Cahier d'ingénierie — CCNA3 (ENSA)
Référence des commandes pour l'épreuve pratique. Syntaxe IOS Cisco.
Légende :
<...>= à remplacer ·[ ]= optionnel ·(config)#= mode config global ·(config-if)#= mode interface
0. Repères de navigation
enable ! passage en mode privilégié
configure terminal ! mode config global
exit ! recule d'un niveau
end / Ctrl+Z ! retour direct au mode privilégié
do <commande show> ! exécuter une show depuis le mode config
1. Configuration de base d'un équipement
hostname <NOM>
! Bannière
banner motd #Accès interdit#
! Mots de passe console / vty / enable
enable secret <MDP> ! enable chiffré (préférer à enable password)
service password-encryption ! chiffre les mdp en clair restants
line console 0
password <MDP>
login
exec-timeout 5 0 ! déconnexion auto 5 min
logging synchronous ! évite que les logs coupent la frappe
line vty 0 4
password <MDP>
login
Interface (IPv4 / IPv6)
interface g0/0/0
description Lien vers <X>
ip address <IP> <MASQUE>
ipv6 address <PREFIXE>/<LONGUEUR>
ipv6 address fe80::1 link-local
no shutdown
! Interface loopback
interface loopback 0
ip address <IP> <MASQUE>
! Activer le routage IPv6
ipv6 unicast-routing
2. Sécurisation des équipements (device hardening)
! Longueur minimale des mots de passe
security passwords min-length 10
! Blocage après échecs de connexion
login block-for 120 attempts 3 within 60
! Désactiver services inutiles
no ip domain-lookup ! évite résolution DNS sur faute de frappe
no ip http server
no cdp run ! (selon consigne) couper CDP globalement
3. SSH (accès distant sécurisé)
hostname <NOM>
ip domain-name <domaine.local>
! Générer la clé RSA (≥ 1024 bits)
crypto key generate rsa
How many bits in the modulus [512]: 1024
! Version 2 obligatoire
ip ssh version 2
! Utilisateur local
username admin privilege 15 secret <MDP>
! Forcer SSH sur les lignes VTY
line vty 0 4
transport input ssh
login local
Vérification : show ip ssh · show crypto key mypubkey rsa
4. Sécurité des ports (port security — switch)
interface fa0/1
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security violation shutdown ! ou restrict / protect
Vérification : show port-security · show port-security interface fa0/1 · show port-security address
5. OSPFv2 — single-area
router ospf 1
router-id 1.1.1.1 ! ID manuel (recommandé)
network 10.0.0.0 0.0.0.255 area 0 ! attention : wildcard mask
network 192.168.1.0 0.0.0.3 area 0
passive-interface g0/0/1 ! pas d'OSPF sur les LAN
default-information originate ! propage la route par défaut
auto-cost reference-bandwidth 1000 ! ajuste le calcul de coût (Gbps)
Réglages par interface
interface g0/0/0
ip ospf 1 area 0 ! activer OSPF par interface (alternative à network)
ip ospf cost 10 ! coût manuel
ip ospf priority 100 ! influencer l'élection DR/BDR (0 = jamais DR)
ip ospf hello-interval 10
ip ospf dead-interval 40
Authentification OSPF (si demandée)
interface g0/0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 <CLE>
Vérification :
show ip ospf neighbor
show ip ospf interface [brief]
show ip route ospf
show ip protocols
show ip ospf
OSPFv3 (IPv6) — si présent
ipv6 unicast-routing
router ospfv3 1
router-id 1.1.1.1
interface g0/0/0
ospfv3 1 ipv6 area 0
6. ACL — Standard (numérotée 1–99 / 1300–1999)
Filtre sur l'adresse source uniquement. À placer près de la destination.
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 deny host 192.168.2.5
access-list 10 permit any
! (deny any implicite à la fin)
! Application sur interface
interface g0/0/0
ip access-group 10 out
7. ACL — Étendue (numérotée 100–199 / 2000–2699)
Filtre sur source, destination, protocole, port. À placer près de la source.
