CBS250 - Configuration
Auteur : [‘Gautier RAYEROUX’, ‘Eric JAMET’, ‘David GEMAIN’] | Date : 2025-01-08
Prérequis
Section titled “Prérequis”- 2 x Cisco CBS-250 24 ports
- 1 câble Serial
- 1 câble USB-to-Serial
- Putty
1. Réinitialisation du switch
Section titled “1. Réinitialisation du switch”Appuyer sur le bouton « reset » au minimum 15 secondes pour réinitialiser le switch aux paramètres de sortie d’usine.
2. Connexion au switch via port COM
Section titled “2. Connexion au switch via port COM”- Sur Putty, entrer les paramètres suivants pour se connecter au switch :
- 115200 bits per second
- 8 data bits
- No parity
- 1 stop bit
- No flow control
- Utiliser les identifiants par défaut :
cisco/cisco - Une fois connecté, changer le nom d’utilisateur et le mot de passe :
admin/Afpa159*
3. Créer un nouvel utilisateur d’administration
Section titled “3. Créer un nouvel utilisateur d’administration”Passer le switch en mode configuration (config), puis exécuter :
username afpaIT password Afpa357*4. Activation du SSH
Section titled “4. Activation du SSH”- Ajouter un mot de passe pour le mode privilégié :
enable password Afpa147*
- Ajouter un nom de domaine au switch :
ip domain name scenario.lan- Activer le SSH :
ip ssh server- Générer une clé RSA :
crypto key generate rsa- Tester la connexion SSH avec Putty
5. Test de connexion via interface Web
Section titled “5. Test de connexion via interface Web”Entrer l’adresse IP du switch dans le navigateur pour accéder à l’interface graphique, puis saisir les identifiants de connexion.
6. Créer les VLAN
Section titled “6. Créer les VLAN”6.1 Via l’interface graphique
Section titled “6.1 Via l’interface graphique”Aller dans VLAN Management → VLAN Settings, puis cliquer sur « Add ».
Entrer le numéro de VLAN et son nom, puis valider.
6.2 Via ligne de commande
Section titled “6.2 Via ligne de commande”vlan 10 name Administratifvlan 20 name Ventesvlan 30 name ITvlan 40 name WiFivlan 99 name Managementvlan 100 name Natif7. Créer les interfaces SVI
Section titled “7. Créer les interfaces SVI”Interface vlan 10ip address 192.168.10.1 255.255.255.224no shutdownexit
Interface vlan 20ip address 192.168.20.1 255.255.255.192no shutdownexit
Interface vlan 30ip address 192.168.30.1 255.255.255.248no shutdownexit
Interface vlan 40ip address 192.168.40.1 255.255.255.0no shutdownexit8. Mise en place du trunk (GigabitEthernet 24)
Section titled “8. Mise en place du trunk (GigabitEthernet 24)”- Entrer en mode configuration et aller sur le port destiné au trunk :
interface ge24
- Définir le mode trunk, le VLAN natif et les VLANs autorisés :
switchport mode trunkswitchport trunk native vlan 100switchport trunk allowed vlan 10,20,30,40,1009. Assigner les VLAN aux ports
Section titled “9. Assigner les VLAN aux ports”Interface range GigabitEthernet1-6Switchport mode accessSwitchport access vlan 10no shutdownexit
Interface range GigabitEthernet7-12Switchport mode accessSwitchport access vlan 20no shutdownexit
Interface range GigabitEthernet13-18Switchport mode accessSwitchport access vlan 30no shutdownexit
Interface GigabitEthernet19Switchport mode accessSwitchport access vlan 40no shutdownexit10. Autoriser le management par ACL
Section titled “10. Autoriser le management par ACL”Autoriser uniquement les utilisateurs du VLAN 30 à se connecter en SSH et via interface Web :
management access-list mngtpermit vlan 30exitmanagement access-class mngt11. Copier la configuration sur le Switch 2
Section titled “11. Copier la configuration sur le Switch 2”Récupérer la configuration avec :
show running-configPrécautions avant de coller la configuration
Section titled “Précautions avant de coller la configuration”- Désactiver le routage IP :
no ip routing - Supprimer les adresses IP des SVI (sauf management)
- Changer le hostname
- Changer l’adresse IP dans le VLAN Management :
- Switch 1 : VLAN 99 →
192.168.99.1 - Switch 2 : VLAN 99 →
192.168.99.2
- Switch 1 : VLAN 99 →
- Ne pas mettre les mêmes identifiants
- Ajouter une adresse passerelle :
ip default-gateway - Recréer le 2ème compte utilisateur (
username)
Puis coller la configuration sur le Switch 2 en mode configuration terminal avec configure.
12. Interdire l’accès aux passerelles SVI (SSH, HTTP, HTTPS)
Section titled “12. Interdire l’accès aux passerelles SVI (SSH, HTTP, HTTPS)”! Créer l'ACLip access-list extended MGMT_ACCESS
! Autoriser l'accès du VLAN 30 au management de l'AP en VLAN 40permit tcp 192.168.30.0 0.0.0.7 any 192.168.40.2 0.0.0.255 www ace-priority 1permit tcp 192.168.30.0 0.0.0.7 any 192.168.40.2 0.0.0.255 443 ace-priority 2
! Bloquer SSHdeny tcp any any 192.168.10.1 0.0.0.31 22 ace-priority 10deny tcp any any 192.168.20.1 0.0.0.63 22 ace-priority 11deny tcp any any 192.168.30.1 0.0.0.7 22 ace-priority 12deny tcp any any 192.168.40.1 0.0.0.255 22 ace-priority 13
! Bloquer HTTPSdeny tcp any any 192.168.10.1 0.0.0.31 443 ace-priority 20deny tcp any any 192.168.20.1 0.0.0.63 443 ace-priority 21deny tcp any any 192.168.30.1 0.0.0.7 443 ace-priority 22deny tcp any any 192.168.40.1 0.0.0.255 443 ace-priority 23deny tcp any any 192.168.1.254 0.0.0.255 443 ace-priority 24
! Bloquer HTTPdeny tcp any any 192.168.10.1 0.0.0.31 www ace-priority 40deny tcp any any 192.168.20.1 0.0.0.63 www ace-priority 41deny tcp any any 192.168.30.1 0.0.0.7 www ace-priority 42deny tcp any any 192.168.40.1 0.0.0.255 www ace-priority 43deny tcp any any 192.168.1.254 0.0.0.255 www ace-priority 44
permit ip any any ace-priority 60exit13. Bloquer le Wi-Fi vers le réseau Administratif
Section titled “13. Bloquer le Wi-Fi vers le réseau Administratif”ip access-list extended Wifideny tcp 192.168.40.0 0.0.0.255 any 192.168.10.0 0.0.0.31 any ace-priority 1permit ip any any ace-priority 10014. Appliquer les ACL sur les VLAN
Section titled “14. Appliquer les ACL sur les VLAN”En mode configuration, sélectionner les VLAN où appliquer l’ACL :
Interface range vlan 10, vlan 20, vlan 30, vlan 40, vlan 100Service-acl input MGMT_ACCESSExit
Interface vlan 40Service-acl input Wifiexit