Ha hibát, vagy hiányosságot találsz, küldd be ezen a linken ➡
Forrás: Miskolci Egyetem
Router
? kilistázza az összes, adott üzemmódban használható parancsot
show ? kilistázza a show parancs paramétereit
sh? kilistázza az összes sh-val kezdődő parancsot
Router#copy flash tftp
Router#copy tftp flash
Router(config)# boot system flash c1841-advipservicesk9-mz.124-15.bin
rommon 1> IP_ADDRESS=171.68.171.0
rommon 2> IP_SUBNET_MASK=255.255.254.0
rommon 3> DEFAULT_GATEWAY=171.68.170.3
rommon 4> TFTP_SERVER=171.69.1.129
rommon 5> TFTP_FILE=c2600-is-mz.113-2.0.3.Q
rommon 6> tftpdnld
A megjelenő információk alapján környezeti változókkal kell beállítani a router IP adatait (a legkisebb sorszámú FastEthernet interfészre értendő), valamint a TFTP szerver adatait, majd ezután adjuk ki a tftpdnld parancsot.
Bekapcsolás után röviddel a HyperTerminálban CTRL+Break megnyomása --> rommonitor mód
confreg 2142
boot
a router betölti az IOS-t de átlépi az indító konfigurációs fájlt, ezután beléphetünk enable módba, majd globális konfigba
Router(config)#copy start run
Router(config)#enable secret sajatjelszo
Router(config)#config-register 0x2102
Router(config)#copy run start
Router(config)#do reload
Újraindítás után az eredeti konfigurációval, de már az új jelszóval indul.
Bekapcsolás után röviddel folyamatosan nyomni kell a Mode gombot, míg folyamatos zölden nem világít, ekkor elengedni
A csökkentett üzemmódban ki kell adni először a flash_init, majd a load_helper parancsot
A flash-ben lévő config.text fájlt át kell nevezni, hogy ne találja meg az IOS:
rename flash:config.text flash:c.text
boot parancs kiadása után a switch betölti az IOS-t, be tudunk lépni globális konfig módba
switch(config)#copy flash:c.txt running-config
switch(config)#enable secret sajatjelszo
switch(config)#do copy run start
Újraindítás után az eredeti konfigurációval, de már az új jelszóval indul
privilégizált felhasználói módba váltás:
Router>enable (en), kilépés: exit
globális konfigurációs módba váltás:
Router#configure terminal (conf t), kilépés: exit
speciális konfigurációs módba váltás:
Router(config)# változó, kilépés: exit, end
Router(config)#hostname R1
R1(config)#ip domain-name teszt.hu
R1(config)# ip host R2 200.100.50.25
R1(config)#line con 0
R1(config-line)#speed 9600
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#line vty 0 5 (itt 6 párhuzamos kapcsolat lehetséges, maximum 16 lehet összesen) R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#enable password cisco
R1(config)#enable secret class
R1(config)#enable algorithm-type md5 | sha256 | scrypt secret class
R1(config)#service password-encryption
R1(config)#security passwords min-length 10 minimális jelszó hossz
R1(config)#login block-for 120 attempts 5 within 60 2 perces tiltás 1 percen belül 5 rossz próba után
R1(config)#login quiet-mode access-class ACL
R1(config)#login delay 5
R1(config)#no service password-recovery
R1(config)#banner login # Csak hitelesített felhasználóknak! #
R1(config)#banner motd # Jó munkát! #
R1(config-line)#logging synchronous
R1(config)#no ip domain-lookup
Konfiguráció lekérdezése:
R1#show running-config | startup-config (RAM-ban lévő futó, és NVRAMban mentett konfiguráció)
Konfiguráció mentése az NVRAM-ba:
R1#copy running-config startup-config
Konfiguráció mentése TFTP szerverre:
R1#copy running-config tftp
Konfiguráció visszatöltése TFTP szerverről:
R1#copy tftp running-config
Konfiguráció törlése az NVRAM-ból:
R1#erase startup-config
R1(config-line)#exec-timeout 1 10 (percben majd másodpercben)
R1#reload
Előkészület:
Router(config)#hostname R1
R1(config)#ip domain-name teszt.hu
Kulcs generálás:
R1(config)#crypto key generate rsa
Verzió beállítás:
R1(config)#ip ssh version 1 | 2
További parancsok:
R1(config)#ip ssh time-out 60 (mp-ben megadva)
R1(config)#ip ssh authentication-retries 2
Felhasználó létrehozása beléptetéshez, csak jelszóval nem megy:
R1(config)#username admin password jelszo
Biztonságosabb felhasználónév és jelszó beállítás:
R1(config)#username admin algorithm-type md5 | sha256 | scrypt secret admin
Terminál port beállítása:
R1(config)#line vty 0 15
R1(config-line)#login local
R1(config-line)#transport input ssh | telnet | all | none
R1(config-line)#privilege level 15
Kulcs törlése:
R1(config)#crypto key zeroize rsa
privilégium létrehozása:
R1(config)#privilege interface level 2 ip address
jelszó hozzárendelés:
R1(config)#enable secret level 2 class
belépés egy adott szintre:
R1>enable 2
Privilégium hozzárendelése kapcsolathoz:
R1(config-line)#privilege level 2
Felhasználó létrehozás szinthez (aki 15-ös szinten van, enable jelszó nélkül is engedményezett felhasználói módba kerül):
R1(config)# username admin privilege 15 secret cisco
R1(config)#interface loopback 0
R1(config-if)# ip address 200.0.0.1 255.255.255.255
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 195.220.123.1 255.255.255.0
R1(config-if)#description LAN-kapcsolat
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface Serial 0/0/0
R1(config-if)#ip address 193.155.145.2 255.255.255.0
R1(config-if)#description WAN-kapcsolat
R1(config-if)#encapsulation hdlc | ppp
R1(config-if)#clock rate 64000 (csak DCE oldalon)
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#int fa 0/0
R1(config-if)#no shutdown
R1(config-ip)#no ip address
R1(config-if)#exit
R1(config)#int fa 0/0.10
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 192.168.10.1 255.255.255.0 R1(config-subif)#exit
R1(config)#ipv6 unicast-routing
R1(config)#int fa 0/0
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 address 2001:470:1:1::1/64
