01-28-2023 07:13 AM
Hi there, does anyone have a cheat sheet for standards for setting up a network with iOS? Stuff like vlan's, nat, dhcp etc.
Thanks in advance
01-28-2023 07:18 AM - edited 04-03-2023 03:53 AM
https://www.cisco.com/c/en/us/td/docs/server_nw_virtual/2-5_release/command_reference/show.html
Routing table | Sh ip route |
VTP server status | Sh vtp status |
VLAN DB | Sh vlan (id <>) |
NAT translation | Sh ip nat translation |
Trunk info | Sh interfaces trunk |
Status interfaces | Sh interface |
IP interface | Sh ip interface |
Mac address | Sh mac address-table |
Config settings | Sh interfaces switchport |
RIP DB | Sh ip rip database |
Port security | Sh port security |
Syslog | Sh logging |
Spanning tree & prio | Sh spanning-tree (vlan) <> |
Ports | Sh ip interface brief |
Show startup config | Sh startup-config |
Copy running config | copy running-config startup-config |
Access list laten zien | sh access-list <> |
OSPF laten zien | sh ip ospf |
Etherchannel samenvatting | sh ethcherchannel summary |
01-28-2023 07:19 AM
CIDR | SUBNET MASK | WILDCARD MASK | # OF IP ADDRESSES | # OF USABLE IP ADDRESSES |
/32 | 255.255.255.255 | 0.0.0.0 | 1 | 1 |
/31 | 255.255.255.254 | 0.0.0.1 | 2 | 2* |
/30 | 255.255.255.252 | 0.0.0.3 | 4 | 2 |
/29 | 255.255.255.248 | 0.0.0.7 | 8 | 6 |
/28 | 255.255.255.240 | 0.0.0.15 | 16 | 14 |
/27 | 255.255.255.224 | 0.0.0.31 | 32 | 30 |
/26 | 255.255.255.192 | 0.0.0.63 | 64 | 62 |
/25 | 255.255.255.128 | 0.0.0.127 | 128 | 126 |
/24 | 255.255.255.0 | 0.0.0.255 | 256 | 254 |
/23 | 255.255.254.0 | 0.0.1.255 | 512 | 510 |
/22 | 255.255.252.0 | 0.0.3.255 | 1,024 | 1,022 |
/21 | 255.255.248.0 | 0.0.7.255 | 2,048 | 2,046 |
/20 | 255.255.240.0 | 0.0.15.255 | 4,096 | 4,094 |
/19 | 255.255.224.0 | 0.0.31.255 | 8,192 | 8,19 |
/18 | 255.255.192.0 | 0.0.63.255 | 16,384 | 16,382 |
/17 | 255.255.128.0 | 0.0.127.255 | 32,768 | 32,766 |
/16 | 255.255.0.0 | 0.0.255.255 | 65,536 | 65,534 |
/15 | 255.254.0.0 | 0.1.255.255 | 131,072 | 131,07 |
/14 | 255.252.0.0 | 0.3.255.255 | 262,144 | 262,142 |
/13 | 255.248.0.0 | 0.7.255.255 | 524,288 | 524,286 |
/12 | 255.240.0.0 | 0.15.255.255 | 1,048,576 | 1,048,574 |
/11 | 255.224.0.0 | 0.31.255.255 | 2,097,152 | 2,097,150 |
/10 | 255.192.0.0 | 0.63.255.255 | 4,194,304 | 4,194,302 |
/9 | 255.128.0.0 | 0.127.255.255 | 8,388,608 | 8,388,606 |
/8 | 255.0.0.0 | 0.255.255.255 | 16,777,216 | 16,777,214 |
/7 | 254.0.0.0 | 1.255.255.255 | 33,554,432 | 33,554,430 |
/6 | 252.0.0.0 | 3.255.255.255 | 67,108,864 | 67,108,862 |
/5 | 248.0.0.0 | 7.255.255.255 | 134,217,728 | 134,217,726 |
/4 | 240.0.0.0 | 15.255.255.255 | 268,435,456 | 268,435,454 |
/3 | 224.0.0.0 | 31.255.255.255 | 536,870,912 | 536,870,910 |
/2 | 192.0.0.0 | 63.255.255.255 | 1,073,741,824 | 1,073,741,822 |
/1 | 128.0.0.0 | 127.255.255.255 | 2,147,483,648 | 2,147,483,646 |
/0 | 0.0.0.0 | 255.255.255.255 | 4,294,967,296 | 4,294,967,294 |
This might also help
01-28-2023 07:24 AM
you can find some cheatsheet here : (or you learning, good to make own cheatsheet for reference, some commands required your life time use in real environment so often)
01-28-2023 07:32 AM - edited 04-02-2023 03:28 AM
Static routering voorbeeld
router1:
Eth0 = 172.16.01
Eth0/0 = 192.168.0.1
Router2
Eth0 = 172.17.0.1
Eth0/0 = 192.168.0.2
Als een apparaat van 172.17.0.0 wil communiceren met 172.16.0.0 moet voor routering de next hop niet 172.17.0.0 ingevuld worden maar juist 192.168.0.2. Kies dus niet de eth adrr van het netwerk waar je heen wilt maar de andere eth addr. Voor network het netwerk waar je heen wilt en de mask de subnet mask.
Je kan ook wel zeggen dat wanneer je naar netwerk x wil komen die achter de router ligt en je eerst over netwerk y moet komen en dat ip addr van de router van netwerk y moet invoeren als next hop om door te kunnen naar netwerk x.
---------------------------------------------------------------------------------------------------------------
DHCP pool CLI (router) (99, 102)
1. Ip dhcp pool <name>
2. Network 192.168.x.x 255.x.x.x
3. Default-router 192.168.x.x
4. dns-server 180.115.0.6
5. Ip dhcp excluded-address 192.168.0.1 192.168.0.49 #ip adres start dus bij 50
Routers stoppen broadcast messages (dus ook dhcp berichten) maar als een apparaat achter een router staat kan je het commando 'ip helper-address <ip server>' gebruiken. Dit moet je doen met beide interfaces op hetzelfde ip, dit heet een dhcp relay-agent
---------------------------------------------------------------------------------------------------------------
NAT CLI (router) (106, 108, 109, 114)
1. Interface gigabitethernet<ingaand>
2. Ip address 10.x.x.x 255.x.x.x
3. Ip nat inside
1. Interface gigabitethernet<uitgaand>
2. Ip address dhcp
3. Ip nat outside
4. Access-list 1 permit any
5. Ip nat inside source list 1 int g<uitgaand> overload
Static nat (114)
1. Ip nat inside source static 10.x.x.1 88.x.x.x.1
2. Ip nat inside source static 10.x.x.2 88.x.x.x.2
---------------------------------------------------------------------------------------------------------------
Vlan CLI MLS (122, 128, 129)
#ALTIJD IP ROUTING ALS EERSTE COMMAND IN DE MLS ZETTEN#
1. Hostname MLS
2. Ip routing
3. Vlan <>
4. Name <name>
5. #Int range fa0/1-6 (gui)
6. #Switchport access vlan <> (gui)
7. Exit
8. Int vlan <>
9. Ip address 192.168.100.1 255.255.255.0
Range ports op vlan zetten
int range fa 0/1-10
switchport access vlan 10
---------------------------------------------------------------------------------------------------------------
Beperk trunkverkeer (141)
Whitelist voor trunk vlans
1. Int gigabitethernet 0/1
2. Switchport trunk allowed vlan 1,2,3,4,5
Een trunk is nodig als er meerder virtuale interfaces gemaakt worden (vlan's).
