En continuant votre navigation sur ce site, vous acceptez l’utilisation des cookies.
Dans un souci de bon fonctionnement et de mesure de fréquentation de la plateforme, Chamilo utilise les cookies.

Au besoin, la rubrique « Aide » des navigateurs vous indique comment paramétrer les cookies.

Pour plus d'informations sur les cookies, visitez le site de la CNIL.

Commandes Cisco (CCNA)

Naviguer entre les différents modes de commande IOS

Pour entrer en mode d'exécution privilégié sur un périphérique Cisco, vous devez utiliser la commande suivante :

Switch>enable

 

Si vous souhaitez revenir du mode privilégié au mode d'exécution de base, utilisez cette commande :

Switch#disable

 

Le mode d'exécution privilégié (également appelé mode "enable") vous donne accès à des commandes et des fonctionnalités avancées qui ne sont pas disponibles dans le mode d'exécution de base.

Pour passer en mode de configuration globale sur un périphérique Cisco, vous devez utiliser la commande suivante :

Switch#configure terminal

Ou simplement :

Switch#conf t

 

Une fois cette commande saisie, vous entrez en mode de configuration globale, ce qui vous permet de configurer des paramètres qui affectent l'ensemble du périphérique. Dans ce mode, l'invite de commande change généralement pour refléter que vous êtes en mode de configuration, par exemple Switch(config)#.

Pour quitter le mode de configuration et revenir en mode d'exécution privilégié sur un périphérique Cisco, vous devez utiliser la commande suivante :

Switch(config)#exit

 

Pour repasser en mode de configuration globale sur un périphérique Cisco, utilisez la commande suivante :

Switch#configure terminal

Ou plus simplement :

Switch#conf t

 

Une fois en mode de configuration globale, si vous souhaitez entrer dans le sous-mode de configuration spécifique pour le port de la console, vous devez utiliser la commande suivante :

Switch(config)#line console 0

 

Passez en mode de configuration globale au moyen de la commande exit.

Switch(config-line)#exit

 

Entrez le sous-modes de configuration de ligne Vty à l'aide de la commande line vty 0 15.

Switch(config)#line vty 0 15

 

Repassez en mode de configuration globale.

Switch(config-line)#exit

 

Entrez le sous-modes de configuration de ligne VTY :

Switch(config)#interface vlan 1

 

À partir du mode de configuration de l'interface, passez au sous-modes de configuration de la console de ligne à l'aide de la commande de configuration globale line console 0.

Switch(config-if)#line console 0

 

Revenez au mode d’exécution privilégié à l’aide de la commande end.

Switch(config-line)#end

 

 

Modes de commande IOS

  1. Mode d’exécution utilisateur

    C'est le mode initial lors de la connexion à un appareil Cisco.

  • Switch>

  • Mode d’exécution privilégié

    Accéder à ce mode à partir du mode d’exécution utilisateur avec la commande enable.

     
    shell
 
Switch>enable

Retournez au mode d’exécution utilisateur à l’aide de la commande disable.

 
shell
 
Switch#disable

Pour re-entrer en mode d'exécution privilégié.

 
shell
  •  
    Switch>enable

  • Mode de configuration globale

    Pour passer à ce mode à partir du mode d'exécution privilégié, utilisez la commande configure terminal.

     
    arduino
 
Switch#configure terminal

Pour quitter ce mode et retourner au mode d'exécution privilégié, utilisez la commande exit.

 
arduino
 
Switch(config)#exit

Pour re-entrer en mode de configuration globale.

 
arduino
  1.  
    Switch#configure terminal

Sous-modes de configuration

  1. Sous-mode de configuration de ligne pour le port de la console

    Entrez ce mode avec la commande line console 0.

Switch(config)#line console 0

Pour revenir en mode de configuration globale, utilisez la commande exit.

Switch(config-line)#exit

  • Sous-mode de configuration de ligne Vty

    Entrez ce mode avec la commande line vty 0 15.

    Switch(config)#line vty 0 15

Pour revenir en mode de configuration globale, utilisez la commande exit.

Switch(config-line)#exit

  • Sous-mode de configuration de l'interface

    Entrez ce mode avec la commande interface vlan 1.

Switch(config)#interface vlan 1

Pour passer au sous-mode de configuration de la console de ligne, utilisez la commande line console 0.

