Cahier d'ingénierie — CCNA3 (ENSA)

Référence des commandes pour l'épreuve pratique. Syntaxe IOS Cisco.

Légende : <...> = à remplacer · [ ] = optionnel · (config)# = mode config global · (config-if)# = mode interface


0. Repères de navigation

enable                          ! passage en mode privilégié
configure terminal              ! mode config global
exit                            ! recule d'un niveau
end / Ctrl+Z                    ! retour direct au mode privilégié
do <commande show>              ! exécuter une show depuis le mode config

1. Configuration de base d'un équipement

hostname <NOM>

! Bannière
banner motd #Accès interdit#

! Mots de passe console / vty / enable
enable secret <MDP>                 ! enable chiffré (préférer à enable password)
service password-encryption         ! chiffre les mdp en clair restants

line console 0
 password <MDP>
 login
 exec-timeout 5 0                    ! déconnexion auto 5 min
 logging synchronous                 ! évite que les logs coupent la frappe

line vty 0 4
 password <MDP>
 login

Interface (IPv4 / IPv6)

interface g0/0/0
 description Lien vers <X>
 ip address <IP> <MASQUE>
 ipv6 address <PREFIXE>/<LONGUEUR>
 ipv6 address fe80::1 link-local
 no shutdown

! Interface loopback
interface loopback 0
 ip address <IP> <MASQUE>

! Activer le routage IPv6
ipv6 unicast-routing

2. Sécurisation des équipements (device hardening)

! Longueur minimale des mots de passe
security passwords min-length 10

! Blocage après échecs de connexion
login block-for 120 attempts 3 within 60

! Désactiver services inutiles
no ip domain-lookup                 ! évite résolution DNS sur faute de frappe
no ip http server
no cdp run                          ! (selon consigne) couper CDP globalement

3. SSH (accès distant sécurisé)

hostname <NOM>
ip domain-name <domaine.local>

! Générer la clé RSA (≥ 1024 bits)
crypto key generate rsa
  How many bits in the modulus [512]: 1024

! Version 2 obligatoire
ip ssh version 2

! Utilisateur local
username admin privilege 15 secret <MDP>

! Forcer SSH sur les lignes VTY
line vty 0 4
 transport input ssh
 login local

Vérification : show ip ssh · show crypto key mypubkey rsa


4. Sécurité des ports (port security — switch)

interface fa0/1
 switchport mode access
 switchport port-security
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 switchport port-security violation shutdown      ! ou restrict / protect

Vérification : show port-security · show port-security interface fa0/1 · show port-security address


5. OSPFv2 — single-area

router ospf 1
 router-id 1.1.1.1                          ! ID manuel (recommandé)
 network 10.0.0.0 0.0.0.255 area 0          ! attention : wildcard mask
 network 192.168.1.0 0.0.0.3 area 0
 passive-interface g0/0/1                    ! pas d'OSPF sur les LAN
 default-information originate               ! propage la route par défaut
 auto-cost reference-bandwidth 1000          ! ajuste le calcul de coût (Gbps)

Réglages par interface

interface g0/0/0
 ip ospf 1 area 0                            ! activer OSPF par interface (alternative à network)
 ip ospf cost 10                             ! coût manuel
 ip ospf priority 100                        ! influencer l'élection DR/BDR (0 = jamais DR)
 ip ospf hello-interval 10
 ip ospf dead-interval 40

Authentification OSPF (si demandée)

interface g0/0/0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 <CLE>

Vérification :

show ip ospf neighbor
show ip ospf interface [brief]
show ip route ospf
show ip protocols
show ip ospf

OSPFv3 (IPv6) — si présent

ipv6 unicast-routing
router ospfv3 1
 router-id 1.1.1.1

interface g0/0/0
 ospfv3 1 ipv6 area 0

6. ACL — Standard (numérotée 1–99 / 1300–1999)

Filtre sur l'adresse source uniquement. À placer près de la destination.

access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 deny host 192.168.2.5
access-list 10 permit any
! (deny any implicite à la fin)

! Application sur interface
interface g0/0/0
 ip access-group 10 out

7. ACL — Étendue (numérotée 100–199 / 2000–2699)

Filtre sur source, destination, protocole, port. À placer près de la source.