R1(config-if)#no shutdown
vagy:
R1(config)#ipv6 unicast-routing
R1(config)#int fa 0/0
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 address 2001:db8:1111:2::/64 eui-64 R1(config-if)#no shutdown
vagy:
R1(config)#ipv6 unicast-routing
R1(config)#int fa 0/0
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 address dhcp | autoconfig
R1(config-if)#no shutdown
Router(config)#hostname R1
R1(config)#username masik_router password chaptitok
R1(config)#interface Serial 0/1/0
R1(config-if)#ip address 188.15.70.1 255.255.255.0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config-if)#no shutdown
Router(config)#hostname R1
R1(config)#username masik_router password paptitok
R1(config)#interface Serial 0/1/0
R1(config-if)#ip address 188.15.70.1 255.255.255.0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication pap
R1(config-if)#ppp pap sent-username R1 password paptitok
R1(config-if)#no shutdown
R1(config-if)# no ip proxy-arp
R1(config)#ip dhcp pool lan1
R1(config-dhcp)#network 192.168.0.0 255.255.255.0
R1(config-dhcp)#default-router 192.168.0.1
R1(config-dhcp)#dns-server 1.2.3.4
R1(config-dhcp)#lease 1 12 30 (nap óra perc formátum)
R1(config-dhcp)#domain-name teszt.hu
R1(config-dhcp)#option 150 ip 192.168.0.1 (IP telefonnál a tftp szerver címe, innen jön a config)
R1(config)#ip dhcp excluded-address 192.168.0.1 192.168.0.10
IP cím kötése MAC címhez:
Router(config)#ip dhcp pool FIXIP
Router(dhcp-config)#host 200.20.2.20 255.255.255.0
Router(dhcp-config)#hardware-address 01b7.0813.8811.66
Ha a DHCP szerver másik hálózati szegmensen van, akkor a DHCP DISCOVER-t fogadó interfészen meg kell adni a DHCP szerver címét:
R1(config-if)# ip helper-address 192.168.10.1
DHCPv6 szerver beállítása (Statefull):
R1(config)#ipv6 dhcp pool lan1
R1(config-dhcpv6)#address prefix 2001::/64
R1(config-dhcpv6)#dns-server AA::BB
R1(config-dhcpv6)#domain-name teszt.hu
Pool interfacehez rendelés:
R1(config-if)#ipv6 dhcp server lan1
R1(config)#ip routing
R1(config)#ip route 192.168.52.0 255.255.255.0 192.168.1.2 | ser 0/0/0
R1(config)#ip route 10.0.0.0 255.255.255.0 ser 0/0/0 150
R1(config)# ip route 0.0.0.0 0.0.0.0 köv_ugrás ip címe | kiküldő interface
R1(config)#ipv6 route 2001:470:1:1::/64 ser 0/0/0 | 2001:470:1:2::1
R1(config)#ipv6 route 2001:470:1:1::/64 ser 0/0/0 151
R1(config)#ipv6 route ::/0 ser 0/0/0
R1(config)#router rip
R1(config-router)#no auto-summary
R1(config-router)#network 195.220.123.0
Ha egy interfészen nem akarunk küldeni frissítéseket, csak fogadni:
R1(config-router)#passive-interface Fa0/0
Nem osztályos címeknél:
R1(config-router)#version 2
RIP verzió beállítás interface-en:
R1(config-if)#ip rip send version 2 (küldés v2-ben)
R1(config-if)#ip rip receive version 2 (fogadás v2-ben)
RIP alapértelmezett út hirdetése:
R1(config-router)#default-information originate
Hitelesítés beállítása:
R1(config)#key chain Kulcs
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string jelszo
R1(config)#int fa 0/0
R1(config-if)#ip rip authentication key-chain Kulcs
R1(config-if)#ip rip authentication mode md5
Látóhatár megosztás engedélyezése:
R1(config-if)# ip split-horizon
RIP időzítők beállítása:
R1(config-router)# timers basic 5 15 15 30
OSPF frissítés RIP frissítéssé alakítása:
R1(config)#router rip
R1(config-router)#redistribute ospf 1 metric 3
EIGRP frissítés RIP frissítéssé alakítása:
R1(config)#router rip
R1(config-router)#redistribute eigrp 100 metric 3
R1(config)#int fa 0/0
R1(config-if)#ipv6 rip CISCO enable
Alapbeállítás:
R1(config)#router eigrp 111
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.1.0 maszk nélkül
R1(config-router)#network 200.0.0.0 255.255.255.252 rendes maszkkal
R1(config-router)#network 201.1.1.0 0.0.0.3 fordított maszkkal
Alapértelmezett útvonal hirdetése:
R1(config-router)#redistribute static
Passzív interfész beállítása:
R1(config-router)#passive-interface Fa 0/0
Nem egyenlő költségű útvonalakon való terheléselosztás:
R1(config-router)#variance 5
(ekkor a legjobb útvonalnál 5-ször rosszabb költségű útvonalakat is bevonja az irányítótáblába)
Közvetlenül kapcsolódó hálózatok bevonása az irányítási folyamatba (ezekbe nem küld EIGRP csomagokat):
R1(config-router)#redistribute connected
A szomszédsági viszonyok változásainak követése:
R1(config-router )#eigrp log-neighbor-changes
Soros összeköttetések sávszélessége:
R1(config-if)#bandwith 1544
Hello időzítő értékének módosítása (default: T1< and NBMA = 60s T1> = 5s):
R1(config-if)#ip hello-interval eigrp 1 10
Halott időzítő értékének módosítása (default: T1< and NBMA = 180s T1> = 15s):
R1(config-if)#ip hold-time eigrp 1 10
Útvonalösszevonás:
R1(config-if)#ip summary-address eigrp 111 192.168.0.0 255.255.0.0
Hitelesítés beállítása:
R1(config)#key chain Kulcs
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string jelszo
R1(config)#int fa 0/0
R1(config-if)#ip authentication key-chain eigrp 1 Kulcs
R1(config-if)#ip authentication mode eigrp 1 md5
Ellenőrző parancsok:
R1#show ip eigrp neighbors
R1#show ip eigrp topology [all-links]
R1#debug eigrp fsm | packets
RIP frissítés EIGRP frissítéssé alakítása [sávszélesség|késleltetés|megbízhatóság|Terhelés| MTU]:
R1(config)#router eigrp 100
R1(config-router)#redistribute rip metric 128 1000 100 100 100
OSPF frissítés EIGRP frissítéssé alakítása [sávszélesség|késleltetés|megbízhatóság|Terhelés| MTU]:
R1(config)#router eigrp 100
R1(config-router)#redistribute ospf 1 metric 128 1000 100 100 100
R1(config)#router ospf 115
R1(config-router)#log-adjacency-changes
