10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Kleine Sammlung von Befehlen für angehende CCNA´s Die Funktionalität der aufgelisteten Befehle hängt von der Art der verwendeten Hardware ab! Auch kann es passieren, dass einige Befehle nicht funktionieren, oder einen geänderten Befehlsstring benötigen. Das ist abhängig von der verwendeten IOS Version. 1. allgemeine Befehle: -------------------- -------------------- Router>enable -> in den ENABLE-Modus wechseln
Router#conf t -> in den Konfigurations-Modus wechseln
Router(config)#no ip domain-lookup -> keine Namensauflösung durch DNS
Router(config)#service password-encryption -> eingegebene Passwörter werden
verschlüsselt angezeigt
Router(config)#enable secret "cisco-ena" -> Passwort für ENABLE-Modus festlegen Router(config)#clock set -> Einstellen der Systemzeit hh:min:ss
MONTH YEAR Bsp: (10:21:25 AUG 2012) Router#sh run -> Konfiguration anzeigen lassen Router#write memory -> speichert die running-Konfiguration in
die startup-Konfiguration
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Router(config)#hostname "Name" -> Hostname konfigurieren Router#sh version -> zeigt Informationen zum IOS und zur
verwendeten Hardware an
Router#terminal histoy size lines -> Anzahl der zwischengespeicherten Befehle (HISTORY)
Router#copy running-config startup-config -> laufende Konfiguration in die Startup- Konfiguration kopieren
Router#no + Befehl -> Befehl aufheben Router#write erase -> Konfiguration löschen Router#reload -> Router neu starten Switch#delete flash:vlan.dat -> VLAN.dat löschen 2. ZUG!NGE konfigurieren: ----------------------- ----------------------- a. Konsolenzugang konfigurieren: ------------------------------ line con 0 -> Wechsel auf die Konsole password <Passwort> -> Passwort vergeben für Zugriff über den
Konsolenport
login -> Befehl zur Aktivierung des Passwortes
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
exec-timeout 0<Minuten> 0<Sekunden> -> automatischer LOGOUT logging synchronous -> Befehlseingaben werden nicht durch
angezeigte Systemmeldungen unterbrochen
motd-banner -> Motto of the Day-Banner einschalten exit -> Sprung eine übergeordnete Ebene b. SSH-Zugang konfigurieren: -------------------------- hostname "hostname" -> Hostname ändern ip domain-name <Name> -> Domain-Name vergeben, wird benötigt um
den Schlüssel zu generieren
crypto key generate rsa -> RSA-Schlüssel generieren 2048 -> Schlüssellänge eingeben "2048" ist der
höchste einzustellende Wert
ip ssh version 2 -> SSH-Version 2 einstellen username <User> password <Passwort> -> Benutzer und Passwort eingeben um eine
lokale Datenbank für die Passwortabfrage zu ermöglichen
line vty 0 4 -> die gewünschten Line auswählen login local -> Für den Login die lokale Datenbank
verwenden
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
transport input ssh -> LOGIN auf der LINE nur via SSH zulassen exit -> Sprung in die übergeordnete Ebene c. TELNET-Zugang konfigurieren: ----------------------------- line vty 0 4 -> Wechsel auf die Line-Ebene um den
Telnetzugriff zu konfigurieren
password <Passwort> -> Passwort für TELNET-Zugriff login -> LOGIN-Befehl zur Aktivierung des
Passwortes
transport input telnet -> LOGIN auf der LINE nur via TELNET zulassen
exit -> Sprung in die übergeordnete Ebene d. TELNET-Sitzung eröffnen: ------------------------- Router#telnet x.x.x.x -> Telnet-Sitzung eröffnen IP-Adresse OHNE
Subnetmaske eingeben Password:"xxxx" -> Passwort für den Remotezugang setzen
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
3. Zugangseinstellungen Konsolenzugriff z.B.Putty, TerraTerm: ----------------------------------------------------------- ----------------------------------------------------------- Port: COM X Baudrate: 9600 Data: 8 Bit Parity: none stop: 1 Bit Flow Control: none 4. INTERFACES konfigurieren: ------------------------- ------------------------- a. Fast Ethernet: -------------- Router(config)#interface fax/x -> Fastethernet Interface auswählen Router(config-if)#ip address x.x.x.x y.y.y.y -> IP-Adresse / SnM vergeben Router(config-if)#no shutdown -> Schnittstelle aktivieren Router(config-if)#description "Beschreibung" -> Kommentar zur Schnittstelle Router(config-if)#? -> FüR WEITERE OPTIONEN wie z.B. Authentifizierung usw.
