Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Commandes de dépannage Cisco à votre service

Commandes de dépannage Cisco à votre service

Aug 20, 2019

La résolution de problèmes Cisco repose sur des commandes fondamentales qui aident à isoler et résoudre les problèmes de réseau. CDP révèle les appareils voisins, tandis que show version fournit des détails sur le matériel et le logiciel. Ping et traceroute vérifient la connectivité et les chemins, et Telnet teste l'accès aux ports à distance. Les commandes d'interface identifient les erreurs, la vitesse et les incompatibilités de duplex, tandis que les vérifications d'adresses MAC et de VLAN confirment la précision du transfert. Maîtriser ces commandes permet une analyse des causes profondes plus rapide, une sécurité renforcée et une performance réseau fiable.

Le dépannage repose sur trois grands principes : prévoir ce qui peut arriver, déterminer les anomalies et enquêter sur les raisons de ces anomalies. De nombreux administrateurs réseau résolvent les problèmes d'infrastructure réseau en analysant le chemin de la couche 3 à travers le réseau, saut par saut, dans les deux directions. Ce processus les aide à isoler le problème ; une fois qu'ils déterminent quel saut dans le chemin de la couche échoue, ils peuvent alors examiner plus en détail.

Contenu connexe sélectionné :

Il existe divers outils qui peuvent aider au dépannage réseau. Examinons-les et voyons quels problèmes ils peuvent vous aider à enquêter.

Cisco Discovery Protocol (CDP)

Le Cisco Discovery Protocol (CDP) découvre des informations de base sur les routeurs et commutateurs voisins sans avoir besoin de connaître les mots de passe de ces appareils Cisco network devices. Cela est possible car les routeurs et commutateurs Cisco envoient régulièrement des messages CDP qui annoncent des informations les concernant. Par conséquent, le matériel Cisco prenant en charge le CDP peut apprendre à connaître d'autres appareils en écoutant ces messages. Le CDP découvre plusieurs détails utiles des appareils Cisco voisins :

  • Identifiant de l'appareil : Le nom d'hôte
  • Liste d'adresses : Adresses de réseau et de liaison de données
  • Identifiant de port : L'interface sur l'appareil distant qui a envoyé la publicité CDP
  • Liste des capacités : Type d'appareil (par exemple, routeur ou commutateur)
  • Platform: La version IOS fonctionnant sur l'appareil

Pour voir ces informations, utilisez la commande show cdp :

      show cdp neighbors

Cette commande répertorie chaque appareil voisin, un par ligne. Chaque ligne fournit les informations de topologie les plus importantes concernant le voisin : son nom d'hôte (ID de l'appareil), l'interface de l'appareil local et son interface (sous l'en-tête Port). Cette commande d'interface liste également la plateforme, identifiant le modèle spécifique du routeur ou commutateur voisin.

Pour obtenir des détails supplémentaires, tels que le nom complet du modèle de commutateur et l'adresse IP configurée sur l'appareil voisin, ajoutez le paramètre detail comme suit :

      show cdp neighbors detail

Bien sûr, être capable de découvrir beaucoup d'informations sur les appareils voisins représente une exposition à la sécurité du réseau. Cisco recommande de désactiver CDP sur toute interface IP qui n'en a pas besoin. Pour basculer CDP off et on pour un appareil entier, utilisez les commandes globales no cdp run et cdp run . Pour l'activer sur une interface spécifique, utilisez les sous-commandes d'interface no cdp enable et cdp enable .

Contenu connexe sélectionné :

Afficher la version

Vous pouvez utiliser la commande Cisco IOS show version en mode exec privilégié pour vérifier la version et le numéro de release du logiciel IOS en cours d'exécution sur les appareils Cisco. Cela affiche les informations suivantes :

  • Version du logiciel Cisco IOS — Le nom et le numéro de version du logiciel Cisco
  • Durée de fonctionnement de l'interrupteur — Le temps écoulé depuis le dernier démarrage de l'appareil
  • Changer de plateforme — Informations sur la plateforme matérielle, y compris la révision et la quantité de RAM
  • ID de la carte processeur — Le numéro de série de l'appareil

Ping

L'objectif principal de ping est de vérifier l'accessibilité, le temps aller-retour (RTT) et la perte de paquets. Pour diagnostiquer un appareil pour ces propriétés, nous devons spécifier l'adresse IP de l'appareil — par exemple, ping 172.17.4.6. Cette commande envoie une requête d'écho du protocole de messages de contrôle Internet (ICMP) et affiche l'un des éléments suivants :

! — Un paquet de réponse d'écho ICMP a été reçu dans le délai imparti (2 secondes par défaut)

. — Aucune réponse n'a été reçue dans le délai imparti.

