TUTORIEL  
-
CISCO PACKET TRACER  
Présentation et utilisation de Packet Tracer :  
Packet Tracer est un logiciel de CISCO permettant de construire un réseau physique virtuel et de simuler le  
comportement des protocoles réseaux sur ce réseau. Lutilisateur construit son réseau à l’aide d’équipements tels que  
les routeurs, les commutateurs ou des ordinateurs. Ces équipements doivent ensuite être reliés via des connexions  
(câbles divers, fibre optique). Une fois l’ensemble des équipements reliés, il est possible pour chacun d’entre eux, de  
configurer les adresses IP, les services disponibles, etc . . .  
Résumé en 5 parties  
Partie 1 : Description générale  
La figure 1 montre un aperçu général de Packet Tracer. La zone (1) est la partie dans laquelle le réseau est construit.  
Les équipements sont regroupés en catégories accessibles dans la zone (2). Une fois la catégorie sélectionnée, le type  
d’équipement peut être sélectionné dans la zone (3). La zone (6) contient un ensemble d’outils :  
– Select : pour déplacer ou éditer des équipements  
– Move Layout : permet de déplacer le plan de travail  
– Place Note : place des notes sur le réseau  
– Delete : supprime un équipement ou une note  
– Inspect : permet d’ouvrir une fenêtre d’inspection sur un équipement (table ARP, routage)  
La zone (5) permet d’ajouter des indications dans le réseau. Enfin, la zone (4) permet de passer du mode temps réel au  
mode simulation.  
Partie 2 : Construire un réseau  
Pour construire un réseau, l’utilisateur doit choisir parmi les 8 catégories proposées par Packet Tracer : les routeurs,  
les switchs, les hubs, les équipements sans-fil, les connexions, les équipements dits terminaux (ordinateurs, serveurs),  
des équipements personnalisés et enfin, une connexion multi-utilisateurs. Lorsqu’une catégorie est sélectionnée,  
l’utilisateur a alors le choix entre plusieurs équipements différents. Pour ajouter un équipement, il suffit de cliquer  
dessus puis de cliquer à l’endroit choisi.  
La figure 2 correspond à la zone décrite.  
Pour relier deux équipements, il faut choisir la catégorie “Connections” puis cliquer sur la connexion désirée. Dans  
nos différents travaux pratiques, nous n’utiliserons que 2 sortes de connexions : les câbles droits (Copper Straight-  
Through) et les câbles croisés (Copper Cross- Over ). Ils sont en position 3 et 4 sur la partie droite de la figure 2.  
Partie 3 : Configuration d’un équipement  
Lorsqu’un ordinateur a été ajouté (appelé PC-PT dans Packet Tracer ), il est possible de le configurer en cliquant  
dessus, une fois ajouté dans le réseau. Une nouvelle fenêtre s’ouvre comportant 3 onglets : Physical (aperçu réel de la  
machine et de ses modules), Config (configuration passerelle, DNS et adresse IP) et Desktop (ligne de commande ou  
navigateur Web). Dans l’onglet Config, il est possible de configurer la passerelle par défaut, ainsi que l’adresse du  
serveur DNS (cliquez pour cela sur le bouton Settings  
en-dessous du bouton Global ). Il est possible aussi de configurer l’adresse IP et le masque de sous-réseau (cliquez  
pour cela sur le bouton FastEthernet en- dessous du bouton INTERFACE).  
Partie 4 : Mode simulation  
Une fois le réseau créé et prêt à fonctionner, il est possible de passer en mode simulation, ce qui permet de visualiser  
tous les messages échangés dans le réseau. En mode simulation, la fenêtre principale est scindée en deux, la partie de  
droite permettant de gérer le mode simulation : exécution pas-à-pas, vitesse de simulation, protocoles visibles. La  
partie gauche de la figure 4 montre la partie simulation et sa partie droite montre les détails obtenus en cliquant sur un  
message (ici HTTP).  
Partie 5 : Invite de commandes  
Il est possible d’ouvrir une invite de commandes sur chaque ordinateur du réseau. Elle est accessible depuis le  
troisième onglet, appelé Desktop, accessible lorsque l’on clique sur un ordinateur pour le configurer (mode sélection).  
Cet onglet contient un ensemble d’outils dont l’invite de commandes (Command prompt) et un navigateur Internet  
(Web Browser ).  
Linvite de commandes permet d’exécuter un ensemble de commandes relatives au réseau. La liste est accessible en  
tapant help. En particulier, les commandes ping, arp, tracert et ipconfig sont accessibles. Si Packet Tracer est en mode  
simulation, les messages échangés suite à un appel à la commande ping peuvent ainsi être visualisés.  
Sommaire :  
Table des matières  
1. Téléchargement et installation du logiciel « Cisco Packet Tracer ».........................................................4  
2. Présentation des onglets et des icônes du logiciel....................................................................................6  
3. Présentation de l’assistant........................................................................................................................10  
4. Réalisation d’une activité simple.............................................................................................................14  
5. Réalisation d’une activité avec un routeur, puis plusieurs routeurs.......................................................16  
Commande pour naviguer dans l’onglet « CLI » :.................................................................................17  
6. Routeur personnalisable.........................................................................................................................20  
7. Création et configuration du serveur DHCP...........................................................................................21  
8. Pour sauvegarder la configuration du Switch ou Routeur de la RAM vers la NVRAM :......................22  
9. Virtualisation :........................................................................................................................................26  
9.1 VLAN :.................................................................................................................................................. 27  
9.2 VLAN natif :..........................................................................................................................................28  
10. Création mot de passe :.........................................................................................................................30  
10.1 Création d’un utilisateur avec mot de passe :.................................................................................31  
10.2 Pour connecter l’ordinateur à un routeur / switch via la console :..................................................31  
11. TELNET :............................................................................................................................................. 33  
12. SSH :.....................................................................................................................................................33  
13. Serveur de temps : NTP (Network Time Protocol)..............................................................................34  
14. Serveur de logs :................................................................................................................................... 34  
15. Serveur Radius :....................................................................................................................................35  
16. Routage statique...................................................................................................................................35  
17. Routage dynamique :............................................................................................................................36  
18. Serveur TFTP :.....................................................................................................................................37  
19. ACL (access list)....................................................................................................................................40  
20. NAT :..................................................................................................................................................... 41  
21. Domotique :........................................................................................................................................... 42  
1. Téléchargement et installation du logiciel « Cisco Packet Tracer ».  
Commençons par le télécharger pour notre système d’exploitation Windows.  
A cette adresse : https://packet-tracer.fr.malavida.com/windows/download  
Une fois téléchargé sur votre ordinateur, vous pouvez passer à la phase : Installation du logiciel.  
Maintenant que vous avez fini l’installation. Lancer le logiciel «Cisco Packet Tracer ».  
Une fenêtre va s’ouvrir pour vous demander de vous connecter : (exemple : « Guest user ».)  
Aller dans « Pare-feu Windows Defender », puis « Paramètres avancés ».  
Sur « Règle de trafic sortant », faire un clic droit sur « Nouvelle règle »  
Sélectionnez « Programmes »  
 
