Feuille de triche des commandes Cisco essentielles pour la configuration des appareils
Introduction
Le Cisco IOS (Internetwork Operating System) fournit aux administrateurs les moyens de gérer et de configurer les appareils Cisco. Bien que la structure de commande de Cisco soit propriétaire, elle illustre des concepts fondamentaux dans la gestion des appareils réseau qui sont applicables chez divers fournisseurs. Des interfaces en ligne de commande (CLI) et des principes de configuration similaires se retrouvent dans les systèmes d'autres grandes entreprises de réseautage comme Aruba, Juniper et Broadcom, permettant aux professionnels du réseau d'appliquer leurs compétences sur différentes plateformes avec une certaine adaptation.
Cet article fournit une feuille de triche que vous pouvez utiliser comme guide de commande rapide pour la gestion et la configuration des appareils réseau Cisco. Des captures d'écran sont fournies pour montrer certaines commandes étape par étape en action ; elles ont été prises en utilisant une connexion console au routeur ou au commutateur.
Aperçu de la structure de l'interface de ligne de commande (CLI)
Modes de commande
L'interface en ligne de commande (CLI) de Cisco IOS est structurée hiérarchiquement avec les modes de commande suivants :
- Mode EXEC utilisateur — C'est le mode par défaut lors de la connexion à un appareil Cisco. Il offre un accès limité, permettant uniquement les commandes de surveillance de base et restreignant la capacité à effectuer des modifications de configuration. Il est identifiable par une invite se terminant par >.
- Mode EXEC privilégié — Ce mode élevé donne accès à toutes les commandes show et aux opérations au niveau du système. Il offre une visibilité complète sur le système mais aucun accès à la configuration. Il permet également aux utilisateurs de réaliser des diagnostics d'appareils et des tâches de gestion de fichiers. Ce mode est indiqué par une invite se terminant par #.
- Mode de configuration globale — Ce mode hautement privilégié vous permet d'effectuer des changements de configuration à l'échelle du système et offre un accès à divers sous-modes pour des configurations spécifiques, telles que les paramètres d'interface. Dans ce mode, l'invite inclut (config)#.
Passage entre les modes de commande
Lorsque vous vous connectez pour la première fois à un routeur ou un commutateur Cisco, vous serez en mode User EXEC. Utilisez les commandes suivantes pour passer à des modes plus privilégiés :
- activer — Utilisé pour accéder au mode Privileged Exec
- config terminal (ou simplement config t) — Utilisé pour accéder au mode de configuration globale
Les commandes sont affichées dans la capture d'écran ci-dessous :
Le mode de configuration globale peut être divisé en plusieurs sous-modes qui vous permettent de configurer différents composants. Voici ces sous-modes et les commandes pour y accéder :
|
Mode de configuration de l'interface |
interface [interface-type] [interface-number] |
|
Mode de configuration de la sous-interface |
interface [interface-type] [interface-number].[subinterface-number] |
|
Mode de configuration du routeur |
routeur [routing-protocol] |
|
Mode de configuration de ligne |
ligne [line-type] [line-number] |
Maintenant que vous connaissez les commandes pour passer aux modes de privilèges supérieurs, voici les commandes pour revenir en arrière.
- exit — Utilisé pour revenir d'un niveau dans la hiérarchie du mode de configuration. La capture d'écran suivante montre l'administrateur revenant au mode Privileged Exec :
- end — Utilisé pour revenir immédiatement au mode EXEC privilégié depuis n'importe quel mode de configuration. Cela est utile pour sortir rapidement des niveaux de configuration imbriqués.
Affichage de la configuration du système
Après vous être connecté à un appareil Cisco, vous souhaitez probablement consulter ses paramètres système de base. Cela se fait facilement en tapant show running-config ou simplement show run. Cette commande affiche la configuration active stockée dans la mémoire de l'appareil.
Remarquez dans la capture d'écran ci-dessous que nous avons d'abord essayé la commande en mode User Exec, où elle a échoué en raison de privilèges insuffisants. La capture d'écran montre seulement une partie de la configuration en cours.
