Cisco, podrobný návod základního nastavení.
zakázat vyhledávání
no ip domain lookup
no ip domain lookup
Základní nastavení ip na port routru
enable conf t int GigabiteEthernet 0/1 // port GigabiteEthernet 0/1 ip add [adresa] [maska] // přidělení adresy no sh // zapnutí portu
Statické routování
// ip route [síť] [maska] [nejbližší port přes který půjde (od dalšího routeru IP ADRESA)] ip route 192.168.10.1 255.255.255.0 192.168.1.50 ipv6 route [jaka sit] [kam ji poslat] ipv6 route 2001:DB8::/32 gigabitethernet1/0/0 ipv6 route 2001:DB8::/32 2001:DB8:3000:1
Loopback
int lo0 ip add [ip] [mask] no sh exit //statická routa ip route 0.0.0.0 0.0.0.0 lo0
RIP v2
router rip version 2 no auto-summary network [ip] - bez masky // na výchozí bránu passive-interface [internface] //když nastavím statiku do internetu tak ještě redistibude static exit //pokud chceme aby Lo0 odpovídal na vše tak ip route 0.0.0.0 0.0.0.0 lo0 router rip default-interface originate exit
OSPF routování
// musí být pro IPv6
ipv6 unicast-routing
//nastavení na každý routr
conf t
// možnost A -> na jendu kupu
router ospf 1 // router ospf [indetifikátor pro danou síť (číslo)] ->vetsinou 1
// přidat všechny site ktere jsou do routru vcetne spojovacek
network 192.168.0.0 0.0.0.255 area 0 // network [ip sítě] [inverzní maska (opačná)] area [číslo oblasti]
ipv6 router ospf 1
network203:sdfasdf::/64
// možnost B -> lepsi zadavat OSPF na interface
interface g0/0
ip address 10.0.0.1 255.xxx.xx.xx.
ipv6 address 203:sdfasdf::/64
ip ospf 1 area 0 // ospf sireni pro ipv4
ipv6 ospf 1 area 0 // ospg sireni pro ipv6
//na nat routru nastavit routu do světa
//to stejné i pro ipv6
router ospf 1
passive-interface fa0/1 // interface který jde do internetu
default-information originate // výchozí brána do světa
// staticka routa do světa
ip route 0.0.0.0 0.0.0.0 213.155.225.1 // poslední ip je ip stroje v internetu
DHCP
// nastavit dhcp pro každou síť zvlašť (rozsah1 = pojmenování) ip dhcp pool rozsah1 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 // router který je nejblíže sítě domain-name example.com dns-server 192.168.20.2 // nemusí být např. rozsah 2 ip dhcp pool rozsah2 network 192.168.20.0 255.255.255.0 default-router 192.168.20.1 // router který je nejblíže sítě dns-server 192.168.20.2 // nemusí být Adresy které nechceme přidělovat (= port na routru) ip dhcp excluded-address 192.168.10.0 192.168.10.100 // address [počáteční adresa] [koncová adresa] ip dhcp excluded-address 192.168.20.0 192.168.20.20 // používá se když dhcp server není v místní síťi a jde to před jeden router vedle ip helper-address [ip adresa dhcp routru] show ip dhcp pool show ip dhcp binding //nastavení dhcp na linuxu sudo dhclient eth1 sudo dhclient -r // odstranění clienta !!! většinou chybí default GW - musí se dodat route -n //reboot dhcp windows ifconfig /relase ifconfig /renew
nastavit na routru do site kde se budou přidělovat
ip helper-address 192.168.10.1
NAT1:1 NAT
ip nat insite source static [local ip] [natting ip]
int g0/0/0
ip nat insite
int g0/0/1
ip nat outsite
M:N NAT
ip nat pool [name] [ip od] [ip do] network [maska]
access-list 1 permit [network] [wildecard] // odkud se to má překládat
ip nat inside source list 1 pool [name]
na routru:
//port vnější nastavit:
interface FastEthernet0/0
ip address 213.155.225.1 255.255.255.0
ip nat outside
// port vnitřní nastavit:
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
ip nat inside
//nastavení výstupního portu do internetu
ip nat inside source list 1 interface FastEthernet0/0 overload
//adresa celé sítě - určení jaký rozsah se bude směrovat
access-list 1 permit 192.168.10.0 0.0.0.255
>stara verze dole
NAT
NAT1:1 NATip nat insite source static [local ip] [natting ip]
