Guide de configuration pour switch Cisco (3750)
Sommaire
1. Paramètres de base et services
Services de Base
version 15.0
no service pad
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
service password-encryption
service sequence-numbers
Ces commandes définissent la version du système d'exploitation (15.0), désactivent les services non nécessaires comme pad (Protocol Access Denied), et activent des timestamps pour les logs. Elles activent également le chiffrement des mots de passe (service password-encryption) et l'usage des numéros de séquence dans les logs (service sequence-numbers).
Nom de l'hôte et paramètres de démarrage
hostname CISCO-3750
boot-start-marker
boot-end-marker
logging buffered 16384
no logging console
no logging monitor
Ces lignes configurent le nom du switch (CISCO-3750) et les paramètres de log, en limitant la taille du buffer de logs à 16384 et en désactivant les logs sur la console et le moniteur.
2. Sécurité et Accès
Gestion des utilisateurs
username admin privilege 15 secret ********************
Crée un utilisateur admin avec un mot de passe chiffré, et un niveau de privilège de 15 (niveau maximum).
Désactivation de AAA et Configuration des horloges
no aaa new-model
clock timezone CET 1 0
clock summer-time CET recurring last Sun Mar 2:00 last Sun Oct 3:00
no aaa new-model désactive le modèle AAA pour l'authentification et l'autorisation. La commande clock timezone configure le fuseau horaire et l'heure d'été (CET).
SSH et Crypto
crypto pki trustpoint TP-self-signed-1191596800
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1191596800
rsakeypair TP-self-signed-1191596800
Ces lignes configurent un certificat auto-signé pour permettre des connexions SSH sécurisées.
3. VLANs et Interfaces
VLANs
vlan 10
name LAN-DATA
vlan 20
name LAN-VOIP
vlan 66
name LAN-ADMIN
vlan 100
name WIFI-INVITES
vlan 666
name POUBELLE
La configuration crée plusieurs VLANs (10 pour LAN-DATA, 20 pour LAN-VOIP, 66 pour LAN-ADMIN, etc.).
Configuration des interfaces
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
no shutdown
exit
FastEthernet0 se voit attribuer l'adresse IP 192.168.0.1 dans le sous-réseau 255.255.255.0. Le port est activé avec no shutdown.
interface range Gi1/0/1 - 46
description **** Prise x.y.z ****
switchport access vlan 10
switchport mode access
switchport voice vlan 20
storm-control action trap
no cdp enable
spanning-tree portfast
spanning-tree bpduguard enable
ip dhcp snooping limit rate 25
exit
Ici, une plage d'interfaces (Gi1/0/1 - 46) est configurée en mode access pour appartenir au VLAN 10, avec une VLAN de voix (20) et une limite de 25 requêtes DHCP par seconde. La protection contre les boucles de pont (bpduguard) est activée sur ces ports.
interface GigabitEthernet1/0/47
description **** WIFI ****
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 66
switchport trunk allowed vlan 1,10,66,100
switchport nonegotiate
logging event trunk-status
load-interval 30
mls qos trust dscp
priority-queue out
srr-queue bandwidth share 1 30 35 5
ip dhcp snooping trust
exit
L'interface GigabitEthernet1/0/47 est configurée en mode trunk pour transporter plusieurs VLANs et accepte un VLAN natif (66), avec des paramètres de QoS et de snooping DHCP.
Interface uplink (switch à swtich)
interface GigabitEthernet1/0/48
interface TenGigabitEthernet1/1/1
description **** Vers SW-CISCO-E2 ****
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10,20,66,100
switchport mode trunk
switchport nonegotiate
logging event trunk-status
logging event bundle-status
load-interval 30
srr-queue bandwidth share 1 30 35 5
priority-queue out
udld port
mls qos trust dscp
macro description EgressQoS
storm-control action trap
ip dhcp snooping trust
exit
L'interface GigabitEthernet1/0/48 et TenGigabitEthernet1/1/1 sont configurées pour se connecter à un autre switch (SW-CISCO-E2) avec un trunk utilisant dot1q et permettant les VLANs spécifiés. Elles sont également protégée avec la détection UDLD, la gestion de la QoS, et des mesures de contrôle de tempêtes.
4. Routage et DHCP
Routage IP
ip routing
ip route 0.0.0.0 0.0.0.0 172.16.1.254
Active le routage IP et définit une route par défaut (0.0.0.0 0.0.0.0) pointant vers 172.16.1.254.
DHCP Snooping
ip dhcp snooping
ip dhcp snooping limit rate 25
ip dhcp snooping trust
Le DHCP snooping est activé pour sécuriser les serveurs DHCP et limiter les attaques DHCP. Les ports de confiance sont spécifiés pour les relais DHCP.
5. QoS et Priorisation du Trafic
Configuration de QoS sur les interfaces
mls qos map policed-dscp 0 10 18 24 46 to 8
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue input bandwidth 70 30
Ces lignes configurent la gestion de la qualité de service (QoS) pour mapper les DSCP et CoS, et allouer des parts de bande passante aux différentes files d'attente en fonction des priorités.
6. Sécurisation et Protocoles
Protection contre les attaques de boucles et autres violations
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
Cette configuration permet de récupérer automatiquement des erreurs provoquées par des attaques de type UDLD (Unidirectional Link Detection), des violations de sécurité, ou des attaques BPDU (Bridge Protocol Data Units).
7. Accès SSH
Bannières d'accès
banner exec ^C
HOSTNAME: $(hostname).$(domain)
VTY LINE: $(line)
...
banner login ^C
***************************************
| |
||| |||
.|||||. .|||||.
.:|||||||||:..:|||||||||:.
C i s c o S y s t e m s
WARNING
Authorized personnel only
***************************************
^C
Une bannière est définie pour afficher un message de bienvenue et un avertissement concernant l'accès non autorisé. Cela s'applique lors des connexions SSH.
Accès aux lignes VTY
line vty 0 4
access-class 2 in
exec-timeout 30 0
login local
transport input ssh
Les lignes VTY (accès distant) sont sécurisées avec une ACL pour filtrer les accès, et l'accès est limité à SSH uniquement.
8. Autres Paramètres
Réservations de mémoire et NTP
memory reserve critical 4096
ntp source Vlan66
ntp server fr.pool.ntp.org prefer
Réservation de mémoire pour les processus critiques et configuration du serveur NTP pour synchroniser l'heure du switch.
Sauvegarde de la configuration
write memory
copy running-config startup-config
Ces commandes sauvegardent la configuration en cours dans la mémoire de démarrage pour qu'elle soit persistante après un redémarrage.