R1(config-router)#network 195.220.123.0 0.0.0.255 area 0
R1(config-router)#exit
Router-azonosító megadása:
R1(config-router)#router-id 200.0.0.1
Soros összeköttetés sávszélességének megadása (kbit/s):
R1(config-if)#bandwith 115000
Interfész prioritásának megadása (ha 0, nem vesz részt a DR/BDR választásban):
R1(config-if)#ip ospf priority 100
Költségérték módosítása:
R1(config-if)#ip ospf cost 100 (az érték 1-255 lehet)
Hitelesítés jelszóval:
R1(config-router)#area 0 authentication
R1(config-if)#ip ospf authentication-key titok
Hitelesítés MD5 segítségével:
R1(config-router)#area 0 authentication message-digest
R1(config-if)#ip ospf message-digest-key 1 md5 titok123
Hitelesítés SHA-val:
R1(config)#key chain CSOMO
R1(config-keychain)#key 1
R1(config-keychain-key)#key string kulcs
R1(config-keychain-key)#cryptographic-algorithm hmac-sha-256 R1(config-if)#ip ospf authentication key-chain CSOMO
Ellenőrzés:
R1#sh ip ospf interface
R1#sh ip ospf neighbour [detail]
R1#debug ip ospf adj | events
Hello és halott időzítők beállítása:
R1(config-if)#ip ospf hello-interval 15
R1(config-if)#ip ospf dead-interval 50
Alapértelmezett útvonal hirdetése:
R1(config-router)#default-information originate
Összevont útvonal konfigurálása:
R1(config-router)#area terület-azonosító range IP-cím maszk
Referencia-sávszélesség értékének módosítása:
R1(config-router)#auto-cost reference-bandwidth
A módosítások érvénybe léptetése:
R1(config-router)#clear ip ospf process
RIP frissítés OSPF frissítéssé alakítása:
R1(config-router)#redistribute rip subnets
EIGRP frissítés OSPF frissítéssé alakítása:
R1(config)#router ospf 1
R1(config-router)#redistribute eigrp 10 subnets
R1(config)#ipv6 router ospf 1
R1(config-router)#router-id 1.1.1.1 ez nem ip cím, hanem process azonosító
R1(config-router)#exit
R1(config)#int fa 0/1
R1(config-if)#ipv6 ospf 1 area 0
R1(config)# router bgp 100 szomszéd forgalomirányító
R1(config-router)#neighbor 10.10.10.10 remote-as 100
belső útvonal hirdetés:
R1(config-router)#network 172.16.0.0
Normál ACL szintaktika:
R1(config)#access-list szám permit|deny host_ip|ip_tartomány wildcard maszkja
Normál ACL a 193.225.10.0/24 célhálózathoz enged:
R1(config)#access-list 1 permit 193.225.10.0 0.0.0.255
Normál ACL egy számítógép tiltásához:
R1(config)#access-list 1 deny host 195.140.100.5
Kiterjesztett ACL szintaktikája:
R1(config)#access-list szám permit|deny protokoll forrás_ip reverse-maszk cél_ip reverse-maszk
[eq port [established]]
A példában tiltjuk a 195.220.0.0/16 hálózat felől a HTTP (80-as port) kéréseket bármilyen célhálózat felé:
R1(config)#access-list 101 deny tcp 195.220.0.0 0.0.255.255 0.0.0.0 0.0.0.0 eq 80
Portok megadásához használhatók:
eq ha egy portot adunk meg (equal)
ne ha nem azt a portot akarjuk (not equal)
lt ha megadott portnál kisebbeket akarjuk
gt ha megadott portnál nagyobbakat akarjuk
range x to y ha portszámok tartományát akarjuk
Nevesített ACL:
R1(config)#ip access-list standard ACL-IN
R1(config)#ip access-list extended ACL-OUT
R1(config-ext-nacl)#permit icmp any any
Az ACL definiálása után az ACL-t interfészhez kell rendelni. Fontos megadni, hogy kimenő vagy bejövő interfészhez rendeljük-e!:
R1(config)#interface Serial 0/0/0
R1(config-if)#ip access-group 1 out
ACL leírás megadása:
R1(config)#access-list 1 remark ez tilt mindent
R1(config)#ip http server
R1(config)#ip http secure-server
R1(config)#ip http authentication local
A belső oldalhoz tartozó interfész megjelölése:
R1(config)#interface Fastethernet 0/0
R1(config-if)#ip nat inside
A külső oldalhoz tartozó interfész megjelölése:
R1(config)#interface serial 0/0/0
R1(config-if)#ip nat outside
Statikus NAT (egy belső címet egy külső címre):
R1(config)# ip nat inside source static 10.10.10.1 209.21.34.11
Dinamikus NAT:
R1(config)#ip nat pool public_access 209.165.200.242 209.165.200.253 netmask 255.255.255.224
R1(config)#access-list 1 permit 192.168.123.0 0.0.0.255
R1(config)#ip nat inside source list 1 pool public_access
A PAT szabály megadása globális konfigurációs módban:
R1(config)#ip nat inside source list 1 interface Serial 0/0/0 overload
Alapértelmezett útvonal megadása a külvilág eléréséhez:
R1(config)#ip route 0.0.0.0 0.0.0.0 ser 0/0/0
R1(config)#logging on
R1(config)#logging host 192.168.1.10
R1(config)#logging trap information |szintszám
R1(config)#logging facility local7
R1(config)#logging source-interface fa0/0
R1(config)#service timestamps log datetime localtime show-timezone msec
Konzolra naplózás:
R1(config)#logging console information
Memóriába naplózás:
R1(config)#logging buffered 16000 information
Terminálra naplózás:
R1(config)#logging monitor information
R1(config)#terminal monitor
LOG bejegyzés készítése a privilegizált módhoz:
R1(config)#logging userinfo
LOG bejegyzés készítése a felhasználó bejelentkezéséhez:
R1(config)#login on-failure log
R1(config)#login on-success log
vagy:
R1(config)#security authentication failure rate 8 log
Loggolás lekérdezése:
R1#show logging
R1(config)#no service tcp-small-service
R1(config)#no service udp-small-service
Idő lekérdezése:
R1#show clock detail
Idő beállítása:
R1(config)#clock timezone GMT +1
R1(config)#clock summer-time GMT recurring
R1#clock set 10:50:00 26 Oct 2011
NTP szerver megadása:
R1(config)#ntp server 10.10.10.1
R1(config)#ntp update-calendar
R1(config)#ntp broadcast client
NTP kiszolgáló szerep felvétele:
R1(config)#ntp master
R1(config)#ntp source FastEthernet0/0
NTP hitelesítés beállítása:
R1(config)# ntp authentication-key 1 md5 cisco
R1(config)# ntp trusted-key 1
R1(config)# ntp authenticate
