• Retour à l'accueil

• passer en utilisateur privilégier:enable
• pour afficher les fichier de configuration actif:show running-config
• passer en mode de configuration globale : configure terminal
• changer le nom du commutateur:hostname production
• REVENIR EN MODE PRIVIlegier:reload
• sauvegarder le fichier de configuration :copy runnung-config sartup-config
• mettre la passserelle par default :ip default-gateway "192.168.1.254"
• mettre un mot de passe en mode privilégier:enable secret "mot-de-passe

" " = exemple

• Switch(config)#ip default-gateway 192.168.10.254

• password "cisco"
• login banner "ce périphérie est réservé au administrateur"
• vtp mode transparent

• Router(config)#interface Fa0/0
• Router(config)#switchport mode trunk

Pour activer le mode trunk sur les port 20 à 24

• Router(config)#interface Fa0/20-24
• Router(config)#switchport mode trunk

Par défaut, tous les Vlan sont autorisés à transiter par le port. Pour transmettre tous les Vlan sauf un

• Pour enlever un vlan du mode trunk : Switch(config-if)#switchport trunk allowed vlan except vlan 10

Pour transmettre que certains VLAN (par exemple le 2 et le 3) :

• Sélectionner une interface : Switch(config)#interface fastEthernet 0/1
• Ajouter le mode trunk que sur le vlan 2 : Switch(config-if)#switchport trunk allowed vlan add 2
• Ajouter le mode trunk que sur le vlan 3 : Switch(config-if)#switchport trunk allowed vlan add 3

• Router(config)# vlan "10"
• Router(config)# name "prof"

• Router(config)# write erase
• Router(config)# delete flash:vlan.dat
• Router(config)# reload

• Affiché la configuration actuelle :Router# show run
• affiché information memoire dram :Router# show-memory
• affiché la memoire flash:Router# show flash
• voir les vlan créer ( #) :Router# show vlan
• voire les addresse attribuer par le services DHCP(#):Router# show ip dhcp bingding
• voire l’agrégation de vlan trunk (802.1Q):Router# show interfaces trunk
• Voir les acls éxistants : show access-lists

• Router(config)# interface fa0/1
• Router(config)# no shutdown
• Router(config)# ip address " 192.168.1.254 255.255.255.0"

• Routeur(config)# interface S0/0/0
• Routeur(config-if)# ip address 192.168.10.0 255.255.255.0
• Routeur(config-if)#clock rate 128000
• Routeur(config-if)# no shutdown

La commande clock rate n’est nécessaire que pour le routeur qui fournit le signal de synchronisation (symbolisé par l’horloge sur le packet tracer).

• Router(config)# interface range "Fa0/1"
• Router(config)# switchport mode access
• Router(config)# switchport access vlan "10"

Pour plusieurs interfaces (ex : du port 3 au port 12)

• Switch(config)#interface range Fa0/3-12"
• Router(config)#switchport mode access
• Switch(config-if)#switchport access vlan "10"

• Router(config)# interface range "fa0/1"
• Router(config)# switchport mode access
• Router(config)# switchport access voice vlan "20"

• Router(config)# interface "Fa0/0"
• Router(config-if)# no shutdown
• Router(config-if)# interface "Fa0/0".10"
• Router(config-subif)# encapsulation dot1q 10 (= vlan 10)
• Router(config-subif)# ip address 192.168.10.254 255.255.255.0

• Routeur(config)# ip route 192.168.1.0 255.255.255.0 192.168.10.254(Première interfaces qu'il va rencontrer en sortant du routeur )

• Routeur(config)# ip route 0.0.0.0 0.0.0.0 192.168.9.0 (Première interfaces qu'il va rencontrer en sortant du routeur pour aller vers internet )

• ouvrir le protocole : RouterX(config)# router rip
• utiliser la version 2 : RouterX(config-router)#version 2
• ajouter une adresse réseau des interface du routeur : RouterX(config-router)# network 192.168.2.0
• ajouter un second adresse réseau des interface du routeur : network 193.252.1.0
• ne pas diffuser les informations RIP sur une interface: RouterX(config-router)# passive-interface fa0/0
• Enlever l'auto-summary : Routeur(config-router)# no auto-summary
• ......
• activer les information de transfert de table de routage(#):debug ip rip
• desactiver les information de transfert de table de routage(#):undebug ip rip