Les autres commandes liées à la configuration comprennent les suivantes :
|
show startup-config |
Affiche la configuration enregistrée stockée dans la NVRAM de l'appareil, qui sera chargée lorsque l'appareil démarre |
|
copier running-config startup-config |
Remplace la configuration de démarrage par la configuration active lorsque l'appareil réseau Cisco s'initialise |
|
copier startup-config running-config |
Fusionne la configuration de démarrage avec la configuration active actuellement en RAM |
|
write erase effacer startup-config |
Supprime la configuration de démarrage |
Raccourcis et historique des commandes
Voici quelques commandes supplémentaires pour une navigation rapide :
- Ctrl+Z — Utilisez cette combinaison de touches à tout moment pour quitter instantanément n'importe quel mode de configuration et revenir en mode EXEC privilégié
- Touche Tab — Utilisez cette touche pour compléter automatiquement les commandes partielles ou afficher les options de complétion possibles.
- Touches fléchées haut & bas — Utilisez ces touches pour parcourir les commandes précédentes.
- afficher l'historique — Utilisez cette commande pour afficher le tampon de l'historique des commandes.
Configuration initiale et de base de l'appareil
Renommer un appareil
La configuration en cours affichée dans la capture d'écran précédente montrait router comme nom d'hôte. C'est le nom par défaut pour un routeur Cisco, tout comme switch est le nom par défaut pour un commutateur Cisco. Le nom de l'appareil apparaît dans l'invite de commande.
Utilisez la commande hostname pour changer le nom d’un appareil. Sélectionnez un nom unique pour chaque appareil afin de garantir une identification facile au sein du réseau. Dans l'exemple ci-dessous, nous avons changé le nom du routeur en NorthOfficeRouter. Remarquez comment le nouveau nom fait partie de l'invite finale.
Attribution d'une adresse IP
Vous voudrez également attribuer une adresse IP à l'appareil pour le gérer à distance. Choisissez l'interface à laquelle vous souhaitez attribuer l'adresse IP et suivez les étapes suivantes :
- Entrez en mode de configuration de l'interface :
interface <interface-name>
- Attribuez une adresse IP et un masque de sous-réseau :
adresse IP <IP-address>
- Activez l'interface :
pas d'arrêt
Voici à quoi ressemble cette procédure dans le Cisco IOS. Notez que config-if indique que vous êtes en sous-mode de configuration d'interface.
Configuration des mots de passe
Parce que nous nous sommes connectés à un nouvel appareil, nous n'avons pas eu à entrer de mot de passe. Voici les commandes pour activer les mots de passe afin d'améliorer la sécurité :
|
activez le mot de passe <pass-value> |
Définit le mot de passe requis lors de l'utilisation de la commande enable1 |
|
activez secret <pass-value> |
Définit le mot de passe requis pour qu'un utilisateur puisse entrer en mode enable et le chiffre |
|
service de chiffrement de mot de passe |
Indique au logiciel Cisco IOS de chiffrer les mots de passe, les secrets CHAP et les données similaires enregistrées dans son fichier de configuration |
Configuration des bannières
Il existe également une variété de bannières que vous pouvez configurer :
- Bannière du message du jour (motd) :
bannière motd #Accès non autorisé interdit#
- Bannière de connexion :
bannière de connexion #Veuillez entrer vos identifiants#
- Bannière d'exécution :
bannière exec #Bienvenue sur le réseau#
Configuration du commutateur
Les commutateurs ont un but différent de celui des routeurs et utilisent donc des commandes différentes. Voici quelques concepts clés à comprendre :
- Mode de port de commutation — Le mode de port de commutation détermine comment le port gère le trafic VLAN. Les trois principaux modes sont le mode d'accès, le mode de tronc et le mode dynamique.
- Vitesse duplex — Les paramètres duplex déterminent si le port peut envoyer et recevoir des données simultanément. Vous pouvez attribuer half, full ou auto. Auto permet au commutateur de négocier le paramètre duplex avec l'appareil connecté.
- Vitesse — Ce paramètre détermine le taux de transmission de données du port. Selon les capacités du commutateur, la vitesse peut être réglée sur 10 Mbps, 100 Mbps, 1000 Mbps (1 Gbps) ou automatique.
