre 0 et 256 lignes de commande.
switch#terminal history size 50 : Configure la taille de l’historique du terminal.L’historique
du terminal peut conserver entre 0 et 256 lignes de commande.
switch#terminal no history size : Rétablit la taille de l’historique du terminal d’après sa
valeur par défaut, soit 10 lignes de commande
switch#terminal no history : Désactive l’historique du terminal.

CONFIGURATION DE LA CONNECTIVITÉ IP D UN SWITCH

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de

configuration globale.
Comm1(config)#interface vlan 99 : Passer en mode de configuration d’interface pour
l’interface du VLAN 99.
Comm1(config-if)#ip address 172.17.99.11 255.255.255.0 : Configurer l’adresse IP de
l’interface.
Comm1(config-if)#no shutdown : Activer l’interface.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Comm1#configure terminal : Passer en mode de configuration globale.
Comm1(config)#interface fastethernet 0/18 : Entrer dans l’interface pour affecter le réseau
local virtuel.
Comm1(config-if)#switchport mode access : Définir le mode d’appartenance du port à un
réseau local virtuel.
Comm1(config-if)#switchport acces vlan 99 : Affecter le port à un réseau local virtuel.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la
configuration de démarrage du commutateur.
Comm1(config)#ip default-gateway 172.17.99.1 : Configurer la passerelle par défaut sur le
commutateur.
Comm1(config)#end : Repasser en mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la
configuration de démarrage du commutateur.
Comm1# mdix auto : detecte le cablage ( croisé ou direct ) pour pas avoir a sans occupé

CONFIGURATION DU MODE BIDERECTIONNEL

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de

configuration globale.
Comm1(config)#Interface fastethernet 0/1 : Passer en mode de configuration d’interface.
Comm1(config-if)#duplex auto : Configurer le mode birectionnel d’interface pour activer la
configuration bidirectionnelle automatique.
Comm1(config-if)#speed auto : Configurer la vitesse bidirectionnelle d’interface et activer la
configuration de vitesse automatique.
Comm1(config-if)#end : Revenir au mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la
configuration de démarrage du commutateur.

CONFIGURATION D’UNE INTERFACE WEB

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de

configuration globale.
Comm1(config)#ip http authentication enable : Configurer l’interface du serveur HTTP pour
le type d’authentification enable. Les autres options disponibles sont les suivantes : enable :
utilisation du mot de passe actif, soit la méthode par défaut pour l’authentification
utilisateur du serveur HTTP. local : utilisation de la base de données utilisateur telle que
définie sur le routeur Cisco ou le serveur d’accès. tacacs : utilisation du serveur TACACS.
Comm1(config)#ip http server : Activer le serveur HTTP.
Comm1(config)#end : Revenir au mode d’exécution privilégié.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la
configuration de démarrage du commutateur.

GESTION DE LA TABLE D ADRESSE MAC SWITCH

swicth# show mac-address-table : montre la table d adresse mac

swicth#mac-address-table static vlan {1-4096, ALL} interface id_interface. : creer un
mappage static donc permet de dire quelle adresse mac pour quelle port
swicth#no mac-address-table static vlan {1-4096, ALL} interface id_interface. : annule le
mappage static

VERIFIER LES CONFIGURATION AVEC SHOW

switch# show interfaces [interface-id] : Affiche l’état et la configuration d’une ou de

l’ensemble des interfaces disponibles sur le commutateur.
switch# show startup-config : Affiche le contenu de la configuration de démarrage.
switch# show running-config : Affiche la configuration actuelle.
switch# show flash : Affiche des informations sur le système de fichiers flash.
switch# show version : Affiche l’état du logiciel et du matériel système.
switch# show ip {interface | http | arp} : Affiche des informations IP. L’option d’interface
dévoile l’état et la configuration de l’interface IP. L’option http affiche les données HTTP
relatives au gestionnaire de périphériques exécuté sur le commutateur. L’option arp affiche
la table ARP IP.
switch# show mac-address-table : Affiche la la table de transmission MAC.