---------------------------------------------------------------------------------------------------------------
VTP CLI (switch) (136)
1. Vtp domain <name.local>
2. Vtp mode server/client
---------------------------------------------------------------------------------------------------------------
Default static route (router) (148)
1. Ip route 0.0.0.0 0.0.0.0 <R1> (R1 zit in dit voorbeeld gekoppeld aan het internet)
---------------------------------------------------------------------------------------------------------------
Switchport naar routerport (MLS) (144)
1. Int gigabitethernet 0/1
2. No switchport
3. Ip address 10.0.0.1 255.0.0.0
(Routerport word dan het ip adres van die port, vlan's kan je ook ip addressen geven terwijl ze op switchport staan door in hun interface een ip te geven (stap 8-9 van VLAN MLS))
---------------------------------------------------------------------------------------------------------------
Subnetwerk onwerpen (153)
1. Bepaal stapgrootte Stapgrootte 256: aantal subnetwerken
2. Noteer ip-subnetwerkaddressen Verhoog elke nieuw netwerkadres met de stapgrootte
3. Bepaal de maskerafwijking Maskerafwijking = 256 - stapgrootte
4. Noteer het nieuwe subnetmasker Voef de maskerafwijking toe aan het subnetmasker
1. 256 : 4 = 4 stapgrootte 64
2. 10.0.0.0
10.64.0.0
10.128.0.0
10.192.0.0
3. 256 - stapgrootte = 192
4. Subnetmasker = 255.192.0.0
Class A 1-127 1 netwerk id (10.x.x.x) 255.0.0.0
Class B 128-191 2 netwerk id (172.16.x.x) 255.255.0.0
Class C 192-223 3 netwerk id (192.168.10.x) 255.255.255.0
---------------------------------------------------------------------------------------------------------------
Switch beveiliging blokkeer bij meer dan 2 apparaten (161)
1. Int range fa0/1-24
2. Switchport mode access
3. Switchport port-security
4. Switchport port-security maximum 2
5. Switchport port-security mac-address sticky
6. Switchport port-security violation shutdown
---------------------------------------------------------------------------------------------------------------
ACL
Je hebt bij cisco, Standard ACL (1-99) of Extended ACL (100-199).
Standaard houdt in dat het dataverkeer wel of niet een interface in mag. (volledige block of niets)
Extended houdt in dat het dataverkeer wel of niet een bestemmingsnetwerk of service in mag. (deels block per bijv. service)
ACL's gebruiken geen subnetmasker maar een wildcard, een wildcard is het omgekeerde van een subnetwerk
255.255.255.255
255 . 0 . 0 . 0 - subnetmask
0 .255.255.255 wildcard
---------------------------------------------------------------------------------------------------------------
Standard ACL block (164)
Doel hiervan is dat apparaten van een bepaalde ip range (192.168.0.0) niet kan communiceren met de servers van een andere ip range (10.0.0.0) doormidel van een standaard acl block.
1. Access-list 1 deny 192.168.0.0 0.0.0.255 #blokkeer data van 192.168.0.0
2. Access-list 1 permit any #laat alle overige data door
3. Int gigabitethernet 0/0/0
4. Ip access-group 1 out #assign de access list 1 aan interface 0/0/0 zodat die 192.168.0.0 blockt
---------------------------------------------------------------------------------------------------------------
Extended ACL block v1 (168)
Doel hiervan is dat apparaten van een bepaalde ip range (192.168.0.0) niet kan communiceren met de servers van een andere ip range (10.0.0.0) doormidel van een extended acl block.
1. Access-list 100 deny ip 192.168.0.0 0.0.0.255 10.0.0.0 0.0.0.255 #block 192.168.0.0 om data te versturen naar 10.0.0.0
2. Access-list 100 permit ip 192.68.0.0 0.0.0.255 any #192.168.0.0 toelaten om wel overige data te versturen
3. Int gigabitethernet 0/0/0
4. Ip access-group 100 in #acl 100 koppelen aan interface
---------------------------------------------------------------------------------------------------------------
Extended ACL block v2 (172)
Doel hiervan is om bepaalde hosts van een netwerk te blocken zodat dat netwerk niet kan communiceren met die hosts
1. access-list 105 deny ip 172.16.0.0 0.0.255.255 host 10.0.0.5 #10.0.0.5 word gedenied van het netwerk 172.16.0.0
2. access-list 105 deny ip 172.16.0.0 0.0.255.255 host 192.168.0.5 #192.168.0.5 word gedenied van 172.16.0.0
3. access-list 105 permit ip 172.16.0.0 0.0.255.255 any #172.16.0.0 word gepermit tot alles (behalve bovenstaande)
4. Int gigabitethernet 0/0/0
5. Ip access-group 105 in #acl 105 koppelen aan interface
---------------------------------------------------------------------------------------------------------------
Extended ACL block v3 (176)
Doel hiervanis om een enkel netwerk (172.30.0.0) toegang te geven tot server 10.0.0.20 over port 80 (http) en alle andere hosts de access te blokkeren.
