cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
4317
Views
0
Helpful
31
Replies

Cheatsheet for standard setup?

kluk
Level 1
Level 1

Hi there, does anyone have a cheat sheet for standards for setting up a network with iOS? Stuff like vlan's, nat, dhcp etc.

 

Thanks in advance

31 Replies 31

JeffreyL
Level 1
Level 1

https://www.cisco.com/c/en/us/td/docs/server_nw_virtual/2-5_release/command_reference/show.html

 

Routing table

Sh ip route

VTP server status

Sh vtp status

VLAN DB

Sh vlan (id <>)

NAT translation

Sh ip nat translation

Trunk info

Sh interfaces trunk

Status interfaces

Sh interface

IP interface

Sh ip interface

Mac address

Sh mac address-table

Config settings

Sh interfaces switchport

RIP DB

Sh ip rip database

Port security

Sh port security

Syslog

Sh logging        

Spanning tree & prio

Sh spanning-tree (vlan) <>

Ports

Sh ip interface brief

Show startup config

Sh startup-config

Copy running config

copy running-config startup-config

Access list laten zien

sh access-list <>

OSPF laten zien

sh ip ospf

Etherchannel samenvatting

sh ethcherchannel summary

JeffreyL
Level 1
Level 1

CIDR

SUBNET MASK

WILDCARD MASK

# OF IP ADDRESSES

# OF USABLE IP ADDRESSES

/32

255.255.255.255

0.0.0.0

1

1

/31

255.255.255.254

0.0.0.1

2

2*

/30

255.255.255.252

0.0.0.3

4

2

/29

255.255.255.248

0.0.0.7

8

6

/28

255.255.255.240

0.0.0.15

16

14

/27

255.255.255.224

0.0.0.31

32

30

/26

255.255.255.192

0.0.0.63

64

62

/25

255.255.255.128

0.0.0.127

128

126

/24

255.255.255.0

0.0.0.255

256

254

/23

255.255.254.0

0.0.1.255

512

510

/22

255.255.252.0

0.0.3.255

1,024

1,022

/21

255.255.248.0

0.0.7.255

2,048

2,046

/20

255.255.240.0

0.0.15.255

4,096

4,094

/19

255.255.224.0

0.0.31.255

8,192

8,19

/18

255.255.192.0

0.0.63.255

16,384

16,382

/17

255.255.128.0

0.0.127.255

32,768

32,766

/16

255.255.0.0

0.0.255.255

65,536

65,534

/15

255.254.0.0

0.1.255.255

131,072

131,07

/14

255.252.0.0

0.3.255.255

262,144

262,142

/13

255.248.0.0

0.7.255.255

524,288

524,286

/12

255.240.0.0

0.15.255.255

1,048,576

1,048,574

/11

255.224.0.0

0.31.255.255

2,097,152

2,097,150

/10

255.192.0.0

0.63.255.255

4,194,304

4,194,302

/9

255.128.0.0

0.127.255.255

8,388,608

8,388,606

/8

255.0.0.0

0.255.255.255

16,777,216

16,777,214

/7

254.0.0.0

1.255.255.255

33,554,432

33,554,430

/6

252.0.0.0

3.255.255.255

67,108,864

67,108,862

/5

248.0.0.0

7.255.255.255

134,217,728

134,217,726

/4

240.0.0.0

15.255.255.255

268,435,456

268,435,454

/3

224.0.0.0

31.255.255.255

536,870,912

536,870,910

/2

192.0.0.0

63.255.255.255

1,073,741,824

1,073,741,822

/1

128.0.0.0

127.255.255.255

2,147,483,648

2,147,483,646

/0

0.0.0.0

255.255.255.255

4,294,967,296

4,294,967,294

 

 

This might also help

balaji.bandi
Hall of Fame
Hall of Fame

you can find some cheatsheet  here : (or you learning, good to make own cheatsheet for reference, some commands required your life time use in real environment so often)

https://ipcisco.com/cheat-sheets/

BB

***** Rate All Helpful Responses *****

How to Ask The Cisco Community for Help

JeffreyL
Level 1
Level 1

Static routering voorbeeld
router1:
Eth0 = 172.16.01
Eth0/0 = 192.168.0.1

Router2
Eth0 = 172.17.0.1
Eth0/0 = 192.168.0.2

Als een apparaat van 172.17.0.0 wil communiceren met 172.16.0.0 moet voor routering de next hop niet 172.17.0.0 ingevuld worden maar juist 192.168.0.2. Kies dus niet de eth adrr van het netwerk waar je heen wilt maar de andere eth addr. Voor network het netwerk waar je heen wilt en de mask de subnet mask.

Je kan ook wel zeggen dat wanneer je naar netwerk x wil komen die achter de router ligt en je eerst over netwerk y moet komen en dat ip addr van de router van netwerk y moet invoeren als next hop om door te kunnen naar netwerk x.

---------------------------------------------------------------------------------------------------------------

DHCP pool CLI (router) (99, 102)
1. Ip dhcp pool <name>
2. Network 192.168.x.x 255.x.x.x
3. Default-router 192.168.x.x
4. dns-server 180.115.0.6
5. Ip dhcp excluded-address 192.168.0.1 192.168.0.49 #ip adres start dus bij 50

Routers stoppen broadcast messages (dus ook dhcp berichten) maar als een apparaat achter een router staat kan je het commando 'ip helper-address <ip server>' gebruiken. Dit moet je doen met beide interfaces op hetzelfde ip, dit heet een dhcp relay-agent

---------------------------------------------------------------------------------------------------------------

NAT CLI (router) (106, 108, 109, 114)
1. Interface gigabitethernet<ingaand>
2. Ip address 10.x.x.x 255.x.x.x
3. Ip nat inside

1. Interface gigabitethernet<uitgaand>
2. Ip address dhcp
3. Ip nat outside
4. Access-list 1 permit any
5. Ip nat inside source list 1 int g<uitgaand> overload


Static nat (114)
1. Ip nat inside source static 10.x.x.1 88.x.x.x.1
2. Ip nat inside source static 10.x.x.2 88.x.x.x.2

---------------------------------------------------------------------------------------------------------------

Vlan CLI MLS (122, 128, 129)

#ALTIJD IP ROUTING ALS EERSTE COMMAND IN DE MLS ZETTEN#

1. Hostname MLS
2. Ip routing
3. Vlan <>
4. Name <name>
5. #Int range fa0/1-6 (gui)
6. #Switchport access vlan <> (gui)
7. Exit
8. Int vlan <>
9. Ip address 192.168.100.1 255.255.255.0


Range ports op vlan zetten
int range fa 0/1-10
switchport access vlan 10

---------------------------------------------------------------------------------------------------------------

Beperk trunkverkeer (141)

Whitelist voor trunk vlans
1. Int gigabitethernet 0/1
2. Switchport trunk allowed vlan 1,2,3,4,5

Een trunk is nodig als er meerder virtuale interfaces gemaakt worden (vlan's).