GESTION DE BASE DES COMMUTATEURS

SAUVEGARDE ET RESTAURATION DES CONFIGURATION DES
COMMUTATEUR

Comm1#copy system:running-config flash:startup-config : Nom du fichier de destination

[startup-config] ? : Version officielle de la commande de copie de Cisco IOS. Confirmez le
nom du fichier de destination. Appuyez sur la touche Entrée pour valider ou sur les touches
Crtl+C pour annuler.

Comm1#copy running-config startup-config Nom du fichier de destination [startup-

config] ? : Version non officielle de la commande de copie. Il est supposé alors que la
configuration en cours est exécutée sur le système et que le fichier de configuration de
démarrage sera stocké dans la mémoire vive non volatile flash. Appuyez sur la touche
Entrée pour valider ou sur les touches Crtl+C pour annuler.

Comm1#copy startup-config flash:config.bak1 Nom du fichier de destination

[config.bak1] ? : Sauvegardez la configuration de démarrage dans un fichier stocké dans la
mémoire vive non volatile flash. Confirmez le nom du fichier de destination. Appuyez sur la
touche Entrée pour valider ou sur les touches Crtl+C pour annuler.

RESTAURER

Comm1#copy flash:config.bak1 startup-config : Nom du fichier de destination [startup-

config] ? : Copiez le fichier config.bak1 stocké dans la mémoire flash dans la configuration
de démarrage qui doit être stockée dans la mémoire flash. Appuyez sur la touche Entrée
pour valider et sur les touches Crtl+C pour annuler.
Comm1#reload System configuration has been modified. Save? [yes/no]: n Proceed with
reload? [confirm]? : Demandez à Cisco IOS de redémarrer le commutateur. Si vous avez
modifié le fichier de configuration en cours, le système vous demande de l’enregistrer.
Confirmez par un ‘y’ (oui) ou un ‘n’ (non). Pour confirmer le rechargement, appuyez sur la
touche Entrée pour valider ou sur les touches Crtl+C pour annuler.

SUR SERVEUR TFTP

#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] system:running-config

ou
#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] nvram:startup-config. : Téléchargez le
fichier de configuration du serveur TFTP afin de configurer le commutateur. Précisez
l’adresse IP ou le nom d’hôte du serveur TFTP, ainsi que le nom du fichier à télécharger.

SUPPRIMER CONFIGURATION

switch#erase nvram: ou erase startup-config : supprimer la configuration

CONFIGURATION DE LA SECURITE
MOT DE PASSE CONSOLE

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de

configuration globale.
Comm1(config)#line con 0 : Passer du mode de configuration globale au mode de
configuration de ligne pour la console 0.
Comm1(config-line)#password cisco : Définir cisco en tant que mot de passe pour la ligne de
console 0 sur le commutateur.
Comm1(config-line)#login : Définir la ligne de console pour exiger la saisie du mot de passe
avant l’octroi de l’accès.
Comm1(config-line)#end : Quitter le mode de configuration de ligne et revenir en mode
d’exécution privilégié.
Pour le mot de passe terminal il suffit de mettre à la place de Comm1(config)#line con 0
mettre Comm1(config)#line vty 0 4

MOT DE PASSE EXECUTION PRIVILÉGIÉ

Comm1#configure terminal : Passer du mode d’exécution privilégié au mode de
configuration globale.
Comm1(config)#enable secret mot_de_passe : Configurer le mot de passe enable secret
pour le passage en mode d’exécution privilégié.
Comm1(config)#end : Quitter le mode de configuration de ligne et revenir en mode
d’exécution privilégié.

