Cours Admin Système

MODULE 1 KIT DE MAÎTRISE

Configuration de Base des Périphériques

📍 Analogie Systémique

Thème : La Maison Intelligente vs le Poste de Police

  • Le Switch (Commutateur) = Le Poste de Police local. Il connecte tous les appareils du quartier (VLAN). Il a un bureau de gestion (SVI) avec une adresse spécifique. Ses portes (ports physiques) peuvent être configurées pour différentes vitesses de communication (duplex) et doivent être sécurisées.
  • Le Router (Routeur) = La Préfecture de Police / le Centre d'appels 112. Il interconnecte les différents postes de police (réseaux). Chaque interface (GigabitEthernet, Série) est comme une ligne téléphonique dédiée vers un autre poste ou un quartier spécifique.
  • La "loopback" = Le numéro de téléphone interne du Chef. Toujours joignable, utilisé pour les tests et l'identification.
  • La Configuration = Les Procédures Opérationnelles Standard (POS). Sans POS claires, le poste ne sait pas comment filtrer le trafic, ni à qui rapporter.
  • SSH vs Telnet = Conversation cryptée (radio sécurisée) vs Cri public dans la rue. L'une est sécurisée, l'autre expose toutes vos informations.
  • Séquence de Démarrage = La Prise de Service Matinale. POST = vérification de l'équipement, Bootloader = préparation du poste, IOS = mise en place des procédures.
  • LEDs = Tableau d'État du Poste. SYST = alimentation générale, STAT = activité des lignes, MODE = permet de voir différents types d'activité.

🧠 Carte Mentale 1 : Séquence de Démarrage

flowchart TD
    A["🚀 Alimentation Switch"] --> B["Étape 1: POST
Test CPU, RAM, Flash"]
    
    B --> C{"POST réussi ?"}
    C -->|"❌ NON"| D["💡 LED SYST = AMBRE
Arrêt ou ROMMON"]
    C -->|"✅ OUI"| E["Étape 2: Bootloader ROM"]
    
    E --> F["Étape 3: Init CPU/RAM
Initialisation bas niveau"]
    F --> G["Étape 4: Init Flash FS
Système fichiers flash"]
    G --> H["Étape 5: Chargement IOS"]
    
    H --> I{"Variable BOOT définie ?"}
    I -->|"✅ OUI"| J["📂 Charge depuis BOOT
boot system"]
    I -->|"❌ NON"| K["🔍 Cherche 1er .bin en flash"]
    
    J --> L{"IOS valide ?"}
    K --> L
    
    L -->|"✅ OUI"| M["💡 LED SYST = VERT
Chargement config.text
Interface CLI active"]
    L -->|"❌ NON"| N["🚨 Mode ROMMON
Prompt: switch:"]
    
    M --> O["🏁 Switch Opérationnel"]
    
    N --> P["🛠️ Actions Récupération ROMMON"]
    
    P --> P1["flash_init
Initialise flash"]
    P --> P2["dir flash:
Liste fichiers"]
    P --> P3["set
Affiche variables BOOT"]
    P --> P4["BOOT=chemin/ios.bin
Définit chemin IOS"]
    P --> P5["boot
Démarre IOS"]
    
    subgraph "🔧 Accès ROMMON"
        R1["⏱️ Dans 15s après power ON"]
        R2["🔘 Appuyer sur bouton MODE"]
        R3["🔄 Attendre LED orange→vert"]
        R4["🎯 Prompt switch:"]
    end
    
    subgraph "📊 LEDs Critiques"
        L1["SYST"] --> L1a["🟢 Vert: Normal
🟠 Ambre: POST échoué
⚫ Éteint: Pas d'alim"]
        L2["STAT"] --> L2a["🟢 Vert: Activité
💚 Clignotant: Trafic"]
        L3["Mode Button"] --> L3a["🔁 Cycle: STAT → DUPLX → SPEED → PoE"]
    end
    
    O --> Q["🎯 Prochaine étape: Configuration"]

🧠 Carte Mentale 2 : Architecture Complète

graph TB
    %% SECTION 1.1 : DÉMARRAGE & HARDWARE
    A["Module 1: Configuration de Base"] --> B["SECTION 1.1: Démarrage & Hardware"]
    
