Kleine%Sammlung%von%Befehlen%für%angehende%CCNA…larsgeffke.de/files/geffke/befehlssammlung ccna .pdf · Kleine%Sammlung%von%Befehlen%für%angehende%CCNA´s%! Die Funktionalität

10110001 0011011101 11001110000 0011001110 000110011

Lars Geffke Weiterbildung mit Spaß zum Erfolg

geffke@alice-‐dsl.net

Kleine Sammlung von Befehlen für angehende CCNA´s Die Funktionalität der aufgelisteten Befehle hängt von der Art der verwendeten Hardware ab! Auch kann es passieren, dass einige Befehle nicht funktionieren, oder einen geänderten Befehlsstring benötigen. Das ist abhängig von der verwendeten IOS Version. 1. allgemeine Befehle: -------------------- -------------------- Router>enable -> in den ENABLE-Modus wechseln

Router#conf t -> in den Konfigurations-Modus wechseln

Router(config)#no ip domain-lookup -> keine Namensauflösung durch DNS

Router(config)#service password-encryption -> eingegebene Passwörter werden

verschlüsselt angezeigt

Router(config)#enable secret "cisco-ena" -> Passwort für ENABLE-Modus festlegen Router(config)#clock set -> Einstellen der Systemzeit hh:min:ss

MONTH YEAR Bsp: (10:21:25 AUG 2012) Router#sh run -> Konfiguration anzeigen lassen Router#write memory -> speichert die running-Konfiguration in

die startup-Konfiguration

10110001 0011011101 11001110000 0011001110 000110011



Router(config)#hostname "Name" -> Hostname konfigurieren Router#sh version -> zeigt Informationen zum IOS und zur

verwendeten Hardware an

Router#terminal histoy size lines -> Anzahl der zwischengespeicherten Befehle (HISTORY)

Router#copy running-config startup-config -> laufende Konfiguration in die Startup- Konfiguration kopieren

Router#no + Befehl -> Befehl aufheben Router#write erase -> Konfiguration löschen Router#reload -> Router neu starten Switch#delete flash:vlan.dat -> VLAN.dat löschen 2. ZUG!NGE konfigurieren: ----------------------- ----------------------- a. Konsolenzugang konfigurieren: ------------------------------ line con 0 -> Wechsel auf die Konsole password <Passwort> -> Passwort vergeben für Zugriff über den

Konsolenport

login -> Befehl zur Aktivierung des Passwortes

10110001 0011011101 11001110000 0011001110 000110011



exec-timeout 0<Minuten> 0<Sekunden> -> automatischer LOGOUT logging synchronous -> Befehlseingaben werden nicht durch

angezeigte Systemmeldungen unterbrochen

motd-banner -> Motto of the Day-Banner einschalten exit -> Sprung eine übergeordnete Ebene b. SSH-Zugang konfigurieren: -------------------------- hostname "hostname" -> Hostname ändern ip domain-name <Name> -> Domain-Name vergeben, wird benötigt um

den Schlüssel zu generieren

crypto key generate rsa -> RSA-Schlüssel generieren 2048 -> Schlüssellänge eingeben "2048" ist der

höchste einzustellende Wert

ip ssh version 2 -> SSH-Version 2 einstellen username <User> password <Passwort> -> Benutzer und Passwort eingeben um eine

lokale Datenbank für die Passwortabfrage zu ermöglichen

line vty 0 4 -> die gewünschten Line auswählen login local -> Für den Login die lokale Datenbank

verwenden

10110001 0011011101 11001110000 0011001110 000110011



transport input ssh -> LOGIN auf der LINE nur via SSH zulassen exit -> Sprung in die übergeordnete Ebene c. TELNET-Zugang konfigurieren: ----------------------------- line vty 0 4 -> Wechsel auf die Line-Ebene um den

Telnetzugriff zu konfigurieren

password <Passwort> -> Passwort für TELNET-Zugriff login -> LOGIN-Befehl zur Aktivierung des

Passwortes

transport input telnet -> LOGIN auf der LINE nur via TELNET zulassen

exit -> Sprung in die übergeordnete Ebene d. TELNET-Sitzung eröffnen: ------------------------- Router#telnet x.x.x.x -> Telnet-Sitzung eröffnen IP-Adresse OHNE