CHIFFRER TOUS LES MOTS DE PASSE D UN COUP

switch#conf t
switch(config)#service password-encryption

RECUPERATION DE MOT DE PAS APRÉS OUBLIS

Pour récupérer le mot de passe sur un commutateur Cisco 2960, procédez comme suit :
Étape 1. Au moyen d’un logiciel d’émulation de terminal, connectez un terminal ou un PC au
port de la console du commutateur.
Étape 2. Définissez le débit de la ligne dans le logiciel d’émulation à 9 600 bauds.
Étape 3. Mettez le commutateur hors tension. Reconnectez le cordon d’alimentation au
commutateur, puis appuyez sur le bouton Mode pendant les 15 secondes qui suivent tandis
que le LED système continue de clignoter en vert. Maintenez le bouton Mode enfoncé
jusqu’à ce que le LED système devienne brièvement orange, puis prenne une couleur verte
définitive. Relâchez ensuite le bouton Mode.
Étape 4. Initialisez le système de fichiers flash à l’aide de la commande flash_init.
Étape 5. Chargez tous les fichiers d’aide au moyen de la commande load_helper.
Étape 6. Affichez le contenu de la mémoire flash à l’aide de la commande dir flash :
Le système de fichiers du commutateur apparaît :
Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX 11 -rwx
5825 Mar 01 1993 22:31:59 config.text 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat 16128000
bytes total (10003456 bytes free)
Étape 7. À l’aide de la commande rename flash:config.text flash:config.text.old, modifiez le
fichier de configuration en le renommant « config.text.old », soit le fichier contenant la
définition du mot de passe.
Étape 8. Démarrez le système avec la commande boot.
Étape 9. Le système vous demande de démarrer le programme de configuration. À l’invite,
entrez N et lorsque le système vous demande si vous souhaitez poursuivre dans la boîte de
dialogue de configuration, entrez N.
Étape 10. À l’invite du commutateur, entrez le mode d’exécution privilégié en vous servant
de la commande enable.
Étape 11. Utilisez la commande rename flash:config.text.old flash:config.text pour
renommer le fichier de configuration d’après son nom d’origine.
Étape 12. Copiez le fichier de configuration dans la mémoire à l’aide de la commande copy
flash:config.text system:running-config. Une fois cette commande entrée, le texte suivant
s’affiche dans la console :
Source filename [config.text]?
Destination filename [running-config]?
Appuyez sur la touche Entrée en réponse à l’invite de confirmation. Le fichier de
configuration est désormais rechargé et vous pouvez modifier le mot de passe.
Étape 13. Passez en mode de configuration globale au moyen de la commande configure
terminal.
Étape 14. Modifiez le mot de passe en utilisant la commande enable secret mot de passe.
Étape 15. Repassez en mode d’exécution privilégié avec la commande exit.
Étape 16. Inscrivez la configuration en cours dans le fichier de configuration de démarrage
au moyen de la commande copy running-config startup-config.
Étape 17. Rechargez le commutateur à l’aide de la commande reload.
Remarque : la procédure de récupération de mots de passe peut varier selon la gamme de
commutateurs Cisco. Pensez alors à vous reporter à la documentation du produit avant
toute tentative de récupération.

CREER UNE BANNIERE DE CONNEXION

Comm1#configure terminal
Comm1(config)#banner login « Personnel autorisé uniquement » : Configurer une bannière
de connexion.
Ou alors :
Comm1(config)#banner login & ou « & » definit fin du texte

POUR LE MOTD

Comm1#configure terminal
Comm1(config)#banner motd « Personnel autorisé uniquement » : Configurer une bannière
de connexion.
Ou alors :
Comm1(config)#banner motd & ou « & » definit fin du texte : La bannière MOTD affiche tous
les terminaux connectés à la connexion et permet de transmettre des messages destinés à
tous les utilisateurs du réseau (pour les avertir, par exemple, d’un arrêt imminent du
système). La bannière MOTD apparaît avant la configuration de la bannière de connexion.

ACCES AVEC TELNET ET SSH

Si vous devez réactiver le protocole Telnet sur un commutateur Cisco 2960, utilisez la
commande suivante à partir du mode de configuration de ligne : (config-line)#transport
input telnet ou (config-line)#transport input all.