Switch(config-if)#line console 0

Retour au mode d’exécution privilégié

Pour revenir au mode d’exécution privilégié depuis n'importe quel mode, utilisez la commande end.

Switch(config-line)#end

 

Configuration de l'horloge

Régler l'horloge du dispositif à la date et heure souhaitées.

S1# clock set 15:00:00 31 Jan 2035

Configuration du nom de l'appareil

Configurer un nom pour l'appareil. Ceci aide à l'identification de l'appareil dans un réseau complexe.

Switch# configure terminal 
Switch(config)# hostname Sw-Floor-1 
Sw-Floor-1(config)#

Configuration des mots de passe

  1. Configurer les mots de passe pour le port de la console

    Cela sécurise l'accès direct au dispositif via le port de la console.

  • Sw-Floor-1# configure terminal 
Sw-Floor-1(config)# line console 0 
Sw-Floor-1(config-line)# password cisco 
Sw-Floor-1(config-line)# login 
Sw-Floor-1(config-line)# end

  • Configurer les mots de passe pour le mode d’exécution privilégié

    Cela sécurise l'accès aux commandes avancées et aux configurations sensibles du dispositif.

  • Sw-Floor-1# configure terminal 
Sw-Floor-1(config)# enable secret class 
Sw-Floor-1(config)# exit

  • Configurer les mots de passe pour sécuriser les lignes VTY (Virtual Terminal Lines)

    Ceci sécurise l'accès au dispositif via Telnet ou SSH.

Sw-Floor-1# configure terminal 
Sw-Floor-1(config)# line vty 0 15 
Sw-Floor-1(config-line)# password cisco  
Sw-Floor-1(config-line)# login  
Sw-Floor-1(config-line)# end

 

Chiffrement des mots de passe

Pour chiffrer les mots de passe sur le dispositif :

Sw-Floor-1# configure terminal Sw-Floor-1(config)# service password-encryption

Pour vérifier que les mots de passe sont maintenant chiffrés, utilisez la commande suivante :

Sw-Floor-1# show running-config

Création d'une bannière MOTD (Message Of The Day)

Une bannière MOTD peut être utilisée pour afficher un message à chaque connexion à l'appareil. Cela peut être utilisé pour afficher des informations importantes ou des avertissements.

Sw-Floor-1# configure terminal 
Sw-Floor-1(config)# banner motd #Authorized Access Only#

Afficher la configuration

  1. Pour afficher la configuration actuellement en cours :

  • Sw-Floor-1# show running-config

  • Pour afficher la configuration qui sera utilisée au prochain démarrage de l'appareil :

  1. Sw-Floor-1# show startup-config

Redémarrer

Pour redémarrer le dispositif :

Sw-Floor-1# reload

Effacer la configuration initiale

Pour effacer la configuration qui sera utilisée au prochain démarrage :

Sw-Floor-1# erase startup-config

Configuration de l'interface de commutateur virtuelle (SVI)

Pour configurer une interface SVI avec une adresse IP et un masque de sous-réseau, et pour définir la passerelle par défaut :

Sw-Floor-1# configure terminal 
Sw-Floor-1(config)# interface vlan 1 
Sw-Floor-1(config-if)# ip address 192.168.1.20 255.255.255.0 
Sw-Floor-1(config-if)# no shutdown 
Sw-Floor-1(config-if)# exit 
Sw-Floor-1(config)# ip default-gateway 192.168.1.1

Désactiver la recherche DNS

Pour désactiver la recherche DNS, qui peut causer des retards lors de la saisie des commandes si le dispositif essaie de résoudre les noms de commande non reconnus comme s'ils étaient des noms de domaine :

S1(config)# no ip domain-lookup

 

Afficher les adresses MAC

Pour afficher les adresses MAC apprises par le commutateur :

Sw-Floor-1(config-if)# show mac address-table

Pour effacer la table d'adresses MAC :

Sw-Floor-1(config-if)# clear mac address-table dynamic

Afficher les tables de routage

  1. Pour afficher la table de routage IPv4 :

  • RT-Floor-1(config-if)# show ip route

  • Pour afficher la table de routage IPv6 :

  1. RT-Floor-1(config-if)# show ipv6 route

Afficher la table ARP

Pour afficher la table ARP d’un routeur :

RT-Floor-1(config-if)# show ip arp

Configuration de base d'un routeur

Voici les étapes pour configurer un routeur :

