Pour usage personnel aucune garantie

CCNA

Couche réseau OSI vs TCP

OSI

Application : contient des protocoles utilisés pour les communications de processus à processus.
Présentation : permet une représentation commune des données.
Session : fournit des services à la couche présentation pour organiser son dialogue et gérer l'échange de données.
Transport : définit les services pour segmenter, transférer et réassembler les données.
Réseau : fournit des services pour échanger les parties de données individuelles sur le réseau entre des périphériques finaux identifiés.
Liaison de données : décrit des méthodes d'échange de trames de données entre des périphériques sur un support commun.
Physique : décrit les moyens mécaniques, électriques, fonctionnels et procéduraux de transmission des bits entre les connexions physiques.

TCP/IP

Pour securiser les équipements CISCO

Pour encrypté les passwords dans la configuration :

- service password-encryption

Pour mettre un minimum au niveau du password (ex. 8 de long) :

- security password min-length 8

Pour Sécuriser le mode d'exécution privilégié

- enable password pass (non encrypté)
- enable secret pass (encrypté)

Pour Sécuriser le mode d'exécution utilisateur "enable" en console

- line console 0
- password pass
- login

Pour Sécuriser le mode d'exécution utilisateur "enable" en ssh ou telnet

- line vty 0 15 (switch) ou line vty 0 4 (router 1941 "Il y a moins de vty sur le router")
- password pass
- loginl

Pour blocker l'accès lorsqu'on se trompe de mot de passe plus de 2 fois à l'interieur de 30 secondes.

- login block-for 180 attempts 2 within 30

Pour SSH (hostname doit être déjà donné) :

1. ip domain-name xyz.com
2. crypto key generate rsa general-keys modulus 1024 (entre 360 et 2048)
3. username Bob secret cisco
4. activé les session ssh sur vty:
  - line vty 0 4
  - login local
  - transport input ssh

*** pour encrypter avec secret 9, 5 ce n'est pas vraiment sécuritaire :

- S1(config)# username manager privilege 15 algorithm-type scrypt secret cisco

***

Banner CISCO

banner motd $ Authorized Access Only!!! $

où $ peut etre n'importe quel caractère qui n'est pas utilisé dans le banner lui-meme.

IPv6

Autorisez le routeur à transférer des paquets IPv6. : R1(config)# ipv6 unicast-routing
Configuration IPv6 sur les interfaces Ex: "G0/0": R1(config-if)# ipv6 address 2001:DB8:1:1::1/64
Configuration IPv6 link-local sur les interfaces Ex: "G0/0": : R1(config-if)# ipv6 address FE80::1 link-local
Activez l'interface : R1(config-if)# no shut
Voir les interface configuré en ipv6 : show ipv6 interface brief
Voir les route ipv6 : show ipv6 route
Voir la configuration d'ipv6 d'un interface ex. g0/0 : show ipv6 interface g0/0

Filtre avec la commande (Show)

Une autre fonctionnalité très utile pour améliorer l'expérience utilisateur dans l'interface en ligne de commande est le filtrage obtenu par la commande show. Les commandes de filtrage permettent d'afficher des sections de résultat spécifiques. Pour activer la commande de filtrage, tapez le symbole | après la commande show, puis saisissez un paramètre de filtrage et une expression de filtrage.

Après ce symbole, les paramètres de filtrage suivants peuvent être configurés :

section : affiche l'intégralité de la section commençant par l'expression de filtrage
include : inclut toutes les lignes de résultat correspondant à l'expression de filtrage
exclude : exclut toutes les lignes de résultat correspondant à l'expression de filtrage
begin : affiche toutes les lignes de résultat à partir d'un certain point, en commençant par la ligne qui correspond à l'expression de filtrage

Remarque : les filtres de résultat peuvent être utilisés en combinaison avec toute commande show.

exemple :

show running-config | section line vty
show running-config | include username

Commande ip route (route statique)

Exemple :

Prochain saut, tronçon suivant, route statique récursive (car il doit aller voir quel interface as ce subnet)

ip route 172.16.1.0 255.255.255.0 172.16.2.2

route statique connectée directement (lien série)

ip route 172.16.1.0 255.255.255.0 s0/0/0

route statique entierement spécifiée (recommandé)

ip route 172.16.1.0 255.255.255.0 G0/1 172.16.2.2

Configuration d'un route statique flottante IPv4 (pour une route en cas de panne)

exemple avec une route par défauts :

ip route 0.0.0.0 0.0.0.0 172.16.2.2
ip route 0.0.0.0 0.0.0.0 10.10.10.2 5 <--- distance administrative

