Vous êtes sur la page 1sur 15

30/8/2015

CommandescommutateursCisco

Commandes commutateurs Cisco

7 aot 2011

6,806 Vues

Cet article prsente les principales commandes et configurations possible sur une commutateur Cisco. Il
vous faudra videmment adapter les commandes votre configuration.
ADMINISTRATION DE SWITCH
Commande de base
Historique des commandes
Configuration de la connectivit IP d un switch
Configuration du mode bidirectionnel
Configuration dune interface web
Gestion de la table d adresse mac switch
Verifier les configuration avec show

GESTION DE BASE DES COMMUTATEURS


Sauvegarde et restauration des configurations des commutateur
Supprimer configuration

CONFIGURATION DE LA SECURITE
Mot de passe console
Mot de passe execution privilgi
Chiffrer tous les mots de passe d un coup
Recuperation de mot de pas aprs oublis
Creer une banniere de connexion
Pour le motd
Acces avec telnet et ssh
Parametrer ssh sur serveur cisco
Blocage des ports non fiable contre attaque dhcp
Eviter les paquets CDP
Eviter attaque mot de passe par force brute
Securiser les ports avec adresse mac
Mode de violation de la securit
configuration de la securit des ports
Configuration avanc de la securit des ports
Verification de la securit des ports
Desactiver les ports qui ne son pas utilis

http://www.actualitix.com/commandescommutateurscisco.html

1/15

30/8/2015

CommandescommutateursCisco

CONFIGURATION DES VLANS


Activation vlan voix
Affectation dun port de commutateur
Vrification des rseaux loaux virtuels et des appartenances des ports
Configuration dune agrgation 802.1Q
Gestion de la configuration dune agrgation
Configuration du protocole Rapid PVST+
Configuration du routage entre VLAN
Configuration du routage entre VLAN Router-on-a-Stick

ADMINISTRATIONDESWITCH
Commandesdebases

switch>enable : Passez du mode dexcution utilisateur au mode dexcution privilgi.


Password:password : Si vous avez dfini un mot de passe en mode dexcution privilgi, le systme vous
demande de le saisir.
switch#disable : Passez du mode dexcution privilgi au mode dexcution utilisateur.
switch#configure terminal : Passez du mode dexcution privilgi au mode de configuration globale.
switch(config)#interface fastethernet 0/1 : Passez du mode de configuration globale au mode de
configuration dinterface pour linterface Fast Ethernet 0/1.
switch(config-if)#exit : Passez du mode de configuration dinterface en mode de configuration globale.
Historiquedescommandes

R1#show history : pour afficher les commandes dexcution qui ont t rcemment entres.
switch#terminal history : Configure la taille de lhistorique du terminal.Lhistorique du terminal peut
conserver entre 0 et 256 lignes de commande.
switch#terminal history size 50 : Configure la taille de lhistorique du terminal.Lhistorique du terminal
peut conserver entre 0 et 256 lignes de commande.
switch#terminal no history size : Rtablit la taille de lhistorique du terminal daprs sa valeur par dfaut,
soit 10 lignes de commande
switch#terminal no history : Dsactive lhistorique du terminal.
ConfigurationdelaconnectivitIPdunswitch

Comm1#configure terminal : Passer du mode dexcution privilgi au mode de configuration globale.


Comm1(config)#interface vlan 99 : Passer en mode de configuration dinterface pour linterface du VLAN
99.
Comm1(config-if)#ip address 172.17.99.11 255.255.255.0 : Configurer ladresse IP de linterface.
Comm1(config-if)#no shutdown : Activer linterface.
Comm1(config-if)#end : Repasser en mode dexcution privilgi.
Comm1#configure terminal : Passer en mode de configuration globale.
http://www.actualitix.com/commandescommutateurscisco.html

2/15

30/8/2015

CommandescommutateursCisco

Comm1(config)#interface fastethernet 0/18 : Entrer dans linterface pour affecter le rseau local virtuel.
Comm1(config-if)#switchport mode access : Dfinir le mode dappartenance du port un rseau local
virtuel.
Comm1(config-if)#switchport acces vlan 99 : Affecter le port un rseau local virtuel.
Comm1(config-if)#end : Repasser en mode dexcution privilgi.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration
de dmarrage du commutateur.
Comm1(config)#ip default-gateway 172.17.99.1 : Configurer la passerelle par dfaut sur le commutateur.
Comm1(config)#end : Repasser en mode dexcution privilgi.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration
de dmarrage du commutateur.
Comm1# mdix auto : detecte le cablage ( crois ou direct ) pour pas avoir a sans occup
Configurationdumodebiderectionnel

Comm1#configure terminal : Passer du mode dexcution privilgi au mode de configuration globale.