• Ouvrir le protocoles :R(config)#router ospf 1
• Lui donner un ID unique :R(config-router)#router-id 1.1.1.1
• Configurer l'adresse de l'une de ses interfaces : R(config-router)#network 172.16.1.1 0.0.255.255 area 0
• Configurer l'adresse d'une autre de ses interfaces :R(config-router)#network 172.16.2.1 0.0.255.255 area 0

• ip dhcp pool "lan"
• network 172.16.2.0 255.255.255.0
• default-router 172.16.2.254
• dns-server 208.67.222.222
• dns-server 208.67.220.220

• ip dhcp excluded-address 172.16.2.1 172.16.2.99
• ip dhcp excluded-address 172.16.2.120 172.16.2.254

Router#show ip dhcp binding

• Sélectionner une interface : Routeur(config)#interface Fa0/0.100
• Mettre L'adresse IP du serveur DHCP :Routeur(config-if)#ip helper-address 192.168.10.202

• Création de l'access-list (une access-list standard doit être numérotée de 1 à 99 - ou entre 1300 et 1999):Router1(conf)# access-list "1" deny any

• Sélectionner une interface du routeur: Router1(conf)# interface "s0/0/0"

• Ajouter cette interface a un groupe acl : Router1(conf-if)# ip access-group "1" out

• Création de liste avec un masque inversé : Router1(conf)# access-list "1" permit "192.192.1.0" "0.0.0.255"
• Création de liste avec un masque inversé : Router1(conf)# access-list "2" permit "192.192.2.0" "0.0.0.255"

• Remarque importante sur le masque : Pour les access-lists on parle de masque inversé : les bits positionnés (à 1) ne sont pas ceux que l'on vérifie, mais au contraire ceux que l'on ne vérifie pas. Dans les règles ci-dessus, on autorise tout le réseau 192.192.1.0 /24 ou 192.192.2.0 /24. La valeur du 4ème octet n'est pas vérifiée, mais seulement les 3 premiers octets.

• On autorise toutes adresse ip ayant le réseau "192.192.1" Router1(conf)# access-list 2 permit "192.192.1.0" "0.0.0.255"

1. access-list étendue pour s0/0/0 en entrée

• Router1(conf)# access-list 102 permit ip any "192.192.1.0" "0.0.0.255"

• On autorise les requête http dans la liste 105 : Router4(conf)# access-list 105 permit tcp any any eq www

• on autorise que les requête dns sur hôte spécifique : Router4(conf)# access-list 105 permit udp any host 200.200.4.53 eq 53

• On autorise la réception des mises à jour RIP dans la liste 105 : Router4(conf)# access-list 105 permit udp any eq 520 any eq 520

• Voir les ACL existants : show access-lists

• Configurer le domaine VTP qui permet à tous les commutateurs d’être dans le même “groupe”: server(config)# vtp domain testVTP
• Configurer le mode serveur: server(config)# vtp mode server
• Configurer le mot de passe pour sécuriser les échanges VTP (Optionnel): server(config)#VTP password SESAME

• Indiquer le domaine VTP :client(config)# vtp domain testVTP

• Configurer le mode client : client(config)#vtp mode client
• ou
• Configurer le mode transparent (config)#vtp mode transparent

• Donner le mot de passe identique à celui du serveur : server(config)#VTP password SESAME
• vérifier la configuration VTP sur les commutateurs : server# show vtp status

Lien explication:Agregation de liens

choisir ses ports physiques que l’on veut connecter au voisin: Switch_A(config)# interface range FastEthernet 0/1 - 2

activer le protocole PAgP ou LACP sur ces ports physiques : Switch_A(config-if)# channel-protocol pagp

définir une interface logique : Switch_A(config-if)# channel-group 8 mode desirable

Switch_A(config-if)#exit

Switch_A(config)#

Switch_A(config)# interface Port-channel 8

Switch_A(config-if)# exit

Switch_A(config)#

Dans la configuration ci-dessus, nous avons choisi les ports Fa0/1 et Fa0/2 pour les agréger entre eux. Le protocole d’agrégation est le protocole PAgP pour négocier avec le switch voisin l’interface logique logique n°8 (Port-channel).