NTP beállítások lekérdezése:
R1#show ntp status
R1#show ntp associations
Community string beállítása csak olvashatóra:
R1(config)#snmp-server community public ro
Community string beállítása írható-olvashatóra:
R1(config)#snmp-server community topsecret rw
További paraméterek beállítása:
R1(config)#snmp-server location ceg.hu
R1(config)#snmp-server contact admin
Újraindítás engedélyezése:
R1(config)#snmp-server system-shutdown
SNMP view létrehozása:
R1(config)#snmo-server view view_név OID-fa included
SNMP csoport létrehozás:
R1(config)#snmp server group csoportnév v3 priv read view_név access ACL_azon
SNMP felhasználó létrehozása:
R1(config)#snmp-server user felhasznév csoportnév v3 auth md5 | sha auth_jelszó priv des | 3des | aes 128 | 192 | 256 priv_jelszó
SNMPv3 show parancsai:
show snmp user
RAM-ban lévő futó konfiguráció megjelenítése
R1#show running-config
NVRAM-ban tárolt konfiguráció megjelenítése
R1#show startup-config
Interfészek állapotainak megjelenítése
R1#show interfaces
IP útválasztó tábla megjelenítése
R1#show ip route
ACL listák megjelenítése
R1#show access-lists
IP alapú interfész protokoll beállítások megjelenítése
R1#show ip interface
Aktív irányító protokollok állapotait jeleníti meg
R1#show ip protocols
Szoftver és hardver verzió információk
R1#show version
IP NAT alapú címfordítással kapcsolatos információk megjelenítése
R1#show ip nat translations
DHCP szerver által kiadott címek adatai
R1#show ip dhcp binding
CDP globális engedélyezés:
R1(config)#cdp run
CDP engedélyezése interface-en:
R1(config-if)#cdp enable
R1(config)#show cdp
R1(config)#show cdp neighbors
R1(config)#show cdp neighbors detail
R1(config)#show cdp entry hostnév
AAA engedélyezés:
R1(config)#aaa new-model
Helyi adatbázisú hitelesítés:
R1(config)#aaa autenticationlogin default local | local-case
Külső kiszolgálós AAA hitelesítés backup megoldással:
R1(config)#aaa authentication login default group radius local enable
Felhasználó fiók blokkolása 10 hibás próba után:
R1(config)#aaa local authentication attempts max-fail 10
TACACS+ szerver megadása:
R1(config)#tacacs server SERVER-T
R1(config-server-tacacs)#address ipv4 10.0.0.2
R1(config-server-tacacs)#single-connection
R1(config-server-tacacs)#key T+-pass
RADIUS szerver megadása:
R1(config)#radius server SERVER-R
R1(config-radius-server)#address ipv4 10.0.0.2 auth-port 1812 acct-port 1813 R1(config-radius-server)#key R-pass
Külső kiszolgálós AAA feljogosítás megadása:
R1(config)#aaa authorization exec | network | commands default groupp tacacs+
Külső kiszolgálós AAA könyvelés megadása:
R1(config)#aaa accounting network | exec | connection default start-stop | stop-only | none group radius
802.1x beállítás:
S1(config)#aaa authentication dot1x default group radius
S1(config)#dot1x system-auth-control
S1(config-if)#authentication port-control auto
S1(config-if)#dot1x pae authenticator
AAA show parancsai:
show aaa local user lockout
show aaa sessions
Router(config-line)#login authentication default
Statikus (egy ipv4-et egy ipv6-ra fordít vagy épp ellenkezőleg):
R1(config-if)#ipv6 nat /minden NAT-PT-be bevont interface-en
R1(config)#ipv6 nat v4v6 source 192.168.1.254 2001::254
R1(config)#ipv6 nat prefix 2001::/96
R1(config)#ipv6 nat v6v4 source 2001:a:b:c::1 126.12.12.12
GRE Tunneling:
R1(config)# interface Tunnel1
R1(config-if)# ip address 172.16.1.1 255.255.255.0 (logikai interface cím)
R1(config-if)# ip mtu 1400
R1(config-if)# ip tcp adjust-mss 1360
R1(config-if)# tunnel source 1.1.1.1 (fizikai interface címe ezen az eszközön vagy interface)
R1(config-if)# tunnel destination 2.2.2.2 (fizikai interface címe a logikailag szomszéd eszközön)
HSRP:
R1(config)# int ser 0/0/0
R1(config-if)# ip add 10.0.0.20 255.255.255.0
R1(config-if)# standy version 2
R1(config-if)# standby 1 ip 10.0.0.1
R1(config-if)# standby 1 priority 110 (alapértelmezett 100)
R1(config-if)# standby 1 name HSRP-example
R1(config-if)# standy 1 preempt
R2(config)#int ser 0/0/0
R2(config-if)# ip add 10.0.0.30 255.255.255.0
R2(config-if)# standy version 2
R2(config-if)# standby 1 ip 10.0.0.1
R2(config-if)# standby 1 name HSRP-example
R2(config-if)# standy 1 preempt
GLBP:
R1(config)# int ser 0/0/0
R1(config-if)# ip add 10.0.0.20 255.255.255.0
R1(config-if)# glbp 1 ip 10.0.0.1
R1(config-if)# glbp 1 priority 110
R1(config-if)# glbp 1 name GLBP-example
R2(config)#int ser 0/0/0
R2(config-if)# ip add 10.0.0.30 255.255.255.0
R2(config-if)# glbp 1 ip 10.0.0.1
R2(config-if)# glbp 1 name GLBP-example
root viewba belépés:
R1(config)#enable view
view létrehozás:
R1(config)#parser view view_név
view jelszó beállítás:
R1(config-view)#secret class
parancs view-hoz rendelése:
R1(config-view)#commands exec include | exclude | include-exclusive parancs
superview létrehozás:
R1(config)#parser view view_név superview
view hozzárendelése a superview-hoz:
R1(config-view)#view view_név
Szerepkörök show parancsai:
show parser view
show parser view all
IOS képfile védelem:
R1(config)#secure boot-image
startup-config védelem:
R1(config)#secure boot-config
IOS Rersilience show parancsai:
show secure bootset
indító konfig visszaállítás:
R1(config)#secure boot-config restore flash:restore_cfg
engedélyezése (AAA beállítás után, login azonosítás és exec feljogosítás után):
R1(config)#ip scp server enable
R1#auto secure
(a példában bentről kimegy a ping és a válasz bejön, de kintről nem jön be ping kérés)
Inspekciós szabály létrehozása:
R1(config)#ip inspect name FWRULE icmp
Belső oldal beállítása, ACL és inspekciós szabály hozzárendeléssel:
R1(config)#ip access-list extended INSIDE
R1(config-ext-nacl)#permit icmp any any eq
R1(config-ext-nacl)#deny ip any any
R1(config-if)#ip access-group INSIDE in
R1(config-if)#ip inspect FWRULE in
Külső oldal beállítása ACL hozzárendeléssel:
R1(config)#ip access-list extended OUTSIDE
R1(config-ext-nacl)#deny ip any any
R1(config-if)#ip access-group OUTSIDE in
Zóna létrehozása:
R1(config)#zone security PRIVATE
Class-map beállítás (forgalom azonosítás):
R1(config)#class-map type inspect match-any | match-all CLASSMAP_NÉV
R1(config-cmap)#match access-group ACL
vagy
R1(config-cmap)#match protokol protokollnév
vagy
R1(config-cmap)#match class-map CLASSMAP_NÉV
Policy-map beállítás (mi történjen: eldobás, átengedés, inspekció):
R1(config)#policy-map type inspect POLICY_NÉV
R1(config-pmap)#class type inspect CLASSMAP_NÉV
R1(config-pmap-c)#inspect | drop | pass
Zóna párok összerendelése és policy-maphoz társítása:
R1(config)#zone-pair security PÁR-NÉV source PRIVATE | self destination PUBLIC | self
R1(config-sec-zone-pair)#service-policy type inspect POLICY_NÉV
Interface-hez rendelés:
R1(config-if)#zone-member security PRIVATE
ZPF show parancsai:
show policy-map type inspect zone-pair sessions
show class-map type inspect
show zone security
show zone-pair security
show policy-map type inspect
Szignatúra könyvtár létrehozás:
R1#mkdir ipsdir
Crypto kulcs bemásolása fileból:
R1(config)#crypto key pubkey-chain rsa…
…
quit
IPS szabály létrehozása:
R1(config)#ip ips name IOSIPS
IPS szignatúra hely megadása:
R1(config)#ip ips config location flash:ipsdir
IPS értesítés bekapcsolás:
R1(config)#ip http server
R1(config)#ip ips notify sdee
R1(config)#ip ips notify log
Teljes szignatúra, összes kategóriában kikapcsolása:
R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retired true
Szükséges szignatúrák bekapcsolása:
R1(config)#ip ips signature-category
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false
R1(config-ips-category-action)#end
IPS szabály interface-hez rendelése:
R1(config-if)#ip ios IOSIPS in
Szignatúra flashre másolás:
R1#copy tftp://10.0.0.2/IOS-S854-CLI.pkg idconf
R1(config-if)#encapsulation frame-relay [ ietf ]
R1(config-if)#bandwidth 128 (kbit/sec értékben)
R1(config-if)#frame-relay lmi-type cisco | ansi | q933a
R1#show frame-relay map | pvc | lmi
Alinterfészek létrehozása:
Pont-pont (2-2 router van azonos alhálózaton):
R1(config)# int s0/0/0
R1(config-if)#encap frame-relay
R1(config-if)#no ip address
R1(config)#int s0/0/0.102 point-to-point
R1(config-if)#ip address x.y
R1(config-if)#frame-relay interface-dlci 102
Multipoint (több router is azonos alhálózaton van):
R1(config)# int s0/0/0
R1(config-if)#encap frame-relay
R1(config-if)#no ip address
R1(config)#int s0/0/0.1 multipoint R1(config-if)#ip address x.y
R1(config-if)#frame-relay interface-dlci 102
R1(config-if)#frame-relay interface-dlci 103
Virtual Private Dialup Network engedélyezése:
R1(config)#vpdn enable
Virtual Private Dialup Network létrehozása:
R1(config)#vpdn-group 1
R1(config-vpdn)#accept-dialin
R1(config-vpdn-acc-in)#protocol pptp
R1(config-vpdn-acc-in)#virtual-template 1
Virtuális interfész valós interfészhez kötése:
R1(config)#interface Virtual-Template1
R1(config-if)#ip unnumbered FastEthernet 0/0
R1(config-if)#peer default ip address pool PPTP-Pool
R1(config-if)#no keepalive
R1(config-if)#ppp encrypt mppe 128
R1(config-if)#ppp authentication ms-chap ms-chap-v2
Helyi hálózaton használható IP címek megadása:
R1(config)#ip local pool PPTP-Pool 192.168.0.20 192.168.0.25
VPN felhasználó létrehozása:
R1(config)#username user1 password cisco
Virtual Private Dialup Network engedélyezése:
R1(config)#vpdn enable
Virtual Private Dialup Network létrehozása:
R1(config)#vpdn-group 1
R1(config-vpdn)#no l2tp tunnel authentication
R1(config-vpdn)#accept-dialin
R1(config-vpdn-acc-in)#protocol l2tp
R1(config-vpdn-acc-in)#virtual-template 1
Virtuális interfész valós interfészhez kötése:
R1(config)#interface Virtual-Template1
R1(config-if)#ip unnumbered FastEthernet0/0
R1(config-if)#peer default ip address pool L2TP-Pool
R1(config-if)#ppp authentication ms-chap-v2
Helyi hálózaton használható IP címek megadása:
R1(config)#ip local pool L2TP-Pool 192.168.0.20 192.168.0.25
Hitelesítés beállítása:
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 3600
IPSec előre megosztott kulcs megadása:
R1(config)#crypto isakmp keepalive 3600
R1(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth
IPSec beállítás:
R1(config)#crypto ipsec transform-set MySet esp-3des esp-sha-hmac R1(cfg-crypto-trans)#mode transport
R1(config)#crypto dynamic-map MyMap 10
R1(config-crypto-map)#set transform-set MySet
R1(config)#crypto map L2TP-Map 10 ipsec-isakmp dynamic MyMap R1(config)#interface FastEthernet0/0
R1(config-if)#crypto map L2TP-Map
VPN felhasználó létrehozása:
R1(config)#username user1 password cisco
ISAKMP konfiguráció:
R1(config)#crypto isakmp policy 6
Hitelesítés:
R1(config-isakmp)#authentication pre-share
Diffie-Hellman csoport:
R1(config-isakmp)#group 5
Kivonatoló algoritmus:
R1(config-isakmp)#hash md5
Titkosítás:
R1(config-isakmp)#encr 3des
Az SA élettartama:
R1(config-isakmp)#lifetime 3600
Közös titkos kulcs és másik végpont megadása:
R1(config)#crypto isakmp key Secret address 200.20.2.1
IPSec globális SA élettartamának konfigurálás:
R1(config)#crypto ipsec security-association lifetime seconds 86400
Crypto ACL konfigurálása:
R1(config)#access-list 100 permit ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
Transzform set beállítása:
R1(config)#crypto ipsec transform-set SETNAME esp-3des esp-md5-hmac