Cochez « Au programme ayant pour  
chemin d’accès : »  
Cliquez sur le bouton « Parcourir ».  
Allez à l’endroit où vous avez installer le  
logiciel, puis allez dans le dossier bin, puis  
sélectionnez « Packet Tracer.exe ».  
Dans notre exemple :  
P:\Cisco Packet Tracer\Packet Tracer.exe  
puis cliquez sur « Suivant »  
Cochez « Bloquer la connexion »  
puis « Suivant »  
Cochez « Domaine, Privé, Public »  
puis « Suivant »  
Dans la case « Nom : »  
on a marqué :  
« Bloquer Packet Tracer en sortie »  
ça décrit bien la nouvelle règle pour le pare-feu :  
c’est clair et précis !  
« Terminer »  
La voici dans la liste du Pare-feu :  
2. Présentation des onglets et des icônes du logiciel.  
Ouvrir le programme :  
 
On va commencer par en haut à gauche :  
Fichiers  
Editer  
Options  
Voir  
Outils  
Extensions  
Fenêtre  
Aide  
Puis en haut à droite :  
Maintenant on va faire la même chose pour les icônes en bas à gauche :  
Le reste des icônes du bas :  
3. Présentation de l’assistant.  
3.1 Démarrage de l’assistant (en option)  
Utiliser l’icône  
« Activity Wizard » ou le menu « Extensions » puis sur « Activity Wizard ... »  
ou le raccourci Ctrl + W pour lancer l’assistant :  
La fenêtre de « Bienvenue » s’affiche :  
Lassistant montre bien les différentes étapes possibles (mais pas obligatoires) pour atteindre l’objectif que  
l’on s’est fixé : créer une activité  
Traduction des item :  
Bienvenue  
instructions  
réseau réponse  
scripting  
réseau initial  
mot de passe  
Test de l’activité  
Enregistrer  
Enregistrer sous pka  
Enregistrer sous pkz  
Exporter sous CC  
Quitter  
 
Dans la fenêtre « Variable Manager » on a :  
Onglet « introduction » :  
Onglet « Seeds » :  
Onglet « Number » :  
Onglet « Strings » :  
Onglet « IPAdresses » :  
Il n’est pas obligatoire de suivre toutes les étapes, ni de les effectuer dans un ordre prédéfini.  
Pour ne pas tout présenter d’un coup, nous nous proposons d’aller dans un premier temps à l’essentiel, de  
manière à aboutir rapidement à une activité fonctionnelle :  
Indiquer le réseau « réponse », autrement dit le réseau cible auquel l’étudiant doit aboutir  
Indiquer le réseau « initial », autrement dit le réseau de départ, au moment de l’ouverture de l’activité  
Donner quelques instructions pour la conduite de l’activité  
Tester l’activité.  
Ensuite, nous nous occuperons de quelques étapes que l’on peut considérer comme optionnelles, mais fort  
intéressantes :  
Transformer l’activité en activité autocorrective avec :  
Lattribution de points aux ajouts demandés à l’étudiant  
Lautomatisation de tests, rapportant également des points, pour vérifier le fonctionnement attendu.  
Limiter l’action de l’étudiant sur les équipements, par exemple pour l’obliger à utiliser le langage de  
commande plutôt que l’interface Packet Tracer pour configurer les routeurs.  
3.2 Mise en place d’un réseau « réponse »  
Cliquer sur l’item « Answer Network »  
Lassistant rend la main sur la maquette pour que l’on puisse construire le réseau initial.  
Mais on peut également utiliser l’assistant, qui reste présent derrière le schéma,  
ou bien accessible via le chapeau étoilé présent dans la fenêtre.  
Il est tout à fait envisageable, en effet, que la maquette que l’on souhaite obtenir,  
soit déjà réalisée et stockée quelque part dans notre espace de travail.  
4. Réalisation d’une activité simple.  
Commençons par configurer un ordinateur fixe.  
Sélectionnez-le dans « End devices », puis « PC ».  
Si la petite icône d’interdiction s’affiche, ça signifie que l’appareil que vous devez de sélectionner est prêt à  
être utilisé.  
Cliquer dans l’espace blanc, afin de faire apparaître l’ordinateur fixe. Puis clic gauche sur celui-ci, une petite fenêtre  
va s’afficher :  
- cliquez sur l’onglet « Config »  
- puis sur « FastEthernet0 »  
- cocher la case « On » pour activer le port.  
Puis pour notre exemple,  
on va mettre en adresse IP : 192.168.1.2  
En masque : 255.255.255.0  
Autre modification :  
-Toujours dans « Config », cliquez sur « Settings ».  
La case « Display Name » permet de modifier le nom en haut à  
gauche de la petite fenêtre. Exemple : l’adresse IP comme nom.  
(plus facile de se repérer pour plus tard quand on sera dans l’onglet  
‘’Desktop’’ ainsi que pour communiquer avec quelqu’un d’autre si on  
fait une capture d’écran).  
N’oubliez pas de mettre une étiquette sous votre ordinateur afin de se rappeler de son adresse IP.  
192.168.1.2  
Passons maintenant au switch.  
Sélectionnez-le dans « Network Devices », puis « Switchs ».  
On va prendre le premier de la liste.  
 
