CHP1 : CONFIGURATION DE BASE ROUTER/SWITCH

1. Configuration du nom d’hôte@’[][p./1 !@#$#

Hostname [nom de l’hôte] (config global)
2. Sécurisation du port console
S1(config)# line console 0
#Password [mot de passe]
#login
3. Sécurisation des accès distants(vty)
S1(config)#line vty 0 4
#Password [mot de passe]
#login
4. Chiffrement mot de passe console et vty
S1(config)# service password -encryption
5. Sécurisation du mode privilégie
S1(config)#enable secret [mot de passe]
6. Configuration de la bannière
S1(config)#banner motd #message#
7. Configuration de l’interface virtuelle du switch (SVC)
8. S1(config)#interface vlan 1
#ip address [ad ip et masque]
#no shutdown
9. Sauvegarde
S1#copy running-config startup-config
10.Vérification des interfaces actif:
 R1#sh ip int brief
11.Configuration des passerelle par defaut
S1(config)#ip default-gateway [add ip]

CHAP 2 : SSH –les séries 2960&3560 prennent SSH

en charge

1. Vérification de la prise en charge de SSH

S1#show version (Paramètre K9)
2. S’assurer que le routeur/switch dispose d’un nom hôte
3. Configure le nom de domaine
R1(config)#ip domain-name <<nom de domaine>>
4. Configuration de la clé
R1(config)#Crypto Key generate RSA general-keys modulus 1024
5. Configuration d’un utilisateur et son mot de passe
R1(config)#username<<nom utilisateur>> secret<<mot de passe>>
6. Activation de ssh
R1(config)#line vty 0 4
R1(config)#login local
R1(config)# transport input ssh
7. Version SSH
R1(config)#ip SSH version 2

CHAP3 : SECURISTION DES PORTS

1. Sécurité dynamique
S1(config)#interface range f0/1-2
 #switchport mode access activation de la
securite
#switchport port-security

#switchport port-security maximum [nombre]

#switchport port-security mac-address sticky

#switchport port-security violation restrict

Commande de verification

#switchport port-security address (permet de voir les @ mac

enregistre)

#switchport port-security interface [specifier l’interface]

N.B: Désactiver les ports non utilise : s1(config-if)#shutdown

2. Sécurité statique
S1(config)#interface range f0/1-2
#switchport mode access activation de la sécurité
#switchport port-security

#switchport port-security mac-address [specifier l’@

Mac]
 Chap 4: VLAN

1. Création des vlan: plage 1-1005

S1(config)#vlan [n° vlan]
#vlan 10
2. Attribution des noms au vlan
#name [nom du vlan]
3. Modification d’un vlan
S1(config)#no vlan [n° vlan]

4. Vérification du Vlan
S1(config)# show vlan brief
5. Affectation des ports aux vlans
S1(config-if) #switchport mode access
#switchport access vlan [n° vlan]
6. Modification d’un port d’access
S1(config-if) #no switchport mode access
# switchport mode access
# switchport access vlan [n° vlan]
7. Configuration du trunk
S1(config-if) # switchport mode trunk
#switchport trunk native vlan 99
#switchport trunk allowed vlan [n° vlan etc
10, 20, 99]
8. Vérification du trunk
S1#show interface trunk
Example : mode encapsulation status native Vlan

On 802.12 trunking 99

9. Réinitialisation du trunk a l’état par défaut

S1(config-if) #no switchport trunk allowed vlan
#no swithport native vlan
#switchport mode access

CHAP4.1: ROUTAGE INTER-VLAN

1. Configuration du routeur
1.1. Configuration sous-interfaces
R1(config)#int g0/0.[n°vlan]
#encapsulation dot 1q [n°vlan]
#ip address[@ ip+masque] répéter
pour autant devlan present
#exit

