2.

4 Configuration de
base des
périphériques

Faites défiler pour commencer

2.4.1 Noms de périphériques

Vous avez beaucoup appris sur le Cisco IOS, la navigation dans l'IOS et la structure de
commande. Maintenant, vous êtes prêt à configurer les périphériques! La première
commande de configuration sur un périphérique doit être l'attribution d'un nom de
périphérique ou un nom d'hôte unique. Par défaut, tous les périphériques se voient attribuer
un nom d'usine par défaut. Par exemple, un commutateur Cisco IOS est "Switch".
Si tous les périphériques réseau ont conservé leurs noms par défaut, il sera difficile
d'identifier un périphérique spécifique. Par exemple, comment sauriez-vous que vous êtes
connecté au bon appareil lorsque vous y accédez à distance à l'aide de SSH ? Le nom
d'hôte confirme que vous êtes connecté au périphérique approprié.

Le nom par défaut doit être remplacé par quelque chose de plus descriptif. En revanche, si
vous les choisissez intelligemment, vous n'aurez aucune peine à mémoriser, décrire et
utiliser les noms des périphériques réseau. Les directives pour la configuration des noms
d'hôte sont répertoriées ci-dessous:

débutent par une lettre

Ne contiennent pas d'espaces
se terminent par une lettre ou un chiffre
Ne comportent que des lettres, des chiffres et des tirets
Comportent moins de 64 caractères

Une organisation doit choisir une convention de dénomination qui facilite et intuitif
l'identification d'un appareil spécifique. IOS distingue les majuscules des minuscules dans
les noms d'hôte utilisés pour les périphériques. Par exemple, dans la figure, trois
commutateurs couvrant trois étages différents sont interconnectés sur un réseau. La
convention d'attribution de noms utilisée a pris en compte l'emplacement et le rôle que joue
chaque périphérique. La documentation réseau doit expliquer comment ces noms ont été
choisis afin que des périphériques supplémentaires puissent être nommés en conséquence.

Sw-Floor-3

Sw-Floor-2

Sw-Floor-1

Grâce aux noms, il est facile d'identifier les périphériques réseau pour les configurer.
Une fois la convention d'attribution de noms établie, l'étape suivante consiste à associer ces
noms aux périphériques à l'aide de la CLI. Comme indiquee dans l'illustration, depuis le
mode d'exécution privilégié, accédez au mode de configuration globale en entrant la
commande configure terminal . Remarquez le changement dans l'invite de commandes.

Switch# configure terminal

Switch(config)# hostname Sw-Floor-1
Sw-Floor-1(config)#

Depuis le mode de configuration globale, entrez la commande hostname suivie du nom du

commutateur, puis appuyez sur Enter. Remarquez le changement dans le nom de l'invite de
commandes.

Remarque: Pour renvoyer le commutateur à l'invite par défaut, utilisez la commande de

config globale no hostname.

N'oubliez pas de mettre à jour la documentation chaque fois que vous ajoutez ou modifiez
un périphérique. Dans la documentation, identifiez les périphériques par leur emplacement,
leur rôle et leur adresse.
2.4.2 Recommandations relatives aux
mots de passe forts
L'utilisation de mots de passe faibles ou facilement devinés continue d'être la préoccupation
la plus importante des organisations en matière de sécurité. Des mots de passe doivent
toujours être configurés pour les périphériques réseau, y compris les routeurs sans fil
domestiques, afin de limiter l'accès administratif.

Cisco IOS peut être configuré pour utiliser des mots de passe de mode hiérarchique afin de
permettre d'établir différents privilèges d'accès à un périphérique réseau.

Tous les périphériques réseau doivent limiter l'accès administratif en sécurisant les accès
d'exécution, d'exécution utilisateur et Telnet à distance avec des mots de passe. En outre,
tous les mots de passe doivent être cryptés et des notifications légales doivent être fournies.

Utilisez des mots de passe forts qui ne sont pas faciles à deviner. Pour choisir les mots de
passe, respectez les règles suivantes:

Utilisez des mots de passe de plus de 8 caractères.

