La configuration propos\u00e9e est adapt\u00e9e \u00e0 un environnement de type BTS CIEL \/ SIO<\/strong>, mais reprend \u00e9galement des bonnes pratiques utilis\u00e9es en conditions r\u00e9elles d\u2019exploitation.<\/p>\n\n\n\n <\/p>\n\n\n\n Cette configuration permet d\u2019initialiser un switch Cisco en mettant en place un acc\u00e8s d\u2019administration s\u00e9curis\u00e9 \u00e0 distance avec SSH<\/strong>. Elle d\u00e9sactive l\u2019acc\u00e8s non s\u00e9curis\u00e9 par Telnet<\/strong>, chiffre les mots de passe visibles dans la configuration et limite l\u2019acc\u00e8s SSH aux machines autoris\u00e9es.<\/p>\n\n\n\n Ces commandes permettent de passer en mode privil\u00e9gi\u00e9, puis en mode configuration globale. C\u2019est dans ce mode que l\u2019on peut modifier la configuration du switch.<\/p>\n\n\n\n Cette commande donne un nom au switch. Ici, le switch s\u2019appelle Cette commande d\u00e9sactive la r\u00e9solution DNS automatique. Sans cette commande, si une commande est mal tap\u00e9e, le switch peut essayer de la r\u00e9soudre comme un nom de domaine, ce qui provoque une attente inutile.<\/p>\n\n\n\n Cette commande d\u00e9finit le mot de passe du mode privil\u00e9gi\u00e9. Le mot de passe configur\u00e9 avec Cette commande chiffre les mots de passe visibles dans la configuration. Cela \u00e9vite que certains mots de passe apparaissent en clair dans le fichier de configuration.<\/p>\n\n\n\n Attention : ce chiffrement prot\u00e8ge surtout contre une lecture rapide de la configuration. Ce n\u2019est pas un chiffrement tr\u00e8s fort, mais c\u2019est une bonne pratique de base.<\/p>\n\n\n\n Cette commande cr\u00e9e un utilisateur local nomm\u00e9 Le niveau Cette commande d\u00e9finit un nom de domaine local. Elle est n\u00e9cessaire pour g\u00e9n\u00e9rer les cl\u00e9s RSA utilis\u00e9es par SSH.<\/p>\n\n\n\n Cette commande g\u00e9n\u00e8re les cl\u00e9s RSA du switch. Ces cl\u00e9s sont utilis\u00e9es pour \u00e9tablir une connexion SSH chiffr\u00e9e.<\/p>\n\n\n\n Une taille de 2048 bits<\/strong> est recommand\u00e9e pour une meilleure s\u00e9curit\u00e9.<\/p>\n\n\n\n Cette commande force l\u2019utilisation de SSH version 2. SSH v2 est plus s\u00e9curis\u00e9 que SSH v1.<\/p>\n\n\n\n Cette commande limite le temps d\u2019attente lors d\u2019une tentative de connexion SSH. Ici, le switch attend au maximum 60 secondes.<\/p>\n\n\n\n Cette commande limite le nombre de tentatives d\u2019authentification SSH. Ici, seules 2 tentatives sont autoris\u00e9es avant coupure de la session.<\/p>\n\n\n\n Les lignes VTY sont les lignes utilis\u00e9es pour les connexions distantes, comme SSH ou Telnet.<\/p>\n\n\n\n Sur beaucoup de switchs Cisco, il existe plusieurs lignes VTY, par exemple de Cette commande autorise uniquement SSH sur les lignes VTY.<\/p>\n\n\n\n Elle d\u00e9sactive donc l\u2019acc\u00e8s Telnet, car Telnet n\u2019est pas indiqu\u00e9 dans les protocoles autoris\u00e9s.<\/p>\n\n\n\n Cette commande indique au switch d\u2019utiliser la base d\u2019utilisateurs locale pour l\u2019authentification.<\/p>\n\n\n\n Dans notre cas, le switch utilisera donc l\u2019utilisateur :<\/p>\n\n\n\n Cette commande ferme automatiquement la session apr\u00e8s 5 minutes d\u2019inactivit\u00e9.