« Configuration de base - commutateur cisco » : différence entre les versions
De Wiki doc
m (Ycharbi a déplacé la page Configuration de base - commutateur vers Configuration de base - commutateur cisco sans laisser de redirection : Précision) |
(Aération du code + Ajout astuce de connexion SSH + ajout section "Message d'accueil".) |
||
| Ligne 1 : | Ligne 1 : | ||
[[Category:Cisco]] | [[Category:Cisco]] | ||
Ce document décrit la configuration de base d'un commutateur Cisco afin d'avoir une sécurité et une base de travail convenable. | Ce document décrit la configuration de base d'un commutateur Cisco afin d'avoir une sécurité et une base de travail convenable. | ||
{{info|Pour entrer ces commandes, il est nécessaire de rentrer en mode configuration via la commande '''conf t''' en mode | {{info|Pour entrer ces commandes, il est nécessaire de rentrer en mode configuration via la commande '''conf t''' en mode privilège.}} | ||
=Désactivation des protocoles non nécessaires= | =Désactivation des protocoles non nécessaires= | ||
no ip domain-lookup | no ip domain-lookup | ||
| Ligne 14 : | Ligne 15 : | ||
no service dhcp | no service dhcp | ||
no service password-recovery | no service password-recovery | ||
=Eteindre l'interface VLAN1= | =Eteindre l'interface VLAN1= | ||
Ceci évite aux machines hors des Vlans de pouvoir communiquer avec le commutateur. | Ceci évite aux machines hors des Vlans de pouvoir communiquer avec le commutateur. | ||
int vlan1 | int vlan1 | ||
shut | shut | ||
=Configuration port console et VTY= | =Configuration port console et VTY= | ||
!Port console | !Port console | ||
| Ligne 41 : | Ligne 44 : | ||
line auxiliaire 0 | line auxiliaire 0 | ||
login | login | ||
=Vlan Poubelle= | =Vlan Poubelle= | ||
Une bonne pratique consite à créer un Vlan poubelle destiné à accueillir les ports inutilisés de sorte à ce que personnes ne puisse les exploiter pour atteindre d'autre machines. | Une bonne pratique consite à créer un Vlan poubelle destiné à accueillir les ports inutilisés de sorte à ce que personnes ne puisse les exploiter pour atteindre d'autre machines. | ||
==Création du Vlan Poubelle== | ==Création du Vlan Poubelle== | ||
# vlan database | # vlan database | ||
| Ligne 50 : | Ligne 55 : | ||
name Poubelle | name Poubelle | ||
description --- Poubelle --- | description --- Poubelle --- | ||
==Attribution du Vlan aux interfaces inutilisées== | ==Attribution du Vlan aux interfaces inutilisées== | ||
int range fa0/13 - 17 | int range fa0/13 - 17 | ||
| Ligne 56 : | Ligne 62 : | ||
description --- Interface inutile --- | description --- Interface inutile --- | ||
shut | shut | ||
=Gestion utilisateur= | =Gestion utilisateur= | ||
Activation du service de hashage des mots de passe | Activation du service de hashage des mots de passe | ||
| Ligne 69 : | Ligne 76 : | ||
ip ssh version 2 | ip ssh version 2 | ||
crypto key generate rsa | crypto key generate rsa | ||
{{info|Une clé RSA de minimum 768 bits est requise pour pouvoir utiliser du SSHv2. En dessous, on passe automatiquement en SSHv1.}} | {{info|Une clé RSA de minimum 768 bits est requise pour pouvoir utiliser du SSHv2. En dessous, on passe automatiquement en SSHv1.}} | ||
{{astuce|Pour ce connecter via une machine Debian (à partir de Stretch selon mes tests). Il faut préciser la suite cryptographique à utiliser (IOS utilisant des trucks jugés trop faibles pour OpenSSH): <source lang="bash" inline>ssh -oHostKeyAlgorithms=+ssh-dss -oKexAlgorithms=+diffie-hellman-group1-sha1 admin@192.168.100.1</source>. J'ai trouvé ça [https://networkengineering.stackexchange.com/questions/35312/configure-ssh-cipher-on-cisco-ios-12-255se7 ici].}} | |||
=Message d'accueil= | |||
Il est possible de définir une bannière d'accueil lors de la connexion à un équipement Cisco tout comme sous Linux via le ''Message Of The Day'' (MOTD). Pour ce faire, il suffit d'entrer (en mode de configuration) ceci: | |||
<source lang="bash"> | |||
banner motd ^C | |||
Votre message à afficher. | |||
Vous pouvez y mettre plusieurs lignes. | |||
Il faut finir le texte par le caractère qui vous a servi à entrer ici. | |||
Comme avec n'importe quel EOF. | |||
^C | |||
</source> | |||
Version du 28 juillet 2018 à 11:12
Ce document décrit la configuration de base d'un commutateur Cisco afin d'avoir une sécurité et une base de travail convenable.
