IOS är åtkomligt från antingen konsolporten, SSH eller Telnet. Vi föredrar att använda SSH.
För enkelhetens skull använder vi lösenorden cisco eller class. OBS! Endast under laboration!
| Syntax | Beskrivning |
|---|---|
| fetstil | Kommandon och nyckelord som ska skrivas in precis som det visas |
| kursiv stil | Argument till vilka värden ska förses |
| [x] | Valfritt argument x |
| {x} | Nödvändigt argument x |
| [x {y | z}] | Nödvändigt argument x som väljs mellan y och z |
| Kommando / beteckning | Förklaring |
|---|---|
| User EXEC Mode | Ett visningsläge med enbart begränsade tillgängliga kommandon. Prompten börjar då med XXXX> |
| Privileged EXEC Mode | Fullständigt privlegium där alla konfigurationskommandon etc. är tillgängliga. Prompten börjar då med XXXX# |
| Interface Mode | Läge för att konfigurera nätverksinterface |
| Line Mode | Läge för att konfigurera konsol-, Telnet- och SSH-åtkomst |
| enable | Går från User EXEC Mode till Privileged EXEC Mode |
| disable | Går från Privileged EXEC Mode till User EXEC Mode |
| exit | Går från det nuvarande läget (Interface Mode etc.) till det föregående läget |
| end alt. ^z | Avslutar det globala konfigurationsläget oavsett vilket läge som används för närvarande |
| configure terminal | Åtkomst till den globala konfigurationen |
| interface fa0/1 | Åtkomst till Interface Mode |
| description {string} | Lägger till en beskrivning till ett interface |
| ping {ip-address} | Pingar ip-adressen (IPv4 eller IPv6) |
| ? | Åtkomst till context-känslig hjälp |
| configure | Kan förkortas conf för att det är det enda kommandot som börjar med de bokstäverna. |
| hostname {name} | Använd den globala konfigurationen och ersätt namnet på hosten |
| line console 0 | Konfigurationsläge för konsolen |
| line vty 0 15 | Konfigurationsläge för Telnet och SSH (Virtual Terminal - VTY). Cisco enheter stöder vanligtvis 16 sådana linor, numrerade 0-15 |
| password {password} | Väljer lösenord för den nuvarande konfigurationen |
| login | Berätta för enheten till att kräva lösenord |
| service password-encryption | Konfiguration för att använda kryptering på alla lösenord. Använder osäker kryptering, men är mest till för att stå emot shoulder surfing |
| show running-config | Visar den nuvarande konfigurationen |
| show startup-config | Visar konfigurationen som kvarstår på enheten. running-config är enbart den som körs för tillfället och kvarstår inte om den inte sparas |
| copy running-config startup-config | Skriver över den kvarstående konfigurationen med den nuvarande |
| banner motd {delimiter} {message} | Konfigurerar meddelandet som visar när någon försöker komma åt enheten. Argumentet delimiter kan vara vilket tecken som helst, så länge det inte förekommer i meddelandet message (vanligtvis #$%^&*) |
| enable secret {password} | Konfigurerar lösenordet som ska användas för att komma åt den nuvarande konfigurationen |
| reload | Starta om enheten. Kräver ökade privilegium. Används vanligtvis för att återställa den senast sparade konfigurationen - mata då in n alt. no vid frågan om konfigurationen ska sparas |
| erase startup-config | Återställ den kvarstående konfigurationen på systemet. Kräver förhöjda privilegium |
| no shutdown | Starta det nuvarande interfacet (var i interface läge via ex. interface fa0/0) |
| show ip interface brief | Visar status av anslutna interfaces. Kräver förhöjda privilegium |
| ping {ip-address} | Pingar ip-adressen |
| confreg 0x2142 alt. confreg 0x2102 & reset | Återskapa lösenordet |
| no ip domain-lookup | Tillåt inte vissa DNS-lookups |
| show version | Visa IOS-version och annan information |
| show flash | Visa innehåll i flashet. Används vanligtvis för att kontrollera om något VLAN har skapats på switchen (vlan.dat) |
| delete {file} | Tar bort filen. Används vanligtvis för att ta bort VLANet (delete vlan.dat) |
| show clock | Visa tiden. |