---------------------------------------------------------------------------------------------------------------

VTP CLI (switch) (136)
1. Vtp domain <name.local>
2. Vtp mode server/client

---------------------------------------------------------------------------------------------------------------

Default static route (router) (148)
1. Ip route 0.0.0.0 0.0.0.0 <R1> (R1 zit in dit voorbeeld gekoppeld aan het internet)

---------------------------------------------------------------------------------------------------------------

Switchport naar routerport (MLS) (144)
1. Int gigabitethernet 0/1
2. No switchport
3. Ip address 10.0.0.1 255.0.0.0

(Routerport word dan het ip adres van die port, vlan's kan je ook ip addressen geven terwijl ze op switchport staan door in hun interface een ip te geven (stap 8-9 van VLAN MLS))

---------------------------------------------------------------------------------------------------------------

Subnetwerk onwerpen (153)
1. Bepaal stapgrootte Stapgrootte 256: aantal subnetwerken
2. Noteer ip-subnetwerkaddressen Verhoog elke nieuw netwerkadres met de stapgrootte
3. Bepaal de maskerafwijking Maskerafwijking = 256 - stapgrootte
4. Noteer het nieuwe subnetmasker Voef de maskerafwijking toe aan het subnetmasker

1. 256 : 4 = 4 stapgrootte 64
2. 10.0.0.0
10.64.0.0
10.128.0.0
10.192.0.0
3. 256 - stapgrootte = 192
4. Subnetmasker = 255.192.0.0

Class A 1-127 1 netwerk id (10.x.x.x) 255.0.0.0
Class B 128-191 2 netwerk id (172.16.x.x) 255.255.0.0
Class C 192-223 3 netwerk id (192.168.10.x) 255.255.255.0

---------------------------------------------------------------------------------------------------------------

Switch beveiliging blokkeer bij meer dan 2 apparaten (161)
1. Int range fa0/1-24
2. Switchport mode access
3. Switchport port-security
4. Switchport port-security maximum 2
5. Switchport port-security mac-address sticky
6. Switchport port-security violation shutdown

---------------------------------------------------------------------------------------------------------------

ACL

Je hebt bij cisco, Standard ACL (1-99) of Extended ACL (100-199).
Standaard houdt in dat het dataverkeer wel of niet een interface in mag. (volledige block of niets)
Extended houdt in dat het dataverkeer wel of niet een bestemmingsnetwerk of service in mag. (deels block per bijv. service)

ACL's gebruiken geen subnetmasker maar een wildcard, een wildcard is het omgekeerde van een subnetwerk

255.255.255.255
255 . 0 . 0 . 0 - subnetmask
0 .255.255.255 wildcard

---------------------------------------------------------------------------------------------------------------

Standard ACL block (164)

Doel hiervan is dat apparaten van een bepaalde ip range (192.168.0.0) niet kan communiceren met de servers van een andere ip range (10.0.0.0) doormidel van een standaard acl block.

1. Access-list 1 deny 192.168.0.0 0.0.0.255 #blokkeer data van 192.168.0.0
2. Access-list 1 permit any #laat alle overige data door
3. Int gigabitethernet 0/0/0
4. Ip access-group 1 out #assign de access list 1 aan interface 0/0/0 zodat die 192.168.0.0 blockt

---------------------------------------------------------------------------------------------------------------

Extended ACL block v1 (168)

Doel hiervan is dat apparaten van een bepaalde ip range (192.168.0.0) niet kan communiceren met de servers van een andere ip range (10.0.0.0) doormidel van een extended acl block.

1. Access-list 100 deny ip 192.168.0.0 0.0.0.255 10.0.0.0 0.0.0.255 #block 192.168.0.0 om data te versturen naar 10.0.0.0
2. Access-list 100 permit ip 192.68.0.0 0.0.0.255 any #192.168.0.0 toelaten om wel overige data te versturen
3. Int gigabitethernet 0/0/0
4. Ip access-group 100 in #acl 100 koppelen aan interface

---------------------------------------------------------------------------------------------------------------

Extended ACL block v2 (172)

Doel hiervan is om bepaalde hosts van een netwerk te blocken zodat dat netwerk niet kan communiceren met die hosts

1. access-list 105 deny ip 172.16.0.0 0.0.255.255 host 10.0.0.5 #10.0.0.5 word gedenied van het netwerk 172.16.0.0
2. access-list 105 deny ip 172.16.0.0 0.0.255.255 host 192.168.0.5 #192.168.0.5 word gedenied van 172.16.0.0
3. access-list 105 permit ip 172.16.0.0 0.0.255.255 any #172.16.0.0 word gepermit tot alles (behalve bovenstaande)
4. Int gigabitethernet 0/0/0
5. Ip access-group 105 in #acl 105 koppelen aan interface

---------------------------------------------------------------------------------------------------------------

Extended ACL block v3 (176)

Doel hiervanis om een enkel netwerk (172.30.0.0) toegang te geven tot server 10.0.0.20 over port 80 (http) en alle andere hosts de access te blokkeren.

1. access-list 100 permit tcp 172.30.0.0 0.0.255.255 host 10.0.0.20 eq 80 #permit 172.30.0.0 om 10.0.0.20 data over p80 te sturen
2. access-list 100 deny tcp any host 10.0.0.20 eq 80 #deny any host to access 10.0.0.20 over port 80
3. access-list 100 permit ip any any #permit any ip anything
4. interface GigabitEthernet0/0/0
5. ip access-group 100 out #acl 100 koppelen aan interface

---------------------------------------------------------------------------------------------------------------

PPP point to point protocol (183)

1. Hostname Utrecht
2. Username breda password hoekdata
3. Int Serial10/1/0
4. Encapsulation ppp
5. ppp authentication chap

---------------------------------------------------------------------------------------------------------------

EIGRP routering (187)

1. Router eigrp <AS-nummer>
2. network 10.0.0.0 0.255.255.255
3. network 11.0.0.0 0.255.255.255
4. network 12.0.0.0 0.255.255.255
5. network 13.0.0.0 0.255.255.255

---------------------------------------------------------------------------------------------------------------

OSPF routering (191)

1. Router ospf 1
2. network 10.0.0.0 0.255.255.255 area 0
3. network 11.0.0.0 0.255.255.255 area 0
4. network 12.0.0.0 0.255.255.255 area 0
5. network 13.0.0.0 0.255.255.255 area 0

---------------------------------------------------------------------------------------------------------------

STP (211, 212, 219,220)

Het spanning tree protocol is nodig als je een dubbele netwerkverbinding aanlegt. Als bijv. Pc0 een broadcastbericht stuurt over het netwerk dan moet de switch1 dat op alle poorten uitzenden. Switch2 ontvangt dit bericht op beide porten en zal ze dan via de tegengestelde poorten terugsturen. Switch1 ontvangt die berichten weer en stuurt ze ook weer terug. Dit word dan een oneindige loop wat ook wel broadcast storm genoemd word. Daarom heb je stp nodig.

Switches krijgen een zogenoemde bridge priority die standaard 32678 + vlan id. De switch met de laagste bridge priority word de root bridge en alle poorten blijven actief. Alle switches die via meerdere verbindingen aan de root bridge zijn gekoppeld zullen de verbindingen blokkeren op een na.