Crypto map konfigurlása:
R1(config)#crypto map MAPNAME PRIORITY ipsec-isakmp
Társ végpont:
R1(config-crypto-map)#set peer 200.20.2.1
Transzform set megadása:
R1(config-crypto-map)#set transform-set SETNAME
DH group hozzárendelése:
R1(config-crypto-map)#set pfs group5
Crypto ACL hozzárendelése:
R1(config-crypto-map)#match address 100
Crypto map hozzárendelése VPN végpont interfészhez:
R1(config-if)#crypto map MAPNAME
VPN felhasználó létrehozása:
R1(config)#username vpnuser password cisco
Csoport hozzáadása:
R1(config)#aaa new-model
R1(config)#aaa authentication login default local
R1(config)#aaa authorization network default local
Csoport hozzáadása Radius hitelesítés esetén:
R1(config)#aaa authentication login default group radius local
R1(config)#aaa authorization network default group radius local
R1(config)#radius-server host 172.16.1.1 auth-port 1645 key cisco
Helyi hálózaton használható IP címek megadása (ezek lesznek kiosztva):
R1(config)#ip local pool VPN-Pool 192.168.0.20 192.168.0.25
Hitelesítés beállítása:
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 3600
IPSec csoport létrehozása és konfigurálása:
R1(config)#crypto isakmp client configuration group vpncsoport
R1(config-isakmp-group)#key cisco123
R1(config-isakmp-group)#netmask 255.255.255.0
R1(config-isakmp-group)#pool VPN-Pool
IPSec beállítás:
R1(config)#crypto ipsec transform-set MySet esp-3des esp-sha-hmac
R1(config)#crypto dynamic-map MyMap 10
R1(config-crypto-map)#set transform-set MySet
R1(config-crypto-map)#reverse-route
R1(config)#crypto map VPN-Map client authentication list default
R1(config)#crypto map VPN-Map client configuration address respond
R1(config)#crypto map VPN-Map isakmp authorization list default
R1(config)#crypto map VPN-Map 10 ipsec-isakmp dynamic MyMap
R1(config)#interface FastEthernet0/0
R1(config-if)#crypto map VPN-Map
Telephony-service beállítása:
R1(config)#telephony-service
R1(config-telephony)#max-ephones 3 (telefonok száma)
R1(config-telephony)#max-dn 3 (telefonszámok száma)
R1(config-telephony)#ip source-address 10.1.1.1 port 2000
R1(config-telephony)#auto assign 1 to 3
R1(config-telephony)#create cnf-files version-stamp Jan 01 2002 00:00:00 R1(config-telephony)#max-conferences 4
R1(config-telephony)#transfer-system full-consult
Telefon beállítása egy illetve többvonalasra:
CME(config)#ephone-dn 5 ?
dual-line dual-line DN (2 calls per line/button) <cr>
Vonalak megadása:
R1(config)#ephone-dn 1 dual-line
R1(config-ephone-dn)#number 3000
Vonalak gombokhoz rendelése:
R1(config)#ephone 1
R1(config-ephone)#mac-address 0012.17F0.A883
R1(config-ephone)#type CIPC
R1(config-ephone)#button 1:5 3:6 4:7
Egy telefon újraregisztrálása:
R0(config)#ephone 1
R0(config-ephone)#restart
A szükséges állományokat a Flash-be fel kell tölteni és be kell állítani az elérésüket!
Az elérés beállítása:
Router (config)# ip http server
Router (config)# ip http authentication local
Router (config)# ip http path flash:
Router (config)# username cmeadmin privilege 15 secret cisco
Router (config)# line con 0
Router (config-line)# logging sync
Router (config-line)# end
Az állományok feltöltése és kibontása:
Router# archive tar /xtract tftp://10.10.10.2/cme.tar flash:
A felhasználói neveket a telefonszámokhoz rendelhetjük az ephone-dn bejegyzésekben:
CME (config)# ephone-dn 20
CME (config-ephone-dn)# name Nagy Jozsef
CME (config-ephone-dn)# exit
Névsorba rendezés vezeték név alapján:
CME(config-telephony)# directory last-name-first
Új elem felvétele a telefonkönyvbe:
CME(config-telephony)# directory entry 1 1599 name Corporate Fax
beállított értékek megjelenítése:
R1#sh telephony-service directory-entry
Gyorshívás:
speed-dial 1 5000 label "Jozsi" speed-dial 2 5001 label "Peti"
Hívás továbbítás CLI-ből:
CME(config-ephone-dn)# call-forward busy 1599
CME(config-ephone-dn)# call-forward noan 1599 timeout 25
Ez a parancs megadja, hogy milyen hosszú telefonszámokra irányítható át a hívás. Amennyiben ez a szám 0, akkor letiltja az átirányítást!:
CME(config-ephone-dn)# call-forward max-length 0
mely telefonszámokra alkalmazhatjuk a H 450.3 átirányítást:
call-forward pattern <pattern>
A hívás átengedés
CME(config)# telephony-service
CME(config-telephony)# transfer-system {full-blind|full-consult|local-consult}
A hívás várakoztatás:
CME(config)# ephone-dn 50
CME(config-ephone-dn)# number 3001
CME(config-ephone-dn)# name Maintenance
CME(config-ephone-dn)# park-slot
CME(config-ephone-dn)# exit
A hívás átvétel:
CME(config)# ephone-dn 1
CME(config-ephone-dn)# pickup-group 5509
CME(config-ephone-dn)# ephone-dn 2
CME(config-ephone-dn)# pickup-group 5509
CME(config-ephone-dn)# ephone-dn 3
CME(config-ephone-dn)# pickup-group 5509
CME(config-ephone-dn)# ephone-dn 4
CME(config-ephone-dn)# pickup-group 5510
CME(config-ephone-dn)# ephone-dn 6
CME(config-ephone-dn)# pickup-group 5510
CME(Config)# dial-peer voice címke pots
Miután kialakítottunk egy tárcsázási párt, szükséges hozzárendelni a telefonszámot, és az egészet össze kell rendelnünk egy Voice porttal:
CME(config-dial-peer)# destination-pattern 1102
CME(config-dial-peer)# port 2/0
A tárcsázás ellenőrzése:
show dial-peer voice summary
Hívás nyomon követése:
CME# debug voip dialpeer
A telefonszámok feldolgozása:
ROUTER_B(config-dial-peer)# destination-pattern 9 ROUTER_B(config-dial-peer)# no digit-strip
A tárcsázási párok beállítása:
CME(config)# dial-peer voice 2000 voip
CME(config-dial-peer)# destination-pattern 2
CME(config-dial-peer)# session target ipv4:10.1.1.2 CME(config-dial-peer)# codec g711ulaw