Subnetmaske eingeben Password:"xxxx" -> Passwort für den Remotezugang setzen

10110001 0011011101 11001110000 0011001110 000110011



3. Zugangseinstellungen Konsolenzugriff z.B.Putty, TerraTerm: ----------------------------------------------------------- ----------------------------------------------------------- Port: COM X Baudrate: 9600 Data: 8 Bit Parity: none stop: 1 Bit Flow Control: none 4. INTERFACES konfigurieren: ------------------------- ------------------------- a. Fast Ethernet: -------------- Router(config)#interface fax/x -> Fastethernet Interface auswählen Router(config-if)#ip address x.x.x.x y.y.y.y -> IP-Adresse / SnM vergeben Router(config-if)#no shutdown -> Schnittstelle aktivieren Router(config-if)#description "Beschreibung" -> Kommentar zur Schnittstelle Router(config-if)#? -> FüR WEITERE OPTIONEN wie z.B. Authentifizierung usw.

10110001 0011011101 11001110000 0011001110 000110011



b. Serielles Interface: -------------------- Router(config)#interface sx/x -> serielles Interface auswählen Router(config-if)#ip address x.x.x.x y.y.y.y -> IP-Adresse / SnM vergeben Router(config-if)#clockrate xxxxx -> Takt (nach verfügbarer Bandbreite) Nur auf DCE Interfacen möglich. Router(config-if)#bandwith xxx -> gibt die Bandbreite an, wird zur

Berechnung der Metrik bei manchen Routing Protokollen verwendet.

Router(config-if)#? -> FüR WEITERE OPTIONEN wie z.B. Kapslungsarten Authentifizierung usw.

c. Sub-Interface auf dem Router anlegen (pro VLAN): ------------------------------------------------ Router(config)#interface fax/x.x -> Sub-Interface aufrufen z.B.

interface fa 0/0.10

Router(config-subif)#encapsulation dot1q x ODER Router(config-if)#encapsulation dot1q -> TAGGING aktivieren -> x = VLAN-ID Router(config-subif)#ip address x.x.x.x x.x.x.x -> IP-Adresse / SnM vergeben

10110001 0011011101 11001110000 0011001110 000110011



d. Sub-Interface auf dem Switch anlegen (pro VLAN): ------------------------------------------------ Switch(config)#interface fax/x -> Sub-Interface aufrufen z.B.

interface fa 0/1

Switch(config-if)#switchport mode trunk -> Trunk einrichten Switch(config-if)#switchport trunk allowed vlan x-y -> Datenverkehr aller ausgewählten

Inter-VLANs erlauben

e. Interface Status und Konfiguration anzeigen: ------------------------------------------------ Router#show interface fax/x oder sx/x/x -> Interface anzeigen lassen Router#show controllers fax/x oder sx/x/x -> Controller anzeigen lassen hier: Router#show ip interface brief -> Alle Interface des Gerätes

anzeigen mit IP Adressierung und Status

10110001 0011011101 11001110000 0011001110 000110011



5. Sicherungsdateien herstellen: ----------------------------- ----------------------------- a. Konfiguration auf einen TFTP-Server kopieren: --------------------------------------------- Router# copy startup-config tftp -> Kopiert die Startup Konfiguration

zu einem TFTP Server. Es erfolgt noch eine Abfrage nach der IP Adresse des Servers und den Dateinamen für die Startup Datei auf dem TFTP Server

b. Konfiguration von einem TFTP-Server auf den NVRAM-kopieren: ----------------------------------------------------------- Router# copy TFTP Statrup-config -> Kopiert die Konfigurationsdatei

vom TFTP Server in das NVRAM unter der Verwendung des Dateinamens Startup-config.

