Vous êtes sur la page 1sur 13

Console

Configuration de la ligne console


Switch (config)# line console 0

Affiche les événements système sur une ligne différente de la ligne de commande en cours de saisie
Switch (config - line) # logging synchronous

Ferme automatiquement la session sur la ligne console après une période d’inactivité de 15 minutes
Switch (config - line) # exec - timeout 15

Poe Switch

Switch# configure terminal


Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet 4/1
Switch(config-if)# power inline auto/never
Switch(config-if)# end

Poe Statistic
Switch# show power inline

SSH

-Tout d'abord, il faut vérifier que l'IOS du routeur supporte ssh. La mention k9 (crypto) doit figurer dans le nom
de l'IOS. La commande pour vérifier la version de l'IOS est:

Routeur-cisco#show version
Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(23), RELEASE
SOFTWARE (fc1)

- Options ajoutées au service ssh - les évènements associés aux connexions ssh sont enregistrés.
- Un timeout de 60 secondes est ajouté pour les sessions ssh en cas d'inactivité .
- Nous laissons trois essais pour la connexion au switch.

clem(config)#ip ssh logging events


clem(config)#ip ssh time-out 15
clem(config)#ip ssh authentication-retries 3

Router (config)#username johndoe privilege 15 password password_u_choose


Router(config)# ip domain-name My Domain
Router(config)# crypto key generate rsa Module 2048
Router (config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout 10
Router(config-line)# exit

Désactivation HTTP/HTTPS

Router(config)# no ip http server


Router(config)# no ip http secure-server

Protection Contre L’attaque par force Brute


‫ ثانية‬30 ‫تجريب كلمة السر لثالث مرات خالل دقيقة نقوم بمنع اي احد من االتصال الى الراوتر لمدة‬
Router(config)# login block-for 30 attempts 3 within 60

Le temps d’attente minimum en second entre deux tentatives


Router(config)# login delay 2

Switch Spoofing
Désactiver le DTP
Dynamic Trunking Protocol ‫ أو‬DTP
Trunk Encapsulation ‫وهذا البروتوكول أحد تطويرات سيسكو ووظيفته التفاوض مع الطرف اآلخر حول نوع الـ‬
‫ الذي يجب أستخدامه بشكل أوتماتيكي‬Trunk Protocol ‫ وظيفة هذا البروتوكول بأختصار هي تحديد نوع الـ‬Dynamic Trunk Protocol ‫أو‬
ISL ‫ أو‬ 802.1Q ‫أي تحديد هل يجب أستخدام‬

Switch_A(config)# interface range fastethernet 0/1-48


Switch_A(config-if)# shutdown
Switch_A(config-if)# switchport nonegociate

Vlan
Le VLAN par défaut ne doit jamais être utilisé

Switch_A(config)# interface vlan 1


Switch_A(config-if)# shutdown
Switch_A(config-if)# no ip address

VLAN Native
‫ل ‪ native vlan‬فكرتها ببساطة أنه عندما يأتى للسويتش ‪( frames‬بيانات)ال تحمل أى عالمات ‪ tags‬تدل أى من ال ‪ vlans‬داخل هذا‬
‫السويتش تابع لها هذه ال ‪ frames‬إذن فإن السويتش يقوم بتحويل هذه البيانات إلى ال ‪ native vlan‬فإذا كان هناك سويتش ‪ dlink‬أو‬
‫‪ tplink‬مثال موصل ب سويتش سيسكو فطبيعى أن هذه السويتشات لن تفهم ما هى ال ‪ vlan‬وبالتالى ستقوم بإرسال وإستقبال بيانات من‬
‫سويتش سيسكو غير مختومة بالعالمات أو ال ‪ tags‬التى تدل أى من ال ‪ vlans‬تابع لها هذه البيانات لذا يجب على األجهزة الموصلة‬
‫بهذه السويتشات أن تكون تابعة لل ‪ native vlan‬وبالتالى تستطيع هذه السويتشات المختلفة التواصل مع سويتش سيسكو (هذا أحد‬
‫إستخدامات ال ‪)native vlan‬‬
‫إذن فال ‪ native vlan‬هى المسئولة عن فهم واستقبال الـ ‪ untagged frames‬اى البيانات التى ال تحمل اختام تدل أى من ال‪vlans‬‬
‫تابع لها هذه البيانات‪.‬‬

