Le protocole SCP (Secure Copy Protocol) est un protocole de transfert de fichiers sécurisé qui utilise SSH comme transport sous-jacent. Dans l’environnement Cisco, le protocole SCP est essentiel pour transférer de manière sécurisée des fichiers de configuration, des images IOS et d’autres fichiers système entre les équipements réseau et les serveurs d’administration.

Informations techniques

• Norme : Basé sur SSH (Secure Shell Protocol) défini dans la RFC 4251
• Port : TCP/22 (port standard SSH)
• Version SSH requise : SSH version 2 minimum
• Sécurité : Chiffrement et authentification via SSH
• Support Cisco : IOS 12.3(4)T et versions ultérieures
• Architecture : Client-serveur (équipement Cisco en mode serveur uniquement)
• Authentification : Utilisateur avec privilège niveau 15 requis
• Chiffrement : AES, 3DES selon la configuration SSH

Configuration du protocole SCP sur routeurs Cisco

Prérequis obligatoires

Avant d’activer le protocole SCP, plusieurs éléments doivent être configurés :

Configuration de base SSH :

R1> enable
R1# configure terminal
R1(config)# hostname R1                                    ! Définit le nom d'hôte
R1(config)# ip domain-name company.local                   ! Configure le domaine pour SSH
R1(config)# crypto key generate rsa general-keys modulus 2048    ! Génère les clés RSA
R1(config)# ip ssh version 2                               ! Force SSH version 2

Création d’utilisateur privilégié :

R1(config)# username admin privilege 15 password cisco123  ! Utilisateur niveau 15 obligatoire
R1(config)# username backup privilege 15 secret backup456  ! Utilisateur supplémentaire avec secret

Configuration des lignes VTY :

R1(config)# line vty 0 15
R1(config-line)# transport input ssh                       ! Autorise uniquement SSH
R1(config-line)# login local                              ! Utilise la base utilisateur locale
R1(config-line)# exit

Activation du serveur SCP

Commande principale :

R1(config)# ip scp server enable                          ! Active le serveur SCP

Configuration AAA (optionnelle) :

R1(config)# aaa new-model                                 ! Active AAA
R1(config)# aaa authentication login default local        ! Authentification locale par défaut
R1(config)# aaa authorization exec default local          ! Autorisation exec locale

Configuration sur switches Cisco

Switch de niveau 2 (SWE)

SWE> enable
SWE# configure terminal
SWE(config)# hostname SWE-Access-01                       ! Nom du switch
SWE(config)# ip domain-name company.local                 ! Domaine pour SSH
SWE(config)# crypto key generate rsa general-keys modulus 1024   ! Clés RSA pour switch
SWE(config)# ip ssh version 2                             ! SSH version 2
SWE(config)# username admin privilege 15 password cisco123 ! Utilisateur privilégié
SWE(config)# line vty 0 15
SWE(config-line)# transport input ssh                     ! SSH uniquement
SWE(config-line)# login local                            ! Authentification locale
SWE(config-line)# exit
SWE(config)# ip scp server enable                        ! Activation SCP

Switch de niveau 3 (SWC)

SWC> enable
SWC# configure terminal
SWC(config)# hostname SWC-Core-01                         ! Nom du switch L3
SWC(config)# ip domain-name company.local                 ! Domaine SSH
SWC(config)# crypto key generate rsa general-keys modulus 2048   ! Clés RSA sécurisées
SWC(config)# ip ssh version 2                             ! SSH v2 obligatoire
SWC(config)# username admin privilege 15 secret strongpass ! Utilisateur avec secret
SWC(config)# line vty 0 15
SWC(config-line)# transport input ssh                     ! Transport SSH
SWC(config-line)# login local                            ! Base locale
SWC(config-line)# exit
SWC(config)# ip scp server enable                        ! Serveur SCP actif

Commandes de vérification et diagnostic

Vérifications SSH et SCP

R1# show ip ssh                                           ! État du service SSH
R1# show crypto key mypubkey rsa                         ! Clés publiques RSA
R1# show running-configuration | include scp             ! Configuration SCP
R1# show users                                           ! Utilisateurs connectés
R1# show privilege                                       ! Niveau de privilège actuel

Vérification des utilisateurs

R1# show running-configuration | section username        ! Liste des utilisateurs
R1# show aaa sessions                                    ! Sessions AAA actives

Diagnostic des connexions

R1# show tcp brief                                       ! Connexions TCP actives
R1# show ip ssh sessions                                 ! Sessions SSH en cours
R1# debug ip ssh                                         ! Debug SSH (à utiliser avec précaution)