    B --> B1["1.1.1 Séquence Démarrage 5 Étapes"]
    B1 --> B1a["1. POST: Test Hardware"]
    B1 --> B1b["2. Bootloader ROM"]
    B1 --> B1c["3. Init CPU/RAM"]
    B1 --> B1d["4. Init Flash FS"]
    B1 --> B1e["5. Chargement IOS"]
    
    B --> B2["1.1.2 Commande boot system"]
    B2 --> B2a["boot system flash:/chemin/ios.bin"]
    B2 --> B2b["Variable BOOT"]
    B2 --> B2c["show boot"]
    B2 --> B2d["config.text en flash"]
    
    B --> B3["1.1.3 LEDs Switch"]
    B3 --> B3a["SYST: État système"]
    B3 --> B3b["STAT: Activité"]
    B3 --> B3c["DUPLX: Mode duplex"]
    B3 --> B3d["SPEED: Vitesse"]
    B3 --> B3e["PoE: Alimentation"]
    B3 --> B3f["Bouton MODE"]
    
    B --> B4["1.1.4 Récupération ROMMON"]
    B4 --> B4a["Accès: MODE 15s"]
    B4 --> B4b["Commandes: flash_init, dir, set"]
    B4 --> B4c["Récupération IOS"]
    B4 --> B4d["Récupération passwords"]
    
    %% SECTION 1.2 : PORTS SWITCH
    A --> C["SECTION 1.2: Ports Switch"]
    C --> C1["Duplex: Full/Half/Auto"]
    C --> C2["Vitesse: Auto/10/100/1000"]
    C --> C3["Auto-MDIX"]
    C --> C4["Commandes vérification"]
    C --> C5["Dépannage couche accès"]
    
    %% SECTION 1.3 : ACCÈS SÉCURISÉ
    A --> D["SECTION 1.3: Accès Sécurisé"]
    D --> D1["Telnet ❌ Non sécurisé"]
    D --> D2["SSH ✅ Sécurisé"]
    D --> D3["Configuration SSH"]
    D --> D4["Vérification SSH"]
    
    %% SECTION 1.4 : CONFIG ROUTEUR
    A --> E["SECTION 1.4: Config Routeur"]
    E --> E1["Interfaces LAN/WAN"]
    E --> E2["Adressage IPv4/IPv6"]
    E --> E3["Loopback interface"]
    E --> E4["Configuration de base"]
    
    %% SECTION 1.5 : VÉRIFICATION
    A --> F["SECTION 1.5: Vérification"]
    F --> F1["Commandes show"]
    F --> F2["Filtrage sortie |"]
    F --> F3["Historique commandes"]
    F --> F4["Tables de routage"]
    
    %% CONNECTIONS FONCTIONNELLES
    B4 --> C5["Dépannage matériel → logiciel"]
    C --> D["Ports → Accès sécurité"]
    D --> E["Sécurité → Configuration"]
    E --> F["Configuration → Vérification"]
    
    %% ZONE DANGER / IMPORTANT
    classDef critical fill:#ffcccc,stroke:#ff0000,stroke-width:3px
    class B1,B4,D2 critical

💡 LEDs Switch Détail Technique

📊 Tableau des LEDs Catalyst 2960

LED Couleur Signification
SYST 🟢 Vert Système fonctionne normalement
🟠 Ambre POST échoué - problème matériel
⚫ Éteint Pas d'alimentation électrique
STAT 🟢 Vert fixe Lien actif, pas de trafic
💚 Vert clignotant Activité réseau détectée
DUPLX 🟢 Vert Mode duplex intégral
⚫ Éteint Mode semi-duplex
SPEED 🟢 Vert 1000 Mbps (1 Gbps)
🟡 Jaune 100 Mbps
⚫ Éteint 10 Mbps
PoE 🟢 Vert Alimentation PoE active
🟠 Ambre Erreur PoE (surcharge/défaut)

🔄 Bouton MODE - Cycle d'affichage

Le bouton MODE fait cycler l'affichage des LEDs de port :

STAT (défaut) → DUPLXSPEEDPoESTAT

Appuyer brièvement pour changer de mode. Maintenir > 3s pour réinitialiser.

⚡ Noyau Dur (Lois Immuables)

0

La Séquence de Boot Est Votre Échappatoire de Dernier Recours

Preuve : 95% des problèmes matériels critiques se résolvent via ROMMON.

