
Dans le tutoriel précédent, j’ai montré comment effectuer la transition du routeur Cisco Catalyst 8200 vers le mode autonome.
Nous allons maintenant passer à la configuration initiale de base de ce routeur sous IOS XE.
L’objectif est d’établir une connexion Internet via l’interface WAN, de configurer le réseau local (LAN) et de permettre un accès SSH sécurisé pour l’administration.
Étape 1 : Vérifier l’état du routeur
Avant toute configuration, il faut connaître la version du système, l’état des interfaces et la configuration actuelle.
show version show running-config show ip interface brief
show version : affiche la version IOS XE et les informations matérielles.

show running-config : montre la configuration en cours.

show ip interface brief : vérifie rapidement les interfaces actives et leurs adresses IP.

Étape 2 : Configuration de base du système
Entrer en mode de configuration :
enable configure terminal
Définir le nom du routeur
hostname C8200-RTR

Créer le message d’avertissement (banner)
banner motd # Acces reserve aux administrateurs autorises. Toute tentative non autorisee sera consignee. #

Remarque : si vous écrivez les bannières en français, il vaut mieux éviter les accents (certains terminaux les interprètent mal).
Configurer les mots de passe de base
enable secret Pa$$123 line console 0 password Pa$$123 login exit line vty 0 4 transport input ssh login local exit

Remarque : nous configurerons l’utilisateur “oleks” à l’étape 5
Étape 3 : Configuration des interfaces
Interface WAN (GigabitEthernet0/0/0)
interface GigabitEthernet0/0/0 description WAN - vers Internet ip address 10.10.0.100 255.255.224.0 no shutdown exit
On pinguer le routeur a partir de reseau externe
ping 10.10.0.100

Interface LAN (GigabitEthernet0/0/1)
interface GigabitEthernet0/0/1 description LAN Interne ip address 172.16.100.1 255.255.255.0 no shutdown exit

Vérification
show ip interface brief

Vous devez voir les deux interfaces UP et assignées.
Depuis un poste du LAN (dans mon cas, un Raspberry Pi avec une adresse IP statique, car le serveur DHCP n’est pas encore configuré) :
ping 172.16.100.1

puis depuis le routeur on va pinguer :
ping 10.10.0.1

Étape 4 : Routage et NAT
Définir la route par défaut
ip route 0.0.0.0 0.0.0.0 10.10.0.1
Activer le NAT overload
access-list 1 permit 172.16.100.0 0.0.0.255 ip nat inside source list 1 interface GigabitEthernet0/0/0 overload
Définir les zones NAT
interface GigabitEthernet0/0/0 ip nat outside exit interface GigabitEthernet0/0/1 ip nat inside exit

Vérification du NAT
show ip nat translations show ip nat statistics

Depuis le LAN, un ping vers une adresse publique doit fonctionner.
ping 8.8.8.8

Étape 5 : Accès distant sécurisé (SSH)
Créer un utilisateur administrateur
username oleks privilege 15 secret Pa$$123 service password-encryption
Activer le domaine et générer les clés RSA
ip domain name local crypto key generate rsa modulus 2048
Activer uniquement SSH
ip ssh version 2 line vty 0 4 transport input ssh login local exit end write memory

Vérification SSH
Depuis un poste du LAN :
ssh [email protected]

Étape 6 : Sauvegarde de la configuration
Une fois toutes les étapes terminées :
write memory
ou
copy running-config startup-config
Cela garantit que la configuration sera conservée après redémarrage.
Étape 7 : Validation finale
- Vérifie la connectivité LAN ↔ Internet.
- Vérifie l’accès SSH.
- Vérifie que le NAT traduit bien les sessions sortantes.
show ip interface brief show ip route show ip nat translations

Et petit test internet

Sécurité — points à considérer en production
Dans ce tutoriel, j’ai présenté la configuration de base pour un usage en laboratoire ou pour des tests.
Cependant, si vous prévoyez d’utiliser ce routeur en environnement de production, je recommande de considérer également les mesures de sécurité suivantes :
Désactiver Telnet pour éviter tout accès non chiffré à distance. Utilisez uniquement le protocole SSH via transport input ssh.
Chiffrer les mots de passe locaux à l’aide de la commande service password-encryption afin d’éviter leur affichage en clair dans la configuration.
Limiter les tentatives de connexion SSH avec une politique de blocage comme login block-for 60 attempts 3 within 60, ce qui protège contre les attaques par force brute.
Restreindre l’accès SSH uniquement aux adresses IP internes de confiance en appliquant une ACL sur les lignes VTY (access-class 10 in).
Désactiver l’interface HTTP et HTTPS si elles ne sont pas utilisées avec les commandes no ip http server et no ip http secure-server.
Surveiller régulièrement l’activité via show users, show logging, et les statistiques NAT avec show ip nat statistics.
Et voilà, le routeur Cisco Catalyst 8200 est maintenant configuré pour fournir un accès Internet au réseau LAN 172.16.100.0/24, sécuriser l’administration à distance via SSH, et garantir la persistance de la configuration après redémarrage.
Bonne chance
