show clock // ukáže hodiny
show ? // ukáže který příkaz mohu použít potom
cr // značka pro enter
clock set čas den Měsíc(psaně) rok // nastaví čas a datum
enable // pustí privilegovaný režim
ctrl+z // jde o krok zpátky
ctrl+shift+6 // zruší probíhající příkaz
ctrl+c // break
config terminal(config t) // jsem v úrovni abych mohl nastavovat terminál
hostname // pojmenuje zařízení
enable secret // nastaví heslo na privilegovaný režim(neboli enable)
do // udělá v rezimu jinem než v privileg to co má se dělat v privileg
banner motd F(text)F // baner před prihlasením
no ip domain-lookup // vypne vyhledávání překlepů
před příkaz no // neguje příkaz
porty: pro správu (line) pro data (interface)
v config rezimu: line console 0 // přejdu do nastavení této lajny
password *heslo* // heslo na konzoli(první prihlaseni) musim byt v lajně
login // nastaví aby se musel prihlasovat
line aux 0, password *heslo, login // heslo na aux
line vty 0 15 // konfiguruju vsech 16 lajn na vty(telnet a ssh)
service password-encryption // šifrovat hesla
logging synchronous // když vám odjede řádek dopíše vám to na nový (zadává se v lajně)
show ip interface brief // zjistí interface jake jsou
interface *jaky chceme* // přepneme do if
ip adress *ip* *maska* // nastvanení ip adressy(např. ip adress 192.168.1.1/24, /24 je prefix takze 255.255.255.0)
no shutdown // zapne ten port(interface)
telnet ip adresa // pripojim se po siti na ten router(musim byt v cmd na pc)
ram má running-config // po vypnutí se smaže(by default je tam tohle)
nv-ram má startup-config // po vypnutí zůstane
copy running-config startup-config // nakopiruje ruuning do startupu(nebo zkratka wr dělá to samé)
description // popis toho interface
na switch interface vlan 1 // abych nastavil ip na switchy musim na vlan1
************doma**************
traceroute // neco jako ping, diagnostika site
ip route cilova ip jeji maska, ip nejblizsiho znameho routeru // aby fungovalo vice siti
bandwidth "podle clock rate"(když napr clock raté 250 000 tak bandwidth 250) // sirka psama
show ip route // ukaze cesty
speed // nastaví rychlost linky
ip route 0.0.0.0 0.0.0.0 next hop // nauci jakoby jakoukoliv cestu muzeme pouze na kraji routery zek tery jde ven pouze jednim smerem
ipv6 unicast-routing // povolí routing na ipv6
ipv6 prikazy od ip4 se lisi akorat ze prikaz misto ip bude ipv6
ipv6 address fe80::(tady 1 a pak dalsi router 2 atd) link local // nastavi link local adresu na routeru
sdm prefer dual.... // nastavi na switchi aby podporoval ipv6 i ipv4
media sfp // zmeni z optiky na metaliku
show mac-address-table // ukaze ken tabulku switche
*****ssh nastaveni*******
username uzivatel privilege 15(nastavi abych rovnou v privilig rezimu) secret heslo // udela uzivatele s rouvnou pravy privilegovaneho rezimu
ip shh version 2 // nastavi verzi ssh na 2
transport input ssh // vypne telnet a jen ssh bude mozne
login block-for 20 attempts 3 within 60 // blockne moznost prihlasit se po urcitou dobu kdyz nekolikrat podelame
terminal monitor // zacne vypisovta log hlasky i do ssh/telnet
exec-timeout (minuty) // kolik minut budete neaktivni pak vas vyhodi
security passwords min-length 10 // minimalni pocet pismen v hesle
******prikazy k routingu RIP*********
router rip // prejde do nastavovani rip protokolu
network (ip) // nastaví directly connected site
**********SSH****************************
config: username jmeno secret cisco
hostname jmeno
ip domain-name jmeno.com
crypto key generate rsa modulus (2048)
line vty 0 15
line: login local
transport input ssh
config: ip ssh version 2
**********zakladni konfigurace***********
* udělat descriptiony*
Router:
config: hostname jmeno
enable secret cisco
no ip domain-lookup
banner motd FNeautorizovany Pristup, odejdiF
