🛠 Outils IT
🛠 78 outils 📚 32 docs
🤖 Assistant

Commandes Cisco IOS

Table des matières

1. Modes d'execution

Cisco IOS fonctionne avec une hierarchie de modes. Chaque mode offre un ensemble de commandes specifiques. Il est indispensable de maitriser la navigation entre ces modes pour configurer un equipement.

1.1 Table des modes

Mode Invite (prompt) Commande pour y acceder Description
User EXEC Router> Connexion initiale Mode lecture seule, commandes limitees (ping, show basiques)
Privileged EXEC Router# enable Acces complet aux commandes show, debug, copy, reload
Global Configuration Router(config)# configure terminal Configuration globale de l'equipement
Interface Configuration Router(config-if)# interface GigabitEthernet0/0 Configuration d'une interface specifique
Line Configuration Router(config-line)# line console 0 / line vty 0 4 Configuration des lignes d'acces (console, VTY, AUX)
Router Configuration Router(config-router)# router ospf 1 Configuration d'un protocole de routage
VLAN Configuration Switch(config-vlan)# vlan 10 Configuration d'un VLAN specifique

1.2 Navigation entre les modes

! Connexion initiale - Mode User EXEC
Router>

! Passer en mode Privileged EXEC
Router> enable
Router#

! Passer en mode Global Configuration
Router# configure terminal
Router(config)#

! Entrer dans la configuration d'une interface
Router(config)# interface GigabitEthernet0/0
Router(config-if)#

! Revenir au mode Global Configuration
Router(config-if)# exit
Router(config)#

! Revenir directement au mode Privileged EXEC (depuis n'importe quel sous-mode)
Router(config-if)# end
Router#
! ou utiliser le raccourci Ctrl+Z

! Revenir au mode User EXEC
Router# disable
Router>

! Quitter la session
Router> logout
Astuce : utilisez la touche Tab pour completer automatiquement les commandes. Tapez ? a tout moment pour afficher l'aide contextuelle des commandes disponibles dans le mode actuel. Par exemple : Router(config)# interface ? liste tous les types d'interfaces.

1.3 Raccourcis clavier essentiels

Raccourci Action
Tab Completer automatiquement la commande
Ctrl+Z Revenir au mode Privileged EXEC
Ctrl+C Annuler la commande en cours / sortir du mode setup
Ctrl+Shift+6 Interrompre un processus (ping, traceroute, DNS lookup)
Fleche Haut Rappeler la commande precedente
Ctrl+A Aller au debut de la ligne
Ctrl+E Aller a la fin de la ligne

2. Configuration de base

Les commandes de configuration de base sont les premieres a executer lors de la mise en service d'un routeur ou d'un commutateur Cisco. Elles definissent l'identite de l'equipement, securisent l'acces et preparent l'environnement de travail.

2.1 Nom d'hote et banniere

Router> enable
Router# configure terminal

! Definir le nom d'hote
Router(config)# hostname R1
R1(config)#

! Configurer une banniere de connexion (Message Of The Day)
R1(config)# banner motd #
*** ACCES RESERVE - Toute connexion non autorisee est interdite ***
*** Ce systeme est surveille - Les tentatives d'acces sont enregistrees ***
#

! Banniere de connexion (affichee avant le login)
R1(config)# banner login #
=== Authentification requise ===
#

2.2 Securisation des mots de passe

! Mot de passe enable (chiffre en MD5 - RECOMMANDE)
R1(config)# enable secret MonMotDePasse123!

! Mot de passe enable (texte clair - A EVITER)
R1(config)# enable password MonMotDePasse

! Chiffrer tous les mots de passe en clair dans la configuration
R1(config)# service password-encryption

! Configurer une longueur minimale pour les mots de passe
R1(config)# security passwords min-length 10
Attention : utilisez toujours enable secret plutot que enable password. La commande enable secret utilise un hachage MD5 (type 5) ou SHA-256 (type 9) tandis que enable password stocke le mot de passe en clair ou avec un chiffrement reversible (type 7) facilement dechiffrable.

2.3 Securisation de la console et des lignes VTY

! Configuration de la ligne console (acces physique)
R1(config)# line console 0
R1(config-line)# password ConsolePass123!
R1(config-line)# login
R1(config-line)# logging synchronous
R1(config-line)# exec-timeout 5 0
R1(config-line)# exit

! Configuration des lignes VTY (acces distant Telnet/SSH)
R1(config)# line vty 0 4
R1(config-line)# password VtyPass123!
R1(config-line)# login
R1(config-line)# logging synchronous
R1(config-line)# exec-timeout 10 0
R1(config-line)# transport input ssh
R1(config-line)# exit

! Configuration de la ligne AUX (port auxiliaire)
R1(config)# line aux 0
R1(config-line)# password AuxPass123!
R1(config-line)# login
R1(config-line)# exec-timeout 5 0
R1(config-line)# exit
Astuce : logging synchronous empeche les messages systeme d'interrompre votre saisie en cours. C'est une commande de confort indispensable sur la console. exec-timeout 5 0 definit un delai d'inactivite de 5 minutes avant deconnexion automatique (securite).

2.4 Parametres systeme utiles

! Desactiver la resolution DNS (evite les delais lors de commandes mal tapees)
R1(config)# no ip domain-lookup

! Activer le service de timestamps dans les logs
R1(config)# service timestamps log datetime msec
R1(config)# service timestamps debug datetime msec

! Desactiver le serveur HTTP integre (securite)
R1(config)# no ip http server
R1(config)# no ip http secure-server

3. Gestion du systeme

Les commandes show sont les plus utilisees sur un equipement Cisco. Elles permettent de verifier la configuration, l'etat des interfaces, les processus en cours et de diagnostiquer les problemes.

3.1 Informations systeme

! Afficher la version IOS, le temps de fonctionnement, le materiel
R1# show version

! Afficher l'utilisation du CPU
R1# show processes cpu

! Afficher l'utilisation de la memoire
R1# show processes memory

! Afficher les informations du materiel
R1# show inventory

! Afficher l'horloge du systeme
R1# show clock

! Configurer l'horloge manuellement
R1# clock set 14:30:00 26 February 2026

3.2 Configuration en cours et sauvegardee

! Afficher la configuration active (en memoire RAM)
R1# show running-config

! Afficher une section specifique de la configuration
R1# show running-config | section interface
R1# show running-config | section router
R1# show running-config interface GigabitEthernet0/0

! Afficher la configuration sauvegardee (en NVRAM)
R1# show startup-config

! Sauvegarder la configuration active vers la NVRAM
R1# copy running-config startup-config
Destination filename [startup-config]? [Entree]

! Raccourci pour sauvegarder
R1# write memory
! ou simplement
R1# wr
Attention : la configuration en cours (running-config) est stockee en RAM et sera perdue au redemarrage si elle n'est pas sauvegardee. Pensez toujours a executer copy running-config startup-config apres chaque modification.