ROUTER_B(config)# dial-peer voice 1100 voip
ROUTER_B(config-dial-peer)# destination-pattern 110
ROUTER_B(config-dial-peer)# session target ipv4:10.1.1.1
ROUTER_B(config-dial-peer)# codec g711ulaw
Switch
privilégizáltba váltás:
enable (en), kilépés: disable
globális konfigurációsba váltás:
configure terminal (conf t),
kilépés: exit
speciális konfigurációsba váltás: változó, kilépés: exit, end
? kilistázza az összes, adott üzemmódban használható parancsot show ? kilistázza a show parancs paramétereit
sh? kilistázza az összes sh-val kezdődő parancsot
Switch# copy run start
Switch(config)# hostname kapcsolo_neve
Switch(config)# line console 0
Switch(config-line)# password jelszo
Switch(config-line)# login
Switch(config)# line vty 0 15
Switch(config-line)# password jelszo
Switch(config-line)# login
Állapotüzenetek elválasztása a begépelt parancsoktól: Switch(config-line)#logging synchronous
Switch(config)#username admin password cisco
Switch(config)#username boss secret class
Switch(config)# line vty 0 4
Switch(config)# login local
Switch(config)# transport input all | telnet | ssh | none 29
Switch(config)# enable password jelszo
Switch(config)# enable secret jelszo
Switch(config)# service passwod-encryption
Switch(config)# banner motd #Belepes csak engedellyel!#
Switch(config)#interface FastEthernet 0/2
Switch(config-if)#duplex auto | half | full
Switch(config-if)#speed auto | 10 | 100 | 1000
Switch(config)#mac-address-table static 0123.4567.89AB vlan 1 int fa0/1
Switch#clear mac-address-table dynamic
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
vagy általunk megadott címmel:
Switch(config-if)#switchport port-security mac-address 0123.4567.89AB
Switch(config-if)#switchport port-security violation shutdown
ha nem szeretnénk, hogy letiltson:
Switch(config-if)#switchport port-security violation [ protect | restrict ]
vagy ha maximum 2 MAC címet engedünk:
Switch(config-if)#switchport port-security mac-address maximum 2 Portbiztonság miatt letiltott port újraengedélyezése:
Switch(config)#int fa0/1
Switch(config-if)#shutdown
Switch(config-if)#no shut
Switch(config)#int fa0/24
Switch(config-if)#description Kapcsoloport a szerverhez
Switch(config)#ip default-gateway 10.0.0.254
DHCP Snooping globális engedélyezése:
Switch(config)#ip dhcp snooping
DHCP Snooping engedélyezés VLAN-okra:
Switch(config)#ip dhcp snooping vlan 1
Megbízható port kijelölése:
Switch(config)#ip dhcp snooping trust
Nem megbízható porton a DHCP kérések limitje:
Switch(config)#ip dhcp snooping limit rate 10
Switch(config)#ip name-server 10.1.1.1
Switch(config)#int vlan 1
Switch(config-if)#ip address 10.0.0.1 255.0.0.0
Switch(config-if)#no shut
Switch(config)#ip host alfa 10.0.0.1
Első módszer:
Switch#vlan database
Switch(vlan)#vlan 10 name alfa
Második módszer:
Switch(config)#vlan 25
Switch(config-vlan)#name gamma
Portok hozzárendelése adott VLAN-hoz:
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 25
Egyszerre több port hozzárendelése:
Switch(config)#int range fa0/10 - 15
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 25
Switch(config)#int fa0/24
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk native vlan 99
Switch(config-if)#switchport trunk allowed vlan [ except 2 | 3,4 | all ]
Switch# show interfaces trunk
Switch#copy running-config tftp
Switch#copy tftp startup-config
Hídprioritás beállítása (az érték 0-61440 között lehet, 4096-os lépésekkel, a kisebb lesz a gyökérponti híd):
Switch(config)#spanning-tree vlan 1 priority 4096
illetve:
Switch(config)#spanning-tree vlan 1 root [ primary | secondary ]
Hozzáférési portok gyors-továbbító üzemmódba állítása:
Switch(config)#spanning-tree portfast default
illetve interfészenként:
Switch(config-if)#spanning-tree portfast
A kialakult állapot megjelenítése:
Switch# show spanning-tree [detail | summary | vlan x ]
Üzemmód beállítása (normál / gyors):
Switch(config)#spanning-tree mode pvst | rapid-pvst
Interface költség beállítás:
Switch(config-if)#spanning-tree vlan 10 cost 30
Alapértelmezett értékek: 10Mbps=100; 100Mbps=19; 1Gbps=4; 10Gbps=2
Root guard (hogy a gyökérponti kapcsoló ne változzon a hálózaton):
Switch(config)#spanning-tree guard root
Loop guard engedélyezése globálisan:
Switch(config)#spanning-tree loopguard default
BPDU guard engedélyezése globálisan (hogy bármilyen portról ne fogadjon bpdu-t):
Switch(config)#spanning-tree portfast bpduguard default
illetve adott hozzáférési porton:
Switch(config-if)#spanning-tree bpduguard enable
EtherChannel guard (EtherChannel hibák ellenőrzésére):
Switch(config)#spanning-tree etherchannel guard misconfig
Első módszer (switchportot is támogató routereken csak ez működik):
Switch# vlan database
Switch(vlan)# vtp domain tartománynév
Jelszó beállítása:
Switch(vlan)#vtp password jelszó
Protokoll verziójának beállítása:
Switch(vlan)# vtp v2-mode
Eszköz üzemmódjának beállítása (alapesetben szerverként működik, a kliens csak fogadja a módosításokat, a transzparens átengedi a VTP-t és tőle függetlenül működtethet saját VLAN okat):
Switch(vlan)# vtp mode server | client | transparent
Második módszer (globális konfig módban működik):
Switch(config)# vtp domain tartománynév
Switch(config)# vtp password jelszó
Switch(config)# vtp version 2
Switch(config)# vtp mode server | client | transparent
VTP ellenőrzése:
Switch# show vtp status
Switch# show vtp password
VTP pruning:
A kapcsolók nem továbbítják a trönk túlsó felére olyan VLAN-ok adatait, amikbe tartozó állomások nem léteznek a túloldalon, ezáltal kisebb lesz a fölösleges hálózati forgalom.
