Initiation au CLI Cisco1. Introduction

1.1. Prérequis1.2. Matériel1.3. Topologie1.4. Plan d’adressage1.5. Objectif1.6. Services à mettre en oeuvre

2. Méthode Cisco CLI2.1. Passage en mode privilège2.2. Passage en mode de configuration globale2.3. Configuration d’une interface2.4. Passage aux modes inférieurs2.5. Aide, auto­complétion, historique, raccourcis

3. Configuration du routeur3.1. Configurer globale

1. Configuration du nom du périphérique2. Configuration du mot de passe privilège3. Encryption automatique de tous les mots de passe4. Créer un compte d’administration5. Configurer et sécuriser SSH

5.1. Donner un nom de domaine au périphérique5.2. Générer une clé RSA d’une certaine longueur5.3. Activer le protocole dans les lignes virtuelles (VTY) et indiquer la base dedonnée locale pour l’authentification

[Configurer NTP][Configurer SNMP]

3.2. Configurer l’interface LAN3.3. Configurer l’interface WAN3.4. Configurer le NAT/PAT3.5. Activer et configurer le routage3.6. Activer un scope DHCP IPv4[Configurer le pare­feu]

4. Enregistrement de la configuration5. Diagnostic

5.1. A partir de gateway en IPv4/IPv65.2. A partir du PC en IPv4/IPv65.3. Questions

6. Fichiers de Configuration6.1. Configuration Gateway6.2. Fichier configuration du routeur ISP

Ce document  de goffinet@goffinet.eu est mise à disposition selon les termes de la licence Creative CommonsAttribution ­ Partage dans les Mêmes Conditions 2.0 Belgique. 1/8

1. IntroductionCet exercice pratique d’une durée d’une à deux heures est un initiation à la ligne de commandeCisco IOS. L’approche d’apprentissage se conçoit ici à partir d’un routeur Cisco.

1.1. PrérequisModèles OSI et TCP/IP, protocoles IPv4 et IPv6, ARP, ICMP, ICMPv6, DNS, DHCP, DHCPv6.

1.2. MatérielUne topologie PT reproduisible en GNS3, VMWare, VirtualBox, GNU Linux/BSD.Fichier PT : voir partage.

1.3. Topologie

1.4. Plan d’adressage

Zone Plage Périphériques

LAN IPv4 192.168.1.0/24 PC0 : DHCPGateway F0/0 :192.168.1.254/24

LAN IPv6 2001:6f8:14d6::/64 PC0 : SLAACGateway F0/0 :2001:6f8:14d6::1/64

WAN IPv4 195.238.2.20/30 Gateway F0/1 :195.238.2.21/30www.google.com : 8.8.8.8

WAN IPv6 2001:db8::/64 Gateway F0/1 : 2001:db8::1/64www.google.com :

Ce document  de goffinet@goffinet.eu est mise à disposition selon les termes de la licence Creative CommonsAttribution ­ Partage dans les Mêmes Conditions 2.0 Belgique. 2/8

2001:4860:4860:8888

1.5. ObjectifSur un LAN PME, activer une passerelle  IPv4/IPv6 dénommée “Gateway”  avec un service derésolution de nom et DHCP IPv4. Par défault, le routeur met en place le mécanisme SLAAC IPv6.Les étapes entre crochets ne sont pas indispensables à l’établissement de la connectivité. Elles nesont pas nécessairement documentées ici.

1.6. Services à mettre en oeuvre● Connectivité LAN/WAN IPv4● Connectivité LAN/WAN IPv6● SSH, [NTP],  [SNMP]● Routage statique par défaut● DHCPv4 avec DNS● SLAAC● [Firewall]

2. Méthode Cisco CLIOn se base sur l’invite pour se situer dans un mode. Il faut les droits d’administration (privilège)pour exécuter des tâches de diagnostic ou de gestion. Toutes les commandes de configuration dela machine s’exécutent en mode de configuration globale.

2.1. Passage en mode privilège>enable#

2.2. Passage en mode de configuration globale#configure terminal(config)#

2.3. Configuration d’une interface(config)#interface FastEthernet 0/0(config­if)#

2.4. Passage aux modes inférieurs(config­if)#exit(config)#exit#

Ce document  de goffinet@goffinet.eu est mise à disposition selon les termes de la licence Creative CommonsAttribution ­ Partage dans les Mêmes Conditions 2.0 Belgique. 3/8

2.5. Aide, auto­complétion, historique, raccourcis● Une aide est accessible via le point d’interrogation.● Les commandes s’auto­complètent avec la touche de tabulation.● L’environnement indique l’endroit d’une erreur.● Les commandes s’abrègent si il n’y pas d’ambiguïté.● En cas d’ambiguïté, l’environnement propose les choix.● Par défaut les logs apparaissent dans la console, pas en terminal distant.● raccourcis clavier : on peut faire défiler l’historique des commandes avec les flèches du

haut et du bas, on peut revenir au mode privilège directement (CTRL­Z), etc.● La commande do permet d’exécuter une commande du mode privilège dans un autre

mode.

