Show Menu
Cheatography

Cisco - Grundlagen Cheat Sheet (DRAFT) by

Test Cheat Sheet . Cisco Basics

This is a draft cheat sheet. It is a work in progress and is not finished yet.

Vorgeh­ens­weise:

1. Grundk­onf­igu­ration
2. Serielle Konsole
3. SSH
4. VLAN
5. Hardening Guide kontro­llieren / anpassen
6. ACL
7. Services (DHCP/­Radius etc.)

Grundk­onfig

device­(co­nfig)# hostname <na­me>
Vergibt dem Gerät einen Namen
device­(co­nfig)# enable secret <pa­ssw­ord>
Setzen des versch­lüs­selten Passwortes für den privil­egi­erten Modus
device­(co­nfig)# service passwo­rd-­enc­ryption
Versch­lüsselt alle Passwörter
(config)# username <name>
[privilege 0-15]
{secre­t|p­ass­word} <pa­ssw­ord>
Legt einen Benutzer mit Passwort an
..(con­fig)# no password
Kein anonymer Login
device­(co­nfi­g-l­ine)# login local
Aktiviert die angelegten Benutzer mit Passwort

Serielle Console absichern

Schnit­tstelle auswählen:
..(con­fig)# line console 0
Passwort vergeben:
..(con­fig­-line)# password <pa­ssw­ord>
Kein anonymer Login:
(confi­g-l­ine)# login local
Konsole schließen:
(confi­g-l­ine)# exec timout <mi­nut­en> <se­kun­den>
Synchrone Protok­oll­ierung
..(con­fig­-line)# logging
synchr­onous

Hardening Guide

Switch­(co­nfig) # vtp mode transp­arent
VTP vermeiden
Unused VLAN:
VLAN 1 vermeiden
Switch­(co­nfig)# vlan <id>
stattd­essen "­UNUSED VLAN" erstellen
Switch­(co­nfig) #int range fa[0/X-Y]
Ports auswählen
Switch­(co­nfi­g-if)# switchport mode access
Switchport mode access
switch­(co­nfi­g-if)# switchport access vlan <un­use­dVl­an>
Ports in Vlan
VTY beschr­änken:
device­(co­nfi­g-l­ine)# transport input none
keine Verbindung zulassen
exec-t­imeout <mi­nut­en> <se­kun­den>
Allgemein:
switchport nonego­tiate
DTP
ACLs anpassen!
siehe ACL
ggfs. Inter-Vlan Routing
siehe Inter-Vlan Routing

VLAN

switch­(co­nfig)# vlan <vl­an-­id>
Vlan anlegen
switch­(co­nfi­g-v­lan)# name <na­me>
Vergibt dem VLAN einen Namen
switch­(co­nfi­g-if)# switchport mode {acces­s|trunk
Access oder Trunk Mode
switch­(co­nfi­g-if)# switchport access vlan <vl­an-­id>
Access Port (statisch) anlegen
switch­(co­nfi­g-if)# switchport trunk allowed vlan <vl­an-­ids>
Trunk festlegen (VLANS)
switch# show vlan [brief]
! Gemäß Show Commands

VLAN Trunk & Access

Inter VLAN Routing

Router­(co­nfig)# int fastEt­hernet 0/0.{VLAN}
Sub-In­terface anlegen (Schni­tts­telle Router)
Router­(co­nfi­g-s­ubif)# encaps­ulation dot1Q {VLAN}
Router­(co­nfi­g-s­ubif)# ip address <ip­>.254 <SN­M>
IP Adresse vergeben
Für jedes VLAN das Routen durchf­ühren
Switch# show vlan brief
Siehe Show Command

Wildca­rdmask

Invert­ierte Subnet­zsmaske
255.25­5.255.0 | /24
0.0.0.255
255.25­5.2­55.128 | 25
0.0.0.127
 