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
b. Serielles Interface: -------------------- Router(config)#interface sx/x -> serielles Interface auswählen Router(config-if)#ip address x.x.x.x y.y.y.y -> IP-Adresse / SnM vergeben Router(config-if)#clockrate xxxxx -> Takt (nach verfügbarer Bandbreite) Nur auf DCE Interfacen möglich. Router(config-if)#bandwith xxx -> gibt die Bandbreite an, wird zur
Berechnung der Metrik bei manchen Routing Protokollen verwendet.
Router(config-if)#? -> FüR WEITERE OPTIONEN wie z.B. Kapslungsarten Authentifizierung usw.
c. Sub-Interface auf dem Router anlegen (pro VLAN): ------------------------------------------------ Router(config)#interface fax/x.x -> Sub-Interface aufrufen z.B.
interface fa 0/0.10
Router(config-subif)#encapsulation dot1q x ODER Router(config-if)#encapsulation dot1q -> TAGGING aktivieren -> x = VLAN-ID Router(config-subif)#ip address x.x.x.x x.x.x.x -> IP-Adresse / SnM vergeben
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
d. Sub-Interface auf dem Switch anlegen (pro VLAN): ------------------------------------------------ Switch(config)#interface fax/x -> Sub-Interface aufrufen z.B.
interface fa 0/1
Switch(config-if)#switchport mode trunk -> Trunk einrichten Switch(config-if)#switchport trunk allowed vlan x-y -> Datenverkehr aller ausgewählten
Inter-VLANs erlauben
e. Interface Status und Konfiguration anzeigen: ------------------------------------------------ Router#show interface fax/x oder sx/x/x -> Interface anzeigen lassen Router#show controllers fax/x oder sx/x/x -> Controller anzeigen lassen hier: Router#show ip interface brief -> Alle Interface des Gerätes
anzeigen mit IP Adressierung und Status
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
5. Sicherungsdateien herstellen: ----------------------------- ----------------------------- a. Konfiguration auf einen TFTP-Server kopieren: --------------------------------------------- Router# copy startup-config tftp -> Kopiert die Startup Konfiguration
zu einem TFTP Server. Es erfolgt noch eine Abfrage nach der IP Adresse des Servers und den Dateinamen für die Startup Datei auf dem TFTP Server
b. Konfiguration von einem TFTP-Server auf den NVRAM-kopieren: ----------------------------------------------------------- Router# copy TFTP Statrup-config -> Kopiert die Konfigurationsdatei
vom TFTP Server in das NVRAM unter der Verwendung des Dateinamens Startup-config.
Es erfolgt eine Abfrage mit folgenden Parametern: Source ip Adress: -> IP-Adresse TFTP Server Source file name: -> Name der Konfig.cfg Bsp: startup-
config.cfg destination filename: -> Name der Datei.cfg
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
6. BANNER-Texte Konfiguration: ----------------------------- ----------------------------- Zwei Banner zur Auswahl: Motto of the Day motd: -> rein informativer Text LOGIN : -> Information mit rechtlicher Wirkung Router(config)#banner motd "Text Text Text" -> Am Anfang und am Ende des Textes steht
je ein von Ihnen gewähltes Sonderzeichen, welches im Text selber nicht vorkommen darf.