Le HSRP qui fonctionne en mode actif/passif

Voire la configuration du cluster de routeur : R0# show standby

Sélectionner l'interface R0: R0(config)# interface FastEthernet0/0

configuration du groupe HSRP n°1 auquel on a associé l’adresse IP virtuelle 1.1.1.7 : R0(config-if)# standby 1 ip 1.1.1.7

configuration de la priorité : R0(config-if)# standby 1 priority 150

Configuration de la préemption : R0(config-if)# standby 1 preempt

Sélectionner l'interface du routeur: R1(config)# interface FastEthernet0/0

configuration du groupe HSRP n°1 auquel on a associé a une adresse IP virtuelle : R1(config-if)# standby 1 ip 1.1.1.7

configuration de la priorité : R1(config-if)# standby 1 priority 100

Le GLBP qui fonctionne en mode actif/actif

R0(config)#interface FastEthernet0/0

R0(config-if)#glbp 1 ip @IP_virtuelle

R0(config-if)#glbp 1 preempt

R0(config-if)#glbp 1 priority 150

R0(config-if)#glbp 1 load-balancing round-robin

R1(config)#interface FastEthernet0/0

R1(config-if)#glbp 1 ip @IP_virtuelle

R1(config-if)#glbp 1 load-balancing round-robin

• sélection d'une interfaces : R1(config)#interface FastEthernet0/0
• Configuration Nat sur l'interface : R1(config-if)# ip nat inside

• sélection d'une interfaces : R1(config)#interface FastEthernet0/1
• Configuration Nat sur l'interface : R1(config-if)# ip nat outside

• Configuration de l'interface vers l'internet Routeur(config)# ip nat inside source list 10 interface S0/0/0 overload

• Configuration d'un sous-réseau pouvant utiliser le Nat : Routeur(config)# access-list 10 permit 192.168.11.0 0.0.0.255
• Configuration d'un second sous-réseau pouvant utiliser le Nat : Routeur(config)# access-list 10 permit 192.168.12.0 0.0.0.255

Le masque utilisé dans les ACL est un masque inversé. Par exemple, pour un masque en /24, le masque utilisé pour mettre en place l'ACL sera non pas 255.255.255.0 mais 0.0.0.255. De même, pour le masque 255.240.0.0, celui utilisé sera 0.0.15.255.

Routeur(config)# ip nat inside source static tcp adresseIP_privée port_interne(Du serveur web) adresseIP_public port_public(adresse ip de l'interfacer vers l'internet)

• Sélectionner un interfaces vlan :Switch(config)#interface vlan 1
• Configurer son addresse ip avec son masque : Switch(config-if)#ip address 192.168.10.1 255.255.255.0
• Activer L'interface Vlan : Switch(config-if)#no shutdown

• rentrer dans me configuration du service téléphonie :Router(config)# telephony-service
• Nombre d’entrées maximum dans l’annuaire (1 à 144) Router(config-telephony)# max-dn 10
• Nombre maximum de téléphones IP (1 à 42) : Router(config-telephony)# max-ephones 5
• Définit l’adresse IP du serveur de téléphonie (UCME) et le port utilisés par les téléphones : Router(config-telephony)# ip source-address 172.16.5.1 port 2000
• Router(config-telephony)# exit

• Création Interface vlan virtuelle : Switch(config)#interface Vlan 2
• Configuration du réseau de l’interface : Switch(config-if)#ip address 10.1.2.1 255.255.255.0
• Configuration pour que l’interface chercher la configuration dhcp (s'il y a du dhcp) : Switch(config-if)#ip helper-address 172.16.3.2

Vérifiez la configuration des téléphones : Router# show ephone

• Sélectionner l'annuaire téléphone premier : Router(config)# ephone-dn 1
• Lui associé un numéro : Router(config-ephone-dn)# number 5001
• Sélectionner l'annuaire téléphone second  : Router(config)# ephone-dn 2
• Lui associé un autre numéro : Router(config-ephone-dn)# number 5002

...

• Sectionner le premier téléphone : Router(config)# ephone 1
• Luis associer la premier numéros de l'annuaire : dRouter(config-ephone)# button 1:1
• Sectionner le second téléphone : Router(config)# ephone 2
• Luis associer le second numéros de l'annuaire : Router(config-ephone)# button 1:2

...