Comm1(config)#Interface fastethernet 0/1 : Passer en mode de configuration dinterface.
Comm1(config-if)#duplex auto : Configurer le mode birectionnel dinterface pour activer la configuration
bidirectionnelle automatique.
Comm1(config-if)#speed auto : Configurer la vitesse bidirectionnelle dinterface et activer la configuration
de vitesse automatique.
Comm1(config-if)#end : Revenir au mode dexcution privilgi.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration
de dmarrage du commutateur.
Configurationduneinterfaceweb

Comm1#configure terminal : Passer du mode dexcution privilgi au mode de configuration globale.


Comm1(config)#ip http authentication enable : Configurer linterface du serveur HTTP pour le type
dauthentification enable. Les autres options disponibles sont les suivantes : enable : utilisation du mot de
passe actif, soit la mthode par dfaut pour lauthentification utilisateur du serveur HTTP. local : utilisation
de la base de donnes utilisateur telle que dfinie sur le routeur Cisco ou le serveur daccs. tacacs :
utilisation du serveur TACACS.
Comm1(config)#ip http server : Activer le serveur HTTP.
Comm1(config)#end : Revenir au mode dexcution privilgi.
Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configuration
de dmarrage du commutateur.
Gestiondelatabledadressemacswitch

swicth# show mac-address-table : montre la table d adresse mac


swicth#mac-address-table static vlan {1-4096, ALL} interface id_interface. : creer un mappage static donc
permet de dire quelle adresse mac pour quelle port
http://www.actualitix.com/commandescommutateurscisco.html

3/15

30/8/2015

CommandescommutateursCisco

swicth#no mac-address-table static vlan {1-4096, ALL} interface id_interface. : annule le mappage static
Verifierlesconfigurationavecshow

switch# show interfaces [interface-id] : Affiche ltat et la configuration dune ou de lensemble des
interfaces disponibles sur le commutateur.
switch# show startup-config : Affiche le contenu de la configuration de dmarrage.
switch# show running-config : Affiche la configuration actuelle.
switch# show flash : Affiche des informations sur le systme de fichiers flash.
switch# show version : Affiche ltat du logiciel et du matriel systme.
switch# show ip {interface | http | arp} : Affiche des informations IP. Loption dinterface dvoile ltat et
la configuration de linterface IP. Loption http affiche les donnes HTTP relatives au gestionnaire de
priphriques excut sur le commutateur. Loption arp affiche la table ARP IP.
switch# show mac-address-table : Affiche la la table de transmission MAC.

GESTIONDEBASEDESCOMMUTATEURS
Sauvegardeetrestaurationdesconfigurationdescommutateur

Comm1#copy system:running-config flash:startup-config : Nom du fichier de destination [startup-config] ?


: Version officielle de la commande de copie de Cisco IOS. Confirmez le nom du fichier de destination.
Appuyez sur la touche Entre pour valider ou sur les touches Crtl+C pour annuler.
Comm1#copy running-config startup-config Nom du fichier de destination [startup-config] ? : Version non
officielle de la commande de copie. Il est suppos alors que la configuration en cours est excute sur le
systme et que le fichier de configuration de dmarrage sera stock dans la mmoire vive non volatile
flash. Appuyez sur la touche Entre pour valider ou sur les touches Crtl+C pour annuler.
Comm1#copy startup-config flash:config.bak1 Nom du fichier de destination [config.bak1] ? : Sauvegardez
la configuration de dmarrage dans un fichier stock dans la mmoire vive non volatile flash. Confirmez le
nom du fichier de destination. Appuyez sur la touche Entre pour valider ou sur les touches Crtl+C pour
annuler.
RESTAURER

