Kleine Sammlung von Befehlen für angehende CCNA´s

Lars G effke Weiterbildung mit Spaß zum Erfolg Kleine Sammlung von Befehlen für angehende CCNA´s 10110001 0011011101 11001110000 0011001110 000110011 Die Funktionalität der aufgelisteten Befehle hängt von der Art der verwendeten Hardware ab!
Auch kann es passieren, dass einige Befehle nicht funktionieren, oder einen geänderten
Befehlsstring benötigen. Das ist abhängig von der verwendeten IOS Version.
1. allgemeine Befehle:
--------------------------------------Router>enable
-> in den ENABLE-Modus wechseln
Router#conf t
-> in den Konfigurations-Modus wechseln
Router(config)#no ip domain-lookup
-> keine Namensauflösung durch DNS
Router(config)#service password-encryption
-> eingegebene Passwörter werden
verschlüsselt angezeigt
Router(config)#enable secret "cisco-ena"
-> Passwort für ENABLE-Modus festlegen
Router(config)#clock set
-> Einstellen der Systemzeit hh:min:ss
MONTH YEAR Bsp: (10:21:25 AUG 2012)
Router#sh run
-> Konfiguration anzeigen lassen
Router#write memory
-> speichert die running-Konfiguration in
die startup-Konfiguration
geffke@alice-­‐dsl.net Lars G effke Weiterbildung mit Spaß zum Erfolg 10110001 0011011101 11001110000 0011001110 000110011 Router(config)#hostname "Name"
-> Hostname konfigurieren
Router#sh version
-> zeigt Informationen zum IOS und zur
verwendeten Hardware an
Router#terminal histoy size lines
-> Anzahl der zwischengespeicherten
Befehle (HISTORY)
Router#copy running-config startup-config
-> laufende Konfiguration in die StartupKonfiguration kopieren
Router#no + Befehl
-> Befehl aufheben
Router#write erase
-> Konfiguration löschen
Router#reload
-> Router neu starten
Switch#delete flash:vlan.dat
-> VLAN.dat löschen
2. ZUG!NGE konfigurieren:
--------------------------------------------a. Konsolenzugang konfigurieren:
-----------------------------line con 0
-> Wechsel auf die Konsole
password <Passwort>
-> Passwort vergeben für Zugriff über den
Konsolenport
login
-> Befehl zur Aktivierung des Passwortes
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg exec-timeout 0<Minuten> 0<Sekunden>
-> automatischer LOGOUT
logging synchronous
-> Befehlseingaben werden nicht durch
angezeigte Systemmeldungen unterbrochen
motd-banner
-> Motto of the Day-Banner einschalten
exit
-> Sprung eine übergeordnete Ebene
b. SSH-Zugang konfigurieren:
-------------------------hostname "hostname"
-> Hostname ändern
ip domain-name <Name>
-> Domain-Name vergeben, wird benötigt um
den Schlüssel zu generieren
crypto key generate rsa
-> RSA-Schlüssel generieren
2048
-> Schlüssellänge eingeben "2048" ist der
höchste einzustellende Wert
ip ssh version 2
-> SSH-Version 2 einstellen
username <User> password <Passwort>
-> Benutzer und Passwort eingeben um eine
lokale Datenbank für die
Passwortabfrage zu ermöglichen
line vty 0 4
-> die gewünschten Line auswählen
login local
-> Für den Login die lokale Datenbank
verwenden
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg transport input ssh
-> LOGIN auf der LINE nur via SSH zulassen
exit
-> Sprung in die übergeordnete Ebene
c. TELNET-Zugang konfigurieren:
----------------------------line vty 0 4
-> Wechsel auf die Line-Ebene um den
Telnetzugriff zu konfigurieren
password <Passwort>
-> Passwort für TELNET-Zugriff
login
-> LOGIN-Befehl zur Aktivierung des
Passwortes
transport input telnet
-> LOGIN auf der LINE nur via TELNET
zulassen
exit
-> Sprung in die übergeordnete Ebene
d. TELNET-Sitzung eröffnen:
------------------------Router#telnet x.x.x.x
-> Telnet-Sitzung eröffnen IP-Adresse OHNE
Subnetmaske eingeben
Password:"xxxx"
-> Passwort für den Remotezugang setzen
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 3. Zugangseinstellungen Konsolenzugriff z.B.Putty, TerraTerm:
--------------------------------------------------------------------------------------------------------------------Port:
Baudrate:
Data:
Parity:
stop:
Flow Control:
COM X
9600
8 Bit
none
1 Bit
none
4. INTERFACES konfigurieren:
------------------------------------------------a. Fast Ethernet:
-------------Router(config)#interface fax/x
-> Fastethernet Interface auswählen
Router(config-if)#ip address x.x.x.x y.y.y.y
-> IP-Adresse / SnM vergeben
Router(config-if)#no shutdown
-> Schnittstelle aktivieren
Router(config-if)#description "Beschreibung"
-> Kommentar zur Schnittstelle
Router(config-if)#?