Utilisez une combinaison de lettres majuscules et minuscules, des chiffres, des
caractères spéciaux et/ou des séquences de chiffres.
Évitez d'utiliser le même mot de passe pour tous les périphériques.
N'utilisez pas des mots courants car ils sont faciles à deviner.

Utilisez une recherche sur Internet pour trouver un générateur de mot de passe. Plusieures
vous permettront de définir la longueur, le jeu de caractères et d'autres paramètres.

Classe de Remarque: La plupart des laboratoires de ce cours utilisent des mots de passe
simples tels que cisco ou ****. Il faut éviter ces mots de passe dans les environnements de
production, car ils sont considérés comme faibles et faciles à deviner. Nous n'utilisons ces
mots de passe que pour une utilisation dans une salle de cours ou pour illustrer des
exemples de configuration.
2.4.3 Configurer les mots de passe

Lorsque vous vous connectez initialement à un périphérique, vous êtes en mode

d'exécution utilisateur. Ce mode est sécurisé à l'aide de la console.

Pour sécuriser l'accès en mode d'exécution utilisateur, entrez le mode de configuration de la

console de ligne à l'aide de la commande de configuration globale line console 0 , comme
indiqué dans l'exemple. Le zéro sert à représenter la première (et le plus souvent, la seule)
interface de console. Spécifiez ensuite le mot de passe du mode d'exécution utilisateur à
l'aide de la commande password mot de passe. Enfin, activez l'accès d'exécution utilisateur
à l'aide de la commande login .

Sw-Floor-1# configure terminal

Sw-Floor-1(config)# line console 0
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#

La console d'accès requiert à présent un mot de passe avant d'accéder au mode

d'exécution utilisateur.

Pour disposer d'un accès administrateur à toutes les commandes IOS, y compris la
configuration d'un périphérique, vous devez obtenir un accès privilégié en mode d'exécution.
C'est la méthode d'accès la plus importante car elle fournit un accès complet à l'appareil.
Pour sécuriser l'accès au mode d'exécution privilégié, utilisez la commande de config.
globale enable secret mot de passe, comme indiqué dans l’illustration.

Sw-Floor-1# configure terminal

Sw-Floor-1(config)# enable secret class
Sw-Floor-1(config)# exit
Sw-Floor-1#

Les lignes VTY (terminal virtuel) activent l'accès à distance au périphérique en utilisant
Telnet ou SSH. Plusieurs commutateurs Cisco prennent en charge jusqu'à 16 lignes VTY,
numérotées de 0 à 15.

Pour sécuriser les lignes VTY, entrez le mode VTY ligne à l'aide de la commande de config.
globale line vty 0 15 . Spécifiez ensuite le mot de passe VTY à l'aide de la commande
password mot de passe . En dernier lieu, activez l'accès VTY à l'aide de la commande
login.

Un exemple de sécurisation des lignes VTY sur un commutateur est illustré.

Sw-Floor-1# configure terminal

Sw-Floor-1(config)# line vty 0 15
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#
2.4.4 Chiffrer les mots de passe

Les fichiers startup-config et running-config affichent la pluPartie des mots de passe en clair.
C'est une menace à la sécurité dans la mesure où n'importe quel utilisateur peut voir les
mots de passe utilisés s'il a accès à ces fichiers.

Pour chiffrer tous les mots de passe en texte clair, utilisez la commande de config. globale
service password-encryption comme indiqué dans l’illustration.

Sw-Floor-1# configure terminal

Sw-Floor-1(config)# service password-encryption
Sw-Floor-1(config)#

La commande applique un chiffrement simple à tous les mots de passe non chiffrés. Ce
chiffrement ne s'applique qu'aux mots de passe du fichier de configuration; il ne s'applique
pas lorsque les mots de passe sont transmis sur le réseau. Le but de cette commande est
d'empêcher les personnes non autorisées de lire les mots de passe dans le fichier de
configuration.

Utilisez la commande show running-config pour vérifier que les mots de passe sont
maintenant chiffrés.

Sw-Floor-1(config)# end
Sw-Floor-1# show running-config
 !