SSH

! Hostname vergebn
device­(co­nfig)# ip domain­-name <dn­s-s­uff­ix>
Legt ein DNS-Suffix für das Gerät fest
!Benutzer muss angelegt sein
device­(co­nfig)# crypto key generate rsa
Erzegut Schlüssel mit RSA-St­andard
device­(co­nfig)# ip ssh version {2}
Legt die Version vom SSH Protokoll fest
device­(co­nfig)# line vty 0 15
Wechselt auf die virtuellen Schnit­tst­ellen zum Fernwarten
device­(co­nfi­g-l­ine)# login local
Aktiviert die angelegten Benutzer mit Passwort
device­(co­nfi­g-l­ine)# transport input ssh
Zugriff über vty nur über SSH möglich
PC> ssh -l <us­ern­ame> <ip>
Aufbau einer SSH-Ve­rbi­ndung über die Konsole (nur in Packet Tracer)

DHCP

device­(co­nfig)# ip dhcp pool <na­me>
DHCP Pool anlegen
device­(co­nfi­g-d­hcp)# network <ne­t-i­d> <sn­m>
Netz ID dem Pool zuweisen
device­(co­nfi­g-d­hcp)# defaul­t-r­outer <ip>
Gateway festlegen
device­(co­nfi­g-d­hcp)# dns-server <ip>
DNS Server festlegen
device­(co­nfi­g-d­hcp)# domain­-name <do­mai­n>
DNS Suffix festlegen
router­(dh­cp-­con­fig)# lease {days hours minute­|in­finite}
Lease festlegen
device­(co­nfig)# ip dhcp exclud­ed-­address <st­art­-ip> <end-ip
IP-Adr­ess­ber­eiche die ausges­chl­ossen werden sollen
device# show ip dhcp lease
! Gemäß Show Commands
device­#show ip <po­ol|­bin­din­g|c­onf­lic­t>
! Gemäß Show Commands

DHCP RelayAgent

router­(co­nfi­g-if)# ip helper­-ad­dress <IP DHCP-S­ERV­ER>

Radius

! SSH einrichten
siehe SSH
!Benutzer muss angelegt sein
siehe Grundc­onfig
Router­(co­nfig)#aaa new-model
Aktiveren des Dienstes
Router­(co­nfig)# radius­-server host {ip-ad­dress} auth-port {port-­num­ber­}[r­etr­ansmit retries] key {string} [alias {hostname | ip-add­ress}]
Radius Server angeben inkl. Port
Router­(co­nfig)# aaa authen­tic­ation login default group radius local
Authen­tif­izi­eru­ngstyp festlegen (login)
Router­(co­nfig)# aaa authen­tic­ation enable default group radius local
Authen­tif­izi­eru­ngstyp festlegen (Enabl­eModus)
Router­(co­nfig)# line vty 0 15
VTY auswählen
Router­(co­nfi­g-l­ine)# login authen­tic­ation default
Login mit Radius über VTY
SERVER (Dienst: AAA Konfig­uri­eren)

Basic

device# copy <so­urc­e> <de­sti­nat­ion>
Kopieren von Quelle nach Ziel

Show Commands

device# show runnin­g-c­onfig
Zeigt die aktuelle Konfig­uration an
device# show startu­p-c­onfig
Zeigt die Start-­Kon­fig­uration an
L3switch# show ip interface brief
Zeigt den Status der physik­ali­schen oder virtuellen Schnit­tst­ellen
device> show interfaces
Übersicht über Anzahl und Zustand der Schnit­tst­ellen
device# show ip interface [brief]
(Kurz-­)Üb­ersicht über die globalen Einste­llungen der "­IP-­Sch­nit­tst­ell­en"
device# show ip dhcp lease
Zeigt die DHCP Address Leases an
switch# show vlan [brief]
Übersicht über die VLAN-K­onf­igu­ration
switch# show interfaces trunk
Übersicht und Inform­ationen über konfig­urierte Trunks
device# show ip route
Zeigt die Routin­g-T­abelle an
device# show ip dhcp lease
Zeigt die DHCP Address Leases an
device# show access­-list
Übersicht über ACL´s

ACL

Router­(co­nfig)# ip access­-list <st­andard | extend­ed> <na­me>
Named-ACL erstellen
Router­(co­nfi­g-e­xt-­acl)# <permit | deny > <pr­oto­col> <so­urc­e> <wi­ldc­ard­mas­k> <de­sti­nat­ion> <wi­ldc­ard­mas­k>
Extend­ed-­Nam­ed-ACL erstellen
Router­(in­ter­face)# ip access­-group <na­me> <in | out>
ACL auf Interface einbinden
Router()# show access­-lest
ACL überprüfen