2.5.5 – Packet Tracer – Configuration des paramètres initiaux du commutateur
Objectifs
Partie 1: Vérifier la configuration par défaut du commutateur
Partie 2: Créer une configuration de commutateur de base
Partie 3: Configurer une bannière MOTD
Partie 4: Enregistrer les fichiers de configuration dans la mémoire NVRAM
Partie 5: Configurer S2
Contexte/scénario
Au cours de cet exercice, vous allez effectuer des configurations de base sur les commutateurs Vous allez sécuriser l’accès à l’interface en ligne de commande (CLI) et aux ports de console à l’aide de mots de passe chiffrés et en texte clair. Vous découvrirez également comment configurer les messages destinés aux utilisateurs qui se connectent au commutateur. Ces bannières sont également utilisées pour prévenir les utilisateurs non autorisés que l’accès est interdit.
Remarque : Dans Packet Tracer, le commutateur Catalyst 2960 utilise par défaut IOS version 12.2. Si nécessaire, la version IOS peut être mise à jour à partir d’un serveur de fichiers dans la topologie Packet Tracer. Le commutateur peut alors être configuré pour démarrer vers IOS version 15.0, si cette version est requise.
Instructions
Partie 1: Vérification de la configuration par défaut du commutateur
Étape 1: Passez en mode d’exécution privilégié.
Vous pouvez accéder à toutes les commandes du commutateur en mode d’exécution privilégié. Toutefois, étant donnés un grand nombre des commandes du mode privilégié permettent de configurer des paramètres d’exploitation, l’accès privilégié doit être protégé par mot de passe pour empêcher toute utilisation non autorisée.
Parmi les commandes du mode d’exécution privilégié, on retrouve celles du mode d’exécution utilisateur, autre plusieurs commandes, ainsi que la commande configure qui donne accès aux autres modes de commande.
a. Cliquez sur S1 puis sur l’onglet CLI. Appuyez sur Entrée.
b. Passez en mode d’exécution privilégié en entrant la commande enable:
Switch> enable Switch#
Notez que l’invite a changé dans la configuration pour représenter le mode d’exécution privilégié.
Étape 2: Observez la configuration courante du commutateur
Saisissez la commande show running-config.
Switch# show running-config
Répondez aux questions suivantes:
Combien d’interfaces FastEthernet le commutateur possède-t-il ?
24
Combien d’interfaces Gigabit Ethernet le commutateur possède-t-il ?
2
Quelle est la plage de valeurs affichée pour les lignes vty ?
0-15
Quelle commande affiche le contenu actuel de la mémoire vive non volatile (NVRAM) ?
show startup-configuration
Pourquoi le commutateur indique-t-il que la configuration initiale startup-config est absente ?
Il affiche ce message car le fichier de configuration n’a pas été enregistré dans la NVRAM. Actuellement, il n’est situé que dans la RAM.
Partie 2: Création d’une configuration de commutateur de base
Étape 1: Attribuez un nom au commutateur.
Pour configurer les paramètres d’un commutateur, vous devrez peut-être passer d’un mode de configuration à l’autre. Notez dans ce cas que l’invite va changer.
Switch# configure terminal Switch(config)# hostname S1 S1(config)# exit S1#
Étape 2: Sécurisez l’accès à la ligne de console.
Pour sécuriser l’accès à la ligne de console, accédez au mode config-line et choisissez le mot de passe de console letmein.
S1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. S1(config)# line console 0 S1(config-line)# password letmein S1(config-line)# login S1(config-line)# exit S1(config)# exit %SYS-5-CONFIG_I: Configured from console by console S1#
Pourquoi la commande login est-elle requise?
Pour que le processus de vérification du mot de passe fonctionne, il nécessite à la fois les commandes de connexion et de mot de passe
Étape 3: Vérifiez que l’accès à la console est sécurisé.
Quittez le mode privilégié pour vérifier que le mot de passe de port de console est actif.
S1# exit Switch con0 is now available Press RETURN to get started. User Access Verification Password: S1>
Remarque: si le commutateur ne vous a pas demandé de mot de passe, cela signifie que vous n’avez pas configuré le paramètre login à l’étape 2.
Étape 4: Sécurisez l’accès au mode privilégié.
Définissez le mot de passe d’activation enable sur c1$c0. Ce mot de passe protège l’accès au mode privilégié.
Remarque: le 0 dans c1$c0 est un zéro, non pas un O majuscule. Ce mot de passe ne sera pas considéré comme correct tant que vous ne l’aurez pas chiffré à l’étape 8.
S1> enable S1#configure terminal S1(config)# enable password c1$c0 S1(config)# exit %SYS-5-CONFIG_I: Configured from console by console S1#
Étape 5: Vérifiez que l’accès au mode d’accès privilégié est sécurisé.
a. Exécutez la commande exit pour vous déconnecter du commutateur.
b. Appuyez sur <Entrée> et le système vous demandera maintenant d’entrer un mot de passe:
User Access Verification Password:
c. Le premier mot de passe est le mot de passe de console que vous avez configuré pour line con 0. Entrez ce mot de passe pour revenir au mode d’exécution utilisateur.
d. Entrez la commande pour accéder au mode privilégié.
e. Entrez le deuxième mot de passe que vous avez configuré afin de protéger le mode d’exécution privilégié.
f. Vérifiez votre configuration en examinant le contenu du fichier de configuration en cours:
S1#show running-config
Notez que les mots de passe de console et d’activation (enable) sont tous deux en clair. Cela peut constituer un risque de sécurité si quelqu’un regarde par-dessus votre épaule ou obtient l’accès aux fichiers de configuration stockés dans un emplacement de sauvegarde.