Als de priorities hetzelfde zijn dan
1. Word de switch met de laagste mac adres de root bridge
2. De snelste port verbonden met de root brdige blijft de snelste poort actief
3. Als alle poorten dezelfde snelheid hebben zullen de poorten met het laagste mac adres in de blocking state komen

Brdige priority kan alleen in stappen van 4096 worden toegekend zoals 0, 4096, 8192, 12288

1. Spanning-tree vlan 1-1000 priority <0/4096/8192/12288/16384>

show spanning-tree vlan <vlan> (show stp info)

---------------------------------------------------------------------------------------------------------------

HSRP (225, 226, 227)

Bij HSRP is het hoogste priority nummer het apparaat dat in active mode komt te staan, het lagere nummer gaat in standby. Standaard is 100. Zorg voor een verschil van 5, dus bijv. 100 en 105. Zodra connectie wegvalt zakt de prio met 10 waardoor de andere actief word.


R1 (active)
1. Int gigabitethernet 0/0/0
2. Ip address 192.168.0.10 255.255.255.0
3. Standby 1 ip 192.168.01
4. Standby 1 priority 105
5. Standby 1 track gigabitethernet 0/0/1 #aangegeven port zodra priority verlaagd word oftewel de switch
6. Standby 1 preempt

R2 (standby)
1. Int gigabitethernet 0/0/0
2. Ip address 192.168.0.11 255.255.255.0
3. Standby 1 ip 192.168.01
4. Standby 1 priority 100
5. Standby 1 track gigabitethernet 0/0/1
6. Standby 1 preempt

---------------------------------------------------------------------------------------------------------------

Etherchannel LACP (233)

Voeg 2 gigabit ports samen met een port channel. Als beide port channels met elkaar verbonden zijn noemen we dat een etherchannel.

S1
1. Int range gigabitethernet 0/1-2
2. Channel-group 1 mode active

S2
1. Int range gigabitethernet 0/1-2
2. Channel-group 1 mode active

---------------------------------------------------------------------------------------------------------------

SSH Commands

1. En
2. Conf t
3. Hostname <>
4. ip domain-name <>
5. crypto key generate rsa
6. 1024
7. ip ssh version 2
8. username admin password/secret <> #gebruik secret voor encrypted password in startup config
9. line vty 0 4
10. transport input ssh
11. Login local

---------------------------------------------------------------------------------------------------------------

Wachtwoord op router
Gebruik console of USB van pc naar router en dan de terminal

1. Line vty 0 2
2. Password <>
3. Login
4. Exit
5. Enable secret <>

---------------------------------------------------------------------------------------------------------------

GLC-LH-SMD

Als een glasvezel kabel toegevoegd word zijn er 2 poorten actief (glasvezel en UTP) maar er kan er slechts een gebruikt worden. Doe deze command om de glasvezel aan te zetten.

1. Int gigabitethernet 0/0/0
2. media-type sfp

---------------------------------------------------------------------------------------------------------------

 

Routing table

Sh ip route

VTP server status

Sh vtp status

VLAN DB

Sh vlan (id <>)

NAT translation

Sh ip nat translation

Trunk info

Sh interfaces trunk

Status interfaces

Sh interface

IP interface

Sh ip interface

Mac address

Sh mac address-table

Config settings

Sh interfaces switchport

RIP DB

Sh ip rip database

Port security

Sh port security

Syslog

Sh logging        

Starting config

Sh startup-config

Spanning tree & prio

Sh spanning-tree (vlan) <>

xatt
Level 1
Level 1

HI there,
I also have a nice cheatsheet that I use very often!

  • SSH

    SSH Commands:

    ip domain-name <domain>
    crypto key generate rsa <enter> (Enter bit amount)
    username <user> secret <SSH-Password>
    line vty 0 2        ( This is how much users can access at the same time )
    transport input ssh
    password <SSH-Password>
    login
    exit
    # enable password <Device-Password>
    do wr

    Unessential commands:

    -- Hostname is needed to use SSH --
    hostname <hostname>
    
    -- Switch / Router NEED a IP-adres --
    int vlan <vlan>
    ip address <ip> <subnet>
  • Multi-Layer Switch

    ip routing ( enables routing function )
    
    interface <port> <number>
    no switchport ( disables switchport mode, and uses routing )
  • Spanning-Tree

    Execute:
    spanning-tree vlan <vlan> root ( make this device HIGHEST priority )
    spanning-tree vlan <vlan> priority <number> ( number is in bit size )
    
    Check:
    show spanning-tree vlan <vlan> ( shows information regarding STP )
  • VLAN

    Start making vlans:
    vlan <vlan> ( make a vlan )
    name <vlan-name> ( give it a name )
    " repeat process "
    
    Configure the vlans:
    interface vlan <vlan>
    ip address <gateway> <subnet>
    do wr ( save )
    
    Make ports adopt the vlan:
    interface <interface> <number>
    sw access vlan <vlan> ( access vlan , via ports )
    do wr ( save )
  • Trunking and Access

    Access

    A access port is for a device to use a device given access to. You can enable this with:

    interface <interface> <number>
    switchport mode access ( makes it a access port )
    
    # OR USE RANGE:
    interface range <interface> 0/1-5 ( this will choose number 1 to 5 )
    # Or you can use a comma "," to select multiple.

    Trunking

    Trunking allows you to transfer data from switch to switch, or router to switch. This can be vlans, rules etc.

    ENABLE TRUNK:
    interface <interface> <number> # Or use the command as above (range).
    switchport mode trunk
    ( default allows ALL vlans )
    
    ALLOW AMOUNT OF VLANS:
    switchport trunk allowed vlan <vlan or all>

    Virtual Trunking Protocol (VTP)

    VTP makes Trunking even more easy, this uses the type of a SERVER and CLIENT. The server has the data, and the clients adopt this data.

    Configuration for VTP:
    vtp domain <domain>
    # not required:
    vtp password <password>
    
    Make a Switch/Router/MLS VTP server:
    vtp domain <domain>
    # vtp password <password>
    vtp mode server
    
    Make a Switch/Router/MLS VTP client:
    vtp domain <domain>
    # vtp password <password>
    vtp mode client
  • DHCP

    There are different way to use DHCP,

    For example, if you got a ISP cloud, you can easily get that public IP via the modem by using:

    interface <interface> <number> ( to the modem )
    ip address dhcp
    do wr

    You can enable DHCP to give the clients in vlans a IP:

    ip dhcp pool <vlan>
    network <network-ip> <subnet>
    default-router <gateway>
    dns <dns>
    do wr
    # repeat this process for all your vlans.

    And to exclude parts out of DHCP:

    ip dhcp excluded-address <begin-ip> <end-ip>

    DHCP in a SERVER is a whole other thing to do. This makes the DHCP be standalone, easier for the vision. I couldn’t find any benefit in it, but that’s my opinion.

    Go to: Services > DHCP :

    Interface <select interface>
    Default gateway: <gateway ip for dhcp pool (vlan)>
    DNS server <specify DNS server>
    Start ip adres <Enter-your-start-ip>
    Maximum numbers of users <select number of hosts using dhcp>

    IN THIS CASE, We are USING a DHCP server, that is EXTERNAL!

    # We need ip-helper to allow vlans to this adres to obtain a DHCP reservation
    interface <vlan> <number>
    ip helper-address <ip of DHCP server>
  • NAT

    NAT aka Network Address Translation, is the reason that the outside can reach our specific machine pinging to that place for example.