PARAMETRER SSH SUR SERVEUR CISCO

Étape 1. Passez en mode de configuration globale au moyen de la commande configure

terminal.
Étape 2. Configurez un nom d’hôte pour votre commutateur au moyen de la commande
hostname nom_hôte.
Étape 3. Configurez un domaine hôte pour votre commutateur à l’aide de la commande ip
domain-name nom_domaine.
Étape 4. Activez le serveur SSH en vue d’une authentification locale et distante sur le
commutateur et générez une paire de clés RSA en utilisant la commande crypto key
generate rsa.
Lorsque vous créez des clés RSA, le système vous demande d’entrer une longueur de
modulus. Cisco préconise l’utilisation d’une taille de modulus de 1024 bits. Une longueur de
modulus plus importante peut s’avérer plus sûre, mais sa création et son utilisation
prennent plus de temps.
Étape 5. Repassez en mode d’exécution privilégié à l’aide de la commande end.
Étape 6. Affichez l’état du serveur SSH sur le commutateur en vous servant de la commande
show ip ssh ou show ssh.
Pour supprimer la paire de clés RSA, utilisez la commande de configuration globale crypto
key zeroize rsa. Une fois la paire de clés RSA supprimée, le serveur SSH est
automatiquement désactivé.
Configuration du serveur SSH
Débutez en mode d’exécution privilégié et procédez comme suit pour configurer le serveur
SSH.
Étape 1. Passez en mode de configuration globale au moyen de la commande configure
terminal.
Étape 2. (Facultatif) Configurez le commutateur pour exécuter SSHv1 ou SSHv2 à l’aide de la
commande ip ssh version [1 | 2].
Si vous n’entrez pas cette commande ou ne spécifiez aucun mot de passe, le serveur SSH
sélectionne la dernière version SSH prise en charge par le client SSH. Par exemple, si le
client SSH prend en charge les versions SSHv1 et SSHv2, le serveur SSH choisit la version
SSHv2.
Étape 3. Configurez les paramètres de contrôle SSH :
Précisez la valeur de délai d’attente en secondes. La valeur par défaut est 120 secondes. La
valeur peut aller de 0 à 120 secondes. Pour une connexion SSH à établir, vous devez
exécuter plusieurs phases, telles que la connexion, la négociation de protocole et la
négation de paramètre. La valeur de délai d’attente désigne le temps que le commutateur
autorise pour l’établissement d’une connexion.
Par défaut, cinq connexions SSH chiffrées simultanées sont disponibles au maximum pour
plusieurs sessions de l’interface de ligne de commande (ILC) sur le réseau (session 0 à
session 4). Après le démarrage de l’interpréteur de commandes d’exécution, le délai
d’attente de la session d’interface de ligne de commande revient à sa valeur par défaut de
10 minutes.
Précisez le nombre de fois qu’il est possible d’authentifier de nouveau un client sur le
serveur. La valeur par défaut est 3 dans un éventail de 0 à 5. Par exemple, un utilisateur
peut définir à trois reprises un temps d’attente de dix minutes avant que la session ne
prenne fin.
Répétez cette étape lors de la configuration de ces deux paramètres. Pour configurer ces
paramètres, utilisez la commande ip ssh {timeoutsecondes | authentication-retries
nombre}.
Étape 4. Repassez en mode d’exécution privilégié à l’aide de la commande end.
Étape 5. Indiquez l’état des connexions du serveur SSH sur le commutateur en vous servant
de la commande show ip ssh ou show ssh.
Étape 6. (Facultatif) Enregistrez vos entrées dans le fichier de configuration à l’aide de la
commande copy running-config startup-config.
Si vous souhaitez éviter des connexions non SSH, ajoutez la commande transport input ssh
en mode de configuration de ligne afin de limiter le commutateur aux connexions SSH
uniquement. Les connexions Telnet directes (non SSH) sont rejetées.