Router(config)# hostname hostname 
Router(config)# enable secret password 
Router(config)# line console 0 
Router(config-line)# password password 
Router(config-line)# login 
Router(config-line)# line vty 0 4 
Router(config-line)# password password 
Router(config-line)# login 
Router(config-line)# transport input {ssh | telnet} 
Router(config-line)# exit 
Router(config)# service password-encryption
Router(config)# banner motd delimiter message delimiter 
Router(config)# end 
Router# copy running-config startup-config

 

Configuration des interfaces de routeur

Pour configurer une interface de routeur pour IPv4 et IPv6 :

R1(config)# interface gigabitEthernet 0/0/0 
R1(config-if)# description Link to LAN 
R1(config-if)# ip address 192.168.10.1 255.255.255.0 
R1(config-if)# ipv6 address 2001:db8:acad:10::1/64 
R1(config-if)# no shutdown 
R1(config-if)# exit

Pour configurer une adresse GUA (Global Unicast Address) IPv6 sur le routeur R1 :

R1(config)# interface gigabitethernet 0/0/0 
R1(config-if)# ipv6 address 2001:db8:acad:1::1/64 
R1(config-if)# no shutdown 
R1(config-if)# exit

Pour configurer une adresse LLA (Link-Local Address) IPv6 sur le routeur R1 :

R1(config)# interface gigabitethernet 0/0/0 
R1(config-if)# ipv6 address fe80::1:1 link-local 
R1(config-if)# exit

Vérifier la configuration d'une interface

Pour vérifier la configuration d'une interface IPv4 :

R1# show ip interface brief

Pour vérifier la configuration d'une interface IPv6 :

R1# show ipv6 interface brief

Configuration de la passerelle par défaut

Pour configurer la passerelle par défaut (dans cet exemple, l'adresse est 192.168.1.254) :

S1(config)#ip default-gateway 192.168.1.254

Activer le routage IPv6

Pour activer le routage IPv6 sur un routeur :

R1# ipv6 unicast routing

 

Sécurité supplémentaire des mots de passe

Pour déconnecter automatiquement un utilisateur inactif sur une ligne vty SSH après que l'utilisateur a été inactif pendant 5 minutes et 30 secondes :

R1(config)# service password-encryption  
R1(config)# security passwords min-length 8  
R1(config)# login block-for 120 attempts 3 within 60 
R1(config)# line vty 0 4  
R1(config-line)# password cisco123  
R1(config-line)# exec-timeout 5 30  
R1(config-line)# transport input ssh  
R1(config-line)# end

Activation de SSH

Pour activer SSH sur un routeur :

Router# configure terminal 
Router(config)# hostname R1 
R1(config)# ip domain name span.com 
R1(config)# crypto key generate rsa general-keys modulus 1024 
R1(config)# username Bob secret cisco 
R1(config)# line vty 0 4 
R1(config-line)# login local 
R1(config-line)# transport input ssh 
R1(config-line)# exit

Vérifier les ports ouverts sur un routeur

Pour vérifier les ports ouverts sur un routeur :

Router# show ip ports all

Configurer la longueur minimale du mot de passe

Pour fixer la longueur minimale du mot de passe à 10 caractères :

RTA(config)# security password min-length 10

Empêcher les messages de console d'interrompre les commandes

Pour empêcher les messages de console d'interrompre les commandes sur la ligne console 0 :

S1(config)# line con 0 
S1(config-line)# logging synchronous

 

Empêcher les messages de console d'interrompre les commandes sur la ligne VTY

S1(config)# line vty 0 4  
S1(config-line)# logging synchronous

Configuration des ports de commutateur au niveau de la couche physique

S1#configure terminal 
S1(config)#interface FastEthernet0/1 
S1(config-if)#duplex auto 
S1(config-if)#speed auto 
S1(config-if)#mdix auto 
S1(config-if)#end

Vérifier le support SSH

S1# show ip ssh

Configuration d'interfaces de bouclage IPv4

R1(config)# interface loopback 0 
R1(config-if)# ip address 10.0.0.1 255.255.255.0 
R1(config-if)# exit

Définir la longueur de l’historique

R1>terminal history size 200

Afficher l’historique

R1>show history

Création de VLAN

S1# configure terminal 
S1(config)# vlan 20 
S1(config-vlan)# name student 
S1(config-vlan)# end

