Guide Cisco IOS - Commandes et configuration

Cisco Systems est une entreprise informatique américaine spécialisée, à l’origine, dans le matériel réseau, et depuis 2009 dans les serveurs.

Cisco IOS, anciennement IOS (Internetwork Operating System), est le système d'exploitation produit par Cisco Systems et qui équipe la plupart de ses équipements.

Vous verrez ici comment configurer correctement les équipements réseaux équipé du système d'exploitation IOS.

Modes de configuration CLI

Les modes CLI (Command Line Interface) auxquels nous ferons référence ci-dessous sont les suivants:

Router> <- Mode d'exécution utilisateur (User EXEC Mode) Router # <- Mode d'exécution privilégié (Privileged EXEC mode) Router (config) # <- Mode de configuration global (Global Configuration Mode) Router (config-if) # <- Mode de configuration d'interfaces (Interface Configuration Mode) Router (config-line) # <- Mode de configuration de lignes (Line Configuration Mode)

Configurer les interfaces réseau

C'est une étape essentielle pour que votre routeur puisse transmettre des paquets sur le réseau. Le paramètre le plus fondamental pour une interface de routeur est l'adresse IP. À partir du mode de configuration globale, il faut entrer dans le mode de configuration d'interface:

Passer en mode d'exécution privilégié: (alias : en)

Router>enable

Entrer en mode de configuration globale à partir du mode d'exécution privilégié:

Router#config terminal

Configurer l'interface GigabitEthernet 0/0 (alias : int gig0/0)

Router(config)#interface GigabitEthernet 0/0

Attribuer une adresse IP à l'interface (ici, la connexion WAN)

Router(config-if)#ip address 200.200.200.2 255.255.255.252

Allumer l'interface (alias : no sh ; ne pas éteindre = allumer sur IOS)

Router(config-if)#no shutdown

Quitter un mode (alias : ex)

Router(config-if)#exit

Configurer l'interface GigabitEthernet 0/1 (ici, la passerelle du LAN)

Router(config)#interface GigabitEthernet 0/1
Router(config-if)#ip address 172.16.0.1 255.255.0.0
Router(config-if)#no shutdown
Router(config-if)#exit

Configurer le service DHCP

Un routeur Cisco peut être configuré en tant que serveur DHCP pour attribuer des adresses IP de manière dynamique aux hôtes internes. Nous devons d'abord créer un pool d'adresses IP qui seront utilisées pour les attribuer aux clients:

Configurer le pool DHCP pour attribuer des adresses aux hôtes internes

Router(config)#ip dhcp pool lan-pool

Configurer le réseau sur lequel les adresses doivent être distribuées

Router(dhcp-config)#network 172.16.0.0 255.255.0.0

Configurer la passerelle par défaut pour permettre aux hôtes de sortir du réseau

Router(dhcp-config)#default-router 172.16.0.1

Configurer le serveur DNS principal pour résoudre les noms de domaines en adresses IP

Router(dhcp-config)#dns-server 1.1.1.1

Il est aussi possible d'exclur les adresses IP que vous ne souhaitez pas attribuer en DHCP.

Exclure les premières adresses 1 à 50 :

Router(dhcp-config)#ip dhcp excluded-address 172.16.0.1 172.16.0.50

Configurer les mots de passe d'accès

La première étape consiste à sécuriser votre accès au routeur en configurant un mot de passe secret global ainsi que des mots de passe pour Telnet ou Console selon les besoins.

En mode de configuration globale, vous configurez les paramètres qui affectent l'ensemble du routeur. Ici, nous allons configurer le mot de passe dit enable secret que vous utiliserez désormais pour entrer en mode d'exécution privilégié à partir du mode d'exécution utilisateur.

Router(config)#enable secret <votremotdepasse>

Désormais, lorsque vous vous connectez depuis le mode EXEC utilisateur, un mot de passe vous sera demandé.

Entrer en configuration de lignes virtual teletype (vty) utilisé pour Telnet et aussi SSH.

0 4 veut dire qu'il y a 5 sessions simultanées qui peuvent avoir lieu; 0 15 = 16 sessions

Router(config)#line vty 0 4

Il est également suggéré de configurer un mot de passe pour les lignes VTY, se qui sécurisera votre accès lors de la connexion à distance.

Router(config-line)#password <motdepassevtyfort>

Activer la vérification du mot de passe lors de la connexion.

