Vous êtes sur la page 1sur 6

7.

1) Configurez les paramètres de 8. S1(config-if)#switchport port-security mac-address


000B.BE25.5A0C ( ou sticky)
base
Configurer le nom et mot de passe d un routeur
S(config)# hostname S1
S1(config)# service password-encryption
S1(config)# enable secret class
Désactiver recherché dns
S1(config)# no ip domain-lookup.
Banière de connexion
S1(config)# banner motd #message#.
4) Configuration des Vlans
Configurer @ip switch
S1(config)# interface vlan99
S1(config-if)# ip address 192.168.1.2 255.255.255.0
S1(config-if)#description
S1(config-if)# no shutdown
Configuration de la passerelle d un switch
S1(config)# ip default-gateway 192.168.1.1 Créer vlan :
Active telnet avec password 1. S1(config)# vlan 10
S1(config)# line vty 0 4 2. S1(config-vlan)# name Student
S1(config-line)# password cisco
S1(config-line)# login Affecter un port à un vlan :
S1(config-line)# logging synchronous
Active telnet avec login + password 3. S1(config)# interface f0/2
#usernam adam password adam 4. S1(config-if)# switchport access vlan 10 //pour
S1(config)# line vty 0 4 pc
S1(config-line)# login local 5. S1(config-if)# switchport voice vlan 10 //pour
telephone
Activez le service DNS
(config)# ip dns server //activ service // sur routeur real Configure interface l Agrégation/ trunk
(config)# ip name-server 8.8.8.8 17.10.246.1 //@ip de serveur 6. S1(config)# interface range f0/1,f0/3
2) Configuration de SSH 7. S1(config-if)# switchport mode trunk
8. switchport trunk allowed vlan 10,50// all
9. switchport trunk allowed vlan remove 5-11,12
switchport trunk allowed vlan add 50
0.hostname sw1
1. S1(config)# ip domain-name cisco.com Désactiver la négociation DTP
SW(config-if)# switchport nonegotiate
2. S1(config)# crypto key generate rsa
3.
4. S1(config)# username userssh secret passssh un trunk dynamique. Avec DTP
5. S1(config)#line vty 0 4 W(config-if)#switchport mode dynamic ?
S1(config-line)# transport input ssh Auto
S1(config-line)# login local Desirable
6. S1(config)# ip ssh version 2 // key>=1024
7. Pc>ssh -l userssh 192.168.1.1 (pour le client)

3) Configuration de la Sécurité des


ports d’un Switch

1. S1(config)#interface f0/1
2. S1(config-if)#switchport mode access
3. S1(config-if)# switchport port-security
4. S1(config-if)#switchport port-security maximum 2
5. S1(config-if)#switchport port-security violation
SHUTDOWN
6. show port-security interface fastEhernet x/x
Crée sous interface pour un vlan dans le R2(config-if)# glbp 1 load-balancing round-robin

routeur GLBP propose trois modes d’équilibrage de charge :


10. R1(config)#interface g0/1.10
11. R1(config-if)# encapsulation dot1Q 10// en 1ere
lieu Round Robin (le mode par défaut) : Pour chaque
12. R1(config-if)# ip address 192.168.10.1 requête ARP, on renvoi l’adresse Mac virtuelle
255.255.255.0 immédiatement disponible. Un Tour de role
13. Configuration vtp :
 Weighted : Le poids de chaque interface du groupe
Sw(conf)#vtp mode server /clien/transparent GLBP définit la proportion de trafic à envoyer sur chaque
Sw(conf)#vtp domain ista.ma routeur. GLBP propose trois modes d’équilibrage de
charge :. glbp 1 weighting XXX
Sw(conf)#vtp password 123

Sauvegarder la configuration dans un Host-dependent : Chaque client générant une


requête ARP recevra toujours la même adresse Mac
serveur TFTP virtuelle.
R# copy runnin tftp
EtherChannel(PAgP)
?@ip serveur S1(config)# interface range f0/3-4
S1(config-if-range)#channel-protocol PAGP
? le nom de fichier S1(config-if-range)# channel-group 2 mode desirable(auto)
S1(config-if-range)# no shutdown
Accede a l interface :
5) PVST et Etherchanel S1(config)# interface port-channel 2
PVST et Rapide PVST S1(config-if)#
EtherChannel(LACP)
S1(config)# spanning-tree vlan 1 root primary S1(config)# interface range f0/3-4
S1(config-if-range)#channel-protocol LACP
S1(config)# spanning-tree vlan 1 root secondary
S1(config-if-range)# channel-group 2 mode active/passive
S1(config)# spanning-tree vlan 1 priority 24576
S1(config-if-range)# no shutdown
S1(config)# spanning-tree mode rapid-pvst EtherChannel mode OIN
S1(config)# interface f0/0 S2(config)# interface range f0/1-2
S1(config-if)# spanning-tree portfast S2(config-if-range)# channel-group 2 mode ON
S1(config-if)# spanning-tree bpduguard enable S2(config-if-range)# no shutdown
Pour la verification
S1(config)# Show spanning-tree Sur un routeur
Router(config)#interface port-channel 2
Ip add 10.0.0.1 255.0.0.0

