Infos

Les commandes

1/La config de base

enable
configure terminal
    hostname R1
    no ip domain-lookup
    security password min-length 10
    enable secret class
    line con 0
        password cisco
        exec-timeout 50
        login
        logging synchronous
        exit
    line vty 0 15
        password cisco
        exec-timeout 50
        login
        exit
    service password-encryption
    banner motd #Unauthorized Access is prohibited!#
    int g0/0
        description Connection to R2
        ip address 192.168.0.1 255.255.255.0
        no shutdown
        speed auto
        duplex auto
        exit
    exit
clock set 17:00:00 18 Feb 2018
copy running-config startup-config

2/SSH

configure terminal
	security-password min-length 10
	login block-for 60 attempts 5 within 60
	username Admin privilege 15 secret AdminPass
	ip domain-name CCNA-lab.com
	crypto key generate rsa general-key modulus 1024
	ip ssh version 2
	line con 0
		login local
		no password
		exec-timeout 10
		transport preferred ssh
		exit		
	line vty 0 4
		login local
		no password
		exec-timeout 5
		transport input ssh
		exit
	show ip ssh
	ip ssh timeout 75
	ip ssh authentication-retries 2

3/HTTP Server

configure terminal
	ip http server
	username webuser privilege 15 secret webpass
	ip http authentication local

4/IPv6

configure terminal
	interface g0/0
		ipv6 address 2001:db8:acad:a::1/64 (eui-64)
		ipv6 address FE80::1 link-local
		no shutdown
		exit
	ipv6 unicast-routing
	exit

5/Clock Rate

sur l’interface DCE

configure terminal
	interface s0/0/0
		ip address 10.1.1.2 255.255.255.252
		clock rate 128000
		no shutdown
		exit

6/Port Security

configure terminal
	interface s0/0/1
		shutdown
		exit
	interface range f0/1 - 8
		shutdown
		exit
	show ip interface brief
	no ip http server
	show ip http server status
	interface f0/5
		shutdown
		switchport port-security
		switchport port-security mac-address (sticky) xxxx.xxxx.xxxx
		switchport port-security maximum 10
		switchport port-security violation {protect | restrict | shutdown}
		show interfaces
		exit
	interface f0/5
		shutdown
		no shutdown
		exit
	show port-security
	show port-security address

7/Routes Statiques

configure terminal
	ip route 192.168.10.0 255.255.255.0 {192.168.1.2(recursive) &| g0/1(Directly-connected)}
	ip route 0.0.0.0 0.0.0.0 s0/0/1
	ipv6 route 2001:db8:acad:a::/64 {FC00::2(recursive) | g0/0(Directly-connected)}
	ipv6 route ::/0 S0/0/1

8/Rip V2

configure terminal
	router rip
		version 2
		passive-interface g0/1
		network 172.30.0.0
		network 10.0.0.0
		no auto-summary
		default-information originate
		clear ip route *
		debug ip rip
		show ip route
		show ip protocols
	exit

9/Vlan

configure terminal
	vlan 99
		name Management
	interface vlan99
		ip address 192.168.1.2 255.255.255.0
		no shutdown
		exit
	interface range f0/1 - 24, g0/1 - 2
		switchport mode access
		switchport access vlan99
		exit
	show vlan brief
	ip default-gateway 192.168.1.1
	show vlan <name>
	show vlan <id>
	ip routing (sur les switches Layer 3)

10/Mac Address Table

configure terminal
	mac address-table static 0050.56BE.6C89 vlan 99 interface f0/6
	show mac address table (dynamic)(xxxx.xxxx.xxxx)
	clear mac address table (dynamic)

11/Trunk

configure terminal
	interface f0/6
		switchport mode trunk
		switchport trunk native vlan
		switchport trunk allowed vlan
		end
	show interface f0/6 switchport
	show switchport trunk native vlan
	
	interface f0/1
		switchport mode dynamic desirable

12/Router-on-a-Stick

configure terminal
	interface g0/0.10
		encapsulation dot1q 10
		ip address 172.17.10.1 255.255.255.0
		exit
	interface g0/0.30
		encapsulation dot1q 30
		ip address 172.17.30.1 255.255.255.0
		exit
	interface g0/0
		no shutdown (ou no shutdown sur chaque sous-interface)
		exit
	show vlan
	show ip route

13/ACL

configure terminal
	access-list 1 remark Allow R1 Lan Access
	access-list 1 permit 192.168.10.0 0.0.0.255
	access-list 1 permit 192.168.30.0 0.0.0.255
	access-list 1 deny any
	
	interface g0/1
		ip access-group 1 out
		show access-list 1
		show ip interface
		show access-lists
		exit
	
	ip access-list standard Branch-Office
		permit host 192.168.20.3
		permit 192.168.40.0 0.0.0.255
		end
	interface g0/1
		ip access-group Branch-Office out
		exit
		
	ip access-list Branch-Office
		30 permit 209.165.200.224 0.0.0.31
		40 deny any
		end
	ip interface g0/1
		ip access-group Branch-Office out
		exit
	
	show ip access-lists
	
Sur les lines VTY, c'est "access-class" !