Router(config)#banner login "Text Text Text" -> Am Anfang und am Ende des Textes steht je ein von Ihnen gewähltes Sonderzeichen, welches im Text selber nicht vorkommen darf.
7. PASSWORD - RECOVERY: -------------------- -------------------- a. Password RECOVERY - ROUTER: --------------------------- Normales Register: 0 x 2102 Recovery-Register: 0 x 2142
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Router Neustarten, Tastenkombination Strg+Pause drücken --> Router fährt im Rommon-Modus hoch rommon 1 > confreg 0x2142 rommon 2 > reset Nach dem Neustart ignoriert der Router die vorhandene Startup Konfiguration Continue with configuration dialog? [yes/no]: no Router> enable -> in den ENABLE-Modus wechseln Router# copy startup-config running config -> Die Startup-Config in die Running-
Config kopieren. Nun können Sie das Passwort neu setzen.
Router# conf t -> in den conf t - Modus wechseln Router(config)#enable secret XXXX -> das vergessene Passwort ändern Router(config)#config-register 0x2102 -> Das Konfigurationsregister auf 0 x 2102
Zurückstellen
Router(config)#exit Router#copy running-config startupconfig -> Sichert die Änderung in die Startup
Konfiguration
Router#reload -> Router neustarten
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
b. Passwort RECOVERY - SWITCH: --------------------------- 1. Netzstecker ziehen 2. MODE-Taste drücken 3. Netzstecker einstecken, dabei die MODE-Taste weiter gedrückt halten 4. Warten bis LED über "Port 1" erlischt (2900) oder LED "STAT" erlischt (2950) 5. folgende Befehlseingaben tätigen: Switch: flash-init -> Inizialisiert den Flash Speicher
auf dem Switch
Switch: dir flash: -> Zeigt den Inhalt des Flash Speichers an.
Switch: rename flash:config.text flash:config.old -> Konfig TEXT in Konfig OLD umbenennen, damit verhindern Sie,
das die Config Datei beim Starten ausgelesen wird.
Switch: boot -> Switch NEU Laden lassen Switch> enable -> in den ENABLE-Modus wechseln Switch# rename flash.config.old flash:config.text -> Konfig OLD in die Konfig TEXT
Umbenennen
Switch# copy flash:config.text running-config -> Konfig TEXT in die Running-Konfig kopieren
6. Passwort ändern 7. Switch#write memory -> Konfiguration speichern
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
8. ROUTING: -------- -------- a. STATISCHES Routing: ------------------- Router(config)#ip route x.x.x.x x.x.x.x int x/x -> Statische Route eingeben hier:
Ausgang über eine definierte Schnittstelle z.B. (s0/0)
Router(config)#ip route x.x.x.x x.x.x.x x.x.x.x -> Statische Route eingeben hier: Ausgang über eine IP-Adresse (Gateway)
Router(config)#ip route 0.0.0.0 0.0.0.0 int x/x -> Default-Route (evtl. ins Internet) definieren über eine definierte Schnittstelle (z.B. s0/0)
b. Routing RIP: ------------ Router(config)#router rip -> Routingprozess aktivieren Router(config-router)#version 2 -> RIP-Version 2 nutzen Router(config-router)#network x.x.x.x -> angeschlossene Netze eintragen (Classfull)
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Router(config-router)#no auto-summary -> Auto-summary AUSSCHALTEN, da ansonsten die Netze als classfull zusammengefasst werden.
Router(config-router)# passive-interface z.B. fax/x -> Verhindert das versenden von Routinginformationen aus dem Interface c. Routing EIGRP: -------------- Router(config)#router eigrp "AS-Nr" -> Routingprozess EIGRP aktivieren
+AS-Nr der Wert liegt zwischen 1 und 65536.Der Wert ist von globaler Bedeutung. Er muss bei allen Routern in einem Netz
identisch sein.