HSRP Interface f0/0


R1(config)# interface g0/1 g-if)# channel-group 2
R1(config-if)# standby 1 ip 192.168.1.254 //OBLIGATOIR
R1(config-if)# standby 1 priority 150 interface f0/1
R1(config-if)# standby 1 preempt g-if)# channel-group 2
standby 6 track serial 0/0 60 6) Routage static
VRRP SUR ROUTEUR REAL 1. R3(config)# ip route 192.168.10.0 255.255.255.0 se2/0
R1(config)# interface g0/1
R1(config-if)# vrrp 1 ip 192.168.1.254 2. e(config)# ipv6 route ::/0 serial 2/0
R1(config-if)# vrrp 1 priority 150
R1(config-if)# vrrp 1 preempt
3.

GLBP SUR ROUTEUR REAL 4. Routage RIP


R2(config)# interface g0/1
R2(config-if)# glbp 1 ip 192.168.1.254
R2(config-if)# glbp 1 preempt 5. R1(config)# router rip
R2(config-if)# glbp 1 priority 150 6. R1(config-router)# version 2
R1(config)# router eigrp 10
7. R1(config-router)#network 192.168.1.0 R1(config-router)# network 10.1.1.0 0.0.0.3
8. R2(config-router)# default-information originate R1(config-router)# passive-interface g0/0
R1(config- router)# redistribute static
9. R1(config-router)# passive-interface g0/0
R1(config)# ipv6 router eigrp 1
R1(config-rtr)# router-id 1.1.1.1
10. R2(config)# ipv6 unicast-routing R1(config-rtr)# redistribute static
11. R2(config)#ipv6 router rip ripv6 No sh
R1(config)# interface g0/0
12. R2(config-if)#ipv6 rip ripv6 enable R1(config-if)# ipv6 eigrp 1
13. R2(config-rtr)# ipv6 rip ripv6 default- R1(config-if)# ipv6 summary-adress eigrp 1 200:100::/48
information originate
 Configurer l'interface qui va annoncer les mises à
7) Configuration OSPF jours aux autres routeurs (ici : se 0/0/0).
R1(config)# router ospf 1 TUTOS(config)#interface serial 0/0/0
R1(config-router)# router-id 11.11.11.11 TUTOS(config-if)#ip summary-address eigrp 1
R1(config-router)# network 192.168.1.0 0.0.0.255 area 0 192.168.0.0 255.255.252.0
R1(config-router)# passive-interface g0/0 TUTOS(config-if)#exit
R1(config-router)# auto-cost reference-bandwidth 100  Compléter EIGRP et configurer les réseaux
Pour resume des route directement connectés (pensez à bien utiliser le résumé
R1(config-rtr)# area 1 range 192.168.0.0 255.255.252.0 de route pour les réseaux 192.168.0.0/23 et
192.168.2.0/26).
R2(config)# ipv6 router ospf 1 TUTOS(config)#router eigrp 1
R2(config-rtr)# router-id 1.1.1.1 TUTOS(config-router)#network 192.168.0.0
R2(config-rtr)# passive-interface g0/0 0.0.3.255
R2(config-rtr)# area 1 range 2001:DB8:ACAD::/62 TUTOS(config-router)#network 10.0.0.0 0.0.0.3
R2(config)# interface g0/0 TUTOS(config-router)#end
R2(config-if)# ipv6 ospf 1 area 0
virtual-link
9) Configuration des ACLs
R1(config)#router ospf 1 R3(config)# access-list 1 remark Allow R1 LANs Access
R1(config-router)#area 1 virtual-link 192.168.23.2 // ip R3(config)# access-list 1 permit 192.168.10.0 0.0.0.255
router distant sur autre zone R3(config)# access-list 121 permit tcp 192.168.0.0 .0.0.255
any eq 80
R3(config)# interface g0/1
R3(config-if)# ip access-group 1 out
Dans un reseau frame relais
A) Topologie hub an spock R1(config)# ip access-list standard BRANCH-OFFICE-
POLICY
1-Sur Routeur central R1(config-std-nacl)# permit host 192.168.30.3
Router ospf 1 R1(config)# ip access-list extended BRANCH-1
Neighbors 10.0.0.2 R1(config-std-nacl)# permit tcp any host 192.168.30.3 eq 80
Neighbors 10.0.0.3 //ajouter les routeurs d extremite R1(config)# interface g0/1
R1(config-if)# ip access-group BRANCH-OFFICE-POLICY out
2-Sur les routeur extremite R1(config)# line vty 0 4