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 10.0.0.1 eq 80
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443
access-list 100 deny icmp any any
access-list 100 permit ip any any

interface g0/0/0
 ip access-group 100 in

Opérateurs de port : eq (égal), gt, lt, neq, range <début> <fin> Mots-clés utiles : host <ip>, any, established (TCP retour)


8. ACL — Nommée (recommandé : éditable ligne par ligne)

ip access-list extended FILTRE-WEB
 10 permit tcp 192.168.1.0 0.0.0.255 any eq 80
 20 permit tcp 192.168.1.0 0.0.0.255 any eq 443
 30 deny ip any any

interface g0/0/0
 ip access-group FILTRE-WEB in

Édition : entrer dans l'ACL nommée, puis no 20 pour supprimer une ligne ou réinsérer avec un numéro de séquence.


9. ACL IPv6 (toujours nommées)

ipv6 access-list FILTRE-V6
 permit tcp 2001:db8:1::/64 any eq 80
 deny ipv6 any any

interface g0/0/0
 ipv6 traffic-filter FILTRE-V6 in

⚠️ IPv6 ajoute 2 entrées implicites avant le deny final (permit icmp ... nd-na/nd-ns).

Vérification ACL : show access-lists · show ip access-lists · show ipv6 access-list · show run | include access


10. NAT statique

ip nat inside source static 192.168.1.10 209.165.200.5

interface g0/0/1
 ip nat inside
interface g0/0/0
 ip nat outside

11. NAT dynamique (pool)

ip nat pool POOL1 209.165.200.1 209.165.200.30 netmask 255.255.255.224
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 pool POOL1

interface g0/0/1
 ip nat inside
interface g0/0/0
 ip nat outside

12. PAT (surcharge / overload)

Avec un pool :

ip nat inside source list 1 pool POOL1 overload

Avec l'IP de l'interface de sortie (cas le plus courant) :

access-list 1 permit 192.168.0.0 0.0.255.255
ip nat inside source list 1 interface g0/0/0 overload

interface g0/0/1
 ip nat inside
interface g0/0/0
 ip nat outside

Vérification NAT :

show ip nat translations
show ip nat statistics
clear ip nat translation *        ! purge la table
debug ip nat                      ! diagnostic en direct

13. Gestion réseau (network management)

NTP

ntp server 209.165.200.1
ntp update-calendar
clock timezone CET 1
! vérif : show ntp status / show ntp associations

Syslog

logging host 192.168.1.100
logging trap warnings           ! niveau de sévérité
service timestamps log datetime msec
! vérif : show logging

SNMP (lecture seule)

snmp-server community <CHAINE> ro
snmp-server location <LIEU>
snmp-server contact <CONTACT>

CDP / LLDP

cdp run / no cdp run            ! global
interface g0/0/0
 cdp enable / no cdp enable     ! par interface

lldp run                        ! activer LLDP globalement
interface g0/0/0
 lldp transmit
 lldp receive

Vérif : show cdp neighbors [detail] · show lldp neighbors [detail]


14. Sauvegarde & gestion des fichiers IOS

copy running-config startup-config      ! sauvegarder (= write / wr)
copy running-config tftp                 ! vers serveur TFTP
copy startup-config tftp
copy tftp running-config                 ! restaurer

show flash:                              ! lister la flash
dir                                      ! lister fichiers
copy flash: tftp:                        ! sauvegarder l'image IOS

erase startup-config                     ! réinitialiser la config
reload                                   ! redémarrer

15. Commandes de vérification / troubleshooting

! État général
show running-config
show ip interface brief              ! état + IP de toutes les interfaces (le réflexe n°1)
show ipv6 interface brief
show interfaces [g0/0/0]
show interfaces status               ! (switch) statut + vlan + vitesse

! Routage
show ip route
show ipv6 route
show ip protocols

! Connectivité
ping <ip>
ping <ip> source <ip>
traceroute <ip>
ssh -l admin <ip>

! VLAN / switch (rappel CCNA2 souvent utile)
show vlan brief
show mac address-table
show spanning-tree
show etherchannel summary

Mémo des erreurs fréquentes en épreuve

  • Wildcard mask : OSPF et ACL utilisent le masque inversé (0.0.0.255), pas le masque réseau.
  • Sens de l'ACL : standard → près de la destination ; étendue → près de la source. Vérifier in/out selon le point de vue de l'interface.
  • deny any implicite : penser à un permit any final si besoin.
  • NAT : ne jamais oublier ip nat inside / ip nat outside sur les interfaces.
  • SSH : il faut hostname + ip domain-name avant de générer la clé RSA, et login local sur les VTY.
  • OSPF : définir un router-id manuel pour la stabilité, et passive-interface sur les LAN.
  • Toujours finir par copy running-config startup-config. ```