‫‪ native vlan‬شرط أساسى أن تتشابه فى كافة السويتشات وإذا لم تتشابه ستحدث المشكلة المشروحة فى الفيديو ولكن ال تقلق فمعرفة أن‬
‫هناك إختالف فى بيانات ال ‪ native vlan‬سيتم ظهورة أمامك فى صورة إشعارات مستمرة‬

‫‪Désactiver le VTP‬‬

‫‪switch (config)# vtp mode off‬‬

‫‪Ou:‬‬

‫‪Configure la plage d’ interfaces FastEthernet 0/1 à 0/48‬‬


‫> ‪Switch ( config )# interface range FastEthernet <0/1 -48‬‬

‫‪Dé sactive le protocole VTP sur l’ interface‬‬


‫‪Switch ( config -if)# no vtp‬‬

‫‪Configure l’ interface FastEthernet 0/48‬‬


‫> ‪Switch ( config )# interface FastEthernet <0/48‬‬

‫‪Force le mode trunk‬‬


‫‪Switch ( config -if)# switchport mode trunk‬‬

‫‪Interdit à tous les VLAN de passer par le port trunk‬‬


Switch ( config -if)# switchport trunk allowed vlan none

Autorise seulement certains VLAN à passer par le port trunk , ici les VLAN 39 et 99
Switch ( config -if)# switchport trunk allowed vlan add <33 ,99 >

Configure la plage d’ interfaces FastEthernet 0/4 à 0/12


Switch ( config )# interface range FastEthernet <0/4 -12 >

Force le mode access


Switch ( config -if)# switchport mode access

Associe la plage d’ interfaces au VLAN 33


Switch ( config -if)# switchport access vlan <33>

VLAN de quarantaine
. ‫يتم فيها وضع جميع المنافذ التي من المفترض أن تكون غير مستخدمة بشكل افتراضي‬: VLAN Quarantine

Configure le VLAN de quarantaine


Switch ( config )# vlan <666 >

Nommage du VLAN
Switch ( config - vlan )# name VLAN – QUARANTAINE

Désactivation du VLAN
Switch ( config - vlan )# shutdown

Double Tagging
‫ تم أعداده مسبقا وغير مستخدمه ألي شيء‬Vlan ‫ إلى‬Untagged ‫التصدي لهذا النوع من الهجوم بأرسال كل باكيت‬

SwitchA(config)# interface fastethernet 0/1


SwitchA(config-if)# switchport trunk native vlan 210

Private VLAN (ou PVLAN)


Vlan ‫ بهدف عزل األجهزة الموجودة في‬Vlan ‫ معينة إلى عدة‬Vlan ‫ببساطة وباختصار هي خاصية تتيح لنا تقسيم‬
: ‫واحدة عن بعضها البعض و لها هدفان‬

‫ والترافيك الغير معروف‬Broadcast ‫الهدف األول وهو من أجل رفع مستوى اداء الشبكة من خالل منع البرودكاست‬
.‫ من االنتشار‬Unknown Traffic
‫ل‬bb‫زة من التواص‬bb‫الهدف الثاني وهو من أجل رفع مستوى الحماية واألمن على الشبكة فأحيانا نحن نريد منع بعض األجه‬
. ‫ الذي تحدثنا عنه في تدوينة سابقة‬ARP spoofing ‫فيما بينها باألضافة إلى فائدة هامة جدا وهي منع هجوم الـ‬
vlan 100
private-vlan primary
private-vlan association 101-102
!
vlan 101
private-vlan community
!
vlan 102
private-vlan community
--------------------------------------------------------------------------------------
interface FastEthernet0/1
switchport private-vlan mapping 100 101-102
switchport mode private-vlan promiscuous

!
interface FastEthernet0/3
switchport private-vlan host-association 100 101
switchport mode private-vlan host
!
interface FastEthernet0/5
switchport private-vlan host-association 100 102
switchport mode private-vlan host
!
interface FastEthernet0/13
switchport trunk encapsulation dot1q
switchport mode trunk

– Commutateur de distribution SW1 :

Désactive VTP sur le commutateur


Switch ( config )# vtp mode off

Configuration du VLAN 71 ( primaire )