Vous pouvez effectuer un ping depuis l'interface spécifique en ajoutant le paramètre source avec le nom de l'interface à la fin de la commande — par exemple, ping 172.17.4.6 source Ethernet 0/0.

Traceroute

Traceroute est une fonction qui trace le chemin d'un réseau à un autre, ce qui peut aider à diagnostiquer l'origine de nombreux problèmes. Traceroute fonctionne en envoyant à l'hôte distant une séquence de trois datagrammes UDP avec un TTL de 1 dans l'en-tête IP ; cela provoque l'expiration du datagramme lorsqu'il atteint le premier routeur sur le chemin, amenant le routeur à répondre par un message « ICMP time exceeded ». Ensuite, traceroute envoie un ensemble de trois datagrammes UDP avec un TTL de 2, de sorte qu'ils expirent lorsqu'ils atteignent le deuxième routeur, le poussant à répondre par un message de dépassement de temps. Ce processus continue jusqu'à ce que le paquet atteigne la destination finale et reçoive un message ICMP « port unreachable ».

Par conséquent, vous pouvez utiliser traceroute pour tester le chemin choisi par les paquets pour se déplacer vers leur destination.

Vous pouvez également utiliser une commande traceroute étendue pour tester la connectivité à partir d'une source spécifiée — par exemple, traceroute 10.10.60.6 source Loopback0.

Telnet

Lorsque vous utilisez Telnet pour vous connecter à un appareil distant, il utilise le port par défaut (23). Vous pouvez utiliser n'importe quel numéro de port de 1 à 65535 pour tester si un appareil distant est à l'écoute sur le port spécifique, par exemple, telnet 172.17.5.74 8080.

Commande Show Interfaces et codes d'état d'interface

Les commutateurs Cisco utilisent deux ensembles différents de codes d'état d'interface. Les deux ensembles de codes d'état peuvent déterminer si une interface fonctionne.

  • Afficher les interfaces et afficher la description des interfaces — Ces commandes listent l'état de la ligne et l'état du protocole. Ils indiquent généralement si la couche 1 fonctionne (état de la ligne) et si la couche 2 fonctionne (état du protocole). Pour les interfaces des commutateurs LAN, les deux codes ont généralement la même valeur, soit “up” soit “down”.
  • afficher le statut des interfaces — Liste le statut de l'interface. Ce code d'état unique correspond à différentes combinaisons du statut de la ligne et du statut du protocole, comme indiqué dans le tableau ci-dessous. Par exemple, le statut de l'interface “connecté” correspond à un état up/up pour les deux autres statuts.

Voici la liste des codes d'état et des problèmes qu'ils peuvent indiquer :

Désactivé administrativement

Bas

Désactivé

L'interface est désactivée en raison d'une commande d'arrêt.

Down

Bas

Non connecté

Aucune connexion physique, vitesse non correspondante, l'appareil est éteint, désactivé suite à une erreur.

Haut

Down

Non connecté

Une interface n'est pas attendue sur les interfaces physiques.

Down

Erreur de panne désactivée

Erreur désactivée

La sécurité du port a désactivé l'interface.

Haut

Haut

Connecté

L'interface fonctionne.

Commande d'arrêt Cisco

Lorsque vous configurez une interface pour la première fois en mode configure terminal, vous devez activer administrativement l'interface avant que le routeur puisse l'utiliser pour transmettre ou recevoir des paquets. Utilisez la commande Cisco no shutdown pour permettre au logiciel IOS d'utiliser l'interface.