Pour IPv6 Il faut Autorisez le routeur à transférer des paquets IPv6. :

ipv6 unicast-routing

par la suite c'est la même chose :

ipv6 route 2001:db8:acad:2::/64 2001:db8:acad:4::2
ipv6 route 2001:db8:acad:2::/64 s0/0/0

aussi possible d'utiliser l'address du link local

ipv6 route 2001:db8:acad:2::/64 fe80::2 (ATTENTION)

(il faut spécifier l'interface avec le link local) comme ça :

ipv6 route 2001:db8:acad:2::/64 s0/0/0 fe80::2

route par défaut ipv6 :

ipv6 route ::/0 2001:db8:acad:4::2

Configuration d'un route statique flottante IPv6 (pour une route en cas de panne)

exemple avec une route par défauts :

ipv6 route ::/0 2001:db8:acad:4::2
ipv6 route ::/0 2001:db8:acad:6::2 5 <--- distance administrative

Routage Dynamique (RIP, OSPF, BGP)

Pour iPv4

Exemple RIP version 1:

R1# conf t
R1(config)# router rip
R1(config-router)# network 192.168.1.0
R1(config-router)# network 192.168.2.0

Exemple RIP version 2:

R1# conf t
R1(config)# router rip
R1(config-router)# version 2

Recommandé de desactiver auto-summary

R1(config-router)# no auto-summary

Recommandé de desactivé sur les interfaces non nécéssaire :

R1(config-router)# passive-interface g0/0 (pour RIP ver.2)

R1# show ip protocols :

Pour propager la default route :

R1(config-router)# default-information originate (pour RIP ver.2)

Notes :

RIP v1 utilise (broadcast), RIP v2 (multicast)

RIP se parle à tout les 30 secondes (les annonces "network")

Pour bien diagnostiquer et voir, R1# debug ip rip

Pour IPv6

Exemple :

Réseau commutés

Réseau à 2 niveaux. (Distribution et Coeur ensemble)

Switch - Spécifier le fichier system

S1(config)# boot system

Switch - Recupération après une panne system

Étape 1. Connectez un PC par le câble de console au port de console du commutateur. Configurez le logiciel d'émulation de terminal pour établir une connexion avec le commutateur.

Étape 2. Débranchez le cordon d'alimentation du commutateur.

Étape 3. Reconnectez le cordon d'alimentation au commutateur et, dans les 15 secondes suivantes, appuyez sur le bouton Mode et maintenez-le enfoncé tandis que la LED système clignote en vert.

Étape 4. Continuez à appuyer sur le bouton Mode jusqu’à ce que la LED système devienne orange, puis vert fixe ; vous pouvez alors relâcher le bouton Mode.

Étape 5. L'invite switch: du bootloader s'affiche dans le logiciel d'émulation de terminal sur le PC.

La ligne de commande du bootloader prend en charge des commandes qui permettent de formater le système de fichiers Flash, de réinstaller le système d'exploitation et de récupérer un mot de passe perdu ou oublié. Par exemple, la commande dir peut être utilisée pour afficher la liste des fichiers dans un dossier spécifique comme illustré dans la figure.

Remarque : notez que dans cet exemple, l'IOS se trouve à la racine du dossier Flash.

Switch - Config de base pour permettre la gestion à distance par IPv4

SETUP IP

Enter global configuration mode.

S1# configure terminal

Enter interface configuration mode for the SVI.

S1(config)# interface vlan 99

Configure the management interface IP address.

S1(config-if)# ip address 172.17.99.11 255.255.0.0

Enable the management interface.

S1(config-if)# no shutdown

Return to privileged EXEC mode.

S1(config-if)# end

SETUP GATEWAY

Enter global configuration mode. :

S1# configure terminal

Configure the switch default gateway.

S1(config)# ip default-gateway 172.17.99.1

Return to privileged EXEC mode.

S1(config)# end

Save config

Save the running config to the startup config.