BLOCAGE DES PORTS NON FIABLE CONTRE ATTAQUE DHCP

La procédure ci-après illustre la manière de configurer la surveillance DHCP sur un

commutateur Cisco IOS :
Étape 1. Activez la surveillance DHCP à l’aide de la commande de configuration globale ip
dhcp snooping.
Étape 2. Activez la surveillance DHCP pour des réseaux locaux virtuels spécifiques au moyen
de la commande ip dhcp snooping vlan number [ nombre].
Étape 3. Au niveau de l’interface, définissez les ports comme étant fiables ou non en
définissant les ports fiables avec la commande ip dhcp snooping trust.
Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement
transmettre de fausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la
commande ip dhcp snooping limit rate fréquence.

EVITER LES PAQUETS CDP

Il faut les desactiver sur les peripherique inutiles, ils sont de niveau deux donc ne passe pas
les routeurs.
La figure montre une partie d’une capture de paquets Ethereal dévoilant l’intérieur d’un
paquet CDP. La version du logiciel Cisco IOS découverte par CDP permettrait notamment au
pirate de rechercher et d’identifier quelques points vulnérables en matière de sécurité
inhérents à cette version spécifique du code. De même, du fait que CDP n’est pas
authentifié, un pirate peut concevoir de faux paquets CDP et les transmettre via le
périphérique Cisco directement connecté dont il dispose.
Pour résoudre ce problème de vulnérabilité, il est préférable de désactiver CDP sur les
périphériques sur lesquels ce protocole est inutile.
Sur commutateur blocage des ports non fiable pour requete dhcp La procédure ci-après
illustre la manière de configurer la surveillance DHCP sur un commutateur Cisco IOS :
Étape 1. Activez la surveillance DHCP à l’aide de la commande de configuration globale ip
dhcp snooping.
Étape 2. Activez la surveillance DHCP pour des réseaux locaux virtuels spécifiques au moyen
de la commande ip dhcp snooping vlan number [ nombre].
Étape 3. Au niveau de l’interface, définissez les ports comme étant fiables ou non en
définissant les ports fiables avec la commande ip dhcp snooping trust.
Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement
transmettre de fausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la
commande ip dhcp snooping limit rate fréquence.

EVITER ATTAQUE MOT DE PASSE PAR FORCE BRUTE

La chose la plus simple à faire de votre côté pour limiter votre vulnérabilité face aux
attaques en force est de modifier fréquemment vos mots de passe et d’utiliser des mots de
passe forts combinant au hasard des lettres en majuscules et minuscules et des chiffres.
Des configurations plus avancées vous permettent de limiter les personnes autorisées à
communiquer avec les lignes vty grâce à des listes d’accès, mais ce sujet n’est pas au
programme de ce cours.