| __clock set __ time month day year | Bestäm tiden där time är i formatet hh:mm:ss, day mellan 1-31 och month i formatet oct och year fyrsiffrigt |
| ip address {ip-address} {netmask} | Sätter ip-adressen statiskt till ip-address och masken till netmask |
| mdix auto | Slå på auto-läge för MDIX |
| show ip arp | Visa ARP-tabellen (vilka IP-adresser som har vilka MAC-adresser) (arp -a på windows) |
| show interface F0/[x{0|1}] | Visa brief om interfacet 1 (FastEthernet mellan switchar). Visar bland annat MAC-adress på switchen |
| show mac address-table | Visa nuvarande kända MAC-adresser. Fa0/x är den nuvarande switchen, Gi0/x står för att porten finns på en annan switch i nätverket |
| clear mac address-table dynamic | Rensa den dynamiska delen av MAC-adresserna |
| show ip route | Visa routing table |
| show ipv6 route | Läs ovan. Till IPv6 |
| clock rate 128000 | Konfigurera klockhastighet. Kräver att man är i config-läge för interface Sx/x/x. Om det blir fel, måste den andra änden av kabeln konfigureras. |
| exec-timeout {n} | Sätter antalet inloggningsförsök för EXEC-läget där n är antalet försök |
| auto secure | Magi? |
| show cdp neighbors detail | Visar IP-adresser till grannar |
| debug ip icmp | |
| terminal monitor | Låter dig se loggar även om du inte är ansluten via konsolkabel, d.v.s. Telnet och SSH |
| ip default-gateway {ip} | Bestäm default gateway till ip för en switch |
| show history | Visar kommandohistoriken. Kräver EXEC mode |
| {command} | [x{section|include|exclude}] {y} | Filtrerar. Filtrerar efter en sektion (section) som innehåller y, eller rader som inkluderar (include) y eller rader som inte innehåller (exclude) y |
| logging synchronous | Loggning till konsollen synkroniseras med tangentbordet så det inte kommer i vägen. Bra att ställa in för line console 0 och vty 0 15 |
| ip domain-name name | Sätter domännamnet till name |
| username username privilege x secret password | Skapar kontot username med privilegium nivå v (vanligtvis 15) och lösenordet password |
| transport input ssh | Sätter VTY:n till SSH (istället för telnet) |
| login local | Tvingar att använda den lokala användardatabasen för att autentisera användaren (läggs till med username ….) |
| crypto key generate rsa modulus x | Generera RSA-nycklar på x bitar (Cisco verkar köra på 1024...) |
| duplex auto | Sätter duplex-läget för interfacet till auto |
| speed auto | Sätter hastigheten för interfacet till auto |
| mdix auto | Anpassa automatiskt efter kabeln för interfacet |
| shutdown | Stäng av interfacet |
| switchport port-security mac-address mac-address… | Använd tillåtna statiska MAC-adresser, manuellt |
| switchport port-security mac-address sticky mac-address | Använd dynamiskt lärda MAC-adresser som sparas permanent |
| switchport mode access [x {access | trunk}] | Väljer läge för porten. access är det vanliga, trunk för en VLAN-trunk |
| switchport port-security | Sätter max tillåtna MAC-adresser som tillåts till 1 och om det överskrids stängs porten av |
| switchport port-security maximum {x} | Antal MAC-adresser som tillåts från porten |
| switchport port-security violation | Ändra vad som händer om säkerhetspolicyn överskrids |
| switchport port-security mac-address {x} | Typ av säkerhetsläge för porten (sticky, dynamic, static) |
| show port-security interface {interface} | Visar en brief om porten (så som max tillåtna MAC-adresser etc.) |
| show port-security address | Visar inlärd MAC-adresser för en specifik port |
| show vlan brief | En översikt av VLAN-nätverk |
| switchport access vlan {id} | Tilldela interfacet VLAN id |
| vlan {x} | Gå in i konfigurationsläge för VLAN x |
| no vlan {id} | Ta bort VLAN id |
| show vlan name {id} | Visa information om VLAN id |
| login block-for 180 attempts 2 within 30 | Blockera en enhet från att försöka logga in i 180 sekunder om den misslyckas 2 gånger inom 30 sekunder |
| show ip ssh | Visa SSH-konfiguration |