Switch(config)# vtp pruning
manuális EtherChannel:
Switch(config-if)#channel-group 1 mode on
EtherChannel PagP-vel:
Switch(config-if)#channel-group 1 mode desirable | auto
EtherChannel LACP-vel:
Switch(config-if)#channel-group 1 mode active | passive
Multilayer Kapcsolók beállításai:
forgalomirányítás bekapcsolása:
Switch(config)#ip routing
Port felkészítése a forgalomirányításra:
Switch(config-if)no switchport (ezután be lehet állítani IP címeket)
ASA
Belépés engedményezett módba:
ASA>enable
Belépés globális konfigurációs módba:
ASA#configure terminal
Pontos idő beállítása:
ASA#clock set 10:00:00 1 april 2016
Súgó előhívása parancsra:
ASA(config)#help parancs
Eszköznév beállítás:
ASA(config)#hostname ASAA
Titkos jelszó beállítás:
ASA(config)#enable password class
Jelszó titkosítás beállítása:
ASA(config)#password encryption aes
Tartománynév beállítása:
ASA(config)#domain-name teszt.hu
Nap üzenete beállítása:
ASA(config)#banner motd DANGER
ASA(config)#banner motd LOOKOUT
(Interface-t VLAN-hoz rendelünk, IP címe VLAN-nak lesz csak!)
Belépés interface konfigurációs módba:
ASA(config)# interface e0/0
Interface VLAN-hoz rendelése:
ASA(config-if)#switchport access vlan 2
Statikus IP cím beállítás:
ASA(config-if)#ip address 10.0.0.1 255.0.0.0
Dinamikus IP cím beállítás:
ASA(config-if)#ip address dhcp
Dinamikus IP cím beállítás hozzá kapcsoló alapértelmezett úttal:
ASA(config-if)#ip address dhcp setroute
Statikus út felvétele:
ASA(config)#router outside célhálózaticím maszk köv_ugráscíme 34
Biztonsági szint interface-hez rendelése (0-100):
ASA(config-if)#security-level 10
Interface megjelölés objektum névvel:
ASA(config-if)#nameif inside | outside | sajátnév
ASA(config)#dhcpd address 10.0.0.1-10.0.0.20 inside
ASA(config)#dhcpd lease 1800
ASA(config)#dhcpd dns 8.8.8.8
ASA(config)#dhcpd enable objnév
Telnet kliens hozzárendelése:
ASA(config)#password cisco
ASA(config)#telnet 192.168.1.22 255.255.255.255 inside
ASA(config)#telnet timeout 3
ASA(config)#aaa authentication telnet console LOCAL
Telnet beállítások törlése:
ASA(config)#clear configure telnet
SSH beállítása:
ASA(config)#username admin password admin ASA(config)#aaa authentication ssh console LOCAL ASA(config)#crypto key gen rsa modulus 1024 ASA(config)#ssh 192.168.1.22 255.255.255.255 inside ASA(config)#ssh version 2
NTP beállítása:
ASA(config)#ntp authenticate
ASA(config)#ntp trusted-key 89
ASA(config)#ntp authentication-key 89 md5 cisco123 ASA(config)#ntp server 10.0.0.2
Grafikus (webes) felület engedélyezése:
ASA(config)#http server enable
ASA(config)#http 192.168.1.0 255.255.255.0 inside
Tűzfal szabály módosítása:
ASA(config)#policy-map global_policy
ASA(config-pmap)#class inspection_default
ASA(config-pmap-c)#inspect icmp
IP címekre készült objektum:
ASA(config)#object network EXAMPLE
ASA(config-network-object)#host 10.0.0.2
vagy:
ASA(config-network-object)#subnet 10.0.0.0 255.0.0.0 35
vagy:
ASA(config-network-object)#range 10.0.0.10 10.0.0.20
Szolgáltatásra készült objektum:
ASA(config)#object service SERV
ASA(config-service-object)#service protokoll source port destination port
Példa:
ASA(config-service-object)#service tcp destination eq www
Objektum csoport létrehozása:
ASA(config)#object-group network HOSTS
ASA(config-network-object-group)#network-object host 10.0.0.20
ASA(config-network-object-group)#network-object host 10.0.0.22
vagy:
ASA(config-network-object-group)#network-object 10.0.0.0 255.0.0.0
vagy:
ASA(config-network-object-group)#group-object ADMIN_HST
Hozzáférési lista létrehozása (a NÉV lehet szám is):
ASA(config)#access-list NÉV remark megjegyzés
ASA(config)#access-list NÉV extended permit | deny protokoll forrás_cím portszám cél_cím portszám
Hozzáférési lista létrehozása okjektumokkal:
ASA(config)#access-list NÉV extended permit | deny protokoll object-group prot_obj object-group forras_obj object-group cel_obj
Hozzáférési lista alkalmazása:
ASA(config-if)#access-group NÉV in | out interface outside
Dinamikus címfordítás:
ASA(config)#object network NAT
ASA(config-network-object)#subnet 10.0.0.0 255.0.0.0
ASA(config-network-object)#nat (inside, outside) dynamic
PUBLIC_CÍMTART_OBJEKTUM
Port túlterheléses címfordítás (automatikusan a külső interface-re fordít):
ASA(config)#object network PAT
ASA(config-network-object)#subnet 10.0.0.0 255.0.0.0
ASA(config-network-object)#nat (inside, outside) dynamic interface
Statikus címfordítás:
ASA(config)#object network SNAT
ASA(config-network-object)#host 10.0.0.2
ASA(config-network-object)#nat (dmz, outside) static 100.0.0.1
Szerver megadása:
ASA(config)#aaa-server NÉV protocol tacacs+
ASA(config-aaa-server-group)#aaa-server NÉV (dmz) host 10.0.0.2
Azonosítás beállítása:
ASA(config)#aaa authentication enable console NÉV LOCAL ASA(config)#aaa authentication http console NÉV LOCAL
ASA show parancsai:
show interface ip brief
show route
show switch vlan
show xlate
show ssh
show nat detail
show run aaa
show run aaa-server
ASA#write
ASA#write erase
0.0.0.0/8 Szórásra fenntartva
100.64.0.0/10 Large Scale NAT-nak fenntartva
127.0.0.0/8 localhost, loopback címtartomány
169.254.0.0/16 IPv4 link local cím. APIPA
192.88.99.0/24 NATPT 6to4 anycast
224.0.0.0/4 multicast tartománynév
240.0.0.0/4 fenntartva
255.255.255.255 broadcast
IPv6
Speciális címek:
• ::/128 Nem definiált
• ::1/128 Loopback
• FF00::/8 Multicast
• 2000::/3 Global Unicast
• FC00::/7 Unique Local
• FE80::/10 Link Local
Egyszerűsítés:
• Vezető nullák elhagyhatóak (0FEF hextet FEF-nek írható)! • Egymás utáni teljesen nullás hextettek ::-ra cserélhetőek címenként egyszer!