#exit
R1(config)#int g0/0
#no shutdown
1.2. Verification des sous-interfaces
#show ip interface brief
#sh run
2. Configuratio du switch
2.1. Créer des vlans
 2.2. Configuration des port d’access
2.3. Configuration du trunk
S1(config-if) # switchport mode trunk
2.4. Verification
#sh int trunk
3. Routage inter-vlan sur switch de niveau 3
Les commutateur 3560&4500 utilisent les interfaces de
couches deux par défaut, par conséquent les configurations des
interfaces par défaut n’apparaissent pas dans la configuration
en cours ou initiales. Configurez dont ces interfaces comme des
port routes
3.1. Pour configurer un port routes utilisez la commande :
S1(config-if) # int g0/0
#no switchport
#ip add [@ip + masque]
3.2. Configurez les interfaces virtuelles
S1(config-if) # int vlan[n°vlan]
#ip add [@ip + masque]
#exit
3.3. Activation du routage
S1(config-if) #ip routing
3.4. Configuartion du trunk
S1(config-if) #int f0/0
# encapsulation dot 1q
#swtichport mode trunk
 CHAP 5 : ROUTAGE STATIQUE

TYPES DE ROUTES :
Route Statique Standard-route pour atteindre destination fixe
Route statique par défaut-non compris dans table de routage
Route statique flottante-route alternative en cas indisponibilité
liaison principal
Config :
a. Route Statique Standard
R1(config)#ip route [@ip de destination et masque
sous-réseau] [interface de sortie ou @ ip tronçon
suivant]
Verification: R1#sh ip route (S)
b. Route statique par défaut
R1(config)#ip route 0.0.0.0 0.0.0.0 [interface de sortie
ou @ ip tronçon suivant]
Verification: R1#sh ip route (S*)
c. Route statique flottante
R1(config)#ip route 0.0.0.0 0.0.0.0 [interface de sortie
ou @ ip tronçon suivant] DA-distance administrative
n.b : la DA d’une route statique=1, donc pour
configurer la route statique flottante la DA>1
Si le routage est dyamique alors la DA du protocole de
routage doit etre superirur a sa DA par defaut.

Résumé de Routes : Le Résumé de Routes est fait si et

seulement si :
  Les routes a résumé utilises les mêmes interface de sortie ou
d’adresse ip tronçon suivant.
 Toutes les routes sont continues

Configuration des Routes Statique IPv6

Avant toute chose activer d’abord le routage ipv6 avec la

commande :

R1(config)#ipv6 unicast-routing

Standard :

R1(config)#ipv6 route [@ip de destination et masque sous-

réseau] [interface de sortie ou @ ip tronçon suivant]

Par Défaut :

R1(config)#ipv6 route ::/0 [interface de sortie ou @ ip

tronçon suivant]

Vérification :

R1#show ipv6 route

Ou R1#show ipv6 route static

CHAP 6 : DHCP

1. Exclure les address du POOL :

 R(config)#ip dhcp excluded-add [1er et dernière
add]
2. Création des POOL dhcp :
R(config)#ip dhcp pool [nom de pool]
3. Annonce du réseau :
R(dhcp-config)# network [@ réseau et masque]
4. Configuration de la passerelle par défaut du routeur :

R(dhcp-config)# default-router [@ int routeur proche

périphérique]

5. Configuration du serveur DNS :

R(dhcp-config)# DNS-server [@ du serveur DNS]
6. Configuration du relais dhcp
R1(config-if) # int g0/0
# IP helper-add [@ du routeur dhcp]
7. Configuration du routeur en client Dhcp pour qu’il recouvre
les @ provenant du FAI :
R1(config-if) # int S0/0
# Ip add dhcp
#no shutdown

CHAP 7: VTP (VLAN TRUNKING PROTOCOLE)

Par defaut tous les switchs sont en mode serveur. Trois mode VTP
existe :
  Mode client
 Mode Serveur
 Mode Transparent
1. Vérification : Pour voir ces modes :

S1#show vtp status

2. Numero de revision :
Par defaut le numero de revision=1
Il s’incremente apres chaque creation,suppression et
modification de VLAN. Pour la reinitialisition du numero de
revision la commande est :
S1(config) #vtp mode transparent
#vtp mode client

NB :
 Tous les switchs doivent etre dans le meme domaine
vtp
 Tous les switchs doivent avoir le meme mot de passe
vtp
 Tous les switchs doivent avoir la meme version vtp
3. Configuration VTP :
a. Configuration du mode VTP :
S1(config)# vtp mode [client/server/transparente]
b. Configuration du nom de domaine :
S1(config)# vtp domain [name]
c. Configuration du mot de passe :
 S1(config)# vtp password [mot de passe]

d. Version VTP :
S1(config)# vtp version [1/2/3]
e. Verification du vtp: S1# sh vtp status
f. Verification du mot de passe vtp: S1# sh vtp password
4. MODE DTP (Dynamic Trunking Protocol)
DTP est active par défaut sur les commutateurs 2960 et
3560. Si DTP n’existe pas sur les autres commutateurs,
après avoir configurer le trunk, désactivé le pour éviter des
trames incomplètes sur le réseau.
NB : la désactivation se fait en mode trunk
S1(config-if)# switchport nonegotiate