    You need to look at nas this way:

    # inside                                              outside
    #                    g0/1                  g0/0
    #           Private Network — (ROUTER) — Public Network
    # 10.0.0.1                                            62.60.60.100

    Makes sense right? Hope it does.

    Here are the commands you run:

    $INSIDE
    int <interface> <number> ( This is the INSIDE network, so 10.0.0.1 )
    
    # Not needed, but to make sure:
    # ip address <dhcp OR <ip> <subnet> >
    ip nat inside
    
    $OUTSIDE
    int <interface> <number> ( This is the OUTSIDE network, so 62.60.60.100 )
    
    # PROBABLY NEEDED!
    ip address dhcp ( OR <ip> <subnet> )
    ip nat outside
    do wr
    exit
    
    # We will permit ANY, so everything.
    access-list 1 permit any
    
    $OUTSIDE
    # Go back to the outside interface
    ip nat inside source list 1 interface <interface> <number> ( THIS IS OUTSIDE )

    And now it should be working.

    to check, run: show ip nat translations

  • ACL ( Access-list )

    ACL is very handy, this can allow, disallow traffic. We will use a example like a guest VLAN, This vlan should be disallowed to ping other vlans. We don’t want the guests to interrupt.

    access-list <ID> deny ip <FROM ip> <FROM wildcard> <TO ip> <TO wildcard>
    # repeat this process for all vlans you want to deny.
    access-list <ID> permit ip any any
    
    # Go into the vlan interface from the vlan you are denying or permitting
    ip access-group <ID> in ( this enables the ACL rules for the vlan )
  • OSPF

    OSPF is a protocol that removes you from having to route every single network each time over and over again between routing devices. Make it more easy, using OSPF.

    Run this on the ROUTER connected to the PUBLIC IP (or routing source)

    router ospf 1 # We use 1 in this case
    log-adjacency-changes
    network <network> <wildcard> area 0 # Area can be changed, but has different privilages
    default-information originate
    
    do wr

    Run this on the router next to the router:

    router ospf 1 # We use 1 in this case
    log-adjacency-changes
    network <network> <wildcard> area 0 # Area can eb changed, but has different privilages
    
    do wr
  • Show commands

    Common:
    do show ip route
    do show ip nat translation
    show vtp status
    show vlan
    show interfaces trunk
    show interface (status)
    show ip interface
    show mac address-table
    show interfaces switchport
    show ip rip database
    show port security
    show logging
    show startup-config
    
    show arp ethernet
    
    show authentication
    
    show backplane
    
    show boot-config
    
    show bridge-forwarding
    
    show bridge-group
    
    show bridge-subnets
    
    show card
    
    show card-inventory
    
    show cdp
    
    show cdp entry
    
    show cdp neighbors
    
    show clock
    
    show config
    
    show diagnostic
    
    show diagnostic card
    
    show diagnostic chassis
    
    show diagnostic fan
    
    show diagnostic fru-error
    
    show diagnostic interface ethernet
    
    show diagnostic interface fc
    
    show diagnostic interface ib
    
    show diagnostic post
    
    show diagnostic power-supply
    
    show diagnostic rack-locator
    
    show fan
    
    show fc srp initiator
    
    show fc srp initiator-wwpn-view
    
    show fc srp it
    
    show fc srp itl
    
    show fc srp itl-statistics
    
    show fc srp lu
    
    show fc srp statistics
    
    show fc srp target
    
    show fc srp-global
    
    show host
    
    show ib dm ioc
    
    show ib dm iou
    
    show ib pm config
    
    show ib pm connection counter
    
    show ib pm connection monitor
    
    show ib pm port counter
    
    show ib pm port monitor
    
    show ib pm threshold
    
    show ib sm configuration
    
    show ib sm db-sync
    
    show ib sm sm-info
    
    show ib sm multicast
    
    show ib sm neighbor
    
    show ib sm node
    
    show ib sm partition
    
    show ib sm port
    
    show ib sm service
    
    show ib sm subscription
    
    show ib sm switch
    
    show ib sm switch-elem-route
    
    show ib sm switch-route
    
    show ib-agent channel-adapter
    
    show ib-agent summary
    
    show ib-agent switch
    
    show interface ethernet
    
    show interface fc
    
    show interface gateway
    
    show interface ib
    
    show interface mgmt-ethernet
    
    show interface mgmt-ib
    
    show interface mgmt-serial
    
    show ip
    
    show ip http
    
    show ip http server secure
    
    show location
    
    show logging
    
    show ntp
    
    show power-supply
    
    show redundancy-group
    
    show running-status
    
    show sensor
    
    show snmp
    
    show system
    
    show system-mode
    
    show system-services
    
    show terminal
    
    show trace
    
    show trunk
    
    show user
    
    show version
    
    
  • Trouble-shooting

    Config

    # Copy running config
    do show startup-config
    copy running-config startup-config

    TFTP BACKUP

    copy running-config TFTP
    <TFTP server IP>
    <(device)-confg>

    Sync time using NTP Server

    ntp server <server-ip>
    ntp update-calendar

    Port Security

    int <interface> <number>
    switchport mode access
    switchport port-security ( Enable port security ) 
    switchport port-security mac-address sticky
    switchport-security violation shutdown
    switchport port-security maximum <maximum amount of devices>
    do wr

These are some example use cases for ACL, OSPF and NAT. ( What I think are the hardest protocols. )

ACL:
( This deny all traffic from 172.16.!10!.0 )
repeat this until you went across all vlans you dont want access to.
access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.10.0 0.0.0.255
- Since we apply to: 101
We go into the interface from vlan 60
and run the following to enable it:
ip access-group 101 in

NAT:
int gig 0/0    (outside port)
ip nat outside

int gig 0/1 ( inside port )
ip nat inside

ip nat inside source list 1 interface gig 0/0 overload
access-list 1 permit any

OSPF:
router:
router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.255.55 area 0    ( /16 wildcard on a /24 ip is a thing to do when you are lazy. )
default-information originate

MLS:
log-adjacency-changes
network 172.16.0.0 0.0.255.255 area 0

And you're all good.

. VLAN-data base aanmaken in DC1 (Multilayer switch).

- Pak “VLAN plan/IP plan” in Bijlage B.
- Open DC1 (Multilayer Switch) en maak vlan’s. Voor elke vlan moet je dit typen.
• Commands:
- en
- conf t
- vlan (nummer)
- name (naam van de vlan)
- ip address (ip) (subnetmask)
- do wr
- ex
-

- Doe dit voor elke VLAN die op lijst staat.