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 10.0.0.1 eq 80
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443
access-list 100 deny icmp any any
access-list 100 permit ip any any
interface g0/0/0
ip access-group 100 in
Opérateurs de port : eq (égal), gt, lt, neq, range <début> <fin>
Mots-clés utiles : host <ip>, any, established (TCP retour)
8. ACL — Nommée (recommandé : éditable ligne par ligne)
ip access-list extended FILTRE-WEB
10 permit tcp 192.168.1.0 0.0.0.255 any eq 80
20 permit tcp 192.168.1.0 0.0.0.255 any eq 443
30 deny ip any any
interface g0/0/0
ip access-group FILTRE-WEB in
Édition : entrer dans l'ACL nommée, puis no 20 pour supprimer une ligne ou réinsérer avec un numéro de séquence.
9. ACL IPv6 (toujours nommées)
ipv6 access-list FILTRE-V6
permit tcp 2001:db8:1::/64 any eq 80
deny ipv6 any any
interface g0/0/0
ipv6 traffic-filter FILTRE-V6 in
⚠️ IPv6 ajoute 2 entrées implicites avant le
denyfinal (permit icmp ... nd-na/nd-ns).
Vérification ACL : show access-lists · show ip access-lists · show ipv6 access-list · show run | include access
10. NAT statique
ip nat inside source static 192.168.1.10 209.165.200.5
interface g0/0/1
ip nat inside
interface g0/0/0
ip nat outside
11. NAT dynamique (pool)
ip nat pool POOL1 209.165.200.1 209.165.200.30 netmask 255.255.255.224
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 pool POOL1
interface g0/0/1
ip nat inside
interface g0/0/0
ip nat outside
12. PAT (surcharge / overload)
Avec un pool :
ip nat inside source list 1 pool POOL1 overload
Avec l'IP de l'interface de sortie (cas le plus courant) :
access-list 1 permit 192.168.0.0 0.0.255.255
ip nat inside source list 1 interface g0/0/0 overload
interface g0/0/1
ip nat inside
interface g0/0/0
ip nat outside
Vérification NAT :
show ip nat translations
show ip nat statistics
clear ip nat translation * ! purge la table
debug ip nat ! diagnostic en direct
13. Gestion réseau (network management)
NTP
ntp server 209.165.200.1
ntp update-calendar
clock timezone CET 1
! vérif : show ntp status / show ntp associations
Syslog
logging host 192.168.1.100
logging trap warnings ! niveau de sévérité
service timestamps log datetime msec
! vérif : show logging
SNMP (lecture seule)
snmp-server community <CHAINE> ro
snmp-server location <LIEU>
snmp-server contact <CONTACT>
CDP / LLDP
cdp run / no cdp run ! global
interface g0/0/0
cdp enable / no cdp enable ! par interface
lldp run ! activer LLDP globalement
interface g0/0/0
lldp transmit
lldp receive
Vérif : show cdp neighbors [detail] · show lldp neighbors [detail]
14. Sauvegarde & gestion des fichiers IOS
copy running-config startup-config ! sauvegarder (= write / wr)
copy running-config tftp ! vers serveur TFTP
copy startup-config tftp
copy tftp running-config ! restaurer
show flash: ! lister la flash
dir ! lister fichiers
copy flash: tftp: ! sauvegarder l'image IOS
erase startup-config ! réinitialiser la config
reload ! redémarrer
15. Commandes de vérification / troubleshooting
! État général
show running-config
show ip interface brief ! état + IP de toutes les interfaces (le réflexe n°1)
show ipv6 interface brief
show interfaces [g0/0/0]
show interfaces status ! (switch) statut + vlan + vitesse
! Routage
show ip route
show ipv6 route
show ip protocols
! Connectivité
ping <ip>
ping <ip> source <ip>
traceroute <ip>
ssh -l admin <ip>
! VLAN / switch (rappel CCNA2 souvent utile)
show vlan brief
show mac address-table
show spanning-tree
show etherchannel summary
Mémo des erreurs fréquentes en épreuve
- Wildcard mask : OSPF et ACL utilisent le masque inversé (
0.0.0.255), pas le masque réseau. - Sens de l'ACL : standard → près de la destination ; étendue → près de la source. Vérifier
in/outselon le point de vue de l'interface. deny anyimplicite : penser à unpermit anyfinal si besoin.- NAT : ne jamais oublier
ip nat inside/ip nat outsidesur les interfaces. - SSH : il faut
hostname+ip domain-nameavant de générer la clé RSA, etlogin localsur les VTY. - OSPF : définir un
router-idmanuel pour la stabilité, etpassive-interfacesur les LAN. - Toujours finir par
copy running-config startup-config. ```