3.3 Gestion du systeme de fichiers et redemarrage

! Afficher le contenu de la memoire flash
R1# show flash:
R1# dir flash:

! Afficher un resume des interfaces et de leurs adresses IP
R1# show ip interface brief

! Effacer la configuration sauvegardee (retour aux parametres usine)
R1# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]

! Redemarrer l'equipement
R1# reload
Proceed with reload? [confirm]

! Redemarrer a une heure programmee
R1# reload at 02:00 27 February 2026
! Annuler un redemarrage programme
R1# reload cancel

3.4 Filtrage de la sortie avec les pipes

! Filtrer la sortie des commandes show
R1# show running-config | include interface
R1# show running-config | exclude !
R1# show running-config | begin line vty
R1# show running-config | section ospf

! Compter les lignes correspondantes
R1# show running-config | count interface

! Exemples pratiques
R1# show ip route | include 192.168
R1# show interfaces | include protocol
R1# show log | include %LINK
Astuce : les filtres include, exclude, begin et section fonctionnent avec toutes les commandes show. Ils sont essentiels pour trouver rapidement l'information recherchee dans une sortie volumineuse.

4. Configuration des interfaces

4.1 Configuration d'une interface de routeur

R1(config)# interface GigabitEthernet0/0

! Assigner une adresse IP et un masque
R1(config-if)# ip address 192.168.1.1 255.255.255.0

! Ajouter une description
R1(config-if)# description Lien vers le LAN principal

! Activer l'interface (par defaut les interfaces sont desactivees)
R1(config-if)# no shutdown

! Desactiver une interface
R1(config-if)# shutdown

! Configurer la vitesse et le duplex (sur interfaces FastEthernet/GigabitEthernet)
R1(config-if)# speed 1000
R1(config-if)# duplex full

! Remettre en auto-negociation
R1(config-if)# speed auto
R1(config-if)# duplex auto
R1(config-if)# exit

4.2 Configuration d'une interface loopback

! Les interfaces loopback sont des interfaces virtuelles toujours actives
! Tres utilisees pour OSPF (Router-ID), tests, et management
R1(config)# interface Loopback0
R1(config-if)# ip address 1.1.1.1 255.255.255.255
R1(config-if)# description Interface de management
R1(config-if)# exit

4.3 Configuration d'une interface de commutateur (SVI)

! Interface VLAN (Switch Virtual Interface) pour la gestion du switch
Switch(config)# interface vlan 1
Switch(config-if)# ip address 192.168.1.2 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit

! Passerelle par defaut du switch
Switch(config)# ip default-gateway 192.168.1.1

4.4 Configuration par plage d'interfaces

! Configurer plusieurs interfaces en meme temps
Switch(config)# interface range FastEthernet0/1 - 12
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# spanning-tree portfast
Switch(config-if-range)# no shutdown
Switch(config-if-range)# exit

! Plage non contigue
Switch(config)# interface range FastEthernet0/1 - 5, FastEthernet0/10 - 15
Switch(config-if-range)# shutdown
Switch(config-if-range)# exit

4.5 Verification des interfaces

! Resume de toutes les interfaces (IP, statut, protocole)
R1# show ip interface brief

! Exemple de sortie :
! Interface              IP-Address      OK? Method Status                Protocol
! GigabitEthernet0/0     192.168.1.1     YES manual up                    up
! GigabitEthernet0/1     10.0.0.1        YES manual up                    up
! Loopback0              1.1.1.1         YES manual up                    up
! Serial0/0/0            unassigned      YES unset  administratively down down

! Informations detaillees sur une interface
R1# show interfaces GigabitEthernet0/0

! Informations IP detaillees (ACL, redirections, etc.)
R1# show ip interface GigabitEthernet0/0

! Afficher les statistiques des interfaces
R1# show interfaces counters

! Effacer les compteurs d'une interface
R1# clear counters GigabitEthernet0/0
Astuce : si une interface affiche up/down (Status up, Protocol down), cela indique generalement un probleme de couche 2 (cable, negociation vitesse/duplex). Si elle affiche administratively down, il faut executer no shutdown.

5. VLANs

Les VLANs (Virtual Local Area Networks) permettent de segmenter un reseau physique en plusieurs reseaux logiques isoles. Chaque VLAN constitue un domaine de broadcast distinct, ameliorant la securite et les performances.

5.1 Creation et suppression de VLANs

! Methode 1 : depuis le mode Global Configuration (recommande)
Switch(config)# vlan 10
Switch(config-vlan)# name INFORMATIQUE
Switch(config-vlan)# exit

Switch(config)# vlan 20
Switch(config-vlan)# name COMPTABILITE
Switch(config-vlan)# exit

Switch(config)# vlan 30
Switch(config-vlan)# name DIRECTION
Switch(config-vlan)# exit

Switch(config)# vlan 99
Switch(config-vlan)# name MANAGEMENT
Switch(config-vlan)# exit

Switch(config)# vlan 100
Switch(config-vlan)# name NATIF
Switch(config-vlan)# exit

! Supprimer un VLAN
Switch(config)# no vlan 30
Attention : la suppression d'un VLAN ne retire pas automatiquement les ports qui lui etaient assignes. Ces ports deviennent inactifs (pas de connectivite) tant qu'ils ne sont pas reassignes a un VLAN existant. Verifiez toujours avant de supprimer un VLAN.

5.2 Assignation des ports en mode Access

! Assigner un port a un VLAN
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit

! Assigner une plage de ports
Switch(config)# interface range FastEthernet0/1 - 10
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# exit

Switch(config)# interface range FastEthernet0/11 - 20
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20
Switch(config-if-range)# exit

5.3 Voice VLAN (telephonie IP)

! Configurer un port avec un VLAN data + VLAN voix
! Le telephone IP est branche sur le port du switch,
! et le PC est branche sur le telephone
Switch(config)# interface FastEthernet0/5
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport voice vlan 50
Switch(config-if)# mls qos trust cos
Switch(config-if)# exit

5.4 Verification des VLANs

! Afficher tous les VLANs et les ports assignes
Switch# show vlan brief

! Exemple de sortie :
! VLAN Name                 Status    Ports
! ---- -------------------- --------- ----------------------------
! 1    default              active    Fa0/21, Fa0/22, Fa0/23, Fa0/24
! 10   INFORMATIQUE         active    Fa0/1, Fa0/2, Fa0/3
! 20   COMPTABILITE         active    Fa0/11, Fa0/12, Fa0/13
! 99   MANAGEMENT           active
! 100  NATIF                active

! Afficher les details d'un VLAN specifique
Switch# show vlan id 10

! Afficher le VLAN assigne a un port
Switch# show interfaces FastEthernet0/1 switchport

6. Trunk et VTP

Les liens trunk (ou liaisons de trunk) transportent le trafic de plusieurs VLANs entre les commutateurs en utilisant le protocole 802.1Q pour etiqueter les trames avec l'identifiant du VLAN d'origine.