Si la petite icône d’interdiction s’affiche, ça signifie que l’appareil que vous devez de sélectionner est prêt à  
être utilisé.  
Cliquer dans l’espace blanc (la zone de travail), afin de faire apparaître votre switch. C’est tout !  
Passons au branchement avec le câble Ethernet. Il existe 2 catégories de câble : câble droit et câble croisé.  
Soit vous prenez le câble droit, et vous pouvez câbler 2 appareils qui NE font PAS partis de la même famille.  
Exemple :  
- un ordinateur et un switch  
- un routeur et un switch  
Soit vous prenez le câble croisé, et vous pouvez câbler 2 appareils qui font partis de la même famille.  
Exemple :  
- 2 ordinateurs  
- un ordinateur et un routeur  
- 2 routeurs  
Dans notre cas, on a un PC et un switch, donc on va sélectionner un câble droit.  
Clic gauche sur l’ordinateur que vous souhaitez câbler au switch, puis sur le port « FastEthernet0 ». Vous venez de  
brancher le câble Ethernet à l’ordinateur. Maintenant on va sélectionner sa destination : un port sur le switch.  
(clic gauche sur le switch)  
On va prendre le port numéro 1 : « FastEthernet 0/1 ».  
Si vous avez les 2 voyants verts sur votre câble, ça signifie que le câble est  
bien alimenté. Il reste vert même si vous avez oublié de mettre une adresse IP.  
Si c’est en orange, c’est qu’il faut attendre.  
Si c’est en rouge : - soit vous avez oublié de cocher la case  
‘’ON’’ (activer le port)  
- soit ce n’est pas le bon câble  
Affichage des ports sur le câble entre les appareils :  
C’est plus facile pour se repérer quand on configure.  
Pour pouvoir les afficher, on va dans « Options »,  
« Préférences » et on coche la case :  
« Always Show PortLabels in Logical Workspace ».  
Fermer la fenêtre.  
Pour vérifier si les adresses IP ainsi les masques ont bien été enregistrés, on va faire un test « PING ».  
( voir le tutoriel – PING et TRACERT )  
5. Réalisation d’une activité avec un routeur, puis plusieurs  
routeurs.  
Si vous souhaitez installer un routeur,  
il faudra le choisir dans la liste des routeurs.  
Commençons par le premier routeur de la liste.  
Si la petite icône d’interdiction s’affiche, ça signifie que l’appareil que vous devez de sélectionner est  
prêt à être utilisé.  
Cliquer dans l’espace blanc, afin de faire apparaître le routeur. Puis clic gauche sur celui-ci, une petite fenêtre va  
s’afficher :  
configurer :  
On va aller dans l’onglet « Config » pour modifier son nom, afin que ça soit plus agréable à  
 
La case « Display Name » permet de modifier le nom en haut à gauche de la petite fenêtre.  
La case « Hostname » permet de modifier le nom du routeur dans sa configuration. (voir dans l’onglet CLI )  
Autre exemple : avec un routeur qui se trouve sur un autre réseau, la configuration de l’ordinateur est pareille, à un  
détail près : on rajoute la passerelle par défaut qui correspond au port (chaque port a sa propre adresse IP) ainsi que  
son masque par défaut.  
Maintenant on va configurer le Routeur :  
Sélectionner le routeur puis dans l’onglet « Physical », on va arrêter puis allumer le routeur, en cliquant sur  
l’interrupteur du routeur.  
ATTENTION !! En faisant cette manipulation, vous faîtes un RESET du routeur.  
Commande pour naviguer dans l’onglet « CLI » :  
 