Vérifiez la configuration des téléphones : Router# show ephone

• Switch(config)# interface fa0/1 ou interface range fa0/1-9
• Switch(config-if)# spanning-tree portfast
• Switch(config-if)# spanning-tree bdduguard
• Switch(config-if)# end

• Switch(config-if)#interface fastEthernet 0/2
• Switch(config-if)#switchport mode access
• Switch(config-if)#switchport access vlan 3

• Switch(config-if)#interface fastEthernet 0/2
• Switch(config-if)#switchport trunk encapsulation dot1q

• Switch(config)# ip route 192.168.40.0 255.255.255.0 192.168.10.254
• Switch(config)# ip routing

• Switch(config)# int fa0/1
• Switch(config)# no switchport
• Switch(config)# ip address 192.168.10.254 255.255.255.0

Configurer la version du vtp : server(config)# vtp version 2

Configurer le domaine VTP qui permet à tous les commutateurs d’être dans le même “groupe”: server(config)# vtp domain testVTP

Configurer le mode serveur: server(config)# vtp mode server

Configurer le mot de passe pour sécuriser les échanges VTP (Optionnel): server(config)#VTP password SESAME

Indiquer le domaine VTP :client(config)# vtp domain testVTP

Configurer le mode client : client(config)#vtp mode client ou Configurer le mode transparent (config)#vtp mode transparent

Donner le mot de passe identique à celui du serveur : server(config)#VTP password SESAME vérifier la configuration VTP sur les commutateurs : server# show vtp status

• Définition : Implémentation Cisco propriétaire qui exécute une instance STP par VLAN
• Standard : Propriétaire Cisco
• Convergence : ~50 secondes (Listening 15s + Learning 15s + Forward Delay)
• Configuration de base :

spanning-tree mode pvst
spanning-tree vlan 10 priority 4096
spanning-tree vlan 10 root primary
spanning-tree vlan 10 root secondary

• Définition : Version rapide de PVST basée sur IEEE 802.1w
• Standard : Propriétaire Cisco (basé sur 802.1w)
• Convergence : < 6 secondes (généralement 1-2 secondes)
• Types de ports :
  • Edge (PortFast)
  • Point-to-Point
  • Shared
• Configuration :

spanning-tree mode rapid-pvst
spanning-tree vlan 10 priority 4096
spanning-tree vlan 10 root primary

• Avantages : Convergence rapide, compatible PVST

• Définition : IEEE 802.1s - Regroupe plusieurs VLANs dans une instance STP
• Standard : IEEE 802.1s
• Convergence : Similaire à Rapid STP
• Régions MST : Même nom, révision, et mapping VLAN
• Configuration :

spanning-tree mode mst
spanning-tree mst configuration
 name REGION1
 revision 1
 instance 1 vlan 10-20
 instance 2 vlan 30-40
 exit
spanning-tree mst 1 priority 4096

• Avantages : Moins d'instances STP, meilleure scalabilité

• Définition : Segmentation logique d'un réseau au niveau Layer 2
• Range : 1-4094 (1-1005 normal, 1006-4094 extended)
• VLAN par défaut : VLAN 1 (natif)
• Configuration :

vlan 10
 name SALES
vlan 20
 name MARKETING

• Définition : Standard IEEE de tagging VLAN sur les trunks
• Taille du tag : 4 octets (TPID 2 octets + TCI 2 octets)
• VLAN natif : Trafic non-taggué sur le trunk
• Configuration trunk :

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk native vlan 99
 switchport trunk allowed vlan 10,20,30

• Définition : Port configuré pour un seul VLAN (end devices)
• Configuration :

interface FastEthernet0/1
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast

• Standard : IEEE 802.3ad / 802.1AX
• Protocole : Ouvert (standard IEEE)
• Modes :
  • Active : Initie LACP activement
  • Passive : Attend les paquets LACP
• Configuration :

interface range GigabitEthernet0/1-2
 channel-group 1 mode active
 exit
interface Port-channel1
 switchport mode trunk