| ip ssh time-out {x} | Sätter timeout för SSH-anslutningen till x (75) sekunder |
| ip ssh authentication-retries {x} | Tillåter max x (2) försök - notera: börjar räkna från 0, d.v.s. 2 innebär tre försök |
| show ip http server status | Visa status för http-server (enbart åtkomligt från VLAN 99 / management) |
| no ip http server | Stänger av HTTP-varianten för konfigurations-webbplatsen |
| logging host {ip} | Sätt Syslog-servern till ip |
| logging trap ? | Visa befintliga Syslog-nivåer |
| logging trap {x} | Sätter log-nivån till x |
| ntp master {x} | Sätter antalet steg från stratum som tillåts |
| ntp server {ip} | Sätter NTP-server till ip - används för att synkronisera klockan |
| ntp update-calendar | Uppdaterar från NTP-servern |
| ip nat [direction {in|out}] | Sätter riktningen på NAT-en till interfacet |
| ip nat inside source static {IP 1} {IP 2} | Bestämmer vilken intern adress IP 1 som ska översättas till den externa adressen IP 2 |
| access-list {x} remark {description} | Sätter en beskrivning för ACL:n x (så som 1) |
| __access-list __ {x} permit {network} {mask} | Tillåter nätverk network (nätverksadressen) med nätmasken mask att gå igenom ACL x (så som 1) |
| access-list {x} deny any | Tillåt ingen annan än de tidigare konfigurerade näten att gå igenom filtret |
| ip access-group {1} [direction{in|out}] | Aktivera ACL:n x (så som 1) på direction (in-/ut-gående) trafik på det nuvarande interfacet |
| router rip | Aktivera dynamisk routing med RIP-protokollet. Kalla direkt efter version 2 för att aktivera den nyare versionen |
| network {network} | I konfigurationsläget för RIP-protokollet. Lägger till nätverket network (nätverksadress) |
| ip helper-address {ip} | Dirigerar om alla DHCP-förfrågningar till interfacet till ip |
| ip dhcp exclude-address {ip} [ip2] [ip3]... | Tar bort adresserna från IP-poolen. Bra för adresser så som routerns och switchens |
| ip dhcp pool {name} | Går in i konfigurationsläge för DHCP |
| network {network} {mask} | I konfigurationsläget för DHCP. Bestämmer nätverksadressen (network) och nätmasken (mask) att använda |
| default-router {ip} | I konfigurationsläget för DHCP. Bestämmer default-gateway som ska användas |
| dns-server {ip} [ip2] | I konfigurationsläget för DHCP. Bestämer IP-adresser som ska användas till DNS |
| domain-name {name} | I konfigurationsläget för DHCP. Tilldelar domännamnet så som CCNA-lab.com |
| lease {x} | I konfigurationsläget för DHCP. Delar ut adresser som håller i två dagar. Default är att de håller för evigt |
| terminal length 0 | Sätter terminalens längd till "oändligheten" så att exempelvisshow running-config matar ut hela konfigurationen utan att skriva ut - -More- -. |
| Kortkommandon | Beskrivning |
|---|---|
| Pil upp | Används för att skrolla nedåt i exempelvis kommando-historiken |
| Pil ned | Används för att skrolla uppåt i exempelvis kommando-historiken |
| Tab | Fyller i resten av ett delvis ifyllt kommando |
| CTRL-A | Flytta pekaren till början av raden |
| CTRL-E | Flytta pekaren till slutet av raden |
| CTRL-R | Visar raden på nytt |
| CTRL-Z | Avslutar konfigurationsläget och går tillbaka till User EXEC Mode |
| CTRL-C | Avslutar konfigurationsläget och avslutar det nuvarande kommandot |
| CTRL-SHIFT-6 | Skickar en interrupt-signal till det nuvarande kommandot, exempelvis ping |
Filtermöjligheten:
| (pipe) kan användas för att filtrera - likt grep. Det går att lägga till antingen section, include eller exclude efter | för att filtrera en sektion o.s.v.
Det går att felsöka systemet genom att kontrollera LED-lamporna vid portarna:
- Av - ingen länk
- Grönt - länk ansluten
- Blinkande grönt - aktiv data-överförning
- Blinkande grönt och oranget - länk-fel
- Oranget - porten skickar inte data. Vanligt de första 30 sekunderna efter anslutning
- Blinkande oranget - porten är blockad för att stoppa en switch-loop
Anslut till enheten via konsol-kabel.
