Documente Academic
Documente Profesional
Documente Cultură
commutateurs
Topologie
Table d'adressage
Priphrique
Interface
Adresse IP
Masque de sous-rseau
R1
G0/1
172.16.99.1
255.255.255.0
N/A
S1
VLAN 99
172.16.99.11
255.255.255.0
172.16.99.1
PC-A
NIC
172.16.99.3
255.255.255.0
172.16.99.1
Objectifs
Partie 1 : configuration de la topologie et initialisation des priphriques
Partie 2 : configuration des paramtres du priphrique de base et vrification de la connectivit
Partie 3 : configuration et vrification de l'accs SSH sur S1
Contexte/scnario
Il est assez courant de verrouiller l'accs aux PC et aux serveurs, et d'y installer des fonctions de scurit
correctes. Il est important que les priphriques de votre infrastructure rseau, tels que les commutateurs et
les routeurs, soient galement configurs avec des fonctions de scurit.
Au cours de ces travaux pratiques, vous appliquerez quelques-unes des mthodes recommandes visant
configurer des fonctions de scurit sur des commutateurs LAN. Vous activerez exclusivement des sessions
SSH et HTTPS scurises. Vous configurerez et vrifierez galement la scurit des ports en vue de
verrouiller n'importe quel priphrique avec une adresse MAC non reconnue par le commutateur.
Remarque : le routeur utilis lors des travaux pratiques CCNA est un routeur services intgrs (ISR)
Cisco 1941 quip de Cisco IOS version 15.2(4)M3 (image universalk9). Le commutateur utilis est un
modle Cisco Catalyst 2960 quip de Cisco IOS version 15.0(2) (image lanbasek9). D'autres routeurs,
commutateurs et versions de Cisco IOS peuvent tre utiliss. Selon le modle et la version de Cisco IOS, les
commandes disponibles et le rsultat produit peuvent varier de ceux indiqus dans les travaux pratiques.
Reportez-vous au tableau rcapitulatif des interfaces de routeur la fin de ces travaux pratiques pour obtenir
les identifiants d'interface corrects.
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 1 / 10
Ressources requises
1 routeur (Cisco 1941 quip de Cisco IOS version 15.2(4)M3 image universelle ou similaire)
1 commutateur (Cisco 2960 quip de Cisco IOS version 15.0(2) image lanbasek9 ou similaire)
1 PC (Windows 7, Vista ou XP, quip d'un programme d'mulation du terminal tel que Tera Term)
Cbles de console pour configurer les priphriques Cisco IOS via les ports de console
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 2 / 10
j.
Attribuez cisco en tant que mots de passe de console et vty, puis activez la connexion.
s. Excutez la commande show ip interface brief sur S1. Quels sont l'tat et le protocole affichs de
l'interface VLAN 99 ? _______________________________________________
Remarque : il existe un dlai lorsque les tats des ports convergent.
partir de PC-A, envoyez une requte ping l'adresse de la passerelle par dfaut sur R1 ? Les requtes
ping ont-elles abouti ? ______________
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 3 / 10
partir de PC-A, envoyez une requte ping l'adresse de gestion de S1. Les requtes ping ont-elles
abouti ? ______________
u. partir de S1, envoyez une requte ping l'adresse de la passerelle par dfaut sur R1 ? Les requtes
ping ont-elles abouti ? ______________
v.
partir de PC-A, ouvrez un navigateur Web et accdez http://172.16.99.11. Si le systme vous invite
saisir un nom d'utilisateur et un mot de passe, laissez le champ du nom d'utilisateur vide et entrez class
comme mot de passe. Si le systme vous demande si vous voulez une connexion scurise, rpondez
Non. Avez-vous pu accder l'interface Web sur S1 ? ______________
a Activez SSH sur S1. partir du mode de configuration globale, crez un nom de domaine CCNALab.com.
S1(config)# ip domain-name CCNA-Lab.com
x. Crez une entre dans la base de donnes des utilisateurs locaux utiliser lors de la connexion au
commutateur par le biais de SSH. L'utilisateur doit possder un accs de niveau administrateur.
