====== Configuration initiale d'un commutateur Cisco 2960 ======
===== Présentation =====
Vous devez effectuer une configuration de base du commutateur Cisco 2960 pour :
* Vérifier la configuration par défaut du commutateur
* Créer une configuration de base commutateur :
* définir le nom du commutateur ;
* Configurez une bannière MOTD ;
* Sécuriser l'accès à l'interface en ligne de commande (CLI) et aux ports de console à l'aide de mots de passe chiffrés ;
* Enregistrer les fichiers de configuration dans la mémoire NVRAM.
===== Mise en route du commutateur =====
* Reliez votre PC avec un câble pour console au port console du commutateur.
Il peut nécessaire d'installer le **pilote** du câble série. Un** port COM est ajouté** à votre environnement Windows et vous pouvez visualiser son nom dans le **gestionnaire de périphériques**.
* Lien de téléchargement du pilote pour le câble Série-USB Prolific : https://www.aten.com/global/en/products/release-note/?action=release_note&type=driver&eid=703
* Lien de téléchargement du pilote pour le câble Série-USB Benfei : https://think-benfei.com/driver/CDM%20v2.12.00_WHQL_Certified.exe
* https://www.think-benfei.com/driver/CDM%20v2.12.00%20WHQL%20Certified.exe
* mettez sous tension le commutateur et attendez quelques secondes que la led SYS ne clignote plus.
* lancez le logiciel PuTTY et configurez une liaison série avec le nom du port COM lié à au câble console.
{{ :bloc2:putty_serie_01.png |}}
* ouvrez la connexion et tapez sur la touche Entrée ;
* Au message **"Would you like to enter the initial configuration dialog? [yes/no] :"** choisissez **n** et validez
* Visualisez la version de l'image IOS du commutateur
Switch>
Switch> show version
===== Réinitialisation du commutateur (avant toute nouvelle configuration) =====
* Appuyez sur le bouton Mode et maintenez-le enfoncé : les voyants LED du commutateur commencent à clignoter après 3 secondes.
* Maintenez toujours le bouton Mode enfoncé. Les DEL cessent de clignoter après 7 secondes supplémentaires, puis le commutateur redémarre.
Le commutateur est maintenant réinitialisé.
Autre méthode : https://linux-note.com/cisco-reinitialiser-un-switch-cisco-2960-aux-reglages-dusine-par-defaut/
===== Configuration de l'heure =====
* visualisez les paramètres actuels de l'horloge
Switch> show clock
* Configurez l'horloge après être passé en mode d'exécution privilégié
Switch> enable
Switch# clock set 15:00:00 25 jan 2021
===== Visualisez la configuration courante du commutateur =====
Le commutateur gère deux systèmes de fichiers :
* le ficher **startup-config** qui est enregistré dans la NVRAM et est utilisé au démarrage. Le contenu de ce fichier est gardé lors de l'arrêt du commutateur ;
* le fichier **running-config** est en mémoire vive (RAM) et reflète la configuration actuelle qui affecte immédiatement le périphérique. Son contenu est perdu à l’arrêt du commutateur.
Switch# show running-config
* quel est le nom du commutateur (hostname) ?
* Combien d'interfaces FastEthernet le commutateur possède-t-il ?
* Combien d'interfaces Gigabit Ethernet le commutateur possède-t-il ?
===== Définir le nom du commutateur =====
Pour modifier la configuration du commutateur, il est nécessaire de passer en mode de configuration globale, mode qui affecte le fonctionnement du commutateur dans son ensemble.
Le nom de commutateur Cisco 2960 doit respecter la règle suivante :
* nom qui commence par B513-Cisco2960-
* suivi d'un numéro à 2 chiffres
Exemple : B513-Cisco2960-01
Switch# configure terminal
Switch(config)# hostmane B513-Cisco2960-01
B513-Cisco2960-01(config)# exit
B513-Cisco2960-01#
===== Sécuriser l'accès à la ligne console =====
* Accédez au mode config-line et définissez le mot de passe P@$$word1
B513-Cisco2960-01# configure terminal
B513-Cisco2960-01(config)# line console 0
B513-Cisco2960-01(config-line)# password P@$$word1
B513-Cisco2960-01(config-line)# login
B513-Cisco2960-01(config-line)# exit
B513-Cisco2960-01(config)# exit
B513-Cisco2960-01#
La commande login est nécessaire pour activer le mot de passe
Quittez le mode privilégié pour vérifier que le mot de passe de port de console est actif.
B513-Cisco2960-01# exit
===== Sécuriser l'accès au mode privilégié. =====
* Accédez au mode d'exécution privilégié et définissez le mot de passe P@$$word1
B513-Cisco2960-01> enable
B513-Cisco2960-01# configure terminal
B513-Cisco2960-01(config)# enable password Bt$$!o
B513-Cisco2960-01(config)# exit
B513-Cisco2960-01#
Quittez le mode privilégié pour vérifier que le mot de passe d'accès à ce mode est actif.
B513-Cisco2960-01# exit
Il y a maintenant 2 mots de passe à saisir :
* un premier mot de passe pour accéder à la console ( configuré pour line con 0) et qui permet d'accéder revenir au mode d'exécution utilisateur.
* un deuxième mot de passe pour accéder au mode d'exécution privilégié.