# Höj privilegium
Switch> enable
# Rensa konfigurationen
Switch# erase startup-config
# Se om några VLAN har skapats (vlan.dat)
Switch# show flash
# Ta i sådant fall bort dem
Switch# delete vlan.dat
# Starta om
Switch# reload
# Höj privilegium
Switch> enable
# Gå till global config mode
Switch# configure terminal
# Sätt hostname till S1
Swich(config)# hostname S1
# Lösenordsskydda privileged EXEC mode
S1(config)# enable secret class
#####Konfigurera console
# Gå till console config mode
S1(config)# line console 0
# Lösenordsskydda åtkomst över konsollen
S1(config-line)# password cisco
# Aktivera synkron loggning
S1(config-line)# logging synchronous
# Aktivera lösenordet
S1(config-line)# login
# Gå till vty config mode (telnet)
S1(config-line)# line vty 0 15
# Lösenordsskydda åtkomst över vty
S1(config-line)# password cisco
# Aktivera synkron loggning
S1(config-line)# logging synchronous
# Aktivera lösenordet
S1(config-line)# login
# Gå tillbaka till det globala konfigurationsläget
S1(config-line)# exit
# Bestäm domännamnet för enheten - tvingat
S1(config)# ip domain-name CCNA-lab.com
# Konfigurera inloggning med användare admin och lösenord cisco
S1(config)# username admin privilege 15 secret cisco
S1(config)# line vty 0 4
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit
S1(config)# ip ssh version 2
S1(config)# crypto key generate rsa modulus 1024
# Tillåt anslutningsförsök i 75 sekunder
S1(config)# ip ssh time-out 75
# Tillåt 2+1 inloggningsförsök innan anslutningen stängs
S1(config)# ip ssh authentication-retries 2
# Slå på kryptering av lösenord i sparade konfigurationer
S1(config)# service password-encryption
# Sätt ett meddelande som visas vid åtkomst
S1(config)# banner motd # Unauthorized access is not allowed#
# Om router, tillåt inte DNS
R1(config)# no ip domain-lookup
# Gå till config läge för interfacet vlan1 (Switch) alt. F0/1 (Router) alt. S/1/0
S1(config)# interface vlan1
alt.
R1(config)# interface F0/1
# Sätt en beskrivning
S1(config-if)# description Beskrivning
# Sätt IP-adress och nätmask
S1(config-if)# ip address 192.168.1.2 255.255.255.0
alt.
S1(config-if)# ipv6 address 2001:db8:acad:3::1/64
# Om interfacet är en seriell kabel (router, DCE) välj clock rate
R1(config-if)# clock rate 128000
# Om ett felmeddelande uppstår måste den andra änden konfigureras
R2(config-if)# clock rate 128000
# Aktivera interfacet
S1(config-if)# no shutdown
# Gå tillbaka till det globala konfigurationsläget
S1(config-if)# exit
# Bestäm default gateway för switchar
S1(config)# ip default-gateway 192.168.10.1
Notera: endast medlemmar i VLAN 99 kommer åt Telnet och SSH
# Skapa management VLAN-et
S1(config)# vlan 99
# Tilldela ett namn
S1(config-vlan)# name Management
# Gå tillbaka till det globala konfigurationsläget
S1(config-vlan)# exit
# Konfigurera management-vlanet
S1(config)# interface vlan 99
# Tilldela ip
S1(config-if)# ip address 172.16.99.11 255.255.255.0
# Aktivera interface
S1(config-if)# no shutdown
# För varje enhet som ska använda VLANet:
# Gå till konfigurationsläge för interfacet med anslutningen
S1(config-if)# interface F0/5
# Aktivera interfacet som access
S1(config-if)# switchport mode access
# Tillåt interfacet att använda VLAN till 99 (management)
S1(config-if)# switchport access vlan 99
Detta görs för varje interface som ska agera trunk. Det vill säga om två Switchar ska kopplas samman görs detta för båda sidor.
# Konfigurera valt interface
S1(config-if)# interface interface_id
# Tvinga länken att vara en VLAN-trunk
S1(config-if)# switchport mode trunk
# Specifiera VLAN för otaggade frames där vlan_id är en id för ett VLAN
S1(config-if)# switchport trunk native vlan vlan_id
# Specifiera tillåtna VLAN för trunk-länken där vlan-list är en eller flera VLAN id
S1(config-if)# switchport trunk allowed vlan vlan-list
S1(config-if)# interface F0/1
S1(config-if)# duplex auto
S1(config-if)# speed auto
S1(config-if)# mdix auto
S1(config-if)# exit
R1(config)# interface loopback 0
R1(config-if)# ip address 10.0.0.1 255.255.255.0
R1(config-if)# exit
Utfärda network {ip} för direkt påkopplade nätverk (vanligtvis F0/0 och S0/1/0) (dess nätverksadress). Detta görs för alla routrar.