Router(config-router)#network x.x.x.x -> alle angeschlossenen Netzwerke Angeben OHNE Subnetzmaske
Router(config-router)#network x.x.x.x x.x.x.x -> alle angeschlossenen Netzwerke angeben mit Wildcartmaske
Router(config-router)#no auto-summary -> Auto-summary AUSSCHALTEN, da
ansonsten die Netze als classfull zusammengefasst werden.
Router(config)#passive-interface -> Verhindert das versenden von Routinginformationen aus dem Interface
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
d. Routing OSPF: ------------- Router(config)#router ospf "4" -> Routingprozess OSPF aktivieren
"ProzessNr"liegt zwischen 1 und 65536 und hat nur lokale Bedeutung
Router(config)#network x.x.x.x y.y.y.y area z -> alle angeschlossenen Netzwerke
eingeben mit Wildcardmaske und AREA-Nr.
Router(config)#passive-interface -> Verhindert das versenden von Routinginformationen aus dem Interface Router(config)#default-information originate allways -> mit diesem Befehl erkennt OSPF
statische Routen im LAN und gibt diese an seine Nachbarn weiter
9. DHCP-Router aufsetzen: --------------------- --------------------- Router(config)#ip dhcp excluded-address x.x.x.x y.y.y.y -> Ausschlussadressen vergeben Router(config)#ip dhcp pool "Name" -> Erzeugt einen DHCP Pool unter dem Verwendeten Namen Router(dhcp-config)#default-router x.x.x.x -> Ist der Default Gateway für das
Subnetz des Pools
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Router(dhcp-config)#network x.x.x.x y.y.y.y -> Das Netz aus dem die IP Adressen vergeben werden
Router(dhcp-config)#dns-server x.x.x.x -> IP Adresse des DNS-Server Router(dhcp-config)#domain-name -> Name der Domaine Wenn sich der DHCP-Server in einem ANDEREN SubNet befindet: Router(config-if)ip helper-address x.x.x.x -> IP-Adresse des DHCP-Servers
eingeben 10. NTP-Server (Zeitserver): ------------------------ ------------------------ Router(config)#NTP Master 1 -> Aktiviert einen NTP Server auf dem
Router
Router(config)#ntp server x.x.x.x -> NTP-Server ist über IP Adresse x.x.x.x zu erreichen
Router(config)#clock timezone mez 1 -> Zeitzone bestimmen MEZ = MitteleurpΣische Zeit 1 = Unterschied zwischen Greenwich- Time und der MEZ-Zone
Router(config)#clock summer-time MESZ recurring last SUNDAY MARCH 02:00 last SUNDAY OCTOBER 03:00 60 -> automaitsches Umschalten auf die
Sommerzeit einstellen
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
11. CDP - Cisco Discovery Protokoll (Nachbarn suchen und Info"s ansehen): --------------------------------------------------------------------- --------------------------------------------------------------------- Router(config)#cdp run -> CPD einschalten ist der default Router#show cdp neighbor -> zeigt alle direkt angeschlossenen
Geräte an
Router#show cdp neighbors detail -> zeigt alle direkt angeschlossenen Geräte mit detaillierten Informationen
Router(config)#no cdp run -> CPD auf dem Interface AUSSCHALTEN !!!