2. VTP configureren op de switches.

- Pak je “VTP kenmerken” in Bijlage B.
- Open DC 1.
• Commands :
- vtp domain (domain naam)
- vtp mode server
- do wr
- ex


- Open AS 1 t/m 3.
• Commands:
- vtp domain Singularity.nl
- vtp mode client
- do wr
- ex


3. Trunkpoorten aanbrengen tussen de switches (let ook op de redundante verbindingen).

- In Packet Tracer ga naar preferences en enable optie “Always show port labels in Logical Workspace”.
- In DC1:
• Commands:
-int range (interface)
-switchport mode trunk
-switchport trunk allowed vlan all
-do wr
-ex

- In AS1 t/m AS3:
• Commands:
-int range (inferface)
-switchport mode trunk
-do wr
-ex


4. Spanning Tree Root bridge en priority instellingen aanbrengen.

- Kijk naar “Switch Redundancy/Spanning Tree Priority” in Bijlage B.
- In DC1 en AS 1 t/m 3:
- Commands:
- spanning-tree vlan (nummer)
- spanning-tree vlan (nummer) priority (nummer)
- do wr
- ex

 

 

 

 

 

 

5. Poorten indelen en Access VLAN’s aanmaken.

- Pak “Poortindeling” in Bijlage B.
- Poorten indelen met Copper Staight-Through cable.
- In DC1 en AS 1 t/m:
- Commands:
- Conf t
- Int gig(nummer)
- Switchport mode access
- Switchport access vlan(nummer)
- Do wr
- Ex


- Doe dit voor elke Interface die je hebt gekkopelt.

 

 

 


6. VLAN Gateways configureren op de DC1.

- Pak “DHCP-server” lijst in Bijlage B.
- Open DC1:
- Commands:
- int vlan(nummer)
- ip address(gateway ip)(subnetmask)
- no shutdown
- do wr
- ex

 

- Doe dit voor elke VLAN die op lijst staat.

 

 

 


7. DHCP-pools maken op DC1. Vergeet niet Gateway en DNS adres automatisch mee te geven.

- Pak “DHCP-server” lijst in Bijlage B.
- Open DC1:
- Commands:
- Conf t
- Ip dhcp pool vlan(nummer)
- network (netwerk) (subnetmask)
- default-router (gateway)
- dns (nummer)
- ip dhcp excluded-address (excluded ip-address)
- do wr
- ex


- Doe dit voor elke VLAN die op lijst staat.

 


8. Configureer statische IP-adressen op de printer in SER B en beheer PC in de MER.

- Pak “Gedefinieerde IP adressen” in Bijlage B.
- Klik op je device en dan : config > FastEthernet0.
- IPv4 Adress en Subnet Mask invullen.

 


9 . Configureer de WiFi -instellingen in het Access Point en de Wireless laptop.

- Pak “Wireless” specificaties in Bijlage B.
- In SER A open Access Point AP1 > config > Port 1
- In AP1:
- Bij SSID heef aan WiFi een naam.
- Kies voor WPA2-PSK en bij PSK Pass Phrase geef een wachwoord.

 

- In Wireless Laptop:
- Zet laptop uit.
- Kies voor “WPC300N” en koppel dat op de laptop.
- Doe de laptop aan.

 

- Klik op Desktop en dan ga naar “PC Wireless”.
- Ga naar Connect en kies “Gast-Wifi. Daarna klik op “Connect” rechtsonder.

- Invoer wachtwoord die je hebt gegeven in AP1 en klik op “Connect”.

- Laptop is nu gekoppeld met de Access Point en heeft internet connectie.
10. Breng de Access-list aan op de DC1, zodat er vanuit VLAN 60 (Guest) alleen toegang is tot het Internet en niet tot andere VLAN’s. Test dit hier eerst op het LAN.

- Kijk naar “Beveiliging” in Bijlage B.
- Open DC1:
- Commands:
- int vlan 60
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.10.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.20.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.30.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.40.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.50.0 0.0.0.255
- access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.75.0 0.0.0.255
- access-list 101 permit ip any any
- int vlan60
- ip access-group 101 permit ip any any
- do wr
- ex

- Hier geven we aan dat vlan 60 alleen toegang heeft alleen tot internet en niet toegang tot andere VLAN’S.
11. Configureer de connectie tussen de router en de DC1. Let op, dit is een apart netwerk. Maak van poort 1/1/1 een router poort.

- Pak “VLAN plan/IP plan” in Bijlage B.

- Open Edge Router:
- Commands :
- en
- conf t
- int gig0/1
- ip address (geef ip address aan) (subnet mask)
- no shutdown
- do wr
- ex

 

 

 

 

 

 

- Open DC1 :
- Commands:
- Int gig1/1/1
- no switchport
- ip address (geef ip address aan) (subnetmask)
- do wr
- ex

 

 

 

 

 

 


12. Configureer OSPF op de Edge Router en DC1.

- Pak “OSPF Routing” in Bijlage B.

- Open Edge Router:
- Commands :
- router ospf 1
- log-adjacency-changes
- network 172.16.0.0 0.0.255.255 area 0
- default-information originate
- do wr
- ex

 

 

 

 

 

 

 


- Open DC1:
- Commands :
- conf t
- ip routing
- router ospf 1
- log-adjacency-changes
- network 172.16.0.0 0.0.255.255 area 0
- do wr
- ex

 

 

 

 

 

 

13. Configureer de Wan poort van de router (koppeling met ISP).

- Om Wan poort van de router te configureren klik eerst op “ISP Virtual Access (Rotterdam) in Packet Tracer.

- Klik op Wan “Niet Gebruiken” en klik op Router “Rotterdam”

- Wij hebben gig0/2/0 nodig omdat dat is interface die gaat naar Edge Router. Klik daar op en copy IP-address.

 


- Dan gaan we Edge Router open.
- Commands:
- conf t
- ip address (ip van ISP) (subnet mask)
- no shutdown
- do wr
- ex

- Wij hebben gig0/0 omdat dat is interface die gaat naar ISP.

 

 

 

 

 

 


14. Configureer NAT translatie op de Edge-router

- Pak “Network Address Translation (NAT)” die staat in Bijlage B.
- Open Edge Router:
- conf t
- int gig0/0
- ip nat outside
- ex
- int gig0/1
- ip nat inside
- ex
- ip nat inside source list 1 int gig0/0 overload
- access-list 1 permit any
- do wr
- ex

 

 

 

 


15. Configureer SSH-toegang op alle switches. Let hierbij op de IP-adressen van de Access switches 1 tot en met 3 in het Technisch Ontwerp. Deze zijn nodig om SSH-toegang mogelijk te maken. Maak deze IP-adressen aan in VLAN 75 op iedere Access Switch.

- Pak “SSH-Specifiacties” in Bijlage B.
- Dan hebben wij ook IP-address nodig van VLAN 75.

 

 

 

 

 

 

- Dan moeten wij configureren SSH-toegang op alle switches AS 1 t/m 3.
- Open Switch :
- Commands :
- conf t
- int vlan 75
- ip address (ip van vlan75) (subnet mask)
- exit
- ip ssh version 2
- username (SSH-username) privilege 15 secret (SSH-password)
- do wr
- ex

 

- Doe dit op elke Switch (AS 1 t/m 3).

Opdracht 1. (Tabel)
* To use SSH
- Open CMD
ssh -l admin (ip van de target)
*Then use the password you have been given.
* To use LLDP
- Use LLDP to find neigbouring devices.
show lldp neighbors
- To find ip of the interface you need
show ip interface brief
-Then to find subnet mask of that interface
show int (int bijv. gig0/1)
* Next to ip you should see for example /30.
Use the table in cisco to see what subnet mask that is.
- To find ip of a specific device
show ip route
*you will see that L ip is directly connected to the gig.
if that side is connected to lets say 62.60.0.100, that the ip of the device will be 62.60.0.101
so add one more on the end.

