Configuration de base Cisco Catalyst 8200

Dans le tutoriel précédent, j’ai montré comment effectuer la transition du routeur Cisco Catalyst 8200 vers le mode autonome.

Nous allons maintenant passer à la configuration initiale de base de ce routeur sous IOS XE.

L’objectif est d’établir une connexion Internet via l’interface WAN, de configurer le réseau local (LAN) et de permettre un accès SSH sécurisé pour l’administration.

Étape 1 : Vérifier l’état du routeur

Avant toute configuration, il faut connaître la version du système, l’état des interfaces et la configuration actuelle.

show version
show running-config
show ip interface brief

show version : affiche la version IOS XE et les informations matérielles.

show running-config : montre la configuration en cours.

show ip interface brief : vérifie rapidement les interfaces actives et leurs adresses IP.

 

Étape 2 : Configuration de base du système

Entrer en mode de configuration :

enable
configure terminal

Définir le nom du routeur

hostname C8200-RTR

 

Créer le message d’avertissement (banner)

banner motd #
Acces reserve aux administrateurs autorises.
Toute tentative non autorisee sera consignee.
#

Remarque : si vous écrivez les bannières en français, il vaut mieux éviter les accents (certains terminaux les interprètent mal).

Configurer les mots de passe de base

enable secret Pa$$123
line console 0
password Pa$$123
login
exit

line vty 0 4
transport input ssh
login local
exit

Remarque : nous configurerons l’utilisateur “oleks” à l’étape 5

Étape 3 : Configuration des interfaces

Interface WAN (GigabitEthernet0/0/0)

interface GigabitEthernet0/0/0
description WAN - vers Internet
ip address 10.10.0.100 255.255.224.0
no shutdown
exit

On pinguer le routeur a partir de reseau externe

ping 10.10.0.100

 

Interface LAN (GigabitEthernet0/0/1)

interface GigabitEthernet0/0/1
description LAN Interne
ip address 172.16.100.1 255.255.255.0
no shutdown
exit

 

Vérification

show ip interface brief

Vous devez voir les deux interfaces UP et assignées.
Depuis un poste du LAN (dans mon cas, un Raspberry Pi avec une adresse IP statique, car le serveur DHCP n’est pas encore configuré) :

ping 172.16.100.1

puis depuis le routeur on va pinguer :

ping 10.10.0.1

 

Étape 4 : Routage et NAT

Définir la route par défaut

ip route 0.0.0.0 0.0.0.0 10.10.0.1

Activer le NAT overload

access-list 1 permit 172.16.100.0 0.0.0.255
ip nat inside source list 1 interface GigabitEthernet0/0/0 overload

Définir les zones NAT

interface GigabitEthernet0/0/0
ip nat outside
exit

interface GigabitEthernet0/0/1
ip nat inside
exit

 

Vérification du NAT

show ip nat translations
show ip nat statistics

Depuis le LAN, un ping vers une adresse publique doit fonctionner.

ping 8.8.8.8

 

Étape 5 : Accès distant sécurisé (SSH)

Créer un utilisateur administrateur

username oleks privilege 15 secret Pa$$123
service password-encryption

Activer le domaine et générer les clés RSA

ip domain name local
crypto key generate rsa modulus 2048

Activer uniquement SSH

ip ssh version 2
line vty 0 4
transport input ssh
login local
exit
end
write memory

Vérification SSH
Depuis un poste du LAN :

ssh [email protected]

 

Étape 6 : Sauvegarde de la configuration

Une fois toutes les étapes terminées :

write memory

ou

copy running-config startup-config

Cela garantit que la configuration sera conservée après redémarrage.

 

Étape 7 : Validation finale

  • Vérifie la connectivité LAN ↔ Internet.
  • Vérifie l’accès SSH.
  • Vérifie que le NAT traduit bien les sessions sortantes.
show ip interface brief
show ip route
show ip nat translations

 

Et petit test internet

 

Sécurité — points à considérer en production

Dans ce tutoriel, j’ai présenté la configuration de base pour un usage en laboratoire ou pour des tests.
Cependant, si vous prévoyez d’utiliser ce routeur en environnement de production, je recommande de considérer également les mesures de sécurité suivantes :

Désactiver Telnet pour éviter tout accès non chiffré à distance. Utilisez uniquement le protocole SSH via transport input ssh.
Chiffrer les mots de passe locaux à l’aide de la commande service password-encryption afin d’éviter leur affichage en clair dans la configuration.
Limiter les tentatives de connexion SSH avec une politique de blocage comme login block-for 60 attempts 3 within 60, ce qui protège contre les attaques par force brute.
Restreindre l’accès SSH uniquement aux adresses IP internes de confiance en appliquant une ACL sur les lignes VTY (access-class 10 in).
Désactiver l’interface HTTP et HTTPS si elles ne sont pas utilisées avec les commandes no ip http server et no ip http secure-server.
Surveiller régulièrement l’activité via show users, show logging, et les statistiques NAT avec show ip nat statistics.

 

Et voilà, le routeur Cisco Catalyst 8200 est maintenant configuré pour fournir un accès Internet au réseau LAN 172.16.100.0/24, sécuriser l’administration à distance via SSH, et garantir la persistance de la configuration après redémarrage.

Bonne chance

👤

📁