6.1 Configuration d'un lien trunk

! Configurer un port en mode trunk
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk

! Specifier l'encapsulation (necessaire sur certains modeles)
Switch(config-if)# switchport trunk encapsulation dot1q

! Definir le VLAN natif (non etiquete sur le trunk)
Switch(config-if)# switchport trunk native vlan 100

! Limiter les VLANs autorises sur le trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30,99,100

! Ajouter un VLAN a la liste autorisee
Switch(config-if)# switchport trunk allowed vlan add 50

! Retirer un VLAN de la liste autorisee
Switch(config-if)# switchport trunk allowed vlan remove 30

! Remettre tous les VLANs autorises
Switch(config-if)# switchport trunk allowed vlan all
Switch(config-if)# exit
Attention : le VLAN natif doit etre le meme des deux cotes du lien trunk, sinon le trafic sera mal achemine et vous verrez des messages d'erreur CDP/STP. Evitez d'utiliser le VLAN 1 comme VLAN natif (securite). Creez un VLAN dedie (ex: VLAN 100).

6.2 DTP (Dynamic Trunking Protocol)

! Mode Dynamic Auto (attend la demande de l'autre cote)
Switch(config-if)# switchport mode dynamic auto

! Mode Dynamic Desirable (initie la negociation trunk)
Switch(config-if)# switchport mode dynamic desirable

! Desactiver DTP (securite recommandee - forcer le mode)
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport nonegotiate

! ou forcer en mode access
Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate
Astuce : en production, il est recommande de desactiver DTP avec switchport nonegotiate et de configurer explicitement chaque port en mode trunk ou mode access. Le DTP represente un risque de securite (attaque par VLAN hopping).

6.3 Verification des trunks

! Afficher les interfaces trunk actives
Switch# show interfaces trunk

! Exemple de sortie :
! Port        Mode         Encapsulation  Status        Native vlan
! Gi0/1       on           802.1q         trunking      100
!
! Port        Vlans allowed on trunk
! Gi0/1       10,20,30,99,100
!
! Port        Vlans allowed and active in management domain
! Gi0/1       10,20,30,99,100

! Verifier le mode DTP d'un port
Switch# show interfaces GigabitEthernet0/1 switchport

6.4 VTP (VLAN Trunking Protocol)

VTP permet de propager automatiquement la configuration VLAN entre les commutateurs d'un meme domaine. Trois modes sont disponibles : Server, Client et Transparent.

! Configurer le domaine VTP
Switch(config)# vtp domain ENTREPRISE

! Mot de passe VTP
Switch(config)# vtp password MonVTPpass

! Mode VTP Server (peut creer/modifier/supprimer des VLANs, propage les infos)
Switch(config)# vtp mode server

! Mode VTP Client (recoit les VLANs, ne peut pas les modifier)
Switch(config)# vtp mode client

! Mode VTP Transparent (ne participe pas au VTP, mais relaie les annonces)
! Permet de creer des VLANs localement sans affecter le domaine
Switch(config)# vtp mode transparent

! VTP version 2 (recommande)
Switch(config)# vtp version 2

! Verification VTP
Switch# show vtp status
Switch# show vtp counters
Attention : un commutateur en mode VTP Server avec un numero de revision superieur ecrasera la base VLAN de tout le domaine. Avant d'ajouter un switch a un reseau existant, placez-le en mode transparent puis repassez-le dans le mode souhaite pour reinitialiser son numero de revision a 0.

7. Spanning Tree (STP)

Le protocole Spanning Tree (STP - IEEE 802.1D) empeche les boucles de couche 2 dans un reseau commute en bloquant les chemins redondants. Il garantit qu'il n'existe qu'un seul chemin actif entre deux equipements a un instant donne.

7.1 Modes Spanning Tree

! PVST+ (Per-VLAN Spanning Tree Plus - defaut Cisco)
! Un arbre STP par VLAN
Switch(config)# spanning-tree mode pvst

! Rapid PVST+ (convergence plus rapide - RECOMMANDE)
Switch(config)# spanning-tree mode rapid-pvst

! MST (Multiple Spanning Tree - IEEE 802.1s)
! Permet de regrouper plusieurs VLANs dans une instance STP
Switch(config)# spanning-tree mode mst
Switch(config)# spanning-tree mst configuration
Switch(config-mst)# name REGION1
Switch(config-mst)# revision 1
Switch(config-mst)# instance 1 vlan 10,20
Switch(config-mst)# instance 2 vlan 30,40
Switch(config-mst)# exit

7.2 Configuration du Root Bridge

! Methode 1 : definir la priorite manuellement
! La priorite doit etre un multiple de 4096 (0, 4096, 8192, ..., 61440)
! La plus basse priorite = root bridge
Switch(config)# spanning-tree vlan 10 priority 4096

! Methode 2 : macro pour devenir root bridge (priorite automatique)
Switch(config)# spanning-tree vlan 10 root primary

! Definir un root bridge secondaire (backup)
Switch(config)# spanning-tree vlan 10 root secondary

! Modifier les timers STP (deconseille sauf besoin specifique)
Switch(config)# spanning-tree vlan 10 hello-time 2
Switch(config)# spanning-tree vlan 10 forward-time 15
Switch(config)# spanning-tree vlan 10 max-age 20

7.3 PortFast et BPDU Guard

! PortFast : fait passer le port directement en forwarding
! A activer UNIQUEMENT sur les ports connectes a des hotes (PC, serveurs)
Switch(config-if)# spanning-tree portfast

! Activer PortFast sur tous les ports access par defaut
Switch(config)# spanning-tree portfast default

! BPDU Guard : desactive le port s'il recoit un BPDU
! Protection contre les boucles (un switch non autorise branche sur un port access)
Switch(config-if)# spanning-tree bpduguard enable

! Activer BPDU Guard globalement sur tous les ports PortFast
Switch(config)# spanning-tree portfast bpduguard default

! BPDU Filter : empeche l'envoi et la reception de BPDU
! A utiliser avec precaution (risque de boucle)
Switch(config-if)# spanning-tree bpdufilter enable

! Root Guard : empeche un port de devenir root port
! Protege la topologie STP existante
Switch(config-if)# spanning-tree guard root

! Loop Guard : detecte les pertes de BPDU unidirectionnelles
Switch(config-if)# spanning-tree guard loop
Astuce : la combinaison portfast + bpduguard est une bonne pratique sur tous les ports access. Le PortFast accelere la connexion des postes de travail, et le BPDU Guard protege contre les boucles accidentelles si quelqu'un branche un switch non gere sur le port.

7.4 Verification Spanning Tree

! Afficher le statut STP pour tous les VLANs
Switch# show spanning-tree

! Afficher le STP pour un VLAN specifique
Switch# show spanning-tree vlan 10

! Resume rapide
Switch# show spanning-tree summary

! Afficher les ports root et designated
Switch# show spanning-tree root

! Afficher les inconsistances STP
Switch# show spanning-tree inconsistentports

! Afficher l'etat d'un port specifique
Switch# show spanning-tree interface GigabitEthernet0/1 detail

8. Routage statique

Le routage statique consiste a definir manuellement les chemins que les paquets doivent emprunter pour atteindre un reseau de destination. Il est adapte aux petits reseaux ou pour definir des routes specifiques (route par defaut, routes de backup).