Piège CCNA : L'ordre exact : 1.POST → 2.Bootloader → 3.Init CPU → 4.Init Flash → 5.Chargement IOS.

0.1

La Variable BOOT Est La Carte au Trésor

Preuve : show boot révèle où le système cherche l'IOS. Corruption = brick.

Commande Critique : boot system flash:/dossier/c2960-lanbasek9-mz.version.bin

0.2

ROMMON = Accès Super-Admin Physique

Preuve : 15 secondes après alimentation, bouton MODE = contrôle total.

Séquence : flash_initdir flash:setBOOT=...boot.

1

Aucune Interface n'est Intelligente par Défaut

Preuve/Pourquoi : Les ports d'un switch sont en duplex auto et speed auto, mais cela peut mener à des mésappariements. Les interfaces de routeur sont shutdown par défaut. Vous DEvez configurer l'adressage IP et les activer (no shutdown) pour qu'elles soient opérationnelles.

2

La Gestion à Distance Nécessite une "Adresse de Retour"

Preuve/Pourquoi : Pour gérer un switch à distance (SSH/Telnet), il DOIT avoir une adresse IP de gestion configurée sur une SVI (par défaut VLAN 1, mais changez-la !) ET une passerelle par défaut (ip default-gateway) pointant vers le routeur de son réseau.

3

Le Duplex et la Vitesse doivent Correspondre des Deux Côtés d'un Lien

Preuve/Pourquoi : Un décalage (un côté en full, l'autre en half) cause des collisions tardives et une dégradation massive des performances. En production, on fixe ces paramètres manuellement sur les liens critiques.

4

Telnet est une Passerelle Ouverte vers Votre Réseau

Preuve/Pourquoi : Il transmet tout en clair, y compris les mots de passe. SSH est le protocole de gestion distant standard et non-négociable en entreprise.

5

La Configuration n'existe pas tant qu'elle n'est pas Sauvegardée

Preuve/Pourquoi : La configuration courante (running-config) est en RAM et sera perdue au redémarrage. Vous DEVEZ copier running-config vers startup-config pour la rendre persistante.

🔐 Profondeur Sécurité & Métier

🚨 Risque Critique #0 : Bypass ROMMON ⇒ Usurpation Totale

Attaque Type : Attaque "Crash Cart" - Accès physique → ROMMON → Réinitialisation complète.

Détection : Presque impossible. Seule prévention physique.

Mitigation :

SW1(config)# no service password-recovery
! ATTENTION: Rend ROMMON inaccessible
! Risque: Récupération impossible en cas de problème IOS

Intégration Entreprise :

  • Ansible : Playbook pour sauvegarder régulièrement show boot output.
  • SIEM : Alerte sur redémarrages fréquents (potentiel accès ROMMON).
  • Physique : Armoires verrouillées, badges d'accès, journaux d'accès.

🚨 Risque Principal : Accès Non Autorisé et Capture de Trafic de Gestion

Attaque Type : Écoute de ligne (Sniffing) sur un segment de gestion, attaque par force brute sur Telnet, ou usurpation après vol d'identifiants.

Détection : show users (pour voir les sessions actives), show logging (pour les tentatives de connexion échouées), logs SIEM surveillant les connexions sur les ports TCP/23 (Telnet) et les échecs d'authentification.

Mitigation Immédiate :

! Désactiver Telnet sur les lignes VTY
SW1(config)# line vty 0 15
SW1(config-line)# transport input ssh
SW1(config-line)# no transport input telnet
SW1(config-line)# exit
! Configurer SSH
SW1(config)# hostname SW1
SW1(config)# ip domain-name entreprise.local
SW1(config)# crypto key generate rsa modulus 2048
SW1(config)# ip ssh version 2

Intégration Entreprise :

  • Ansible : Playbook pour désactiver Telnet et configurer SSH sur tous les périphériques.
  • SIEM : Règle d'alerte déclenchée par tout trafic TCP/23.
  • Git : Versionner les configurations pour auditer les changements.