* When adding end interface in the table. Be sure to add the correct device next to it. * Lets say you are in the router and you used "show lldp neighbors". If you are in the
Edge router, and you see a device named AS1. You should fill in the table the int that’s on the right side and next to it AS1. Example : "gig0/1 AS1".
Opdracht 2. (Tekening)
- Make a network with the information from the table you just filled up.
- Open another Packet Tracer Device and make a network
* Tip – If you have a router that needs to be connected to the serial go to physical in a router
and put "HVIC-2T".
Opdracht 3. (Controle)
• Controle Activiteiten Controle 1.
Devices zijn te benanderen via ssh (DC1, AS1, AS2, AS3, Edge Router)
Tool : CMD
Command : ssh -l admin (ip)
Resulaat : screenshot
Is resultaat juist voor iedeer device ? : Nee, AS3 wijkt af Correctie : line vty 0
Transport input ssh
Resultaat van correctie : SSH-verbinding met AS3 werkt.

Controle 2.
Devices zijn voorzien van een startup-configuratie.
Tool : CLI
Commando : show startup-config
Resultaat : Screenshot
Is het resulaat juist voor ieder device ? : DC1 wijkt af
Correctie : copy running-config startup-config
Resultaat van correctie : Show startup-config laat een configuratie zien.
Controle 3.
Pasgeleden is een TFTP-server in het beheer VLAN opgenomen. Deze heeft IP-adres 172.16.75.20 /24. Hierop horen alle configuraties van de netwerk devices als backup te staan. Controleer dit.
Tool : TFTP en CLI
Commando : TFTP Service
Resultaat : Screenshot
Is resultaat juist voor ieder device : De configuratie van de Edge en DC1 komen niet voor. Correctie : in Edge Router en in DC1: copy running-config TFTP: 172.16.75.20
Resulaat van correctie : Alle configuraties zijn als backup opgeslagen op de TFTP-server

Controle 4.
Ongebruikte poorten op DC1 staan op shutdown
Tool: SSH/CLI in DC1
Commando: show interfaces status Resultaat: Screenshot
Is het resultaat juist voor ieder device?: Int gig1/0/1
Correctie: int gig1/0/1 tot met gig1/0/10 op shutdown zetten :
Conf t
Int range gig1/0/1-10 Shutdown
Do wr
ex
gig1/0/10 staan niet op shutdown
Resultaat van de correctie: Alle niet gebruikte poorten staan op shutdown.
• Test Activieiten Test 1
Pasgeleden is de VLAN10 (Balie) volledig afgesloten van de rest van het netwerk. Uitzondering is het printer VLAN 40. De baliewerkzaamheden worden sinds kort uitgevoerd door een extern beveiligingsbedrijf. Op deze manier blijven netwerkdelen goed gescheiden. Test of de Access list goed werkt.
Tool: CMD-ping vanuit VLAN10 naar andere VLAN’s Commando: Ping(PC) en show access-lists(DC1)
Resultaat: (Screenshot)
Afwijkingen: Alle ping vanuit VLAN10 worden doorgelaten Impact/Risico: 3
Advies: Access List 102 is niet aan een interface gekoppeld. Alsnog koppelen aan Interface VLAN 10 inkomend.
tot met

Test 2
Op de TFTP Server is tevens een NTP Server geactiveerd. Deze zorgt ervoor dat alle netwerk devices exact dezelfde actuele tijd kennen. Test of de NTP Server de actuele tijd doorgeeft aan de devices. Een afwijking van 10 minuten is toegestaan.
Tool: NTP Service op server, CLI op netwerk devices Commando: show clock
Resultaat: schreenshots
Afwijkingen: Niet alle devices geven de juiste tijd aan. Er kunnen afwijkingen zijn vanwege het simulatiekarakter van Packet Tracer.
Mochten de afwijkingen te groot zijn dan uit- en aanzetten van de NTP-server lost het probleem op. Impact/Risico: 2
Advies: Geen
Test 3
Om te voorkomen dat iedereen met een PC op de AS3 switch in VLAN 50 van de directie kan komen zijn een aantal maatregelen genomen. Op PC VLAN 50 op poort Fa0/11 is portsecurity aangebracht (max 1 gebruiker). Daarnaast zijn alle poorten in VLAN 50 op shutdown gezet. Test of deze securitymaatregelen goed zijn doorgevoerd.
Tool: Packt Tracer/design Commando: show port-security
Show interfaces status
Resultaat: Bij het koppelen van een tweede PC gaat poort FA0/11 in shutdown. (Screenshot van AS3) Het koppelen van een PC aan een andere poorten waarop VLAN 50 actief is lukt niet. Het
gaat om poorten FA0/12-20. (Screenshot van AS3). Afwijkingen: Geen
Impact/Risico: 2
Advies: Geen aanpassingen nodig.

 

Screenshot Internet test 1

<plaats hier screenshot van het resultaat van de betreffende test.>

thewizardofoz_0-1704882000122.png

 

 

 

 

 

 

Screenshot Internet test 2

<plaats hier screenshot van het resultaat van de betreffende test.>

thewizardofoz_1-1704882000127.png

 

Screenshot Internet test 3

<plaats hier screenshot van het resultaat van de betreffende test.>

thewizardofoz_2-1704882000130.png

 

 

 

 

 

 

Screenshot Beveiliging test 4

<plaats hier screenshot van het resultaat van de betreffende test.>

thewizardofoz_3-1704882000135.png

 

Screenshot Beveiliging test 5

<plaats hier screenshot van het resultaat van de betreffende test.>

thewizardofoz_4-1704882000141.png

 

Screenshot Beheer test 6

<plaats hier screenshot van het resultaat van de betreffende test.>

thewizardofoz_5-1704882000144.png

 

 

 

Testopdracht 2

 

De ontwerper van het netwerk vraagt u om inzicht te geven in de configuratie van uw netwerk.

 

Vraag 1

Laat met het juiste “Show-commando”  de routing tabel zien van de Edge Router in het netwerk. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.

thewizardofoz_6-1704882000150.png

 

 

 

 

 

 

 

 

 

 

 

 

 

Vraag 2

Laat met het juiste “Show-commando”  de routing tabel zien van DC1 in het netwerk. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.

thewizardofoz_7-1704882000155.png

 

Vraag 3

Laat met het juiste “Show-commando”  zien dat u DC1 als VTP Server heeft geconfigureerd met de juiste domeinnaam. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.

thewizardofoz_8-1704882000159.png

 

 

 

 

 

 

 

Vraag 4

Laat met het juiste “Show-commando”  de VLAN-database zien van AS3. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.

thewizardofoz_9-1704882000164.png

 

 

Vraag 5

Laat met het juiste “Show-commando”  zien dat DC1 Root bridge is voor VLAN75. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.

thewizardofoz_10-1704882000166.png

 

 

 

 

 

Vraag 6

Laat met het juiste “Show-commando”  zien dat NAT translatie op de juiste manier werkt. Plaats het resultaat in een screenshot hieronder. Laat duidelijk de juiste informatie zien, anders is de vraag niet goed beantwoord. Plaats hieronder maximaal 1 screenshot.