Es erfolgt eine Abfrage mit folgenden Parametern: Source ip Adress: -> IP-Adresse TFTP Server Source file name: -> Name der Konfig.cfg Bsp: startup-

config.cfg destination filename: -> Name der Datei.cfg

10110001 0011011101 11001110000 0011001110 000110011



6. BANNER-Texte Konfiguration: ----------------------------- ----------------------------- Zwei Banner zur Auswahl: Motto of the Day motd: -> rein informativer Text LOGIN : -> Information mit rechtlicher Wirkung Router(config)#banner motd "Text Text Text" -> Am Anfang und am Ende des Textes steht

je ein von Ihnen gewähltes Sonderzeichen, welches im Text selber nicht vorkommen darf.

Router(config)#banner login "Text Text Text" -> Am Anfang und am Ende des Textes steht je ein von Ihnen gewähltes Sonderzeichen, welches im Text selber nicht vorkommen darf.

7. PASSWORD - RECOVERY: -------------------- -------------------- a. Password RECOVERY - ROUTER: --------------------------- Normales Register: 0 x 2102 Recovery-Register: 0 x 2142

10110001 0011011101 11001110000 0011001110 000110011



Router Neustarten, Tastenkombination Strg+Pause drücken --> Router fährt im Rommon-Modus hoch rommon 1 > confreg 0x2142 rommon 2 > reset Nach dem Neustart ignoriert der Router die vorhandene Startup Konfiguration Continue with configuration dialog? [yes/no]: no Router> enable -> in den ENABLE-Modus wechseln Router# copy startup-config running config -> Die Startup-Config in die Running-

Config kopieren. Nun können Sie das Passwort neu setzen.

Router# conf t -> in den conf t - Modus wechseln Router(config)#enable secret XXXX -> das vergessene Passwort ändern Router(config)#config-register 0x2102 -> Das Konfigurationsregister auf 0 x 2102

Zurückstellen

Router(config)#exit Router#copy running-config startupconfig -> Sichert die Änderung in die Startup

Konfiguration

Router#reload -> Router neustarten

10110001 0011011101 11001110000 0011001110 000110011



b. Passwort RECOVERY - SWITCH: --------------------------- 1. Netzstecker ziehen 2. MODE-Taste drücken 3. Netzstecker einstecken, dabei die MODE-Taste weiter gedrückt halten 4. Warten bis LED über "Port 1" erlischt (2900) oder LED "STAT" erlischt (2950) 5. folgende Befehlseingaben tätigen: Switch: flash-init -> Inizialisiert den Flash Speicher

auf dem Switch

Switch: dir flash: -> Zeigt den Inhalt des Flash Speichers an.

Switch: rename flash:config.text flash:config.old -> Konfig TEXT in Konfig OLD umbenennen, damit verhindern Sie,

das die Config Datei beim Starten ausgelesen wird.

Switch: boot -> Switch NEU Laden lassen Switch> enable -> in den ENABLE-Modus wechseln Switch# rename flash.config.old flash:config.text -> Konfig OLD in die Konfig TEXT

Umbenennen

Switch# copy flash:config.text running-config -> Konfig TEXT in die Running-Konfig kopieren

6. Passwort ändern 7. Switch#write memory -> Konfiguration speichern

10110001 0011011101 11001110000 0011001110 000110011



8. ROUTING: -------- -------- a. STATISCHES Routing: ------------------- Router(config)#ip route x.x.x.x x.x.x.x int x/x -> Statische Route eingeben hier:

Ausgang über eine definierte Schnittstelle z.B. (s0/0)

Router(config)#ip route x.x.x.x x.x.x.x x.x.x.x -> Statische Route eingeben hier: Ausgang über eine IP-Adresse (Gateway)

Router(config)#ip route 0.0.0.0 0.0.0.0 int x/x -> Default-Route (evtl. ins Internet) definieren über eine definierte Schnittstelle (z.B. s0/0)

b. Routing RIP: ------------ Router(config)#router rip -> Routingprozess aktivieren Router(config-router)#version 2 -> RIP-Version 2 nutzen Router(config-router)#network x.x.x.x -> angeschlossene Netze eintragen (Classfull)

10110001 0011011101 11001110000 0011001110 000110011



Router(config-router)#no auto-summary -> Auto-summary AUSSCHALTEN, da ansonsten die Netze als classfull zusammengefasst werden.