8.1 Syntaxe de la route statique

! Syntaxe : ip route [reseau_dest] [masque] [prochain_saut ou interface] [distance_admin]

! Route statique vers un reseau via un prochain saut (next-hop IP)
R1(config)# ip route 192.168.2.0 255.255.255.0 10.0.0.2

! Route statique via une interface de sortie
R1(config)# ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/1

! Route statique avec prochain saut ET interface de sortie (recommande pour Ethernet)
R1(config)# ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/1 10.0.0.2

! Supprimer une route statique
R1(config)# no ip route 192.168.2.0 255.255.255.0 10.0.0.2

8.2 Route par defaut (Default Route)

! Route par defaut (Gateway of Last Resort)
! Envoie tout le trafic non connu vers le routeur suivant (ex: vers Internet)
R1(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1

! Verification de la route par defaut
R1# show ip route
! La route par defaut apparait comme :
! S*   0.0.0.0/0 [1/0] via 203.0.113.1
! Le 'S' indique une route statique, '*' indique la route par defaut

8.3 Route statique flottante (floating static route)

! Route de backup avec une distance administrative plus elevee
! La route principale (distance admin par defaut = 1 pour statique)
R1(config)# ip route 192.168.2.0 255.255.255.0 10.0.0.2

! Route de backup (distance admin = 5, donc moins prioritaire)
R1(config)# ip route 192.168.2.0 255.255.255.0 10.0.1.2 5

! Si le prochain saut 10.0.0.2 devient injoignable,
! la route via 10.0.1.2 prendra automatiquement le relais

8.4 Verification du routage

! Afficher la table de routage complete
R1# show ip route

! Filtrer les routes statiques uniquement
R1# show ip route static

! Afficher les routes pour un reseau specifique
R1# show ip route 192.168.2.0

! Tester la joignabilite
R1# ping 192.168.2.1
R1# traceroute 192.168.2.1

! Verifier le prochain saut pour une destination
R1# show ip route 192.168.2.1
! Routing entry for 192.168.2.0/24
!   Known via "static", distance 1, metric 0
!   Routing Descriptor Blocks:
!   * 10.0.0.2
!       Route metric is 0, traffic share count is 1
Astuce : pour un reseau de petite taille (2-3 routeurs), le routage statique est parfaitement adapte et plus simple a gerer. Au-dela, privilegiez un protocole de routage dynamique (OSPF) pour eviter de maintenir manuellement toutes les routes.

9. Routage dynamique (OSPF, EIGRP, RIP)

9.1 OSPF (Open Shortest Path First)

OSPF est un protocole de routage a etat de liens (link-state), standardise (RFC 2328), et le plus utilise dans les reseaux d'entreprise. Il utilise l'algorithme de Dijkstra pour calculer le chemin le plus court.

! Activer le processus OSPF (le numero de processus est local au routeur)
R1(config)# router ospf 1

! Definir le Router ID manuellement (recommande)
R1(config-router)# router-id 1.1.1.1

! Annoncer les reseaux dans OSPF
! Syntaxe : network [reseau] [wildcard_mask] area [numero_area]
R1(config-router)# network 192.168.1.0 0.0.0.255 area 0
R1(config-router)# network 10.0.0.0 0.0.0.3 area 0

! Annoncer toutes les interfaces dans l'area 0
R1(config-router)# network 0.0.0.0 255.255.255.255 area 0

! Declarer une interface passive (n'envoie pas de paquets OSPF Hello)
! Utile pour les interfaces connectees aux LANs utilisateurs
R1(config-router)# passive-interface GigabitEthernet0/0

! Rendre toutes les interfaces passives puis activer les exceptions
R1(config-router)# passive-interface default
R1(config-router)# no passive-interface GigabitEthernet0/1

! Propager la route par defaut dans OSPF
R1(config-router)# default-information originate

! Configurer le cout (bandwidth) d'une interface
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip ospf cost 10

! Modifier la priorite OSPF (election DR/BDR, 0 = jamais DR)
R1(config-if)# ip ospf priority 100

! Authentification OSPF (MD5)
R1(config-if)# ip ospf message-digest-key 1 md5 MonMotDePasse
R1(config-if)# ip ospf authentication message-digest
R1(config-router)# area 0 authentication message-digest

R1(config-router)# exit

9.2 Verification OSPF

! Afficher les informations generales OSPF
R1# show ip ospf

! Afficher les voisins OSPF
R1# show ip ospf neighbor

! Exemple de sortie :
! Neighbor ID   Pri  State      Dead Time  Address       Interface
! 2.2.2.2         1  FULL/DR    00:00:33   10.0.0.2      Gi0/1
! 3.3.3.3         1  FULL/BDR   00:00:31   10.0.0.3      Gi0/1

! Afficher les interfaces participant a OSPF
R1# show ip ospf interface
R1# show ip ospf interface brief

! Afficher la base de donnees OSPF (LSDB)
R1# show ip ospf database

! Afficher les routes OSPF dans la table de routage
R1# show ip route ospf

! Debug OSPF (attention en production !)
R1# debug ip ospf adj
R1# debug ip ospf events
R1# undebug all
Attention : pour que deux routeurs OSPF deviennent voisins, ils doivent partager le meme area ID, le meme masque de sous-reseau sur le lien, les memes timers (Hello et Dead), et le meme type d'authentification. Verifiez ces parametres en cas de probleme de voisinage.

9.3 EIGRP (Enhanced Interior Gateway Routing Protocol)

EIGRP est un protocole proprietaire Cisco (ouvert depuis 2013), base sur l'algorithme DUAL. Il offre une convergence tres rapide et est plus simple a configurer qu'OSPF.

! Activer EIGRP avec un numero de systeme autonome (doit etre identique sur tous les routeurs)
R1(config)# router eigrp 100

! Annoncer les reseaux
R1(config-router)# network 192.168.1.0 0.0.0.255
R1(config-router)# network 10.0.0.0 0.0.0.3

! Desactiver le resume automatique des routes
R1(config-router)# no auto-summary

! Interface passive
R1(config-router)# passive-interface GigabitEthernet0/0

R1(config-router)# exit

! Verification EIGRP
R1# show ip eigrp neighbors
R1# show ip eigrp topology
R1# show ip route eigrp

9.4 RIP version 2

RIP est un protocole de routage a vecteur de distance, simple mais limite (metrique maximale de 15 sauts). Utilise principalement a des fins pedagogiques ou dans de tres petits reseaux.

! Activer RIP version 2
R1(config)# router rip
R1(config-router)# version 2

! Annoncer les reseaux
R1(config-router)# network 192.168.1.0
R1(config-router)# network 10.0.0.0

! Desactiver le resume automatique
R1(config-router)# no auto-summary

! Interface passive
R1(config-router)# passive-interface GigabitEthernet0/0

! Propager la route par defaut
R1(config-router)# default-information originate

R1(config-router)# exit

! Verification RIP
R1# show ip rip database
R1# show ip route rip
Astuce : tableau comparatif rapide - OSPF : standard ouvert, utilise dans les grandes entreprises, converge rapidement. EIGRP : proprietaire Cisco, convergence tres rapide, simple a configurer. RIP : simple, limite a 15 sauts, utilise surtout pour l'apprentissage. En production, privilegiez OSPF.