int g0/0/0
ip nat insite
int g0/0/1
ip nat outsite
M:N NAT
ip nat pool [name] [ip od] [ip do] network [maska]
access-list 1 permit [network] [wildecard] // odkud se to má překládatip nat
inside source list 1 pool [name]
na routru: //port vnější nastavit: interface FastEthernet0/0 ip address 213.155.225.1 255.255.255.0 ip nat outside // port vnitřní nastavit: interface FastEthernet0/1 ip address 192.168.10.1 255.255.255.0 ip nat inside //nastavení výstupního portu do internetu ip nat inside source list 1 interface FastEthernet0/0 overload //adresa celé sítě - určení jaký rozsah se bude směrovat access-list 1 permit 192.168.10.0 0.0.0.255
forward port:
ip nat inside source static tcp [cilova adresa] [cilovy port] [zdrojova adresa] [zdrojovy port]
vlan na switch
conf t //vytvořit velany vlan 10 int vlan 10 // zapnutí vlanu ip add [ip] [mask] exit //na každém portu vlanu int fa0/1 switchport mode acces switchport acces vlan 10 //pro více portu na jednou int range fa0/1-5 //nastavení mezi switchi na port mezi switchi nastavit oba vlany int fa0/3 switchport mode trunk
Router On the stick
configure terminal interface fastEthernet 0/1.10 //vytvoření subinterface encapsulation dot1Q 10 //přiřazení čísla VLANy danému sub-portu ip address 192.168.10.1 255.255.255.0 no shutdown exit interface fastEthernet 0/1.20 //vytvoření subinterface encapsulation dot1Q 20 //přiřazení čísla VLANy danému sub-portu ip address 192.168.20.1 255.255.255.0 no shutdown exit interface fastEthernet 0/1 no shutdown
LACP:
//na jednom switchi int fa0/1 channel-group 1 mode active int fa0/4 channel-group 1 mode active int port-channel 1 switchport mode trunk // na druhem switchi int fa0/1 channel-group 1 mode passive int fa0/4 channel-group 1 mode passive int port-channel 1 switchport mode trunk
ssh na router:
// nastavení jsmena a hesla hostname testip
domain-name sspu-opava.cz crypto key generate rsa # napsat 2048 username cnap password cisco line vty 0 5 login local transport input ssh exit ip ssh version 2 enable pass cisco ip access-list standard SSH_ACCESS permit 172.30.16.128 0.0.0.63
// nastavení jsmena a hesla username admin password cisco line vty 0 15 login local transport input ssh access-class SSH_ACCESS in exit hostname test ip domain-name sspu-opava.cz ip ssh version 2 crypto key generate rsa # napsat 2048 # zaheslovat cisco localnim uzivatelem line console 0 login local exit # zaheslovat cisco enable enable secret cisco ip access-list standard SSH_ACCESS permit 172.30.16.128 0.0.0.63
zaheslování
line vty 0 15 // zahrnutí služeb (jejich lvl) // enable, conf t atd login local enable password admin // heslo na enable enable secret itsasecret // heslo, které je v enable, a pak funguje vše service password-encryption // hesla budou zasifrované v nastavení
troubleshooting
show interfaces show running congig show mac-address-table show history sh ip int brief
show ip nat tranclation
show ip nat statiscic
clear ip nat statictic
LINUX nastavení ip
# linux debugg mii-tool #nastavení ip na interface ifconfig eth1 192.168.2.1 netmask 255.255.255.0 up #nastavení GW route add default gw 192.168.2.2 eth1 #vypsani IPtables iptables -S #vymazani iptables iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -t nat -F iptables -t mangle -F iptables -F iptables -X
acl
// zalozit novy
ip access-list standard [nazev casesensitive]
permit 192.168.1.0 0.0.0.255
//dat na interface
ip access-group [nazev] in
access-list 20 permit 192.168.0.0 0.0.0.255 // přidání zaznamu do access20
access-list 20 permit any
//smazat
no access-list 20
// smazat prvek
ip access-list standard 20
no 10
// vše povolit
access-list 10 permit any
// alc na ssh nebo telnet
access-class 10 in