1. access-list 100 permit tcp 172.30.0.0 0.0.255.255 host 10.0.0.20 eq 80 #permit 172.30.0.0 om 10.0.0.20 data over p80 te sturen
2. access-list 100 deny tcp any host 10.0.0.20 eq 80 #deny any host to access 10.0.0.20 over port 80
3. access-list 100 permit ip any any #permit any ip anything
4. interface GigabitEthernet0/0/0
5. ip access-group 100 out #acl 100 koppelen aan interface
---------------------------------------------------------------------------------------------------------------
PPP point to point protocol (183)
1. Hostname Utrecht
2. Username breda password hoekdata
3. Int Serial10/1/0
4. Encapsulation ppp
5. ppp authentication chap
---------------------------------------------------------------------------------------------------------------
EIGRP routering (187)
1. Router eigrp <AS-nummer>
2. network 10.0.0.0 0.255.255.255
3. network 11.0.0.0 0.255.255.255
4. network 12.0.0.0 0.255.255.255
5. network 13.0.0.0 0.255.255.255
---------------------------------------------------------------------------------------------------------------
OSPF routering (191)
1. Router ospf 1
2. network 10.0.0.0 0.255.255.255 area 0
3. network 11.0.0.0 0.255.255.255 area 0
4. network 12.0.0.0 0.255.255.255 area 0
5. network 13.0.0.0 0.255.255.255 area 0
---------------------------------------------------------------------------------------------------------------
STP (211, 212, 219,220)
Het spanning tree protocol is nodig als je een dubbele netwerkverbinding aanlegt. Als bijv. Pc0 een broadcastbericht stuurt over het netwerk dan moet de switch1 dat op alle poorten uitzenden. Switch2 ontvangt dit bericht op beide porten en zal ze dan via de tegengestelde poorten terugsturen. Switch1 ontvangt die berichten weer en stuurt ze ook weer terug. Dit word dan een oneindige loop wat ook wel broadcast storm genoemd word. Daarom heb je stp nodig.
Switches krijgen een zogenoemde bridge priority die standaard 32678 + vlan id. De switch met de laagste bridge priority word de root bridge en alle poorten blijven actief. Alle switches die via meerdere verbindingen aan de root bridge zijn gekoppeld zullen de verbindingen blokkeren op een na.
Als de priorities hetzelfde zijn dan
1. Word de switch met de laagste mac adres de root bridge
2. De snelste port verbonden met de root brdige blijft de snelste poort actief
3. Als alle poorten dezelfde snelheid hebben zullen de poorten met het laagste mac adres in de blocking state komen
Brdige priority kan alleen in stappen van 4096 worden toegekend zoals 0, 4096, 8192, 12288
1. Spanning-tree vlan 1-1000 priority <0/4096/8192/12288/16384>
show spanning-tree vlan <vlan> (show stp info)
---------------------------------------------------------------------------------------------------------------
HSRP (225, 226, 227)
Bij HSRP is het hoogste priority nummer het apparaat dat in active mode komt te staan, het lagere nummer gaat in standby. Standaard is 100. Zorg voor een verschil van 5, dus bijv. 100 en 105. Zodra connectie wegvalt zakt de prio met 10 waardoor de andere actief word.
R1 (active)
1. Int gigabitethernet 0/0/0
2. Ip address 192.168.0.10 255.255.255.0
3. Standby 1 ip 192.168.01
4. Standby 1 priority 105
5. Standby 1 track gigabitethernet 0/0/1 #aangegeven port zodra priority verlaagd word oftewel de switch
6. Standby 1 preempt
R2 (standby)
1. Int gigabitethernet 0/0/0
2. Ip address 192.168.0.11 255.255.255.0
3. Standby 1 ip 192.168.01
4. Standby 1 priority 100
5. Standby 1 track gigabitethernet 0/0/1
6. Standby 1 preempt
---------------------------------------------------------------------------------------------------------------
Etherchannel LACP (233)
Voeg 2 gigabit ports samen met een port channel. Als beide port channels met elkaar verbonden zijn noemen we dat een etherchannel.
S1
1. Int range gigabitethernet 0/1-2
2. Channel-group 1 mode active
S2
1. Int range gigabitethernet 0/1-2
2. Channel-group 1 mode active
---------------------------------------------------------------------------------------------------------------
SSH Commands
1. En
2. Conf t
3. Hostname <>
4. ip domain-name <>
5. crypto key generate rsa
6. 1024
7. ip ssh version 2
8. username admin password/secret <> #gebruik secret voor encrypted password in startup config
9. line vty 0 4
10. transport input ssh
11. Login local
---------------------------------------------------------------------------------------------------------------
Wachtwoord op router
Gebruik console of USB van pc naar router en dan de terminal
1. Line vty 0 2
2. Password <>
3. Login
4. Exit
5. Enable secret <>
---------------------------------------------------------------------------------------------------------------
GLC-LH-SMD
Als een glasvezel kabel toegevoegd word zijn er 2 poorten actief (glasvezel en UTP) maar er kan er slechts een gebruikt worden. Doe deze command om de glasvezel aan te zetten.
1. Int gigabitethernet 0/0/0
2. media-type sfp
---------------------------------------------------------------------------------------------------------------
Routing table | Sh ip route |
VTP server status | Sh vtp status |
VLAN DB | Sh vlan (id <>) |
NAT translation | Sh ip nat translation |
Trunk info | Sh interfaces trunk |
Status interfaces | Sh interface |
IP interface | Sh ip interface |
Mac address | Sh mac address-table |
Config settings | Sh interfaces switchport |
RIP DB | Sh ip rip database |
Port security | Sh port security |
Syslog | Sh logging |
Starting config | Sh startup-config |
Spanning tree & prio | Sh spanning-tree (vlan) <> |
01-30-2023 06:40 AM
HI there,
I also have a nice cheatsheet that I use very often!
SSH
SSH Commands:
ip domain-name <domain> crypto key generate rsa <enter> (Enter bit amount) username <user> secret <SSH-Password> line vty 0 2 ( This is how much users can access at the same time ) transport input ssh password <SSH-Password> login exit # enable password <Device-Password> do wr
Unessential commands:
-- Hostname is needed to use SSH -- hostname <hostname> -- Switch / Router NEED a IP-adres -- int vlan <vlan> ip address <ip> <subnet>
Multi-Layer Switch
ip routing ( enables routing function ) interface <port> <number> no switchport ( disables switchport mode, and uses routing )
Spanning-Tree
Execute: spanning-tree vlan <vlan> root ( make this device HIGHEST priority ) spanning-tree vlan <vlan> priority <number> ( number is in bit size ) Check: show spanning-tree vlan <vlan> ( shows information regarding STP )
VLAN
Start making vlans: vlan <vlan> ( make a vlan ) name <vlan-name> ( give it a name ) " repeat process " Configure the vlans: interface vlan <vlan> ip address <gateway> <subnet> do wr ( save ) Make ports adopt the vlan: interface <interface> <number> sw access vlan <vlan> ( access vlan , via ports ) do wr ( save )
Trunking and Access
Access
A access port is for a device to use a device given access to. You can enable this with:
interface <interface> <number> switchport mode access ( makes it a access port ) # OR USE RANGE: interface range <interface> 0/1-5 ( this will choose number 1 to 5 ) # Or you can use a comma "," to select multiple.