-> FüR WEITERE OPTIONEN wie z.B.
Authentifizierung usw.
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg b. Serielles Interface:
-------------------Router(config)#interface sx/x
-> serielles Interface auswählen
Router(config-if)#ip address x.x.x.x y.y.y.y
-> IP-Adresse / SnM vergeben
Router(config-if)#clockrate xxxxx
-> Takt (nach verfügbarer Bandbreite)
Nur auf DCE Interfacen möglich.
Router(config-if)#bandwith xxx
-> gibt die Bandbreite an, wird zur
Berechnung der Metrik bei manchen
Routing Protokollen verwendet.
Router(config-if)#?
-> FüR WEITERE OPTIONEN wie z.B.
Kapslungsarten Authentifizierung
usw.
c. Sub-Interface auf dem Router anlegen (pro VLAN):
-----------------------------------------------Router(config)#interface fax/x.x
-> Sub-Interface aufrufen z.B.
interface fa 0/0.10
Router(config-subif)#encapsulation dot1q x ODER
Router(config-if)#encapsulation dot1q
-> TAGGING aktivieren -> x = VLAN-ID
Router(config-subif)#ip address x.x.x.x x.x.x.x
-> IP-Adresse / SnM vergeben
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg d. Sub-Interface auf dem Switch anlegen (pro VLAN):
-----------------------------------------------Switch(config)#interface fax/x
-> Sub-Interface aufrufen z.B.
interface fa 0/1
Switch(config-if)#switchport mode trunk
-> Trunk einrichten
Switch(config-if)#switchport trunk allowed vlan x-y
-> Datenverkehr aller ausgewählten
Inter-VLANs erlauben
e. Interface Status und Konfiguration anzeigen:
-----------------------------------------------Router#show interface fax/x oder sx/x/x
-> Interface anzeigen lassen
Router#show controllers fax/x oder sx/x/x
-> Controller anzeigen lassen hier:
Router#show ip interface brief
-> Alle Interface des Gerätes
anzeigen mit IP Adressierung und
Status
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 5. Sicherungsdateien herstellen:
--------------------------------------------------------a. Konfiguration auf einen TFTP-Server kopieren:
--------------------------------------------Router# copy startup-config tftp
-> Kopiert die Startup Konfiguration
zu einem TFTP Server. Es erfolgt
noch eine Abfrage nach der IP
Adresse des Servers und den
Dateinamen für die Startup Datei
auf dem TFTP Server
b. Konfiguration von einem TFTP-Server auf den NVRAM-kopieren:
----------------------------------------------------------Router# copy TFTP Statrup-config
-> Kopiert die Konfigurationsdatei
vom TFTP Server in das NVRAM unter
der Verwendung des Dateinamens
Startup-config.
Es erfolgt eine Abfrage mit folgenden Parametern:
Source ip Adress:
-> IP-Adresse TFTP Server
Source file name:
-> Name der Konfig.cfg Bsp: startupconfig.cfg
destination filename:
-> Name der Datei.cfg
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 6. BANNER-Texte Konfiguration:
--------------------------------------------------------Zwei Banner zur Auswahl:
Motto of the Day motd:
-> rein informativer Text
LOGIN :
-> Information mit rechtlicher Wirkung
Router(config)#banner motd "Text Text Text"
-> Am Anfang und am Ende des Textes steht
je ein von Ihnen gewähltes
Sonderzeichen, welches im Text selber
nicht vorkommen darf.