S1# copy running-config startup-config

Switch - Auto-MDIX vérifier

S1# show controllers enthernet-controller fa 0/1 phy | include auto-MDIX

quelques cmd show

Switch - config SSH

Étape 1. Vérifiez la prise en charge du protocole SSH.

Utilisez la commande show ip ssh pour vérifier que le commutateur prend en charge SSH. Si le commutateur n'exécute pas une version du logiciel IOS qui prend en charge les fonctionnalités de cryptographie (chiffrement), cette commande n'est pas reconnue.

Étape 2. Configurez le domaine IP

Configurez le nom de domaine IP du réseau à l'aide de la commande ip domain-name domain-name commande de mode de configuration globale. Dans la figure 1, la valeurdomain-name est cisco.com.

Étape 3. Générez des paires de clés RSA.

Toutes les versions de l'IOS utilisent par défaut SSH version 2. SSH version 1 a des failles de sécurité connues. Pour configurer SSH version 2, exécutez la commande du mode de configuration globale ip ssh version 2. La génération d'une paire de clés RSA active automatiquement SSH. Utilisez la commande de mode de configuration globale crypto key generate rsa pour activer le serveur SSH sur le commutateur et pour générer une paire de clés RSA. Lors de la génération de clés RSA, l'administrateur est invité à saisir une longueur de module. L'exemple de configuration de la figure 1 utilise une taille de module de 1 024 bits. Une longueur de module plus importante peut se révéler plus sûre, mais sa création et son utilisation prennent plus de temps.

Remarque : pour supprimer la paire de clés RSA, utilisez la commande de configuration globale crypto key zeroize rsa. Une fois la paire de clés RSA supprimée, le serveur SSH est automatiquement désactivé.

Étape 4. Configurez l'authentification utilisateur.

Le serveur SSH peut authentifier les utilisateurs localement ou avoir recours à un serveur d'authentification. Pour utiliser la méthode d'authentification locale, créez un nom d'utilisateur et un mot de passe en utilisant la commande username username secret password commande de mode de configuration globale. Dans cet exemple, l'utilisateur admin se voit attribuer le mot de passe ccna.

Étape 5. Configurez les lignes vty.

Activez le protocole SSH sur les lignes vty à l'aide de la commande de mode de configuration de ligne transport input ssh. Le commutateur Cisco Catalyst 2960 intègre des lignes vty allant de 0 à 15. Cette configuration permet d'interdire toute connexion autre que SSH (par exemple Telnet). Seules les connexions SSH sont ainsi autorisées sur le commutateur. Utilisez la commande de mode de configuration globale line vty, puis la commande de mode de configuration de ligne login local pour exiger l'authentification locale des connexions SSH provenant d'une base de données de noms d'utilisateur locale.

Étape 6. Activez SSH version 2.

Par défaut, SSH prend en charge les versions 1 et 2. Cette double prise en charge se voit dans les résultats de la commande show ip ssh (prise en charge de la version 1.99). La version 1 a des vulnérabilités connues. Par conséquent, il est préférable d'activer uniquement la version 2. Activez cette version de SSH avec la commande de configuration globale ip ssh version 2.

Utilisez le vérificateur de syntaxe de la figure 2 pour configurer SSH sur le commutateur S1.

Switch - Sécurisé les ports

Adresses MAC sécurisées statiques :

S1(config-if)# switchport port-security address mac-address AAAA.BBBB.CCCC

Adresses MAC sécurisées dynamiques (limite à un nombre maximum les MAC sur le port)

S1(config-if)# switchport port-security maximum 2

Adresses MAC sécurisées rémanentes (sticky) avec le mode dynamiques permet de garder toujours les premiers:

S1(config-if)# switchport port-security address mac-address sticky

switchport port-security violation {protect | restrict | shutdown}. :

Pour vérification de la sécurité des ports

S1# Show port-security interface fastethernet 0/18

Pour vérification des addresses MAC sécurisées

S1# Show port-security address

Exemple :

S1(config-if-range)#switchport mode access
S1(config-if-range)#switchport port-security
S1(config-if-range)#switchport port-security maximum 1
S1(config-if-range)#switchport port-security mac-address sticky
S1(config-if-range)#switchport port-security violation restrict