Routeur(config-line)#login 

Certaines personnes préfèrent créer également des comptes d'utilisateurs locaux (noms d'utilisateur et mots de passe) sur le routeur lui-même afin de s'authentifier auprès de l'appareil.

Configurer un nom d'hôte et un domaine

Pour différencier votre routeur des autres appareils du réseau, il faut configurer son nom d'hôte.

Router(config)#hostname Awoui-R01
Awoui-R01(config)#

Notez que l'invite de votre routeur passe au nouveau nom d'hôte que vous venez de définir.

Notamment pour la prise en main à distance il sera nécessaire d'associer le routeur à un domaine.

Awoui-R01(config)#ip domain-name awoui.fr

Afficher et enregistrer la configuration

Enregistrer la configuration en cours d'exécution (appelé running-config) dans la NVRAM permet de sauvegarder. Cela écrasera l'ancienne configuration de démarrage (appelé startup-config).

Quitter le mode de configuration (si nécessaire)

Awoui-R01(config)#exit

Copier la configuration en cours d'exécution vers la configuration de démarrage (Ecrasement)

Awoui-R01#copy running-config startup-config

Afficher la configuration actuelle pour vérifier les paramètres

Awoui-R01#show running-config

Lorsque vous émettez la commande « show running-configuration » sur le routeur, vous indiquez à l'appareil d'afficher la configuration en cours d'exécution dans la RAM. Lorsque vous émettez la commande « show startup-configuration », vous demandez au routeur d'afficher la configuration stockée dans la NVRAM.

Il est possible d'utiliser les commandes show depuis le mode de configuration grâce à l'argument do

Awoui-R01(config)#do show running-config

Types de mémoire du routeur

Un routeur Cisco dispose de quatre types de mémoire:

• ROM : c'est là que se trouve le script POST du routeur. Le logiciel POST (Power On Self Test) est utilisé lors du démarrage pour effectuer la vérification matérielle initiale du périphérique. La ROM contient également un mini-IOS utilisé pour la récupération de mot de passe.

• RAM : c'est là que se trouve la configuration en cours. Après le démarrage de l'appareil, le logiciel IOS est chargé dans la RAM. De plus, la RAM contient les tables de routage, les paramètres réseau pendant le fonctionnement, etc. Lors de la configuration du routeur, nous modifions en fait la configuration de fonctionnement qui, comme nous l'avons dit, est stockée dans la RAM

• NVRAM : Lorsque nous sauvegardons la configuration en cours (en utilisant la commande « write »), elle est stockée dans la NVRAM et devient la configuration de démarrage. Après le redémarrage du routeur, la configuration de démarrage est chargée à partir de la NVRAM.

• Flash : c'est comme le disque dur d'un PC. Il contient le fichier image du logiciel IOS et toutes les configurations de sauvegarde que vous pourriez enregistrer de temps en temps.

Comment se connecter à un routeur pour le configurer:

Vous pouvez vous connecter à un routeur Cisco IOS directement ou à distance. Pour la première fois lorsque l'appareil n'est pas encore configuré, vous vous connectez généralement directement avec un câble de console via le port CON.

La connexion par câble de la console est également appelée méthode de connexion «hors bande».

Après avoir configuré le routeur et attribué des adresses IP à ses interfaces, vous pouvez vous connecter au routeur à partir du réseau avec une méthode de connexion «intrabande» utilisant Telnet ou SSH . Notez cependant que Telnet utilise une communication en texte clair alors que SSH utilise un trafic crypté, donc SSH est préféré.

Générer la la paire de clé utilisés pour crypter la connexion

Awoui-R01(config)#crypto key generate rsa

The name for the keys will be: Awoui-R01.awoui.fr
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

Association du protocole SSH aux lignes virtuelles.

line vty 0 4 
transport input ssh
login local

Login local permet d'activer la vérification du mot de passe lors de la connexion mais cette fois en utilisant les comptes d'utilisateurs local.

Création d'un utilisateur local pour l'accès à distance

Awoui-R01(config)#username <monutilisateur> secret <motdepassefort>

Association du plus haut niveau de privilège (15) à l'utilisateur créé

Awoui-R01(config)#username <monutilisateur> privilege 15

Pour se connecter en SSH depuis un cmd sur un PC

ssh -l «monutilisateur» 172.16.0.1