Router(config-router)# passive-interface z.B. fax/x -> Verhindert das versenden von Routinginformationen aus dem Interface c. Routing EIGRP: -------------- Router(config)#router eigrp "AS-Nr" -> Routingprozess EIGRP aktivieren

+AS-Nr der Wert liegt zwischen 1 und 65536.Der Wert ist von globaler Bedeutung. Er muss bei allen Routern in einem Netz

identisch sein.

Router(config-router)#network x.x.x.x -> alle angeschlossenen Netzwerke Angeben OHNE Subnetzmaske

Router(config-router)#network x.x.x.x x.x.x.x -> alle angeschlossenen Netzwerke angeben mit Wildcartmaske

Router(config-router)#no auto-summary -> Auto-summary AUSSCHALTEN, da

ansonsten die Netze als classfull zusammengefasst werden.

Router(config)#passive-interface -> Verhindert das versenden von Routinginformationen aus dem Interface

10110001 0011011101 11001110000 0011001110 000110011



d. Routing OSPF: ------------- Router(config)#router ospf "4" -> Routingprozess OSPF aktivieren

"ProzessNr"liegt zwischen 1 und 65536 und hat nur lokale Bedeutung

Router(config)#network x.x.x.x y.y.y.y area z -> alle angeschlossenen Netzwerke

eingeben mit Wildcardmaske und AREA-Nr.

Router(config)#passive-interface -> Verhindert das versenden von Routinginformationen aus dem Interface Router(config)#default-information originate allways -> mit diesem Befehl erkennt OSPF

statische Routen im LAN und gibt diese an seine Nachbarn weiter

9. DHCP-Router aufsetzen: --------------------- --------------------- Router(config)#ip dhcp excluded-address x.x.x.x y.y.y.y -> Ausschlussadressen vergeben Router(config)#ip dhcp pool "Name" -> Erzeugt einen DHCP Pool unter dem Verwendeten Namen Router(dhcp-config)#default-router x.x.x.x -> Ist der Default Gateway für das

Subnetz des Pools

10110001 0011011101 11001110000 0011001110 000110011



Router(dhcp-config)#network x.x.x.x y.y.y.y -> Das Netz aus dem die IP Adressen vergeben werden

Router(dhcp-config)#dns-server x.x.x.x -> IP Adresse des DNS-Server Router(dhcp-config)#domain-name -> Name der Domaine Wenn sich der DHCP-Server in einem ANDEREN SubNet befindet: Router(config-if)ip helper-address x.x.x.x -> IP-Adresse des DHCP-Servers

eingeben 10. NTP-Server (Zeitserver): ------------------------ ------------------------ Router(config)#NTP Master 1 -> Aktiviert einen NTP Server auf dem

Router

Router(config)#ntp server x.x.x.x -> NTP-Server ist über IP Adresse x.x.x.x zu erreichen

Router(config)#clock timezone mez 1 -> Zeitzone bestimmen MEZ = MitteleurpΣische Zeit 1 = Unterschied zwischen Greenwich- Time und der MEZ-Zone

Router(config)#clock summer-time MESZ recurring last SUNDAY MARCH 02:00 last SUNDAY OCTOBER 03:00 60 -> automaitsches Umschalten auf die

Sommerzeit einstellen

10110001 0011011101 11001110000 0011001110 000110011



11. CDP - Cisco Discovery Protokoll (Nachbarn suchen und Info"s ansehen): --------------------------------------------------------------------- --------------------------------------------------------------------- Router(config)#cdp run -> CPD einschalten ist der default Router#show cdp neighbor -> zeigt alle direkt angeschlossenen

Geräte an

Router#show cdp neighbors detail -> zeigt alle direkt angeschlossenen Geräte mit detaillierten Informationen

Router(config)#no cdp run -> CPD auf dem Interface AUSSCHALTEN !!!