10. ACL (Access Control Lists)

Les ACL filtrent le trafic reseau en autorisant ou refusant des paquets selon des criteres (adresse source, destination, protocole, port). Elles sont appliquees sur les interfaces en entree (in) ou en sortie (out).

10.1 ACL Standard (numerotee : 1-99)

Les ACL standard filtrent uniquement sur l'adresse IP source. Elles doivent etre placees le plus pres possible de la destination.

! Syntaxe : access-list [numero] {permit|deny} [source] [wildcard]

! Autoriser un reseau specifique
R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255

! Autoriser un hote specifique
R1(config)# access-list 10 permit host 192.168.1.100

! Refuser un reseau
R1(config)# access-list 10 deny 10.0.0.0 0.0.0.255

! Autoriser tout le reste (a ajouter en fin d'ACL)
! Par defaut, il y a un "deny any" implicite a la fin de chaque ACL
R1(config)# access-list 10 permit any

! Appliquer l'ACL sur une interface
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip access-group 10 out
R1(config-if)# exit

10.2 ACL Standard nommee

! Creer une ACL standard nommee
R1(config)# ip access-list standard FILTRER-LAN
R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255
R1(config-std-nacl)# permit 192.168.2.0 0.0.0.255
R1(config-std-nacl)# deny any
R1(config-std-nacl)# exit

! Appliquer sur une interface
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip access-group FILTRER-LAN in
R1(config-if)# exit

10.3 ACL Etendue (numerotee : 100-199)

Les ACL etendues filtrent sur l'adresse source, destination, protocole et port. Elles doivent etre placees le plus pres possible de la source.

! Syntaxe : access-list [numero] {permit|deny} [protocole] [source] [wildcard] [dest] [wildcard] [eq port]

! Autoriser le trafic HTTP depuis le LAN vers n'importe ou
R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80

! Autoriser HTTPS
R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443

! Autoriser DNS (TCP et UDP)
R1(config)# access-list 100 permit udp 192.168.1.0 0.0.0.255 any eq 53
R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 53

! Autoriser le ping (ICMP)
R1(config)# access-list 100 permit icmp any any

! Autoriser le trafic SSH vers un serveur specifique
R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 10.0.0.5 eq 22

! Refuser tout le reste (implicite mais peut etre ecrit pour la clarte)
R1(config)# access-list 100 deny ip any any

! Appliquer sur l'interface
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip access-group 100 in
R1(config-if)# exit

10.4 ACL Etendue nommee

! Creer une ACL etendue nommee
R1(config)# ip access-list extended INTERNET-FILTER
R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any eq 80
R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any eq 443
R1(config-ext-nacl)# permit udp 192.168.1.0 0.0.0.255 any eq 53
R1(config-ext-nacl)# permit icmp 192.168.1.0 0.0.0.255 any echo
R1(config-ext-nacl)# permit icmp any 192.168.1.0 0.0.0.255 echo-reply
R1(config-ext-nacl)# deny ip any any log
R1(config-ext-nacl)# exit

! Appliquer sur l'interface de sortie vers Internet
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip access-group INTERNET-FILTER in
R1(config-if)# exit

! Modifier une ACL nommee (ajouter/supprimer des entrees)
R1(config)# ip access-list extended INTERNET-FILTER
R1(config-ext-nacl)# 25 permit tcp 192.168.1.0 0.0.0.255 any eq 8080
R1(config-ext-nacl)# no 25
R1(config-ext-nacl)# exit

10.5 Verification des ACL

! Afficher toutes les ACL configurees
R1# show access-lists

! Afficher une ACL specifique
R1# show access-lists 100
R1# show access-lists INTERNET-FILTER

! Verifier quelle ACL est appliquee sur quelle interface
R1# show ip interface GigabitEthernet0/0 | include access list

! Supprimer une ACL
R1(config)# no access-list 100
! ou retirer l'ACL de l'interface
R1(config)# interface GigabitEthernet0/0
R1(config-if)# no ip access-group 100 in
Attention : les ACL sont traitees de haut en bas. Des qu'une regle correspond, l'action est executee et les regles suivantes sont ignorees. Il y a un deny any implicite a la fin de chaque ACL. Placez les regles les plus specifiques en premier et n'oubliez pas le permit pour le trafic legitime.
Astuce : regles de placement des ACL : les ACL standard (filtrage source uniquement) se placent pres de la destination. Les ACL etendues (filtrage source + destination) se placent pres de la source. Cela evite de bloquer le trafic inutilement sur d'autres chemins.

11. NAT / PAT

Le NAT (Network Address Translation) traduit les adresses IP privees en adresses publiques pour permettre l'acces a Internet. Le PAT (Port Address Translation) est la forme la plus courante, permettant a plusieurs hotes de partager une seule adresse publique.

11.1 NAT Statique (1 prive = 1 public)

! Traduire une adresse privee en une adresse publique fixe
! Utile pour les serveurs qui doivent etre accessibles depuis Internet
R1(config)# ip nat inside source static 192.168.1.100 203.0.113.10

! Definir les interfaces inside et outside
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip nat inside
R1(config-if)# exit

R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip nat outside
R1(config-if)# exit

11.2 NAT Dynamique (pool d'adresses publiques)

! Creer un pool d'adresses publiques
R1(config)# ip nat pool POOL-PUBLIC 203.0.113.10 203.0.113.20 netmask 255.255.255.0

! Creer l'ACL qui identifie le trafic a traduire
R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255

! Associer l'ACL au pool NAT
R1(config)# ip nat inside source list 1 pool POOL-PUBLIC

! Definir les interfaces inside et outside
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip nat inside
R1(config-if)# exit

R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip nat outside
R1(config-if)# exit

11.3 PAT / NAT Overload (la plus courante)

! Methode 1 : PAT avec l'adresse de l'interface de sortie (le plus courant)
R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overload

! Methode 2 : PAT avec un pool d'adresses
R1(config)# ip nat pool POOL-PAT 203.0.113.10 203.0.113.10 netmask 255.255.255.0
R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)# ip nat inside source list 1 pool POOL-PAT overload

! Definir les interfaces inside et outside
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip nat inside
R1(config-if)# exit

R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip nat outside
R1(config-if)# exit

11.4 Verification NAT

! Afficher les traductions NAT actives
R1# show ip nat translations

! Exemple de sortie :
! Pro  Inside global      Inside local       Outside local      Outside global
! tcp  203.0.113.1:1025   192.168.1.10:1025  93.184.216.34:80   93.184.216.34:80
! tcp  203.0.113.1:1026   192.168.1.11:1026  93.184.216.34:443  93.184.216.34:443

! Afficher les statistiques NAT
R1# show ip nat statistics

! Vider la table de traductions NAT
R1# clear ip nat translation *

! Debug NAT (voir les traductions en temps reel)
R1# debug ip nat
! Desactiver le debug
R1# undebug ip nat
Astuce : la commande debug ip nat est tres utile pour diagnostiquer les problemes de NAT. Elle affiche chaque paquet traduit en temps reel. N'oubliez pas de la desactiver avec undebug all apres le diagnostic, car le debug consomme des ressources CPU.