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
12. SPEZIELLE Switch-Konfigurationen: --------------------------------- --------------------------------- Switch(config)#int vlan1 -> virtuelles LAN (Default-VLAN) auswählen
(Standart-VLAN) Um eine Fernkonfiguration zu ermöglichen
Switch(config-if)#ip address x.x.x.x x.x.x.x -> IP Adresse, SnM vergeben Switch(config-if)#no shutdown -> Interface hochfahren Switch(config-if)#exit -> Sprung in die übergeordnete Ebene Switch(config)#ip default gateway x.x.x.x -> Default Gateway eingeben 13. Spanning Tree: -------------- -------------- STP / RSTP ist standartmäßig auf Ciscogeräten aktiviert! Switch(config)#Spanning-tree -> Spanning-Tree aktivieren Switch(config)#spanning-tree vlan x hello-time -> Timer der BPDU´s verändern Switch#show spanning-tree -> Spanning-Tree Einstellungen anzeigen
lassen
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
14. Switch VLAN - Konfiguration: ---------------------------- ---------------------------- a. allgemein: ---------- Switch#show vlan -> Zeigt alle aktiven Vlans an und die
Schnittstellen die zu den Vlan´s zugeordnet sind
Switch#show vlan 20 -> Zeigt Einzelheiten zu dem gewählten
Vlan an. Switch#show interfaces trunk -> Zeigt alle Interface an, die als Trunk
arbeiten. Auch werden Zusatzinformationen wie transportierte Vlans und den Typ der Kappselung an
Switch(config)#int range Fa0/2 - 10 -> Range Befehl für alle Situationen wo
eine Range eine Arbeitserleichterung darstellt.
b. VLAN einrichten: ---------------- Switch(config)#vlan 200 -> VLAN erstellen (hier VLAN 200) Switch(config-vlan)#name Produktion -> VLAN benennen (hier Produktion)
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
c. VLAN löschen: ------------- Switch(config)#no vlan 200 -> VLAN löschen (hier VLAN 200) d. Switchport einem VLAN zuweisen: ------------------------------- Switch(config)#int f0/3 -> Interface auswählen Switch(config-if)#switchport mode access -> Port als Zugangsport deklarieren Switch(config-if)#switchport access vlan 200 -> Interface dem VLAN 200 zuweisen Switch(config-if)#exit -> Sprung in die übergeordnete Ebene e. VLAN - TRUNK einrichten: ------------------------ Switch(config)#int f0/3 -> Interface auswählen Switch(config-if)#switchport mode trunk -> Port als Trunkport deklarieren Switch(config-if)#switchport trunk allowed vlan 1,2 -> Datenverkehr definierter VLAN"s auf dem
Trunk zulassen
Switch(config-if)#switchport trunk encapsulation dot1q -> TAGGING-Modus aktivieren
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
15. VTP - Domäne erstellen (Verteilen von Parametern auf VTP-Clients nach Änderungen auf dem VTP-Server: ------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------ Switch#vlan database -> je nach IOS-Version in die die VLAN-
Datenbank wechseln Switch(config)#vtp mode server/client/transparent -> Festlegen welcher Betriebsmodus
gefahren werden soll (Server, Client oder Transparenz)
Switch(config)#vtp domain "Domänen-Name" -> VTP-Domänenname vergeben (Wenn der Domänenname einmal vergeben ist kann er nicht mehr gelöscht werden, nur Änderungen ist möglich)
Switch(config)#vtp password "Passwort" -> Passwort vergeben (MD 5 Hash-Wert) (müssen auf allen Komponenten GLEICH sein, Groß und Kleinschreibung beachten)
Switch(config)#vtp pruning -> Verhinderung von VLAN-Broadcasts an Stellen an denen sie nicht benötigt werden (Abhängig von den Cisco-Geräten)
Switch(config)#end Switch#show vtp status -> VTP-Konfiguration anzeigen lassen
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