Interface se0/0 R1(config-line)# access-class ADMIN-MGT in
Ip ospf priority 0 // pour que le central seulement sera le
DR R1(config)# ipv6 access-list RESTRICT-VTY
B) Topologie maille R1(config-ipv6-acl)# permit tcp 2001:db8:acad:a::/64 any
Sur l ensemble des routeur R1(config-ipv6-acl)# int g0/1
Interface s0/0 R1(config-if)# ipv6 traffic-filter RESTRICTED-LAN out
if)#ip ospf network broadcast R1(config-ipv6-acl)# line vty 0 4
R1(config-line)# ipv6 access-class RESTRICT-VTY in
C) ospf avec ipv6 sous frame relay 10) Configuration DHCP
utiliser mappage statique pas inver-arp pour ipv 6 R2(config)# ip dhcp pool R1G1
R2(dhcp-config)# network 192.168.1.0
255.255.255.0
Interface s0/0
if)# no frame-relay inverse-arp R2(dhcp-config)# default-router 192.168.1.1
if)# frame-relay map ipv6 2000::1 19 broadcast R2(dhcp-config)# dns-server 209.165.200.225
R2(dhcp-config)# domain-name ccna-lab.com
8) Configuration EIGRP R2(dhcp-config)# lease 2
R2(dhcp-config)# exit R3(config)# interface multilink 1
R2(config)# ip dhcp excluded-address 192.168.0.1 192.168.0.9 R3(config-if)# ppp multilink
R3(config-if)# ppp multilink group 1
11) Configuration Agent de relais R3(config)# interface s0/0/0
DHCP R3(config-if)# ppp multilink
R3(config-if)# ppp multilink group 1
R1(config)# interface g0/0
R1(config-if)# ip helper-address 192.168.2.254
sans état commutateur Frame Relay
R3(config)# ipv6 dhcp pool IPV6POOL-A FR(config)# frame-relay switching
R1(config-dhcpv6)# dns-server 2001:db8:acad:a::abcd FR(config-if)# ipv6 ospf network broadcast//ou bien ip
R1(config)# interface g0/1 FR(config)# interface s0/0/0
R1(config-if)# ipv6 dhcp server IPV6POOL-A FR(config-if)# encapsulation frame-relay
R1(config-if)# ipv6 nd o FR(config-if)# frame-relay intf-type dce (pour interface DTE)
FR(config-if)# frame-relay route 103 interface s0/0/1 301
Avec état FR(config-if)# no shutdown
R1(config)# ipv6 dhcp pool IPV6POOL-A
R1(config-dhcpv6)# address prefix 2001:db8:acad:a::/64 Routeur Frame Relay
R1(config)# interface g0/1 R1(config)# interface s0/0/0
R1(config-if)# ipv6 nd m R1(config-if)# encapsulation frame-relay (cisco|ietf)
R1(config-if)# frame-relay lmi-type (cisco|ansi|q933a)
12) Configuration NAT et PAT R1(config-if)# no frame-relay inverse-arp
Statique R1(config-if)# frame-relay map ip 10.1.1.2 103 broadcast
R1(config)# ip nat inside source static 192.168.1.20 R1(config-if)# frame-relay map ipv6 2001:db8:acad:b::3 103 b
209.165.200.225 Sous interface Frame Relay
R1(config)# interface g0/1 R3(config)# interface s0/0/0.113 point-to-point
R1(config-if)# ip nat inside // outside R3(config-subif)# frame-relay interface-dlci 113
Client PPPoE pour la connectivité
Dynamique DSL
R2(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Client(config)# interface g0/1
R2(config)# ip nat pool public_access 209.165.200.242 Client(config-if)# pppoe enable
209.165.200.254 netmask 255.255.255.224 Client(config-if)# pppoe-client dial-pool-number 1
R2(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Client(config-if)# exit
R2(config)# ip nat inside source list 1 pool public_access Client(config)# interface dialer 1
R2(config)# interface g0/1 Client(config-if)# mtu 1492
R2(config-if)# ip nat outside Client(config-if)# ip address negotiated
Client(config-if)# encapsulationn ppp
PAT
(Nat dynamique + overload)
Gateway(config)# ip nat inside source list 1 interface s2/
overload
Redirection
R3(config)# ip nat inside source static tcp 192.168.1.0
80 209.165.200.255 8080