12. DHCP

Un routeur Cisco peut faire office de serveur DHCP pour attribuer automatiquement des adresses IP, des passerelles, des serveurs DNS et d'autres parametres aux hotes du reseau.

12.1 Configuration du serveur DHCP

! Exclure les adresses reservees (passerelle, serveurs, imprimantes)
R1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
R1(config)# ip dhcp excluded-address 192.168.1.254

! Creer le pool DHCP
R1(config)# ip dhcp pool LAN-INFORMATIQUE
R1(dhcp-config)# network 192.168.1.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.1.1
R1(dhcp-config)# dns-server 8.8.8.8 8.8.4.4
R1(dhcp-config)# domain-name entreprise.local
R1(dhcp-config)# lease 7
R1(dhcp-config)# exit

! Deuxieme pool pour un autre VLAN
R1(config)# ip dhcp excluded-address 192.168.2.1 192.168.2.10

R1(config)# ip dhcp pool LAN-COMPTABILITE
R1(dhcp-config)# network 192.168.2.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.2.1
R1(dhcp-config)# dns-server 8.8.8.8 8.8.4.4
R1(dhcp-config)# domain-name entreprise.local
R1(dhcp-config)# lease 7
R1(dhcp-config)# exit

12.2 Options DHCP avancees

! Reservation d'adresse (association MAC-IP fixe)
R1(config)# ip dhcp pool SERVEUR-IMPRESSION
R1(dhcp-config)# host 192.168.1.200 255.255.255.0
R1(dhcp-config)# client-identifier 0100.1122.3344.55
R1(dhcp-config)# default-router 192.168.1.1
R1(dhcp-config)# exit

! Option DHCP 150 (pour les telephones IP Cisco)
R1(config)# ip dhcp pool VOIP
R1(dhcp-config)# network 192.168.50.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.50.1
R1(dhcp-config)# option 150 ip 192.168.50.1
R1(dhcp-config)# exit

12.3 Relais DHCP (ip helper-address)

! Quand le serveur DHCP n'est pas sur le meme sous-reseau que les clients,
! configurer le relais DHCP sur l'interface du routeur cote clients
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip helper-address 10.0.0.100
R1(config-if)# exit
! 10.0.0.100 est l'adresse du serveur DHCP distant

12.4 Verification DHCP

! Afficher les baux DHCP actifs
R1# show ip dhcp binding

! Exemple de sortie :
! IP address       Client-ID/             Lease expiration        Type
!                  Hardware address
! 192.168.1.11     0100.1a2b.3c4d.5e      Mar 05 2026 02:30 AM   Automatic
! 192.168.1.12     0100.5e6f.7a8b.9c      Mar 05 2026 03:15 AM   Automatic

! Afficher les statistiques du serveur DHCP
R1# show ip dhcp server statistics

! Afficher les pools configures
R1# show ip dhcp pool

! Afficher les conflits d'adresses detectes
R1# show ip dhcp conflict

! Vider les conflits
R1# clear ip dhcp conflict *
Astuce : n'oubliez pas d'exclure les adresses IP deja utilisees (passerelle, serveurs, imprimantes) avec ip dhcp excluded-address avant de creer le pool. Sinon le serveur DHCP pourrait attribuer une adresse deja en usage, causant un conflit IP.

13. SSH et acces distant

L'acces par SSH (Secure Shell) est indispensable pour l'administration distante securisee d'un equipement Cisco. Il remplace Telnet qui transmet les donnees en clair.

13.1 Configuration SSH complete

! Etape 1 : Definir un nom d'hote (obligatoire pour la generation de cles)
R1(config)# hostname R1

! Etape 2 : Definir un nom de domaine (obligatoire pour la generation de cles)
R1(config)# ip domain-name entreprise.local

! Etape 3 : Generer la paire de cles RSA
R1(config)# crypto key generate rsa general-keys modulus 2048
! Utiliser 2048 bits minimum pour la securite (4096 recommande si supporte)

! Etape 4 : Configurer la version SSH (version 2 obligatoire)
R1(config)# ip ssh version 2

! Etape 5 : Configurer les parametres SSH
R1(config)# ip ssh time-out 60
R1(config)# ip ssh authentication-retries 3

! Etape 6 : Creer un utilisateur local avec privilege
R1(config)# username admin privilege 15 secret MonMotDePasse123!
R1(config)# username readonly privilege 1 secret LectureSeule123!

! Etape 7 : Configurer les lignes VTY pour SSH
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config-line)# exec-timeout 10 0
R1(config-line)# logging synchronous
R1(config-line)# exit

! Optionnel : restreindre l'acces SSH a certaines IP (avec une ACL)
R1(config)# access-list 5 permit 192.168.1.0 0.0.0.255
R1(config)# line vty 0 4
R1(config-line)# access-class 5 in
R1(config-line)# exit
Attention : n'oubliez pas de configurer transport input ssh sur les lignes VTY pour desactiver Telnet. Par defaut, les lignes VTY acceptent toutes les connexions (transport input all), y compris Telnet qui transmet les identifiants en clair.

13.2 Verification SSH

! Verifier la configuration SSH
R1# show ip ssh

! Exemple de sortie :
! SSH Enabled - version 2.0
! Authentication timeout: 60 secs; Authentication retries: 3
! Minimum expected Diffie Hellman key size : 2048 bits

! Afficher les sessions SSH actives
R1# show ssh

! Afficher les cles RSA
R1# show crypto key mypubkey rsa

! Regenerer les cles RSA (si compromises)
R1(config)# crypto key zeroize rsa
R1(config)# crypto key generate rsa general-keys modulus 2048

13.3 Connexion SSH depuis un routeur Cisco

! Se connecter en SSH a un autre equipement depuis le routeur
R1# ssh -l admin 192.168.1.2
! ou
R1# ssh -l admin -v 2 192.168.1.2
Astuce : utilisez login local sur les lignes VTY plutot que login + password. La commande login local utilise la base de donnees locale des utilisateurs (commande username), ce qui permet d'avoir des niveaux de privilege differents et un suivi des connexions par utilisateur.

14. EtherChannel (LACP / PAgP)

EtherChannel (ou Link Aggregation) combine plusieurs liens physiques en un seul lien logique, augmentant la bande passante et offrant de la redondance. Deux protocoles de negociation sont disponibles : LACP (standard IEEE 802.3ad) et PAgP (proprietaire Cisco).