Comm1#copy flash:config.bak1 startup-config : Nom du fichier de destination [startup-config] ? : Copiez le


fichier config.bak1 stock dans la mmoire flash dans la configuration de dmarrage qui doit tre stocke
dans la mmoire flash. Appuyez sur la touche Entre pour valider et sur les touches Crtl+C pour annuler.
Comm1#reload System configuration has been modified. Save? [yes/no]: n Proceed with reload?
[confirm]? : Demandez Cisco IOS de redmarrer le commutateur. Si vous avez modifi le fichier de
configuration en cours, le systme vous demande de lenregistrer. Confirmez par un y (oui) ou un n
(non). Pour confirmer le rechargement, appuyez sur la touche Entre pour valider ou sur les touches
Crtl+C pour annuler.
SURSERVEURTFTP

http://www.actualitix.com/commandescommutateurscisco.html

4/15

30/8/2015

CommandescommutateursCisco

#copy tftp:[[[//emplacement]/rpertoire]/nom_fichier] system:running-config


ou
#copy tftp:[[[//emplacement]/rpertoire]/nom_fichier] nvram:startup-config. : Tlchargez le fichier de
configuration du serveur TFTP afin de configurer le commutateur. Prcisez ladresse IP ou le nom dhte
du serveur TFTP, ainsi que le nom du fichier tlcharger.
Supprimerconfiguration

switch#erase nvram: ou erase startup-config : supprimer la configuration

CONFIGURATIONDELASECURITE
Motdepasseconsole

Comm1#configure terminal : Passer du mode dexcution privilgi au mode de configuration globale.


Comm1(config)#line con 0 : Passer du mode de configuration globale au mode de configuration de ligne
pour la console 0.
Comm1(config-line)#password cisco : Dfinir cisco en tant que mot de passe pour la ligne de console 0 sur
le commutateur.
Comm1(config-line)#login : Dfinir la ligne de console pour exiger la saisie du mot de passe avant loctroi
de laccs.
Comm1(config-line)#end : Quitter le mode de configuration de ligne et revenir en mode dexcution
privilgi.
Pour le mot de passe terminal il suffit de mettre la place de Comm1(config)#line con 0 mettre
Comm1(config)#line vty 0 4
Motdepasseexecutionprivilgi

Comm1#configure terminal : Passer du mode dexcution privilgi au mode de configuration globale.


Comm1(config)#enable secret mot_de_passe : Configurer le mot de passe enable secret pour le passage
en mode dexcution privilgi.
Comm1(config)#end : Quitter le mode de configuration de ligne et revenir en mode dexcution privilgi.
Chiffrertouslesmotsdepasseduncoup

switch#conf t
switch(config)#service password-encryption
Recuperationdemotdepasaprsoublis

Pour rcuprer le mot de passe sur un commutateur Cisco 2960, procdez comme suit :
tape 1. Au moyen dun logiciel dmulation de terminal, connectez un terminal ou un PC au port de la
console du commutateur.
tape 2. Dfinissez le dbit de la ligne dans le logiciel dmulation 9 600 bauds.
tape 3. Mettez le commutateur hors tension. Reconnectez le cordon dalimentation au commutateur,
puis appuyez sur le bouton Mode pendant les 15 secondes qui suivent tandis que le LED systme continue
de clignoter en vert. Maintenez le bouton Mode enfonc jusqu ce que le LED systme devienne
http://www.actualitix.com/commandescommutateurscisco.html

5/15

30/8/2015

CommandescommutateursCisco

brivement orange, puis prenne une couleur verte dfinitive. Relchez ensuite le bouton Mode.
tape 4. Initialisez le systme de fichiers flash laide de la commande flash_init.
tape 5. Chargez tous les fichiers daide au moyen de la commande load_helper.
tape 6. Affichez le contenu de la mmoire flash laide de la commande dir flash :
Le systme de fichiers du commutateur apparat :
Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX 11 -rwx 5825 Mar 01
1993 22:31:59 config.text 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat 16128000 bytes total (10003456
bytes free)
tape 7. laide de la commande rename flash:config.text flash:config.text.old, modifiez le fichier de
configuration en le renommant config.text.old , soit le fichier contenant la dfinition du mot de passe.
tape 8. Dmarrez le systme avec la commande boot.
tape 9. Le systme vous demande de dmarrer le programme de configuration. linvite, entrez N et
lorsque le systme vous demande si vous souhaitez poursuivre dans la bote de dialogue de configuration,
entrez N.
tape 10. linvite du commutateur, entrez le mode dexcution privilgi en vous servant de la
commande enable.
tape 11. Utilisez la commande rename flash:config.text.old flash:config.text pour renommer le fichier de
configuration daprs son nom dorigine.
tape 12. Copiez le fichier de configuration dans la mmoire laide de la commande copy
flash:config.text system:running-config. Une fois cette commande entre, le texte suivant saffiche dans la
console :
Source filename [config.text]?
Destination filename [running-config]?
Appuyez sur la touche Entre en rponse linvite de confirmation. Le fichier de configuration est
dsormais recharg et vous pouvez modifier le mot de passe.
tape 13. Passez en mode de configuration globale au moyen de la commande configure terminal.
tape 14. Modifiez le mot de passe en utilisant la commande enable secret mot de passe.
tape 15. Repassez en mode dexcution privilgi avec la commande exit.
tape 16. Inscrivez la configuration en cours dans le fichier de configuration de dmarrage au moyen de la
commande copy running-config startup-config.
tape 17. Rechargez le commutateur laide de la commande reload.
Remarque : la procdure de rcupration de mots de passe peut varier selon la gamme de commutateurs
Cisco. Pensez alors vous reporter la documentation du produit avant toute tentative de rcupration.
Creerunebannieredeconnexion

