Commandes de base Cisco - Synaps Network Academy

Quel que soit le modèle ou la gamme (switch d'accès ou routeur d'agence), l'IOS Cisco repose sur un socle de commandes communes. Les maîtriser permet de prendre en main n'importe quel équipement en quelques minutes à peine. Voici les indispensables, dans l'ordre logique d'une première configuration.

Accès et identification

enable

Bascule du mode utilisateur (accès limité, lecture seule) vers le mode privilégié, qui donne accès à l'ensemble des commandes de visualisation et d'administration.

Switch> enable
Switch#

show running-config

Affiche la configuration actuellement active en mémoire RAM. C'est la commande de référence pour vérifier l'état réel d'un équipement à tout moment, son « instantané » à l'instant T.

Switch# show running-config

hostname

Attribue un nom à l'équipement, qui apparaît ensuite directement dans l'invite de commande. Indispensable dès qu'on administre plusieurs appareils, pour toujours savoir précisément où l'on se trouve.

Switch(config)# hostname SW-ACCES-01
SW-ACCES-01(config)#

banner motd

Définit un message affiché à toute personne tentant de se connecter : avertissement légal, information de maintenance... Le délimiteur choisi (ici #) marque le début et la fin du texte et ne doit donc pas apparaître dans le message lui-même.

SW-ACCES-01(config)# banner motd #
Accès réservé au personnel autorisé. Toute connexion est journalisée.
#

Sécuriser les accès

enable secret

Définit le mot de passe du mode privilégié, stocké sous forme chiffrée (contrairement à l'ancienne commande enable password, à proscrire). C'est la première ligne de défense de l'équipement.

SW-ACCES-01(config)# enable secret VotreMotDePasse

line console 0

Passe en mode de configuration de la ligne console pour y exiger un mot de passe à la connexion physique. La commande exec-timeout ferme automatiquement toute session restée inactive au-delà du délai indiqué.

SW-ACCES-01(config)# line console 0
SW-ACCES-01(config-line)# password VotreMotDePasse
SW-ACCES-01(config-line)# login
SW-ACCES-01(config-line)# exec-timeout 5 0

line vty 0 4

Configure les lignes de terminal virtuel utilisées pour l'administration à distance (Telnet/SSH). Sans mot de passe défini ici, l'IOS refuse par défaut toute connexion distante, un comportement volontaire qui empêche tout accès non sécurisé.

SW-ACCES-01(config)# line vty 0 4
SW-ACCES-01(config-line)# password VotreMotDePasse
SW-ACCES-01(config-line)# login
SW-ACCES-01(config-line)# transport input ssh

Configurer une interface

interface fastEthernet 0/0

Entre dans le mode de configuration d'une interface précise pour lui attribuer une adresse IP, une description, et l'activer. Par défaut, toutes les interfaces sont administrativement désactivées : la commande no shutdown est donc systématiquement requise.

SW-ACCES-01(config)# interface fastEthernet 0/0
SW-ACCES-01(config-if)# description Lien vers le cœur de réseau
SW-ACCES-01(config-if)# ip address 192.168.10.2 255.255.255.0
SW-ACCES-01(config-if)# no shutdown

Gérer les fichiers de configuration

copy running-config startup-config

Sauvegarde la configuration active (RAM, volatile) vers la configuration de démarrage (NVRAM, persistante). Une étape à ne jamais oublier : sans elle, toute modification est perdue au prochain redémarrage. Le raccourci write memory (ou wr) produit exactement le même résultat.

SW-ACCES-01# copy running-config startup-config
Destination filename [startup-config]? [Entrée]
Building configuration...
[OK]

erase startup-config

Efface la configuration de démarrage stockée en NVRAM, utile pour remettre un équipement à zéro avant de le réaffecter. Associée à un reload, elle permet de repartir sur une configuration totalement vierge : le routeur démarre alors en mode setup.

SW-ACCES-01# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [Entrée]
[OK]
Erase of nvram: complete

SW-ACCES-01# reload

Pour finir : une configuration complète

Voici à quoi ressemble la sortie de show running-config une fois l'ensemble de ces commandes appliquées : un condensé de tout ce qui précède, dans un seul fichier texte lisible et modifiable.

Building configuration...
Current configuration : 671 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SW-ACCES-01
!
enable secret 5 $1$mERr$9cTjUIEqNGurQiFU.ZeCi1
!
! Bannière affichée à la connexion
banner motd ^C Accès réservé au personnel autorisé ^C
!
interface FastEthernet0/0
 description Lien vers le cœur de réseau
 ip address 192.168.10.2 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 ip address 192.168.10.2 255.255.255.0
!
! Sécurisation de l'accès local
line con 0
 password 7 0822455D0A16
 login
 exec-timeout 5 0
!
! Sécurisation de l'accès distant
line vty 0 4
 password 7 0822455D0A16
 login
 transport input ssh
!
end

On y retrouve, dans l'ordre : l'identité de l'équipement, son mot de passe d'administration chiffré, sa bannière de connexion, la configuration de son interface réseau, et la sécurisation de ses deux points d'accès : local (console) et distant (VTY). Une lecture attentive de ce fichier suffit, la plupart du temps, à comprendre entièrement le rôle et l'état d'un équipement.