SECURISER LES PORTS AVEC ADRESSE MAC

Types d’adresses MAC sécurisées

Il existe plusieurs façons de configurer la sécurité des ports. Les sections suivantes décrivent
les moyens de configurer la sécurité des ports sur un commutateur Cisco :
Adresses MAC sécurisées statiques : les adresses MAC sont configurées manuellement à
l’aide de la commande de configuration d’interface switchport port-security mac-address
adresse_mac. Les adresses MAC configurées de cette manière sont stockées dans la table
d’adresses et sont ajoutées à la configuration en cours sur le commutateur.
Adresses MAC sécurisées dynamiques : les adresses MAC sont assimilées de manière
dynamique et stockées uniquement dans la table d’adresses. Les adresses MAC configurées
ainsi sont supprimées au redémarrage du commutateur.
Adresses MAC sécurisées rémanentes : vous pouvez configurer un port pour assimiler
dynamiquement des adresses MAC, puis enregistrer ces dernières dans la configuration en
cours.
Adresses MAC rémanentes
Les adresses MAC sécurisées rémanentes présentent les caractéristiques suivantes :
Lorsque vous activez l’apprentissage rémanent dans une interface au moyen de la
commande de configuration d’interface switchport port-security mac-address sticky,
l’interface convertit toutes les adresses MAC sécurisées dynamiques, y compris celles qui
ont été dynamiquement assimilées avant que l’apprentissage rémanent ne soit activé, en
adresses MAC sécurisées rémanentes et ajoute l’ensemble de ces dernières dans la
configuration en cours.
Si vous désactivez l’apprentissage rémanent à l’aide de la commande de configuration
d’interface no switchport port-security mac-address sticky, les adresses MAC sécurisées
rémanentes restent intégrées à la table d’adresses mais sont supprimées de la
configuration en cours. Lorsque vous faites appel à la commande de configuration
d’interface switchport port-security mac-address sticky adresse_mac pour configurer des
adresses MAC sécurisées rémanentes, ces dernières sont ajoutées à la table d’adresses et la
configuration en cours. Si vous désactivez la sécurité du port, les adresses MAC sécurisées
rémanentes demeurent dans la configuration en cours.
Si vous enregistrez les adresses MAC sécurisées rémanentes dans le fichier de
configuration, il n’est pas nécessaire pour l’interface de réassimiler ces adresses lorsque
vous redémarrez le commutateur ou arrêtez l’interface. Si vous ne les enregistrez pas, les
adresses MAC sécurisées rémanentes seront perdues.
Si vous désactivez l’apprentissage rémanent et entrez la commande de configuration
d’interface switchport port-security mac-address sticky adresse_mac, un message d’erreur
apparaît et l’adresse MAC sécurisée rémanente n’est pas ajoutée dans la configuration en
cours

MODE DE VIOLATION DE LA SECURITÉ

Vous pouvez configurer l’interface pour l’un des trois modes de violation en fonction de
l’action à entreprendre en cas de violation. La figure illustre les types de trafic de données
transmis lorsque l’un des modes de violation de sécurité suivants est configuré sur un port :
protect : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port,
des paquets munis d’adresses source inconnues sont ignorés jusqu’à ce que vous
supprimiez un nombre suffisant d’adresses MAC sécurisées ou augmentiez le nombre
maximal d’adresses à autoriser. Aucun message de notification ne vous est adressé en cas
de violation de la sécurité.
restrict : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port,
des paquets munis d’adresses source inconnues sont ignorés jusqu’à ce que vous
supprimiez un nombre suffisant d’adresses MAC sécurisées ou augmentiez le nombre
maximal d’adresses à autoriser. Ce mode vous permet d’être informé si une violation de la
sécurité est constatée. Dans ce cas, une interruption SNMP est transmise, un message
syslog est consigné et le compteur de violation est incrémenté.
shutdown : si vous optez pour ce mode, toute violation de sécurité de port entraîne
immédiatement la désactivation de l’enregistrement des erreurs dans l’interface et celle de
la LED du port. Une interruption SNMP est également transmise, un message syslog est
consigné et le compteur de violation est incrémenté. Lorsqu’un port sécurisé opère en
mode de désactivation des erreurs, vous pouvez annuler cet état par simple saisie des
commandes de configuration d’interface shutdown et no shutdown. Il s’agit du mode par
défaut.

CONFIGURATION DE LA SECURITÉ DES PORTS

Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Précisez le type et le numéro de l’interface
physique à configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration
d’interface. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport mode access : Définissez le mode d’interface en accès. Vous
ne pouvez pas configurer une interface en tant que port sécurisé selon le mode dynamique
par défaut approprié. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la sécurité des ports sur l’interface.
Utilisez la commande Cisco IOS :