 

Attribution de port VLAN

S1# configure terminal 
S1(config)# interface fa0/6 
S1(config-if)# switchport mode access 
S1(config-if)# switchport access vlan 20 
S1(config-if)# end

Exemple de VLAN de données ET de voix

S3(config)# vlan 20 
S3(config-vlan)# name student 
S3(config-vlan)# vlan 150 
S3(config-vlan)# name VOICE 
S3(config-vlan)# exit 
S3(config)# interface fa0/18 
S3(config-if)# switchport mode access 
S3(config-if)# switchport access vlan 20 
S3(config-if)# mls qos trust cos 
S3(config-if)# switchport voice vlan 150 
S3(config-if)# end

Commandes de configuration du trunk

S1(config)# interface fastEthernet 0/1 
S1(config-if)# switchport mode trunk 
S1(config-if)# switchport trunk native vlan 99 
S1(config-if)# switchport trunk allowed vlan 10,20,30,99 
S1(config-if)# end

Pour permettre le trunking d'un commutateur Cisco vers un appareil qui ne prend pas en charge le DTP

S1(config-if)# switchport mode trunk 
S1(config-if)# switchport nonegotiate

Configurations de VLAN et de trunk de commutateur S2

S2(config)# vlan 10 
S2(config-vlan)# name LAN10 
S2(config-vlan)# exit 
S2(config)# vlan 20 
S2(config-vlan)# name LAN20 
S2(config-vlan)# exit 
S2(config)# vlan 99 
S2(config-vlan)# name Management 
S2(config-vlan)# exit 
S2(config)# interface vlan 99 
S2(config-if)# ip add 192.168.99.3 255.255.255.0 
S2(config-if)# no shut 
S2(config-if)# exit 
S2(config)# ip default-gateway 192.168.99.1 
S2(config)# interface fa0/18 
S2(config-if)# switchport mode access 
S2(config-if)# switchport access vlan 20 
S2(config-if)# no shut 
S2(config-if)# exit 
S2(config)# interface fa0/1 
S2(config-if)# switchport mode trunk 
S2(config-if)# no shut 
S2(config-if)# exit 
S2(config-if)# end

 

Configuration de la sous-interface R1

R1(config)# interface G0/0/1.10 
R1(config-subif)# description Default Gateway for VLAN 10 
R1(config-subif)# encapsulation dot1Q 10 
R1(config-subif)# ip add 192.168.10.1 255.255.255.0 
R1(config-subif)# exit 
R1(config)# interface G0/0/1.20 
R1(config-subif)# description Default Gateway for VLAN 20 
R1(config-subif)# encapsulation dot1Q 20 
R1(config-subif)# ip add 192.168.20.1 255.255.255.0 
R1(config-subif)# exit 
R1(config)# interface G0/0/1.99 
R1(config-subif)# description Default Gateway for VLAN 99 
R1(config-subif)# encapsulation dot1Q 99 
R1(config-subif)# ip add 192.168.99.1 255.255.255.0 
R1(config-subif)# exit 
R1(config)# interface G0/0/1 
1(config-if)# description Trunk link to S1 
R1(config-if)# no shut 
R1(config-if)# end

Routage inter-VLAN de commutateur de couche 3

D1(config)# vlan 10 
D1(config-vlan)# name LAN10 
D1(config-vlan)# vlan 20 
D1(config-vlan)# name LAN20 
D1(config-vlan)# exit 
D1(config)# interface vlan 10 
D1(config-if)# description Default Gateway SVI for 192.168.10.0/24 
D1(config-if)# ip add 192.168.10.1 255.255.255.0 
D1(config-if)# no shut 
D1(config-if)# exit 
D1(config)# int vlan 20 
D1(config-if)# description Default Gateway SVI for 192.168.20.0/24 
D1(config-if)# ip add 192.168.20.1 255.255.255.0 
D1(config-if)# no shut 
D1(config-if)# exit 
D1(config)# interface GigabiteThernet1/0/6 
D1(config-if)# description Access port to PC1 
D1(config-if)# switchport mode access 
D1(config-if)# switchport access vlan 10 
D1(config-if)# exit 
D1(config)# interface GigabiteThernet1/0/18
D1(config-if)# description Access port to PC2 
D1(config-if)# switchport mode access 
D1(config-if)# switchport access vlan 20 
D1(config-if)# exit 
D1(config)# ip routing