14/DHCP

IPv4

1/ Configurer un routeur comme serveur DHCP:

configure terminal
	ip dhcp excluded-address 192.168.0.1 192.168.0.9
	ip dhcp excluded-address 192.168.1.1 192.168.1.9
	ip dhcp pool R1G1
		network 192.168.1.0 25.255.255.0
		default-router 192.168.1.1
		dns-server 209.165.200.225
		domain-name ccna-lab.com
		lease 2
		exit
	ip dhcp pool R1G0
		network 192.168.0.0 255.255.255.0
		default-router 192.168.0.1
		dns-server 209.165.200.225
		domain-name ccna-lab.com
		lease 2
		exit
	show ip dhcp {binding | pool | server statistics}
	debug ip dhcp server event
	undebug all
	no service dhcp

2/ Configurer un routeur comme client DHCP:

configure terminal
	interface g0/1
		ip address dhcp
		no shutdown
		end
	show ip dhcp conflict

3/ Configurer un routeur comme relay DHCP:

configure terminal
	interface g0/0
		ip helper-address 192.168.2.254
		exit
	interface g0/1
		ip helper-address 192.168.2.254
		exit

IPv6

Rappel:
-Adresse link-local de tous les routeurs ipv6: FE02::2
-Adresse link-local de tous les noeuds ipv6: FE02::1

1/ Configurer un routeur comme server DHCPv6 Stateless:

configure terminal
	ipv6 unicast-routing
	ipv6 dhcp pool POOLv6
		dns-server <address>
		ipv6 dhcp server POOLv6
		ipv6 nd managed-config-flag
		exit

2/ Configurer un routeur comme client DHCPv6 Stateless:

configure terminal
	interface g0/0
		ipv6 enable
		ipv6 address autoconfig

3/ Configurer un routeur comme server DHCPv6 Statefull:

configure terminal
	ipv6 unicast-routing
	ipv6 dhcp pool POOLv6
		address 2001:db8:acad:1::/64
		lifetime infinite
		dns-server <address>
 ipv6 dhcp server POOLv6
 ipv6 nd managed-config-flag
 exit

4/ Configurer un routeur comme client DHCPv6 Statefull:

configure terminal
	interface g0/1
		ipv6 enable
		ipv6 address dhcp

	show ipv6 dhccppool
	show ipv6 interfaces
	debug ipv6 dhcp detail
	show ipv6 dhcp binding

5/Configurer un routeur comme relay DHCPv6:

configure terminal
	interface g0/1
		ipv6 dhcp relay destination <address>
		end
 

15/NAT-PAT

 

NAT Statique:

configure terminal
	ip nat inside source static 192.168.1.20 209.165.200.225
	interface g0/1
		ip nat inside
		exit
	interface s0/0/1
		ip nat outside
		exit
	show ip nat translations
	
	clear ip nat translation *
	clear ip nat statistics

Nat Dynamique (et PAT si « overload »):

configure terminal
	access-list 1 permit 192.168.0.1 0.0.0.255
	ip nat pool ACCESS 209.165.200.242 209.165.200.254 netmask 255.255.255.224
	ip nat inside source list 1 pool ACCESS (overload)

16/CDP & LLDP

 

CDP

show cdp
(no) cdp run
	end
show cdp interfaces
show cdp neighbors (detail)
no cdp enable (sur un routeur de bordure)
	end

LLDP

show lldp
lldp run
show lldp neighbors (detail)

17/Syslog

E-A-C-E-W-N-I-D

d’abord:

show running-config | include timestamp

Si timestamp n’est pas actif:

configure terminal
	service timestamp log dateline mse

ensuite:

configure terminal
	logging host 172.16.2.3
	(show logging)
	(logging trap ?)
	logging trap {4 | warnings}

18/NTP

 

show clock
clock set 17:00:00 18 Feb 2018

Master

configure terminal
	ntp master 5

Client

configure terminal
	ntp server 10.1.1.1
	ntp update-calendar
	
	show ntp associations

19/Récupération du mot de passe

1/Débrancher l’appareil

2/Au cours du reboot, coupure franche (Alt+B sous TeraTerm)

puis:

	confreg 0x2142
	reset

3/Après reboot:

	copy startup-config running-config
	no password
	no secret
	config-register 0x2102
	copy running-config startup-config
	reload

Commandes CCNA

J’ai écris une liste des commandes vue pour le moment, je vous invite a la mettre à jour ou la corriger tout en respectant le formatage.

liste des corrections apportées à la liste depuis la mise en ligne :

- les arguments running-config et startup-config sont ceux a utiliser et non running-configuration et statup-configuration.

Configuration de base : Switch/Routeur

routeur/switch>enable

  • entre dans le mode privileged EXEC.

routeur/switch#?