🔐 Configuration SSH - 6 Étapes

📋 Procédure en 6 Étapes pour SSH

Étape 1 : Vérifier support SSH
show version → Vérifier IOS contient "k9" (cryptographic)
Étape 2 : Configurer le domaine IP
SW1(config)# ip domain-name entreprise.local
Étape 3 : Générer paires de clés RSA
SW1(config)# crypto key generate rsa
! Ou spécifier modulus :
SW1(config)# crypto key generate rsa modulus 2048
Étape 4 : Configurer authentification utilisateur
SW1(config)# username admin secret MotDePasseFort
SW1(config)# aaa new-model
SW1(config)# aaa authentication login default local
Étape 5 : Configurer lignes VTY
SW1(config)# line vty 0 15
SW1(config-line)# transport input ssh
SW1(config-line)# login local
SW1(config-line)# exec-timeout 5 30
Étape 6 : Activer SSH version 2
SW1(config)# ip ssh version 2
SW1(config)# ip ssh time-out 60
SW1(config)# ip ssh authentication-retries 3
Vérification SSH opérationnel
SW1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

SW1# show ssh
Connection Version Mode Encryption State Username
0 2.0 IN aes256-cbc Session started admin

📚 Profondeur Examen CCNA

🎯 Détail Oublié #0 : Startup-Config Location

Question : "Où est stockée la configuration de démarrage sur un switch Catalyst ?"

Réponse : flash:/config.text (TRÈS différent des routeurs qui utilisent NVRAM).

Explication : Les switches stockent la startup-config dans le fichier système flash, pas dans une mémoire NVRAM dédiée.

🎯 Piège Fréquent #1 : Variable BOOT vs show version

Question : "Quelle commande affiche le chemin actuel du fichier IOS ?"

Réponse : show boot (pas show version qui montre la version chargée).

Explication : show boot montre la variable BOOT, show version montre l'IOS actuellement en mémoire.

🎯 Question Type Séquence

Question : "Après le POST, quelle est l'étape IMMÉDIATE du démarrage ?"

Réponse : Exécution du bootloader (stocké en ROM).

Explication : Séquence exacte : POST → Bootloader → Init CPU → Init Flash → Chargement IOS.

🎯 Détail LED Critique

Question : "Que signifie la LED SYST ambre sur un Catalyst 2960 ?"

Réponse : Le POST a échoué - problème matériel détecté.

Explication : Vert = normal, Ambre = problème POST, Éteint = pas d'alimentation.

🎯 Piège Fréquent #2 : Duplex Mismatch

Question : "L'interface est up/up mais je ne peux pas pinguer la passerelle."

Réponse : Absence de commande ip default-gateway sur le switch.

Explication : Un switch L2 n'a pas de table de routage ; il utilise la passerelle par défaut uniquement pour le trafic destiné à des réseaux hors de son VLAN de gestion.

🎯 Détail Oublié #3 : enable secret vs enable password

Question : "Différence entre enable secret et enable password ?"

Réponse : enable secret utilise un hash MD5/SHA-256 et est prioritaire. enable password est en texte faible et obsolète.

Explication : Cisco teste souvent quelle commande apparaît chiffrée dans show running-config.

⚙️ Labs Complets

🔧 Niveau 1 (CCNA) : Configuration de Base du Switch

SW1# configure terminal
SW1(config)# hostname SW-ACCES-1
SW1(config)# enable secret Class123!
SW1(config)# line console 0
SW1(config-line)# password cisco
SW1(config-line)# login
SW1(config-line)# exit
SW1(config)# line vty 0 15
SW1(config-line)# password cisco
SW1(config-line)# login
SW1(config-line)# transport input ssh
SW1(config-line)# exit
SW1(config)# service password-encryption
SW1(config)# vlan 100
SW1(config-vlan)# name MGMT
SW1(config-vlan)# exit
SW1(config)# interface vlan 100
SW1(config-if)# ip address 10.1.100.10 255.255.255.0
SW1(config-if)# no shutdown
SW1(config-if)# exit
SW1(config)# ip default-gateway 10.1.100.1
SW1(config)# interface gigabitethernet 0/1
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 10
SW1(config-if)# duplex full
SW1(config-if)# speed 100
SW1(config-if)# no shutdown
SW1(config-if)# exit
SW1(config)# end
SW1# copy running-config startup-config

Objectif : Maîtriser la configuration de base d'un switch pour le CCNA.

Vérification : show ip interface brief → Vérifiez que Vlan100 a une adresse IP et est up/up.