Dans l’onglet CLI , écrivez « no » puis tapez sur la touche du clavier « Entrée » afin d’obtenir la suite.  
Si vous n’avez pas la suite alors écrivez ligne par ligne, n’oubliez pas de valider la ligne avec la touche « Entrée ».  
--- System Configuration Dialog ---  
Would you like to enter the initial configuration dialog? [yes/no]: no  
Press RETURN to get started!  
Router>  
Pour modifier sa configuration, il suffit de taper :  
Router>enable  
Router#configure terminal  
Router(config)#  
««« on peut le remplacer par: conf t  
Modification du nom du switch ou routeur grâce à la commande « hostname » afin de le retrouver plus facilement :  
on va le nommer ‘’Fanta’’  
Router(config)#  
Router(config)#hostname Fanta  
Fanta(config)#  
Configuration de l'interface gigabitEthernet 0/0/0 : (voir l’adresse IP que vous avez mis en étiquette)  
Fanta(config)#interface gigabitEthernet 0/0/0  
Fanta(config-if)#ip address 192.168.1.1 255.255.255.0  
Fanta(config-if)#no shutdown  
no shutdown : permet d’activer le port  
La commande « exit » ou « ex » c’est pour revenir en arrière dans le menu :  
Fanta(config-if)#exit  
Fanta(config)#  
on est passé de ‘’config-if’’ à ‘’config’’  
Configuration de l'interface gigabitEthernet 0/0/1 :  
Fanta(config)#interface gigabitEthernet 0/0/1  
Fanta(config-if)#ip address 192.168.2.1 255.255.255.0  
Fanta(config-if)#no shutdown  
Maintenant que vous avez configurez les 2 ports GigabitEthernet, vous pouvez fermer l’interface du routeur.  
Autre exemple avec 2 routeurs :  
Configuration du routeur Paris :  
Router>  
Router>enable  
Router#configure terminal  
Router(config)#hostname Paris  
««« on peut le remplacer par: conf t  
Paris(config)#interface gigabitEthernet 0/0/0  
Paris(config-if)#ip address 192.168.1.1 255.255.255.0  
Paris(config-if)#no shutdown  
Paris(config-if)#ex  
Paris(config)#interface gigabitEthernet 0/0/1  
Paris(config-if)#ip address 192.168.3.1 255.255.255.0  
Paris(config-if)#no shutdown  
Configuration du routeur Marseille :  
Router>  
Router>enable  
Router#configure terminal  
Router(config)#hostname Marseille  
Marseille(config)#interface gigabitEthernet 0/0/0  
Marseille(config-if)#ip address 192.168.2.1 255.255.255.0  
Marseille(config-if)#no shutdown  
Marseille(config-if)#ex  
Marseille(config)#interface gigabitEthernet 0/0/1  
Marseille(config-if)#ip address 192.168.3.2 255.255.255.0  
Marseille(config-if)#no shutdown  
Afficher la table de routage du routeur Marseille :  
Marseille>show ip route connected  
C 192.168.2.0/24 is directly connected, GigabitEthernet0/0/0  
C 192.168.3.0/24 is directly connected, GigabitEthernet0/0/1  
Ajouter la route pour montrer au routeur Marseille comment aller au réseau 192.168.1.0 (rose)  
Marseille(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1  
Ajouter la route pour montrer au routeur Paris comment aller au réseau 192.168.2.0 (bleu)  
Paris(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2  
La commande « show ip route connected » permet de voir les réseaux déjà connectés au routeur.  
La commande « IP route connected » permet de voir les réseaux que le routeur connaît déjà.  
IP route 192.168.2.0 255.255.255.0 192.168.4.2  
IP route 192.168.3.0 255.255.255.0 192.168.4.2  
IP route 192.168.5.0 255.255.255.0 192.168.4.2  
La commande « show ip route static » permet d’afficher les réseaux qui ont été rajouté.  
La commande « show ip route » est la plus utilisée car elle affiche tous les réseaux que le routeur connaît déjà ou qui  
ont été rajoutés par la suite.  
La commande « no » avant d’écrire le reste de la commande permet d’annuler ou supprimer la commande déjà configurée.  
Exemple :  
Faire un test avec « PING » pour vérifier si tout est bien configuré. Si ça ne va pas, vous avez aussi :  
exemple avec tracert + l’adresse IP : Tracert 192.168.3.2  
« tracert » permet de suivre à la trace les paquets vers quel(s) adresse(s) IP ils sont passés.  
(voir le tutoriel sur le ping et le tracert, si vous avez besoin plus d’aide).  
Exemple avec 4 routeurs :  
6. Routeur personnalisable  
Si vous souhaitez augmenter le nombre de ports sur un routeur (maximum 10 ports), il faudra choisir le  
routeur « PT-Empty ».  
 
Cliquer dans l’espace blanc, afin de faire apparaître le routeur. Puis clic gauche sur celui-ci, une petite fenêtre va  
s’afficher :  
- Dans l’onglet « Physical »,  
- Etape 1 : on va éteindre le routeur en appuyant  
sur l’interrupteur (voir la flèche numéro 2).  
N’hésitez pas à zoomer pour voir que le voyant  
vert n’est plus allumé).  
- Etape 2 : On va sélectionner dans la liste des  
modules : le modèle Carte Gigabit Ethernet  
(voir la flèche numéro 1)  
En bas, vous avez une description de la carte  
que vous avez sélectionné.  
- Etape 3 : Cliquer sur la carte (voir flèche  
numéro 3) et tout en la maintenant, vous allez  
la faire glisser vers un emplacement vide (voir  
flèche numéro 4).  
Recommencer l’étape 3 jusqu’à que vous avez votre nombre de ports Gigabit Ethernet que vous voulez configurer.  
(maximum 10). Maintenant vous savez installer une carte d’extension dans un routeur personnalisable.  
- Etape 4 : Rappuyer sur l’interrupteur afin de le rallumer (voyant vert actif).  
7. Création et configuration du serveur DHCP  
Le serveur DHCP doit être configuré en « statique »,  
puis :  
Interface FastEthernet, Service « ON »  
Pool name : tm214  
Default Gateway : 192.168.1.1  
DNS Server : 192.168.1.10  
Start IP address : 192.168.1.51  
Subnet Mark : 255.255.255.0  
Maximum number of Users : 20  
N’oubliez pas de cliquez sur « Add » puis sur « Save ».  
Configuration d’un routeur entre l’ordinateur et le serveur DHCP :  
 
Accédez à l'interface du routeur qui doit laisser passer les broadcasts :  
Dans l’onglet « CLI » :  
Router>  
Router>enable  
Router#configure terminal  
Enter configuration commands, one per line. End with CNTL/Z.  
Router(config)#interface fastEthernet /0  
Router(config-if)#ip helper-address 172.16.0.100  
Router(config-if)#^Z  
= permet de laisser passer les broadcasts  
La commande « Ctrl + Z » est représenté par : ^Z  
Router#  
%SYS-5-CONFIG_I: Configured from console by console  
8. Pour sauvegarder la configuration du Switch ou Routeur de  
la RAM vers la NVRAM :  
Switch#copy running-config startup-config  
wr = write = copy running-config startup-config  
Sinon « do wr »  
La commande « reload » pour redémarrer l’appareil.  
Effacer la config du switch stockée en FLASH :  
Switch#delete config.text  
Effacer la config du switch stockée en NVRAM :  
Switch#erase startup-config  
Visualisaton du fichier de configuraton courante :  
Switch#Show running-config  
Visualisaton du fichier de configuraton de démarrage :  
Switch#Show startup-config  
 