Switch ( config )# vlan <71>
Switch ( config - vlan )# private - vlan primary
Switch ( config - vlan )# exit
Configuration du VLAN 100 ( secondaire )
Switch ( config )# vlan <100 >
Switch ( config - vlan )# private - vlan isolated
Switch ( config - vlan )# exit

Configuration du VLAN 71 ( primaire )


Switch ( config )# vlan <71>
Switch ( config - vlan )# private - vlan association <100 >
Switch ( config - vlan )# exit

Configuration du port vers le pare - feu


Switch ( config )# interface GigabitEthernet <0/1 >
Switch ( config -if)# switchport mode private - vlan promiscuous
Switch ( config -if)# switchport private - vlan mapping <71> <100 >
Switch ( config -if)# exit

Configuration du port vers le commutateur SW1 -1


Switch ( config )# interface FastEthernet <0/14 >
Switch ( config -if)# switchport mode trunk
Switch ( config -if)# switchport nonegotiate
Switch ( config -if)# switchport trunk allowed vlan none
Switch ( config -if)# switchport trunk allowed vlan add <71 ,100 >
Switch ( config -if)# switchport trunk native vlan <999 >
Switch ( config -if)# no vtp
Switch ( config -if)# no cdp enable
Switch ( config -if)# exit

Configuration du port vers le commutateur SW1 -2


Switch ( config )# interface FastEthernet <0/13 >
Switch ( config -if)# switchport mode trunk
Switch ( config -if)# switchport nonegotiate
Switch ( config -if)# switchport trunk allowed vlan none
Switch ( config -if)# switchport trunk allowed vlan add <71 ,100 >
Switch ( config -if)# switchport trunk native vlan <999 >
Switch ( config -if)# no vtp
Switch ( config -if)# no cdp enable

Commutateur de desserte SW1-1 :

Désactive VTP sur le commutateur


Switch ( config )# vtp mode off

Configuration du VLAN 71 ( primaire )


Switch ( config )# vlan <71>
Switch ( config - vlan )# private - vlan primary
Switch ( config - vlan )# exit

Configuration du VLAN 100 ( secondaire )


Switch ( config )# vlan <100 >
Switch ( config - vlan )# private - vlan isolated
Switch ( config - vlan )# exit
Configuration du VLAN 71 ( primaire )
Switch ( config )# vlan <71>
Switch ( config - vlan )# private - vlan association <100 >
Switch ( config - vlan )# exit

Configuration du port trunk vers le commutateur SW1


Switch ( config )# interface FastEthernet <0/18 >
Switch ( config -if)# switchport mode trunk
Switch ( config -if)# switchport nonegotiate
Switch ( config -if)# switchport trunk allowed vlan none
Switch ( config -if)# switchport trunk allowed vlan add <71 ,100 >
Switch ( config -if)# switchport trunk native vlan <999 >
Switch ( config -if)# no vtp
Switch ( config -if)# no cdp enable

Configuration de la plage de ports vers des machines du VLAN 100 ( secondaire )


Switch ( config )# interface range FastEthernet <0/6 -11 >
Switch ( config -if - range )# switchport mode private - vlan host
Switch ( config -if - range )# switchport private - vlan host - association <71> <100 >
Switch ( config -if - range )# exit

Commutateur desserte SW1-2 :

Désactive VTP sur le commutateur


Switch ( config )# vtp mode off

Configuration du VLAN 71 ( primaire )


Switch ( config )# vlan <71>
Switch ( config - vlan )# private - vlan primary
Switch ( config - vlan )# exit

Configuration du VLAN 100 ( secondaire )


Switch ( config )# vlan <100 >
Switch ( config - vlan )# private - vlan isolated
Switch ( config - vlan )# exit

Configuration du VLAN 71 ( primaire )


Switch ( config )# vlan <71>
Switch ( config - vlan )# private - vlan association <100 >
Switch ( config - vlan )# exit

Configuration du port trunk vers le commutateur SW1


Switch ( config )# interface FastEthernet <0/6 >
Switch ( config -if)# switchport mode trunk
Switch ( config -if)# switchport nonegotiate
Switch ( config -if)# switchport trunk allowed vlan none
Switch ( config -if)# switchport trunk allowed vlan add <71 ,100 >
Switch ( config -if)# switchport trunk native vlan <999 >
Switch ( config -if)# no vtp
Switch ( config -if)# no cdp enable
Configuration du port vers une machine du VLAN 100 ( secondaire )
Switch ( config )# interface FastEthernet <0/8 >
Switch ( config -if)# switchport mode private - vlan host
Switch ( config -if)# switchport private - vlan host - association <71> <100 >
Switch ( config -if)# exit