Comm1#configure terminal
Comm1(config)#banner login Personnel autoris uniquement : Configurer une bannire de connexion.
Ou alors :
http://www.actualitix.com/commandescommutateurscisco.html

6/15

30/8/2015

CommandescommutateursCisco

Comm1(config)#banner login & ou & definit fin du texte


Pourlemotd

Comm1#configure terminal
Comm1(config)#banner motd Personnel autoris uniquement : Configurer une bannire de connexion.
Ou alors :
Comm1(config)#banner motd & ou & definit fin du texte : La bannire MOTD affiche tous les terminaux
connects la connexion et permet de transmettre des messages destins tous les utilisateurs du
rseau (pour les avertir, par exemple, dun arrt imminent du systme). La bannire MOTD apparat avant
la configuration de la bannire de connexion.
Accesavectelnetetssh

Si vous devez ractiver le protocole Telnet sur un commutateur Cisco 2960, utilisez la commande suivante
partir du mode de configuration de ligne : (config-line)#transport input telnet ou (config-line)#transport
input all.
Parametrersshsurserveurcisco

tape 1. Passez en mode de configuration globale au moyen de la commande configure terminal.


tape 2. Configurez un nom dhte pour votre commutateur au moyen de la commande hostname
nom_hte.
tape 3. Configurez un domaine hte pour votre commutateur laide de la commande ip domain-name
nom_domaine.
tape 4. Activez le serveur SSH en vue dune authentification locale et distante sur le commutateur et
gnrez une paire de cls RSA en utilisant la commande crypto key generate rsa.
Lorsque vous crez des cls RSA, le systme vous demande dentrer une longueur de modulus. Cisco
prconise lutilisation dune taille de modulus de 1024 bits. Une longueur de modulus plus importante
peut savrer plus sre, mais sa cration et son utilisation prennent plus de temps.
tape 5. Repassez en mode dexcution privilgi laide de la commande end.
tape 6. Affichez ltat du serveur SSH sur le commutateur en vous servant de la commande show ip ssh
ou show ssh.
Pour supprimer la paire de cls RSA, utilisez la commande de configuration globale crypto key zeroize rsa.
Une fois la paire de cls RSA supprime, le serveur SSH est automatiquement dsactiv.
Configuration du serveur SSH
Dbutez en mode dexcution privilgi et procdez comme suit pour configurer le serveur SSH.
tape 1. Passez en mode de configuration globale au moyen de la commande configure terminal.
tape 2. (Facultatif) Configurez le commutateur pour excuter SSHv1 ou SSHv2 laide de la commande ip
ssh version [1 | 2].
Si vous nentrez pas cette commande ou ne spcifiez aucun mot de passe, le serveur SSH slectionne la
dernire version SSH prise en charge par le client SSH. Par exemple, si le client SSH prend en charge les
versions SSHv1 et SSHv2, le serveur SSH choisit la version SSHv2.
http://www.actualitix.com/commandescommutateurscisco.html

7/15

30/8/2015

CommandescommutateursCisco

tape 3. Configurez les paramtres de contrle SSH :