Switch - VLAN

pour voir les vlans et association aux ports

S1# show vlan brief

pour vérifier la configuration du trunk

S1# show interface intrerface-ID switchport

Création d'un VLAN

S1# conf t
S1(config)# vlan vlan-id
S1(config-vlan)# name vlan-name
S1(config-vlan)# end

Création de plusieurs vlan

S1(config)# vlan 100 102 105-107

Affectation de ports à des VLAN

S1# conf t
S1(config)# interface interface_id
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan vlan_id
S1(config-if)# end

Exception 2 vlans en mode access (voix et data)

exemple :

S1# conf t
S1(config)# interface fa0/18
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 20
S1(config-if)# mls qos trust cos
S1(config-if)# switchport mode voice ** à vérifier dans packet tracer pas été en mesure de le mettre.
S1(config-if)# switchport voice vlan 150
S1(config-if)# end

Mode trunk IEEE 802.1q

S1# conf t
S1(config)# interface fa0/18
S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan vlan_id
S1(config-if)# switchport trunk allowed vlan all ou liste-vlan

Router - VLAN

Mode Router-on-a-stick 802.1q (mode Trunk)

R1# conf t
R1(config)# interface g0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 172.17.10.1 255.255.255.0
R1(config-subif)# interface g0/0.30
R1(config-subif)# encapsulation dot1q 30
R1(config-subif)# ip address 172.17.30.1 255.255.255.0
R1(config-subif)# interface g0/0
R1(config-if)# no shutdown

Pour vérification des sous-interfaces

R1# show vlan

R1# show ip route

Router - ACL

ACE : Entées Contrôle Accès

Se base sur les en-têtes en couche 3 (Réseau) et couche 4 (Transport)

ACL standard utilisent la couche 3 - ACL étendu utilisent avec couche 3 et 4.

masque générique est l'inverse du masque réseau (ex : 255.255.255.0 = 0.0.0.255, 0.0.0.0 = 255.255.255.255, 255.255.255.128 = 0.0.0.129, 255,255,255,252 = 0.0.0.3) méthode de calcule 255.255.255.255 - le masque réseau.

mot clef :

host = masque générique : 0.0.0.0
any = masque générique : 255.255.255.255

Syntaxe ACL numéroté

Configuré les ACLs

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
R1(config)# access-list 10 remark Permit Hosts from the 192.168.10.0 LAN

Pour l'activer sur l'interface :

R1(config)# interface serial 0/0/0
R1(config-if)# ip access-group 10 out

Pour supprimer :

R1(config)# no access-list 10

Syntaxe ACL Nommé

Configuré les ACLs

R1(config)# ip access-list standard NO_ACCESS
R1(config-std-nacl)# deny host 192.168.11.10
R1(config-std-nacl)# permit any
R1(config-std-nacl)# exit

Pour l'activer sur l'interface :

R1(config)# interface serial 0/0/0
R1(config-if)# ip access-group NO_ACCESS out

Pour supprimer :

R1(config)# no ip access-list standard NO_ACCESS

Vérification des ACLs

R1# show ip interface s0/0/0

R1# show access-lists

R1# clear access-list counters 1 (pour remettre à 0 les match(es)

La commande access-class

pour limité les IP autorisées accès VTY

a utilisé avec SSH pour renforcer la sécurité. ex:

R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# access-class 21 in
R1(config-line)# exit
R1(config)# access-list 21 permit 192.168.10.0 0.0.0.255
R1(config)# access-list 21 deny any (optional car implicit deny)

Exemple de création d'ACL:

2 Exemples de modification ACL

Exemple de modification ACL nommées

DHCPv4

Étapes pour demande de nouvel IP :

client : DHCPDISCOVER (Broadcast - UDP port source 68)
srv : DHCPOFFER (Broadcast - UDP port destination 67)
client : DHCPREQUEST (Broadcast - UDP)
srv : DHCPACK (Broadcast - UDP)

Étapes pour renouvellement :

client : DHCPREQUEST (Broadcast - UDP)
srv : DHCPACK (Broadcast - UDP)