Configuration VLAN
La configuration VLAN est un aspect crucial de la segmentation et de la gestion du réseau. En mode Configuration Globale, vous pouvez utiliser les commandes suivantes :
|
vlan <vlan-id> |
Crée un VLAN |
|
Vlan <vlan-name> |
Attribue un nom au VLAN |
|
vlan switchport access vlan <vlan-id> |
Définit le VLAN auquel appartient l'interface |
|
no vlan <vlan-id> |
Supprime un VLAN |
|
show vlan |
Affichez la configuration VLAN |
La capture d'écran ci-dessous montre les commandes pour la configuration de port de base :
Commandes du protocole Spanning Tree (STP)
Le Spanning Tree Protocol est une fonctionnalité des commutateurs Cisco qui peut aider à prévenir les boucles réseau. STP est activé par défaut sur les commutateurs Cisco pour tous les VLANs. Vous pouvez modifier les paramètres STP globalement pour l'ensemble du commutateur, ou appliquer des configurations spécifiques à des interfaces individuelles ou à des VLANs pour un contrôle précis du comportement STP à travers différentes parties de votre réseau. La commande est la suivante :
spanning-tree mode rapid-pvst
Configuration des ports de jonction
Les ports devant transporter le trafic de plusieurs VLAN doivent être configurés en mode trunk. Vous devez d'abord trunker le port puis attribuer les VLAN. Voici les commandes :
switchport trunk native vlan <vlan-id>
La configuration des ports de type trunk sur les commutateurs Cisco implique l'utilisation des commandes switchport trunk et switchport trunk allowed vlan . Voici plus de détails sur ces commandes :
|
switchport trunk native vlan <vlan-id> |
Active le mode trunk pour le port et définit le VLAN natif pour le trafic non tagué sur le trunk |
|
switchport trunk allowed vlan <vlan-id> |
Adds the specified VLANs to the current list |
|
switchport trunk allowed vlan remove <vlan-id> |
Removes the specified VLANs from the allowed list |
La capture d’écran ci-dessous montre ces commandes VLAN en action :
Fondamentaux du réseau
Adresse IP et sous-réseautage
Les commandes suivantes sont utilisées pour l’adressage IP et le sous-réseautage :
|
ip address <ip-value> <bnet-value> |
Assigns an IP and subnet mask |
|
show ip interface <interface-number> |
Displays the status of a network interface as well as a detailed listing of its IP configurations and related characteristics |
|
show ip interface brief |
Provides a concise summary of the IP interface status and configuration |
|
ip address <ip-value> <subnet-value> secondary |
Assigns a secondary IP address |
|
no ip address |
Removes an IP address |
La capture d’écran ci-dessous montre la sortie de la commande show ip interface brief :
Configuration des protocoles de routage
Vous pouvez utiliser les commandes suivantes pour configurer les protocoles de routage :
|
ip route <network-number> <network-mask> {<ip-address> | <exit-interface>} |
Sets a static route in the IP routing table |
|
ip route 0.0.0.0 0.0.0.0 {next-hop-ip | exit-interface} |
Configures a default route |
|
no ip route {network} {mask} {next-hop-ip | exit-interface} |
Removes a route |
|
router rip |
Enables a Routing Information Protocol (RIP) routing process, which places you in Router Configuration mode |
|
no auto-summary |
Disables automatic summarization |
|
version 2 |
Configures the software to receive and send only RIP version 2 packets |
|
network ip-address |
Associates a network with a RIP routing process |
|
passive-interface interface |
Sets the specified interface to passive RIP mode, which means RIP routing updates are accepted by, but not sent out of, the interface |
|
show ip rip database |
Displays the contents of the RIP routing database |
|
default-information originate |
Generates a default route into RIP |
La capture d’écran ci-dessous montre la configuration d’une route statique et la configuration d’une route par défaut pour tous les autres réseaux :
Configuration de la Traduction d’Adresses Réseau (NAT)
Utilisez les commandes suivantes pour configurer le NAT, qui permet de traduire les adresses IP privées d’un réseau local en adresses IP publiques avant leur envoi sur Internet.