Prcisez la valeur de dlai dattente en secondes. La valeur par dfaut est 120 secondes. La valeur peut
aller de 0 120 secondes. Pour une connexion SSH tablir, vous devez excuter plusieurs phases, telles
que la connexion, la ngociation de protocole et la ngation de paramtre. La valeur de dlai dattente
dsigne le temps que le commutateur autorise pour ltablissement dune connexion.
Par dfaut, cinq connexions SSH chiffres simultanes sont disponibles au maximum pour plusieurs
sessions de linterface de ligne de commande (ILC) sur le rseau (session 0 session 4). Aprs le
dmarrage de linterprteur de commandes dexcution, le dlai dattente de la session dinterface de ligne
de commande revient sa valeur par dfaut de 10 minutes.
Prcisez le nombre de fois quil est possible dauthentifier de nouveau un client sur le serveur. La valeur
par dfaut est 3 dans un ventail de 0 5. Par exemple, un utilisateur peut dfinir trois reprises un
temps dattente de dix minutes avant que la session ne prenne fin.
Rptez cette tape lors de la configuration de ces deux paramtres. Pour configurer ces paramtres,
utilisez la commande ip ssh {timeoutsecondes | authentication-retries nombre}.
tape 4. Repassez en mode dexcution privilgi laide de la commande end.
tape 5. Indiquez ltat des connexions du serveur SSH sur le commutateur en vous servant de la
commande show ip ssh ou show ssh.
tape 6. (Facultatif) Enregistrez vos entres dans le fichier de configuration laide de la commande copy
running-config startup-config.
Si vous souhaitez viter des connexions non SSH, ajoutez la commande transport input ssh en mode de
configuration de ligne afin de limiter le commutateur aux connexions SSH uniquement. Les connexions
Telnet directes (non SSH) sont rejetes.
Blocagedesportsnonfiablecontreattaquedhcp

La procdure ci-aprs illustre la manire de configurer la surveillance DHCP sur un commutateur Cisco
IOS :
tape 1. Activez la surveillance DHCP laide de la commande de configuration globale ip dhcp snooping.
tape 2. Activez la surveillance DHCP pour des rseaux locaux virtuels spcifiques au moyen de la
commande ip dhcp snooping vlan number [ nombre].
tape 3. Au niveau de linterface, dfinissez les ports comme tant fiables ou non en dfinissant les ports
fiables avec la commande ip dhcp snooping trust.
tape 4. (Facultatif) Pour limiter la frquence laquelle un pirate peut perptuellement transmettre de
fausses requtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping
limit rate frquence.
EviterlespaquetsCDP

Il faut les desactiver sur les peripherique inutiles, ils sont de niveau deux donc ne passe pas les routeurs.
La figure montre une partie dune capture de paquets Ethereal dvoilant lintrieur dun paquet CDP. La
version du logiciel Cisco IOS dcouverte par CDP permettrait notamment au pirate de rechercher et
http://www.actualitix.com/commandescommutateurscisco.html

8/15

30/8/2015

CommandescommutateursCisco

didentifier quelques points vulnrables en matire de scurit inhrents cette version spcifique du
code. De mme, du fait que CDP nest pas authentifi, un pirate peut concevoir de faux paquets CDP et les
transmettre via le priphrique Cisco directement connect dont il dispose.
Pour rsoudre ce problme de vulnrabilit, il est prfrable de dsactiver CDP sur les priphriques sur
lesquels ce protocole est inutile.
Sur commutateur blocage des ports non fiable pour requete dhcp La procdure ci-aprs illustre la
manire de configurer la surveillance DHCP sur un commutateur Cisco IOS :
tape 1. Activez la surveillance DHCP laide de la commande de configuration globale ip dhcp snooping.
tape 2. Activez la surveillance DHCP pour des rseaux locaux virtuels spcifiques au moyen de la
commande ip dhcp snooping vlan number [ nombre].
tape 3. Au niveau de linterface, dfinissez les ports comme tant fiables ou non en dfinissant les ports
fiables avec la commande ip dhcp snooping trust.
tape 4. (Facultatif) Pour limiter la frquence laquelle un pirate peut perptuellement transmettre de
fausses requtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping
limit rate frquence.
Eviterattaquemotdepasseparforcebrute

La chose la plus simple faire de votre ct pour limiter votre vulnrabilit face aux attaques en force est
de modifier frquemment vos mots de passe et dutiliser des mots de passe forts combinant au hasard
des lettres en majuscules et minuscules et des chiffres. Des configurations plus avances vous permettent
de limiter les personnes autorises communiquer avec les lignes vty grce des listes daccs, mais ce
sujet nest pas au programme de ce cours.
Securiserlesportsavecadressemac