14.1 EtherChannel avec LACP (recommande)

! LACP : protocole standard IEEE 802.3ad
! Modes : active (initie la negociation) / passive (attend la negociation)
! Au moins un cote doit etre en "active"

! Switch 1 (active)
SW1(config)# interface range GigabitEthernet0/1 - 2
SW1(config-if-range)# channel-group 1 mode active
SW1(config-if-range)# exit

! Configurer l'interface logique Port-Channel
SW1(config)# interface Port-channel 1
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk allowed vlan 10,20,30
SW1(config-if)# exit

! Switch 2 (active ou passive)
SW2(config)# interface range GigabitEthernet0/1 - 2
SW2(config-if-range)# channel-group 1 mode active
SW2(config-if-range)# exit

SW2(config)# interface Port-channel 1
SW2(config-if)# switchport mode trunk
SW2(config-if)# switchport trunk allowed vlan 10,20,30
SW2(config-if)# exit

14.2 EtherChannel avec PAgP

! PAgP : protocole proprietaire Cisco
! Modes : desirable (initie la negociation) / auto (attend la negociation)
! Au moins un cote doit etre en "desirable"

SW1(config)# interface range GigabitEthernet0/1 - 2
SW1(config-if-range)# channel-group 1 mode desirable
SW1(config-if-range)# exit

SW2(config)# interface range GigabitEthernet0/1 - 2
SW2(config-if-range)# channel-group 1 mode desirable
SW2(config-if-range)# exit

14.3 EtherChannel statique (sans protocole)

! Mode "on" : force l'EtherChannel sans negociation
! Les deux cotes DOIVENT etre en mode "on"
SW1(config)# interface range GigabitEthernet0/1 - 2
SW1(config-if-range)# channel-group 1 mode on
SW1(config-if-range)# exit

14.4 Repartition de charge (Load Balancing)

! Methode de repartition de charge
SW1(config)# port-channel load-balance src-dst-mac
! Options disponibles :
! src-mac          : adresse MAC source
! dst-mac          : adresse MAC destination
! src-dst-mac      : MAC source + destination (recommande pour L2)
! src-ip           : adresse IP source
! dst-ip           : adresse IP destination
! src-dst-ip       : IP source + destination (recommande pour L3)
! src-port         : port source
! dst-port         : port destination
! src-dst-port     : port source + destination

! Verifier la methode de repartition
SW1# show etherchannel load-balance

14.5 Verification EtherChannel

! Resume de tous les EtherChannels
SW1# show etherchannel summary

! Exemple de sortie :
! Group  Port-channel  Protocol    Ports
! ------+-------------+-----------+--------------------
! 1      Po1(SU)       LACP        Gi0/1(P) Gi0/2(P)
!
! Flags:  D - down        P - bundled in port-channel
!         I - stand-alone  s - suspended
!         H - Hot-standby  R - Layer3     S - Layer2
!         U - in use

! Afficher les details d'un port-channel
SW1# show etherchannel 1 detail

! Afficher les informations du port-channel
SW1# show interfaces port-channel 1

! Afficher les voisins du port-channel
SW1# show etherchannel 1 port-channel
Attention : pour que l'EtherChannel fonctionne, toutes les interfaces membres doivent avoir la meme configuration : meme vitesse, meme duplex, meme mode (access/trunk), memes VLANs autorises. Une inconsistance causera la mise en suspend des ports.
Astuce : tableau de compatibilite des modes EtherChannel : LACP : active-active (OK), active-passive (OK), passive-passive (NON). PAgP : desirable-desirable (OK), desirable-auto (OK), auto-auto (NON). Ne melangez jamais LACP et PAgP sur le meme lien.

15. Securite des ports

La securite des ports (Port Security) limite le nombre d'adresses MAC autorisees sur un port de commutateur et definit l'action a entreprendre en cas de violation. Cela protege contre les attaques de type MAC flooding et les connexions non autorisees.

15.1 Configuration de base

! Le port DOIT etre en mode access pour activer port-security
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

! Activer la securite du port
Switch(config-if)# switchport port-security

! Definir le nombre maximum d'adresses MAC autorisees (defaut = 1)
Switch(config-if)# switchport port-security maximum 2

! Definir l'action en cas de violation
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# exit

15.2 Modes de violation

Mode Trafic bloque Notification (syslog) Compteur de violations Port desactive
shutdown (defaut) Oui Oui Oui Oui (err-disabled)
restrict Oui Oui Oui Non
protect Oui Non Non Non 
! Mode Shutdown (defaut) : desactive le port (err-disabled)
Switch(config-if)# switchport port-security violation shutdown

! Mode Restrict : bloque le trafic non autorise mais le port reste actif
Switch(config-if)# switchport port-security violation restrict

! Mode Protect : bloque silencieusement le trafic non autorise
Switch(config-if)# switchport port-security violation protect

15.3 MAC Address Sticky (apprentissage automatique)

! Apprendre automatiquement les adresses MAC et les sauvegarder
! dans la running-config (persistance apres write memory)
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# exit

! Definir une adresse MAC statique manuellement
Switch(config-if)# switchport port-security mac-address 00AA.BB11.2233

15.4 Reactivation automatique (err-disabled recovery)

! Reactiver automatiquement les ports en err-disabled apres un delai
Switch(config)# errdisable recovery cause psecure-violation
Switch(config)# errdisable recovery interval 300

! Reactiver manuellement un port en err-disabled
Switch(config)# interface FastEthernet0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Switch(config-if)# exit

15.5 Verification de la securite des ports

! Afficher le resume de la securite des ports
Switch# show port-security

! Afficher la securite d'un port specifique
Switch# show port-security interface FastEthernet0/1

! Exemple de sortie :
! Port Security              : Enabled
! Port Status                : Secure-up
! Violation Mode             : Shutdown
! Aging Time                 : 0 mins
! Maximum MAC Addresses      : 2
! Total MAC Addresses        : 1
! Sticky MAC Addresses       : 1
! Last Source Address:Vlan   : 00AA.BB11.2233:10
! Security Violation Count   : 0

! Afficher les adresses MAC securisees
Switch# show port-security address

! Afficher les ports en err-disabled
Switch# show interfaces status err-disabled
Astuce : la combinaison port-security + mac-address sticky + violation shutdown est une bonne pratique sur les ports access. Le mode sticky apprend automatiquement la premiere adresse MAC connectee et la securise. Pensez a sauvegarder la configuration (write memory) pour rendre les adresses sticky persistantes.

16. Sauvegarde et restauration

La sauvegarde reguliere de la configuration et de l'image IOS est essentielle pour pouvoir restaurer rapidement un equipement en cas de panne ou d'erreur de configuration.

16.1 Sauvegarde locale

! Sauvegarder la configuration active en NVRAM
R1# copy running-config startup-config
! ou
R1# write memory

! Sauvegarder la configuration en Flash
R1# copy running-config flash:backup-config-2026-02-26.txt

16.2 Sauvegarde via TFTP

! Sauvegarder la configuration vers un serveur TFTP
R1# copy running-config tftp:
Address or name of remote host []? 192.168.1.200
Destination filename [r1-confg]? R1-running-config-backup.txt
!!
[OK - 2345 bytes]

! Restaurer la configuration depuis un serveur TFTP
R1# copy tftp: running-config
Address or name of remote host []? 192.168.1.200
Source filename []? R1-running-config-backup.txt
Destination filename [running-config]? [Entree]

! Sauvegarder l'image IOS vers TFTP
R1# copy flash: tftp:
Source filename []? c2900-universalk9-mz.SPA.155-3.M.bin
Address or name of remote host []? 192.168.1.200
Destination filename [c2900-universalk9-mz.SPA.155-3.M.bin]? [Entree]

! Restaurer l'image IOS depuis TFTP
R1# copy tftp: flash:
Address or name of remote host []? 192.168.1.200
Source filename []? c2900-universalk9-mz.SPA.155-3.M.bin
Destination filename [c2900-universalk9-mz.SPA.155-3.M.bin]? [Entree]