Remarque : le mot de passe utilis ici N'est PAS un mot de passe fort. Il est uniquement utilis pour les
besoins de ces travaux pratiques.
S1(config)# username admin privilege 15 secret sshadmin
y.
Configurez l'entre de transport de telle sorte que les lignes vty permettent uniquement les connexions
SSH et utilisez la base de donnes locale pour l'authentification.
S1(config)# line
S1(config-line)#
S1(config-line)#
S1(config-line)#
z.
vty 0 15
transport input ssh
login local
exit
S1(config)#
S1(config)# end
aa. Vrifiez la configuration SSH et rpondez aux questions ci-dessous.
S1# show ip ssh
Quelle version de SSH le commutateur utilise-t-il ? _______________________
Combien de tentatives d'authentification SSH permet-il ? _______________________
Quelle est la valeur par dfaut du dlai d'attente de SSH ? _______________________
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 4 / 10
l'aide d'un logiciel client SSH sur PC-A (par exemple Tera Term), ouvrez une connexion SSH avec S1. Si
vous recevez un message sur votre client SSH concernant la cl d'hte, acceptez-le. Connectez-vous en
utilisant le nom d'utilisateur admin et le mot de passe cisco.
La connexion a-t-elle russi ? _________________________
Quelle invite tait affiche sur S1 ? Pourquoi ?
____________________________________________________________________________________
____________________________________________________________________________________
a Configurez une bannire MOTD ( message of the day ou message du jour) sur S1 avec un message
d'avertissement de scurit appropri.
ac. Excutez une commande show ip interface brief sur S1. Quels ports physiques sont l'tat up ?
____________________________________________________________________________________
ad. Arrtez tous les ports physiques non utiliss sur le commutateur. Utilisez la commande interface range.
S1(config)# interface range f0/1 4
S1(config-if-range)# shutdown
S1(config-if-range)# interface range f0/7 24
S1(config-if-range)# shutdown
S1(config-if-range)# interface range g0/1 2
S1(config-if-range)# shutdown
S1(config-if-range)# end
S1#
ae. Excutez la commande show ip interface brief sur S1. Quel est l'tat des ports F0/1 F0/4 ?
____________________________________________________________________________________
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 5 / 10
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 6 / 10
:
:
:
:
:
:
:
:
:
:
:
:
Enabled
Secure-up
Shutdown
0 mins
Absolute
Disabled
1
1
1
0
0000.0000.0000:0
0
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 7 / 10
:
:
:
:
:
:
:
:
:
:
:
:
Enabled
Secure-shutdown
Shutdown
0 mins
Absolute
Disabled
1
1
1
0
aaaa.bbbb.cccc:99
1
at. Sur le routeur, arrtez l'interface G0/1, supprimez l'adresse MAC code en dur du routeur, puis ractivez
l'interface G0/1.
R1(config-if)# shutdown
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 8 / 10
ay. partir de l'invite de commande de R1, envoyez nouveau une requte ping PC-A. Cette nouvelle
requte ping devrait aboutir.
Remarques gnrales
1. Pourquoi activer la scurit des ports sur un commutateur ?
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Pourquoi les ports non utiliss sur un commutateur doivent-ils tre dsactivs ?
_______________________________________________________________________________________
_______________________________________________________________________________________
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 9 / 10
Interface Ethernet 1
Interface Ethernet 2
Interface srie 1
Interface srie 2
1800
1900
2801
2811
2900
Remarque : pour savoir comment le routeur est configur, observez les interfaces afin d'identifier le type de
routeur ainsi que le nombre d'interfaces qu'il comporte. Il n'est pas possible de rpertorier de faon exhaustive
toutes les combinaisons de configurations pour chaque type de routeur. Ce tableau inclut les identifiants des
combinaisons possibles des interfaces Ethernet et srie dans le priphrique. Ce tableau ne comporte aucun
autre type d'interface, mme si un routeur particulier peut en contenir un. L'exemple de l'interface RNIS BRI peut
illustrer ceci. La chane de caractres entre parenthses est l'abrviation normalise qui permet de reprsenter
l'interface dans les commandes de Cisco IOS.
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.
Page 10 / 10