10110001 0011011101 11001110000 0011001110 000110011



12. SPEZIELLE Switch-Konfigurationen: --------------------------------- --------------------------------- Switch(config)#int vlan1 -> virtuelles LAN (Default-VLAN) auswählen

(Standart-VLAN) Um eine Fernkonfiguration zu ermöglichen

Switch(config-if)#ip address x.x.x.x x.x.x.x -> IP Adresse, SnM vergeben Switch(config-if)#no shutdown -> Interface hochfahren Switch(config-if)#exit -> Sprung in die übergeordnete Ebene Switch(config)#ip default gateway x.x.x.x -> Default Gateway eingeben 13. Spanning Tree: -------------- -------------- STP / RSTP ist standartmäßig auf Ciscogeräten aktiviert! Switch(config)#Spanning-tree -> Spanning-Tree aktivieren Switch(config)#spanning-tree vlan x hello-time -> Timer der BPDU´s verändern Switch#show spanning-tree -> Spanning-Tree Einstellungen anzeigen

lassen

10110001 0011011101 11001110000 0011001110 000110011



14. Switch VLAN - Konfiguration: ---------------------------- ---------------------------- a. allgemein: ---------- Switch#show vlan -> Zeigt alle aktiven Vlans an und die

Schnittstellen die zu den Vlan´s zugeordnet sind

Switch#show vlan 20 -> Zeigt Einzelheiten zu dem gewählten

Vlan an. Switch#show interfaces trunk -> Zeigt alle Interface an, die als Trunk

arbeiten. Auch werden Zusatzinformationen wie transportierte Vlans und den Typ der Kappselung an

Switch(config)#int range Fa0/2 - 10 -> Range Befehl für alle Situationen wo

eine Range eine Arbeitserleichterung darstellt.

b. VLAN einrichten: ---------------- Switch(config)#vlan 200 -> VLAN erstellen (hier VLAN 200) Switch(config-vlan)#name Produktion -> VLAN benennen (hier Produktion)

10110001 0011011101 11001110000 0011001110 000110011



c. VLAN löschen: ------------- Switch(config)#no vlan 200 -> VLAN löschen (hier VLAN 200) d. Switchport einem VLAN zuweisen: ------------------------------- Switch(config)#int f0/3 -> Interface auswählen Switch(config-if)#switchport mode access -> Port als Zugangsport deklarieren Switch(config-if)#switchport access vlan 200 -> Interface dem VLAN 200 zuweisen Switch(config-if)#exit -> Sprung in die übergeordnete Ebene e. VLAN - TRUNK einrichten: ------------------------ Switch(config)#int f0/3 -> Interface auswählen Switch(config-if)#switchport mode trunk -> Port als Trunkport deklarieren Switch(config-if)#switchport trunk allowed vlan 1,2 -> Datenverkehr definierter VLAN"s auf dem

Trunk zulassen

Switch(config-if)#switchport trunk encapsulation dot1q -> TAGGING-Modus aktivieren

10110001 0011011101 11001110000 0011001110 000110011



15. VTP - Domäne erstellen (Verteilen von Parametern auf VTP-Clients nach Änderungen auf dem VTP-Server: ------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------ Switch#vlan database -> je nach IOS-Version in die die VLAN-

Datenbank wechseln Switch(config)#vtp mode server/client/transparent -> Festlegen welcher Betriebsmodus

gefahren werden soll (Server, Client oder Transparenz)

Switch(config)#vtp domain "Domänen-Name" -> VTP-Domänenname vergeben (Wenn der Domänenname einmal vergeben ist kann er nicht mehr gelöscht werden, nur Änderungen ist möglich)

Switch(config)#vtp password "Passwort" -> Passwort vergeben (MD 5 Hash-Wert) (müssen auf allen Komponenten GLEICH sein, Groß und Kleinschreibung beachten)

Switch(config)#vtp pruning -> Verhinderung von VLAN-Broadcasts an Stellen an denen sie nicht benötigt werden (Abhängig von den Cisco-Geräten)

Switch(config)#end Switch#show vtp status -> VTP-Konfiguration anzeigen lassen

10110001 0011011101 11001110000 0011001110 000110011



16. SPAN zur Portüberwachung installieren !!!ACHTUNG: frisst Bandbreite!!! ----------------------------------------------------------------- ----------------------------------------------------------------- Switch#show monitor session 1 -> SPAN Session anzeigen lassen a. Überwachung eines Ports: ------------------------ Switch(config)#interface fx/x -> Interface auswählen auf dem der