CHAP 8: PROTOCOLE DE ROUTAGE

RIP:

a. Config
R1(config)#Router Rip
#version 2
#network [@ reso]
b. Config des Interface passive
R1(config)#Router Rip
#passive-interface [specifie l’inteface]
c. Deactivation de la recapitulation automatique
R1(config)#Router Rip
 #no auto-summary
d. Definition de la route statique par defaut
R1(config)#ip route 0.0.0.0 0.0.0.0[interfaces de sortir ou @ip
prochain troncon ]
e. Redistribution de la route aux autres routeur

R1(config)#Router rip

#default-information originate

f. Verificarion
R1#sh ip route(R)
R1#sh ip protocole-montre : les réseaux annoncés, le resume
automatique, la Distance administrative DA, passive interface
R1#sh ip route connected-pour voir les reseaux directement connecte
DA Rip=90

EIGRP(IPV4) :

Ici tous les routeurs doivent avoir le meme AS ( Numéro de système autonome).
Les AS vont de 1-65535

a. Config

R1(config)#Router Eigrp [no AS]

#network [@ reso et masque generique]

b. Config des Interface passive

R1(config)#Router Eigrp [no AS]

#passive-interface [specifie l’inteface]

c. Deactivation de la recapitulation automatique

R1(config)# Eigrp [no AS]

#no auto-summary

d. Definition de la route statique par defaut

R1(config)#ip route 0.0.0.0 0.0.0.0[int de sortir ou @next hop]

e. Redistribution de la route aux autres routeur :

R1(config)#Router Eigrp [no AS]

#redistribute static (DA{D*EX}= 170)

f. Configuration du Router-id:
R1(config)#Router Eigrp [no AS]
#eigrp Router-id[id-number]
g. Verification :

R1#sh ip route(D)
 R1#sh ip protocole-montre : les réseaux annoncés, le resume
automatique, la Distance administrative DA, passive interface,
Router-id, AS, protocole configure

R1#sh ip route connected-pour voir les reseaux directement

connecte R1#sh ip eigrp neighbors

DA EIGRP=90

EIGRP AVEC IPV6 :

a. Activation du routage :
R1(config)#ipv6 unicast-routing
b. Activation de eigrp sur les interfaces
R1(config-if)#ipv6 Eigrp [no AS]

c. Configuration du router-id :
R1(config)#eigrp Router-id[id-number]
#no shutdown
d. Config des Interface passive

R1(config)#ipv6 Router Eigrp [no AS]

#passive-interface [specifie l’inteface]

e. Config de l’adresse de liaison locale
 NB : les adresses de liaison locale permettent à un périphérique de
communiquer avec d’autres appareils ip6 sur la même liaison et
uniquement sur cette liaison (sous réseau)
Les adresses de liaison locale se trouvent dans la plage FE80 ::/10

R1(config)#ipv6 address FE80::1 link local

f. Verification
R1#sh ipv6 interface brief
R1#sh ipv6 route-table de routage
R1#sh ipv6 protocols – protocole configure, Router-id, numero de AS,
reseaux nnonces, DA
R1#sh ipv6 eigrp neighbors
R1#sh run
g. Route Statique par defaut IPV6:
R1(config)#ipv6 route ::/0[int sortie /@ ip next hop]
#ipv6 router eigrp [no AS]
#redistribute static
Verification-#sh ipv6 route static

OSPF A ZONE UNIQUE (ZONE 0)

NB : OSPF a zone unique se configure dans les petits reseau et est apprise
par la lettre O dans la table de routage. DA OSPF=110
1er Methode de config : @ des sous-reseau
 R1(config)#Router ospf [no AS]

#network [@ reso et masque generique] area[Area-id]

2eme Methode de config : Utilisation des @ des int

R1(config)#Router ospf [no AS]

#network [@ interface] 0.0.0.0 area[Area-id]