|
ip nat [inside | outside] |
Specifies whether the NAT operation is applied to traffic entering or leaving the router’s network |
|
ip nat inside source {list{access-list-number | access-list-name}} interface type number[overload] |
Establishes dynamic source translation. Use the list keyword to specify an ACL to identify the traffic that will be subject to NAT. The overload option enables the router to use one global address for many local addresses |
|
ip nat inside source static local-ip global-ip |
Establishes a static translation between an inside local address and an inside global address |
Dépannage et diagnostic
Vous trouverez ci-dessous les commandes qui vous aideront à dépanner et à effectuer des diagnostics de base :
|
ping {hostname | system-address} [source source-address] |
Reveals basic network connectivity |
|
traceroute {hostname | system-address} [source source-address] |
Traces the route that packets take to reach a destination |
|
show interfaces |
Displays detailed information about interface status, settings and counters |
|
show ip route |
Shows the routing table of the device |
|
show interface status |
Displays the interface line status |
|
show interfaces trunk |
Lists information about the currently operational trunks and the VLANs supported by those trunks |
|
show version |
Displays information about the IOS version, uptime and hardware configuration |
|
show running-config |
Displays the current active configuration on the device |
|
show tech-support |
Generates a comprehensive report of the device's configuration and status (useful for advanced troubleshooting) |
|
show cdp |
Shows whether CDP is enabled globally |
|
show cdp neighbors [detail] |
Lists summary (or detailed) information about each neighbor connected to the device |
|
cdp run |
Enables or disables Cisco Discovery Protocol (CDP) for the device |
|
show mac address-table |
Displays the MAC address table |
|
show vtp status |
Lists the current VLAN Trunk Protocol (VTP) status, including the current mode |
Configuration de la sécurité
Vous pouvez configurer des listes de contrôle d’accès pour restreindre et autoriser le trafic vers et depuis votre appareil Cisco. Utilisez les commandes suivantes :
|
password <pass-value> |
Lists the password that is required if the login command (with no other parameters) is configured |
|
username name password <pass-value> |
Defines one of possibly multiple user names and associated passwords used for user authentication. It is used when the login local line configuration command has been used. |
|
enable password <pass-value> |
Defines the password required when using the enable command |
|
enable secret <pass-value> |
Sets the password required for any user to enter enable mode |
|
service password-encryption |
Directs the Cisco IOS software to encrypt the passwords, CHAP secrets and similar data saved in its configuration file |
|
ip access-list {standard | extended} {acl-name | acl-number |
Creates a standard or extended ACL |
|
permit source <source-wildcar> |
Adds permit rules for a Standard ACL |
|
deny source <source-wildcard> |
Adds deny rules for an Extended ACL |
|
ip access-group {acl-name | acl-number} {in | out} |
Applies an ACL to an interface |
|
show access-lists [acl-name | acl-number] |
Displays ACL configuration |
|
no ip access-list {standard | extended} {acl-name | acl-number} |
Removes an ACL |
|
ip domain-name name |
Configures a DNS domain name |
|
crypto key generate rsa |
Creates and stores (in a hidden location in flash memory) the keys that are required by SSH |
|
transport input {telnet | ssh} |
Defines whether Telnet or SSH access is allowed into this switch. Both values can be specified in a single command to allow both Telnet and SSH access, which are the default settings |
|
ntp peer <ip-address> |
Configures the software clock to synchronize a peer or to be synchronized by a peer |
La capture d’écran ci-dessous montre les commandes pour une ACL étendue :
Configuration de SSH et de l’accès à distance
Utilisez les commandes suivantes pour configurer SSH et l’accès à distance :
|
hostname <name> |
Sets a hostname (if not already configured) |
|
ip domain-name [domain-name] |
Configures an IP domain name |
|
crypto key generate rsa |
Generates an RSA key pair for SSH |
|
ip ssh version 2 |
Configures SSH version 2 |
|
username [username] privilege [level] secret [password] |
Creates a local user account |
|
Router(config)# line vty [line-range] Router(config-line)# transport input ssh Router(config-line)# login local |
Configures VTY lines for SSH access |
La capture d’écran ci-dessous montre la génération des clés RSA :
Mise en œuvre de la sécurité des ports
Utilisez les commandes suivantes pour mettre en œuvre la sécurité des ports :
|
switchport port-security |
Enables port security on the interface |
|
switchport port-security maximum <number> |
Sets the maximum number of secure MAC addresses on the port |
|
switchport port-security mac-address {mac-addr | {sticky [mac-addr]}} |
Adds a MAC address to the list of secure MAC addresses and optionally configures them as sticky on the interface |
|
switchport port-security violation {shutdown | restrict | protect} |
Sets the action to be taken when a security violation is detected |
|
show port security [interface interface-id] |
Displays information about security options configured on the interface |
La capture d’écran ci-dessous montre le processus de configuration de la sécurité des ports sur un port de commutateur.