ÜBERWACHENDE PC angeschlossen ist

Switch(config-if)#port monitor fx/x -> Port auswählen der überwacht werden Soll

Switch(config-if)#no port monitor fx/x -> Überwachung für einen Port beenden b. Überwachung mehrerer Ports(Range): ---------------------------------- Switch(config)#no monitor session 1 -> evtl. laufende Session beenden Switch(config)#monitor session 1 source int fx/x - x -> die zu überwachenden Ports bestimmen Switch(config)#monitor session 1 destination int gix/x -> die zu überwachenden Ports auf einen

Port spiegeln an dem der ÜBERWACHENDE PC hängt

Switch(config)#no monitor session 1 source int fx/x -> Ports aus der Session entfernen

10110001 0011011101 11001110000 0011001110 000110011



17. ETHERCHANNEL (Portszusammenfassung) (auf beiden Seiten GLEICH konfigurieren ---------------------------------------------------------------------------- ---------------------------------------------------------------------------- Switch#show etherchannel -> einen Etherchannel anzeigen lassen Switch#show etherchannel summary -> gesamte Etherchannel-Konfig anzeigen

lassen a. Switch 1: (Befehlsreihenfolge einhalten) --------- Switch1(config)#interface Range fx/x - x -> Ports aussuchen Switch1(config-if)#switchport trunk native VLAN xx -> Default VLAN von VLAN 1 auf VLAN x auf

der Interfacerange verlegen, muss mit dem gegenüberliegenden Switch ÜBEREINSTIMMEN

Switch1(config-if)#channel-group 2 mode on -> Interfaces dem Ethercahnnel zuweisen, Modus aktivieren (Channelgroup muss mit

Port-Channel-Nr. übereinstimmen)

Switch1(config)#interface port-channel 2 -> Port Interface dem Channel zuweisen ( Port-Channel-Nr. muss mit Channelgroup übereinstimmen)

Switch1(config-if)#switchport mode trunk -> gebündelte Ports als TRUNK definieren

10110001 0011011101 11001110000 0011001110 000110011



Switch1(config-if)#switchport trunk native VLAN xx -> Nativ auf VLAN x auf dem Port-Channel verlegen, muss mit dem gegenüberliegenden Switch ÜBEREINSTIMMEN

b. LOADBALANCING: -------------- Switch(config)#port-channel load-balance dst mac -> Loadbalance bei Verteilung der Daten

vom Server zu einzelnen Clients

Switch(config)#port-channel load-balance src mac -> Loadbalance bei Verteilung der Daten von einzelnen Clients zum Server

Switch(config)#no port-channel load-balance -> Loadbalance ausschalten Switch#show etherchannel brief/port/load-balance -> einzelne Etherchannel Konfigurationen

anzeigen lassen 18. PORT - SECURITY: ---------------- ---------------- Switch#show port-security int fx/x -> Port-Security Status eines Ports anzeigen

Lassen

Switch#show port-security -> Auflistung der PortSec-Ports mit Einzelangaben

Switch#show port-security address -> Einzelauflistung je Port

10110001 0011011101 11001110000 0011001110 000110011



Switch(config)#interface fx/x -> Interfaces aussuchen Switch(config-if)#switchport mode access -> Access-Mode einstellen Switch(config-if)#switchport port-security -> Port-Security aktivieren Switch(config-if)#switchport port-security maximum x -> Anzahl der erlaubten Nutzer einstellen Switch(config-if)#switchport port-security mac-address sticky -> MAC-Adressen automatisch

erlernen Switch(config-if)#switchport port-security violation shutdown -> Massnahmen bei unerlaubten

Anstecken festlegen hier: Port herunterfahren

19. WEB - SERVER (http / https) (vor Aktivierung ENABLE-Secret Passwort vergeben): ----------------------------------------------------------------------------- ----------------------------------------------------------------------------- Router(config)#ip http secure-server -> HTTPs-Server aktivieren Router(config)#ip http server -> HTTP-Server aktivieren Router(config)#ip http access-class Nr. Name -> Accessliste zur Regelung des Zugriffs

auf den Web-Server

10110001 0011011101 11001110000 0011001110 000110011



20. ACCESS - Listen (ACL): ---------------------- ---------------------- Router#show access-lists -> alle Accesslisten anzeigen lassen Router(config)#no access-list x -> Accessliste löschen a. Standart-ACL: prüfen nur die Quell-IP Setzen Sie diese so nahe wie möglich am Ziel ein! ----------------------------------------------------------------------------------- Router(config)#access list x permit 10.1.1.0 0.0.0.255 -> Accessliste x erstellen,

