10110001 0011011101 11001110000 0011001110 000110011 Lars Geffke Weiterbildung mit Spaß zum Erfolg [email protected]Kleine Sammlung von Befehlen für angehende CCNA´s Die Funktionalität der aufgelisteten Befehle hängt von der Art der verwendeten Hardware ab! Auch kann es passieren, dass einige Befehle nicht funktionieren, oder einen geänderten Befehlsstring benötigen. Das ist abhängig von der verwendeten IOS Version. 1. allgemeine Befehle: -------------------- -------------------- Router>enable -> in den ENABLE-Modus wechseln Router#conf t -> in den Konfigurations-Modus wechseln Router(config)#no ip domain-lookup -> keine Namensauflösung durch DNS Router(config)#service password-encryption -> eingegebene Passwörter werden verschlüsselt angezeigt Router(config)#enable secret "cisco-ena" -> Passwort für ENABLE-Modus festlegen Router(config)#clock set -> Einstellen der Systemzeit hh:min:ss MONTH YEAR Bsp: (10:21:25 AUG 2012) Router#sh run -> Konfiguration anzeigen lassen Router#write memory -> speichert die running-Konfiguration in die startup-Konfiguration
32
Embed
Kleine%Sammlung%von%Befehlen%für%angehende%CCNA…larsgeffke.de/files/geffke/befehlssammlung ccna .pdf · Kleine%Sammlung%von%Befehlen%für%angehende%CCNA´s%! Die Funktionalität
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Kleine Sammlung von Befehlen für angehende CCNA´s Die Funktionalität der aufgelisteten Befehle hängt von der Art der verwendeten Hardware ab! Auch kann es passieren, dass einige Befehle nicht funktionieren, oder einen geänderten Befehlsstring benötigen. Das ist abhängig von der verwendeten IOS Version. 1. allgemeine Befehle: -------------------- -------------------- Router>enable -> in den ENABLE-Modus wechseln
Router#conf t -> in den Konfigurations-Modus wechseln
Router(config)#no ip domain-lookup -> keine Namensauflösung durch DNS
Router(config)#service password-encryption -> eingegebene Passwörter werden
verschlüsselt angezeigt
Router(config)#enable secret "cisco-ena" -> Passwort für ENABLE-Modus festlegen Router(config)#clock set -> Einstellen der Systemzeit hh:min:ss
MONTH YEAR Bsp: (10:21:25 AUG 2012) Router#sh run -> Konfiguration anzeigen lassen Router#write memory -> speichert die running-Konfiguration in
Router(config)#hostname "Name" -> Hostname konfigurieren Router#sh version -> zeigt Informationen zum IOS und zur
verwendeten Hardware an
Router#terminal histoy size lines -> Anzahl der zwischengespeicherten Befehle (HISTORY)
Router#copy running-config startup-config -> laufende Konfiguration in die Startup- Konfiguration kopieren
Router#no + Befehl -> Befehl aufheben Router#write erase -> Konfiguration löschen Router#reload -> Router neu starten Switch#delete flash:vlan.dat -> VLAN.dat löschen 2. ZUG!NGE konfigurieren: ----------------------- ----------------------- a. Konsolenzugang konfigurieren: ------------------------------ line con 0 -> Wechsel auf die Konsole password <Passwort> -> Passwort vergeben für Zugriff über den
exec-timeout 0<Minuten> 0<Sekunden> -> automatischer LOGOUT logging synchronous -> Befehlseingaben werden nicht durch
angezeigte Systemmeldungen unterbrochen
motd-banner -> Motto of the Day-Banner einschalten exit -> Sprung eine übergeordnete Ebene b. SSH-Zugang konfigurieren: -------------------------- hostname "hostname" -> Hostname ändern ip domain-name <Name> -> Domain-Name vergeben, wird benötigt um
den Schlüssel zu generieren
crypto key generate rsa -> RSA-Schlüssel generieren 2048 -> Schlüssellänge eingeben "2048" ist der
höchste einzustellende Wert
ip ssh version 2 -> SSH-Version 2 einstellen username <User> password <Passwort> -> Benutzer und Passwort eingeben um eine
lokale Datenbank für die Passwortabfrage zu ermöglichen
line vty 0 4 -> die gewünschten Line auswählen login local -> Für den Login die lokale Datenbank
transport input ssh -> LOGIN auf der LINE nur via SSH zulassen exit -> Sprung in die übergeordnete Ebene c. TELNET-Zugang konfigurieren: ----------------------------- line vty 0 4 -> Wechsel auf die Line-Ebene um den
Telnetzugriff zu konfigurieren
password <Passwort> -> Passwort für TELNET-Zugriff login -> LOGIN-Befehl zur Aktivierung des
Passwortes
transport input telnet -> LOGIN auf der LINE nur via TELNET zulassen
exit -> Sprung in die übergeordnete Ebene d. TELNET-Sitzung eröffnen: ------------------------- Router#telnet x.x.x.x -> Telnet-Sitzung eröffnen IP-Adresse OHNE
Subnetmaske eingeben Password:"xxxx" -> Passwort für den Remotezugang setzen
b. Serielles Interface: -------------------- Router(config)#interface sx/x -> serielles Interface auswählen Router(config-if)#ip address x.x.x.x y.y.y.y -> IP-Adresse / SnM vergeben Router(config-if)#clockrate xxxxx -> Takt (nach verfügbarer Bandbreite) Nur auf DCE Interfacen möglich. Router(config-if)#bandwith xxx -> gibt die Bandbreite an, wird zur
Berechnung der Metrik bei manchen Routing Protokollen verwendet.