service password-encryption
line console 0
line: password cisco
login
logging synchronous
exit
config: line vty 0 15 (nedáváme pokud dáváme ssh)
line: password cisco
login
logging synchronous
exit
config: line aux 0
line: password cisco
login
logging synchronous
exit
pak na interface ip adresy atd
***********************************************
show cdp neighbors // prikaz pro cisco zarizeni na neighbor discovery, muzu pridat detail za to
cdp run // zapne c33dp protokol
no cdp enable // vypneme cdp napr na koncovem zarizeni k provideru
show lldp neighbors // prikaz pro neighbour discovery, kdyz pridam za to details vydim i jejich ip adresy
*********************RIP KONFIGURACE***********************
router rip // prejdem do nastevani ripu
network ip adresa // dame pripojene ip adresy k routeru
version 2 // prepnem na rip v2 (umí vlsm, takze umí nejen a,b,c)
no auto-summary // doporucuje se delat, je to automaticka sumarizace na hrane ip tříd
passive interface // nastavime na interface kde nechceme posílat ani poslouchat
redistribute static // redistribuje vsechny statciky routy do ripu
default-information originate // redistribuje defaultu do ripu
*********rip ipv6 routing****************
ipv6 unicast-routing
ipv6 router rip (nazev)
*****pak na interface toho co chceme routovat*****
ipv6 rip (nazev) enable
ipv6 rip (nazev) default-information originate // pokud chceme šířít defaultu
------------------------------------------------------
copy tftp flash: // po pripojeni k serveru lze stahnout ios pomoci tohoto
boot system (nazev toho iosu) // aby se nam nabootoval novy ios
vlan (cislo) // vytvori vlan
interface vlan(cislo) // udela svi
switchport access vlan (čislo) // na interface portu dame toto aby jsme prepli na jiny vlan
switchport mode access // nastavení jen na koncových portech(k PC)
switchport port-security // port security
switchport port-security maximum 1 // max pocet naucenych mac adres na portu (default)
switchport port-security mac-address (mac adresa) // nastaví na port danou mac adresu a zadna ´jina nepujde
switchport port-security mac-address sticky // nastavime že prvni ktera zacne komunikovat se prilepi a zapise do running configu
switchport trunk native vlan (cislo) // nastaveni pro trunking
switchport port-security violation ? // mame na vyber ze 3 typu(protect,restrict,shutdown)
switchport trunk encapsulation dot1q // dáme pokud nechce nam povolit trunk
show interface trunk
switchport trunk allowed vlan (cisla vlan) // povolime pouze nejake vlany na trunku(musime z obou stran)
switchport nonegotiate // vypne DTP(na trunk linkach a access bodech)
show int trunk // ukaze nám trunky
******************více vlan pres jeden kabel routeru, trunk na port switche k routeru**********************
na interface jenom no shutdown
pak interface gig 0/0/0.(cislo vlan) // vytvori sub interface
encapsulation dot1q (cislo vlan) // pak na sub int musime zadat aby jsme mohli dat ip adresu
encapsulation dot1q (cislo vlan) native // kdyz dame za cislo vlan NATIVE tak bude na router nativní
a pak dáme ip adresu
***********osetreni neaktivnivh portu***************
vytvorit karanteni vlan
vsechny porty do ni
a vsechny porty down
***************************L3 switch misto routeru na inter vlan routing******************************
ip routing // NA L3 Switchy v configu, jinak nebude routovat
a misto sub interface dame na vlan SVI a tam ip adresy
no switchport // na l3 switchy muzeme dat aby fungoval jako port na routeru
***************************************zabezpeceni rip na interface musí být na obou stranách aby fungovalo(v packet traceru to nejde)***************************************************************
key chain (nazev)
key (číslo)