Utilisation du protocole SCP

Transfert de fichiers vers l’équipement

Syntaxe client SCP (depuis un poste Linux/Windows) :

# Copie de configuration vers le routeur
scp startup-config admin@192.168.1.1:startup-config

# Copie d'image IOS
scp c2900-universalk9-mz.SPA.157-3.M5.bin admin@192.168.1.1:flash:

# Copie vers NVRAM
scp running-config admin@192.168.1.1:running-config

Vérification des fichiers transférés

R1# dir flash:                                           ! Contenu de la mémoire flash
R1# dir bootflash:                                       ! Contenu bootflash (selon modèle)
R1# show file systems                                    ! Systèmes de fichiers disponibles
R1# verify flash:                                        ! Vérification intégrité flash

Options avancées du protocole SCP

Configuration de sécurité renforcée

R1(config)# ip ssh time-out 60                           ! Timeout SSH en secondes
R1(config)# ip ssh authentication-retries 3              ! Tentatives d'authentification
R1(config)# line vty 0 15
R1(config-line)# exec-timeout 5 0                        ! Timeout session exec
R1(config-line)# session-timeout 10                      ! Timeout session globale
R1(config-line)# access-class 10 in                      ! ACL pour restreindre l'accès
R1(config-line)# exit

Configuration d’ACL pour SCP

R1(config)# access-list 10 permit 192.168.100.0 0.0.0.255  ! Réseau autorisé pour SCP
R1(config)# access-list 10 deny any                         ! Refus par défaut

Gestion des clés SSH

R1(config)# crypto key zeroize rsa                       ! Supprime les clés RSA
R1(config)# crypto key generate rsa general-keys modulus 4096  ! Génère clés 4096 bits
R1(config)# crypto key generate rsa usage-keys modulus 2048    ! Clés séparées pour chiffrement

Dépannage du protocole SCP

Problèmes courants

Erreur de connexion SSH :

R1# show ip ssh                                          ! Vérifier état SSH
R1# show crypto key mypubkey rsa                        ! Vérifier présence des clés
R1# show users                                          ! Vérifier utilisateurs connectés

Erreur d’authentification :

R1# show running-configuration | include username       ! Vérifier utilisateurs configurés
R1# show privilege                                      ! Vérifier niveau privilège

Problèmes de transfert :

R1# show file systems                                   ! Vérifier systèmes de fichiers
R1# show flash:                                         ! Vérifier espace disponible
R1# show memory                                         ! Vérifier mémoire disponible

Commandes de test

R1# test ssh                                            ! Test connectivité SSH interne
R1# ping 192.168.1.100                                 ! Test connectivité réseau

Sécurité et bonnes pratiques

Configuration sécurisée

R1(config)# username admin privilege 15 secret 5 $1$salt$hash  ! Utiliser secret au lieu de password
R1(config)# service password-encryption                         ! Chiffrer les mots de passe
R1(config)# security passwords min-length 8                     ! Longueur minimale mot de passe

Audit et logging

R1(config)# logging buffered 16384 informational              ! Buffer de log
R1(config)# logging host 192.168.1.200                        ! Serveur syslog
R1(config)# archive                                           ! Configuration d'archivage
R1(config-archive)# log config                                ! Log changements config
R1(config-archive)# path scp://admin@192.168.1.200/backups/   ! Chemin SCP pour sauvegardes
R1(config-archive)# exit

Points essentiels pour les certifications Cisco

Pour réussir les certifications Cisco impliquant le protocole SCP :

• Maîtriser la configuration SSH : Le protocole SCP ne peut fonctionner sans SSH correctement configuré
• Connaître les niveaux de privilège : Seul le niveau 15 permet les transferts SCP
• Comprendre l’architecture client-serveur : Les équipements Cisco ne peuvent être que serveurs SCP
• Distinguer SCP d’autres protocoles : TFTP (non sécurisé), FTP (authentification faible), SFTP (plus de fonctionnalités)
• Savoir diagnostiquer : Utiliser les commandes show appropriées pour le dépannage
• Sécuriser les accès : Configuration d’ACL, timeouts et authentification forte

Le protocole SCP est un élément fondamental de la gestion sécurisée des équipements Cisco, particulièrement important dans un contexte où la cybersécurité est primordiale.

Pour approfondir vos connaissances et vous préparer efficacement aux certifications Cisco, consultez notre Formation CCNA 200-301 qui couvre en détail tous les aspects des protocoles de gestion et de sécurité des équipements réseau.