Commandes pour configuration SRV DHCP sur Router

R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9
R1(config)# ip dhcp excluded-address 192.168.10.254
R1(config)# ip dhcp pool POOL-NAME
R1(dhcp-config)# network 192.168.10.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.10.1
R1(dhcp-config)# dns-server 192.168.10.5
R1(dhcp-config)# domain-name exemple.com

relai dhcp dans un autre réseau

R1(config)# interface g0/0
R1(config-if)# ip helper-address 192.168.11.6

Pour désactiver le protocole DHCPv4

R1(config)# no service dhcp

Pour réactiver le protocole DHCPv4

R1(config)# service dhcp

vérification de DHCPv4

R1# show running-config | section dhcp
R1# show ip dhcp binding
R1# show ip dhcp server statistics
R1# show ip dhcp conflict

configuration routeur interface en DHCP

R1(config)# interface g0/1
R1(config-if)# ip address dhcp
R1(config-if)# no shutdown

débogage DHCPv4

R1(config)# access-list 100 permit udp any any eq 67
R1(config)# access-list 100 permit udp any any eq 68
R1(config)# end
R1# debug ip packet 100

... (les détails vont ensuite d'afficher) ...

R1# debug ip dhcp server events

... (les détails vont ensuite d'afficher) ...

exemple de vérification de DHCPv4 :

DHCPv6

Étapes pour demande de nouvel IPv6 (SLAAC):

client : Sollicitation du router (RS) (multidiffusion destinée à tous les routers IPv6)
- address de multidiffusion FF02::2
srv : Annonce du router (RA) (Multidiffusion destinée à tous les noeuds IPv6)
- srv fourni le préfixe et le client va faire sa propre addresse avec MAC ou aléatoire
- address de multidiffusion FF02::1
- ID d'interface : EUI-64 ou Génération aléatoire
clent : il va tout de même vérifier si l'adresse est déjà utilisé.
- message d'annonce de voisin ICMPv6 en utilisant l'adresse IPv6 comme adresse IPv6 cible )

Étapes pour demande de nouvel IPv6 (DHCPv6 sans état):

client : Sollicitation du router (RS) (multidiffusion destinée à tous les routers IPv6)
- address de multidiffusion FF02::2
Router: annonce du router mais va voir le serveur DHCPv6.
- router fourni le préfixe et le client va faire sa propre addresse avec MAC ou aléatoire + le serveur DHCPv6
- address de multidiffusion FF02::1
client va batir son address comme SLAAC et ensuite va aller chercher le reste d'information sur le serveur DHCPv6.

Étapes pour demande de nouvel IPv6 (DHCPv6 avec état) pareil comme IPv4):

client : Solicitation du router
router: fourni directement le serveur DHCPv6, aucun information n'est envoyé par le router.

(même méthode qu'DHCPv4(

Commandes pour configuraiton SLAAC

pour activé

R1(config)# ipv6 unicast-routing

pour réactiver SLAAC

R1(config)# no ipv6 nd managed-config-flag
R1(config)# no ipv6 nd other-config-flag

Commandes pour DHCPv6 sans état

R1(config)# ipv6 unicast-routing
R1(config)# ipv6 dhcp pool pool-name
R1(config-dhcpv6)# dns-server 2001:db8:cafe:aaaa::5
R1(config-dhcpv6)# domain-name exemple.com
R1(config-dhcpv6)# exit
R1(config)# inteface g0/1
R1(config-if)# ipv6 address 2001:db8:cafe:1::1/64
R1(config-if)# ipv6 dhcp server IPV6-STATELESS
R1(config-if)# ipv6 nd other-config-flag

Commandes pour DHCPv6 avec état

R1(config)# ipv6 unicast-routing
R1(config)# ipv6 dhcp pool pool-name
R1(config-dhcpv6)# address prefix 2001:DB8:CAFE:1::/64 lifetime infinite
R1(config-dhcpv6)# dns-server 2001:db8:cafe:aaaa::5
R1(config-dhcpv6)# domain-name exemple.com
R1(config-dhcpv6)# exit
R1(config)# inteface g0/1
R1(config-if)# ipv6 address 2001:db8:cafe:1::1/64
R1(config-if)# ipv6 dhcp server IPV6-STATFUL
R1(config-if)# no ipv6 nd managed-config-flag

configuration routeur interface en DHCPv6

R1(config)# interface g0/1
R1(config-if)# ipv6 enable
R1(config-if)# ipv6 address autoconfig

relai dhcpv6 dans un autre réseau

R1(config)# interface g0/0
R1(config-if)# ip dhcp relay destination 2001:db8:cafe:1::6

vérification de DHCPv6

R1# show ipv6 dhcp pool
R1# show ipv6 dhcp binding
R1# show ipv6 dhcp interface g0/0

débogage DHCPv6

R1# debug ipv6 dhcp detail

... (les détails vont ensuite d'afficher) ...