thewizardofoz_11-1704882000168.png

 

 

Configureer de Wan poort van de router (koppeling met ISP)
EdgeRouter(config)#interface g0/0
EdgeRouter(config-if)#ip address dhcp

Configureer NAT translatie op de Edge-router
interface GigabitEthernet0/0
ip nat outside

interface GigabitEthernet0/1
ip nat inside

ip nat inside source list 1 interface GigabitEthernet0/0 overload
access-list 1 permit any

Configureer SSH-toegang op alle switches. Let hierbij op de IP-adressen van de Access switches 1 tot en met 3 in het Technisch Ontwerp. Deze zijn nodig om SSH-toegang mogelijk te maken. Maak deze IP-adressen aan in VLAN 75 op iedere Access Switch.
op elke switch:
int vlan 75
ip address 172.16.75.2

volgende switch
int vlan 75
ip address 172.16.75.3 dus steeds laatste getal anders


AS1(config)#hostname AS1
AS1(config)#ip domain-name Singularity.nl
AS1(config)#crypto key generate rsa

How many bits in the modulus [512]: 2048

AS1(config)#ip ssh versi
AS1(config)#ip ssh version 2
AS1(config)#username admin password welkom
AS1(config)#line vty 0 4
AS1(config-line)#transport input ssh
AS1(config-line)#login local
AS1(config-line)#exit
AS1(config)#do wr
Building configuration...
[OK]
AS1(config)#enable password start

2048 bits omdat een key 1024 bits is en dit is ssh version 2 dus 1024 x 2

TEST OPDRACHTEN
- alle pc's nog op dhcp zetten als internet niet werkt
- als een pc geen dhcp heeft dan moet je ff in de mls een nieuwe dhcp pool maken

SSH CHECKEN

  1. VLAN-database aanmaken in DC1;

DC1(config)#vlan 10

DC1(config-vlan)#name Balie

DC1(config)#Vlan 20

DC1(config-vlan)#name AfterSales

DC1(config-vlan)#Vlan 30

DC1(config-vlan)#nam PreSales

DC1(config-vlan)#vlan 40

DC1(config-vlan)#name Printer

DC1(config-vlan)#vlan 50

DC1(config-vlan)#name Directie

DC1(config-vlan)#vlan 60

DC1(config-vlan)#name Guest

DC1(config-vlan)#vlan 75

DC1(config-vlan)#name Beheer

 

  1. VTP configureren op de switches;

DC1(config)#vtp domain Singularity.nl

Changing VTP domain name from NULL to Singularity.nl

DC1(config)#vtp mode server

 

AS3(config)#vtp domain Singularity.nl

Changing VTP domain name from NULL to Singularity.nl

AS3(config)#vtp mode client

AS3#show vtp status

 

  1. Trunkpoorten aanbrengen tussen de switches (let ook op de redundante verbindingen);

DC1(config)#interface range g1/1/2-4

DC1(config-if-range)#switchport mode trunk

 

  1. Spanning Tree Root bridge en priority instellingen aanbrengen;

DC1(config)#spanning-tree vlan 1-1000 priority 0

AS3(config)#spanning-tree vlan 1-1000 priority 8192

 

  1. Poorten indelen en Access VLAN’s aanmaken;

EdgeRouter(config)#interface g0/0

EdgeRouter(config-if)#ip address dhcp

 

EdgeRouter(config)#interface g0/1

EdgeRouter(config-if)#ip address 172.16.0.1 255.255.255.0

 

DC1(config)#interface g1/0/24

DC1(config-if)#switchport access vlan 75

DC1(config)#interface vlan 75

DC1(config-if)#ip ad 172.16.75.1 255.255.255.0

 

DC1(config)#interface g1/1/1

DC1(config-if)#no switchport

DC1(config-if)#ip ad 172.16.0.2 255.255.255.0

 

AS1(config)#interface range f0/1-10

AS1(config-if-range)#switchport access vlan 10

AS1(config-if-range)#interface range f0/11-20

AS1(config-if-range)#switchport access vlan 20

AS1(config-if-range)#interface f0/21

AS1(config-if)#switchport access vlan 60

 

AS1(config)#interface vlan 10

AS1(config-if)#ip address 172.16.10.1 255.255.255.0

AS1(config-if)#interface vlan 20

AS1(config-if)#ip address 172.16.20.1 255.255.255.0

Cdd

AS2(config)#interface range f0/1-10

AS2(config-if-range)#switchport access vlan 30

AS2(config-if-range)#switchport access vlan 30

AS2(config-if-range)#interface range f0/11-20

AS2(config-if-range)#switchport access vlan 20

AS2(config-if-range)#interface f0/21

AS2(config-if)#switchport access vlan 40

 

AS3(config)#interface range f0/1-10

AS3(config-if-range)#switchport access vl

AS3(config-if-range)#switchport access vlan 30

AS3(config-if-range)#interface range f0/11-20

AS3(config-if-range)#switchport access vlan 50

 

  1. VLAN Gateways configureren op de DC1;

DC1(config)#interface vlan 10

DC1(config-if)#ip address 172.16.10.1 255.255.255.0

DC1(config-if)#interface vlan 20

DC1(config-if)#ip address 172.16.20.1 255.255.255.0

DC1(config-if)#interface vlan 30

DC1(config-if)#ip address 172.16.30.1 255.255.255.0

DC1(config-if)#interface vlan 50

DC1(config-if)#ip address 172.16.50.1 255.255.255.0

DC1(config-if)#interface vlan 60

DC1(config-if)#ip address 172.16.60.1 255.255.255.0

 

  1. DHCP-pools maken op DC1. Vergeet niet Gateway en DNS adres automatisch mee te geven;

DC1(config)#ip dhcp pool Balie

DC1(dhcp-config)#network 172.16.10.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.10.1

DC1(dhcp-config)#dns-server 180.115.0.6

DC1(config)#ip dhcp pool AfterSales

DC1(dhcp-config)#network 172.16.20.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.20.1

DC1(dhcp-config)#dns-server 180.115.0.6

DC1(dhcp-config)#ip dhcp pool Pre-Sales

DC1(dhcp-config)#network 172.16.30.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.30.1

DC1(dhcp-config)#dns-server 180.115.0.6

 

DC1(dhcp-config)#ip dhcp pool Directie

DC1(dhcp-config)#network 172.16.50.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.50.1

DC1(dhcp-config)#dns-server 180.115.0.6

             

DC1(dhcp-config)#ip dhcp pool Guest

DC1(dhcp-config)#network 172.16.60.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.60.1

DC1(dhcp-config)#dns-server 180.115.0.6

 

 

  1. Configureer statische IP-adressen op de printer in SER B en de beheer PC in de MER.

 

  1. Configureer de wifi-instellingen in het Access Point en de Wireless laptop;

 

 

  1. Breng de Access-list aan op de DC1, zodat er vanuit VLAN 60 (Guest) alleen toegang is tot het Internet en niet tot andere VLAN’s. Test dit hier eerst op het LAN;

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.10.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.20.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.30.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.40.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.50.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.75.0 0.0.0.255

DC1(config)#access-list 101 permit ip any any

 

DC1(config)#interface vlan 60

DC1(config-if)#ip access-group 101 in

 

  1. Configureer de connectie tussen de router en de DC1. Let op, dit is een apart netwerk. Maak van poort 1/1/1 een router poort;

 

  1. Configureer OSPF op de Edge Router en DC1;
  2. Configureer de Wan poort van de router (koppeling met ISP);
  3. Configureer NAT translatie op de Edge-router.
  4. Configureer SSH-toegang op alle switches. Let hierbij op de IP-adressen van de Access switches 1 tot en met 3 in het Technisch Ontwerp. Deze zijn nodig om SSH-toegang mogelijk te maken. Maak deze IP-adressen aan in VLAN 75 op iedere Access Switch.