R1(config)# router rip
R1(config-router)# version 2
R1(config-router)# network 192.168.87.192
R1(config-router)# network 192.168.86.0
R1(config-router)# exit
På router som agerar DHCPv4-server:
# Ta bort ett par addresser från adress-poolen (så som routerns)
R1(config)# ip dhcp excluded-address 192.168.0.1 192.168.0.9
# Konfigurera adresspoolen R1G1 (kan ha annat namn)
R1(config)# ip dhcp pool R1G1
# Berätta för enheter vilket nätverk de är på
R1(dhcp-config)# network 192.168.1.0 255.255.255.0
# Berätta för enheter om default-gateway
R1(dhcp-config)# default-router 192.168.1.1
# Berätta för enheter att använda Googles DNS-servrar
R1(dhcp-config)# dns-server 8.8.8.8 8.8.4.4
R1(dhcp-config)# domain-name ccna-lab.com
# Tilldela IP-adresser i 2 dagar
R1(dhcp-config)# lease 2
R1(dhcp-config)# exit
På alla andra routrar:
# Vidarebefodra alla DHCPv4-förfrågningar till G0/0 till R1
R2(config)# interface G0/0
R2(config)# ip helper-address 192.168.2.254
# Konfigurera beskrivning av ACL 1
R1(config)# access-list 1 remark Description
# Tillåt ett nätverk
R1(config)# access-list 1 permit 192.168.10.0 0.0.0.255
# Neka alla andra
R1(config)# access-list 1 deny any
# Konfigurera interface där ACL:n ska vara aktiv
R1(config)# interface F0/1
# Tilldela ACL:n ingående (in) eller utgående (out)
R1(config-if)# ip access-group 1 {direction}
# Översätt adresser från IP1 till IP2
R1(config)# ip nat inside source static IP1 IP2
# Konfigurera vad som är internt (inside) (koppling till switch)
R1(config)# interface F0/1
R1(config-if)# ip nat inside
# Konfigurera vad som är externt (outside) (koppling till ISP)
R1(config-if)# interface S0/1/1
R1(config-if)# ip nat outside
För routern som ska agera NTP-server
# Bestäm den nuvarande tiden
R1# clock set 9:39:00 05 july 2013
R1# configure terminal
# Konfigurera NTP master (antal steg från stratum som tillåts)
R1(config)# ntp master 5
För alla andra routrar:
# Använd R1 som NTP-server
R2(config)# ntp server 10.1.1.1
# Uppdatera
R2(config)# ntp update-calendar
# Skicka loggningsmeddelande till en syslog-server på IPn
R1(config)# logging host 172.16.2.3
# Visa befintliga nivåer av loggning
R1(config)# logging trap ?
# Konfigurera minsta nivå
R1(config)# logging trap 4
# Stäng av alla interface som inte används
S1(config)# interface range F0/1, F0/3 - 4
S1(config-if-range)# shutdown
S1(config)# exit
# Stäng av HTTP-varianten av webbsidan
S1(config)# no ip http server
# Lås MAC-adresser för portar (så som router-switch)
S1(config)# interface F0/5
S1(config-if)# shutdown
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx
# Bestäm maximalt antal tillåtna (x) mac-adresser innan interfacet stängs ned
S1(config-if)# switchport port-security maximum x
S1(config-if)# no shutdown
# Gå tillbaka till det globala konfigurationsläget
S1(config-if)# exit
# Gå tillbaka till USER MODE
S1(config)# exit
# Validera NIC-konfiguration
S1# show ip interfaces brief
# Validera den nuvarande konfigurationen
S1# show running-config
# Validera VLAN-konfiguration
S1# show vlan brief
# Validera port security för använda interface (ersätt F0/1)
S1# show port-security interface F0/1
# Validera att inlärda MAC-adresser för portar
S1# show port-security address
# Validera vilka MAC-adresser som är anslutna just nu
S1# show mac address-table
# Validera vilka adresser som lärts in via ARP
S1# show ip arp
# Validera SSH-konfiguration
S1# show ip ssh
# Validera utlånade IP-adresser
R1# show ip dhcp binding
# Validera DHCP-adresspool
R1# show ip dhcp pool
# Validera DHCP-statistik
R1# show ip dhcp server statistics
# Validera HTTP(S)-serverkonfiguration
S1# show ip http server status
# Validera ACL:er
R1# show access-lists
# Validera NAT
R1# show ip nat translations
# Validera NTP
R1# show ntp associations
# Skriv över den sparade konfigurationen med den nuvarande
S1# copy running-config startup-config
# Ladda om konfigurationen från den nu sparade
S1# reload