Switch#dir nvram  
Switch#dir flash ou show flash  
le fichier *.bin  
c’est le système d’exploitation du routeur  
La commande « do » : Pour exécuter des commandes d'exécution en mode configuration, quelque soit son chemin.  
router#do dir flash  
Pour ajouter une descripton au routeur ou switch :  
Router (config)#interface fastEthernet 0/1  
Router (config-if)#descripton : LAN reseau 192.168.14.0 - connecter au PC du service Producton  
Switch (config)#interface vlan 1  
Switch (config-if)#descripton : Vlan1 reseau 192.168.15.0 - LAN du PC  
La commande « show running-config » pour voir les descriptons :  
show = affiche  
Router#show version  
----------------------------------------------------------------------------------------------------------------------------------------------  
la commande « ? »  
pour obtenir l’aide.  
la commande « show ? »  
pour obtenir plus  
d’informations  
à propos de show.  
En étant dans « configure terminal »  
on utilise la commande « ? » pour  
obtenir l’aide de configure terminal.  
9. Virtualisation :  
Création d’un port virtuel :  
interface VirtualPortGroup0  
Uploading and Running VM on 819HG-4G-IOX  
To add a new VM via Cisco Application Management:  
1. From the PC, https://172.1.1.1:8443  
(Cisco Application Management is listening on port 8443)  
3. Username/Password is cisco/cisco  
4. Click on Add/Deploy button to add a new VM.  
5. enter vm1 for Id and choose vm1.ova as the file.  
6. After uploading the Applications page should reflect the newly added VM  
7. Run and Stop the VM using the GUI.  
--------------------------  
Another way to add a new VM is via tftp to the flash dir:  
1. Set TFTP server's directory to the vm1 directory:  
Go to Desktop > TFTP Server and browse to the vm1 directory.  
2. On the router, download ova file via tftp:  
Router#copy ttp flash  
Address or name of remote host []? 172.1.1.2  
Source filename []? vm1.ova  
Destnaton filename [vm1.ova]?  
3. Install / unisntall the VM:  
Router#virtual-service install name vm1 package flash:/vm1.ova  
Router#virtual-service uninstall name vm1  
4. Run / stop the VM:  
Router>enable  
Router#configure terminal  
Router(config)#virtual-service vm1  
Router(config-virt-serv)#[no] actvate  
 
9.1 VLAN :  
Switch avec le mode access :  
Switch>enable  
Switch#configure terminal  
Switch(config)#vlan 5  
Switch(config-vlan)#name gefi  
Switch(config-vlan)#exit  
Switch(config)#interface range fastEthernet 0/1-2  
Switch(config-if-range)#switchport mode access  
Switch(config-if-range)#switchport access vlan 5  
Switch(config-if-range)#no shutdown  
Switch(config-if-range)#end  
#(il ne voit qu'un seul Vlan, ici le vlan 5)  
#(associer le vlan 5 aux ports 1 et 2)  
Switch#show vlan brief  
Switch avec le mode trunk :  
Switch>enable  
Switch#configure terminal  
Switch(config)#interface fastEthernet 0/4  
Switch(config-if)#switchport mode trunk  
Switch(config-if)#no shutdown  
Switch(config-if)#exit  
Switch(config)#Show interface trunk  
Switch avec le mode channel :  
Switch>enable  
Switch#configure terminal  
Switch(config)#interface fastEthernet 0/1-3  
Switch(config-if-range)#channel-group 1 ?  
Switch(config-if-range)#channel-group 1 mode on  
Switch#show etherchannel summary  
Switch(config)#interface port-channel 1  
Switch(config-if)#switchport mode trunk  
Switch#show interfaces trunk  
Router :  
Router>enable  
Router#configure terminal  
Router(config)#interface gigabitEthernet 0/0/0.1  
Router(config-subif)#  
%LINK-5-CHANGED: Interface GigabitEthernet0/0/0.1, changed state to up  
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0.1, changed state to up  
Router(config-subif)#encapsulaton dot1Q 10  
Router(config-subif)#ip address 192.168.1.1 255.255.255.0  
Pour annuler : Router(config-subif)#no ip address 192.168.1.1 255.255.255.0  
Router(config-subif)#no shutdown  
Router(config-subif)#exit  
Router(config)#interface gigabitEthernet 0/0/0.2  
Router(config-subif)#encapsulaton dot1Q 20  
Router(config-subif)#ip address 192.168.2.1 255.255.255.0  
Router(config-subif)#no shutdown  
Router(config-subif)#end  
Router#show ip interface brief  
Interface  
GigabitEthernet0/0/0  
GigabitEthernet0/0/0.1  
GigabitEthernet0/0/0.2  
IP-Address  
unassigned  
192.168.1.1  
192.168.2.1  
OK?  
YES  
YES  
YES  
Method Status  
unset up  
manual up  
manual up  
Protocol  
up  
up  
up  
 