Plus tard, vous pourriez vouloir désactiver une interface spécifique pour effectuer une maintenance matérielle sur celle-ci ou sur un segment de réseau. Vous pourriez également vouloir désactiver une interface si un problème existe sur un segment de réseau spécifique et que vous devez isoler ce segment du reste du réseau. La commande shutdown permet d'activer administrativement une interface. Pour redémarrer l'interface, utilisez la commande no shutdown.

Afficher la route IP

La plupart des tables de routage contiennent une combinaison de routes statiques et dynamiques. Cependant, avant de pouvoir utiliser le routage statique ou dynamique, la table de routage doit contenir les réseaux directement connectés qui sont utilisés pour accéder aux réseaux distants. Pour vérifier les routes statiques dans la table de routage, utilisez la commande show ip route, en spécifiant l'adresse réseau, le masque de sous-réseau et l'adresse IP du routeur de prochain saut ou de l'interface de sortie.

Problèmes courants sur les appareils Cisco

Problèmes de vitesse et de duplex d'interface

De nombreuses interfaces Ethernet basées sur UTP prennent en charge plusieurs vitesses (duplex intégral ou demi-duplex) et la négociation automatique standard IEEE. Ces interfaces peuvent être configurées pour utiliser une vitesse spécifique en utilisant la sous-commande d'interface speed {10 | 100 | 1000} , et pour utiliser un duplex spécifique en utilisant la sous-commande d'interface duplex {half | full} . Si ces deux configurations sont définies pour une interface, le commutateur ou le routeur désactive le processus de négociation automatique standard IEEE sur cette interface.

Les commandes show interfaces et show interfaces status listent les paramètres de vitesse et de duplex d'une interface, mais seule la commande show interfaces status indique comment le commutateur a déterminé les paramètres de vitesse et de duplex ; elle répertorie tous les paramètres négociés automatiquement avec un préfixe de a-. Par exemple, a-full signifie full-duplex tel que négocié automatiquement, tandis que full signifie full-duplex mais configuré manuellement. Bien que la négociation automatique fonctionne bien, les valeurs par défaut permettent la possibilité d'un problème appelé un duplex mismatch, dans lequel les appareils considèrent que le lien est actif mais un côté utiliserait le half-duplex et l'autre côté le full-duplex.

Le nombre d'erreurs d'entrée et le nombre d'erreurs CRC ne sont que deux des compteurs dans la sortie de la commande show interfaces. Le défi consiste à décider quels compteurs vous devez voir, lesquels indiquent qu'un problème se produit et lesquels sont normaux et ne suscitent aucune inquiétude. Voici la liste des compteurs pour vous aider à commencer à comprendre lesquels indiquent des problèmes et lesquels ne font que compter des événements normaux qui ne sont pas problématiques :

  • Runts : Trames qui ne répondent pas à l'exigence de taille minimale de trame (64 octets, y compris les 18 octets pour l'adresse MAC de destination, l'adresse MAC source et le type). Les runts peuvent être causés par des collisions.
  • Géants : Trames qui dépassent la taille maximale requise pour une trame (1518 octets, y compris les 18 octets pour la MAC de destination, la MAC source et le type).
  • Erreurs d'entrée : Le nombre total de compteurs, incluant les runts, géants, pas de tampon, CRC, trame, dépassement et comptes ignorés.
  • CRC : Trames reçues qui n'ont pas passé le calcul de la FCS ; celles-ci peuvent être causées par des collisions.
  • Cadre : Trames reçues ayant un format illégal (par exemple, se terminant par un octet partiel) ; elles peuvent être causées par des collisions.
  • Sortie des paquets : Nombre total de paquets (trames) transmis en sortie de l'interface.
  • Erreurs de sortie : Nombre total de paquets (trames) que le port du commutateur a tenté de transmettre mais pour lesquels un problème est survenu.
  • Collisions : Compteur de toutes les collisions survenues lorsque l'interface transmettait une trame.
  • Collisions tardives : Le sous-ensemble de toutes les collisions qui se produisent après la transmission du 64e octet de la trame. Dans un réseau LAN Ethernet qui fonctionne correctement, les collisions devraient se produire dans les premiers 64 octets ; les collisions tardives indiquent souvent aujourd'hui un désaccord de duplex.