Router(config)#banner login "Text Text Text"
-> Am Anfang und am Ende des Textes steht
je ein von Ihnen gewähltes
Sonderzeichen, welches im Text selber
nicht vorkommen darf.
7. PASSWORD - RECOVERY:
--------------------------------------a. Password RECOVERY - ROUTER:
--------------------------Normales Register: 0 x 2102
Recovery-Register: 0 x 2142
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg Router Neustarten, Tastenkombination Strg+Pause drücken --> Router fährt im Rommon-Modus hoch
rommon 1 > confreg 0x2142
rommon 2 > reset
Nach dem Neustart ignoriert der Router die vorhandene Startup Konfiguration
Continue with configuration dialog? [yes/no]: no
Router> enable
-> in den ENABLE-Modus wechseln
Router# copy startup-config running config
-> Die Startup-Config in die RunningConfig kopieren. Nun können Sie das
Passwort neu setzen.
Router# conf t
-> in den conf t - Modus wechseln
Router(config)#enable secret XXXX
-> das vergessene Passwort ändern
Router(config)#config-register 0x2102
-> Das Konfigurationsregister auf 0 x 2102
Zurückstellen
Router(config)#exit
Router#copy running-config startupconfig
-> Sichert die Änderung in die Startup
Konfiguration
Router#reload
-> Router neustarten
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg b. Passwort RECOVERY - SWITCH:
--------------------------1.
2.
3.
4.
5.
Netzstecker ziehen
MODE-Taste drücken
Netzstecker einstecken, dabei die MODE-Taste weiter gedrückt halten
Warten bis LED über "Port 1" erlischt (2900) oder LED "STAT" erlischt (2950)
folgende Befehlseingaben tätigen:
Switch: flash-init
-> Inizialisiert den Flash Speicher
auf dem Switch
Switch: dir flash:
-> Zeigt den Inhalt des Flash
Speichers an.
Switch: rename flash:config.text flash:config.old
-> Konfig TEXT in Konfig OLD
umbenennen, damit verhindern Sie,
das die Config Datei beim Starten
ausgelesen wird.
Switch: boot
-> Switch NEU Laden lassen
Switch> enable
-> in den ENABLE-Modus wechseln
Switch# rename flash.config.old flash:config.text
-> Konfig OLD in die Konfig TEXT
Umbenennen
Switch# copy flash:config.text running-config
-> Konfig TEXT in die Running-Konfig
kopieren
6. Passwort ändern
7. Switch#write memory
geffke@alice-­‐dsl.net -> Konfiguration speichern
Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 8. ROUTING:
--------------a. STATISCHES Routing:
------------------Router(config)#ip route x.x.x.x x.x.x.x int x/x
-> Statische Route eingeben hier:
Ausgang über eine definierte
Schnittstelle z.B. (s0/0)
Router(config)#ip route x.x.x.x x.x.x.x x.x.x.x
-> Statische Route eingeben hier:
Ausgang über eine IP-Adresse
(Gateway)
Router(config)#ip route 0.0.0.0 0.0.0.0 int x/x
-> Default-Route (evtl. ins Internet)
definieren über eine definierte
Schnittstelle (z.B. s0/0)
b. Routing RIP:
-----------Router(config)#router rip
-> Routingprozess aktivieren
Router(config-router)#version 2
-> RIP-Version 2 nutzen
Router(config-router)#network x.x.x.x
(Classfull)
-> angeschlossene Netze eintragen
geffke@alice-­‐dsl.net Lars G effke Weiterbildung mit Spaß zum Erfolg 10110001 0011011101 11001110000 0011001110 000110011 Router(config-router)#no auto-summary
-> Auto-summary AUSSCHALTEN, da
ansonsten die Netze als classfull
zusammengefasst werden.
Router(config-router)# passive-interface z.B. fax/x
-> Verhindert das versenden von
Routinginformationen aus dem
Interface
c. Routing EIGRP:
-------------Router(config)#router eigrp "AS-Nr"
-> Routingprozess EIGRP aktivieren
+AS-Nr der Wert liegt zwischen 1
und 65536.Der Wert ist von
globaler Bedeutung. Er muss bei
allen Routern in einem Netz
identisch sein.