<\/p>\n\n\n\n Cela \u00e9vite qu\u2019une session SSH reste ouverte ind\u00e9finiment sur un poste oubli\u00e9.<\/p>\n\n\n\n Cette commande cr\u00e9e une ACL standard num\u00e9ro Elle autorise uniquement les adresses IP du r\u00e9seau :<\/p>\n\n\n\n Le masque wildcard Donc les machines autoris\u00e9es sont celles comprises entre :<\/p>\n\n\n\n Toutes les autres adresses sont refus\u00e9es implicitement.<\/p>\n\n\n\n Cette commande applique l\u2019ACL 10 sur les lignes VTY en entr\u00e9e.<\/p>\n\n\n\n Cela signifie que seules les machines du r\u00e9seau C\u2019est une mesure importante : m\u00eame si SSH est s\u00e9curis\u00e9, on limite les machines autoris\u00e9es \u00e0 acc\u00e9der \u00e0 l\u2019administration.<\/p>\n\n\n\n Cette partie configure l\u2019adresse IP de management du switch.<\/p>\n\n\n\n Le switch re\u00e7oit ici l\u2019adresse :<\/p>\n\n\n\n Cette adresse permet d\u2019administrer le switch \u00e0 distance, par exemple en SSH.<\/p>\n\n\n\n La commande Cette commande indique la passerelle par d\u00e9faut du switch.<\/p>\n\n\n\n Elle est utile si le switch doit \u00eatre administr\u00e9 depuis un autre r\u00e9seau.<\/p>\n\n\n\n Par exemple, si le poste d\u2019administration n\u2019est pas dans le m\u00eame r\u00e9seau que le switch, le switch doit savoir vers quelle passerelle envoyer ses r\u00e9ponses.<\/p>\n\n\n\n Sur un switch de couche 2, on utilise :<\/p>\n\n\n\n Sur un switch de couche 3 avec le routage activ\u00e9, on utiliserait plut\u00f4t une route par d\u00e9faut.<\/p>\n\n\n\n Cette commande permet de quitter le mode configuration et de revenir au mode privil\u00e9gi\u00e9.<\/p>\n\n\n\n Cette commande sauvegarde la configuration active dans la m\u00e9moire de d\u00e9marrage.<\/p>\n\n\n\n Elle est \u00e9quivalente \u00e0 :<\/p>\n\n\n\n Sans cette sauvegarde, la configuration serait perdue au red\u00e9marrage du switch.<\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Dans un contexte o\u00f9 les \u00e9quipements r\u00e9seau sont des points critiques du syst\u00e8me d\u2019information, il est essentiel de s\u00e9curiser leur acc\u00e8s d\u00e8s leur mise en service. Par d\u00e9faut, un switch peut \u00eatre expos\u00e9 \u00e0 des connexions non s\u00e9curis\u00e9es ou \u00e0 des tentatives d\u2019acc\u00e8s non contr\u00f4l\u00e9es. Cette fiche pr\u00e9sente une configuration de base permettant de mettre […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[4,10],"tags":[3],"class_list":["post-12","post","type-post","status-publish","format-standard","hentry","category-cisco","category-reseau","tag-cisco"],"yoast_head":"\n![\"\"](\"http:\/\/192.168.20.20\/wp-content\/uploads\/2026\/05\/image-1-1024x683.png\")