Trunking
Trunking allows you to transfer data from switch to switch, or router to switch. This can be vlans, rules etc.
ENABLE TRUNK: interface <interface> <number> # Or use the command as above (range). switchport mode trunk ( default allows ALL vlans ) ALLOW AMOUNT OF VLANS: switchport trunk allowed vlan <vlan or all>
Virtual Trunking Protocol (VTP)
VTP makes Trunking even more easy, this uses the type of a SERVER and CLIENT. The server has the data, and the clients adopt this data.
Configuration for VTP: vtp domain <domain> # not required: vtp password <password> Make a Switch/Router/MLS VTP server: vtp domain <domain> # vtp password <password> vtp mode server Make a Switch/Router/MLS VTP client: vtp domain <domain> # vtp password <password> vtp mode client
DHCP
There are different way to use DHCP,
For example, if you got a ISP cloud, you can easily get that public IP via the modem by using:
interface <interface> <number> ( to the modem ) ip address dhcp do wr
You can enable DHCP to give the clients in vlans a IP:
ip dhcp pool <vlan> network <network-ip> <subnet> default-router <gateway> dns <dns> do wr # repeat this process for all your vlans.
And to exclude parts out of DHCP:
ip dhcp excluded-address <begin-ip> <end-ip>
DHCP in a SERVER is a whole other thing to do. This makes the DHCP be standalone, easier for the vision. I couldn’t find any benefit in it, but that’s my opinion.
Go to: Services > DHCP :
Interface <select interface> Default gateway: <gateway ip for dhcp pool (vlan)> DNS server <specify DNS server> Start ip adres <Enter-your-start-ip> Maximum numbers of users <select number of hosts using dhcp>
IN THIS CASE, We are USING a DHCP server, that is EXTERNAL!
# We need ip-helper to allow vlans to this adres to obtain a DHCP reservation interface <vlan> <number> ip helper-address <ip of DHCP server>
NAT
NAT aka Network Address Translation, is the reason that the outside can reach our specific machine pinging to that place for example.
You need to look at nas this way:
# inside outside # g0/1 g0/0 # Private Network — (ROUTER) — Public Network # 10.0.0.1 62.60.60.100
Makes sense right? Hope it does.
Here are the commands you run:
$INSIDE int <interface> <number> ( This is the INSIDE network, so 10.0.0.1 ) # Not needed, but to make sure: # ip address <dhcp OR <ip> <subnet> > ip nat inside $OUTSIDE int <interface> <number> ( This is the OUTSIDE network, so 62.60.60.100 ) # PROBABLY NEEDED! ip address dhcp ( OR <ip> <subnet> ) ip nat outside do wr exit # We will permit ANY, so everything. access-list 1 permit any $OUTSIDE # Go back to the outside interface ip nat inside source list 1 interface <interface> <number> ( THIS IS OUTSIDE )
And now it should be working.
to check, run: show ip nat translations
ACL ( Access-list )
ACL is very handy, this can allow, disallow traffic. We will use a example like a guest VLAN, This vlan should be disallowed to ping other vlans. We don’t want the guests to interrupt.
access-list <ID> deny ip <FROM ip> <FROM wildcard> <TO ip> <TO wildcard> # repeat this process for all vlans you want to deny. access-list <ID> permit ip any any # Go into the vlan interface from the vlan you are denying or permitting ip access-group <ID> in ( this enables the ACL rules for the vlan )
OSPF
OSPF is a protocol that removes you from having to route every single network each time over and over again between routing devices. Make it more easy, using OSPF.
Run this on the ROUTER connected to the PUBLIC IP (or routing source)
router ospf 1 # We use 1 in this case log-adjacency-changes network <network> <wildcard> area 0 # Area can be changed, but has different privilages default-information originate do wr
Run this on the router next to the router:
router ospf 1 # We use 1 in this case log-adjacency-changes network <network> <wildcard> area 0 # Area can eb changed, but has different privilages do wr
Show commands
Common: do show ip route do show ip nat translation show vtp status show vlan show interfaces trunk show interface (status) show ip interface show mac address-table show interfaces switchport show ip rip database show port security show logging show startup-config show arp ethernet show authentication show backplane show boot-config show bridge-forwarding show bridge-group show bridge-subnets show card show card-inventory show cdp show cdp entry show cdp neighbors show clock show config show diagnostic show diagnostic card show diagnostic chassis show diagnostic fan show diagnostic fru-error show diagnostic interface ethernet show diagnostic interface fc show diagnostic interface ib show diagnostic post show diagnostic power-supply show diagnostic rack-locator show fan show fc srp initiator show fc srp initiator-wwpn-view show fc srp it show fc srp itl show fc srp itl-statistics show fc srp lu show fc srp statistics show fc srp target show fc srp-global show host show ib dm ioc show ib dm iou show ib pm config show ib pm connection counter show ib pm connection monitor show ib pm port counter show ib pm port monitor show ib pm threshold show ib sm configuration show ib sm db-sync show ib sm sm-info show ib sm multicast show ib sm neighbor show ib sm node show ib sm partition show ib sm port show ib sm service show ib sm subscription show ib sm switch show ib sm switch-elem-route show ib sm switch-route show ib-agent channel-adapter show ib-agent summary show ib-agent switch show interface ethernet show interface fc show interface gateway show interface ib show interface mgmt-ethernet show interface mgmt-ib show interface mgmt-serial show ip show ip http show ip http server secure show location show logging show ntp show power-supply show redundancy-group show running-status show sensor show snmp show system show system-mode show system-services show terminal show trace show trunk show user show version
Trouble-shooting
Config
# Copy running config do show startup-config copy running-config startup-config
TFTP BACKUP
copy running-config TFTP <TFTP server IP> <(device)-confg>
Sync time using NTP Server
ntp server <server-ip> ntp update-calendar
Port Security
int <interface> <number> switchport mode access switchport port-security ( Enable port security ) switchport port-security mac-address sticky switchport-security violation shutdown switchport port-security maximum <maximum amount of devices> do wr
02-22-2023 12:04 PM
These are some example use cases for ACL, OSPF and NAT. ( What I think are the hardest protocols. )
ACL:
( This deny all traffic from 172.16.!10!.0 )
repeat this until you went across all vlans you dont want access to.
access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.10.0 0.0.0.255
- Since we apply to: 101
We go into the interface from vlan 60
and run the following to enable it:
ip access-group 101 in
NAT:
int gig 0/0 (outside port)
ip nat outside
int gig 0/1 ( inside port )
ip nat inside
ip nat inside source list 1 interface gig 0/0 overload
access-list 1 permit any
OSPF:
router:
router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.255.55 area 0 ( /16 wildcard on a /24 ip is a thing to do when you are lazy. )
default-information originate
MLS:
log-adjacency-changes
network 172.16.0.0 0.0.255.255 area 0
And you're all good.