Router(config-router)#network x.x.x.x
-> alle angeschlossenen Netzwerke
Angeben OHNE Subnetzmaske
Router(config-router)#network x.x.x.x x.x.x.x
-> alle angeschlossenen Netzwerke
angeben mit Wildcartmaske
Router(config-router)#no auto-summary
-> Auto-summary AUSSCHALTEN, da
ansonsten die Netze als classfull
zusammengefasst werden.
Router(config)#passive-interface
-> Verhindert das versenden von
Routinginformationen aus dem
Interface
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg d. Routing OSPF:
------------Router(config)#router ospf "4"
-> Routingprozess OSPF aktivieren
"ProzessNr"liegt zwischen 1 und
65536 und hat nur lokale Bedeutung
Router(config)#network x.x.x.x y.y.y.y area z
-> alle angeschlossenen Netzwerke
eingeben mit Wildcardmaske und
AREA-Nr.
Router(config)#passive-interface
-> Verhindert das versenden von
Routinginformationen aus dem
Interface
Router(config)#default-information originate allways
-> mit diesem Befehl erkennt OSPF
statische Routen im LAN und gibt
diese an seine Nachbarn weiter
9. DHCP-Router aufsetzen:
----------------------------------------Router(config)#ip dhcp excluded-address x.x.x.x
y.y.y.y
-> Ausschlussadressen vergeben
Router(config)#ip dhcp pool "Name"
-> Erzeugt einen DHCP Pool unter dem
Verwendeten Namen
Router(dhcp-config)#default-router x.x.x.x
-> Ist der Default Gateway für das
Subnetz des Pools
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg Router(dhcp-config)#network x.x.x.x y.y.y.y
-> Das Netz aus dem die IP Adressen
vergeben werden
Router(dhcp-config)#dns-server x.x.x.x
-> IP Adresse des DNS-Server
Router(dhcp-config)#domain-name
-> Name der Domaine
Wenn sich der DHCP-Server in einem ANDEREN SubNet befindet:
Router(config-if)ip helper-address x.x.x.x
-> IP-Adresse des DHCP-Servers
eingeben
10. NTP-Server (Zeitserver):
----------------------------------------------Router(config)#NTP Master 1
-> Aktiviert einen NTP Server auf dem
Router
Router(config)#ntp server x.x.x.x
-> NTP-Server ist über IP Adresse
x.x.x.x zu erreichen
Router(config)#clock timezone mez 1
-> Zeitzone bestimmen MEZ =
MitteleurpΣische Zeit 1 =
Unterschied zwischen GreenwichTime und der MEZ-Zone
Router(config)#clock summer-time MESZ recurring last SUNDAY MARCH 02:00 last SUNDAY OCTOBER
03:00 60
-> automaitsches Umschalten auf die
Sommerzeit einstellen
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 11. CDP - Cisco Discovery Protokoll (Nachbarn suchen und Info"s ansehen):
----------------------------------------------------------------------------------------------------------------------------------------Router(config)#cdp run
-> CPD einschalten ist der default
Router#show cdp neighbor
-> zeigt alle direkt angeschlossenen
Geräte an
Router#show cdp neighbors detail
-> zeigt alle direkt angeschlossenen
Geräte mit detaillierten Informationen
Router(config)#no cdp run
-> CPD auf dem Interface AUSSCHALTEN !!!
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 12. SPEZIELLE Switch-Konfigurationen:
----------------------------------------------------------------Switch(config)#int vlan1
-> virtuelles LAN (Default-VLAN) auswählen
(Standart-VLAN) Um eine
Fernkonfiguration zu ermöglichen
Switch(config-if)#ip address x.x.x.x x.x.x.x
-> IP Adresse, SnM vergeben
Switch(config-if)#no shutdown
-> Interface hochfahren
Switch(config-if)#exit
-> Sprung in die übergeordnete Ebene
Switch(config)#ip default gateway x.x.x.x
-> Default Gateway eingeben
13. Spanning Tree:
--------------------------STP / RSTP ist standartmäßig auf Ciscogeräten aktiviert!