<\/figure>\n\n\n\nenable\nconfigure terminal\n\n! Nom du switch\nhostname S1\n\n! D\u00e9sactive la r\u00e9solution DNS (\u00e9vite les blocages)\nno ip domain-lookup\n\n! Mot de passe privil\u00e9gi\u00e9\nenable secret MonMotDePasseFort\n\n! Chiffrement des mots de passe\nservice password-encryption\n\n! Cr\u00e9ation d\u2019un utilisateur local\nusername admin privilege 15 secret MotDePasseAdminFort\n\n! Domaine (obligatoire pour SSH)\nip domain-name lab.local\n\n! G\u00e9n\u00e9ration des cl\u00e9s RSA (2048 bits recommand\u00e9)\ncrypto key generate rsa\n2048\n\n! S\u00e9curisation SSH\nip ssh version 2\nip ssh time-out 60\nip ssh authentication-retries 3\n\n! Configuration des acc\u00e8s VTY : SSH uniquement (pas de Telnet)\nline vty 0 15\ntransport input ssh\nlogin local\nexec-timeout 5 0\nexit\n\n! (Option avec ACL) Restriction par IP\naccess-list 10 permit 192.168.1.0 0.0.0.255\nline vty 0 15\naccess-class 10 in\nexit\n\n! Interface de management (VLAN 1 par d\u00e9faut)\ninterface vlan 1\nip address 192.168.1.10 255.255.255.0\nno shutdown\nexit\n\n! Passerelle par d\u00e9faut\nip default-gateway 192.168.1.1\nend\n\n! Sauvegarde de la configuration\nwrite memory\n\n! ou : copy running-config startup-config\n! ou : copy run start<\/code><\/pre>\n\n\n\nExplication d\u00e9taill\u00e9e de la configuration<\/h2>\n\n\n\n
enable
configure terminal<\/code><\/pre>\n\n\n\nhostname S1<\/code><\/pre>\n\n\n\nS1<\/code>. Cela permet de mieux identifier l\u2019\u00e9quipement dans le terminal, surtout lorsqu\u2019on administre plusieurs \u00e9quipements r\u00e9seau.<\/p>\n\n\n\nno ip domain-lookup<\/code><\/pre>\n\n\n\nenable secret MonMotDePasseFort<\/code><\/pre>\n\n\n\nenable secret<\/code> est chiffr\u00e9 de mani\u00e8re plus s\u00e9curis\u00e9e que l\u2019ancien enable password<\/code>.<\/p>\n\n\n\nservice password-encryption<\/code><\/pre>\n\n\n\nusername admin privilege 15 secret MotDePasseAdminFort<\/code><\/pre>\n\n\n\nadmin<\/code>.<\/p>\n\n\n\nprivilege 15<\/code> donne \u00e0 cet utilisateur les droits administrateur complets sur le switch. Le mot de passe est d\u00e9fini avec secret<\/code>, ce qui est pr\u00e9f\u00e9rable \u00e0 password<\/code>.<\/p>\n\n\n\nip domain-name lab.local<\/code><\/pre>\n\n\n\ncrypto key generate rsa
2048<\/code><\/pre>\n\n\n\nip ssh version 2<\/code><\/pre>\n\n\n\nip ssh time-out 60<\/code><\/pre>\n\n\n\nip ssh authentication-retries 2<\/code><\/pre>\n\n\n\nline vty 0 15<\/code><\/pre>\n\n\n\n0<\/code> \u00e0 15<\/code>.<\/p>\n\n\n\ntransport input ssh<\/code><\/pre>\n\n\n\nlogin local<\/code><\/pre>\n\n\n\nusername admin privilege 15 secret MotDePasseAdminFort<\/code><\/pre>\n\n\n\nexec-timeout 5 0<\/code><\/pre>\n\n\n\naccess-list 10 permit 192.168.1.0 0.0.0.255<\/code><\/pre>\n\n\n\n10<\/code>.<\/p>\n\n\n\n192.168.1.0\/24<\/code><\/pre>\n\n\n\n0.0.0.255<\/code> correspond au masque classique :<\/p>\n\n\n\n255.255.255.0<\/code><\/pre>\n\n\n\n192.168.1.1 et 192.168.1.254<\/code><\/pre>\n\n\n\nline vty 0 15
access-class 10 in<\/code><\/pre>\n\n\n\n192.168.1.0\/24<\/code> peuvent tenter une connexion SSH vers le switch.<\/p>\n\n\n\ninterface vlan 1
ip address 192.168.1.10 255.255.255.0
no shutdown<\/code><\/pre>\n\n\n\n192.168.1.10\/24<\/code><\/pre>\n\n\n\nno shutdown<\/code> active l\u2019interface VLAN.<\/p>\n\n\n\nip default-gateway 192.168.1.1<\/code><\/pre>\n\n\n\nip default-gateway 192.168.1.1<\/code><\/pre>\n\n\n\nend<\/code><\/pre>\n\n\n\nwrite memory<\/code><\/pre>\n\n\n\ncopy running-config startup-config<\/code><\/pre>\n\n\n\n