key-string (heslo) // heslo musí být stejné na obou stranách(routrech)
ip rip authentication mode md5
ip rip authentication key-chain (nazev toho key)
*****************************DHCP NA ROUTERU**********************************************************************
ip dhcp excluded-address (ip adresa) - (ip adresa) // rozsah ip adres ktere dhcp vynechá
service dhcp // zapne dhcp (default zapnuto)
ip dhcp pool (jmeno) // vytvori se nám dhcp pool
network (ip adresa site) (maska) // rozsah ip adres pro dhcp
default-router (ip adresa gateway) // nastaví gateway
dns-server (ip adresa dns) // nastaví dns
domain-name (jmeno domeny) // nastaví doménu
********************na druhém routeru kde chceme taky dhcp z jiné sítě***********************************************
ip helper-address (ip adresa dhcp na stejné lince) // musíme nastavit aby jsme dostali dhcp z jiné sítě,nastavujeme na int který je pro to zařízení gateway(napr na routing on the stick musime dat na sub. interface)
*********************************dhcp v6**************************************************
pro zapnutí slaac musíme na int dát ipv6 adresu, link local adresu a pak zapnout ipv6 unicast-routing(bude fungovat autoconfig)
pro stateless plus od dhcp musíme na daném interface dát(interface kde je pripojene pc nebo switch, gateway)
ipv6 nd other-config-flag // zapnem na int
****vytvoření dhcpv6 pro dodatek info pro stateless***
ipv6 dhcp pool (jmeno) // vytvori dhcpv6 pool
dns-server (adresa v6)
domain-name (jmeno) //
pak na interface musime pridat ten pool
ipv6 nd other-config-flag // potrebne pro slaac plus stateless
ipv6 dhcp server (jmeno polu) // musime na interface kde je ten pc zapnout aby fungovalo
***statefull dhcp**(nejde v packet traceru)
ipv6 nd managed-config-flag
ipv6 dhcp relay destination (ipv6 adresa toho dhcp)
***********************************************************************************
show spanning tree
spanning-tree vlan (cislo) priority (cislo) // nastavime na switchy aby byl root bridge pro danou vlanu, cim mensi to priority tim pak bude root
spanning-tree portfast // pouze pro jednoho hosta
bpguard // kdyz se pripoji neco jineho nez pc tak shutdown
spanning-tree portfast bpguard // bpguard pro portfast
spanning-tree vlan (cislo) root (primary/secondary) // na jeden switch dame primary a na sekundarni dame secondary
spanning-tree mode rapid-pvst // prepne na druhy rychlejsi mod
********************etherchannel**********************************************************
int range (porty) // zvolíme porty které chceme to ether channelu
channel-group (cislo portchannelu) mode (auto,desirable) // vytvori etherchannel pagp mode (cisco mode)(na jedny straně auto, na druhý desirable)
interface port-channel (cislo portchannelu) // zde nastavuji vsechnu konfiguraci etherchannelu
channel-group (cislo portchannelu) mode (active, passive) // etherchannel pro lacp (pouzivame toto)(muze byt na obou stranách active)
show etherchannel summary
********************hsrp*************************
KOnfigurujeme na interface který dělé gateway
standby version 2
standby (cislo skupiny,podle vlany) ip (ip adresa virtual routeru) // nastavime na routeru, musí být na obou routerech stejný
standby (cislo skupiny podle vlany) preempt // když nastavíme tak automaticky router s největší prioritou se stane active
standy (cislo skupiny) priority (cislo) // čím větší priority tím bude on active
standby (cislo skupiny) track (port) (o kolik chceme aby sla priority dolu) // když spadne port sníží prioritu
*******************dhcp snooping*****************
ip dhcp snooping // zapneme snooping
ip dhcp snooping vlan (cislo) // zapneme pro vlany
ip dhcp snooping trust // na portu který chceme mít trusted