04-11-2023 01:53 AM
. VLAN-data base aanmaken in DC1 (Multilayer switch).
- Pak “VLAN plan/IP plan” in Bijlage B.
- Open DC1 (Multilayer Switch) en maak vlan’s. Voor elke vlan moet je dit typen.
• Commands:
- en
- conf t
- vlan (nummer)
- name (naam van de vlan)
- ip address (ip) (subnetmask)
- do wr
- ex
-
- Doe dit voor elke VLAN die op lijst staat.
2. VTP configureren op de switches.
- Pak je “VTP kenmerken” in Bijlage B.
- Open DC 1.
• Commands :
- vtp domain (domain naam)
- vtp mode server
- do wr
- ex
- Open AS 1 t/m 3.
• Commands:
- vtp domain Singularity.nl
- vtp mode client
- do wr
- ex
3. Trunkpoorten aanbrengen tussen de switches (let ook op de redundante verbindingen).
- In Packet Tracer ga naar preferences en enable optie “Always show port labels in Logical Workspace”.
- In DC1:
• Commands:
-int range (interface)
-switchport mode trunk
-switchport trunk allowed vlan all
-do wr
-ex
- In AS1 t/m AS3:
• Commands:
-int range (inferface)
-switchport mode trunk
-do wr
-ex
4. Spanning Tree Root bridge en priority instellingen aanbrengen.
- Kijk naar “Switch Redundancy/Spanning Tree Priority” in Bijlage B.
- In DC1 en AS 1 t/m 3:
- Commands:
- spanning-tree vlan (nummer)
- spanning-tree vlan (nummer) priority (nummer)
- do wr
- ex
5. Poorten indelen en Access VLAN’s aanmaken.
- Pak “Poortindeling” in Bijlage B.
- Poorten indelen met Copper Staight-Through cable.
- In DC1 en AS 1 t/m:
- Commands:
- Conf t
- Int gig(nummer)
- Switchport mode access
- Switchport access vlan(nummer)
- Do wr
- Ex
- Doe dit voor elke Interface die je hebt gekkopelt.
6. VLAN Gateways configureren op de DC1.
- Pak “DHCP-server” lijst in Bijlage B.
- Open DC1:
- Commands:
- int vlan(nummer)
- ip address(gateway ip)(subnetmask)
- no shutdown
- do wr
- ex
- Doe dit voor elke VLAN die op lijst staat.
7. DHCP-pools maken op DC1. Vergeet niet Gateway en DNS adres automatisch mee te geven.
- Pak “DHCP-server” lijst in Bijlage B.
- Open DC1:
- Commands:
- Conf t
- Ip dhcp pool vlan(nummer)
- network (netwerk) (subnetmask)
- default-router (gateway)
- dns (nummer)
- ip dhcp excluded-address (excluded ip-address)
- do wr
- ex
- Doe dit voor elke VLAN die op lijst staat.
8. Configureer statische IP-adressen op de printer in SER B en beheer PC in de MER.
- Pak “Gedefinieerde IP adressen” in Bijlage B.
- Klik op je device en dan : config > FastEthernet0.
- IPv4 Adress en Subnet Mask invullen.
9 . Configureer de WiFi -instellingen in het Access Point en de Wireless laptop.
- Pak “Wireless” specificaties in Bijlage B.
- In SER A open Access Point AP1 > config > Port 1
- In AP1:
- Bij SSID heef aan WiFi een naam.
- Kies voor WPA2-PSK en bij PSK Pass Phrase geef een wachwoord.
- In Wireless Laptop:
- Zet laptop uit.
- Kies voor “WPC300N” en koppel dat op de laptop.
- Doe de laptop aan.
- Klik op Desktop en dan ga naar “PC Wireless”.
- Ga naar Connect en kies “Gast-Wifi. Daarna klik op “Connect” rechtsonder.
- Invoer wachtwoord die je hebt gegeven in AP1 en klik op “Connect”.
- Laptop is nu gekoppeld met de Access Point en heeft internet connectie.
10. Breng de Access-list aan op de DC1, zodat er vanuit VLAN 60 (Guest) alleen toegang is tot het Internet en niet tot andere VLAN’s. Test dit hier eerst op het LAN.
- Kijk naar “Beveiliging” in Bijlage B.
- Open DC1:
- Commands:
- int vlan 60
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.10.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.20.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.30.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.40.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.50.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.75.0 0.0.0.255
- access-list 101 permit ip any any
- int vlan60
- ip access-group 101 permit ip any any
- do wr
- ex
- Hier geven we aan dat vlan 60 alleen toegang heeft alleen tot internet en niet toegang tot andere VLAN’S.
11. Configureer de connectie tussen de router en de DC1. Let op, dit is een apart netwerk. Maak van poort 1/1/1 een router poort.
- Pak “VLAN plan/IP plan” in Bijlage B.
- Open Edge Router:
- Commands :
- en
- conf t
- int gig0/1
- ip address (geef ip address aan) (subnet mask)
- no shutdown
- do wr
- ex
- Open DC1 :
- Commands:
- Int gig1/1/1
- no switchport
- ip address (geef ip address aan) (subnetmask)
- do wr
- ex
12. Configureer OSPF op de Edge Router en DC1.
- Pak “OSPF Routing” in Bijlage B.
- Open Edge Router:
- Commands :
- router ospf 1
- log-adjacency-changes
- network 172.16.0.0 0.0.255.255 area 0
- default-information originate
- do wr
- ex
- Open DC1:
- Commands :
- conf t
- ip routing
- router ospf 1
- log-adjacency-changes
- network 172.16.0.0 0.0.255.255 area 0
- do wr
- ex
13. Configureer de Wan poort van de router (koppeling met ISP).
- Om Wan poort van de router te configureren klik eerst op “ISP Virtual Access (Rotterdam) in Packet Tracer.
- Klik op Wan “Niet Gebruiken” en klik op Router “Rotterdam”
- Wij hebben gig0/2/0 nodig omdat dat is interface die gaat naar Edge Router. Klik daar op en copy IP-address.
- Dan gaan we Edge Router open.
- Commands:
- conf t
- ip address (ip van ISP) (subnet mask)
- no shutdown
- do wr
- ex
- Wij hebben gig0/0 omdat dat is interface die gaat naar ISP.
14. Configureer NAT translatie op de Edge-router
- Pak “Network Address Translation (NAT)” die staat in Bijlage B.