exemple de vérification de DHCPv6 :

NAT IPv4

Terminologie NAT (exam CISCO)

Type de NAT :

NAT statique (un à un entre les addresses locale et globale) ex: Serveur Web ou Serveur Mail pour être accessible à partir de l'externe

NAT dynamique (plusieurs adresses locales et globales) tranduction sont effectuées selon les disponibilités - s'il y a 100 locales et 10 globales, à un moment donné, seules 10 adresses parmi les 100 locales.

NAT PAT "Port Address Translation" (plusieurs address locales et globales) ajoute un port. également appelée surcharge (overload).

configuration du NAT

Static :

R1(config)# ip nat inside source static 192.168.10.254 209.165.201.5
R1(config)# interface Serial 0/0/0
R1(config-if)# ip address 192.168.1.2 255.255.255.252
R1(config-if)# ip nat inside
R1(config)# interface Serial 0/1/0
R1(config-if)# ip address 209.165.200.1 255.255.255.252
R1(config-if)# ip nat outside

Dynamique :

R1(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R1(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R1(config)# ip nat inside source list 1 pool NAT-POOL1
R1(config)# interface Serial 0/0/0
R1(config-if)# ip nat inside
R1(config)# interface Serial 0/1/0
R1(config-if)# ip nat outside

PAT avec un pool public :

R1(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R1(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R1(config)# ip nat inside source list 1 pool NAT-POOL1 overload
R1(config)# interface Serial 0/0/0
R1(config-if)# ip nat inside
R1(config)# interface Serial 0/1/0
R1(config-if)# ip nat outside

PAT avec adresse unique :

R1(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R1(config)# ip nat inside source list 1 interface S0/1/0 overload
R1(config)# interface Serial 0/0/0
R1(config-if)# ip nat inside
R1(config)# interface Serial 0/1/0
R1(config-if)# ip nat outside

R1(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat pool R2POOL 209.165.202.129 209.165.202.129 netmask 255.255.255.252
R2(config)# ip nat inside source list 1 pool R2POOL overload
R1(config)# interface Serial 0/0/0
R1(config-if)# ip nat inside
R1(config)# interface Serial 0/1/0
R1(config-if)# ip nat outside

Configuation de port forwarding :

ip nat inside source static TCP | UDP local-IP local-port global-ip global-port

R1(config)# ip nat inside source static tcp 192.168.10.254 80 209.165.200.225 8080
R1(config)# interface Serial 0/0/0
R1(config-if)# ip nat inside
R1(config)# interface Serial 0/1/0
R1(config-if)# ip nat outside

Autres commandes

R1# clear ip nat statistics
R1# show ip nat statistics
R1# show ip nat translations

Découverte (CDP, LLDP), Journalisation

CDP : propre à CISCO

Couche 2, permet de trouver seulement les équipements sur la même liaison (donc ne peut pas traverser les routeurs)
multicast
activé par défault sur CISCO
Permet de monter un topologie logique

Commandes

Router# show cdp

Router(config)# no cdp run (désactivé)
Router(config)# cdp run (activé)

Switch(config)# interface g0/1
Switch(config-if)# cdp enable

Router# show cdp interface
Router# show cdp neighbors
Router# show cdp neighbors detail

LLDP : n'est pas propre à CISCO

protocole std IEEE 802.AB
désactivé par défaut sur CISCO

Commandes

Switch(Config)# lldp run
Switch(Config)# interface g0/1
Switch(Config-if)# lldp transmit
Switch(Config-if)# lldp receive
Switch# show lldp
Switch# show lldp neighbors
Switch# show lldp neighbors detail

NTP :

strate 0 (un réseau NTP obtient l'heure à partir sources temporelles fesant auitorité) - pas de retard ou très très peu

strate 1 (directement connecté au sources temporelles faisant autorité) il présente la référence temporelle du réseau

strate 2 ou inférieure (connecté au strate 1), nombre de sauts maximal est de 15. strate 16 le niveau le plus bas, indique qu'un prériphérique n'est pas synchronisé