Gestion des comptes utilisateurs
Vous pouvez utiliser les commandes suivantes pour gérer les comptes utilisateurs :
|
username <username> privilege <level> secret <password> |
Creates a local user account |
|
show users |
Displays current user sessions |
|
no username <username> |
Removes a user account |
|
security passwords min-length <length> |
Sets password complexity requirements |
Configuration du DHCP
Utilisez les commandes suivantes pour configurer le DHCP :
|
ip address dhcp |
Acquires an IP address on an interface via DHCP |
|
ip dhcp pool <pool-name> |
Configures a DHCP address pool on a DHCP server and enters DHCP Pool Configuration mode |
|
domain-name <domain> |
Specifies the domain name for a DHCP client |
|
network network-number [mask] |
Configures the network number and mask for a DHCP address pool primary or secondary subnet on a Cisco IOS DHCP server |
|
ip dhcp excluded-address ip-address [last-ip-address] |
Specifies IP addresses that a DHCP server should not assign to DHCP clients |
|
ip helper-address address |
Enables forwarding of UDP broadcasts, including BOOTP, received on an interface |
|
default-router address [address2 ... address8] |
Specifies the default gateway for a DHCP client |
La capture d’écran ci-dessous montre une configuration DHCP de base sur un routeur Cisco :
Surveillance et journalisation
Les commandes suivantes sont utiles pour la surveillance et la journalisation :
|
logging on |
Enables logging globally |
|
logging host {ip-address | hostname} |
Configures logging to a syslog server |
|
logging trap level |
Sets the logging severity level |
|
terminal monitor |
Sends a copy of all syslog messages, including debug messages, to the Telnet or SSH user who issues this command |
|
snmp-server community <community-string> [RO|RW] |
Enables SNMP |
|
snmp-server location <location-string> |
Configures the SNMP server location |
|
snmp-server enable traps |
Enables SNMP traps |
Sauvegarde, restauration et mise à niveau
Utilisez les commandes suivantes pour effectuer des sauvegardes, des restaurations et des mises à niveau :
|
copy running-config startup-config |
Saves the running configuration to startup configurationEnables logging globally |
|
copy running-config tftp |
Copies the running configuration to a TFTP server |
|
copy startup-config tftp |
Copies the startup configuration to a TFTP server |
|
copy tftp: running-config |
Copies the configuration from a TFTP server to the device |
|
copy running-config flash:<file name> |
Copies the configuration to flash |
|
copy {ftp: flash:} |
Copies a new IOS image to the device using TFTP or FTP |
La capture d’écran ci-dessous montre la configuration en cours sauvegardée dans la configuration de démarrage.
Configuration de l’authentification, de l’autorisation et de la comptabilité
Les commandes suivantes sont utilisées pour configurer l’authentification, l’autorisation et la comptabilité (AAA) :
|
aaa new-model |
Enables AAA |
|
radius-server host {ip-address | hostname} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string] |
Configures the RADIUS server |
|
radius-server key {0 string | 7 string | string} |
Sets the RADIUS key |
|
aaa authentication login {default | list-name} method1 |
Configures AAA authentication |
|
aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name} method1 |
Configures AAA authorization |
|
aaa accounting {system | network | exec | connection | commands level} {default | list-name} {start-stop | stop-only | none} [method1 |
Configures AAA accounting |
Cas d’utilisation courants
Un cas d’utilisation courant des commutateurs Cisco est la segmentation du réseau et le contrôle de la qualité grâce aux VLAN. En créant des VLAN distincts pour le sans fil, les téléphones, les caméras et les imprimantes, vous segmentez et pouvez prioriser différents types de trafic (par exemple, donner la priorité à la voix par rapport à l’impression).