3. Configuration du routeurAccès à la console du routeur, éventuellement après la procédure password recovery.

3.1. Configurer globaleToutes les commandes de configuration s’exécute ici en mode de configuration globale(config)#.

1. Configuration du nom du périphériquehostname gateway

2. Configuration du mot de passe privilègeenable secret my_secret

3. Encryption automatique de tous les mots de passeservice password­encryption

4. Créer un compte d’administrationusername admin secret my_other_secret

5. Configurer et sécuriser SSH

5.1. Donner un nom de domaine au périphériqueip domain­name mon.lan

5.2. Générer une clé RSA d’une certaine longueur(config)#crypto key generate rsaThe name for the keys will be: Gateway.mon.lanChoose the size of the key modulus in the range of 360 to 2048 for your  General Purpose Keys. Choosing a key modulus greater than 512 maytake  a few minutes.Ce document  de goffinet@goffinet.eu est mise à disposition selon les termes de la licence Creative CommonsAttribution ­ Partage dans les Mêmes Conditions 2.0 Belgique. 4/8

How many bits in the modulus [512]: 1024% Generating 1024 bit RSA keys, keys will be non­exportable...[OK]

5.3. Activer le protocole dans les lignes virtuelles (VTY) et indiquer la base de donnée locale pourl’authentification(config)#line vty 0 4(config­line)#transport input ssh(config­line)#login local

[Configurer NTP]

[Configurer SNMP]

Ce document  de goffinet@goffinet.eu est mise à disposition selon les termes de la licence Creative CommonsAttribution ­ Partage dans les Mêmes Conditions 2.0 Belgique. 5/8

3.2. Configurer l’interface LANConfiguration de l’interface IPv4/IPv6. Activation du NAT. Montage de l’interface.

interface FastEthernet0/0 ip address 192.168.1.254 255.255.255.0 ipv6 add 2001:6f8:14d6::1/64 ipv6 enable ip nat inside no shutdown

3.3. Configurer l’interface WANConfiguration de l’interface IPv4/IPv6. Activation du NAT. Montage de l’interface.

interface FastEthernet0/1ip address 195.238.2.21 255.255.255.252ipv6 add 2001:db8::1/64ipv6 enableip nat outsideno shutdown

3.4. Configurer le NAT/PATACL identifiant le trafic à traduire. Conception de la règle NAT.

access­list 1 permit 192.168.1.0 0.0.0.255ip nat inside source list 1 interface FastEthernet0/1 overload

3.5. Activer et configurer le routageRoute statique par défaut IPv4. Activation du routage IPv6. Route statique par défaut IPv6.

ip route 0.0.0.0 0.0.0.0 195.238.2.22ipv6 unicast­routingipv6 route ::/0 2001:db8::2

3.6. Activer un scope DHCP IPv4Activation du service DHCP IPv6.

ip dhcp pool GWnetwork 192.168.1.0 255.255.255.0default­router 192.168.1.254dns­server 8.8.8.8

Ce document  de goffinet@goffinet.eu est mise à disposition selon les termes de la licence Creative CommonsAttribution ­ Partage dans les Mêmes Conditions 2.0 Belgique. 6/8

[Configurer le pare­feu]

4. Enregistrement de la configuration#copy running­config startup­config#show running­configVeuillez lancer le PC et configurer son interfaces en DHCP IPv4 et autoconfiguration IPv6

5. Diagnostic

5.1. A partir de gateway en IPv4/IPv6show interface f0/0 → diagnostic avancé sur les erreursshow [ip | ipv6] interface brief → diagnostic interface/line protocolshow [ip | ipv6] interface f0/0 → diagnostic sur ICMP/ARPshow [ip | ipv6] route → visualise la table de routageping [ipv6] → test de connectivitétracert [ipv6] → test d’un chemin de bout en bout

● sur les adresses locales, sur la passerelle, sur le serveur DNS en IPv4● sur les adresses link­local, de la passerelle, sur le serveur DNS en IPv6 (show ipv6 …)

5.2. A partir du PC en IPv4/IPv6ipconfig, ping, tracertsur les adresses locales, sur la passerelle, sur le serveur DNS en IPv4sur les adresses link­local, de la passerelle, sur le serveur DNS en IPv6sur le nom www.google.com

5.3. QuestionsVeuillez répondre à ces questions (en justifiant de la commande utilisée).

1. Que signifie les termes “Status” et “Protocol” à propos d’une interface Cisco ?2. Quel est le MTU de l’interface F0/0 de gateway ?3. Quelles sont les statistiques concernant les erreurs de protocole de couche liaison de

données (couche 2) ?4. Quelle est l’encapsulation utilisée par l’interface f0/1 de Gateway ?5. Quelle est l’adresse de la passerelle de Gateway ?6. Quelle est l’adresse de la passerelle du PC ?7. Comment visualiser le trajet des paquets IPv4 à partir du PC ?8. Sur Gateway, comment vérifier la traduction NAT/PAT ?9. Sur Gateway, comment vérifier l’attribution d’un bail DHCP ?10. Veuillez capturer et détailler le trafic qui permet l’autoconfiguration IPv6.11. Veuillez activer DHCPv6 et configurer les RA en conséquence.12. Quelles sont les commandes de diagnostic propres à Windows en IPv6.13. Veuillez Configurer le pare­feu et le service SNMP

Ce document  de goffinet@goffinet.eu est mise à disposition selon les termes de la licence Creative CommonsAttribution ­ Partage dans les Mêmes Conditions 2.0 Belgique. 7/8

6. Fichiers de Configuration

6.1. Configuration Gateway

6.2. Fichier configuration du routeur ISP! version avec serveur DNShostname ISP!ipv6 unicast­routing!interface FastEthernet0/0 ip address 8.8.8.1 255.255.255.0 ipv6 address 2001:4860:4860::1/64 ipv6 enable no shutdown!interface FastEthernet0/1 ip address 195.238.2.22 255.255.255.252 ipv6 address 2001:DB8::2/64 ipv6 enable no shutdown!ip route 0.0.0.0 0.0.0.0 195.238.2.21ipv6 route ::/0 2001:DB8::1!end

Ce document  de goffinet@goffinet.eu est mise à disposition selon les termes de la licence Creative CommonsAttribution ­ Partage dans les Mêmes Conditions 2.0 Belgique. 8/8