Commandes

Router# show clock detail
Router(config)# ntp server 209.165.200.225
Router# show ntp associations
Router# show ntp status

Protocole Syslog : journalisation

développé par system UNIX, RFC 3164 par l'IETF en 2001

capacité à collecter les information de journalistion pour serveillance et le dépannage
capacité à selectionner le type d'information de journalisation capturée
capicité à spécifier les destinations des messages Syslog capturés

sur CISCO le system commence par envoyer des messages des résultat de commande debug.

les destinations classque des messages Systog :

Tempon de journalisation (RAM) (certain par defauit)
Ligne de console (par défault)
Ligne de terminal
Serveur Syslog

Commandes

Pour forcer les evenements journalisés à afficher la date et l'heure

R1(config)# service timestamps log datetime

Par défault il sont déjà activé mais voici les commandes pour loggé console et RAM.

R1(config)# logging console
R1(config)# logging buffered

Pour voir les journalisation

R1(config)# show logging

Pour envoyé dans un serveur syslog

R1(config)# logging 192.168.1.3
R1(config)# logging trap 4 (veut dir niveau de 0 à 4)
R1(config)# logging source-interface g0/1
R1(config)# interface loopback 0

CDP

lldp

syslog

Tableau Important :

Gestion et maintenance des périphiques

répertorie tous les systèmes de fichiers disponible sur un router

R1# show file system

affiche le contenu de fichiers. Par défaut on se situe en mémoirs flash

R1# dir

pour entré dans le repertoire nvram

R1# cd nvram

pour dir où vous êtes , ques directory

R1# pwd

pour voir le contenu d'un fichier

R1# more usbflash0:/R1-Config

Pour savegarde et récupération TFTP

sauvergarde :

R1# copy running-config tftp

restaure :

R1# copy tftp running-config

Pour sauvergardé et récupérer par USB

sauvergarde :

R1# copy running-config usbflash0: (faire dir avant pour voir si usbflash est bien là)

restaure :

R1# copy usbflash0:/R1-Config running-config

Pour récupérer un mot de passe

activer le mode ROMMON (un peu comme le BIOS)
modifiez le registre de configuration en 0x2142 pour ignorier le fichier configuration de démarrage
- rommon 1 > confreg 0x2142
- rommon 2 > reset

(Au prochain démarrage, on excute le system d'exploitation, pour ne pas charger le fichier de configurtion)

3. un fois booté,

- Router# copy startup-config running-config
- Router# conf t
- Router(config)# enable secret cisco
- Router(config)# config-register 0x2102
- Router(config)# end
- Router# copy running-config startup-config
- Router# reload

System fichier IOS / Gestion des licenses

IP Base (par défault sur les routeurs)

BGP, OSPF, EIGRP, ISIS, PBR, IGMP, multidiffusion

Périphériques : 1900, 2900, 3900

Package Sécurité

IOS Firewall, SSL, VPN, DMVPN, IPS, GET VPN, IPsec, etc.

Périphériques : 1900, 2900, 3900

Communications unifiées

CUBE, SRST, Voice Gateway, CUCME, DSP, VXML, etc.

Périphériques : 2900, 3900

Données (Data) ** pour les providers d'internet

MPLS, BFD, RSVP, L2VPN, L2TPv3, IP SLA, etc.

Périphériques : 1900, 2900, 3900

** pour activé les modules, il faut acheter le module, on recoit le (.PAK) ensuite associé le PAK à UDI (identification unique de l'équipement) ç ensuite CISCO va donner un fichier licence. (.lic)

R1# show license udi (pour trouvé le UDI)
R1# lincense install flash:securityk9-CISCO1941-FHH12250057.lic
R1# show version (pour valider l'installation)
R1# show license
R1# license save flash0:all_licenses.lic (sauvegarder copy des licenses)

ISR G2 (Image)

universalk9 (plus utilisé)
universalk9_npe (ne pas pas en charge chiffrement fort des données utiles)

Pour sauvegarder/restauré le fichier IOS

sauvegarde :
R1# show flash0:
R1# copy flash0: tfpt:

restaure :

R1# copy tfpt: flash0:

nom de fichier IOS :

fichier IOS sauvegarde tftp

Google Sites

Report abuse