Étape 6: Configurez un mot de passe chiffré pour sécuriser l’accès au mode privilégié.
Le mot de passe d’activation enable password doit être remplacé par le mot de passe secret chiffré plus récent à l’aide de la commande enable secret . Définissez itsasecret en tant que mot de passe secret actif.
S1# config t S1(config)# enable secret itsasecret S1(config)# exit S1#
Remarque: le mot de passe enable secretremplace le mot de passe enable. Si les deux mots de passe sont configurés sur le commutateur, vous devez entrer le mot de passe secret actif (enable secret) pour accéder au mode d’exécution privilégié.
Étape 7: Vérifiez que le mot de passe secret actif (enable secret) a été ajouté au fichier de configuration.
Exécutez la commande show running-config afin de vérifier que le nouveau mot de passe secret actif (enable secret) a été configuré.
Remarque: vous pouvez également utiliser l’abréviation de la commande show running-config comme
S1# show run
Comment s’affiche le mot de passe secret actif ?
$1$mERr$ILwq/b7kc.7X/ejA4Aosn0
Pourquoi le mot de passe secret actif (enable secret) s’affiche-t-il différemment de ce qui a été configuré?
Le secret d’activation est affiché sous forme cryptée, tandis que le mot de passe d’activation est en texte brut.
Étape 8: Chiffrez les mots de passe d’activation (enable) et de console.
Comme vous l’avez remarqué à l’étape 7, le mot de passe secret actif (enable secret) a été chiffré, mais les mots de passe d’activation (enable) et de consolesont toujours en clair. Nous allons maintenant chiffrer ces mots de passe en clair à l’aide de la commande service password-encryption.
S1# config t S1(config)# service password-encryption S1(config)# exit
Si vous configurez d’autres mots de passe sur le commutateur, seront-ils affichés en clair ou chiffrés dans le fichier de configuration? Expliquez votre réponse.
La commande service password-encryption crypte tous les mots de passe actuels et futurs.
Partie 3: Configuration d’une bannière MOTD
Étape 1: Configurer une bannière MOTD (message of the day).
Les commandes de Cisco IOS comprennent une fonction à l’aide de laquelle vous pouvez configurer les messages que toutes les personnes se connectant au commutateur sont en mesure de consulter. Ces messages sont appelés messages du jour (messages of the day) ou bannières MOTD. Placez le texte de la bannière entre guillemets ou utilisez un autre délimiteur différent de tous les caractères qui apparaissent dans la chaîne MOTD.
S1# config t S1(config)# banner motd "This is a secure system. Authorized Access Only!" S1(config)# exit %SYS-5-CONFIG_I: Configured from console by console S1#
Quand cette bannière s’affichera-t-elle ?
Le message s’affichera lorsque quelqu’un entrera dans le commutateur via le port de la console.
Pourquoi chaque commutateur doit-il avoir une bannière MOTD ?
Chaque commutateur doit avoir une bannière pour avertir les utilisateurs non autorisés que l’accès est interdit, mais peut également être utilisé pour envoyer des messages au personnel/techniciens du réseau (tels que des arrêts imminents du système ou qui contacter pour l’accès)
Partie 4: Enregistrer les fichiers de configuration dans la mémoire NVRAM
Étape 1: Vérifiez que la configuration est correcte à l’aide de la commande show run.
Enregistrez le fichier de configuration. Vous avez terminé la configuration de base du commutateur. Sauvegardez le fichier de configuration en cours dans la mémoire vive non volatile pour vous assurer que les modifications apportées seront conservées en cas de réamorçage du système ou de coupure de courant.
S1# copy running-config startup-config Destination filename [startup-config]?[Enter] Building configuration... [OK]
Quelle est la version abrégée la plus courte de la commande copy running-config startup-config?
cop r s
Observez le fichier de configuration initiale
Quelle commande affiche le contenu de la mémoire NVRAM ?
show startup-config
Quelles modifications ont été enregistrées dans le fichier ?
Oui, c’est la même chose que la configuration en cours.
Partie 5: Configurer S2
Vous avez terminé la configuration de S1. Vous allez maintenant configurer S2. Si vous ne vous souvenez plus des commandes, reportez-vous aux parties 1 à 4 pour obtenir de l’aide.
Configurez S2 à l’aide des paramètres suivants :
a. Nom du périphérique:S2
b. Protégez l’accès à la console en utilisant le mot de passe letmein.
c. Configurez le mot de passe d’activation c1$c0 et le mot de passe secret actif itsasecret.
d. Créez un message approprié pour les personnes qui se connectent au commutateur.
Authorized access only. Unauthorized access is prohibited and violators will be prosecuted to the full extent of the law.
e. Chiffrez tous les mots de passe en clair.
f. Assurez-vous que la configuration est correcte.
g. Enregistrez le fichier de configuration afin d’éviter toute perte de données en cas de mise hors tension du commutateur.
Switch> enable Switch# config t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# hostname S2 S2(config)# line console 0 S2(config-line)# password letmein S2(config-line)# login S2(config-line)# enable password c1$c0 S2(config)# enable secret itsasecret S2(config)# banner motd $any text here$ S2(config)# service password-encryption S2(config)# do copy running-config startup-config
Instructions:
Commutateur 1 – S1
enable configure terminal hostname S1 line console 0 password letmein login enable password c1$c0 enable secret itsasecret service password-encryption banner motd #This is a secure system. Authorized Access Only!# end copy running-config startup-config
Commutateur 2 – S2
enable configure terminal hostname S2 line console 0 password letmein login enable password c1$c0 enable secret itsasecret service password-encryption banner motd #Authorized access only. Unauthorized access is prohibited and violators will be prosecuted to the full extent of the law.# end copy running-config startup-config