Types dadresses MAC scurises


Il existe plusieurs faons de configurer la scurit des ports. Les sections suivantes dcrivent les moyens
de configurer la scurit des ports sur un commutateur Cisco :
Adresses MAC scurises statiques : les adresses MAC sont configures manuellement laide de la
commande de configuration dinterface switchport port-security mac-address adresse_mac. Les adresses
MAC configures de cette manire sont stockes dans la table dadresses et sont ajoutes la
configuration en cours sur le commutateur.
Adresses MAC scurises dynamiques : les adresses MAC sont assimiles de manire dynamique et
stockes uniquement dans la table dadresses. Les adresses MAC configures ainsi sont supprimes au
redmarrage du commutateur.
Adresses MAC scurises rmanentes : vous pouvez configurer un port pour assimiler dynamiquement
des adresses MAC, puis enregistrer ces dernires dans la configuration en cours.
Adresses MAC rmanentes
Les adresses MAC scurises rmanentes prsentent les caractristiques suivantes :
Lorsque vous activez lapprentissage rmanent dans une interface au moyen de la commande de
http://www.actualitix.com/commandescommutateurscisco.html

9/15

30/8/2015

CommandescommutateursCisco

configuration dinterface switchport port-securitymac-address sticky, linterface convertit toutes les


adresses MAC scurises dynamiques, y compris celles qui ont t dynamiquement assimiles avant que
lapprentissage rmanent ne soit activ, en adresses MAC scurises rmanentes et ajoute lensemble de
ces dernires dans la configuration en cours.
Si vous dsactivez lapprentissage rmanent laide de la commande de configuration dinterface no
switchport port-security mac-address sticky, les adresses MAC scurises rmanentes restent intgres
la table dadresses mais sont supprimes de la configuration en cours. Lorsque vous faites appel la
commande de configuration dinterface switchport port-security mac-address sticky adresse_mac pour
configurer des adresses MAC scurises rmanentes, ces dernires sont ajoutes la table dadresses et
la configuration en cours. Si vous dsactivez la scurit du port, les adresses MAC scurises rmanentes
demeurent dans la configuration en cours.
Si vous enregistrez les adresses MAC scurises rmanentes dans le fichier de configuration, il nest pas
ncessaire pour linterface de rassimiler ces adresses lorsque vous redmarrez le commutateur ou
arrtez linterface. Si vous ne les enregistrez pas, les adresses MAC scurises rmanentes seront perdues.
Si vous dsactivez lapprentissage rmanent et entrez la commande de configuration dinterface
switchport port-security mac-address sticky adresse_mac, un message derreur apparat et ladresse MAC
scurise rmanente nest pas ajoute dans la configuration en cours
Modedeviolationdelasecurit

Vous pouvez configurer linterface pour lun des trois modes de violation en fonction de laction
entreprendre en cas de violation. La figure illustre les types de trafic de donnes transmis lorsque lun des
modes de violation de scurit suivants est configur sur un port :
protect : lorsque le nombre dadresses MAC scurises atteint la limite autorise sur le port, des paquets
munis dadresses source inconnues sont ignors jusqu ce que vous supprimiez un nombre suffisant
dadresses MAC scurises ou augmentiez le nombre maximal dadresses autoriser. Aucun message de
notification ne vous est adress en cas de violation de la scurit.
restrict : lorsque le nombre dadresses MAC scurises atteint la limite autorise sur le port, des paquets
munis dadresses source inconnues sont ignors jusqu ce que vous supprimiez un nombre suffisant
dadresses MAC scurises ou augmentiez le nombre maximal dadresses autoriser. Ce mode vous
permet dtre inform si une violation de la scurit est constate. Dans ce cas, une interruption SNMP est
transmise, un message syslog est consign et le compteur de violation est incrment.
shutdown : si vous optez pour ce mode, toute violation de scurit de port entrane immdiatement la
dsactivation de lenregistrement des erreurs dans linterface et celle de la LED du port. Une interruption
SNMP est galement transmise, un message syslog est consign et le compteur de violation est
incrment. Lorsquun port scuris opre en mode de dsactivation des erreurs, vous pouvez annuler cet
tat par simple saisie des commandes de configuration dinterface shutdown et no shutdown. Il sagit du
mode par dfaut.
Configurationdelasecuritdesports
http://www.actualitix.com/commandescommutateurscisco.html

10/15

30/8/2015

CommandescommutateursCisco

Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Prcisez le type et le numro de linterface physique
configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration dinterface. Utilisez la
commande Cisco IOS
Comm1(config-if)#switchport mode access : Dfinissez le mode dinterface en accs. Vous ne pouvez pas
configurer une interface en tant que port scuris selon le mode dynamique par dfaut appropri. Utilisez
la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la scurit des ports sur linterface. Utilisez la
commande Cisco IOS :
Configurationavancdelasecuritdesports