#Passive-interface [specifier inteface]-interface passive

#Router-id[router-id]– ID du routeur

#default-information originate {O*E}- Redistribution de route

#ip route 0.0.0.0 0.0.0.0[int de sortir ou @next hop]-Route Statique par defaut

Verification :

#sh ip route

#sh ip protocols

#sh ip ospf neighbors

#sh ip ospf int brief

 OSPFV3(IPV6):

a. Activation du routage :
R1(config)#ipv6 unicast-routing
b. Configuration du router-id :
R1(config)#ipv6 Router ospf [no AS]
# Router-id[id-number]
c. Activation de ospf sur les interfaces
R1(config-if)#ipv6 ospf [no AS] area [area-id]
Verification: #sh ipv6 OSPF interface brief
#sh ipv6 ospf neighbors
#sh ipv6 protocols
#sh ipv6 route ospf
Configuration de la priorite d’un routeur(pour etre DR ou BDR)
Priorite va de 1-255
(Config-if)#ipv6 ospf priority [specifie la priorite du routeur]
NB :pour modifier le router id la commande est :
R1#clear ip ospf process
Pour ipv6 - R1#clean ipv6 ospf process

Modification des minuteurs(Hello&Dead)

Par defaut hello=10 et dead=4. En cas de modification, ça doit etre fait sur
tous les routeurs sinon la relation de contiguïté ne sera pas etablie.
La Commande est :
IPV4
R1(config-if)#ip ospf hello-interval [valeur en seconde]
 #ip ospf dead-interval [valeur en seconde]

Verification: #sh ip OSPF interface [specifie interface]

IPV6
R1(config-if)#ipv6 ospf hello-interval [valeur en seconde]
#ipv6 ospf dead-interval [valeur en seconde]

Verification: #sh ipv6 OSPF interface [specifie interface]

NB: Pour revenir a la valeur par defaut la commande est :

R1(config-if)#no ip ospf hello-interval [valeur en seconde]

#no ip ospf dead-interval [valeur en seconde]

Configuration de la bande passante OSPF

Router(config-if)#bandwidth [valeur en kbps]

Configuration de toutes les l’interface OSPF comme passive

Router(config-router)#passive-interface default

CHAP 9: SPANNING TREE PROTOCOLE

PVST+-Peer VLan Spanning Tree deja disponible sur les switchs 2960

Caracteristiques de PVST+

 Convergence est lente

 Equilibrage (le traffic passe par chaque vlan)
 Consomme moins de ressource
Rapid PVST+

Caracteristiques de Rapid PVST+

 Convergence est rapide

 Equilibrage (le traffic passe par chaque vlan)
 Consomme plus de ressource

NB : La commande de configuration du mode STP sur un switch est :

S1(config) #spanning –tree mode [PVST+/Rapid-PVST+]

Configuration de STP

1ere Methode:

Définir un commutateur comme racine primaire et un autre comme racine

secondaire.

S1(config) #spanning-tree vlan [lister les numeros de

vlan] root primary

S1(config) # spanning-tree vlan [lister les numeros de vlan]

root secondary

Verification ↔ #sh spanning-tree

NB:tous les interfaces d’un switch racine doivent être en designated

2eme Methode: Configuration de la priorite

S1(config) #spanning-tree vlan [vlan-id] priority [définir la

priorité]

NB:La commutation avec la plus grande priorité et racine. La valeur de la priorité

va de 0 à 61440 par incrément de 4096 : toute valeur qui ne sera pas comprise
dans l’intervalle sera rejetée. Par défaut la priorité est de 32768.
Configuration de portfast

NB : l’objectif de portfast est de minimiser le temps d’attente des ports d’accès

avant la convergence spanning tree. Lorsqu’un port est configure en portfast ce
port passe de l’état de blocage a l’état de réacheminement immédiatement sans
passer par les autres état habituels (écoute et apprentissage).

Portfast se configure que sur les port d’accès et non les port trunk. Si vous le
faites sur un port trunk vous risquez de créer une boucle. La commande de
configuration est :

S1(config-if) #spanning-tree portfast

Configuration de la protection BPDU

Dans une configuration portfast valide les ports d’accès ne doivent pas être en
mesure d’envoyer des trames BPDU, au risque de non seulement créer des
boucles STP, mais aussi de devenir des points de vulnérabilités sécuritaire pour le
réseau. La commande est :

S1(config-if) #spanning-tree bpduguard enable

CHAP 10: ETHER CHANNEL

 PAGP(CISCO)-port agregation protocol: Mode sont auto et desirable.