Configuration du routage sur un commutateur de couche 3

D1(config)# interface GigabitEthernet1/0/1 
D1(config-if)# description routed Port Link to R1 
D1(config-if)# no switchport 
D1(config-if)# ip address 10.10.10.2 255.255.255.0 
D1(config-if)# no shut 
D1(config-if)# exit 
D1(config)# ip routing

 

Configuration du routage OSPF

D1(config)# router ospf 10 
D1(config-router)# network 192.168.10.0 0.0.0.255 area 0 
D1(config-router)# network 192.168.20.0 0.0.0.255 area 0 
D1(config-router)# network 10.10.10.0 0.0.0.3 area 0

Configuration de Link Aggregation Control Protocol (LACP)

S1(config)# interface range FastEthernet 0/1 - 2 
S1(config-if-range)# channel-group 1 mode active 
Creating a port-channel interface Port-channel 1 
S1(config-if-range)# exit 
S1(config)# interface port-channel 1 
S1(config-if)# switchport mode trunk S1(config-if)# switchport trunk allowed vlan 1,2,20

Configuration d'un serveur Cisco IOS DHCPv4

R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9 
R1(config)# ip dhcp excluded-address 192.168.10.254 
R1(config)# ip dhcp pool LAN-POOL-1 
R1(dhcp-config)# network 192.168.10.0 255.255.255.0 
R1(dhcp-config)# default-router 192.168.10.1 
R1(dhcp-config)# dns-server 192.168.11.5 
R1(dhcp-config)# domain-name example.com 
R1(dhcp-config)# end

Désactiver le serveur Cisco IOS DHCPv4

R1(config)# no service dhcp

DHCPv4 Relay

R1(config)# interface g0/0/0 
R1(config-if)# ip helper-address 192.168.11.6 
R1(config-if)# end

Routeur Cisco en tant que client DHCPv4

SOHO(config)# interface G0/0/1 
SOHO(config-if)# ip address dhcp 
SOHO(config-if)# no shutdown

Activation de la Stateless Address Autoconfiguration (SLAAC)

R1(config)# ipv6 unicast-routing 
R1(config)# exit

Activer DHCPv6 sans état sur une interface

R1(config-if)# ipv6 nd other-config-flag 
R1(config-if)# end

Activer DHCPv6 avec état sur une interface

R1(config)# int g0/0/1 
R1(config-if)# ipv6 nd managed-config-flag 
R1(config-if)# ipv6 nd prefix default no-autoconfig 
R1(config-if)# end

Configurer un serveur DHCPv6 sans état

R1(config)# ipv6 unicast-routing 
R1(config)# ipv6 dhcp pool IPV6-STATELESS 
R1(config-dhcpv6)# dns-server 2001:db8:acad:1::254 
R1(config-dhcpv6)# domain-name example.com 
R1(config-dhcpv6)# exit 
R1(config)# interface GigabitEthernet0/0/1 
R1(config-if)# description Link to LAN 
R1(config-if)# ipv6 address fe80::1 link-local 
R1(config-if)# ipv6 address 2001:db8:acad:1::1/64 
R1(config-if)# ipv6 nd other-config-flag 
R1(config-if)# ipv6 dhcp server IPV6-STATELESS 
R1(config-if)# no shut R1(config-if)# end

 

Configurer un client DHCPv6 sur un routeur

R3(config)# ipv6 unicast-routing 
R3(config)# interface g0/0/1 
R3(config-if)# ipv6 enable 
R3(config-if)# ipv6 address autoconfig

Configurer un serveur DHCPv6 avec état

R1(config)# ipv6 unicast-routing 
R1(config)# ipv6 dhcp pool IPV6-STATEFUL 
R1(config-dhcpv6)# address prefix 2001:db8:acad:1::/64 
R1(config-dhcpv6)# dns-server 2001:4860:4860::8888 
R1(config-dhcpv6)# domain-name example.com 
R1(config)# interface GigabitEthernet0/0/1 
R1(config-if)# description Link to LAN 
R1(config-if)# ipv6 address fe80::1 link-local 
R1(config-if)# ipv6 address 2001:db8:acad:1::1/64 
R1(config-if)# ipv6 nd managed-config-flag 
R1(config-if)# ipv6 nd prefix default no-autoconfig 
R1(config-if)# ipv6 dhcp server IPV6-STATEFUL 
R1(config-if)# no shut 
R1(config-if)# end