Les routeurs Cisco permettent également la segmentation du réseau à l’aide de listes de contrôle d’accès standard ou étendues. Celles-ci peuvent restreindre le trafic provenant de certaines sources ou limiter certains types de trafic entrant ou sortant des segments du routeur.
Voici un guide étape par étape pour configurer un routeur Cisco pour un segment de réseau :
- Configurez le nom d’hôte du routeur et activez un mot de passe secret.
- Attribuez des adresses IP aux interfaces du routeur.
- Configurez soit un routage statique, soit un protocole de routage pour diriger le trafic entre les segments de réseau connectés.
- Configurez DHCP pour distribuer les adresses IP et d’autres options DHCP aux clients qui se connectent au réseau.
- Configurez des listes de contrôle d’accès (ACL) pour renforcer la sécurité et restreindre le trafic entrant et sortant.
- Configurez le NAT pour l’accès à Internet.
- Activez la journalisation.
- Enregistrez la configuration.
Scénarios de problèmes courants et conseils de dépannage
Voici quelques problèmes courants avec les routeurs et commutateurs Cisco et des conseils pour les résoudre :
Scénario : Les appareils ne peuvent pas communiquer entre les VLAN ou les sous-réseaux.
- Vérifiez les configurations VLAN et le trunking sur les commutateurs.
- Vérifiez les adresses IP et les masques de sous-réseau.
- Consultez la table de routage et assurez-vous que les routes existent.
- Testez la connectivité avec ping et traceroute.
- Vérifiez que les ACL ne bloquent pas le trafic.
Scénario : L’interface est hors service ou instable
- Vérifiez les connexions physiques et l’intégrité des câbles.
- Vérifiez la configuration de l’interface avec show interface.
- Désactivez puis réactivez l’interface.
- Testez différentes vitesses et modes duplex.
Scénario : Tentatives d’accès non autorisées ou trafic suspect
- Examinez les journaux et utilisez show logging.
- Vérifiez les configurations ACL et les compteurs d’accès.
- Vérifiez les paramètres AAA et TACACS+.
- Mettez en œuvre la sécurité des ports sur les commutateurs.
Astuces supplémentaires
Les conseils suivants peuvent vous aider à gérer vos appareils Cisco plus efficacement :
- Si vous ne connaissez pas bien Cisco IOS, profitez de l’aide contextuelle : tapez simplement ? à tout moment dans une commande pour obtenir des suggestions et les options disponibles.
- Gagnez du temps avec les raccourcis de commande et l’autocomplétion avec la touche Tab. Par exemple, tapez sh run au lieu de show running-config.
- Utilisez les flèches haut et bas (ou Ctrl+P et Ctrl+N) pour accéder rapidement aux commandes récentes.
- Si vous n’avez pas accès à un routeur Cisco, plusieurs simulateurs d’équipements Cisco sont disponibles en téléchargement pour vous permettre de vous entraîner et de vous familiariser avec les commandes.
Faites toujours de la sécurité une priorité absolue.
- Limitez qui peut accéder à vos appareils Cisco.
- Assurez-vous que tous les comptes utilisent des mots de passe longs et chiffrés.
- Appliquez le principe du moindre privilège lors de l’attribution des rôles.
- Créez des listes de contrôle d’accès pour restreindre différentes origines et types de trafic.
- Activez la journalisation et utilisez une solution de surveillance tierce pour être alerté si vos configurations sont modifiées, volontairement ou non.
Netwrix Auditor pour Appareils Réseau
Rationalisez l’audit des appareils Cisco grâce à une visibilité sur les modifications de configuration, les tentatives de connexion et les problèmes matériels.
Téléchargez l’essai gratuit de 20 joursPartager sur