Agrégation existe seulement dans des connexion auto-desirable, ou
desirable-desirable.
 LACP-link agregation control protocole : Mode sont active et passive.
Agrégation existe seulement dans des connexion active - passive, ou active -
active.

Les commande de configuration :

S1(config) #int range f0/1-2

 #speed xxx

#duplex full

#channel-group xx mode active[desirable]

#shutdown

#exit

S1(config) #interface port-channel 1

#switchport mode trunk

#switchport trunk native vlan 99

#switchport trunk allowed vlan xx,xx,99

#exit

S1(config) #interface range f0/1-2

#no shutdown

NB:S1 et S2 doivent avoir la meme config

Verfication:

S1#show ether channel summary

S1#show interfaces port-channel loosing

 CHAP 11 : LISTE DE CONTROLE D’ACCESS

ACL Etendue : plus pres possible de la destination du traffic a fitre

ACL Standard : plus pres possible de la source du traffic a filtre

ACL STANDARD NUMEROTES

Les ACLs standards prennent en compte uniquement les addresse source et les
ACL etendues prennent en compte les adresse source et destination, le numero de
port , le protocole.

Les ACLs standard prennent les numero 1-99 et 1350-1999, et les ACL etendue
prennent les numero 100 a 199

Les commande de configurarion sont tel que suit :

#Access-list [noACL] [permit/deny] host [@ source]-pour un hote

#Access-list [noACL] [permit/deny] [@ reso source et masque generic]-pour un reso

#Ip access-group [noACL] [in/out]-application sur une interface

Commande de verification

#sh access-list

#sh ruN

#sh ip interface[specifier l’interface]

ACL Standard nommée

Pour hote :

#ip access-list standard [nom de L’ACL]

#[permit/deny host [@ de l’hote]

Pour reseaux :

#ip access-list standard [nom de L’ACL]

#[permit/deny] [@ reso et masque generique]

ACL étendu numéroté

Pour hote :

#access-list [noACL] [permit/deny] [protocole] host [@ source] host [@ destination]

eq [no port]

Pour reseaux :

#access-list [noACL] [permit/deny] [protocole] [@reso source et masque generic]

[@ reso destination et masque generic] eq [no port]

Application :

# Ip access-group [noACL] [in/out]

ACL Etendu nommée

Pour hote :

#ip access-list extended [nom de L’ACL]

#permit/deny[protocole host [@ source] host [@ destination] eq [no port]

Pour reseaux :

#ip access-list extended [nom de L’ACL]

#[permit/deny] [protocole] [@reso source et masque generic] [@ reso destination
et masque generic] eq [no port]

Application:

# Ip access-group [noACL] [in/out]

Modification des ACLs

Exp:

Show access-list ↔ 10. deny host 192.168.10.1

20. deny host 172.10.1.2

30. permit any any

Modification de l’ordre “20.”↔R1(config)#no 20

Reconfiguration de l’ordre “20.”↔R1(config)# 20 deny host 172.10.2.1

Ajout d’une nouvelle instruction entre l’ordre ‘’20’’ et ‘’10’’

R1(config)# 15 deny host 172.16.8.20

PPPoE

Etapes de configuration

1. Creez l’interface de numerotation virtuelle

R1(config)#interface dialer[no]
2. Definir l’encapsultion ppp
R1(config)#encapsulation ppp
3. Negociez @ ip apartir du FAI
 R1(config)#ip address negociated
4. Diminuer l’unite de transmission maximale MTU a 1492 afin de prendre en
compte les entete ppp
R1(config)#ip mtu 1492
5. Creez le pool de numerotation
R1(config)#dialer pool [n0]
6. Forcer l’authentification CHAP et utiliser le nom d’utilisateur et mot de
passe fournir par le FAI
R1(config)#ppp chap hostname [nom]
R1(config)#ppp chap password [mot de passe]
7. Activez l’interface
R1(config)#no sh
8. Configuration de l’adresse physique
R1(config)#no ip address
R1(config)#ppoe enable
R1(config)# pppoe-client dial-pool-number [n0]
R1(config)#no sh
9. Verification
R1#sh ip int brief
R1#sh int dialer
R1#sh pppoe session