Switch(config)#Spanning-tree
-> Spanning-Tree aktivieren
Switch(config)#spanning-tree vlan x hello-time
-> Timer der BPDU´s verändern
Switch#show spanning-tree
-> Spanning-Tree Einstellungen anzeigen
lassen
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 14. Switch VLAN - Konfiguration:
------------------------------------------------------a. allgemein:
---------Switch#show vlan
-> Zeigt alle aktiven Vlans an und die
Schnittstellen die zu den Vlan´s
zugeordnet sind
Switch#show vlan 20
-> Zeigt Einzelheiten zu dem gewählten
Vlan an.
Switch#show interfaces trunk
-> Zeigt alle Interface an, die als Trunk
arbeiten. Auch werden
Zusatzinformationen wie transportierte
Vlans und den Typ der Kappselung an
Switch(config)#int range Fa0/2 - 10
-> Range Befehl für alle Situationen wo
eine Range eine Arbeitserleichterung
darstellt.
b. VLAN einrichten:
---------------Switch(config)#vlan 200
-> VLAN erstellen (hier VLAN 200)
Switch(config-vlan)#name Produktion
-> VLAN benennen (hier Produktion)
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg c. VLAN löschen:
------------Switch(config)#no vlan 200
-> VLAN löschen (hier VLAN 200)
d. Switchport einem VLAN zuweisen:
------------------------------Switch(config)#int f0/3
-> Interface auswählen
Switch(config-if)#switchport mode access
-> Port als Zugangsport deklarieren
Switch(config-if)#switchport access vlan 200
-> Interface dem VLAN 200 zuweisen
Switch(config-if)#exit
-> Sprung in die übergeordnete Ebene
e. VLAN - TRUNK einrichten:
-----------------------Switch(config)#int f0/3
-> Interface auswählen
Switch(config-if)#switchport mode trunk
-> Port als Trunkport deklarieren
Switch(config-if)#switchport trunk allowed vlan 1,2
-> Datenverkehr definierter VLAN"s auf dem
Trunk zulassen
Switch(config-if)#switchport trunk encapsulation dot1q -> TAGGING-Modus aktivieren
geffke@alice-­‐dsl.net Lars G effke Weiterbildung mit Spaß zum Erfolg 10110001 0011011101 11001110000 0011001110 000110011 15. VTP - Domäne erstellen (Verteilen von Parametern auf VTP-Clients nach Änderungen auf dem
VTP-Server:
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Switch#vlan database
-> je nach IOS-Version in die die VLANDatenbank wechseln
Switch(config)#vtp mode server/client/transparent
-> Festlegen welcher Betriebsmodus
gefahren werden soll (Server, Client
oder Transparenz)
Switch(config)#vtp domain "Domänen-Name"
-> VTP-Domänenname vergeben (Wenn der
Domänenname einmal vergeben ist kann er
nicht mehr gelöscht werden, nur
Änderungen ist möglich)
Switch(config)#vtp password "Passwort"
-> Passwort vergeben (MD 5 Hash-Wert)
(müssen auf allen Komponenten GLEICH
sein, Groß und Kleinschreibung
beachten)
Switch(config)#vtp pruning
-> Verhinderung von VLAN-Broadcasts an
Stellen an denen sie nicht benötigt
werden (Abhängig von den Cisco-Geräten)
Switch(config)#end
Switch#show vtp status
geffke@alice-­‐dsl.net -> VTP-Konfiguration anzeigen lassen
Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 16. SPAN zur Portüberwachung installieren !!!ACHTUNG: frisst Bandbreite!!!