16.3 Sauvegarde via FTP

! Configurer les identifiants FTP
R1(config)# ip ftp username admin
R1(config)# ip ftp password MonFTPpass123

! Sauvegarder vers un serveur FTP
R1# copy running-config ftp:
Address or name of remote host []? 192.168.1.200
Destination filename [r1-confg]? R1-backup.txt

! Restaurer depuis un serveur FTP
R1# copy ftp: running-config
Address or name of remote host []? 192.168.1.200
Source filename []? R1-backup.txt

16.4 Systeme d'archivage

! Configurer l'archivage automatique de la configuration
R1(config)# archive
R1(config-archive)# path flash:archive/R1-config
R1(config-archive)# maximum 10
R1(config-archive)# write-memory
R1(config-archive)# time-period 1440
R1(config-archive)# exit

! Sauvegarder manuellement dans les archives
R1# archive config

! Afficher les archives disponibles
R1# show archive

! Comparer la configuration active avec une archive
R1# show archive config differences flash:archive/R1-config-1
Attention : avant de mettre a jour l'image IOS, verifiez toujours que la memoire Flash dispose de suffisamment d'espace avec show flash:. Sauvegardez l'ancienne image IOS sur un serveur TFTP/FTP avant de la supprimer, pour pouvoir revenir en arriere en cas d'echec.

17. Depannage

17.1 Commandes show essentielles

Commande Description Usage
show running-config Configuration active en RAM Verifier la configuration actuelle
show startup-config Configuration sauvegardee en NVRAM Verifier ce qui est sauvegarde
show ip interface brief Resume des interfaces (IP, statut) Vue d'ensemble rapide
show interfaces Details complets des interfaces Erreurs, compteurs, vitesse/duplex
show ip route Table de routage Verifier les routes connues
show vlan brief VLANs et ports assignes Verifier l'assignation des VLANs
show interfaces trunk Liens trunk actifs Verifier les trunks et VLANs autorises
show spanning-tree Etat du Spanning Tree Identifier le root bridge et les ports bloques
show ip ospf neighbor Voisins OSPF Verifier les adjacences OSPF
show access-lists ACL configurees Verifier les regles de filtrage
show ip nat translations Traductions NAT actives Verifier les traductions NAT
show ip dhcp binding Baux DHCP actifs Verifier les attributions DHCP
show cdp neighbors Equipements Cisco voisins Decouvrir la topologie
show mac address-table Table d'adresses MAC Localiser un poste sur le reseau
show etherchannel summary Resume des EtherChannels Verifier l'etat des agrégations
show port-security Securite des ports Verifier les ports securises
show version Version IOS et materiel Identifier l'equipement et la version logicielle
show log Journal des evenements Consulter les messages syslog locaux

17.2 Outils de connectivite

! Ping standard
R1# ping 192.168.1.1

! Ping etendu (options avancees : source, taille, repetitions)
R1# ping
Protocol [ip]: ip
Target IP address: 192.168.2.1
Repeat count [5]: 10
Datagram size [100]: 1500
Timeout in seconds [2]: 3
Extended commands [n]: y
Source address or interface: 192.168.1.1
! ... (autres options)

! Traceroute (affiche le chemin vers la destination)
R1# traceroute 10.0.0.1

! Traceroute etendu (avec source specifique)
R1# traceroute
Protocol [ip]: ip
Target IP address: 10.0.0.1
Source address: 192.168.1.1

17.3 Decouverte des voisins (CDP et LLDP)

! CDP (Cisco Discovery Protocol) - proprietaire Cisco
R1# show cdp neighbors

! Exemple de sortie :
! Device ID    Local Intrfce   Holdtme   Capability  Platform    Port ID
! SW1          Gig 0/0          170       S I         WS-C2960   Fas 0/1
! R2           Gig 0/1          145       R S I       C2901      Gig 0/0

! Details complets des voisins CDP (inclut les adresses IP)
R1# show cdp neighbors detail

! Activer/Desactiver CDP globalement
R1(config)# cdp run
R1(config)# no cdp run

! Activer/Desactiver CDP sur une interface
R1(config-if)# cdp enable
R1(config-if)# no cdp enable

! LLDP (Link Layer Discovery Protocol) - standard IEEE 802.1AB
R1(config)# lldp run
R1# show lldp neighbors

17.4 Table des adresses MAC

! Afficher la table MAC complete
Switch# show mac address-table

! Chercher une adresse MAC specifique
Switch# show mac address-table address 00AA.BB11.2233

! Afficher les MAC d'un VLAN specifique
Switch# show mac address-table vlan 10

! Afficher les MAC d'une interface specifique
Switch# show mac address-table interface FastEthernet0/1

! Vider la table MAC (force le reapprentissage)
Switch# clear mac address-table dynamic

17.5 Commandes debug

! Les commandes debug affichent des informations en temps reel
! ATTENTION : elles consomment des ressources CPU, utiliser avec precaution

! Debug IP (tous les paquets IP)
R1# debug ip packet

! Debug OSPF
R1# debug ip ospf adj
R1# debug ip ospf events
R1# debug ip ospf hello

! Debug ICMP (ping)
R1# debug ip icmp

! Debug NAT
R1# debug ip nat

! Debug DHCP
R1# debug ip dhcp server events

! Desactiver un debug specifique
R1# undebug ip ospf adj

! DESACTIVER TOUS LES DEBUGS (commande la plus importante !)
R1# undebug all
! ou
R1# no debug all

! Limiter le debug avec des ACL
R1(config)# access-list 199 permit ip host 192.168.1.100 any
R1# debug ip packet 199
Attention : les commandes debug peuvent saturer le CPU d'un equipement en production, surtout debug ip packet ou debug all. Utilisez toujours des ACL pour limiter le debug au trafic qui vous interesse. Gardez toujours a portee de main la commande undebug all (ou le raccourci u all) pour tout arreter rapidement.

17.6 Processus de depannage methodique

! Etape 1 : Verifier la couche physique
R1# show ip interface brief
R1# show interfaces status

! Etape 2 : Verifier la couche 2 (VLANs, trunks, STP)
Switch# show vlan brief
Switch# show interfaces trunk
Switch# show spanning-tree
Switch# show mac address-table

! Etape 3 : Verifier la couche 3 (IP, routage)
R1# show ip interface brief
R1# show ip route
R1# ping [destination]
R1# traceroute [destination]

! Etape 4 : Verifier les ACL et le NAT
R1# show access-lists
R1# show ip nat translations
R1# show ip nat statistics

! Etape 5 : Verifier les protocoles de routage
R1# show ip ospf neighbor
R1# show ip route ospf
R1# show ip protocols

! Etape 6 : Consulter les logs
R1# show log
R1# show interfaces | include errors|CRC|drops
Astuce : approche de depannage bottom-up : commencez toujours par verifier les couches basses (physique, data link) avant les couches hautes (reseau, transport). Un cable debranche ou un VLAN mal configure explique souvent les problemes de connectivite IP. Verifiez aussi les bases : l'interface est-elle en no shutdown ? L'adresse IP et le masque sont-ils corrects ?