🏭 Niveau 2 (Production) : Hardening et Sécurité

SW1(config)# no ip http server
SW1(config)# no ip http secure-server
SW1(config)# interface range gigabitethernet 0/24 , tengigabitethernet 1/1-2
SW1(config-if-range)# shutdown
SW1(config-if-range)# switchport mode access
SW1(config-if-range)# switchport access vlan 999
SW1(config-if-range)# description **PORT-NON-UTILISE**
SW1(config-if-range)# exit
SW1(config)# line console 0
SW1(config-line)# exec-timeout 5 30
SW1(config-line)# exit
SW1(config)# line vty 0 15
SW1(config-line)# exec-timeout 5 30
SW1(config-line)# transport input ssh
SW1(config-line)# exit
SW1(config)# ip domain-name corp.example.com
SW1(config)# crypto key generate rsa modulus 2048
SW1(config)# ip ssh time-out 60
SW1(config)# ip ssh authentication-retries 2
SW1(config)# ip ssh version 2

Objectif : Configurer un switch pour un environnement de production sécurisé.

Risque si omis : Ports non utilisés laissés actifs = vecteur d'accès physique ou de boucle de couche 2.

🤖 Niveau 3 (Expert/Automatisation) : Script Python/Ansible

# Script Python (Netmiko) pour configurer SSH sur plusieurs switches
from netmiko import ConnectHandler
import time

device_list = [
{
'device_type': 'cisco_ios',
'ip': '10.1.100.10',
'username': 'admin',
'password': 'cisco123',
'secret': 'enable123',
},
# ... autres switches
]

ssh_commands = [
'ip domain-name corp.local',
'crypto key generate rsa modulus 2048',
'ip ssh version 2',
'line vty 0 15',
'transport input ssh',
'login local',
'exit',
'username admin secret S3cr3tP@ss'
]

for device in device_list:
connection = ConnectHandler(**device)
connection.enable()
output = connection.send_config_set(ssh_commands)
print(f"Configuration sur {device['ip']}:")
connection.send_command('write memory')
connection.disconnect()

Objectif : Automatiser la configuration de sécurité à l'échelle.

Avantage : Cohérence parfaite, élimination des erreurs de frappe, déploiement en masse en quelques secondes.

🔌 Configuration des Ports Switch

⚡ Communications Bidirectionnelles (Duplex)

Duplex Intégral (Full-Duplex) : Communication simultanée dans les deux sens. Aucune collision. Double l'utilisation de la bande passante.

Semi-Duplex : Communication unidirectionnelle à la fois. Collisions possibles. Obsolète sur les équipements modernes.

! Configuration manuelle du duplex et de la vitesse
SW1(config)# interface gigabitethernet 0/1
SW1(config-if)# duplex full
SW1(config-if)# speed 1000
SW1(config-if)# no shutdown

! Auto-négociation (défaut)
SW1(config-if)# duplex auto
SW1(config-if)# speed auto

🔧 Auto-MDIX (Medium Dependent Interface Crossover)

Fonction : Détection automatique du type de câble (droit ou croisé) et adaptation.

Commande : mdix auto (activé par défaut sur les Catalyst 2960/3560).

SW1(config)# interface gigabitethernet 0/1
SW1(config-if)# mdix auto

! Vérification
SW1# show controllers ethernet-controller fa0/1 phy | include MDIX
Auto-MDIX : On [AdminState=1 Flags=0x00052248]

Note : Auto-MDIX nécessite que duplex et speed soient sur auto.

📊 Commandes de Vérification des Ports

! État général des interfaces
SW1# show ip interface brief
! Détails d'une interface spécifique
SW1# show interfaces gigabitethernet 0/1
! Configuration en cours
SW1# show running-config interface gigabitethernet 0/1
! Statistiques d'erreurs
SW1# show interfaces gigabitethernet 0/1 counters errors
! État des ports switch
SW1# show interfaces status

🚨 Dépannage Avancé

🔧 Scénario 1 : BRICKED SWITCH - Récupération ROMMON

Symptôme : Switch ne démarre pas, LED SYST clignote orange/vert. Message console : "Loading... boot: cannot open flash:..."