AS1(config)#interface vlan 75

AS1(config-if)#ip address 172.16.75.2 255.255.255.0

AS2(config)#interface vlan 75

AS2(config-if)#ip address 172.16.75.3 255.255.255.0

AS3(config)#interface vlan 75

AS3(config-if)#ip address 172.16.75.4 255.255.255.0

 

AS1(config)#hostname AS1

AS1(config)#ip domain-name Singularity.nl

AS1(config)#crypto key generate rsa

 

How many bits in the modulus [512]: 2048

 

AS1(config)#ip ssh versi

AS1(config)#ip ssh version 2

AS1(config)#username admin password welkom

AS1(config)#line vty 0 4

AS1(config-line)#transport input ssh

AS1(config-line)#login local

AS1(config-line)#exit

AS1(config)#do wr

Building configuration...

[OK]

AS1(config)#enable password start

 

 

Microsoft base analyzer
- Database vinden in mySQL
- SQL database  beveiligen
- Meerdere admins
- Wachtwoorden zijn non-expiring
- In VM Firewall checken
- Staat patching aan?
- Zijn logboeken bijgehouden?
- Auditing (bijhouden wie toegang krijg tot)
- UVC verwijderen (RAT tool) rechtsonderin oogje
- Authenticatie in database moet je inschakelen
- Bestand vinden kladblok met allemaal gegevens in server te vinden bij verkennen.  Daarin zie je persoonsgegevens en dat is een datalek en die moet je benoemen zonder te laten zien wat de gegevens is omtrent avg
-

 

Redenen datalek

Poort database staat open op firewall”

Wachtwoord root niet geconfigureerd of te simpel

 

- Windows systemen; domain policies instellen

 

 

MICROSOFT BASE ANALYZER

- Fullscan > issues

 

 

 

 

 

 

 

 

Technische beveiliging

Netwerk

Reconnaissance

Access Atacks

Denail of Serice (DoS)

 

Om access attacks te vinden log files lezen. Verkeer van een ip adres gekomen

Ip van firewall is van buitenaf

 

Firewall is een machine die verbinding heeft naar buiten en naar binnen en zorgt er dus voor dat er geen dingen van buiten naar binnen komen

 

Veelvoorkomende network attacks

Eavesdropping (afluisteren, sniffing etc)

Rerouting (verkeerde entry in dns of routing table)

Man-in-the-middle (aanvaller vangt commando van jou op naar applicatie en doet daar dan wat mee. Om te voorkomen gebruik https

Password

Application layer

Session replaying of hijaking

 

Beveiligingstechnieken

Firewall

Cisco AAA

^is dus eig accounting oftwel de accounts, authentication is dan je gebruikersnaam en wachwoordbijv en authorization zijn je rechten

Passwords

 

 

DATAKEK VINDEN IN MYSQL

- Gebruikersaccounts > er staan alleen systeem accounts die allemaal all privileges hebben en dat wil je niet. Dus meerdere gebruikers maken die enkele rechten hebben of de systeem accounts lastige wachtwoord geven.
- Systeem account moet sws zwaar beveiligd zijn omdat je daar alles mee kan en alle rechten hebt
- In rechten bewerken kun je wachtwoord veranderen
- Zonder encryptie kan iemand makkelijk aan de info komen
- Poort 3306 in de gaten houden
- Als er in het logboek verkeer vanuit een ander ip dan de webserver komt dan is er dus een datalek geweest
-

 

 

WINDOWS SERVER

- Server manager > group policy management > Domains > defaut domain contoller policy  : checken wat er is ingesteld > default domain policy > edit  > policies > windows settings > security settings >password policy
-

 

 

 

RISICO MATRIX

 

2 3  

Kans verticaal en impact horizontaal

2 3 3

1 2 3

1 1 2

Controle activiteit 1
Beheeractiviteit
Controle Devices zijn te benaderen via SSH
Devices Voer de controles uit op de volgende devices:
DC1, AS1, AS2, AS3, Edge Router

Te gebruiken Tool CMD PC
Te gebruiken commando SSH -l admin <IP-Adres device>
Resultaat Plaats hier per device: Een screenshot van het commando en plusminus 10 regels output.

Is het resultaat juist voor ieder device? Nee, AS3 wijkt af
Indien onjuist welke correctie is nodig? Transport input online VTY niet gedefinieerd
Resultaat correctie SSH-verbinding met AS3 werkt.

Controle Activiteit 2
Beheeractiviteit
Controle Devices zijn voorzien van een startup-configuratie.
Devices Voer de controles uit op de volgende devices:
DC1, AS1, AS2, AS3, Edge Router

Te gebruiken Tool CLI
Te gebruiken commando Show startup-config
Resultaat Plaats hier per device: Een screenshot van het commando en plusminus 5 regels output.

Is het resultaat juist voor ieder device? DC1 wijkt af
Indien onjuist welke correctie is nodig? Copy running-config startup-config
Resultaat correctie Show startup-config laat een configuratie zien.


Controle Activiteit 3
Beheeractiviteit
Controle Pasgeleden is een TFTP-server in het beheer VLAN opgenomen. Deze heeft IP-adres 172.16.75.20 /24. Hierop horen alle configuraties van de netwerk devices als backup te staan. Controleer dit.
Devices Voer de controles uit voor de volgende devices:
DC1, AS1, AS2, AS3, Edge Router

Te gebruiken Tool TFTP en CLI
Te gebruiken commando TFTP Service
Resultaat Plaats hier een juiste screenshot van de TFTP-server

Is het resultaat juist voor ieder device? De configuraties van de Edge Router en DC1 komen niet voor
Indien onjuist welke correctie is nodig? Vanaf Edge Router en DC1: Copy running-config TFTP: 172.16.75.20
Resultaat correctie Alle configuraties zijn als backup opgeslagen op de TFTP-server.
Controle Activiteit 4
Beheeractiviteit
Controle Ongebruikte poorten op DC1 staan op shutdown
Devices Voer de controles uit op de volgende devices:
DC1

Te gebruiken Tool SSH/CLI
Te gebruiken commando Show interfaces status
Resultaat Plaats hier voor DC1: Een screenshot van het commando en plusminus 10 regels output.

Is het resultaat juist voor ieder device? Gig1/0/1 – Gig1/0/10 staan niet op shutdown
Indien onjuist welke correctie is nodig? Interface Gig1/0/1 – Gig1/0/10 op shutdown zetten
Resultaat correctie Alle niet gebruikte poorten staan op shutdown.

dd

Review Cisco Networking for a $25 gift card