CONFIGURATION AVANCÉ DE LA SECURITÉ DES PORTS

Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Précisez le type et le numéro de l’interface
physique à configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration
d’interface. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport mode access : Définissez le mode d’interface en accès. Vous
ne pouvez pas configurer une interface en tant que port sécurisé selon le mode dynamique
par défaut approprié. Utilisez la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la sécurité des ports sur l’interface.
Utilisez la commande Cisco IOS :
Comm1(config-if)#switchport port-security maximum 50 : Définissez le nombre maximal
d’adresses sécurisées à 50. Utilisez la commande Cisco IOS :
Comm1(config-if)#switchport port-security mac-address sticky : Activez l’apprentissage
rémanent. Utilisez la commande Cisco IOS :
VERIFICATION DE LA SECURITÉ DES PORTS

switch#show port-security [interface id_interface] : Pour afficher les paramètres de sécurité

des ports du commutateur ou de l’interface spécifiée
switch#show port-security [interface id_interface] : Pour afficher toutes les adresses MAC
sécurisées configurées dans toutes les interfaces de commutation ou sur une interface
définie avec informations d’obsolescence pour chacune

DESACTIVER LES PORTS QUI NE SON PAS UTILISÉ

Utiliser shutdown et interface range

CONFIGURATION DES VLANS

ACTIVATION VLAN VOIX

s3(config)#interface fa0/18
s3(config-if)#mls qos trust cos : garantit que le trafic vocal est identifié en tant que trafic
prioritaire. N’oubliez pas que le réseau tout entier doit être configuré de manière à donner
la priorité au trafic vocal. Vous ne pouvez pas simplement configurer le port avec cette
commande.
s3(config-if)#switchport voice vlan 150 : identifie le VLAN 150 en tant que VLAN voix. Vous
pouvez vérifier que c’est bien le cas dans la capture d’écran du bas : Voice VLAN: 150
(VLAN0150).
s3(config-if)#switchport mode access
s3(config-if)#switchport access vlan 20 : configure le VLAN 20 en tant que VLAN (de données)
en mode accès. Vous pouvez vérifier que c’est bien le cas dans la capture d’écran du bas :
Access Mode VLAN: 20 (VLAN0020).
s3(config-if)#end
s3#show interface fa0/18 switchport

AJOUT D’UN RÉSEAU LOCAL VIRTUEL

Comm1#configure terminal : Passer en mode de configuration globale sur le commutateur

Comm1.
Comm1(config)#vlan id_vlan : Créer un VLAN. « id_vlan » est le numéro de VLAN à créer.
Passe en mode de configuration de VLAN pour l’ID de VLAN du VLAN.
Comm1(config-vlan)#name nom_vlan : (Facultatif) Spécifier un nom de VLAN unique pour
identifier le VLAN. Si aucun nom n’est entré, le numéro de VLAN, complété par des zéros, est
ajouté au mot « VLAN », comme par exemple VLAN0020.
Comm1(config-if)#end

AFFECTATION D’UN PORT DE COMMUTATEUR

Comm1#configure terminal : Passer en mode de configuration globale sur le commutateur

Comm1.
Comm1(config)#interface F0/1 : Passer en mode de configuration d’interface.
Comm1(config-if)#switchport mode trunk : Définir l’interface F0/1 comme agrégation IEEE
802.1Q
Comm1(config-if)#switchport trunk native vlan 99 : Configurer le VLAN 99 en tant que VLAN
natif.
Comm1(config-if)#end

VÉRIFICATION DES RÉSEAUX LOAUX VIRTUELS ET DES

APPARTENANCES DES PORTS

La commande show vlan

show vlan [brief | id id_vlan | name nom_vlan | summary].

brief : Afficher une ligne pour chaque VLAN comportant le nom du VLAN, son état et ses
ports.
id id_vlan : Afficher des informations sur un VLAN unique identifié par un numéro d’ID de
VLAN. La valeur id_vlan peut être comprise entre 1 et 4094.
name nom_vlan : Afficher des informations sur un VLAN unique identifié par un nom de
VLAN. Le nom de VLAN est une chaîne ASCII de 1 à 32 caractères de long..
summary : Afficher un résumé sur les VLAN.
La commande show interfaces

show interfaces [id_interface | vlan id_vlan] | switchport

id_interface : Les interfaces autorisées comprennent les ports physiques (y compris le type,
le module et le numéro de port) et les canaux de port. La plage des canaux de port est
comprise entre 1 et 6.
vlan id_vlan : Identification du VLAN. La plage est comprise entre 1 et 4094. >
switchport : Afficher l’état administratif et opérationnel d’un port de commutation, y
compris les paramètres de blocage et de protection du port.

