TP3-2: Typical initial Switch Configuration

Source: CCNA Mega Guide (640-802), by Jeremy Cioara

La configuration initiale d'un commutateur Cisco comprend les étapes suivantes:

1. séquence de démarrage initiale
2. Affectation de mots de passe
3. Configuration d'un nom d'hôte et l'ouverture de session bannière
4. Activation de Secure Shell (SSH)
5. Configuration de la sécurité du port (si nécessaire)
6. Optimisation de ports de commutation
7. Attribution d'une adresse IP au commutateur
8. Vérification et sauvegarde de la configuration

Chacune de ces étapes est détaillée ci-dessous:

1) Séquence de démarrage initiale:

...done Initializing Flash.
Boot Sector Filesystem (bs:) installed, fsid: 3
Loading “flash:/c3550-ipservicesk9-mz.122-
40.SE.bin”...###################
##############################################################..
.<outputomitted>...
File “flash:/c3550-ipservicesk9-mz.122-40.SE.bin” uncompressed and
installed,
entry point: 0x3000
executing...
….
Switch>

2) Affectation de mots de passe enable, enable secret, console, aux & vty:

Switch>enable
Switch#configure terminal
Switch(config)#enable password My_enable_Password
Switch(config-line)#exit

Switch>enable
Switch#configure terminal
Switch(config)# enable secret My_enable_secret_Password
Switch(config-line)#exit

Switch>enable
Switch#configure terminal
Switch(config)#line console 0
Switch(config-line)#password My_console_Password
Switch(config-line)#login
Switch(config-line)#exit
 Switch>enable
Switch#configure terminal
Switch(config)#line aux 0
Switch(config-line)#password My_aux_Password
Switch(config-line)#login
Switch(config-line)#exit

Switch(config)#line vty 0 4
Switch(config-line)#password My_vty_Password
Switch(config-line)#login
Switch(config-line)#end
Switch#
Pour crypter les mots de passe sur votre commutateur, exécutez les commandes
suivantes :
SW1>enable (or en)
SW1#configure terminal (or config t)
SW1(config)#service password-encryption
SW1(config)#exit
SW1#disable
SW1>

Pour rendre les mots de passe décryptés sur votre commutateur, exécutez les
commandes suivantes
SW1>enable (or en)
SW1#configure terminal (or config t)
SW1(config)#no service password-encryption
SW1(config)#exit
SW1#disable
SW1>

3) Configuration du hostname & du logon banner

Switch#conf t
Switch(config)#hostname My_switch
My_switch (config)# banner motd # My_message_of_the_day#

4) Activer le Secure Shell (SSH)

Switch#conf t
Switch(config)#username user_name password user_password
Switch(config)#ip domain-name domaine.com
Switch(config)#crypto key generate rsa
Switch(config)#line vty 0 4
Switch(config-line)#login local
Switch(config-line)#transport input ssh telnet

5) Configuration de la sécurité des ports (si nécessaire)

Du fait que les utilisateurs finaux du LAN se connectent à un commutateur, les
administrateurs voudront souvent sécuriser les ports des commutateurs. Par exemple,
vous pourriez empêcher les utilisateurs d'installer un autre commutateur ou
concentrateur à leur bureau et de l'exécution de plusieurs dispositifs. Pour ce faire,
vous pouvez restreindre le port du commutateur à une seule adresse MAC. Voici un
exemple de la syntaxe d'une configuration de base de la sécurité du port du
commutateur :

Switch#conf t
Switch(config)#interface fastethernet 0/10
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation shutdown

Voici les commandes clés pour activer la sécurité du port :

- switchport mode access:
Définit le port du commutateur comme un port d'accès, qui se connecte
à des dispositifs finaux plutôt que vers un autre commutateur

- switchport port-security:
Active la fonction de sûreté pour ce port

- switchport port-security maximum <number>:

Définit le nombre maximum d'adresses MAC autorisées sur ce port.
Dans l'exemple ci-dessus, il laisse un maximum d'une adresse MAC :
Switch(config-if)#switchport port-security maximum 1

- switchport port-security mac-address sticky:

Cette commande est facultative. Ce qu'elle fait est de coder en dur

l'adresse MAC de la première machine branchée. Ceci est utile si vous
souhaitez autoriser un périphérique spécifique uniquement pour accéder
à un port du commutateur, plutôt que de multiples dispositifs.
- switchport port-security violation shutdown:
Charge le commutateur pour fermer le port, si l'un des critères
précédents est violé.

- switchport port-security mac-address <MAC>

Vous pouvez demander au port de valider uniquement une adresse
MAC spécifique. Par exemple, vous pouvez lancer:
Switch(config-if)#switchport port-security mac-address 07a1.3fee.f5c2
Ceci permet d’autoriser uniquement l’adresse MAC 07-a1-3f-ee-f5-c2 à
se connecter

6) Configuration de la vitesse et le type de duplex du switch:

Par défaut, tous les ports de commutateur sont définis sur Auto négociation du mode
duplex avec le dispositif qui se connecte au port. Pour définir manuellement le mode
duplex, exécutez l’une des commandes suivantes:
SW1(config-if)#duplex auto

SW1(config-if)#duplex full
 SW1(config-if)#duplex half

Vous pouvez utiliser la commande de débit (speed) pour régler le débit de l'interface. La
commande de débit peut configurer l'interface afin de fonctionner à des vitesses différentes :
10 Mbits/s, 100 Mbits/s, 1000 Mbits/s, et l'auto !
SW1(config-if)#speed 10

Exemple:
Switch#conf t
Switch(config)#interface fastEthernet 0/10
Switch(config-if)#speed 100
Switch(config-if)#duplex full
Switch(config-if)# description Connection to RouterA
Switch(config)#interface fastEthernet 0/10
Switch(config-if)#no shutdown

description Connection to RouterA: attribue une description à l’interface

7) Assigning an IP address to the switch Management VLAN

La plupart du temps, les commutateurs Cisco sont configurés puis enfermés dans
une salle informatique ou armoire de câblage. Il serait beaucoup mieux et plus rapide
que vous soyez en mesure d’accéder par Telnet ou SSH à la machine, plutôt que de se
déplacer à cet endroit chaque fois que vous avez besoin de faire un changement de
configuration. Pour cette raison, nous avons besoin d'assigner au commutateur une
adresse IP et une passerelle par défaut. Voici un exemple de syntaxe:
Switch#conf t
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.10.2 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.10.1

L’interface du VLAN 1 est considérée comme une interface virtuelle qui est
accessible par tous les ports affectés à VLAN 1 (tous les ports le sont par défaut).

8) Vérification et sauvegarde de la configuration:

Switch#show running-config
Switch#show ip interface brief
Switch#copy running-config startup-config