- Open Edge Router:
- conf t
- int gig0/0
- ip nat outside
- ex
- int gig0/1
- ip nat inside
- ex
- ip nat inside source list 1 int gig0/0 overload
- access-list 1 permit any
- do wr
- ex
15. Configureer SSH-toegang op alle switches. Let hierbij op de IP-adressen van de Access switches 1 tot en met 3 in het Technisch Ontwerp. Deze zijn nodig om SSH-toegang mogelijk te maken. Maak deze IP-adressen aan in VLAN 75 op iedere Access Switch.
- Pak “SSH-Specifiacties” in Bijlage B.
- Dan hebben wij ook IP-address nodig van VLAN 75.
- Dan moeten wij configureren SSH-toegang op alle switches AS 1 t/m 3.
- Open Switch :
- Commands :
- conf t
- int vlan 75
- ip address (ip van vlan75) (subnet mask)
- exit
- ip ssh version 2
- username (SSH-username) privilege 15 secret (SSH-password)
- do wr
- ex
- Doe dit op elke Switch (AS 1 t/m 3).
09-13-2023 10:22 AM
Opdracht 1. (Tabel)
* To use SSH
- Open CMD
ssh -l admin (ip van de target)
*Then use the password you have been given.
* To use LLDP
- Use LLDP to find neigbouring devices.
show lldp neighbors
- To find ip of the interface you need
show ip interface brief
-Then to find subnet mask of that interface
show int (int bijv. gig0/1)
* Next to ip you should see for example /30.
Use the table in cisco to see what subnet mask that is.
- To find ip of a specific device
show ip route
*you will see that L ip is directly connected to the gig.
if that side is connected to lets say 62.60.0.100, that the ip of the device will be 62.60.0.101
so add one more on the end.
* When adding end interface in the table. Be sure to add the correct device next to it. * Lets say you are in the router and you used "show lldp neighbors". If you are in the
Edge router, and you see a device named AS1. You should fill in the table the int that’s on the right side and next to it AS1. Example : "gig0/1 AS1".
Opdracht 2. (Tekening)
- Make a network with the information from the table you just filled up.
- Open another Packet Tracer Device and make a network
* Tip – If you have a router that needs to be connected to the serial go to physical in a router
and put "HVIC-2T".
Opdracht 3. (Controle)
• Controle Activiteiten Controle 1.
Devices zijn te benanderen via ssh (DC1, AS1, AS2, AS3, Edge Router)
Tool : CMD
Command : ssh -l admin (ip)
Resulaat : screenshot
Is resultaat juist voor iedeer device ? : Nee, AS3 wijkt af Correctie : line vty 0
Transport input ssh
Resultaat van correctie : SSH-verbinding met AS3 werkt.
Controle 2.
Devices zijn voorzien van een startup-configuratie.
Tool : CLI
Commando : show startup-config
Resultaat : Screenshot
Is het resulaat juist voor ieder device ? : DC1 wijkt af
Correctie : copy running-config startup-config
Resultaat van correctie : Show startup-config laat een configuratie zien.
Controle 3.
Pasgeleden is een TFTP-server in het beheer VLAN opgenomen. Deze heeft IP-adres 172.16.75.20 /24. Hierop horen alle configuraties van de netwerk devices als backup te staan. Controleer dit.
Tool : TFTP en CLI
Commando : TFTP Service
Resultaat : Screenshot
Is resultaat juist voor ieder device : De configuratie van de Edge en DC1 komen niet voor. Correctie : in Edge Router en in DC1: copy running-config TFTP: 172.16.75.20
Resulaat van correctie : Alle configuraties zijn als backup opgeslagen op de TFTP-server
Controle 4.
Ongebruikte poorten op DC1 staan op shutdown
Tool: SSH/CLI in DC1
Commando: show interfaces status Resultaat: Screenshot
Is het resultaat juist voor ieder device?: Int gig1/0/1
Correctie: int gig1/0/1 tot met gig1/0/10 op shutdown zetten :
Conf t
Int range gig1/0/1-10 Shutdown
Do wr
ex
gig1/0/10 staan niet op shutdown
Resultaat van de correctie: Alle niet gebruikte poorten staan op shutdown.
• Test Activieiten Test 1
Pasgeleden is de VLAN10 (Balie) volledig afgesloten van de rest van het netwerk. Uitzondering is het printer VLAN 40. De baliewerkzaamheden worden sinds kort uitgevoerd door een extern beveiligingsbedrijf. Op deze manier blijven netwerkdelen goed gescheiden. Test of de Access list goed werkt.
Tool: CMD-ping vanuit VLAN10 naar andere VLAN’s Commando: Ping(PC) en show access-lists(DC1)
Resultaat: (Screenshot)
Afwijkingen: Alle ping vanuit VLAN10 worden doorgelaten Impact/Risico: 3
Advies: Access List 102 is niet aan een interface gekoppeld. Alsnog koppelen aan Interface VLAN 10 inkomend.
tot met
Test 2
Op de TFTP Server is tevens een NTP Server geactiveerd. Deze zorgt ervoor dat alle netwerk devices exact dezelfde actuele tijd kennen. Test of de NTP Server de actuele tijd doorgeeft aan de devices. Een afwijking van 10 minuten is toegestaan.
Tool: NTP Service op server, CLI op netwerk devices Commando: show clock
Resultaat: schreenshots
Afwijkingen: Niet alle devices geven de juiste tijd aan. Er kunnen afwijkingen zijn vanwege het simulatiekarakter van Packet Tracer.
Mochten de afwijkingen te groot zijn dan uit- en aanzetten van de NTP-server lost het probleem op. Impact/Risico: 2
Advies: Geen
Test 3
Om te voorkomen dat iedereen met een PC op de AS3 switch in VLAN 50 van de directie kan komen zijn een aantal maatregelen genomen. Op PC VLAN 50 op poort Fa0/11 is portsecurity aangebracht (max 1 gebruiker). Daarnaast zijn alle poorten in VLAN 50 op shutdown gezet. Test of deze securitymaatregelen goed zijn doorgevoerd.
Tool: Packt Tracer/design Commando: show port-security
Show interfaces status
Resultaat: Bij het koppelen van een tweede PC gaat poort FA0/11 in shutdown. (Screenshot van AS3) Het koppelen van een PC aan een andere poorten waarop VLAN 50 actief is lukt niet. Het
gaat om poorten FA0/12-20. (Screenshot van AS3). Afwijkingen: Geen
Impact/Risico: 2
Advies: Geen aanpassingen nodig.