GÉRER LES APPARTENANCES DES PORTS

Comm1#configure terminal : Passer en mode de configuration globale.

Comm1(config)#interface id_interface : Passer en mode de configuration d’interface pour
configurer l’interface.
Comm1(config-if)#no switchport access vlan : Supprimer l’affectation de VLAN sur cette
interface de port de commutateur et revenir à l’appartenance par défaut au VLAN 1.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.

CONFIGURATION D’UNE AGRÉGATION 802.1Q

Comm1#configure terminal : Passer en mode de configuration globale.

Comm1(config)#interface id_interface : Passer en mode de configuration d’interface pour
configurer l’interface.
Comm1(config-if)#switchport mode trunk : Forcer la liaison reliant les commutateurs à
devenir une liaison agrégée.
Comm1(config-if)#switchport trunk native vlan id_vlan : Spécifier un autre VLAN en tant que
VLAN natif pour le trafic non étiqueté pour les agrégations IEEE 802.1Q.
Comm1(config-if)#end : Repasser en mode d’exécution privilégié.
Pour vérifier la configuration d’une agrégation : show interfaces id_interface switchport.

GESTION DE LA CONFIGURATION D’UNE AGRÉGATION

Comm1#configure terminal : Passer en mode de configuration globale.

Comm1(config-if)#no switchport trunk allowed vlan : Utilisez cette commande en mode de
configuration d’interface pour réinitialiser tous les VLAN configurés sur l’interface
d’agrégation.
Comm1(config-if)#no switchport trunk native vlan : Utilisez cette commande en mode de
configuration d’interface pour réinitialiser le VLAN natif et le réaffecter au VLAN 1.
Comm1(config-if)#switchport mode access : Utilisez cette commande en mode de
configuration d’interface pour réinitialiser l’interface du port d’agrégation en port de mode
d’accès statique.

CONFIGURATION DU PROTOCOLE RAPID PVST+

configure terminal : Passer en mode de configuration globale.
spanning-tree mode rapid-pvst : Configurer le mode d’arbre recouvrant du protocole rapid
PVST+.
interface interface-id : Spécifier une interface à configurer, et accéder au mode de
configuration d’interface. Les valeurs autorisées pour l’ID de VLAN sont comprises entre 1 et
4 094. Les valeurs autorisées pour le canal de port sont comprises entre 1 et 6.
spanning-tree link-type point-to-point : Spécifier que le type de liaison pour ce port est point
à point.
end : Repasser en mode d’exécution privilégié.
clear spanning-tree detected-protocols : Désactiver tous les protocoles STP détectés.
Vérifier la configuration du protocole Rapid PVST+
show spanning-tree interface_id

CONFIGURATION DU ROUTAGE ENTRE VLAN

Sur le commutateur :
Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport access vlan 10
Comm1(config-if)#interface f0/4
Comm1(config-if)#switchport access vlan 30
Comm1(config-if)#end
Sur le routeur :

R1#configure terminal
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.10 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface f0/1
R1(config-if)#ip address 192.168.3.10 255.255.255.0
R1(config-if)#no shutdown
CONFIGURATION DU ROUTAGE ENTRE VLAN « ROUTER-ON-A-
STICK »

Sur le commutateur :

Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport mode trunk Comm1(config-if)#end
Sur le routeur :

R1#configure terminal
R1(config)#interface f0/0.10
R1(config-if)#encapsulation dot1q 10 R1(config-if)#ip address 192.168.1.10 255.255.255.0
R1(config)#interface f0/0.30
R1(config-if)#encapsulation dot1q 30 R1(config-if)#interface f0/1
R1(config-if)#ip address 192.168.3.10 255.255.255.0
R1(config-if)#no shutdown