!
line con 0
password 7 094F471A1A0A
login
!
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
!
!
end

2.4.5 Messages de bannière

Bien que les mots de passe soient l'un des moyens dont vous disposez pour empêcher
l'accès non autorisé à un réseau, il est vital de mettre en place une méthode pour déclarer
que l'accès à un périphérique est réservé aux seules personnes autorisées. À cet effet,
ajoutez une bannière aux informations affichées par le périphérique. Les bannières peuvent
constituer une pièce importante dans un procès intenté à une personne qui aurait accédé
illégalement à un périphérique. En effet, dans certains systèmes juridiques, il est impossible
de poursuivre des utilisateurs, ni même de les surveiller s'ils n'ont pas reçu de notification
appropriée au préalable.

Pour créer une bannière MOTD (Message Of The Day) sur un périphérique réseau, utilisez
la commande de config. globale du banner motd # du message du jour # . Le "#" situé dans
la syntaxe de la commande est le caractère de délimitation. Il est placé avant et après le
message. Vous pouvez utiliser comme délimiteur tout caractère ne figurant pas dans le
message. C'est la raison pour laquelle les symboles tels que "#" sont souvent employés
comme délimiteurs. Une fois cette commande exécutée, la bannière s'affiche lors de toutes
les tentatives d'accès au périphérique jusqu'à ce que vous la supprimiez.

L'exemple suivant montre les étapes de configuration de la bannière sur Sw-Floor-1.

Sw-Floor-1# configure terminal

Sw-Floor-1(config)# banner motd #Authorized Access Only#
2.4.6 Vidéo - Sécuriser l'accès
administratif à un commutateur.

Cliquez sur le bouton Lecture dans la figure pour afficher une démonstration vidéo
expliquant comment sécuriser l'accès administratif à un commutateur.

Transcription
Suivez en utilisant la transcription.

Montrer Transcription
2.4.7 Contrôleur de syntaxe -
Configuration de base du périphérique

Sécuriser l'accès à la gestion d'un commutateur.

Attribuez un nom de périphérique.

Sécurisez l'accès au mode d'exécution utilisateur.
Sécurisez l'accès au mode d'exécution privilégié.
Sécurisez l'accès VTY.
Cryptez tous les mots de passe en clair.
Affichez la bannière.

Enter global configuration mode.

Switch#
 Réinitialiser Démonstration

Afficher tout

2.4.8 Vérifiez votre compréhension -

Configuration du périphérique de base

Vérifiez votre compréhension de configuration du périphérique de base en choisissant

la MEILLEURE réponse aux questions suivantes.

Question 1

Quelle est la commande utilisée pour attribuer le nom «Sw-Floor-2» à un commutateur ?

 radio_button_unchecked hostname Sw-Floor-2

radio_button_unchecked host name Sw-Floor-2

radio_button_unchecked name Sw-Floor-2

Question 2

Comment l'accès privilégié en mode d'exécution est-il sécurisé sur un commutateur ?

radio_button_unchecked enable class

radio_button_unchecked secret class

radio_button_unchecked enable secret class

radio_button_unchecked service password-encryption

Question 3
Quelle commande active l'authentification par mot de passe pour l'accès en mode
d'exécution utilisateur sur un commutateur ?

radio_button_unchecked enable secret

radio_button_unchecked login

radio_button_unchecked secret

radio_button_unchecked service password-encryption

Question 4

Quelle commande permet de chiffrer tous les mots de passe en texte clair sur un
commutateur ?

radio_button_unchecked enable secret

radio_button_unchecked login

radio_button_unchecked secret

radio_button_unchecked service password-encryption

Question 5

Quelle est la commande pour configurer une bannière à afficher lors la connexion à un
commutateur ?

radio_button_unchecked banner $ Keep out $

radio_button_unchecked banner motd $ Keep out $

radio_button_unchecked display $ Keep out $

radio_button_unchecked login banner $ Keep out $

Cliquez sur 'Soumettre' si vous êtes satisfait de vos réponses ci-dessus.

Soumettre