no ip dhcp snooping information option // dáme v globálu aby se neposílala optiona
show ip dchp snooping (bindings)
*********************dynamic arp inspection*********************************
musí být funkční dhcp snooping
ip arp inspection vlan (vlan cislo) // v globálu, povolím na urcitich vlanech
ip arp inspection validate ip dst-mac src-mac // v globálu povolim overovani , ip dst-mac a src-mac
ip arp inspection trust // na uplink portech, povolim aby nic neresil
*********************source guard***********************
ip verify source // na int kde to chceme, hlída veskery dalsi provoz, nejde v paket
*******************overeni uzivatele o server******************
AAA new-model // dame v configu
potřebujeme základního uživatele
radius-server host (ip adresa serveru) auth-port (radius port serveru)
radius-server key (heslo pro komunikaci se serverem, zadávali jsme na serveru)
AAA authen login default group radius local
login authentication default // dáme na line vty
******************single area ospf*****************
router ospf (id musi byt stejne v jednom ospf) // vytvorime ospf
router-id (ip adresa jako id) // např 1.1.1.1
passive-interface // zakaze posilani aktualizaci
ip ospf network point-to-point // nastavime na int ze linka je poin to point
network (sít) (maska ale inverzní tzv wilcarda ,maska 255.255.255.0 tak wildcard 0.0.0.255) area (číslo area) // area páteřní která spojuje ostatní je 0
default-information originate // šíří defaultu
ip ospf priority (1-255) // nastavime aby byl DR a BDR cim vetsi tim bude DR
auto-cost refereced bandwith // zmenime refecenced bandwith podle který se počítá cost cest referencedBW(default 100 MB)/bandwith
clear ip ospf process // restartuje ospf
int (cislo int) pan na int muzeme menit rucne costy
ip ospf cost (cost) // zmeni cost rucne
ip ospf hello-interval timer (sekundy) //
ip ospf dead-interval (4x vetsi nez hello) //
ip ospf priority (cislo) // nastavime na interface aby byl router DR(preposilal cesty osotatnim)
****** *******overeni posilani aktualizaci***********
area 0 authentication message-digest // zapneme obecne
pak na int
ip ospf message-digest-key 1 md5 cisco // cislo key pak zpusob a pak klic (na vsech routerech stejny v jedne area)
*********kombinace rip a ospf**********************************
na hranicnim routeru kde bezi ospf i rip
router rip
redistribude ospf (id ospf) metric (5) // hází do ripu vsechny ospf
router ospf (id)
redistribute rip metric 100 subnets // hazi rip do ospf
default-infromation originate // zacne haze defaultu z ripu do ospf
*************************DNS***********************************
pro nastaveni dns
ip dns server // zapne dns
ip name-server (ip) // nastavime adresu dns
**********************multiarea-ospf**************************
akorát u networku dáme místo area 0 jiné číslo area
každá area musí být spojena s páteřní 0
***sumarizace internich adres********
konfigurujeme na ABR (are border router)
area (interní oblast) range (síť) (maska) // dáváme v router ospf
***sumarizace do externich siti napr. do ripu atd********
konfigurujeme na ASBR (router do externi linky)
summary-address (síť) (maska) // dáváme v router ospf
**************oblasti ospf(stub,NSSA)********
na router ospf
area (cislo) (nazvev napr. stub) // pokud chceme totally stub tak dáme za ten príkaz no-summary
*******ospfv3*******************************
1 Enter global configuration mode R1# configure terminal
2 Enable device IPv6 unicast forwarding R1(config)# ipv6 unicast-routing
3 Enter interface configuration mode R1(config)# interface f0/0
4 Configure the IPv6 interface R1(config-if)# ipv6 address 2050::1/64
5 Enable OSPFv3 on the interface R1(config-if)# ipv6 ospf 10 area 0