• Standard : Propriétaire Cisco
• Modes :
  • Desirable : Initie PAgP activement
  • Auto : Attend les paquets PAgP
• Configuration :

interface range GigabitEthernet0/1-2
 channel-group 1 mode desirable
 exit
interface Port-channel1
 switchport mode trunk

• Définition : Transition immédiate vers l'état Forwarding (bypass Listening/Learning)
• Usage : Uniquement sur ports d'accès connectés à des end devices
• Configuration :

interface FastEthernet0/1
 spanning-tree portfast
! Ou globalement pour tous les ports access
spanning-tree portfast default

• Définition : Désactive un port PortFast si un BPDU est reçu
• Protection : Empêche les boucles causées par des switches non autorisés
• Configuration :

interface FastEthernet0/1
 spanning-tree bpduguard enable
! Ou globalement
spanning-tree portfast bpduguard default

• Récupération :

errdisable recovery cause bpduguard
errdisable recovery interval 300

• Définition : Limite le nombre d'adresses MAC autorisées sur un port
• Modes de violation :
  • Protect : Drop les trames, pas de log
  • Restrict : Drop les trames + log SNMP
  • Shutdown : Désactive le port (err-disabled)
• Configuration :

interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict
 switchport port-security mac-address sticky
 switchport port-security mac-address 0000.1111.2222

• Vérification :

show port-security
show port-security interface FastEthernet0/1
show port-security address

• Définition : Protection contre les serveurs DHCP non autorisés
• Trusted vs Untrusted : Seuls les ports trusted peuvent envoyer des réponses DHCP
• DHCP Binding Table : Base de données IP-MAC-VLAN-Port
• Configuration :

ip dhcp snooping
ip dhcp snooping vlan 10,20
interface GigabitEthernet0/1
 ip dhcp snooping trust
! Limite de débit sur ports untrusted
interface range FastEthernet0/1-24
 ip dhcp snooping limit rate 10

• Vérification :

show ip dhcp snooping
show ip dhcp snooping binding

• Activation :

ip routing

• Interface SVI (Switched Virtual Interface) :

interface vlan 10
 ip address 192.168.10.1 255.255.255.0
 no shutdown

• Interface Routed :

interface GigabitEthernet0/1
 no switchport
 ip address 10.1.1.1 255.255.255.252

• Type : Distance Vector
• Métrique : Hop count (max 15)
• Standard : RIPv1 (classful), RIPv2 (classless)
• Timers : Update 30s, Invalid 180s, Holddown 180s, Flush 240s
• Configuration RIPv2 :

router rip
 version 2
 network 192.168.10.0
 network 10.0.0.0
 no auto-summary
 passive-interface default
 no passive-interface GigabitEthernet0/1

• Avantages : Simple
• Inconvénients : Lent à converger, métrique limitée

• Type : Link-State
• Métrique : Cost (basé sur la bande passante)
• Standard : RFC 2328 (OSPFv2), RFC 5340 (OSPFv3)
• Algorithme : Dijkstra (SPF)
• Areas : Zone 0 (backbone) obligatoire
• Configuration :

router ospf 1
 router-id 1.1.1.1
 network 192.168.10.0 0.0.0.255 area 0
 network 10.1.1.0 0.0.0.3 area 0
 passive-interface default
 no passive-interface GigabitEthernet0/1

• Formule : Cost = Reference Bandwidth / Interface Bandwidth
• Reference Bandwidth par défaut : 100 Mbps
• Modification :

router ospf 1
 auto-cost reference-bandwidth 10000
! Reference bandwidth de 10 Gbps
! Cost Gigabit = 10000/1000 = 10
! Cost 10 Gigabit = 10000/10000 = 1

• Coût manuel :

interface GigabitEthernet0/1
 ip ospf cost 50

• Type : Advanced Distance Vector / Hybrid
• Métrique : Composite (Bandwidth, Delay, Reliability, Load, MTU)
• Standard : Propriétaire Cisco (RFC 7868 pour version informative)
• AS Number : Autonomous System
• Protocole : Protocol 88
• Configuration :

router eigrp 100
 network 192.168.10.0 0.0.0.255
 network 10.0.0.0 0.255.255.255
 passive-interface default
 no passive-interface GigabitEthernet0/1
 eigrp router-id 1.1.1.1