01-10-2024 02:20 AM
Screenshot Internet test 1
<plaats hier screenshot van het resultaat van de betreffende test.>
Screenshot Internet test 2
<plaats hier screenshot van het resultaat van de betreffende test.>
Screenshot Internet test 3
<plaats hier screenshot van het resultaat van de betreffende test.>
Screenshot Beveiliging test 4
<plaats hier screenshot van het resultaat van de betreffende test.>
Screenshot Beveiliging test 5
<plaats hier screenshot van het resultaat van de betreffende test.>
Screenshot Beheer test 6
<plaats hier screenshot van het resultaat van de betreffende test.>
De ontwerper van het netwerk vraagt u om inzicht te geven in de configuratie van uw netwerk.
Vraag 1
Laat met het juiste “Show-commando” de routing tabel zien van de Edge Router in het netwerk. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.
Vraag 2
Laat met het juiste “Show-commando” de routing tabel zien van DC1 in het netwerk. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.
Vraag 3
Laat met het juiste “Show-commando” zien dat u DC1 als VTP Server heeft geconfigureerd met de juiste domeinnaam. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.
Vraag 4
Laat met het juiste “Show-commando” de VLAN-database zien van AS3. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.
Vraag 5
Laat met het juiste “Show-commando” zien dat DC1 Root bridge is voor VLAN75. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.
Vraag 6
Laat met het juiste “Show-commando” zien dat NAT translatie op de juiste manier werkt. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.
01-12-2024 07:53 AM
Configureer de Wan poort van de router (koppeling met ISP)
EdgeRouter(config)#interface g0/0
EdgeRouter(config-if)#ip address dhcp
Configureer NAT translatie op de Edge-router
interface GigabitEthernet0/0
ip nat outside
interface GigabitEthernet0/1
ip nat inside
ip nat inside source list 1 interface GigabitEthernet0/0 overload
access-list 1 permit any
Configureer SSH-toegang op alle switches. Let hierbij op de IP-adressen van de Access switches 1 tot en met 3 in het Technisch Ontwerp. Deze zijn nodig om SSH-toegang mogelijk te maken. Maak deze IP-adressen aan in VLAN 75 op iedere Access Switch.
op elke switch:
int vlan 75
ip address 172.16.75.2
volgende switch
int vlan 75
ip address 172.16.75.3 dus steeds laatste getal anders
AS1(config)#hostname AS1
AS1(config)#ip domain-name Singularity.nl
AS1(config)#crypto key generate rsa
How many bits in the modulus [512]: 2048
AS1(config)#ip ssh versi
AS1(config)#ip ssh version 2
AS1(config)#username admin password welkom
AS1(config)#line vty 0 4
AS1(config-line)#transport input ssh
AS1(config-line)#login local
AS1(config-line)#exit
AS1(config)#do wr
Building configuration...
[OK]
AS1(config)#enable password start
2048 bits omdat een key 1024 bits is en dit is ssh version 2 dus 1024 x 2
TEST OPDRACHTEN
- alle pc's nog op dhcp zetten als internet niet werkt
- als een pc geen dhcp heeft dan moet je ff in de mls een nieuwe dhcp pool maken
SSH CHECKEN
01-12-2024 07:54 AM
DC1(config)#vlan 10
DC1(config-vlan)#name Balie
DC1(config)#Vlan 20
DC1(config-vlan)#name AfterSales
DC1(config-vlan)#Vlan 30
DC1(config-vlan)#nam PreSales
DC1(config-vlan)#vlan 40
DC1(config-vlan)#name Printer
DC1(config-vlan)#vlan 50
DC1(config-vlan)#name Directie
DC1(config-vlan)#vlan 60
DC1(config-vlan)#name Guest
DC1(config-vlan)#vlan 75
DC1(config-vlan)#name Beheer
DC1(config)#vtp domain Singularity.nl
Changing VTP domain name from NULL to Singularity.nl
DC1(config)#vtp mode server
AS3(config)#vtp domain Singularity.nl
Changing VTP domain name from NULL to Singularity.nl
AS3(config)#vtp mode client
AS3#show vtp status
DC1(config)#interface range g1/1/2-4
DC1(config-if-range)#switchport mode trunk
DC1(config)#spanning-tree vlan 1-1000 priority 0
AS3(config)#spanning-tree vlan 1-1000 priority 8192
EdgeRouter(config)#interface g0/0
EdgeRouter(config-if)#ip address dhcp
EdgeRouter(config)#interface g0/1
EdgeRouter(config-if)#ip address 172.16.0.1 255.255.255.0
DC1(config)#interface g1/0/24
DC1(config-if)#switchport access vlan 75
DC1(config)#interface vlan 75
DC1(config-if)#ip ad 172.16.75.1 255.255.255.0
DC1(config)#interface g1/1/1
DC1(config-if)#no switchport
DC1(config-if)#ip ad 172.16.0.2 255.255.255.0
AS1(config)#interface range f0/1-10
AS1(config-if-range)#switchport access vlan 10
AS1(config-if-range)#interface range f0/11-20
AS1(config-if-range)#switchport access vlan 20
AS1(config-if-range)#interface f0/21
AS1(config-if)#switchport access vlan 60
AS1(config)#interface vlan 10
AS1(config-if)#ip address 172.16.10.1 255.255.255.0
AS1(config-if)#interface vlan 20
AS1(config-if)#ip address 172.16.20.1 255.255.255.0
Cdd
AS2(config)#interface range f0/1-10
AS2(config-if-range)#switchport access vlan 30
AS2(config-if-range)#switchport access vlan 30
AS2(config-if-range)#interface range f0/11-20
AS2(config-if-range)#switchport access vlan 20
AS2(config-if-range)#interface f0/21
AS2(config-if)#switchport access vlan 40
AS3(config)#interface range f0/1-10
AS3(config-if-range)#switchport access vl
AS3(config-if-range)#switchport access vlan 30
AS3(config-if-range)#interface range f0/11-20
AS3(config-if-range)#switchport access vlan 50
DC1(config)#interface vlan 10
DC1(config-if)#ip address 172.16.10.1 255.255.255.0
DC1(config-if)#interface vlan 20
DC1(config-if)#ip address 172.16.20.1 255.255.255.0
DC1(config-if)#interface vlan 30
DC1(config-if)#ip address 172.16.30.1 255.255.255.0
DC1(config-if)#interface vlan 50
DC1(config-if)#ip address 172.16.50.1 255.255.255.0
DC1(config-if)#interface vlan 60
DC1(config-if)#ip address 172.16.60.1 255.255.255.0
DC1(config)#ip dhcp pool Balie
DC1(dhcp-config)#network 172.16.10.0 255.255.255.0