Configuration de l'agent de relais DHCPv6

R1(config)# interface gigabitethernet 0/0/1 
R1(config-if)# ipv6 dhcp relay destination 2001:db8:acad:1::2 G0/0/0 
R1(config-if)# exit

Configurer Hot Standby Router Protocol (HSRP)

Sur R1

R1(config)# interface g0/1 
R1(config-if)# standby version 2 
R1(config-if)# standby 1 ip 192.168.1.254 
R1(config-if)# standby 1 priority 150 
R1(config-if)# standby 1 preempt

Sur R2

R1(config)# interface g0/1 
R1(config-if)# standby version 2 
R1(config-if)# standby 1 ip 192.168.1.254

Sécurisation des ports inutilisés

Désactiver les ports non utilisés

S1(config)# interface range fa0/8 - 24 
S1(config-if-range)# shutdown 
S1(config-if-range)#

Activer la sécurité des ports

S1(config)# interface f0/1 
S1(config-if)# switchport mode access 
S1(config-if)# switchport port-security 
S1# show port-security interface f0/1

Limiter et apprendre les adresses MAC

S1(config)# interface f0/1 
S1(config-if)# switchport port-security maximum xxx
  1. Configuration manuelle
Switch(config-if)# switchport port-security mac-address AE43:34CB
  1. Apprentissage dynamique (Terminal déjà connecté)
Switch(config-if)# switchport port-security
  1. Apprentissage dynamique – Sticky
Switch(config-if)# switchport port-security mac-address sticky

Obsolescence de la sécurité des ports

Définir le type d'obsolescence (aging type) à 10 minutes d'inactivité

S1(config)# interface fa0/1 
S1(config-if)# switchport port-security aging time 10  
S1(config-if)# switchport port-security aging type inactivity  
S1(config-if)# end

Modes de Violation de la Sécurité des Ports

Switch(config-if)# switchport port-security violation { pro

 

Atténuer les attaques par sauts de VLAN

S1(config)# interface range fa0/1 - 16 
S1(config-if-range)# switchport mode access 
S1(config-if-range)# exit 
S1(config)# interface range fa0/17 - 20 
S1(config-if-range)# switchport mode access 
S1(config-if-range)# switchport access vlan 1000 
S1(config-if-range)# shutdown 
S1(config-if-range)# exit 
S1(config)# interface range fa0/21 - 24 
S1(config-if-range)# switchport mode trunk 
S1(config-if-range)# switchport nonegotiate 
S1(config-if-range)# switchport trunk native vlan 999 
S1(config-if-range)# end

Implémenter l'espionnage DHCP

S1(config)# ip dhcp snooping 
S1(config)# interface f0/1 
S1(config-if)# ip dhcp snooping trust 
S1(config-if)# exit 
S1(config)# interface range f0/5 - 24 
S1(config-if-range)# ip dhcp snooping limit rate 6 
S1(config-if-range)# exit 
S1(config)# ip dhcp snooping vlan 5,10,50-52 
S1(config)# end 
S1(config)# show ip dhcp snooping

Exemple de configuration DAI (inspection ARP Dynamique)

S1(config)# ip dhcp snooping 
S1(config)# ip dhcp snooping vlan 10 
S1(config)# ip arp inspection vlan 10 
S1(config)# interface fa0/24 
S1(config-if)# ip dhcp snooping trust 
S1(config-if)# ip arp inspection trust 
S1(config)# ip arp inspection validate src-mac 
S1(config)# ip arp inspection validate dst-mac 
S1(config)# ip arp inspection validate ip 
S1(config)# do show run | include validate
S1(config)# ip arp inspection validate src-mac dst-mac ip 
S1(config)# do show run | include validate
S1(config)#

Configurer PortFast

S1(config)# interface fa0/1 
S1(config-if)# switchport mode access 
S1(config-if)# spanning-tree portfast 
S1(config-if)# exit 
S1(config)# spanning-tree portfast default 
S1(config)# exit 
S1# show running-config | begin span

Configuration BPDU Guard

S1(config)# interface fa0/1 
S1(config-if)# spanning-tree bpduguard enable 
S1(config-if)# exit 
S1(config)# spanning-tree portfast bpduguard default 
S1(config)# end