Router(config-if)#? -> FüR WEITERE OPTIONEN wie z.B. Kapslungsarten Authentifizierung usw.
c. Sub-Interface auf dem Router anlegen (pro VLAN): ------------------------------------------------ Router(config)#interface fax/x.x -> Sub-Interface aufrufen z.B.
interface fa 0/0.10
Router(config-subif)#encapsulation dot1q x ODER Router(config-if)#encapsulation dot1q -> TAGGING aktivieren -> x = VLAN-ID Router(config-subif)#ip address x.x.x.x x.x.x.x -> IP-Adresse / SnM vergeben
d. Sub-Interface auf dem Switch anlegen (pro VLAN): ------------------------------------------------ Switch(config)#interface fax/x -> Sub-Interface aufrufen z.B.
e. Interface Status und Konfiguration anzeigen: ------------------------------------------------ Router#show interface fax/x oder sx/x/x -> Interface anzeigen lassen Router#show controllers fax/x oder sx/x/x -> Controller anzeigen lassen hier: Router#show ip interface brief -> Alle Interface des Gerätes
5. Sicherungsdateien herstellen: ----------------------------- ----------------------------- a. Konfiguration auf einen TFTP-Server kopieren: --------------------------------------------- Router# copy startup-config tftp -> Kopiert die Startup Konfiguration
zu einem TFTP Server. Es erfolgt noch eine Abfrage nach der IP Adresse des Servers und den Dateinamen für die Startup Datei auf dem TFTP Server
b. Konfiguration von einem TFTP-Server auf den NVRAM-kopieren: ----------------------------------------------------------- Router# copy TFTP Statrup-config -> Kopiert die Konfigurationsdatei
vom TFTP Server in das NVRAM unter der Verwendung des Dateinamens Startup-config.
Es erfolgt eine Abfrage mit folgenden Parametern: Source ip Adress: -> IP-Adresse TFTP Server Source file name: -> Name der Konfig.cfg Bsp: startup-
config.cfg destination filename: -> Name der Datei.cfg
6. BANNER-Texte Konfiguration: ----------------------------- ----------------------------- Zwei Banner zur Auswahl: Motto of the Day motd: -> rein informativer Text LOGIN : -> Information mit rechtlicher Wirkung Router(config)#banner motd "Text Text Text" -> Am Anfang und am Ende des Textes steht
je ein von Ihnen gewähltes Sonderzeichen, welches im Text selber nicht vorkommen darf.
Router(config)#banner login "Text Text Text" -> Am Anfang und am Ende des Textes steht je ein von Ihnen gewähltes Sonderzeichen, welches im Text selber nicht vorkommen darf.
7. PASSWORD - RECOVERY: -------------------- -------------------- a. Password RECOVERY - ROUTER: --------------------------- Normales Register: 0 x 2102 Recovery-Register: 0 x 2142
Router Neustarten, Tastenkombination Strg+Pause drücken --> Router fährt im Rommon-Modus hoch rommon 1 > confreg 0x2142 rommon 2 > reset Nach dem Neustart ignoriert der Router die vorhandene Startup Konfiguration Continue with configuration dialog? [yes/no]: no Router> enable -> in den ENABLE-Modus wechseln Router# copy startup-config running config -> Die Startup-Config in die Running-
Config kopieren. Nun können Sie das Passwort neu setzen.