  • affiche les commandes disponibles du mode de configuration actuel.
  • utilisée avec une commandes “device#show ?” affiche la listes des arguments disponibles pour celle-ci.

routeur/switch(config)#exit

  • retourne au mode de configuration précédent.

routeur/switch#configure terminal

  • entre dans le mode configuration global.

routeur/switch(config)#hostname nom-de-votre-choix

  • change le nom du device.

routeur/switch(config)#int g0/0

  • configuration d’un l’interface ( g0/0, g0/1, f0/0, vlan 1, etc… ).

routeur/switch(config)#line con 0

  • configuration de l’accès console. ( out-of-band management )

routeur/switch(config)#line vty 0 15

  • configuration des accès à distance. ( in-band management )

routeur/switch(config)#no ip domain-lookup

  • désactive la fonction de recherche DNS lorsque vous tapez n’importe quoi qui n’est pas une commande.

routeur/switch(config-line)#logging synchronous

  • synchronise la sortie terminal et la ligne de commande, réaffiche le texte déjà tapé lorsqu’un message vous interrompt.

routeur/switch(config)#banner motd #WARNING WARNING WARNING#

  • définis un message afficher lors de la connexion sur l’interface du switch/routeur.
  • utilisée pour afficher des avertissements légaux.

routeur/switch(config)#show ip int brief

  • affiche un briefing de la configuration IP des interfaces de l’appareil.

routeur/switch(config)#copy running-config startup-config

  • copie les modifications en cours de la config dans la NVRAM pour les sauvegardées.

routeur/switch(config)#copy running-config flash:/nom-de-votre-fichier

  • copie la configuration active dans la mémoire flash de l’appareil.

routeur/switch(config)#copy running-config tftp:

  • copie les modifications en cours de la config sur un serveur tftp.

routeur/switch(config)#copy flash:/nom-de-votre-fichier startup-config

  • copie une configuration sauvegardée dans la NVRAM.
  • suivis d’un reload.

routeur/switch(config)#erase startup-config

  • supprime la configuration enregistrée dans la NVRAM, pour réinitialiser la configuration de démarrage.

switch(config)#delete vlan.dat

  • supprime la configuration vlan d’un switch.

routeur/switch(config)#reload

  • redémarre l’appareil et recharge l’OS ainsi que la startup-configuration si présente.

Configuration IP basique d’un switch/routeur

routeur/switch(config-if)#ip address 192.168.0.1 255.255.255.0

  • configuration de l’address IPv4 de l’interface et de son masque.
  • sur un switch probablement utiliser pour l’interface “vlan 1”.

routeur/switch(config-if)#ipv6 address 2001:db8:1:1::1/64

  • configuration d’une adresse IPv6 de l’interface et sa longueur de préfix.

routeur/switch(config-if)#ipv6 address FE80::2 link-local

  • configuration d’une adresse link-local IPv6.

routeur(config)#ipv6 unicast-routing

  • active la transmission de paquet IPv6 sur le routeur.

routeur/switch(config-if)#no shutdown

  • active l’interface configuré.

routeur/switch(config)#ip default-gateway 192.168.0.254

  • configuration de l’address IPv4 de l’interface et de son masque.
  • utiliser sur un switch pour accéder au SVI depuis un réseau distant.

Configuration Sécurité basique d’un switch/routeur

routeur/switch(config)#enable password passe-de-votre-choix

  • active le mot de passe ( faible ) du mode privileged EXEC.

routeur/switch(config)#enable secret passe-de-votre-choix

  • active le mot de pass ( moins faible ) du mode privileged EXEC.
  • écrase le “enable password” présent.

routeur/switch(config)#service password-encryption

  • encrypte les mots de passe configurés sur l’appareil.

routeur/switch(config-line)#password passe-de-votre-choix

  • active le mot de passe de la ligne en cours de configuration.

routeur/switch(config-line)#login

  • oblige l’utilisateur de la ligne a s’authentifier pour ouvrir un session.
  • uniquement possible si un mot de passe est configuré sur la ligne.

routeur(config)#security password min-length 8

  • défini une longueur minimum de mot de passe.

routeur/switch(config)#login block-for 120 attempts 3 within 60

  • bloque les tentatives de login pendant 120 secondes après 3 tentatives ratées en 60 secondes.

routeur/switch(config)#exec-timeout 5

  • déconnecte l’utilisateur après 5 minutes d’inactivité.

Configuration SSH d’un switch/routeur

routeur/switch(config)#ip domain-name test.local

  • défini un nom de domain auquel appartient le device.

routeur/switch(config)#crypto key generate rsa general-keys modulus 1024

  • Génère les clés RSA nécessaire pour crypter les transmissions en SSH avec un modulus de 1024 bits.
  • Audit de sécurité Microsoft modulus de 2048 bits.

routeur/switch(config)#username admin secret adminpass

  • créer un utilisateur et définit son mot de passe dans la base de donnée local.

routeur/switch(config-line)#login local

  • force l’utilisation de la base de donnée local pour l’authentification sur les lignes VTY.

routeur/switch(config)#transport input SSH

  • active uniquement les connections par SSH à travers les lignes vty concernées.