Étape 1 : Accès ROMMON
Power ON → 15 secondes → Bouton MODE → Attendre LED orange→vert fixe
Étape 2 : Examiner Flash
switch: flash_init
switch: dir flash:
Étape 3 : Diagnostic
Fichier IOS manquant ou corrompu
Étape 4 : Récupération TFTP
switch: set
switch: IP_ADDRESS=10.1.1.10
switch: IP_SUBNET_MASK=255.255.255.0
switch: DEFAULT_GATEWAY=10.1.1.1
switch: TFTP_SERVER=10.1.1.100
switch: tftpdnld
! Suivre prompts pour télécharger nouveau IOS
Root Cause Probable : Corruption flash ou BOOT pointe vers fichier inexistant.

🐌 Scénario 2 : PERFORMANCE LENTE - Mésappariement Duplex

Symptôme : Connexion Internet très lente et intermittente, ping avec 50% de perte.

Première Commande :
show interfaces gig0/24 (port uplink)
Si Interface up/up :
Vérifier erreurs et paramètres
show interfaces gig0/24 | include (duplex|speed|errors|collisions)
Si Duplex: half + Late Collisions élevées :
MÉSAPPARIEMENT DUPLEX DÉTECTÉ
Fix :
! Sur le switch
SW1(config)# interface gigabitethernet 0/24
SW1(config-if)# duplex full
SW1(config-if)# speed 1000

! Sur le routeur (si accessible)
R1(config)# interface gigabitethernet 0/1
R1(config-if)# duplex full
R1(config-if)# speed 1000
Vérification :
show interfaces gig0/24 | include late - Les collisions tardives doivent cesser d'augmenter.

🌳 Arbre de Décision Dépannage

🔧 Processus de Dépannage Systématique

Étape 1 : show interfaces
Analyser état interface et erreurs
Interface up/up ?
Vérifier état physique et protocole
Si NON (down/down)
  • Vérifier câble connecté
  • Vérifier type câble correct
  • Vérifier vitesse configurée
  • Tester avec autre câble/port
Si OUI (up/up)
  • Vérifier erreurs CRC/Frame
  • Vérifier collisions tardives
  • Vérifier duplex/speed match
  • Vérifier configuration IP
Erreurs détectées ?
Analyser compteurs d'erreurs
Si CRC/Frame Errors
  • Problème câble ou bruit EMI
  • Remplacer câble
  • Vérifier distance max
  • Éliminer sources interférence
Si Late Collisions
  • Mésappariement duplex
  • Configurer duplex full des deux côtés
  • Vérifier speed match
  • Forcer paramètres manuels
Vérification finale
! Après corrections
SW1# clear counters
SW1# show interfaces gig0/1 | include errors|collisions|duplex
! Attendre 5-10 minutes
SW1# show interfaces gig0/1 | include errors|collisions

Les compteurs doivent rester à 0 ou très bas après corrections.

Problème résolu ?
✅ OUI
Documenter solution
Mettre en monitoring
❌ NON
Escalader problème
Considérer hardware défectueux

🌐 Configuration Routeur

🔧 Configuration de Base du Routeur

Router# configure terminal
Router(config)# hostname R1
R1(config)# enable secret class
R1(config)# line console 0
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# exit
R1(config)# line vty 0 4
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# exit
R1(config)# service password-encryption
R1(config)# banner motd #Authorized Access Only!#
R1(config)# end
R1# copy running-config startup-config

🌉 Configuration Interfaces Dual-Stack (IPv4/IPv6)

R1(config)# interface gigabitethernet 0/0/0
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# ipv6 address 2001:db8:acad:1::1/64
R1(config-if)# description Link to LAN 1
R1(config-if)# no shutdown
R1(config-if)# exit

R1(config)# interface gigabitethernet 0/0/1
R1(config-if)# ip address 192.168.11.1 255.255.255.0
R1(config-if)# ipv6 address 2001:db8:acad:2::1/64
R1(config-if)# description Link to LAN 2
R1(config-if)# no shutdown
R1(config-if)# exit

R1(config)# interface serial 0/0/0
R1(config-if)# ip address 209.165.200.225 255.255.255.252
R1(config-if)# ipv6 address 2001:db8:acad:3::225/64
R1(config-if)# description Link to R2
R1(config-if)# no shutdown

🔄 Interface Loopback (Test & Management)

R1(config)# interface loopback 0
R1(config-if)# ip address 10.0.0.1 255.255.255.0
R1(config-if)# description Management Loopback
R1(config-if)# exit

! Vérification
R1# show ip interface brief | include Loopback
Loopback0 10.0.0.1 YES manual up up

Usage : Interface logique toujours up, utilisée pour le testing, management, et émulation de réseaux.