Router# conf t -> in den conf t - Modus wechseln Router(config)#enable secret XXXX -> das vergessene Passwort ändern Router(config)#config-register 0x2102 -> Das Konfigurationsregister auf 0 x 2102
Zurückstellen
Router(config)#exit Router#copy running-config startupconfig -> Sichert die Änderung in die Startup
b. Passwort RECOVERY - SWITCH: --------------------------- 1. Netzstecker ziehen 2. MODE-Taste drücken 3. Netzstecker einstecken, dabei die MODE-Taste weiter gedrückt halten 4. Warten bis LED über "Port 1" erlischt (2900) oder LED "STAT" erlischt (2950) 5. folgende Befehlseingaben tätigen: Switch: flash-init -> Inizialisiert den Flash Speicher
auf dem Switch
Switch: dir flash: -> Zeigt den Inhalt des Flash Speichers an.
Switch: rename flash:config.text flash:config.old -> Konfig TEXT in Konfig OLD umbenennen, damit verhindern Sie,
das die Config Datei beim Starten ausgelesen wird.
Switch: boot -> Switch NEU Laden lassen Switch> enable -> in den ENABLE-Modus wechseln Switch# rename flash.config.old flash:config.text -> Konfig OLD in die Konfig TEXT
Umbenennen
Switch# copy flash:config.text running-config -> Konfig TEXT in die Running-Konfig kopieren
Router(config-router)#no auto-summary -> Auto-summary AUSSCHALTEN, da ansonsten die Netze als classfull zusammengefasst werden.
Router(config-router)# passive-interface z.B. fax/x -> Verhindert das versenden von Routinginformationen aus dem Interface c. Routing EIGRP: -------------- Router(config)#router eigrp "AS-Nr" -> Routingprozess EIGRP aktivieren
+AS-Nr der Wert liegt zwischen 1 und 65536.Der Wert ist von globaler Bedeutung. Er muss bei allen Routern in einem Netz
identisch sein.
Router(config-router)#network x.x.x.x -> alle angeschlossenen Netzwerke Angeben OHNE Subnetzmaske
Router(config-router)#network x.x.x.x x.x.x.x -> alle angeschlossenen Netzwerke angeben mit Wildcartmaske
Router(config-router)#no auto-summary -> Auto-summary AUSSCHALTEN, da
ansonsten die Netze als classfull zusammengefasst werden.
Router(config)#passive-interface -> Verhindert das versenden von Routinginformationen aus dem Interface
"ProzessNr"liegt zwischen 1 und 65536 und hat nur lokale Bedeutung
Router(config)#network x.x.x.x y.y.y.y area z -> alle angeschlossenen Netzwerke
eingeben mit Wildcardmaske und AREA-Nr.
Router(config)#passive-interface -> Verhindert das versenden von Routinginformationen aus dem Interface Router(config)#default-information originate allways -> mit diesem Befehl erkennt OSPF
statische Routen im LAN und gibt diese an seine Nachbarn weiter
9. DHCP-Router aufsetzen: --------------------- --------------------- Router(config)#ip dhcp excluded-address x.x.x.x y.y.y.y -> Ausschlussadressen vergeben Router(config)#ip dhcp pool "Name" -> Erzeugt einen DHCP Pool unter dem Verwendeten Namen Router(dhcp-config)#default-router x.x.x.x -> Ist der Default Gateway für das
Router(dhcp-config)#network x.x.x.x y.y.y.y -> Das Netz aus dem die IP Adressen vergeben werden
Router(dhcp-config)#dns-server x.x.x.x -> IP Adresse des DNS-Server Router(dhcp-config)#domain-name -> Name der Domaine Wenn sich der DHCP-Server in einem ANDEREN SubNet befindet: Router(config-if)ip helper-address x.x.x.x -> IP-Adresse des DHCP-Servers
eingeben 10. NTP-Server (Zeitserver): ------------------------ ------------------------ Router(config)#NTP Master 1 -> Aktiviert einen NTP Server auf dem
Router
Router(config)#ntp server x.x.x.x -> NTP-Server ist über IP Adresse x.x.x.x zu erreichen
Router(config)#clock timezone mez 1 -> Zeitzone bestimmen MEZ = MitteleurpΣische Zeit 1 = Unterschied zwischen Greenwich- Time und der MEZ-Zone
Router(config)#clock summer-time MESZ recurring last SUNDAY MARCH 02:00 last SUNDAY OCTOBER 03:00 60 -> automaitsches Umschalten auf die
11. CDP - Cisco Discovery Protokoll (Nachbarn suchen und Info"s ansehen): --------------------------------------------------------------------- --------------------------------------------------------------------- Router(config)#cdp run -> CPD einschalten ist der default Router#show cdp neighbor -> zeigt alle direkt angeschlossenen
Geräte an
Router#show cdp neighbors detail -> zeigt alle direkt angeschlossenen Geräte mit detaillierten Informationen
Router(config)#no cdp run -> CPD auf dem Interface AUSSCHALTEN !!!
