en – привилегированный
режим
conf t – режим конфига
do wr mem –
записать изменения
int ? – справка
по команде
exit – выход из
предыдущего режима
hostname CORE – задать имя устройства
Заведение пользователей
username vasya privilege 0 password blabla –
пользователь vasya без прав с
паролем blabla
no username pupkin – удалить пользователя pupkin
show run | inc username -
просмотр заведенных пользователей
show sessions –
просмотр активных пользователей
show run | inc ivanov – проверить есть ли конкретный
пользователь
Настройка порта
sh mac address-table | in xxxx - поиск порта по MAC-адресу устройства
sh mac address-table int Gi1/0/30 – вывод MAC-адресов на порту
sh ip arp | i 5254.0028.6a01 – вывод IP по известному MAC-адресу
conf t - переходим в режим конфигурирования
do sh run int gi1/0/30 – просмотр существующих настроек
int gi1/0/30 – конфигурирование конкретного порта
description blabla – добавить описание
switchport access vlan 110 - присвоение vlan`a порту
no switchport access vlan 110 - удаление vlan`a на порту
switchport mode access -
изменение режима работы порта на клиентский
switchport trunk encapsulation dot1q – тип инкапсуляции
для порта trunk, присваивается заранее
switchport mode trunk - присвоение транка порту (передает
теги VLAN)
clear port-security dynamic – очистить порт секьюрити
sh - выключаем
порт
no sh - включаем порт
int range Gi1/0/4 – 11 – выбор
диапазона портов для дальнейшей настройки
exit - выход из
конфигурирования порта
do sh run int gi1/0/30 - проверяем настройки порта
sh int status -
список портов: description, vlan, статус, скорость, дуплекс
ACL
en
conf t
do sh ip access-list – просмотр всех ACL
ip access-list extended XXXX - конфигурирование конкретного ACL
remark main network to bank network – комментарий, пишется перед написанием
самого правила
50 permit tcp 192.168.0.0
0.0.0.255 host 192.168.0.1 eq 443 – добавить правило
разрешения
60 deny tcp 192.168.0.0
0.0.0.255 host 192.168.0.1 eq 80 – добавить правило
запрещения
no 40 – удалить
правило номер 40
sh running-config –
просмотр всего конфига, c remark комментариями
Сброс туннеля
clear crypto isakmp
или
clear crypto sa peer «ip пира»
Проверить работу
туннелей
show cdp neighbors
DHCP
Просмотр выданных
адресов на интерфейсе vlan1
sh ip dhcp bind
| inc Vlan1
Кто подключен к cisco
(в том числе vpn сессии и консольные)
who
История сообщений
sh arch log config all
Измерить длину кабеля
Посмотреть длину
кабеля
sh cable-diagnostics tdr int Gi1/0/25
если никогда не
проверялось, будет сообщение
% TDR test was never run on Gi1/0/25
Тогда запустим тест
test cable-diagnostics tdr int Gi1/0/25
далее еще раз смотрим
результат теста
sh cable-diagnostics tdr int Gi1/0/25
STP
sh spanning-tree
spanning-tree bpdufilter enable – блокирует служебные сообщения STP BPDU
spanning-tree bpduguard enable – примерно то же самое, это все для
предотвращения попыток «левых» свитчей стать корневым в STP-топологии
Загрузка CPU
sh proc cpu hist
Переключение маршрутов:
conf t
route-map MAIN_ROUTEMAP permit 30
no set ip next-hop 1.1.1.1
set ip next-hop 2.2.2.2
Информация по модели и серийнику и SFP
sh inv
Пример настройки cisco:
conf t
clock timezone MSK 3 – ставим часовой пояс +3
exit
clock set 17:50:00 15 Feb 2017 – устанавливаем время
conf t
hostname switch-03 – имя хоста
ip domain-name company.local –имя домена
(можно указать любое), требование для SSH
ip name-server 192.168.0.1 – имя DNS -сервера
service password-encryption – шифрует текущие и будущие пароли в startup-config, шифрование НЕНАДЕЖНОЕ легко взламывается
username admin privilege 15 secret 123QWEasd$ – заводим юзера с максимальными правами
enable secret 123QWEasd$ – ставим пароль режима enable
aaa new-model – включаем
расширенную модель аутентификации, в данном случае чтобы заработал пароль ENABLE
aaa authentication login default local
enable – активируем запрос пароля ENABLE
crypto key generate rsa – генерируем ключ для SSH размером 2048 байт
2048
line vty 0 15 – настройка виртуальных линий от 0 до
15 (всего 16 шт), значит 16 одновременных сессий
login authentication default –
способ аутентификации для виртуальных линий
logging synchronous – не выводит системные сообщения в момент вывода
команды SHOW
transport input ssh – жестко
разрешает подключаться только по SSH
line con 0 – все то же самое только для консольной
линии
exec-timeout 10 0 – время сессии, после которой
будет дисконнект, в минутах, - 10 минут
login authentication default
logging synchronous
exec-timeout 10 0
interface vlan 1 – виртуальный интерфейс, принадлежащий
1-му VLAN
ip address 192.168.0.10 255.255.255.0 – ip и маска
no shutdown – включаем интерфейс
ip default-gateway 192.168.0.5 – шлюз по умолчанию
spanning-tree mode rapid-pvst – быстрый режим STP (меньшее время корвенгенции), STP – протокол устраняющий петли в сети
no ip http server – гасим http сервер
no ip http secure-server – гасим https сервер
ip ftp username ftp – логин для ftp
ip ftp password 123QWEasd$ – пароль для ftp
vtp domain localVTP –
имя VTP домена (для
синхронизации VLAN’ов с главного
коммутатора)
vtp password vtp123456$ – пароль
vtp mode client –
режим клиент, в нем нельзя создавать новые VLAN
–VTP настройки не хранятся в RUN-конфиге, они хранятся на flash:vlan.dat
–посмотреть настройки VTP можно командой show vtp status, show vtp password итд
archive – бекап конфига на фтп
log config – включаем логгирование
logging enable –
изменения конфига можно посмотреть командой show archive log config all
notify syslog contenttype plaintext – настройки syslog
hidekeys – настройки syslog, по всей видимости скрывает пароли
write-memory – создание архивной копии в момент
сохранения конфига командой write
kron occurrence CopyRunFTP at 1:00
recurring – настройка расписания
policy-list BackupConfig –
ссылка на политику
!
kron policy-list BackupConfig – политика бекапа, указывает что делать
непосредственно
cli archive config –
архивирование, потом можно посмотреть и даже сравнить список архивов командой show archive
cli show archive log config all |
redirect ftp://192.168.0.89/switches/switch-03/!config_change.txt – редиректит вывод команды show
Комментариев нет:
Отправить комментарий