9.2 VLAN natif :  
Les meilleures pratiques pour sécuriser votre infrastructure, y compris la couche 2, sont les suivantes :  
Sélectonnez un VLAN non utlisé (autre que VLAN 1) et utlisez celui-ci comme VLAN natf pour tous vos liens  
Trunks. N'utlisez pas ce VLAN natf pour aucun de vos ports d'accès actvés (connectés à des appareils de type PC).  
SW2>enable  
SW2#configure terminal  
SW2(config)#interface fastEthernet 0/4  
SW2(config-if)# switchport trunk encapsulation dot1q  
SW2(config-if)# switchport mode trunk  
SW2(config-if)# switchport trunk native vlan 3  
■ Évitez d'utiliser le VLAN 1 n'importe où, parce que c'est un VLAN par défaut.  
■ Configurer administrativement les ports d'accès en tant que ports d'accès afin que les utilisateurs ne puissent  
pas négocier un trunk et désactiver la négociation du trunk (pas de protocole de trunk dynamique [DTP]).  
SW2>enable  
SW2#configure terminal  
SW2(config)#interface fastEthernet 0/4  
SW2(config-if)# switchport nonegotate  
■ Limiter le nombre d'adresses MAC apprises sur un port donné avec la sûreté du port-security  
SW2>enable  
SW2#configure terminal  
SW2(config)#interface fastEthernet 0/4  
SW2(config-if)# switchport port-security maximum 5  
Contrôler le spanning tree pour empêcher les utilisateurs ou les appareils inconnus de manipuler le spanning  
tree. Vous pouvez le faire en utilisant les fonctionnalités BPDU Guard  
SW2>enable  
SW2#configure terminal  
SW2(config)#interface fastEthernet 0/4  
SW2(config-if)# spanning-tree bpduguard enable et Root Guard  
SW2(config-if)# spanning-tree guard root.  
Désactivez Cisco Discovery Protocol (CDP) sur les ports faisant face à des réseaux non fiables ou inconnus  
qui n'exigent pas de CDP pour quoi que ce soit de positif. (CDP fonctionne à la couche 2 et peut fournir aux  
attaquants des renseignements que nous préférons ne pas divulguer.)  
SW2>enable  
SW2#configure terminal  
SW2(config)#interface fastEthernet 0/4  
SW2(config-if)# no cdp enable et  
SW2(config)# no lldp run  
■ Sur un nouvel commutateur, fermez tous les ports et assignez-les à un VLAN qui n'est pas utilisé pour quoi  
que soit. Ensuite, configurer les ports nécessaires et assignez les aux VLANs correspondant.  
SW2>enable  
SW2#configure terminal  
SW2(config)# vlan 999 et  
SW2(config-vlan)# name BlackHole  
SW2(config-vlan)# interface range fa0/20 - 24  
SW2(config-if-range)# shutdown  
SW2(config-if-range)# switchport mode access  
SW2(config-if-range)# switchport access vlan 999  
 
Différentes commandes afin d’améliorer la sécurité (commutateur) :  
Port security : Prévenir les attaques CAM (Forwarding Data Base) ainsi que l’épuisement du pool DHCP,  
limite le Nb d’@MAC par port du Switch.  
Switch>enable  
Switch#configure terminal  
Switch(config)# interface fastethernet 0/1-3  
Switch(config-if)# switchport mode access  
Switch(config-if)# switchport mode access nonegociate  
Switch(config-if)# switchport port-security  
Soit Switch(config-if)#switchport port-security mac-address 0002.4A5A.4BC5  
Soit Switch(config-if)# switchport port-security mac-address sticky  
+ Soit Switch(config-if)#switchport port-security violation protect  
+ Soit Switch(config-if)#switchport port-security violation restrict  
+ Soit Switch(config-if)# switchport port-security violation shutdown  
(par exemple)  
(enregistre la première adresse MAC)  
DHCP snooping : Protège notre réseau d'un Serveur DHCP non désiré, mais pas d'un Client (solus : IPSG)  
Switch>enable  
Switch#configure terminal  
Switch(config)# ip dhcp snooping  
Switch(config)# ip dhcp snooping vlan 1  
Switch(config)# interface FastEthernet 0/1  
Switch(config-if)# ip dhcp snooping trust  
Switch(config)# int fa0/24 (PC Client)  
Switch(config-if)# ip dhcp snooping limit rate 20  
Dynamic ARP Inspection : Prévenir des attaques basées sur les requêtes ARP (protège contre le ARP Spoofing  
conjointement au DHCP Snooping)  
SwitchA>enable  
SwitchA#configure terminal  
SwitchA(config)# ip arp inspection vlan 1  
SwitchA(config)# interface fastethernet 6/3  
SwitchA(config-if)# ip arp inspection trust  
SwitchA(config)# ip arp inspection validate src-mac dst-mac ip  
SwitchA(config)# ip arp inspection log-buffer entries 200  
IP Source Guard (IPSG) : Protège notre réseau d'un Client non désiré  
SwitchA>enable  
SwitchA#configure terminal  
SwitchA(config)# interface GigabitEthernet 0/1  
SwitchA(config-if)# ip verify source mac-check  
SwitchA (config)# ip source binding 0100.0022.0010 vlan 10 10.0.0.2 interface gigabitethernet 1/0/1  
(Un exemple de IPSG entré manuellement)  
SwitchA (config-if)#ip verify source  
Entrée statique pour un hôte :  
SwitchA>enable  
SwitchA#configure terminal  
SwitchA(config)# ip device tracking  
SwitchA(config)# interface gigabitethernet1/0/3  
SwitchA(config-if)# switchport mode access  
SwitchA(config-if)# switchport access vlan 10  
SwitchA(config-if)# ip device tracking maximum 5  
SwitchA(config-if)# ip verify source tracking  
SwitchA(config-if)# switch access vlan 2  
SwitchA(config)# switch trunk native vlan 999  
SwitchA(config# vlan dot1q tag native  
10. Création mot de passe :  
Switch>enable  
Switch#configure terminal  
Switch(Config)#Enable password Pa$$w0rd  
Switch (config)#Line console 0  
Switch (config-line)#Password PassConsole  
Switch (config-line)#Login  
Switch (config-line)#Logging synchronous  
Switch (config-line)#Exec-tmeout 5 0  
Switch (config)#Line vty 0 15  
Switch (config-line)#Password PassVty  
Switch (config-line)#Login  
c’est le résumé de : « vty 0 4 » et « vty 5 15 »  
Switch (config-line)#logging synchronous  
Switch (config-line)#Exec-tmeout 5 0  
Entrer la commande permettant de chiffrer les mots de passe en clair :  
Switch(config)#service password-encrypton  
Pour annuler : Switch(config)#no service password-encrypton  
Switch(config)#exit  
Switch#Show running-config | include enable  
 