14. Switch VLAN - Konfiguration: ---------------------------- ---------------------------- a. allgemein: ---------- Switch#show vlan -> Zeigt alle aktiven Vlans an und die
Schnittstellen die zu den Vlan´s zugeordnet sind
Switch#show vlan 20 -> Zeigt Einzelheiten zu dem gewählten
Vlan an. Switch#show interfaces trunk -> Zeigt alle Interface an, die als Trunk
arbeiten. Auch werden Zusatzinformationen wie transportierte Vlans und den Typ der Kappselung an
Switch(config)#int range Fa0/2 - 10 -> Range Befehl für alle Situationen wo
15. VTP - Domäne erstellen (Verteilen von Parametern auf VTP-Clients nach Änderungen auf dem VTP-Server: ------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------ Switch#vlan database -> je nach IOS-Version in die die VLAN-
gefahren werden soll (Server, Client oder Transparenz)
Switch(config)#vtp domain "Domänen-Name" -> VTP-Domänenname vergeben (Wenn der Domänenname einmal vergeben ist kann er nicht mehr gelöscht werden, nur Änderungen ist möglich)
Switch(config)#vtp password "Passwort" -> Passwort vergeben (MD 5 Hash-Wert) (müssen auf allen Komponenten GLEICH sein, Groß und Kleinschreibung beachten)
Switch(config)#vtp pruning -> Verhinderung von VLAN-Broadcasts an Stellen an denen sie nicht benötigt werden (Abhängig von den Cisco-Geräten)
Switch(config)#end Switch#show vtp status -> VTP-Konfiguration anzeigen lassen
16. SPAN zur Portüberwachung installieren !!!ACHTUNG: frisst Bandbreite!!! ----------------------------------------------------------------- ----------------------------------------------------------------- Switch#show monitor session 1 -> SPAN Session anzeigen lassen a. Überwachung eines Ports: ------------------------ Switch(config)#interface fx/x -> Interface auswählen auf dem der
ÜBERWACHENDE PC angeschlossen ist
Switch(config-if)#port monitor fx/x -> Port auswählen der überwacht werden Soll
Switch(config-if)#no port monitor fx/x -> Überwachung für einen Port beenden b. Überwachung mehrerer Ports(Range): ---------------------------------- Switch(config)#no monitor session 1 -> evtl. laufende Session beenden Switch(config)#monitor session 1 source int fx/x - x -> die zu überwachenden Ports bestimmen Switch(config)#monitor session 1 destination int gix/x -> die zu überwachenden Ports auf einen
Port spiegeln an dem der ÜBERWACHENDE PC hängt
Switch(config)#no monitor session 1 source int fx/x -> Ports aus der Session entfernen
17. ETHERCHANNEL (Portszusammenfassung) (auf beiden Seiten GLEICH konfigurieren ---------------------------------------------------------------------------- ---------------------------------------------------------------------------- Switch#show etherchannel -> einen Etherchannel anzeigen lassen Switch#show etherchannel summary -> gesamte Etherchannel-Konfig anzeigen
lassen a. Switch 1: (Befehlsreihenfolge einhalten) --------- Switch1(config)#interface Range fx/x - x -> Ports aussuchen Switch1(config-if)#switchport trunk native VLAN xx -> Default VLAN von VLAN 1 auf VLAN x auf
der Interfacerange verlegen, muss mit dem gegenüberliegenden Switch ÜBEREINSTIMMEN
Switch1(config-if)#channel-group 2 mode on -> Interfaces dem Ethercahnnel zuweisen, Modus aktivieren (Channelgroup muss mit
Port-Channel-Nr. übereinstimmen)
Switch1(config)#interface port-channel 2 -> Port Interface dem Channel zuweisen ( Port-Channel-Nr. muss mit Channelgroup übereinstimmen)
Switch1(config-if)#switchport mode trunk -> gebündelte Ports als TRUNK definieren
Switch1(config-if)#switchport trunk native VLAN xx -> Nativ auf VLAN x auf dem Port-Channel verlegen, muss mit dem gegenüberliegenden Switch ÜBEREINSTIMMEN
b. LOADBALANCING: -------------- Switch(config)#port-channel load-balance dst mac -> Loadbalance bei Verteilung der Daten