--------------------------------------------------------------------------------------------------------------------------------Switch#show monitor session 1
-> SPAN Session anzeigen lassen
a. Überwachung eines Ports:
-----------------------Switch(config)#interface fx/x
-> Interface auswählen auf dem der
ÜBERWACHENDE PC angeschlossen ist
Switch(config-if)#port monitor fx/x
-> Port auswählen der überwacht werden
Soll
Switch(config-if)#no port monitor fx/x
-> Überwachung für einen Port beenden
b. Überwachung mehrerer Ports(Range):
---------------------------------Switch(config)#no monitor session 1
-> evtl. laufende Session beenden
Switch(config)#monitor session 1 source int fx/x - x
-> die zu überwachenden Ports bestimmen
Switch(config)#monitor session 1 destination int gix/x -> die zu überwachenden Ports auf einen
Port spiegeln an dem der ÜBERWACHENDE
PC hängt
Switch(config)#no monitor session 1 source int fx/x
geffke@alice-­‐dsl.net -> Ports aus der Session
entfernen
Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 17. ETHERCHANNEL (Portszusammenfassung) (auf beiden Seiten GLEICH konfigurieren
------------------------------------------------------------------------------------------------------------------------------------------------------Switch#show etherchannel
-> einen Etherchannel anzeigen lassen
Switch#show etherchannel summary
-> gesamte Etherchannel-Konfig anzeigen
lassen
a. Switch 1: (Befehlsreihenfolge einhalten)
--------Switch1(config)#interface Range fx/x - x
-> Ports aussuchen
Switch1(config-if)#switchport trunk native VLAN xx
-> Default VLAN von VLAN 1 auf VLAN x auf
der Interfacerange verlegen, muss mit
dem gegenüberliegenden Switch
ÜBEREINSTIMMEN
Switch1(config-if)#channel-group 2 mode on
-> Interfaces dem Ethercahnnel zuweisen,
Modus aktivieren (Channelgroup muss mit
Port-Channel-Nr. übereinstimmen)
Switch1(config)#interface port-channel 2
-> Port Interface dem Channel zuweisen (
Port-Channel-Nr. muss mit Channelgroup
übereinstimmen)
Switch1(config-if)#switchport mode trunk
-> gebündelte Ports als TRUNK definieren
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg Switch1(config-if)#switchport trunk native VLAN xx
-> Nativ auf VLAN x auf dem Port-Channel
verlegen, muss mit dem
gegenüberliegenden Switch
ÜBEREINSTIMMEN
b. LOADBALANCING:
-------------Switch(config)#port-channel load-balance dst mac
-> Loadbalance bei Verteilung der Daten
vom Server zu einzelnen Clients
Switch(config)#port-channel load-balance src mac
-> Loadbalance bei Verteilung der Daten
von einzelnen Clients zum Server
Switch(config)#no port-channel load-balance
-> Loadbalance ausschalten
Switch#show etherchannel brief/port/load-balance
-> einzelne Etherchannel Konfigurationen
anzeigen lassen
18. PORT - SECURITY:
------------------------------Switch#show port-security int fx/x
-> Port-Security Status eines Ports anzeigen
Lassen
Switch#show port-security
-> Auflistung der PortSec-Ports mit
Einzelangaben
Switch#show port-security address
-> Einzelauflistung je Port
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg Switch(config)#interface fx/x
-> Interfaces aussuchen
Switch(config-if)#switchport mode access
-> Access-Mode einstellen
Switch(config-if)#switchport port-security
-> Port-Security aktivieren
Switch(config-if)#switchport port-security maximum x
-> Anzahl der erlaubten Nutzer einstellen
Switch(config-if)#switchport port-security mac-address sticky
-> MAC-Adressen automatisch
erlernen
Switch(config-if)#switchport port-security violation shutdown
-> Massnahmen bei unerlaubten
Anstecken festlegen hier: Port
herunterfahren
19. WEB - SERVER (http / https) (vor Aktivierung ENABLE-Secret Passwort vergeben):
--------------------------------------------------------------------------------------------------------------------------------------------------------Router(config)#ip http secure-server
-> HTTPs-Server aktivieren
Router(config)#ip http server
-> HTTP-Server aktivieren
Router(config)#ip http access-class Nr. Name
-> Accessliste zur Regelung des Zugriffs
auf den Web-Server
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 20. ACCESS - Listen (ACL):
------------------------------------------Router#show access-lists
-> alle Accesslisten anzeigen lassen
Router(config)#no access-list x
-> Accessliste löschen
a. Standart-ACL: prüfen nur die Quell-IP Setzen Sie diese so nahe wie möglich am Ziel ein!