🔍 Vérification Avancée

📊 Commandes show Essentielles

! Résumé interfaces IPv4/IPv6
R1# show ip interface brief
R1# show ipv6 interface brief

! Détails interface spécifique
R1# show interfaces gigabitethernet 0/0/0
R1# show ip interface gigabitethernet 0/0/0
R1# show ipv6 interface gigabitethernet 0/0/0

! Configuration interface
R1# show running-config interface gigabitethernet 0/0/0

! Tables de routage
R1# show ip route
R1# show ipv6 route

🎯 Filtrage des Résultats (Pipe |)

! section - Affiche section entière
R1# show running-config | section line vty

! include - Inclut lignes avec pattern
R1# show interfaces | include (up|down|errors)

! exclude - Exclut lignes avec pattern
R1# show running-config | exclude !

! begin - Commence à pattern
R1# show running-config | begin interface

📜 Historique des Commandes

! Afficher historique (défaut: 10 lignes)
R1# show history

! Augmenter taille historique (session courante)
R1# terminal history size 200

! Navigation historique
Ctrl+P / ↑ : Commande précédente
Ctrl+N / ↓ : Commande suivante

🌐 Vérification IPv6 Avancée

! Adresses IPv6 complètes (link-local + global)
R1# show ipv6 interface gigabitethernet 0/0/0

! Test de connectivité IPv6
R1# ping 2001:db8:acad:1::10
R1# ping ipv6 2001:db8:acad:1::10

! Vérification adresses multicast
R1# show ipv6 interface gig0/0/0 | include Joined

📋 Commandes show Essentielles

📊 Tableau des Commandes show

Commande Description Usage
show version Version IOS, uptime, hardware Vérifier IOS "k9" pour SSH
show running-config Configuration active en RAM Vérifier config courante
show startup-config Configuration sauvegardée Vérifier config au démarrage
show interfaces État et statistiques interfaces Dépannage couche 1-2
show ip interface [brief] Info IP des interfaces Vérifier adressage IPv4
show ipv6 interface [brief] Info IPv6 des interfaces Vérifier adressage IPv6
show protocols Protocoles configurés et actifs Vérifier routage, spanning-tree
show controllers Info contrôleurs hardware Vérifier auto-MDIX, PHY
show interfaces status État rapide tous ports Vue d'ensemble santé switch
show interfaces counters errors Compteurs erreurs par interface Diagnostic problèmes physique

⚠️ Erreurs Interface show interfaces

📈 Statistiques d'Erreurs Critique

Les erreurs dans show interfaces indiquent des problèmes matériels ou de configuration :

🚫 Runts (Trames incomplètes)

Cause : Trames < 64 octets

Problème : Collisions, NIC défectueux

Action : Vérifier duplex, remplacer NIC

🏗️ Giants (Géants)

Cause : Trames > 1518 octets

Problème : NIC ou driver défectueux

Action : Mettre à jour drivers NIC

🔧 CRC Errors

Cause : Checksum incorrect

Problème : Bruit électrique, câble défectueux

Action : Remplacer câble, vérifier distance

🖼️ Frame Errors

Cause : Format trame incorrect

Problème : Incompatibilité encapsulation

Action : Vérifier encapsulation (ARPA vs SNAP)

💥 Overruns

Cause : Buffer d'entrée plein

Problème : CPU surchargé

Action : Optimiser process switching

🙈 Ignored

Cause : Buffer interne plein

Problème : Interface rate limit

Action : Vérifier taux de trafic

🔍 Exemple de Sortie show interfaces

FastEthernet0/1 is up, line protocol is up 
  Hardware is Fast Ethernet, address is 0011.2233.4455
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec
  reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     100000 packets input, 10000000 bytes
     Received 1000 broadcasts (0 multicast)
     10 runts, 5 giants, 20 throttles
     50 input errors, 30 CRC, 10 frame, 0 overrun, 0 ignored
     0 watchdog, 1000 multicast, 0 pause input
     0 input packets with dribble condition detected
     200000 packets output, 20000000 bytes, 0 underruns
     0 output errors, 0 collisions, 10 interface resets
     0 babbles, 5 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 PAUSE output
     0 output buffer failures, 0 output buffers swapped out

🔗 Connections Systémiques

🔄 Relations entre Modules

← Module Précédent (Introduction aux réseaux) : Ce module prend les concepts théoriques d'adressage IP, de sous-réseaux et de modèles OSI/TCP-IP et les applique concrètement sur du matériel Cisco. Il transforme la théorie en commandes CLI actionnables.