• Configuration Named Mode :

router eigrp MYNETWORK
 address-family ipv4 unicast autonomous-system 100
  network 192.168.10.0 0.0.0.255
  topology base
  exit-af-topology
 exit-address-family

• Avantages : Convergence rapide (DUAL), faible utilisation bande passante

• Type : Link-State
• Métrique : Cost (par défaut 10 par interface)
• Standard : ISO 10589
• Levels :
  • Level 1 : Intra-area
  • Level 2 : Inter-area (backbone)
  • Level 1-2 : Les deux
• Configuration :

router isis
 net 49.0001.1111.1111.1111.00
 is-type level-2-only
interface GigabitEthernet0/1
 ip router isis
 isis circuit-type level-2-only

• NET Format : Area.System-ID.SEL
• Usage : Courant chez les ISP, supporte bien le scale

• Type : Path Vector
• Métrique : Path Attributes (Weight, Local Pref, AS-Path, Origin, MED, etc.)
• Standard : RFC 4271 (BGP-4)
• Port : TCP 179
• Types :
  • eBGP : Entre AS différents (External)
  • iBGP : Même AS (Internal)
• Configuration eBGP :

router bgp 65001
 bgp router-id 1.1.1.1
 neighbor 10.1.1.2 remote-as 65002
 network 192.168.10.0 mask 255.255.255.0

• Configuration iBGP :

router bgp 65001
 neighbor 2.2.2.2 remote-as 65001
 neighbor 2.2.2.2 update-source Loopback0
 neighbor 2.2.2.2 next-hop-self

• Path Selection : Weight > Local Pref > Originate > AS-Path > Origin > MED > eBGP > IGP metric > Router-ID
• Avantages : Scalabilité extrême, contrôle précis du routage

• Type : FHRP (First Hop Redundancy Protocol)
• Standard : Propriétaire Cisco
• Versions : HSRPv1 (0-255), HSRPv2 (0-4095)
• Adresse MAC virtuelle :
  • v1 : 0000.0c07.acXX (XX = group number)
  • v2 : 0000.0c9f.fXXX (XXX = group number)
• Timers : Hello 3s, Hold 10s
• Priorité : 0-255 (défaut 100)
• Configuration :

interface Vlan10
 ip address 192.168.10.2 255.255.255.0
 standby version 2
 standby 1 ip 192.168.10.1
 standby 1 priority 110
 standby 1 preempt
 standby 1 authentication md5 key-string MySecret

• États : Initial, Learn, Listen, Speak, Standby, Active
• Vérification :

show standby
show standby brief

• Connected : 0
• Static : 1
• eBGP : 20
• EIGRP : 90
• OSPF : 110
• IS-IS : 115
• RIP : 120
• iBGP : 200
• Unknown : 255

show spanning-tree
show spanning-tree vlan 10
show spanning-tree summary
show spanning-tree interface GigabitEthernet0/1

show vlan brief
show interfaces trunk
show interfaces switchport

show etherchannel summary
show etherchannel port-channel
show lacp neighbor
show pagp neighbor

show ip route
show ip protocols
show ip interface brief
show ip ospf neighbor
show ip eigrp neighbors
show ip bgp summary
show ip bgp
show isis neighbors

• Toujours utiliser Rapid PVST+ ou MST (pas PVST)
• Définir manuellement le root bridge
• Activer PortFast uniquement sur ports d'accès
• Toujours activer BPDU Guard avec PortFast
• Utiliser Root Guard sur les ports vers les switches de distribution

• Ne pas utiliser VLAN 1 (changer le native VLAN)
• Documenter tous les VLANs
• Tagguer le native VLAN pour plus de sécurité
• Limiter les VLANs autorisés sur les trunks

• Activer port-security sur les ports d'accès
• Utiliser DHCP snooping + DAI (Dynamic ARP Inspection)
• Désactiver les ports inutilisés
• Utiliser des VLANs dédiés pour la gestion

• Utiliser des router-id manuels
• Configurer passive-interface par défaut
• Utiliser l'authentification (MD5/SHA)
• Implémenter la summarization quand possible
• Préférer OSPF ou EIGRP pour les réseaux d'entreprise
• Utiliser BGP uniquement pour la connectivité multi-homing ou ISP

• Retour à l'accueil