Comm1#configure terminal
Comm1(config)#interface fastEthernet 0/18 : Prcisez le type et le numro de linterface physique
configurer (par exemple, fastEthernet F0/18) et passez en mode de configuration dinterface. Utilisez la
commande Cisco IOS
Comm1(config-if)#switchport mode access : Dfinissez le mode dinterface en accs. Vous ne pouvez pas
configurer une interface en tant que port scuris selon le mode dynamique par dfaut appropri. Utilisez
la commande Cisco IOS
Comm1(config-if)#switchport port-security : Activez la scurit des ports sur linterface. Utilisez la
commande Cisco IOS :
Comm1(config-if)#switchport port-security maximum 50 : Dfinissez le nombre maximal dadresses
scurises 50. Utilisez la commande Cisco IOS :
Comm1(config-if)#switchport port-security mac-address sticky : Activez lapprentissage rmanent. Utilisez
la commande Cisco IOS :
Verificationdelasecuritdesports

switch#show port-security [interface id_interface] : Pour afficher les paramtres de scurit des ports du
commutateur ou de linterface spcifie
switch#show port-security [interface id_interface] : Pour afficher toutes les adresses MAC scurises
configures dans toutes les interfaces de commutation ou sur une interface dfinie avec informations
dobsolescence pour chacune
Desactiverlesportsquinesonpasutilis

Utiliser shutdown et interface range

CONFIGURATIONDESVLANS
Activationvlanvoix

s3(config)#interface fa0/18
s3(config-if)#mls qos trust cos : garantit que le trafic vocal est identifi en tant que trafic prioritaire.
Noubliez pas que le rseau tout entier doit tre configur de manire donner la priorit au trafic vocal.
http://www.actualitix.com/commandescommutateurscisco.html

11/15

30/8/2015

CommandescommutateursCisco

Vous ne pouvez pas simplement configurer le port avec cette commande.


s3(config-if)#switchport voice vlan 150 : identifie le VLAN 150 en tant que VLAN voix. Vous pouvez vrifier
que cest bien le cas dans la capture dcran du bas : Voice VLAN: 150 (VLAN0150).
s3(config-if)#switchport mode access
s3(config-if)#switchport access vlan 20 : configure le VLAN 20 en tant que VLAN (de donnes) en mode
accs. Vous pouvez vrifier que cest bien le cas dans la capture dcran du bas : Access Mode VLAN: 20
(VLAN0020).
s3(config-if)#end
s3#show interface fa0/18 switchport
Ajoutdunrseaulocalvirtuel

Comm1#configure terminal : Passer en mode de configuration globale sur le commutateur Comm1.


Comm1(config)#vlan id_vlan : Crer un VLAN. id_vlan est le numro de VLAN crer. Passe en mode de
configuration de VLAN pour lID de VLAN du VLAN.
Comm1(config-vlan)#name nom_vlan : (Facultatif) Spcifier un nom de VLAN unique pour identifier le
VLAN. Si aucun nom nest entr, le numro de VLAN, complt par des zros, est ajout au mot VLAN ,
comme par exemple VLAN0020.
Comm1(config-if)#end
Affectationdunportdecommutateur

Comm1#configure terminal : Passer en mode de configuration globale sur le commutateur Comm1.


Comm1(config)#interface F0/1 : Passer en mode de configuration dinterface.
Comm1(config-if)#switchport mode trunk : Dfinir linterface F0/1 comme agrgation IEEE 802.1Q
Comm1(config-if)#switchport trunk native vlan 99 : Configurer le VLAN 99 en tant que VLAN natif.
Comm1(config-if)#end
Vrificationdesrseauxloauxvirtuelsetdesappartenancesdesports

La commande show vlan


show vlan [brief | id id_vlan | name nom_vlan | summary].
brief : Afficher une ligne pour chaque VLAN comportant le nom du VLAN, son tat et ses ports.
id id_vlan : Afficher des informations sur un VLAN unique identifi par un numro dID de VLAN. La valeur
id_vlan peut tre comprise entre 1 et 4094.
name nom_vlan : Afficher des informations sur un VLAN unique identifi par un nom de VLAN. Le nom de
VLAN est une chane ASCII de 1 32 caractres de long..
summary : Afficher un rsum sur les VLAN.
La commande show interfaces
show interfaces [id_interface | vlan id_vlan] | switchport
id_interface : Les interfaces autorises comprennent les ports physiques (y compris le type, le module et le
http://www.actualitix.com/commandescommutateurscisco.html

12/15

30/8/2015

CommandescommutateursCisco

numro de port) et les canaux de port. La plage des canaux de port est comprise entre 1 et 6.
vlan id_vlan : Identification du VLAN. La plage est comprise entre 1 et 4094. >
switchport : Afficher ltat administratif et oprationnel dun port de commutation, y compris les
paramtres de blocage et de protection du port.
Grerlesappartenancesdesports

Comm1#configure terminal : Passer en mode de configuration globale.