// vžd na konci všeho !! - všechno zakaz
access-list 10 deny any
_________
( R1 )
( )
|OUT |IN
pc1 pc2
access-list 30 deny host 192.168.2.2
access-list 30 permit any
in zameti komunikaci uplně všude
out zameti přistup pro pc2 do pc1
ACL – vsb
ip access-list extended odchozi remark vlanA muze na TELNET permint tcp 96.192.48.0 0.0.0.255 30.0.0.11 eq 23 remark bod2 remark vlanA nesmi na www deny tcp 96.192.48.0 0.0.0.255 30.0.0.10 eq 80 deny tcp 96.192.48.0 0.0.0.255 30.0.0.10 eq 443 remark cela sit muze na www permit tcp any any eq 80 permit tcp any any eq 443 remark bod3 remark dotazy smerem ven permit udp any any eq 53 permit tcp any any eq 53 remark DNS co jdou do vnit siťě povolit pouze z DNS permit udp any host 96.192.49.132 eq 53 permit tcp any host 96.192.49.132 eq 53 remark bod4 permit icmp any any echo ip access-list extended prichozi remark vlanA muze na TELNET odpoved permint tcp host 30.0.0.11 96.192.48.0 0.0.0.255 eq 23 remark cela sit muze na www permit tcp any eq 80 any established permit tcp any eq 443 any established remark odpovedi na dotazy smerem ven permit udp any eq 53 any established permit tcp any eq 53 any established remark DNS co jdou do vnit siťě povolit pouze z DNS permit udp host 96.192.49.132 any eq 53 permit tcp host 96.192.49.132 any eq 53 remark bod4 permit icmp any any echo-reply permit icmp host 30.0.0.12 any echo remark bod5 ANTISPOOF deny ip 96.192.48.0 0.0.7.255 any deny ip 10.172.109.64 0.0.0.26 any int g0/2 ip access-group odchozi out ip access-group prichozi in
enable
configure terminal
no ip domain-lookup
hostname Central
service password-encryption
enable pass cisco
line console 0
login local
exit
ip domain-name hlousek.com
username cnap password cisco
crypto key generate rsa
yes
1024
ip ssh version 2
line vty 0 15
transport input ssh
login local
exit
interface gigabitEthernet 0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
description Local-1
int s0/0/0
ip address 10.1.1.1 255.255.255.252
no shutdown
description Connection-to-Local
exit
interface g0/0.5
encapsulation dot1Q 5
ip address 192.168.1.1 255.255.255.240
interface g0/0.10
encapsulation dot1Q 10
ip address 192.168.1.17 255.255.255.240
interface g0/0.15
encapsulation dot1Q 15
ip address 192.168.1.33 255.255.255.240
interface g0/0.50
encapsulation dot1Q 50
ip address 192.168.1.49 255.255.255.240
exit
int g0/0
no sh
no shutdown
exit
ip access-list standard block15
deny 192.168.1.32 0.0.0.15
permit any
line vty 0 4
access-class block15 in
int g0/0.10
ip access-group block15 out
exit
Router rip
version 2
no auto-summary
network 10.1.1.0
network 192.168.1.0
network 192.168.1.16
network 192.168.1.32
network 192.168.1.48
network 192.168.2.0
passive-interface g0/0.5
passive-interface g0/0.10
passive-interface g0/0.15
passive-interface g0/0.50
passive-interface g0/0
passive-interface g0/1
exitipv6
ipv6 unicast-routing - zapnutí DHCP ipv6 address 2001:db8:0:0::1/64 do sh ipv6 route do sh ipv6 in br
SPANING TREE
default interface gi 0/24 // smazání nastavení sh span // dole v tabulce je cost jen jako cena toho portu ... cena k rootu je v tom výpisu u root span vlan 1 priority // priorita switche // zdražení linky interface g0/24 spanning-tree cost 100
SPANINGTREE MST
spaning-tree mode mst spanning-tree mst configurate name matej instance 0 vlan 1 revision 1 spanning-tree vlan 1 priority 16384 // druhy switch spanning-tree vlan 1 priority 8192 // treti switch https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/CLIConfigurationGuide/MST.html
Konfigurace MSTP
Implicitní nastavení MSTP
|
Specifikace MST regionu, konfigurace a povolení MSTP
|
Konfigurace priority přepínače
|
Konfigurace Root přepínače
|
Nastavení Path Cost (ceny linek)
|
Zobrazení MST konfigurace
|