----------------------------------------------------------------------------------Router(config)#access list x permit 10.1.1.0 0.0.0.255 -> Accessliste x erstellen,
Datenverkehr vom SubNet 10.1.1.0
erlauben (x = Nummerierung) Die Werte
für X liegen zwischen 1 & 99 oder
zwischen 1300 & 1399
Router(config)#access list x deny 10.1.1.0 0.0.0.255
-> Accessliste x erstellen, Datenverkehr
vom SubNet 10.1.1.0 wird verboten
Router(config)#access list x permit 10.1.1.1 0.0.0.0
-> Acessliste x erstellen, Datenverkehr
eines einzelnen PC erlauben (anstelle
der WildcardMask kann auch der Befehl
"Host" eingeben werden
Bsp: access list x permit host 10.1.1.1
Router(config-if)#ip access group x out
-> Accessliste x auf einem Interface in
ausgehende Richtung anbinden (x = Nr.
der Accessliste)
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg Router(config-if)#ip access group x in
-> Accessliste x auf einem Interface in
eingehende Richtung anbinden
b. Extended-ACL : prüfen Quell u. Ziel-IP sowie
---------------------------------------------------------------------------------------------------------------------------Router(config)#access list x deny tcp 10.1.4.0 0.0.0.255 any eq 23
-> Accessliste x erstellen,
Telnetzugriff für SubNet
10.1.4.0 verbieten
(Telnet: Port 23 bei TCP)
Router(config)#access list x permit ip any any
-> Accessliste x erstellen,
alles von äberall nach
überall erlauben
c. ACL auf vty - Lines:
-------------------Router(config)#access list x permit 10.1.1.0 0.0.0.255
-> Accessliste x erstellen, Zugriff
für das SubNet 10.1.1.0 gestatten
Router(config-line)#access-class x in
-> Accessliste auf der vty-Line
aktivieren
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 21. NAT:
------Router#show ip nat translations
-> Die Tabelle der Nat Übersetzung
anzeigen lassen
a. Statisches NAT:
--------------Router(config)#ip nat inside source static x.x.x.x x.x.x.x
-> die statische Übersetzung
eingeben von IP zu IP
Router(config)#interface x/x
-> auf das entsprechende NAT-OutsideInterface wechseln
Router(config-if)ip nat outside
-> das Interface als OUTSIDE-Interface
festlegen
Router(config)#interface x/x
-> auf das entsprechende NAT-InsideInterface wechseln
Router(config-if)ip nat inside
-> das Interface als INSIDE-Interface
festlegen
b. Dynamisches NAT:
---------------Router(config)#interface x/x
geffke@alice-­‐dsl.net -> auf das entsprechende NAT-OutsideInterface wechseln
Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg Router(config-if)ip nat outside
-> das Interface als OUTSIDE-Interface
festlegen
Router(config)#interface x/x
-> auf das entsprechende NAT-InsideInterface wechseln
Router(config-if)ip nat inside
-> das Interface als INSIDE-Interface
festlegen
Router(config)#ip nat inside source list x pool LocalLAN
-> den IP"s (aus der Access-Liste)
dem Pool LocalLAN zuweisen ("x"
muss mit der Nr. der Accessliste
übereinstimmen)
Router(config)#ip nat pool LocalLAN x.x.x.x x.x.x.x netmask x.x.x.x
-> IP-Bereich definieren der
für NAT in Betracht kommt
(vom Provider gelieferte
öffentliche IP-Adressen)
Bsp: 10.5.5.18 1.5.5.30 netmask 255.255.255.240
Router(config)#access-list x permit 10.1.1.0 0.0.0.255
geffke@alice-­‐dsl.net -> Accessliste "x" erstellen IPBereich der für NAT in Frage kommt
festlegen (x = Nr. der Acl)
Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg c. Dynamisches NAT OVERLOAD:
------------------------Router(config)#interface x/x
-> auf das entsprechende NAT-OutsideInterface wechseln
Router(config-if)ip nat outside
-> das Interface als OUTSIDE-Interface
festlegen
Router(config)#interface x/x
-> auf das entsprechende NAT-InsideInterface wechseln
Router(config-if)ip nat inside
-> das Interface als INSIDE-Interface
festlegen
Router(config)#ip nat pool "name" x.x.x.x x.x.x.x netmask x.x.x.x
-> IP-Bereich (der vom
Provider gelieferten
öffentlichen IP-Adressen)
festlegen
Bsp: 10.5.5.18 10.5.5.20 netmask 255.255.255.240
Router(config)#ip nat inside source list x pool "Name" overload -> Inside Interface mit dem Pool
der öffentlichen IP-Adressen
verknüpfen (x = Nr. der Acl)
Router(config)#access-list x permit 10.1.1.0 0.0.0.255
geffke@alice-­‐dsl.net -> Accessliste "x" erstellen eigene
IP-Adressen die für NAT in Frage
kommen sollen, festlegen (x = Nr.