Prédire le contenu de la table d'adresses MAC

Les commutateurs apprennent les adresses MAC puis utilisent les entrées dans la table d'adresses MAC pour prendre une décision de transfert/filtrage pour chaque trame. Pour savoir exactement comment un commutateur particulier va transférer une trame Ethernet, vous devez examiner la table d'adresses MAC sur un commutateur Cisco.

La commande show mac address-table exec affiche le contenu de la table d'adresses MAC d'un commutateur. Cette commande répertorie toutes les adresses MAC actuellement connues par le commutateur. La sortie inclut certaines adresses MAC statiques utilisées par le commutateur et toutes les adresses MAC configurées statiquement, telles que celles configurées avec la fonctionnalité de sécurité de port. La commande liste également toutes les adresses MAC apprises dynamiquement. Si vous souhaitez voir uniquement les entrées de la table d'adresses MAC apprises dynamiquement, utilisez simplement la commande show mac address-table dynamic EXEC.

Lors de la prédiction des entrées de la table d'adresses MAC, vous devez imaginer une trame envoyée par un appareil à un autre appareil de l'autre côté du LAN, puis déterminer par quels ports de commutateur la trame passerait en traversant le LAN.

Sécurité des ports et filtrage

Lors du suivi du chemin qu'un cadre emprunte à travers les commutateurs LAN, n'oubliez pas que différents types de filtres peuvent écarter des cadres, même lorsque toutes les interfaces sont actives. Par exemple, les commutateurs LAN peuvent utiliser des filtres appelés listes de contrôle d'accès (ACL) qui filtrent en fonction de l'adresse MAC source et de destination, écartant ainsi certains cadres. De plus, les routeurs peuvent filtrer les paquets IP en utilisant des ACL IP. Dans certains cas, vous pouvez facilement déduire que la sécurité du port a pris des mesures car elle a désactivé l'interface.

Cependant, dans d'autres cas, la sécurité du port laisse l'interface active, mais se contente de rejeter le trafic non conforme. D'un point de vue dépannage, une configuration de sécurité du port qui laisse l'interface active tout en rejetant les trames oblige l'ingénieur réseau à examiner attentivement le statut de la sécurité du port, plutôt que de se contenter de regarder les interfaces et la table d'adresses MAC. La sécurité du port permet trois modes de violation (shutdown, protect et restrict), mais seul le réglage par défaut de shutdown provoque la désactivation de l'interface par le commutateur.

Pour trouver des preuves que la sécurité des ports est active, vous devriez exécuter la commande show port-security interface . De plus, la table des adresses MAC donne quelques indices que la sécurité des ports pourrait être activée. Étant donné que la sécurité des ports gère les adresses MAC, toutes les adresses MAC associées à un port sur lequel la sécurité des ports est activée apparaissent comme des adresses MAC statiques. Par conséquent, la commande show mac address-table dynamic ne liste pas les adresses MAC des interfaces sur lesquelles la sécurité des ports est activée. Cependant, les commandes show mac address-table et show mac address-table static listent bien ces adresses MAC statiques.

Veiller à ce que les bonnes interfaces d'accès soient dans les bons VLAN

Pour s'assurer que chaque interface d'accès a été attribuée au VLAN correct, les ingénieurs doivent simplement déterminer quelles interfaces de commutation sont des interfaces d'accès plutôt que des interfaces de tronc, déterminer les VLAN d'accès attribués à chaque interface et comparer les informations à la documentation. Si possible, commencez par utiliser les commandes show vlan et show vlan brief , car ces commandes show listent tous les VLAN connus et les interfaces d'accès qui leur sont attribuées. Soyez conscient, cependant, que ces deux commandes ne listent pas les troncs opérationnels. La sortie liste toutes les autres interfaces (celles qui ne sont pas actuellement en mode de tronc), qu'elles soient dans un état de fonctionnement ou non.

Si les commandes show vlan et show interface switchport ne sont pas disponibles, la commande show mac address-table peut également aider à identifier le VLAN d'accès. Cette commande liste la table des adresses MAC, chaque entrée comprenant une adresse MAC, une interface et un identifiant VLAN. Si une interface est attribuée au mauvais VLAN, utilisez la sous-commande d'interface switchport access vlan vlan-id pour assigner le bon identifiant VLAN.