Met un mot de passe sur le mode privilège comme pour la commande enable password, mais ici “enable  
secret” est prioritaire) :  
Switch (config)#enable secret Pa$$w1rd  
Switch (config)#enable algorithm-type scrypt secret Pa$$w0rd  
10.1 Création d’un utilisateur avec mot de passe :  
Switch (config)#Username bob privilège 1 password Pa$$w0rd  
Switch (config)#username bill privilege 15 password cisco  
Switch (config)#Line console 0  
Switch (config-line)#Login local  
Switch (config-line)#Exit  
Switch (config)#Line vty 0 15  
Switch (config-line)#Login local  
Switch (config-line)#Transport input telnet  
Switch (config-line)#exit  
10.2 Pour connecter l’ordinateur à un routeur / switch via la console :  
Choisir le câble bleu  
Clic droit sur le PC : choisir « RS 232 »  
   
puis clic droit sur le routeur : choisir « Console »  
Clic gauche sur l’ordinateur, puis aller sur le  
« terminal » via l’onglet « Desktop »  
ICI cette commande n’est pas disponible sur Packet Tracer.  
Switch (config)#ip htp server  
Switch (config)#ip htp authentcaton local  
11. TELNET :  
Côté PC :  
“ telnet 192.168.1.1 ”  
password : 1234  
“ enable ”  
% No password set.  
signifie qu’il manque un mot de passe pour le « enable »  
Côté Routeur :  
Côté PC :  
Quand on retape « enable »  
Le routeur affiche Password  
password : 1234  
12. SSH :  
côté Routeur :  
Router>enable  
Router#configure terminal  
Router(config)#hostname Router_GEFI  
Router_GEFI(config)#ip domain-name gefi.local  
Router_GEFI(config)#username Yasmine password 1234  
Router_GEFI(config)#ip ssh version 2  
Router_GEFI(config)#crypto key generate rsa  
How many bits in the modulus [512] : 1024  
Router_GEFI(config)#ip ssh tme-out 120  
côté PC :  
C:\>ssh -L Yasmine 192.168.1.1  
password : 1234  
GEFI>enable  
password : 1234  
   
13. Serveur de temps : NTP  
(Network Time Protocol)  
pour mettre à l’heure le routeur.  
Onglet « Services », puis onglet « NTP ».  
Modifier la date et l’heure,  
puis le mettre en fonctionnement : « On »  
Côté Switch :  
Switch>enable  
Switch#configure terminal  
switch(config)#service timestamp log datetime msec  
switch(config)#ntp server 10.0.0.50  
Côté Routeur :  
router(config)#service timestamp log datetime msec  
router(config)#ntp server 10.0.0.50  
14. Serveur de logs :  
Serveur de Logs : SYSLOG => traça des activités  
Onglet « Services », puis « SYSLOG ».  
Le mettre en fonctionnement : « On »  
Côté Switch :  
Switch>enable  
Switch#configure terminal  
switch(config)#logging on  
switch(config)#logging host 10.0.0.50  
switch(config)#logging console  
switch(config)#exit  
switch#copy running-config startup-config  
Côté Routeur :  
router(config)#logging on  
router(config)#logging host 10.0.0.50  
router(config)#logging console  
router(config)#logging userinfo  
router(config)#exit  
router#copy running-config startup-config  
   
15. Serveur Radius :  
Onglet « Services », puis onglet « AAA ».  
Service : « On »  
Radius Port : 1812  
Client Name : Router1  
Secret : WinRadius  
Client IP : 10.0.0.10  
ServerType : Radius  
puis appuyer sur « Add ».  
Les identifiants pour se connecter au routeur :  
Username : bob  
Password : Pa$$w0rd  
Commande pour le routeur :  
router(config)#aaa authentcaton login default group Radius  
router(config)#radius-server host 10.0.0.50 auth-port 1812 Key WinRadius  
router(config)#aaa authentcaton login TELNET_LINES group radius  
router(config)#line console 0  
router(config)#login authentcaton default  
router(config)#line vty 0 15  
router(config)#login authentcaton default  
16. Routage statique  
Paris#show ip route  
Paris#no ip route 192.168.3.0 255.255.255.0 192.168.2.2  
Paris#no ip route 192.168.4.0 255.255.255.0 192.168.2.2  
Paris#no ip route 192.168.5.0 255.255.255.0 192.168.2.2  
Paris#no ip route 192.168.6.0 255.255.255.0 192.168.2.2  
Paris#no ip route 192.168.7.0 255.255.255.0 192.168.2.2  
pour enlever l’adresse du routeur / switch  
pour enlever l’adresse du routeur / switch  
pour enlever l’adresse du routeur / switch  
pour enlever l’adresse du routeur / switch  
pour enlever l’adresse du routeur / switch  
   
La route par défaut qui va vers 192.168.2.2 :  
Paris(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2  
Lyon#show ip route  
Lyon#show ip route statc  
17. Routage dynamique :  
Paris (config)#router rip  
Paris (config-router)#network 192.168.1.0  
Paris (config-router)#network 192.168.2.0  
network suivi qu’un réseau directement connecté  
 
Dans le protocole IGP (interior gateway protocol), on a le protocole de routage RIP et routage OSPE.  
Dans le protocole EGP (exterior gateway protocol), on a le protocole de routage BGP  
Pour laisser passer la broadcast sur un routeur :  
Router(config)#interface gigabitEthernet 0/0/1  
Router(config-if)#ip helper-address 192.168.1.5  
18. Serveur TFTP :  
Pour faire une sauvegarde vers le serveur TFTP :  
Router1#copy running-config ttp  
Address or name of remote host []? 192.168.15.3  
Destnaton filename [Router1-confg]? Paris  
Erreur avec le serveur TFTP  
Copie réussit !  
Pour faire une récupératon à partr du serveur TFTP :  
Router1#copy ttp running-config  
Address or name of remote host []? 192.168.1.10  
Source filename []? Paris  
Destnaton filename [running-config]? running-config  
 