Vérifiez votre configuration en examinant le contenu du fichier de configuration en cours:
B513-Cisco2960-01# show running-config
Les mots de passe de console et d'activation (enable) sont tous deux** en clair** ce qui constitue un **risque de sécurité** si quelqu'un accède aux fichiers de configuration stockés dans un emplacement de sauvegarde par exemple.
IL est conseillé de chiffrer ces mots de passe
===== Configurez un mot de passe chiffré pour sécuriser l'accès au mode privilégié. =====
Le mot de passe d'activation enable password doit être remplacé par le mot de passe secret chiffré plus récent à l'aide de la commande enable secret . Définissez itsasecret en tant que mot de passe secret actif.
B513-Cisco2960-01# configure terminal
B513-Cisco2960-01(config)# enable secret Bt$$!o2020
B513-Cisco2960-01(config)# exit
B513-Cisco2960-01#
**Remarque**: le mot de passe chiffré doit maintenant être obligatoirement utilisé même si le mot de passe non chiffré a été défini.
===== Chiffrez les mots de passe d'accès console et d'accès au mode d'exécution privilégié =====
Les deux autres mots de passe ne sont pas chiffré, celui nécessaire à l'accès à la console et le mot de passe secret actif (enable secret) a été chiffré. Il est important de les chiffrer également.
B513-Cisco2960-01# configure terminal
B513-Cisco2960-01(config)# service password-encryption
B513-Cisco2960-01(config)# exit
Vérifiez que tous les mots de passe sont chiffrés en examinant votre configuration pour le fichier de configuration en cours:
B513-Cisco2960-01# show running-config
===== Configurer une bannière MOTD (message of the day). =====
Lors de la création de la bannière il est nécesaier de choisir un délimiteur pour le message.
B513-Cisco2960-01# configure terminal
B513-Cisco2960-01(config)# banner motd "Acces autorise pour les étudiants et enseignants du BTS SIO seulement !"
B513-Cisco2960-01(config)# exit
===== Enregistrer les fichiers de configuration dans la mémoire NVRAM =====
* Vérifiez tout d'abord que la configuration est correcte à l'aide de la commande show run.
B513-Cisco2960-01# copy running-config startup-config
===== Configuration de l'accès à distance=====
Ce commutateur de couche 2 possèdent des ports RJ45 qui ne prennent pas en charge les adresses IP. Pour que le commutateur soit administrable à distance avec une adresse IP, le commutateur utilise des interfaces de commutateur virtuelle (SVI). Par défaut, le commutateur dispose par défaut d’une interface SVI dans le VLAN 1.
La configuration d'une interface de commutateur virtuelle pour le VLAN 1 se fait de la manière suivante
B513-Cisco2960-01# conf t
B513-Cisco2960-01(config)# interface vlan 1
B513-Cisco2960-01(config-if)# ip address aaa.bbb.ccc.ddd 255.255.255.0
B513-Cisco2960-01(config-if)# no shutdown => pour activer l’interface
B513-Cisco2960-01(config)# exit
B513-Cisco2960-01(config)# ip default-gateway aaa.bbb.ccc.eee
La commande **no shutdown** permet d'activer l’interface virtuelle
Pour afficher l'adresse IP et l'état de tous les ports et interfaces :
B513-Cisco2960-01# show ip interface brief
===== Configuration d'un accès distant avec Telnet (déconseillé) =====
* Configurez le terminal virtuel pour utiliser l'authentification locale et autoriser l'accès à distance Telnet.
B513-Cisco2960-01(config)# line vty 0 4
B513-Cisco2960-01(config)# password btssio
B513-Cisco2960-01(config)# login
B513-Cisco2960-01(config)# transport input telnet
B513-Cisco2960-01(config)# exit
Switch(config)# exit
La commande **line vty 0** active Telnet pour une seule session.
Il est nécessaire qu'un mot de passe existe pour l'accès au mode d'exécution privilégié (enable).
===== Configuration d'un accès distant avec SSH (conseillé) =====
* Création d'un domaine et d'un compte utilisateur btssio (mot de passe btssio) :
B513-Cisco2960-01(config)# ip domain-name 0870019y.lan
B513-Cisco2960-01(config)#username btssio password btssio
B513-Cisco2960-01(config)#
* génération d'un paire de clés SSH (choisissez lune longueur de clé de 1024 bits) :
B513-Cisco2960-01(config)# crypto key generate rsa
* activer la version ssh 2
B513-Cisco2960-01(config)# ip ssh version 2
B513-Cisco2960-01(config)#ip ssh time-out 50
B513-Cisco2960-01(config)#ip ssh authentication-retries 5
* activer l'accès sur la ligne 0 te le protocole
B513-Cisco2960-01(config)# line vty 0 4
B513-Cisco2960-01(config-line)# transport input ssh
B513-Cisco2960-01(config-line)# login local
B513-Cisco2960-01(config-line)# logging synchronous
B513-Cisco2960-01(config-line)# exit
===== Réinitialisation du commutateur (en cas de besoin) =====
* Appuyez sur le bouton Mode et maintenez-le enfoncé : les voyants LED du commutateur commencent à clignoter après 3 secondes.
* Maintenez toujours le bouton Mode enfoncé. Les DEL cessent de clignoter après 7 secondes supplémentaires, puis le commutateur redémarre.
Le commutateur est maintenant réinitialisé.
Autre méthode : https://linux-note.com/cisco-reinitialiser-un-switch-cisco-2960-aux-reglages-dusine-par-defaut/
===== Revenir au sommaire du Bloc 2 =====
* [[bloc2:accueil|Bloc2]]