Configuration du matériel Cisco Florian Duraffourg
Généralités
CLI - Utile Autocomplétion avec tab Comandes partielles valides si non ambigues ex: wr me <-> write memory conf t <-> configure terminal Aide et commandes disponibles avec?
CLI - Invite Mode non privilégié Host> Entrer en mode privilégié: Host> enable Host# Entrer en mode conf Host# configure terminal Host(config)#
CLI - show show ip route show logging show ip arp show flash: Disponible uniquement en mode exec Pour les utiliser en mode config, mettre do devant
CLI - Négation Négation des commandes avec no ip cef active cef no ip cef désactive cef
Logging Logs: Affichés sur le terminal Enregistrés en mémoire et visibles avec show logging Envoyés à distance selon conf: logging 192.168.1.75 Pour ne pas voir les logs quand vous êtes connectés en console sur un équipement: (config)# no logging console
Gérer les fichiers IOS ou confs
Emplacements / Fichiers Voir les emplacements, les fichiers et la place disponible dir Copier des fichiers copy source destination fichier local flash:fichier ssh scp: ftp ftp: Pas de paramètres pour ftp, scp, http, etc, les arguments sont demandés ensuite (cf? pour les autres)
Configuration running-config Configuration actuelle du routeur startup-config Configuration chargée au démarrage Pour voir la conf show running-config Pour enregistrer la conf (au choix) copy running-config startup-config write memory Pour charger la conf de démarrage (évite un reboot) copy startup-config running-config
IOS - Démarage Chargement IOS spécifié par la conf boot system flash:c3750-advipserv-12.2(46).bin Sinon chargement du premier fichier IOS valide Image IOS utilisée de la même manière qu'un initrd: chargée en mémoire au démarage Version sur disque non utilisée par la suite L'IOS est un OS monolithique.
Mettre à jour un IOS Récupérer sur le site cisco le nouvel IOS Vérifier la place disponible sur l'équipement delete flash:fichier Copier la nouvelle image copy ftp: flash: Enregistrer la configuration write memory Redémarrer l'équipement reload
Vlans
Création d'un vlan en conf t vlan <nr> name Description
Définition des vlans à Minet Vlans définis sur routeur Vlans remontent à travers les liens en mode trunk Pas de définition des vlans sur les conf des switchs
Configuration des interfaces Switchports
Switchport mode access On accède à un vlan en particulier. switchport mode access On spécifie le vlan: switchport acces vlan <number>
Switchport mode trunk switchport mode trunk On fait passer plusieurs vlan en les tagant. On choisit le format switchport trunk encapsulation dot1q On autorise les vlans switchport trunk allowed vlan <numbers>
802.1Q Chaque trame ethernet est taguée avec un numéro de vlan
Port Channel
Port Channel interface Port-channel1 description Etherchannel Foyer switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet1/0/7 description Foyer switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode on! interface GigabitEthernet1/0/8 description Foyer redondance switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode on
Configuration des interfaces Niveau 3 (interface IP)
Interface IP no switchport ip address 192.168.1.16 255.255.255.0 Peut être utilisé uniquement sur une interface: physique ( interface f0/0 ) vlan ( interface vlan <nbr> )
Access Lists
Access list Routeur(config)#access-list? <1-99> IP standard access list <100-199> IP extended access list <1100-1199> Extended 48-bit MAC address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <2000-2699> IP extended access list (expanded range) <700-799> 48-bit MAC address access list Les access list se terminent par un deny any any implicite.
Access list standard (0-99) access-list 10 permit 192.168.1.0 0.0.0.255 access-list 10 permit host 157.159.40.2 Filtre sur les adresses source Masque: Les bits à 1 correspondent aux bits à annuler (to discard) Ici on filtre toutes les adresses de 192.168.1.0 à 192.168.1.255
Access list extended (100-199) access-list 101 permit ip any 192.168.1.0 0.0.0.255 On peut filter: Le protocole L'adresse source L'adresse destination Les numéros de ports (pour TCP/UDP)
Appliquer les access list Sur une interface: ip access-group <nr> in out Filtre les paquets entrant et sortant sur l'interface. On ne peut l'appliquer que sur une interface niveau 3.
Authentification
Vue globale
Configuration générale aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius dot1x system-auth-control dot1x guest-vlan supplicant! radius-server host 192.168.1.88 auth-port 1645 acct-port 1646 radius-server key <clef>
Un port à Minet interface FastEthernet0/2 description 1307 switchport mode access dot1x pae authenticator dot1x port-control auto dot1x host-mode multi-host dot1x violation-mode protect dot1x timeout tx-period 2 dot1x timeout supp-timeout 5 dot1x guest-vlan 15 dot1x auth-fail vlan 15 spanning-tree portfast
Spanning tree
Pas de spanning tree à Minet
Monitoring de ports
Monitoring de ports monitor session 1 source interface Gi1/0/9 monitor session 1 destination interface Gi1/0/12
WCCP
Configuration WCCP ip wccp web-cache password <password> interface Vlan41 ip wccp web-cache redirect in show ip wccp web-cache
Cluster
RCOM Sur le rcom0 cluster enable ClusterU1 0 cluster member 1 mac-address 001d.a1c0.b780 cluster member 2 mac-address 001c.f650.ef00 Sur les autres rcom cluster commander-address 001d.a10f.a780 member 2 name ClusterU1 vlan 1 On change de rcom depuis le rcom0 avec rcom 1 rcom 2
Stack de 3750 Vu comme un seul équipement Interface GigabitEthernet 1/0/1 Election du master au démarrage show switch Physiquement, utiliser le bouton mode pour voir le numéro de switch
Routage
Généralités ip routing show ip protocols show ip route ip cef
RIP router rip network 157.159.41.0 version 1 2
OSPF router ospf 1 network 131.108.0.0 255.255.255.0 area 0 show ip ospf
BGP router bgp <asnr> network 145.34.32.0 neighbor 45.4.6.4 remote-as 42634