Accès aux VLANs non définis

Les commutateurs ne transmettent pas de trames pour les VLAN qui ne sont pas configurés ou qui sont configurés mais désactivés (arrêtés). La commande show vlan liste toujours tous les VLAN connus du commutateur, mais la commande show running-config ne le fait pas. Les commutateurs configurés en tant que serveurs et clients VTP ne listent pas les commandes vlan dans la configuration en cours ou dans le fichier de configuration de démarrage ; sur ces commutateurs, vous devez utiliser la commande show vlan Les commutateurs configurés pour utiliser le mode transparent VTP, ou qui désactivent le VTP, listent les commandes de configuration vlan dans les fichiers de configuration. (Utilisez la commande show vtp status pour connaître le mode VTP actuel d'un commutateur.) Après avoir déterminé qu'un VLAN n'existe pas, le problème pourrait être que le VLAN doit simplement être défini.

Désactivation des VLAN d'accès

Une autre étape du dépannage consiste à vérifier que chaque VLAN est actif. La commande show vlan liste l'un des deux états : active ou act/lshut. Ce dernier signifie que le VLAN est arrêté. Arrêter un VLAN désactive le VLAN sur ce commutateur uniquement, de sorte que le commutateur ne transmettra pas de trames dans ce VLAN. Cisco IOS vous offre deux méthodes de configuration similaires pour désactiver (shutdown) et activer (no shutdown) un VLAN.

Vérifiez la liste des VLAN autorisés aux deux extrémités d'un trunk

Si les listes de VLAN autorisés aux extrémités d'un trunk ne correspondent pas, le trunk ne peut pas transmettre le trafic pour ce VLAN. La sortie de la commande show interfaces trunk de chaque côté semblera tout à fait normale ; vous ne pouvez repérer le problème qu'en comparant les listes autorisées aux deux extrémités du trunk.

États opérationnels de trunking non concordants

Si le trunking est configuré correctement, les deux commutateurs transmettent des trames pour le même ensemble de VLAN. Si les troncs sont mal configurés, il peut y avoir plusieurs résultats différents. Dans certains cas, les deux commutateurs concluent que leurs interfaces ne sont pas en trunking. Dans d'autres cas, un commutateur croit que son interface est correctement en trunking mais l'autre commutateur ne le pense pas.

La configuration incorrecte la plus courante — qui entraîne l'absence de trunking sur les deux commutateurs — utilise la commande switchport mode dynamic auto sur les deux commutateurs du lien. Le mot « auto » nous fait penser que le lien se mettrait en trunk automatiquement, en réalité, les deux commutateurs attendent que l'autre appareil sur le lien commence les négociations. Pour repérer cette configuration incorrecte, utilisez la commande show interfaces switchport pour vérifier si les deux commutateurs ont l'état administratif « auto » et qu'ils fonctionnent tous les deux comme des ports « accès statique ».

Conclusion

Maintenant, vous connaissez les commandes de dépannage de base pour enquêter sur les problèmes auxquels les administrateurs réseau sont confrontés tous les jours. Vous pouvez également télécharger la Cisco Commands Cheat Sheet pour avoir sous la main une liste de référence rapide des commandes de dépannage et de leurs descriptions.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Jeff Melnick

Directeur de l'ingénierie des systèmes

Jeff est un ancien directeur de l'ingénierie des solutions mondiales chez Netwrix. Il est un blogueur, conférencier et présentateur de longue date chez Netwrix. Dans le blog Netwrix, Jeff partage des astuces et des conseils qui peuvent améliorer de manière significative votre expérience en administration système.

En savoir plus sur ce sujet

Supprimer le fichier avec Powershell s'il existe

PowerShell Write to File : "Out-File" et techniques de sortie de fichier

Comment créer de nouveaux utilisateurs Active Directory avec PowerShell

Comment exécuter un script PowerShell

Qu'est-ce que PowerShell ? Un guide complet de ses fonctionnalités et utilisations

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité