Cisco IOS — Cheat Sheet : Commandes usuelles⚓︎
Référence rapide des commandes Cisco IOS pour la configuration et le diagnostic de routeurs et commutateurs.
Modes de l'IOS⚓︎
Router> # Mode utilisateur (User EXEC) — lecture seule
Router# # Mode privilégié (Privileged EXEC) — diagnostic
Router(config)# # Mode configuration globale
Router(config-if)# # Sous-mode interface
Router(config-router)# # Sous-mode routage
Router(config-line)# # Sous-mode ligne (console, VTY)
enable # passer en mode privilégié
disable # revenir en mode utilisateur
configure terminal # entrer en configuration globale (conf t)
exit # remonter d'un niveau
end # retourner directement en mode privilégié
Ctrl+Z # équivalent de end
Raccourcis IOS
Les commandes peuvent être abrégées tant qu'elles sont non ambiguës : conf t = configure terminal, sh ip int br = show ip interface brief.
Configuration de base⚓︎
Nom et sécurité⚓︎
hostname Router-Core # définir le nom
no hostname # supprimer le nom
enable secret MonMotDePasse # mot de passe enable chiffré (MD5)
enable password MonMDP # mot de passe en clair (déconseillé)
service password-encryption # chiffrer tous les MDP en clair (type 7)
banner motd #
Accès autorisé uniquement.
# # bannière de connexion
banner login #Accès réservé# # bannière avant le login
no ip domain-lookup # désactiver la résolution DNS (évite les lenteurs)
Lignes de connexion⚓︎
# Console
line console 0
password console123
login
exec-timeout 10 0 # déconnexion après 10 min d'inactivité
logging synchronous # éviter l'interruption par les logs
# VTY (SSH/Telnet)
line vty 0 15
password vty123
login local # utiliser les comptes locaux
transport input ssh # SSH uniquement (interdire Telnet)
exec-timeout 5 0
# Créer un compte local
username admin privilege 15 secret MonSecret
SSH⚓︎
ip domain-name massivedynamics.be # requis pour SSH
crypto key generate rsa modulus 2048 # générer les clés RSA
ip ssh version 2 # forcer SSH v2
ip ssh time-out 60
ip ssh authentication-retries 3
# Sur la ligne VTY
line vty 0 15
transport input ssh
login local
Interfaces⚓︎
Configuration d'une interface⚓︎
interface GigabitEthernet0/0 # entrer dans l'interface (ou: int gi0/0)
description LAN Principal
ip address 192.168.1.1 255.255.255.0
no shutdown # activer l'interface
duplex auto
speed auto
interface GigabitEthernet0/1
description Lien WAN
ip address 203.0.113.1 255.255.255.252
no shutdown
# Loopback (interface virtuelle stable)
interface Loopback0
ip address 1.1.1.1 255.255.255.255
no shutdown
# Sous-interfaces (802.1Q)
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 10.20.20.1 255.255.255.0
Vérification des interfaces⚓︎
show interfaces # toutes les interfaces (détaillé)
show interfaces GigabitEthernet0/0 # interface spécifique
show ip interface brief # résumé rapide (sh ip int br)
show ip interface GigabitEthernet0/0 # infos IP d'une interface
# Interprétation sh ip int br
# GigabitEthernet0/0 192.168.1.1 YES NVRAM up up
# ^L3 ^L1
Routage⚓︎
Routes statiques⚓︎
ip route 192.168.2.0 255.255.255.0 192.168.1.254 # via nexthop
ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/1 # via interface
ip route 0.0.0.0 0.0.0.0 203.0.113.254 # route par défaut
ip route 0.0.0.0 0.0.0.0 203.0.113.254 254 # avec distance admin
no ip route 192.168.2.0 255.255.255.0 192.168.1.254 # supprimer
show ip route # table de routage complète
show ip route static # routes statiques uniquement
show ip route 10.0.0.0 # route pour un réseau spécifique
OSPF⚓︎
router ospf 1 # activer OSPF (process ID local)
router-id 1.1.1.1 # ID unique (recommandé)
network 192.168.1.0 0.0.0.255 area 0 # annoncer le réseau
network 10.0.0.0 0.255.255.255 area 1
passive-interface GigabitEthernet0/0 # ne pas envoyer de hello sur ce lien
default-information originate # propager la route par défaut
# Sur les interfaces
interface GigabitEthernet0/1
ip ospf cost 10
ip ospf priority 100 # 0 = jamais DR/BDR
show ip ospf neighbor # voisins OSPF
show ip ospf database # base LSDB
show ip route ospf # routes apprises via OSPF
EIGRP⚓︎
router eigrp 100 # AS number
network 192.168.1.0 0.0.0.255
no auto-summary
passive-interface default
no passive-interface GigabitEthernet0/1
show ip eigrp neighbors
show ip eigrp topology
show ip route eigrp
BGP⚓︎
router bgp 65001 # AS number
bgp router-id 1.1.1.1
neighbor 203.0.113.2 remote-as 65002 # peering eBGP
neighbor 10.0.0.2 remote-as 65001 # peering iBGP
network 192.168.0.0 mask 255.255.0.0 # annoncer un réseau
show bgp summary # résumé des peerings
show bgp neighbors # détails des voisins
show ip bgp # table BGP complète
Commutation (Switches)⚓︎
VLANs⚓︎
vlan 10
name MANAGEMENT
vlan 20
name SERVEURS
vlan 30
name UTILISATEURS
show vlan brief # liste des VLANs
show vlan id 10 # VLAN spécifique
# Interface en mode accès
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
spanning-tree portfast # pour les postes utilisateurs
# Interface en mode trunk
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q # (si requis)
switchport trunk allowed vlan 10,20,30
switchport trunk native vlan 99
show interfaces trunk # interfaces trunk actives
show interfaces FastEthernet0/1 switchport # mode d'un port
STP (Spanning Tree)⚓︎
show spanning-tree # état STP global
show spanning-tree vlan 10 # STP pour un VLAN
show spanning-tree summary
spanning-tree mode rapid-pvst # RSTP (recommandé)
spanning-tree vlan 10 priority 4096 # définir le root bridge (multiple de 4096)
spanning-tree vlan 10 root primary # automatique (priorité 24576)
spanning-tree vlan 10 root secondary # backup root
interface FastEthernet0/1
spanning-tree portfast # désactiver STP sur les ports hosts
spanning-tree bpduguard enable # protéger contre les switches non autorisés
ACL (Access Control Lists)⚓︎
# ACL standard (basée sur la source uniquement)
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 deny any
# ACL étendue (source, destination, protocole, port)
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443
access-list 100 deny ip any any
access-list 100 remark Autoriser HTTP/HTTPS depuis LAN
# ACL nommée (recommandée)
ip access-list extended FILTRE-ENTRANT
permit tcp 192.168.1.0 0.0.0.255 any eq 22
permit icmp any any
deny ip any any log
# Appliquer sur une interface
interface GigabitEthernet0/0
ip access-group 100 in # en entrée
ip access-group 101 out # en sortie
show access-lists # toutes les ACL avec compteurs
show ip access-lists 100 # ACL spécifique
show interfaces GigabitEthernet0/0 # vérifier l'ACL appliquée
Règle implicite
Toute ACL Cisco se termine par un deny ip any any implicite. Toujours prévoir une règle permit explicite pour le trafic légitime.
NAT⚓︎
# Définir les interfaces
interface GigabitEthernet0/0
ip nat inside
interface GigabitEthernet0/1
ip nat outside
# PAT (Overload) — partager une IP publique
ip nat inside source list 1 interface GigabitEthernet0/1 overload
access-list 1 permit 192.168.1.0 0.0.0.255
# NAT statique (1:1)
ip nat inside source static 192.168.1.10 203.0.113.10
# NAT pool
ip nat pool MON-POOL 203.0.113.10 203.0.113.20 netmask 255.255.255.0
ip nat inside source list 1 pool MON-POOL
show ip nat translations # table NAT active
show ip nat statistics
clear ip nat translation * # vider la table NAT
DHCP⚓︎
ip dhcp excluded-address 192.168.1.1 192.168.1.20 # exclure les IPs fixes
ip dhcp pool LAN
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 8.8.8.8 8.8.4.4
domain-name massivedynamics.be
lease 7 # 7 jours
show ip dhcp pool # infos des pools
show ip dhcp binding # baux actifs
show ip dhcp conflict # conflits détectés
clear ip dhcp binding * # vider tous les baux
Diagnostic et dépannage⚓︎
Commandes show essentielles⚓︎
show version # IOS, uptime, mémoire, interfaces
show running-config # configuration active (sh run)
show startup-config # configuration en NVRAM
show ip route # table de routage
show ip interface brief # état rapide de toutes les interfaces
show interfaces # compteurs et erreurs
show cdp neighbors # voisins CDP (Cisco Discovery Protocol)
show cdp neighbors detail # avec IPs
show arp # table ARP
show mac address-table # table MAC (switch)
show processes cpu # utilisation CPU
show memory # utilisation mémoire
show log # logs système
show clock # heure et date
Debug⚓︎
debug ip routing # événements de routage
debug ip ospf events # événements OSPF
debug ip nat # traductions NAT
debug ip dhcp server events # événements DHCP
undebug all # désactiver tous les debugs (ou: no debug all)
terminal monitor # afficher les logs en SSH
Debug en production
Les commandes debug peuvent saturer le CPU. Toujours utiliser undebug all après le diagnostic et éviter en heure de pointe.
Ping et traceroute⚓︎
ping 8.8.8.8 # ping standard (5 paquets ICMP)
ping 8.8.8.8 repeat 100 # 100 paquets
ping 8.8.8.8 size 1500 # avec MTU personnalisé
ping 8.8.8.8 source GigabitEthernet0/0 # depuis une interface spécifique
traceroute 8.8.8.8 # traceroute
traceroute 8.8.8.8 source 192.168.1.1
Sauvegarde et gestion de la config⚓︎
copy running-config startup-config # sauvegarder (ou: wr)
copy startup-config running-config # restaurer depuis NVRAM
erase startup-config # effacer la config de démarrage
reload # redémarrer
# Sauvegarder vers un serveur TFTP
copy running-config tftp://192.168.1.100/router-backup.cfg
copy tftp://192.168.1.100/router-backup.cfg running-config
# Sauvegarder vers un serveur FTP
copy running-config ftp://user:pass@192.168.1.100/backup.cfg
# Voir les différences entre running et startup
show archive config differences system:running-config system:startup-config
Bonnes pratiques⚓︎
- Toujours sauvegarder avant toute modification :
copy run start. - Utiliser
enable secretplutôt queenable password(MD5 vs texte clair). - Forcer SSH v2 et interdire Telnet sur les VTY.
- Placer un
deny ip any any logexplicite en fin d'ACL pour logger le trafic bloqué. - Activer
spanning-tree portfastuniquement sur les ports connectés à des hôtes, jamais entre switches. - Désactiver les interfaces inutilisées :
interface range fa0/10-24+shutdown+switchport access vlan 999.