vom Server zu einzelnen Clients
Switch(config)#port-channel load-balance src mac -> Loadbalance bei Verteilung der Daten von einzelnen Clients zum Server
20. ACCESS - Listen (ACL): ---------------------- ---------------------- Router#show access-lists -> alle Accesslisten anzeigen lassen Router(config)#no access-list x -> Accessliste löschen a. Standart-ACL: prüfen nur die Quell-IP Setzen Sie diese so nahe wie möglich am Ziel ein! ----------------------------------------------------------------------------------- Router(config)#access list x permit 10.1.1.0 0.0.0.255 -> Accessliste x erstellen,
Datenverkehr vom SubNet 10.1.1.0 erlauben (x = Nummerierung) Die Werte für X liegen zwischen 1 & 99 oder zwischen 1300 & 1399
Router(config)#access list x deny 10.1.1.0 0.0.0.255 -> Accessliste x erstellen, Datenverkehr
vom SubNet 10.1.1.0 wird verboten Router(config)#access list x permit 10.1.1.1 0.0.0.0 -> Acessliste x erstellen, Datenverkehr
eines einzelnen PC erlauben (anstelle der WildcardMask kann auch der Befehl "Host" eingeben werden Bsp: access list x permit host 10.1.1.1
Router(config-if)#ip access group x out -> Accessliste x auf einem Interface in
ausgehende Richtung anbinden (x = Nr. der Accessliste)
Router(config-if)#ip access group x in -> Accessliste x auf einem Interface in eingehende Richtung anbinden
b. Extended-ACL : prüfen Quell u. Ziel-IP sowie ----------------------------------------------------------------------------------------------------------------------------- Router(config)#access list x deny tcp 10.1.4.0 0.0.0.255 any eq 23 -> Accessliste x erstellen,
Telnetzugriff für SubNet 10.1.4.0 verbieten (Telnet: Port 23 bei TCP)
Router(config)#access list x permit ip any any -> Accessliste x erstellen, alles von äberall nach überall erlauben
c. ACL auf vty - Lines: -------------------- Router(config)#access list x permit 10.1.1.0 0.0.0.255 -> Accessliste x erstellen, Zugriff
für das SubNet 10.1.1.0 gestatten
Router(config-line)#access-class x in -> Accessliste auf der vty-Line aktivieren
Router(config-if)ip nat outside -> das Interface als OUTSIDE-Interface festlegen
Router(config)#interface x/x -> auf das entsprechende NAT-Inside- Interface wechseln
Router(config-if)ip nat inside -> das Interface als INSIDE-Interface festlegen
Router(config)#ip nat inside source list x pool LocalLAN -> den IP"s (aus der Access-Liste) dem Pool LocalLAN zuweisen ("x" muss mit der Nr. der Accessliste übereinstimmen)
Router(config)#ip nat pool LocalLAN x.x.x.x x.x.x.x netmask x.x.x.x -> IP-Bereich definieren der für NAT in Betracht kommt (vom Provider gelieferte öffentliche IP-Adressen)
Bsp: 10.5.5.18 1.5.5.30 netmask 255.255.255.240 Router(config)#access-list x permit 10.1.1.0 0.0.0.255 -> Accessliste "x" erstellen IP-
Bereich der für NAT in Frage kommt festlegen (x = Nr. der Acl)
d. NAT löschen: ------------ Router(config)#no ip nat inside source static -> Statisches NAT löschen Router(config)#no ip nat pool -> IP-NAT Pool löschen Router(config)#no access-list x -> Accessliste löschen Router#clear ip nat translation -> alle dynamischen NAT-Einträge
23. IP - SECURITY (VPN-Tunnel): -------------------------- -------------------------- Router(config)#access-list 101 permit ip 10.1.1.0 0.0.0.15 any -> Accessliste erstellen die
ausschliesslich definierten Subnets den Datenverkehr über einen VPN-TUNNEL erlaubt
Router(config)#crypto ipsec transform-set "wbt" esp-aes esp-sha-hmac -> Verschlüsselungsoptionen festlegen (Kombination mit verschiedensten Kryptomöglichkeiten, müssen auf beiden Tunnelinterfaces GLEICH sein)
Router(config)#crypto map "Name" 101 ipsec-isakmp -> Kryptomap erstellen und mit der ACL 101 und ipsec-isakmp verknüpfen (müssen auf beiden TunnelInt gleich sein)