6 Enter OSPFv3 configuration modeNote: This is a global configuration command R1(config-if)# ipv6 router ospf 10
7 Configure the OSPFv3 router-ID R1(config-router)# router-id 1.1.1.1
Move to R2
****************ACL*********************
cislovany access listy - standard
access-list (cislo) (deny/any/permit) (můžeme host když chceme jedno pc) (ipadd) (wildcard)
na int aplikujeme
ip access-group (cislo) (out/in)
jmenovany access listy - standard
ip access-list standard (jmeno)
pak už příkazy
permit (ip) (wildcard)
Pokud chceme zakázat telnet/ssh se standard access listama tak aplikovat na line vty
access-class (jmeno)
********************ACL IPV6************************
ipv6 access-list (jmeno) // u ipv6 lze jen extended pojmenovany listy
na konec acl musíme dát permit icmp any any nd-a a permit icmp any any nd-s a pak až deny ip any any // u ipv6 je toho na konci více
na int pak ipv6 traffic-filter (jmeno) (kam) // u ipv6 je to traffic filter

*************NAT**************
****statický nat
ip nat inside source // základní prikaz pro vsechny prikazy na nat
ip nat inside source static (vnitrni ip) (venkovni ip) // staticky nat pro preklad vnitrni ip na venkovni ip
ip nat inside // nastavime na int ktery je inside k (lan)
ip nat outside // nastvaime na int ktery je outside k (inet,provider)
ip nat inside source static (tcp/udp) (ip inside) (port inside napr. 443) (ip outside) (port outside, nemusi byt 443 muze byt 10443) // vytahne do verejka jen dany port ip adresy
****dynamický nat
ip nat inside source list (cislo) pool (nazev) // vytvorime dynamicky nat
ip nat pool (nazev) (prvni adresa) (posledni adresa) netmask (maska) // vytvorime pool adres
access-list (cislo) permit (ip) (maska) // vytvorime accesslist pro dynamicky nat
****PAT
akorat pridame k dynamickymu slovicko overload nebo muzeme misto pool dat interface na ktery se to bude prekladat
************tunel ipv4 na ipv6************
int tunnel1
ipv6 adress
tunel source (int)
tunnel destination (ip v4)
tunnel mode ipv6ip
*********zaloha switche na tftp*******
copy running-config tftp
adresa tftp serveru
jde to i naopak je zmenime poradi
**************gre tunel**************
int tunnell // vytvorime tunnell
ip adresu // budto 4 nebo 6
tunnell source (interface)
tunnell destination (ip adresa portu na lince k druhemu routeru)
tunnell mode gre ip // nastavime mode na gre
*******ip sec vpn**********************
**IKE1 FÁZE****
crypto isakmp policy (cislo) // vstupujeme do int isakmp politiky a tady ji konfigurujeme
authentication pre-share // nastavime zpusob overeni
encryption aes 256 // nastavime sifrovani
hash sha // nastavime hash
group 5 // diffie hellman skupina pro vymenu klicu
lifetime (cas v sekund) // po jake dobe neaktivity se schodi
***vyskočíme z politiky***
crypto isakmp key (text klice) address (adresa protejsku se kterym se spojujeme) // vygenerovani klice
**IKE2 FÁZE**
crypto ipsec transform-set (jmeno) esp-aes 256 esp-sha-hmac
crypto map VPN_MAP (cislo) ipsec-isakmp // vstoupime do konf rezimu crypto mapy
set peer (ip protejsku)
set transform-set (jmeno ransfomr setu co jsme vytvorili)
match address (cislo acl listu)
access-list (cislo) permit (moje priv ip) (jeho priv ip) // vytvorime acl pro vpn
crypro map (jmeno mapy) // aplikujeme na int ven
***********ntp***************
ntp server (ip serveru) // dáme pro pripojeni na ntp server
ntp master (stratum lvl) // nastavime stratum lvl
**********syslog******************
service timestamps log datetime msec // nastavime logovani datum a cas
logging on // zapneme
logging host (ip) // kam chceme loggovat
logging trap debugging
*******zaloha konfigu***********
copy running tft:
******boot jineho ios*****************
boot system (jmeno ios) // nastavi aby pri reloadu nabootoval z daneho ios