INFORMATION
Pour entrer ces commandes, il est nécessaire de rentrer en mode configuration via la commande conf t en mode privilège.Désactivation des protocoles non nécessaires
no ip domain-lookup no cdp run no ip http server no ip http secure-server no service finger no service tcp-small-servers no service udp-small-servers no service pad no ip source-route no service dhcp no service password-recovery
Eteindre l'interface VLAN1
Ceci évite aux machines hors des Vlans de pouvoir communiquer avec le commutateur.
int vlan1 shut
Configuration port console et VTY
!Port console line console 0 login local exec-timeout 3 0 logging synchronous exit !VTY 0-4 line vty 0 4 login local logging synchronous transport input ssh transport output ssh exec-timeout 3 0 exit !vty 5-15 login transport input none transport output none exit !auxiliaire (peu courant) line auxiliaire 0 login
Vlan Poubelle
Une bonne pratique consite à créer un Vlan poubelle destiné à accueillir les ports inutilisés de sorte à ce que personnes ne puisse les exploiter pour atteindre d'autre machines.
Création du Vlan Poubelle
# vlan database vlan 66 name Poubelle !ou (config) # vlan 66 name Poubelle description --- Poubelle ---
Attribution du Vlan aux interfaces inutilisées
int range fa0/13 - 17 switchport mode access switchport access vlan 66 description --- Interface inutile --- shut
Gestion utilisateur
Activation du service de hashage des mots de passe
service password-encryption
Création d'un utilisateur
username "prenom.nom" privilege 15 secret "mot de passe"
Ajout d'un mot de passe au mode enable
enable secret "mot de passe"
Activation du SSH
Le SSH a besoin d'un nom d'hôte et d'un nom de domaine pour pouvoir générer la clé RSA
hostname "nom de machine" ip domain-name "nom de domain" ip ssh version 2 crypto key generate rsa
INFORMATION
Une clé RSA de minimum 768 bits est requise pour pouvoir utiliser du SSHv2. En dessous, on passe automatiquement en SSHv1.ASTUCE
Pour ce connecter via une machine Debian (à partir de Stretch selon mes tests). Il faut préciser la suite cryptographique à utiliser (IOS utilisant des trucks jugés trop faibles pour OpenSSH):ssh -oHostKeyAlgorithms=+ssh-dss -oKexAlgorithms=+diffie-hellman-group1-sha1 admin@192.168.100.1. J'ai trouvé ça ici.Message d'accueil
Il est possible de définir une bannière d'accueil lors de la connexion à un équipement Cisco tout comme sous Linux via le Message Of The Day (MOTD). Pour ce faire, il suffit d'entrer (en mode de configuration) ceci:
banner motd ^C
Votre message à afficher.
Vous pouvez y mettre plusieurs lignes.
Il faut finir le texte par le caractère qui vous a servi à entrer ici.
Comme avec n'importe quel EOF.
^C
