Ce guide décrit la gestion de base pour les switches Cisco (séries 2950, 2960, 9200, etc.).
Note : Une connexion console (port série COM:) est requise pour la configuration initiale.
L'IOS utilise une hiérarchie de modes. Il faut "monter" de niveau pour configurer.
| Mode | Invite (Prompt) | Commande | Description |
|---|---|---|---|
| Utilisateur | Switch> |
(Boot) | Consultation basique, tests de connectivité (ping). |
| Privilégié | Switch# |
enable |
Diagnostic complet, sauvegarde et gestion. |
| Configuration | Switch(config)# |
conf t |
Modification des paramètres globaux. |
| Interface | Switch(config-if)# |
interface [nom] |
Configuration spécifique d'un port ou VLAN. |
Astuces :
exit : Revenir au mode précédent.end ou Ctrl+Z : Revenir directement au mode Privilégié (#).Switch# erase startup-config
Switch# delete flash:vlan.dat ! Supprime la base de données VLAN
Switch# reload
⚠️ Appuyez sur Entrée pour confirmer chaque étape. Ne sauvegardez pas si le switch le demande avant de redémarrer.
méthode à valider (essais peu concluants parfois)
switch:, tapez :switch: flash_init
switch: rename flash:config.text flash:config.text.old
switch: boot
no Ă la question de configuration automatique.Switch# delete flash:config.text.old
Switch# delete flash:vlan.dat
Switch# reload
Ă€ faire en mode Configuration Globale (avec
conf t)
hostname SW-PROD-01 ! Nom du switch
enable secret MonMotDePasse ! Mot de passe mode privilégié (chiffré)
service password-encryption ! Chiffre les mots de passe de la config
no ip domain-lookup ! Évite les blocages sur erreur de frappe
banner motd # ACCES PRIVE # ! Message d'avertissement
hostname SW-PROD-01 :
Switch> Ă SW-PROD-01>.enable secret MonMotDePasse :
enable password, la version secret utilise un hachage fort (type MD5 ou SHA), rendant le mot de passe illisible dans le fichier de configuration.service password-encryption :
no ip domain-lookup :
banner motd # ACCES PRIVE # :
line con 0
password MotDePasseConsole
login
logging synchronous ! Évite que les logs coupent votre saisie
exec-timeout 5 0 ! Déconnexion après 5 min d'inactivité
exit
line con 0 :
password MotDePasseConsole :
service password-encryption est actif (vu précédemment), ce mot de passe sera masqué dans la configuration.login :
logging synchronous :
exec-timeout 5 0 :
Voici un complément de configuration pour permettre une gestion à distance sécurisée (Layer 3).
username Administrateur privilege 15 secret MonMotDePasseUser
ip default-gateway 192.168.1.254
interface vlan 1
ip address 192.168.1.10 255.255.255.0
no shutdown
exit
ip domain-name monentreprise.fr
crypto key generate rsa ! Choisir 1024 ou 2048 bits
line vty 0 15 ! Configuration des accès virtuels
transport input ssh ! Force le protocole SSH uniquement
login local ! Vérifie l'utilisateur créé plus haut
exit
username Administrateur privilege 15 secret ... :
enable). NB : cet identifiant est sensible Ă la casse.ip default-gateway 192.168.1.254 :
interface vlan 1 / ip address ... / no shutdown :
line vty 0 15 :
line vty 0 4 par exemple, seules 5 personnes pourraient se connecter en mĂŞme temps.login local :
username.SSH : Le switch ne vous autorisera pas à générer les clés RSA (
crypto key generate rsa) si vous n'avez pas d'abord défini un hostname et un ip domain-name. SSH utilise ces deux informations pour identifier l'hôte de manière unique.
Sur un équipement Cisco, la configuration que vous tapez est stockée en RAM (volatile). Pour qu'elle survive à un redémarrage, il faut la copier dans la NVRAM (non-volatile).
copy running-config startup-config ! La commande officielle et complète
! OU
copy run start ! la même, en version abrégée
! OU
write ! La version courte (historique mais efficace)
! OU
wr ! L'abréviation ultra-rapide
copy running-config startup-config :
Running-config : C'est ce qui tourne "en direct". Si vous Ă©teignez sans sauvegarder, tout est perdu.
Startup-config : C'est le fichier chargé par le switch lors de son allumage.
write (ou wr) :
Avant de figer la configuration, on peut vérifier ce qui a été fait avec ces commandes :
show running-config : Affiche la configuration actuelle en RAM.show ip interface brief : Vérifie l'état des interfaces et de l'IP en un coup d'œil.show vlan brief : Vérifie l'état des VLANs.show version : Affiche le temps d'utilisation (uptime), le modèle et le registre de configuration.vlan 10
name SERVEURS
vlan 20
name UTILISATEURS
! Configuration d'un port unique
interface GigabitEthernet 0/1
switchport mode access
switchport access vlan 20
! Configuration d'une plage de ports (Interface Range)
interface range GigabitEthernet 0/2 - 12
switchport mode access
switchport access vlan 20
interface GigabitEthernet 0/24
! switchport trunk encapsulation dot1q <-- Uniquement sur anciens modèles L3
switchport mode trunk ! par défaut, tous les VLAN sont portés
switchport trunk allowed vlan 10,20 ! Optionnel : limite les VLANs
switchport trunk allowed vlan add 30 ! ajouter un VLAN
S'applique uniquement sur les ports en mode access.
interface range GigabitEthernet 0/1 - 10
switchport mode access
switchport port-security
switchport port-security maximum 2 ! Max 2 adresses MAC
switchport port-security mac-address sticky ! Mémorise l'adresse branchée
switchport port-security violation shutdown ! Coupe le port en cas d'alerte
Réactiver un port bloqué (err-disabled) :
interface GigabitEthernet 0/5
shutdown
no shutdown
| Commande | Usage principal |
|---|---|
show ip int brief |
VĂ©rifier rapidement si les ports sont up/up et l'IP de gestion. |
show vlan brief |
VĂ©rifier que les ports sont dans les bons VLANs. |
show int trunk |
VĂ©rifier si la liaison avec le routeur ou un autre switch fonctionne. |
show port-security |
Voir si des ports sont bloqués à cause d'une intrusion. |
show run |
VĂ©rifier toute la configuration en cours. |
wr ou copy run start |
SAUVEGARDER avant de quitter. |