Changer le routeur, configurez l’interface du nouveau routeur, récupérez ensuite la config à partir du serveur tftp :  
Router#copy tftp startup-config  
Address or name of remote host []? 192.168.1.10  
Source filename []? Paris  
Destination filename [startup-config]?  
Accessing tftp://192.168.1.10/Paris....  
Loading Paris from 192.168.1.10: !  
[OK - 503 bytes]  
503 bytes copied in 3.005 secs (167 bytes/sec)  
Copiez enfin la startup-config dans la runnig-config :  
copy startup-config running-config  
Destination filename [running-config]?  
503 bytes copied in 0.416 secs (1209 bytes/sec)  
gefi250#  
%SYS-5-CONFIG_I: Configured from console by console  
gefi250#  
Le nouveau routeur a récupéré la config de l’ancien routeur y compris son nom. Il s’appelle gefi250  
la commande show mac-address-table”  
permet de voir les machines qui sont reconnues par le switch.  
Commande pour le switch :  
Switch(config)#interface vlan 1  
Switch(config-if)#ip address 192.168.1.1 255.255.255.0  
Switch(config-if)#no shutdown  
Commande pour le router :  
Router(config)#interface gigabitEthernet 0/0/0  
Router(config-if)#ip address 192.168.1.1 255.255.255.0  
Router(config-if)#no shutdown  
Configuraton du switch en MDIX auto :  
S0# configure terminal  
S0(config)# interface fastethernet 0/1  
S0(config-if)# duplex auto  
S0(config-if)# speed auto  
S0(config-if)# mdix auto  
S0# show interface fastethernet 0/1  
Duplex :  
Switch>enable  
Switch#configure terminal  
Switch(config)#interface fastEthernet 0/1  
Switch(config-if)#DUPLEX ?  
auto Enable AUTO duplex configuration  
full Force full duplex operation  
half Force half-duplex operation  
Switch(config-if)#DUPLEX HALF  
Speed :  
Switch(config)#interface fastEthernet 0/1  
Switch(config-if)#speed ?  
10 Force 10 Mbps operation  
100 Force 100 Mbps operation  
auto Enable AUTO speed configuration  
Switch(config-if)#speed auto  
La commande « show processes » pour afficher les  
processus du routeur en cours d’utlisaton.  
19. ACL (access list)  
On vous demande d'empêcher le trafic qui arrive de la récepton d'accéder à la directon :  
Créaton de l'ACL :  
Router(config)#access-list ?  
<1-99> IP standard access list  
<100-199> IP extended access list  
Router(config)#access-list 1 ?  
deny Specify packets to reject  
permit Specify packets to forward  
remark Access list entry comment  
Router(config)#access-list 1 deny ?  
A.B.C.D Address to match  
any Any source host  
host A single host address  
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255  
Router(config)#access-list 1 permit any  
Router(config)#do show access-list 1  
deny 192.168.2.0 0.0.0.255  
permit any  
L'ACL est créée mais elle n'a aucun effet si elle n'est pas appliquée sur une interface. Si on applique l'ACL sur G0/2  
elle va s'appliquer sur tous les paquets qui sortent du réseau 192.168.2.0, y compris ceux qui vont vers 192.168.30.  
Donc on doit l'appliquer sur l'interface G0/1.  
Est ce que on doit l'appliquer sur cete interface inbound (entrant) ou outbound (sortant) ?  
Si on l'applique en inbound elle va s'appliquer sur le trafic qui arrive du réseau 192.168.1.0 (ce n'est pas ce qu'on  
vous demande de faire). Donc on doit l'appliquer sur le trafic outbound.  
Applicaton de l'ACL :  
Router(config)#interface gigabitEthernet 0/1  
Router(config-if)#ip access-group ?  
<1-199> IP access list (standard or extended)  
WORD Access-list name  
Router(config-if)#ip access-group 1 ?  
in inbound packets  
out outbound packets  
Router(config-if)#ip access-group 1 out  
Router#show ip access-lists 1  
Standard IP access list 1  
deny 192.168.2.0 0.0.0.255 (8 match(es))  
permit any  
On veut que l'ordinateur PC2 n'ait pas accès au serveur (un seul ordinateur pas tout le réseau)  
 
Router>enable  
Router#configure terminal  
Router(config)#access-list 2 deny host 192.168.2.2  
Router(config)#access-list 2 permit any  
Router(config)# interface gigabitEthernet 0/0  
Router(config-if)#ip access-group 2 out  
Router#show access-lists 2  
Standard IP access list 2  
deny host 192.168.2.2 (16 match(es))  
permit any (8 match(es))  
20. NAT :  
ROUTER0 :  
Router0>enable  
Router0#configure terminal  
Router0(config)#interface FastEthernet 0/0  
Router0(config-if)#ip nat inside  
Router0(config-if)#exit  
Router0(config)#interface serial 2/0  
Router0(config-if)#ip nat outside  
Router0(config-if)#exit  
Router0(config)#ip nat inside source list PAT interface Serial 2/0 overload  
Router0(config)#ip access-list standard PAT  
Router0(config-std-nacl)#permit 10.0.0.0 0.255.255.255  
Router0(config-std-nacl)#end  
Router0#show ip nat translatons  
 
ROUTER1 :  
Router1>enable  
Router1#configure terminal  
Router1(config)#interface Serial 3/0  
Router1(config-if)#ip nat inside  
Router1(config-if)#exit  
Router1(config)#interface fastEthernet 0/0  
Router1(config-if)#ip nat outside  
Router1(config-if)#exit  
Router1(config)#ip nat inside source list PAT interface fastEthernet 0/0 overload  
Router1(config)#ip access-list standard PAT  
Router1(config-std-nacl)#permit 8.0.0.0 0.255.255.255  
Router1(config-std-nacl)#end  
Router1#show ip nat translatons  
21. Domotique :  
« Wireless », puis « Home Gateway DLC 100 »  
puis « End Devices »,  
exemple : « Power Grid »  
Exemple de domotique :