Datenverkehr vom SubNet 10.1.1.0 erlauben (x = Nummerierung) Die Werte für X liegen zwischen 1 & 99 oder zwischen 1300 & 1399

Router(config)#access list x deny 10.1.1.0 0.0.0.255 -> Accessliste x erstellen, Datenverkehr

vom SubNet 10.1.1.0 wird verboten Router(config)#access list x permit 10.1.1.1 0.0.0.0 -> Acessliste x erstellen, Datenverkehr

eines einzelnen PC erlauben (anstelle der WildcardMask kann auch der Befehl "Host" eingeben werden Bsp: access list x permit host 10.1.1.1

Router(config-if)#ip access group x out -> Accessliste x auf einem Interface in

ausgehende Richtung anbinden (x = Nr. der Accessliste)

10110001 0011011101 11001110000 0011001110 000110011



Router(config-if)#ip access group x in -> Accessliste x auf einem Interface in eingehende Richtung anbinden

b. Extended-ACL : prüfen Quell u. Ziel-IP sowie ----------------------------------------------------------------------------------------------------------------------------- Router(config)#access list x deny tcp 10.1.4.0 0.0.0.255 any eq 23 -> Accessliste x erstellen,

Telnetzugriff für SubNet 10.1.4.0 verbieten (Telnet: Port 23 bei TCP)

Router(config)#access list x permit ip any any -> Accessliste x erstellen, alles von äberall nach überall erlauben

c. ACL auf vty - Lines: -------------------- Router(config)#access list x permit 10.1.1.0 0.0.0.255 -> Accessliste x erstellen, Zugriff

für das SubNet 10.1.1.0 gestatten

Router(config-line)#access-class x in -> Accessliste auf der vty-Line aktivieren

10110001 0011011101 11001110000 0011001110 000110011



21. NAT: ---- ---- Router#show ip nat translations -> Die Tabelle der Nat Übersetzung

anzeigen lassen a. Statisches NAT: --------------- Router(config)#ip nat inside source static x.x.x.x x.x.x.x -> die statische Übersetzung

eingeben von IP zu IP

Router(config)#interface x/x -> auf das entsprechende NAT-Outside- Interface wechseln

Router(config-if)ip nat outside -> das Interface als OUTSIDE-Interface festlegen

Router(config)#interface x/x -> auf das entsprechende NAT-Inside- Interface wechseln

Router(config-if)ip nat inside -> das Interface als INSIDE-Interface festlegen

b. Dynamisches NAT: ---------------- Router(config)#interface x/x -> auf das entsprechende NAT-Outside-

Interface wechseln

10110001 0011011101 11001110000 0011001110 000110011






Router(config)#ip nat inside source list x pool LocalLAN -> den IP"s (aus der Access-Liste) dem Pool LocalLAN zuweisen ("x" muss mit der Nr. der Accessliste übereinstimmen)

Router(config)#ip nat pool LocalLAN x.x.x.x x.x.x.x netmask x.x.x.x -> IP-Bereich definieren der für NAT in Betracht kommt (vom Provider gelieferte öffentliche IP-Adressen)

Bsp: 10.5.5.18 1.5.5.30 netmask 255.255.255.240 Router(config)#access-list x permit 10.1.1.0 0.0.0.255 -> Accessliste "x" erstellen IP-

Bereich der für NAT in Frage kommt festlegen (x = Nr. der Acl)

10110001 0011011101 11001110000 0011001110 000110011



c. Dynamisches NAT OVERLOAD: ------------------------- Router(config)#interface x/x -> auf das entsprechende NAT-Outside-

Interface wechseln




Router(config)#ip nat pool "name" x.x.x.x x.x.x.x netmask x.x.x.x -> IP-Bereich (der vom