Protected Port

‫ يمكنك‬PVLAN ‫ يشبه آلية‬Cisco Catalyst ‫ المنفذ المحمي عبارة عن ميزة في محوالت‬Protected Port
‫استخدامها لمنع الواجهات من االتصال ببعضها البعض‬

Active le Protected Port sur les ports 4 à 42

Switch ( config )# interface range FastEthernet <0/4 -42 >


Switch ( config -if - range )# switchport protected

mandataire ARP (proxy ARP).


Désactive le proxy ARP du commutateur
Switch ( config )# ip arp proxy disable

Sécurisation des ports


‫تعطيل المنافذ غير المستخدمة‬

Désactive le port ré seau 0/5


Switch ( config )# interface GigabitEthernet <0/5 >
Switch ( config -if)# shutdown

MAC Attacks :Port security

S1(config)# interface range fa 0/5 - fa 0/24


S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport port-security
S1(config-if-range)# switchport port-security maximum 3
S1(config-if-range)# switchport port-security violation restrict
S1(config-if-range)# switchport port-security mac-address sticky

802.1X

AAA authentication – authorization – ‫من الخصائص األمنية الهامة فى سيسكو هى خاصية‬


accounting
‫والتى تختص بكيفية إستخدام بروتوكول ‪ 802.1x‬فى السماح ألجهزة الحاسب اآللى فى الشركة من أن ترى باقى‬
‫االجهزة والتواصل معها من عدمة بالرغم من توصيلها بصورة صحيحة وإعدادات ‪ ip‬سليمة إال أنها لن يسمح لها‬
‫برؤية باقى األجهزة إال بعد كتابة ‪ username and password‬على جهاز الحاسب اآللى‬

‫‪DHCP SNOOPING IP SOURCE GUARD‬‬


‫ببساطة تعرف السويتش ماهي البورتات الموثوقة وماهي البورتات الغير موثوق‪bb‬ة وبكالم آخ‪bb‬ر تع‪bb‬رف الس‪bb‬ويتش م‪bb‬اهي‬
‫المناف‪bb‬ذ ال‪bb‬تى يس‪bb‬مح له‪bb‬ا بتوزي‪bb‬ع طلب‪bb‬ات الـ ‪ DHCP‬فنحن نعلم أن عملي‪bb‬ة طلب المعلوم‪bb‬ات من الـ ‪ DHCP‬تم‪bb‬ر بع‪bb‬دة‬
‫خطوات تبدأ بقيام جهاز العمي‪bb‬ل بأرس‪bb‬ال برودكاس‪bb‬ت إلى الش‪bb‬بكة يس‪bb‬أل في‪bb‬ه عن س‪bb‬يرفر الـ‪ DHCP‬وبع‪bb‬دها ي‪bb‬رد علي‪bb‬ه‬
‫السيرفر بعنوان األيبي الخاص فيه وعندها تأتي خط‪b‬وة الطلب من العمي‪b‬ل إلى الس‪b‬يرفر (طلب األع‪b‬دادات) وبع‪b‬د وص‪b‬ول‬
‫الطلب إلى الس‪b‬يرفر يق‪b‬وم بأرس‪b‬ال المعلوم‪b‬ات الألزم‪b‬ة ل‪b‬ه من أي‪b‬بي وماس‪b‬ك ودي ان اس وطبع‪b‬ا الـ ‪. Gateway‬وه‪b‬ذه‬
‫صورة توضيحية لسير العملية‬

‫‪Active le DHCP snooping‬‬


‫‪Switch ( config )# ip dhcp snooping‬‬

‫)‪Définit sur quels VLAN le DHCP snooping doit être activ é ( tous ici , sauf le VLAN 1 inutilisé‬‬
‫> ‪Switch ( config )# ip dhcp snooping vlan <2 -4094‬‬