16. SPAN zur Portüberwachung installieren !!!ACHTUNG: frisst Bandbreite!!! ----------------------------------------------------------------- ----------------------------------------------------------------- Switch#show monitor session 1 -> SPAN Session anzeigen lassen a. Überwachung eines Ports: ------------------------ Switch(config)#interface fx/x -> Interface auswählen auf dem der
ÜBERWACHENDE PC angeschlossen ist
Switch(config-if)#port monitor fx/x -> Port auswählen der überwacht werden Soll
Switch(config-if)#no port monitor fx/x -> Überwachung für einen Port beenden b. Überwachung mehrerer Ports(Range): ---------------------------------- Switch(config)#no monitor session 1 -> evtl. laufende Session beenden Switch(config)#monitor session 1 source int fx/x - x -> die zu überwachenden Ports bestimmen Switch(config)#monitor session 1 destination int gix/x -> die zu überwachenden Ports auf einen
Port spiegeln an dem der ÜBERWACHENDE PC hängt
Switch(config)#no monitor session 1 source int fx/x -> Ports aus der Session entfernen
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
17. ETHERCHANNEL (Portszusammenfassung) (auf beiden Seiten GLEICH konfigurieren ---------------------------------------------------------------------------- ---------------------------------------------------------------------------- Switch#show etherchannel -> einen Etherchannel anzeigen lassen Switch#show etherchannel summary -> gesamte Etherchannel-Konfig anzeigen
lassen a. Switch 1: (Befehlsreihenfolge einhalten) --------- Switch1(config)#interface Range fx/x - x -> Ports aussuchen Switch1(config-if)#switchport trunk native VLAN xx -> Default VLAN von VLAN 1 auf VLAN x auf
der Interfacerange verlegen, muss mit dem gegenüberliegenden Switch ÜBEREINSTIMMEN
Switch1(config-if)#channel-group 2 mode on -> Interfaces dem Ethercahnnel zuweisen, Modus aktivieren (Channelgroup muss mit
Port-Channel-Nr. übereinstimmen)
Switch1(config)#interface port-channel 2 -> Port Interface dem Channel zuweisen ( Port-Channel-Nr. muss mit Channelgroup übereinstimmen)
Switch1(config-if)#switchport mode trunk -> gebündelte Ports als TRUNK definieren
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Switch1(config-if)#switchport trunk native VLAN xx -> Nativ auf VLAN x auf dem Port-Channel verlegen, muss mit dem gegenüberliegenden Switch ÜBEREINSTIMMEN
b. LOADBALANCING: -------------- Switch(config)#port-channel load-balance dst mac -> Loadbalance bei Verteilung der Daten
vom Server zu einzelnen Clients
Switch(config)#port-channel load-balance src mac -> Loadbalance bei Verteilung der Daten von einzelnen Clients zum Server
Switch(config)#no port-channel load-balance -> Loadbalance ausschalten Switch#show etherchannel brief/port/load-balance -> einzelne Etherchannel Konfigurationen
anzeigen lassen 18. PORT - SECURITY: ---------------- ---------------- Switch#show port-security int fx/x -> Port-Security Status eines Ports anzeigen
Lassen
Switch#show port-security -> Auflistung der PortSec-Ports mit Einzelangaben
Switch#show port-security address -> Einzelauflistung je Port
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Switch(config)#interface fx/x -> Interfaces aussuchen Switch(config-if)#switchport mode access -> Access-Mode einstellen Switch(config-if)#switchport port-security -> Port-Security aktivieren Switch(config-if)#switchport port-security maximum x -> Anzahl der erlaubten Nutzer einstellen Switch(config-if)#switchport port-security mac-address sticky -> MAC-Adressen automatisch
erlernen Switch(config-if)#switchport port-security violation shutdown -> Massnahmen bei unerlaubten
Anstecken festlegen hier: Port herunterfahren
19. WEB - SERVER (http / https) (vor Aktivierung ENABLE-Secret Passwort vergeben): ----------------------------------------------------------------------------- ----------------------------------------------------------------------------- Router(config)#ip http secure-server -> HTTPs-Server aktivieren Router(config)#ip http server -> HTTP-Server aktivieren Router(config)#ip http access-class Nr. Name -> Accessliste zur Regelung des Zugriffs