der Acl)
Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg d. NAT löschen:
-----------Router(config)#no ip nat inside source static
-> Statisches NAT löschen
Router(config)#no ip nat pool
-> IP-NAT Pool löschen
Router(config)#no access-list x
-> Accessliste löschen
Router#clear ip nat translation
-> alle dynamischen NAT-Einträge
löschen
22. IPv6 konfigurieren:
------------------------------------Router(config)#ipv6 unicast-routing
-> IPv6 aktivieren
Router(config)#interface fx/x
-> benötigtes Interface auswählen
hier:fx/x
Router(config-if)#ipv6 address 2001:21::1/48
-> IPv6-Adresse eingeben mit
SubnetMask als Kurzschreibweise
Router(config-if)#no shutdown
-> Interface hochfahren
Router#sh ipv6 int brief
-> IPv6 Einstellungen anteigen lassen
geffke@alice-­‐dsl.net Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg 23. IP - SECURITY (VPN-Tunnel):
--------------------------------------------------Router(config)#access-list 101 permit ip 10.1.1.0 0.0.0.15 any
-> Accessliste erstellen die
ausschliesslich definierten
Subnets den Datenverkehr über
einen VPN-TUNNEL erlaubt
Router(config)#crypto isakmp policy 101
-> Richtlinie festlegen
Router(config-isakmp)#encryption aes 256
-> Verschlüsselung festlegen
Router(config-isakmp)#hash sha
-> Hash-Alogorhytmus festlegen
Router(config-isakmp)#authentication pre-share
-> das einzusetzende
Authentifizierungsverfahren
beschreiben
Router(config-isakmp)#group 5
-> Diffie-Hellmann-Gruppe festlegen
(5 ist die sicherste Gruppe)
Router(config-isakmp)#lifetime 43200
-> Gültigkeitsdauer für die
Aushandlung in Sekunden festlegen
Router(config-isakmp)#exit
-> Sprung in die übergeordnete Ebene
Router(config)#crypto isakmp key "Passwort" address x.x.x.x
geffke@alice-­‐dsl.net -> Pre-Shared-Key namens Passwort
für den Partner (anderes
Tunnelinterface) mit der IP
x.x.x.x setzen
Lars G effke 10110001 0011011101 11001110000 0011001110 000110011 Weiterbildung mit Spaß zum Erfolg Router(config)#crypto ipsec transform-set "wbt" esp-aes esp-sha-hmac -> Verschlüsselungsoptionen
festlegen (Kombination
mit verschiedensten
Kryptomöglichkeiten,
müssen auf beiden
Tunnelinterfaces GLEICH
sein)
Router(config)#crypto map "Name" 101 ipsec-isakmp
-> Kryptomap erstellen und mit der
ACL 101 und ipsec-isakmp
verknüpfen (müssen auf beiden
TunnelInt gleich sein)
Router(config-crypto-map)#set peer x.x.x.x
-> gegenüberliegendes Tunnelinterface
bestimmen
Router(config-crypto-map)#set transformset "wbt"
-> Transformset "wbt" mit der
Kryptomap verknüpfen
Router(config-crypto-map)#match address "101"
-> Verknüpfung der Accessliste "101"
mit KryptoMap herstellen
Router(config)#int sx/x/x
-> Auf das beabsichtigte
Tunnelinterface wechseln
Router(config-if)#crypto map "Name"
-> KryptoMap auf das Tunnelinterface
legen
geffke@alice-­‐dsl.net