13) PPP et FrameRelay


R2(config-if)# encapsulation hdlc

PPP chap
R1(config-)# username R2 password 123
R1(config-if)# encapsulation ppp
R1(config-if)# compres predictor
R1(config-if)# ppp quality 50
R1(config-if)# ppp authentication chap
PPP PAP
R2(config-)# username R1 password 123
R2(config-if)# encapsulation ppp Client(config-if)# dialer pool 1
R2(config-if)# ppp authentication pap Client(config-if)# ppp authentication chap callin
R2(config-if)# ppp pap sent-username R2 password 123 Client(config-if)# ppp chap hostname Client
Client(config-if)# ppp chap password ciscopppoe
PPP Multilink Client(config-if)# exit
Client(config)# ip route 0.0.0.0 0.0.0.0 dialer 1 Protocole h323 SIP IAX SCCP
Tunnel VPN GRE dhcp
WEST(config)# interface tunnel 0
WEST(config)# tunnel mode gre ip ip dhcp pool voip
WEST(config-if)# ip address 172.16.12.1 255.255.255.252 network 10.0.0.0 255.0.0.0
WEST(config-if)# tunnel source s0/0/0 (209.165.201.1) default-router 10.0.0.1
WEST(config-if)# tunnel destination 10.2.2.1 option 150 ip 10.0.0.1

14) Surveillance call manager


NTP
R1# clock set 9:39:00 05 july 2013 // conf man telephony-service
R1(config)# ntp master 5 // pour un serveur max-ephones 4
R2(config)# ntp server 10.1.1.1 // pour un client max-dn 3
R2(config)# ntp update-calendar ip source-address 10.0.0.1 port 2000
auto assign 1 to 4
Configure NTP authentication on R1, R2, and R3 using key 1
and password NTPpa55.
R1(config)# ntp authenticate ephone-dn 1
R1(config)# ntp trusted-key 1 number 100
R1(config)# ntp authentication-key 1 md5 NTPpa55 !
Syslog ephone-dn 2
R2(config)# service timestamps log datetime msec number 101
R2(config)# logging host 172.16.2.3
R2(config)# logging trap 7
Syslog local dans le routeur : Routeur_du_site_1(config)#dial-peer voice 1 voip
R2(config)# Loggine buffered 4096 /taill memoire loger kbyte Routeur_du_site_1(config-dial-peer)#destination-pattern 2…
R2#show logging #Destination commence par le n.o.2#
Routeur_du_site_1(config-dial-peer)#session target
Syslog UDP port 514 ipv4:3.0.0.2 #Passerelle Routeur_du_site_2#
Agent SNMP
Port 161 162
R1(config)# snmp-server community ciscolab ro SNMP_ACL
R1(config)# snmp-server location snmp_manager
R1(config)# snmp-server contact ciscolab_admin
R1(config)# snmp-server host 192.168.1.3 version 2c
Authentification ospf
ciscolab
R1(config)# snmp-server enable traps 1- Configuration de l’authentification MD5 sur le routeur
R1(config)# ip access-list standard SNMP_ACL 1
R1(config-std-nacl)# permit 192.168.1.3
Sans cryptage
NetFlow interface Serial0
R2(config)# ip flow-export destination 192.168.2.3 9996
R2(config)# ip flow-export version (1,5,7,8,9) ip ospf authentication-key c1$c0
R2(config)# interface s0/0/0
R2(config-if)# ip flow ingress router ospf 10
R2(config-if)# ip flow egress
area 0 authentication
Bien que le résultat de la commande show ip cache
flow 2-Avec md5 comme hash :

Routeur1(config)#interface fastethernet 1/0


show ip flow interface
Routeur1(config-if)#ip ospf message-digest-key 1 md5 aqw
Pour contrôler la configuration des paramètres
d'exportation, utilisez la commande show ip flow Routeur1(config)#router ospf 1
export, Routeur1(config-router)#area 0 authentication message-digest

Authentification Eigrp
Voix ip
R1(config)#key chain EIGRP-SECRET

R1(config-keychain)# key 1

R1(config-keychain-key)# key-string 1234

R1(config)#interface Ethernet 0/0

R1(config-if)# ip authentication mode eigrp 13 md5

R1(config-if)# ip authentication key-chain eigrp 13 EIGRP-


SECRET

1- Désactiver le service de réinitialisation des mots de passe

HDans certains cas, il peut être nécessaire de désactiver le


service qui permet de réinitialiser les mots de
passe sur un routeur. Il est important de noter ici que cette
désactivation peut avoir des conséquences
graves, par exemple, l'obligation de revenir à la configuration
par défaut de base (usine) du routeur.
R1(config)# no service passwords-recovery

2- Configurer la longueur minimale d’un mot de passe


R1(config)# security passwords min-length 10
Le routeur n'acceptera pas les mots de passe de moins de 10
caractères.
3- Limiter le nombre de tentatives de connexions échouées

R1(config)# security authentication failure rate 4 log


Au bout de 4 tentatives de connexion sans succès en moins
d'une minute, les informations seront
enregistrées dans le journal des évènements.
R1(config)# login block-for 60 attempts 4 within 10

Vous aimerez peut-être aussi