‫‪Dé finit l’ interface par laquelle le commutateur dialogue avec le serveur ou relai DHCP de confiance‬‬
‫> ‪Switch ( config )# interface FastEthernet <0/1‬‬
‫‪Switch ( config -if)# ip dhcp snooping trust‬‬
‫‪Switch ( config -if)# exit‬‬

‫) ‪Active la base de données de DHCP snooping ( sert à suivre l’é tat des baux DHCP‬‬
‫> ‪Switch ( config )# ip dhcp snooping database <flash : snooping - database‬‬
Désactive l’ insertion des champs de l’ option 82 du protocole DHCP ( action né cessaire pour que le
DHCP snooping fonctionne )
Switch ( config )# no ip dhcp snooping information option

Limite le nombre de paquets DHCP à 10 par seconde sur les interfaces connect ées aux clients
Switch ( config )# interface range FastEthernet <0/4 -15 >
Switch ( config -if)# ip dhcp snooping limit rate <10>
Switch ( config -if)# exit

Active l’IP Source Guard sur les interfaces connect ées aux clients
Switch ( config )# interface range FastEthernet <0/4 -15 >
Switch ( config -if)# ip verify source

Inspection ARP
Active l’ inspection des é changes ARP sur les VLAN 38 à 60 dans un environnement où le DHCP est
activé
Switch ( config )# ip arp inspection vlan <38 -60 >

Définit les interfaces connect ées à d’autres commutateurs comme de confiance


Switch ( config )# interface range FastEthernet <0/2 -3 >
Switch ( config -if - range )# ip arp inspection trust

STP
Sélectionne les interfaces d’accès
Switch ( config )# interface range FastEthernet <0/1 -20 >

Force les ports d’ accès en mode forwarding (au sens Spanning Tree )
Switch ( config -if - range )# spanning - tree portfast
Switch ( config -if - range )# exit

Désactive les ports en mode portfast s’ ils reç oivent des trames BPDU en provenance des é quipements
qui y sont connectés
Switch ( config )# spanning - tree portfast bpduguard default

Indique qu ’un port bloqué (état err - disabled ) à cause du bpduguard peut ê tre dé bloqué
automatiquement par le recovery
Switch ( config )# errdisable recovery cause bpduguard

Indique le temps (en secondes ) au bout duquel l’ interface


Switch ( config )# errdisable recovery interval <300 >

Storm Control
‫وم‬bb‫بكة من خالل هج‬bb‫ا الش‬bb‫رض له‬bb‫تى من الممكن أن تتع‬bb‫ ال‬Flood‫خاصية مفيدة وهامة لحماية الشبكات من هجمات الـ‬
‫ذ‬bb‫ل منف‬bb‫دخل من خالل ك‬bb‫ذي ي‬bb‫ك ال‬bb‫ة الترافي‬bb‫اطة هي مراقب‬bb‫ية ببس‬bb‫رة الخاص‬bb‫ وفك‬denial-of-service ‫ايعرف بي الـ‬bb‫م‬
.‫موجود عندنا على السويتش‬

Sélectionne les interfaces d’ accès


Switch ( config )# interface range FastEthernet <0/1 -20 >

Limite le trafic broadcast à X% de la bande passante


Switch ( config -if - range )# storm - control broadcast level <X>

Limite le trafic multicast à Y% de la bande passante


Switch ( config -if - range )# storm - control multicast level <Y>

Limite le trafic unicast à Z% de la bande passante


Switch ( config -if - range )# storm - control unicast level <Z>

Active les remontées d’alertes par SNMP ( seulement si les traps SNMP sont activés)
Switch ( config -if - range )# storm - control action trap

Eteint un port s’il subit une tempête de trames


Switch ( config -if - range )# storm - control action shutdown

Indique qu ’un port éteint à cause d’ une tempête de trames peut être débloqué automatiquement par le
recovery
Switch ( config )# errdisable recovery cause storm – control

Indique le temps (en secondes ) au bout duquel l’ interface sort de l’état d’ erreur
Switch ( config )# errdisable recovery interval <300 >

S1(config)#spanning-tree vlan 1 priority 4096


S1(config)# spanning-tree vlan 1 root “primary or secondry”

S1(config)# interface range fa 0/5


S1(config-if-range)# spanning-tree portfast
S1(config-if-range)# spanning-tree bduguard enable

Vous aimerez peut-être aussi