auf den Web-Server
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
20. ACCESS - Listen (ACL): ---------------------- ---------------------- Router#show access-lists -> alle Accesslisten anzeigen lassen Router(config)#no access-list x -> Accessliste löschen a. Standart-ACL: prüfen nur die Quell-IP Setzen Sie diese so nahe wie möglich am Ziel ein! ----------------------------------------------------------------------------------- Router(config)#access list x permit 10.1.1.0 0.0.0.255 -> Accessliste x erstellen,
Datenverkehr vom SubNet 10.1.1.0 erlauben (x = Nummerierung) Die Werte für X liegen zwischen 1 & 99 oder zwischen 1300 & 1399
Router(config)#access list x deny 10.1.1.0 0.0.0.255 -> Accessliste x erstellen, Datenverkehr
vom SubNet 10.1.1.0 wird verboten Router(config)#access list x permit 10.1.1.1 0.0.0.0 -> Acessliste x erstellen, Datenverkehr
eines einzelnen PC erlauben (anstelle der WildcardMask kann auch der Befehl "Host" eingeben werden Bsp: access list x permit host 10.1.1.1
Router(config-if)#ip access group x out -> Accessliste x auf einem Interface in
ausgehende Richtung anbinden (x = Nr. der Accessliste)
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Router(config-if)#ip access group x in -> Accessliste x auf einem Interface in eingehende Richtung anbinden
b. Extended-ACL : prüfen Quell u. Ziel-IP sowie ----------------------------------------------------------------------------------------------------------------------------- Router(config)#access list x deny tcp 10.1.4.0 0.0.0.255 any eq 23 -> Accessliste x erstellen,
Telnetzugriff für SubNet 10.1.4.0 verbieten (Telnet: Port 23 bei TCP)
Router(config)#access list x permit ip any any -> Accessliste x erstellen, alles von äberall nach überall erlauben
c. ACL auf vty - Lines: -------------------- Router(config)#access list x permit 10.1.1.0 0.0.0.255 -> Accessliste x erstellen, Zugriff
für das SubNet 10.1.1.0 gestatten
Router(config-line)#access-class x in -> Accessliste auf der vty-Line aktivieren
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
21. NAT: ---- ---- Router#show ip nat translations -> Die Tabelle der Nat Übersetzung
anzeigen lassen a. Statisches NAT: --------------- Router(config)#ip nat inside source static x.x.x.x x.x.x.x -> die statische Übersetzung
eingeben von IP zu IP
Router(config)#interface x/x -> auf das entsprechende NAT-Outside- Interface wechseln
Router(config-if)ip nat outside -> das Interface als OUTSIDE-Interface festlegen
Router(config)#interface x/x -> auf das entsprechende NAT-Inside- Interface wechseln
Router(config-if)ip nat inside -> das Interface als INSIDE-Interface festlegen
b. Dynamisches NAT: ---------------- Router(config)#interface x/x -> auf das entsprechende NAT-Outside-
Interface wechseln
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Router(config-if)ip nat outside -> das Interface als OUTSIDE-Interface festlegen
Router(config)#interface x/x -> auf das entsprechende NAT-Inside- Interface wechseln
Router(config-if)ip nat inside -> das Interface als INSIDE-Interface festlegen
Router(config)#ip nat inside source list x pool LocalLAN -> den IP"s (aus der Access-Liste) dem Pool LocalLAN zuweisen ("x" muss mit der Nr. der Accessliste übereinstimmen)
Router(config)#ip nat pool LocalLAN x.x.x.x x.x.x.x netmask x.x.x.x -> IP-Bereich definieren der für NAT in Betracht kommt (vom Provider gelieferte öffentliche IP-Adressen)
Bsp: 10.5.5.18 1.5.5.30 netmask 255.255.255.240 Router(config)#access-list x permit 10.1.1.0 0.0.0.255 -> Accessliste "x" erstellen IP-