DC1(dhcp-config)#default-router 172.16.10.1
DC1(dhcp-config)#dns-server 180.115.0.6
DC1(config)#ip dhcp pool AfterSales
DC1(dhcp-config)#network 172.16.20.0 255.255.255.0
DC1(dhcp-config)#default-router 172.16.20.1
DC1(dhcp-config)#dns-server 180.115.0.6
DC1(dhcp-config)#ip dhcp pool Pre-Sales
DC1(dhcp-config)#network 172.16.30.0 255.255.255.0
DC1(dhcp-config)#default-router 172.16.30.1
DC1(dhcp-config)#dns-server 180.115.0.6
DC1(dhcp-config)#ip dhcp pool Directie
DC1(dhcp-config)#network 172.16.50.0 255.255.255.0
DC1(dhcp-config)#default-router 172.16.50.1
DC1(dhcp-config)#dns-server 180.115.0.6
DC1(dhcp-config)#ip dhcp pool Guest
DC1(dhcp-config)#network 172.16.60.0 255.255.255.0
DC1(dhcp-config)#default-router 172.16.60.1
DC1(dhcp-config)#dns-server 180.115.0.6
DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.10.0 0.0.0.255
DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.20.0 0.0.0.255
DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.30.0 0.0.0.255
DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.40.0 0.0.0.255
DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.50.0 0.0.0.255
DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.75.0 0.0.0.255
DC1(config)#access-list 101 permit ip any any
DC1(config)#interface vlan 60
DC1(config-if)#ip access-group 101 in
AS1(config)#interface vlan 75
AS1(config-if)#ip address 172.16.75.2 255.255.255.0
AS2(config)#interface vlan 75
AS2(config-if)#ip address 172.16.75.3 255.255.255.0
AS3(config)#interface vlan 75
AS3(config-if)#ip address 172.16.75.4 255.255.255.0
AS1(config)#hostname AS1
AS1(config)#ip domain-name Singularity.nl
AS1(config)#crypto key generate rsa
How many bits in the modulus [512]: 2048
AS1(config)#ip ssh versi
AS1(config)#ip ssh version 2
AS1(config)#username admin password welkom
AS1(config)#line vty 0 4
AS1(config-line)#transport input ssh
AS1(config-line)#login local
AS1(config-line)#exit
AS1(config)#do wr
Building configuration...
[OK]
AS1(config)#enable password start
01-31-2024 01:58 PM
Redenen datalek
Poort database staat open op firewall”
Wachtwoord root niet geconfigureerd of te simpel
MICROSOFT BASE ANALYZER
Technische beveiliging
Netwerk
Reconnaissance
Access Atacks
Denail of Serice (DoS)
Om access attacks te vinden log files lezen. Verkeer van een ip adres gekomen
Ip van firewall is van buitenaf
Firewall is een machine die verbinding heeft naar buiten en naar binnen en zorgt er dus voor dat er geen dingen van buiten naar binnen komen
Veelvoorkomende network attacks
Eavesdropping (afluisteren, sniffing etc)
Rerouting (verkeerde entry in dns of routing table)
Man-in-the-middle (aanvaller vangt commando van jou op naar applicatie en doet daar dan wat mee. Om te voorkomen gebruik https
Password
Application layer
Session replaying of hijaking
Beveiligingstechnieken
Firewall
Cisco AAA
^is dus eig accounting oftwel de accounts, authentication is dan je gebruikersnaam en wachwoordbijv en authorization zijn je rechten
Passwords
DATAKEK VINDEN IN MYSQL
WINDOWS SERVER
RISICO MATRIX
2 3
Kans verticaal en impact horizontaal
2 3 3
1 2 3
1 1 2
01-15-2024 06:35 AM
Controle activiteit 1
Beheeractiviteit
Controle Devices zijn te benaderen via SSH
Devices Voer de controles uit op de volgende devices:
DC1, AS1, AS2, AS3, Edge Router
Te gebruiken Tool CMD PC
Te gebruiken commando SSH -l admin <IP-Adres device>
Resultaat Plaats hier per device: Een screenshot van het commando en plusminus 10 regels output.
Is het resultaat juist voor ieder device? Nee, AS3 wijkt af
Indien onjuist welke correctie is nodig? Transport input online VTY niet gedefinieerd
Resultaat correctie SSH-verbinding met AS3 werkt.
Controle Activiteit 2
Beheeractiviteit
Controle Devices zijn voorzien van een startup-configuratie.
Devices Voer de controles uit op de volgende devices:
DC1, AS1, AS2, AS3, Edge Router
Te gebruiken Tool CLI
Te gebruiken commando Show startup-config
Resultaat Plaats hier per device: Een screenshot van het commando en plusminus 5 regels output.
Is het resultaat juist voor ieder device? DC1 wijkt af
Indien onjuist welke correctie is nodig? Copy running-config startup-config
Resultaat correctie Show startup-config laat een configuratie zien.
Controle Activiteit 3
Beheeractiviteit
Controle Pasgeleden is een TFTP-server in het beheer VLAN opgenomen. Deze heeft IP-adres 172.16.75.20 /24. Hierop horen alle configuraties van de netwerk devices als backup te staan. Controleer dit.
Devices Voer de controles uit voor de volgende devices:
DC1, AS1, AS2, AS3, Edge Router
Te gebruiken Tool TFTP en CLI
Te gebruiken commando TFTP Service
Resultaat Plaats hier een juiste screenshot van de TFTP-server
Is het resultaat juist voor ieder device? De configuraties van de Edge Router en DC1 komen niet voor
Indien onjuist welke correctie is nodig? Vanaf Edge Router en DC1: Copy running-config TFTP: 172.16.75.20
Resultaat correctie Alle configuraties zijn als backup opgeslagen op de TFTP-server.
Controle Activiteit 4
Beheeractiviteit
Controle Ongebruikte poorten op DC1 staan op shutdown
Devices Voer de controles uit op de volgende devices:
DC1
Te gebruiken Tool SSH/CLI
Te gebruiken commando Show interfaces status
Resultaat Plaats hier voor DC1: Een screenshot van het commando en plusminus 10 regels output.
Is het resultaat juist voor ieder device? Gig1/0/1 – Gig1/0/10 staan niet op shutdown
Indien onjuist welke correctie is nodig? Interface Gig1/0/1 – Gig1/0/10 op shutdown zetten
Resultaat correctie Alle niet gebruikte poorten staan op shutdown.
01-15-2024 06:39 AM - edited 01-16-2024 05:54 AM
dd
Discover and save your favorite ideas. Come back to expert answers, step-by-step guides, recent topics, and more.
New here? Get started with these tips. How to use Community New member guide