→ Module Suivant (VLANs et Routage Inter-VLAN) : La maîtrise de la configuration de base d'un switch (SVI, ports d'accès) et d'un routeur (interfaces) est le PRÉREQUIS ABSOLU. Sans cela, vous ne pourrez pas comprendre comment un SVI sert de gateway pour un VLAN, ni comment configurer une interface de routeur pour le routage inter-VLAN.

🏢 Écosystème Réel

Monitoring (PRTG, Zabbix, Nagios) : Utilise le SNMP ou SSH pour interroger les périphériques configurés et surveiller l'état des interfaces (up/down), les erreurs, l'utilisation de la bande passante.

SDN (Cisco DNA Center) : S'appuie sur un accès SSH sécurisé et une configuration IP de gestion valide pour "découvrir" et prendre le contrôle des périphériques.

Firewall & Sécurité : Les politiques du firewall doivent autoriser le trafic SSH (TCP/22) depuis le réseau de gestion vers les adresses IP de gestion des switches et routeurs.

Ansible/Automation : Les scripts d'automatisation utilisent SSH pour pousser les configurations. Une configuration de base correcte est ESSENTIELLE.

Git/Version Control : Les configurations (show running-config) sont versionnées pour le contrôle des changements et l'audit de sécurité.

🎓 Progression d'Apprentissage

Étape 1 : Maîtriser les commandes de base

Étape 2 : Pratiquer

Étape 3 : Intégrer les concepts de sécurité

Étape 4 : Automatiser avec Python/Ansible

❓ Validation par Exercice Mental

🧠 Question de Concept Boot

Votre switch a la LED SYST ambre fixe. En utilisant l'analogie du poste de police, que s'est-il passé pendant la "prise de service" et quelle est votre première action ?

Réponse : La "vérification d'équipement matinale" (POST) a échoué. Un équipement critique (CPU, RAM ou Flash) est défectueux.

Première action : Accéder au ROMMON (bouton MODE dans les 15s après redémarrage) pour examiner l'état du hardware et tenter une récupération.

🎯 Question de Piège Boot

Vous exécutez dir flash: en ROMMON et voyez deux fichiers IOS. Comment déterminer lequel sera chargé au prochain boot sans démarrer ?

Réponse : Utiliser la commande set pour afficher la variable BOOT. Elle contient le chemin exact du fichier IOS qui sera chargé.

Commande : switch: set → Affiche BOOT=flash:/chemin/vers/ios.bin

🚨 Question de Crise Boot

Il est 3h du matin, votre switch core ne répond plus. La LED SYST est verte fixe mais aucune session console/SSH ne répond. Quelle est votre séquence d'actions en 3 étapes incluant ROMMON ?

Réponse :

  1. Étape 1 : Forcer un redémarrage et accéder au ROMMON (Power cycle → bouton MODE pendant 15s).
  2. Étape 2 : En ROMMON, vérifier l'intégrité de l'IOS : flash_initdir flash:set pour voir BOOT.
  3. Étape 3 : Si IOS corrompu, utiliser BOOT= pour pointer vers un backup ou initier un téléchargement TFTP avec tftpdnld.

🔌 Question Ports Switch

Un utilisateur se plaint de connexion lente. show interfaces gig0/1 montre "Duplex: half" et de nombreuses "late collisions". Quelle est la cause et le fix ?

Réponse : Mésappariement duplex. Un côté est en half-duplex, l'autre en full-duplex.

Fix : Configurer duplex full et speed approprié des deux côtés du lien.

🌐 Question Dual-Stack

Vous configurez une interface routeur en dual-stack. show ipv6 interface brief montre l'adresse IPv6 mais pas de lien-local. Est-ce normal ? Pourquoi ?

Réponse : NON, ce n'est pas normal. Toute interface IPv6 DOIT avoir une adresse link-local (FE80::/10).

Cause : L'interface est peut-être shutdown ou il y a un problème de configuration.

Module-Kit de Maîtrise - Configuration de base des péripheriques

© 2025