Bereich der für NAT in Frage kommt festlegen (x = Nr. der Acl)
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
c. Dynamisches NAT OVERLOAD: ------------------------- Router(config)#interface x/x -> auf das entsprechende NAT-Outside-
Interface wechseln
Router(config-if)ip nat outside -> das Interface als OUTSIDE-Interface festlegen
Router(config)#interface x/x -> auf das entsprechende NAT-Inside- Interface wechseln
Router(config-if)ip nat inside -> das Interface als INSIDE-Interface festlegen
Router(config)#ip nat pool "name" x.x.x.x x.x.x.x netmask x.x.x.x -> IP-Bereich (der vom
Provider gelieferten öffentlichen IP-Adressen) festlegen
Bsp: 10.5.5.18 10.5.5.20 netmask 255.255.255.240 Router(config)#ip nat inside source list x pool "Name" overload -> Inside Interface mit dem Pool
der öffentlichen IP-Adressen verknüpfen (x = Nr. der Acl)
Router(config)#access-list x permit 10.1.1.0 0.0.0.255 -> Accessliste "x" erstellen eigene
IP-Adressen die für NAT in Frage kommen sollen, festlegen (x = Nr. der Acl)
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
d. NAT löschen: ------------ Router(config)#no ip nat inside source static -> Statisches NAT löschen Router(config)#no ip nat pool -> IP-NAT Pool löschen Router(config)#no access-list x -> Accessliste löschen Router#clear ip nat translation -> alle dynamischen NAT-Einträge
löschen 22. IPv6 konfigurieren: ------------------- ------------------- Router(config)#ipv6 unicast-routing -> IPv6 aktivieren Router(config)#interface fx/x -> benötigtes Interface auswählen
hier:fx/x
Router(config-if)#ipv6 address 2001:21::1/48 -> IPv6-Adresse eingeben mit SubnetMask als Kurzschreibweise
Router(config-if)#no shutdown -> Interface hochfahren Router#sh ipv6 int brief -> IPv6 Einstellungen anteigen lassen
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
23. IP - SECURITY (VPN-Tunnel): -------------------------- -------------------------- Router(config)#access-list 101 permit ip 10.1.1.0 0.0.0.15 any -> Accessliste erstellen die
ausschliesslich definierten Subnets den Datenverkehr über einen VPN-TUNNEL erlaubt
Router(config)#crypto isakmp policy 101 -> Richtlinie festlegen Router(config-isakmp)#encryption aes 256 -> Verschlüsselung festlegen Router(config-isakmp)#hash sha -> Hash-Alogorhytmus festlegen Router(config-isakmp)#authentication pre-share -> das einzusetzende
Authentifizierungsverfahren beschreiben
Router(config-isakmp)#group 5 -> Diffie-Hellmann-Gruppe festlegen (5 ist die sicherste Gruppe)
Router(config-isakmp)#lifetime 43200 -> Gültigkeitsdauer für die Aushandlung in Sekunden festlegen
Router(config-isakmp)#exit -> Sprung in die übergeordnete Ebene Router(config)#crypto isakmp key "Passwort" address x.x.x.x -> Pre-Shared-Key namens Passwort
für den Partner (anderes Tunnelinterface) mit der IP x.x.x.x setzen
10110001 0011011101 11001110000 0011001110 000110011
Lars Geffke Weiterbildung mit Spaß zum Erfolg
geffke@alice-‐dsl.net
Router(config)#crypto ipsec transform-set "wbt" esp-aes esp-sha-hmac -> Verschlüsselungsoptionen festlegen (Kombination mit verschiedensten Kryptomöglichkeiten, müssen auf beiden Tunnelinterfaces GLEICH sein)
Router(config)#crypto map "Name" 101 ipsec-isakmp -> Kryptomap erstellen und mit der ACL 101 und ipsec-isakmp verknüpfen (müssen auf beiden TunnelInt gleich sein)
Router(config-crypto-map)#set peer x.x.x.x -> gegenüberliegendes Tunnelinterface
bestimmen
Router(config-crypto-map)#set transformset "wbt" -> Transformset "wbt" mit der Kryptomap verknüpfen
Router(config-crypto-map)#match address "101" -> Verknüpfung der Accessliste "101" mit KryptoMap herstellen
Router(config)#int sx/x/x -> Auf das beabsichtigte
Tunnelinterface wechseln
Router(config-if)#crypto map "Name" -> KryptoMap auf das Tunnelinterface legen