Comm1(config)#interface id_interface : Passer en mode de configuration dinterface pour configurer
linterface.
Comm1(config-if)#no switchport access vlan : Supprimer laffectation de VLAN sur cette interface de port
de commutateur et revenir lappartenance par dfaut au VLAN 1.
Comm1(config-if)#end : Repasser en mode dexcution privilgi.
Configurationduneagrgation802.1Q

Comm1#configure terminal : Passer en mode de configuration globale.


Comm1(config)#interface id_interface : Passer en mode de configuration dinterface pour configurer
linterface.
Comm1(config-if)#switchport mode trunk : Forcer la liaison reliant les commutateurs devenir une liaison
agrge.
Comm1(config-if)#switchport trunk native vlan id_vlan : Spcifier un autre VLAN en tant que VLAN natif
pour le trafic non tiquet pour les agrgations IEEE 802.1Q.
Comm1(config-if)#end : Repasser en mode dexcution privilgi.
Pour vrifier la configuration dune agrgation : show interfaces id_interface switchport.
Gestiondelaconfigurationduneagrgation

Comm1#configure terminal : Passer en mode de configuration globale.


Comm1(config-if)#no switchport trunk allowed vlan : Utilisez cette commande en mode de configuration
dinterface pour rinitialiser tous les VLAN configurs sur linterface dagrgation.
Comm1(config-if)#no switchport trunk native vlan : Utilisez cette commande en mode de configuration
dinterface pour rinitialiser le VLAN natif et le raffecter au VLAN 1.
Comm1(config-if)#switchport mode access : Utilisez cette commande en mode de configuration
dinterface pour rinitialiser linterface du port dagrgation en port de mode daccs statique.
ConfigurationduprotocoleRapidPVST+

configure terminal : Passer en mode de configuration globale.


spanning-tree mode rapid-pvst : Configurer le mode darbre recouvrant du protocole rapid PVST+.
interface interface-id : Spcifier une interface configurer, et accder au mode de configuration
dinterface. Les valeurs autorises pour lID de VLAN sont comprises entre 1 et 4 094. Les valeurs
autorises pour le canal de port sont comprises entre 1 et 6.
spanning-tree link-type point-to-point : Spcifier que le type de liaison pour ce port est point point.
http://www.actualitix.com/commandescommutateurscisco.html

13/15

30/8/2015

CommandescommutateursCisco

end : Repasser en mode dexcution privilgi.


clear spanning-tree detected-protocols : Dsactiver tous les protocoles STP dtects.
Vrifier la configuration du protocole Rapid PVST+
show spanning-tree interface_id
ConfigurationduroutageentreVLAN

Sur le commutateur :
Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport access vlan 10
Comm1(config-if)#interface f0/4
Comm1(config-if)#switchport access vlan 30
Comm1(config-if)#end
Sur le routeur :
R1#configure terminal
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.10 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface f0/1
R1(config-if)#ip address 192.168.3.10 255.255.255.0
R1(config-if)#no shutdown
ConfigurationduroutageentreVLANRouteronaStick

Sur le commutateur :
Comm1#configure terminal
Comm1(config)#vlan10
Comm1(config-vlan)#vlan30
Comm1(config-vlan)#exit
Comm1(config)#interface f0/11
Comm1(config-if)#switchport mode trunk Comm1(config-if)#end
Sur le routeur :
R1#configure terminal
R1(config)#interface f0/0.10

http://www.actualitix.com/commandescommutateurscisco.html

14/15

30/8/2015

CommandescommutateursCisco

R1(config-if)#encapsulation dot1q 10 R1(config-if)#ip address 192.168.1.10 255.255.255.0


R1(config)#interface f0/0.30
R1(config-if)#encapsulation dot1q 30 R1(config-if)#interface f0/1
R1(config-if)#ip address 192.168.3.10 255.255.255.0
R1(config-if)#no shutdown

http://www.actualitix.com/commandescommutateurscisco.html

15/15