Provider gelieferten öffentlichen IP-Adressen) festlegen

Bsp: 10.5.5.18 10.5.5.20 netmask 255.255.255.240 Router(config)#ip nat inside source list x pool "Name" overload -> Inside Interface mit dem Pool

der öffentlichen IP-Adressen verknüpfen (x = Nr. der Acl)

Router(config)#access-list x permit 10.1.1.0 0.0.0.255 -> Accessliste "x" erstellen eigene

IP-Adressen die für NAT in Frage kommen sollen, festlegen (x = Nr. der Acl)

10110001 0011011101 11001110000 0011001110 000110011



d. NAT löschen: ------------ Router(config)#no ip nat inside source static -> Statisches NAT löschen Router(config)#no ip nat pool -> IP-NAT Pool löschen Router(config)#no access-list x -> Accessliste löschen Router#clear ip nat translation -> alle dynamischen NAT-Einträge

löschen 22. IPv6 konfigurieren: ------------------- ------------------- Router(config)#ipv6 unicast-routing -> IPv6 aktivieren Router(config)#interface fx/x -> benötigtes Interface auswählen

hier:fx/x

Router(config-if)#ipv6 address 2001:21::1/48 -> IPv6-Adresse eingeben mit SubnetMask als Kurzschreibweise

Router(config-if)#no shutdown -> Interface hochfahren Router#sh ipv6 int brief -> IPv6 Einstellungen anteigen lassen

10110001 0011011101 11001110000 0011001110 000110011



23. IP - SECURITY (VPN-Tunnel): -------------------------- -------------------------- Router(config)#access-list 101 permit ip 10.1.1.0 0.0.0.15 any -> Accessliste erstellen die

ausschliesslich definierten Subnets den Datenverkehr über einen VPN-TUNNEL erlaubt

Router(config)#crypto isakmp policy 101 -> Richtlinie festlegen Router(config-isakmp)#encryption aes 256 -> Verschlüsselung festlegen Router(config-isakmp)#hash sha -> Hash-Alogorhytmus festlegen Router(config-isakmp)#authentication pre-share -> das einzusetzende

Authentifizierungsverfahren beschreiben

Router(config-isakmp)#group 5 -> Diffie-Hellmann-Gruppe festlegen (5 ist die sicherste Gruppe)

Router(config-isakmp)#lifetime 43200 -> Gültigkeitsdauer für die Aushandlung in Sekunden festlegen

Router(config-isakmp)#exit -> Sprung in die übergeordnete Ebene Router(config)#crypto isakmp key "Passwort" address x.x.x.x -> Pre-Shared-Key namens Passwort

für den Partner (anderes Tunnelinterface) mit der IP x.x.x.x setzen

10110001 0011011101 11001110000 0011001110 000110011



Router(config)#crypto ipsec transform-set "wbt" esp-aes esp-sha-hmac -> Verschlüsselungsoptionen festlegen (Kombination mit verschiedensten Kryptomöglichkeiten, müssen auf beiden Tunnelinterfaces GLEICH sein)

Router(config)#crypto map "Name" 101 ipsec-isakmp -> Kryptomap erstellen und mit der ACL 101 und ipsec-isakmp verknüpfen (müssen auf beiden TunnelInt gleich sein)

Router(config-crypto-map)#set peer x.x.x.x -> gegenüberliegendes Tunnelinterface

bestimmen

Router(config-crypto-map)#set transformset "wbt" -> Transformset "wbt" mit der Kryptomap verknüpfen

Router(config-crypto-map)#match address "101" -> Verknüpfung der Accessliste "101" mit KryptoMap herstellen

Router(config)#int sx/x/x -> Auf das beabsichtigte

Tunnelinterface wechseln

Router(config-if)#crypto map "Name" -> KryptoMap auf das Tunnelinterface legen

Documents

Kleine%Sammlung%von%Befehlen%für%angehende%CCNA…larsgeffke.de/files/geffke/befehlssammlung ccna .pdf · Kleine%Sammlung%von%Befehlen%für%angehende%CCNA´s%! Die Funktionalität