Essentielles Cisco-Befehl-Spickzettel für die Gerätekonfiguration
Einführung
Das Cisco IOS (Internetwork Operating System) bietet Administratoren die Möglichkeit, Cisco-Geräte zu verwalten und zu konfigurieren. Obwohl die Befehlsstruktur von Cisco proprietär ist, veranschaulicht sie grundlegende Konzepte im Management von Netzwerkgeräten, die auf verschiedene Anbieter anwendbar sind. Ähnliche Befehlszeilenschnittstellen (CLIs) und Konfigurationsprinzipien finden sich in Systemen anderer großer Netzwerkunternehmen wie Aruba, Juniper und Broadcom, was es Netzwerkprofis ermöglicht, ihre Fähigkeiten mit einigen Anpassungen plattformübergreifend einzusetzen.
Dieser Artikel bietet ein Spickzettel, den Sie als schnellen Befehlsführer für die Verwaltung und Konfiguration von Cisco-Netzwerkgeräten verwenden können. Es werden Screenshots bereitgestellt, um einige Befehle Schritt für Schritt in Aktion zu zeigen; sie wurden über eine Konsolenverbindung zum Router oder Switch aufgenommen.
Übersicht über die Struktur der Command-Line Interface (CLI)
Befehlsmodi
Die Cisco IOS-Befehlszeilenschnittstelle (CLI) ist hierarchisch mit den folgenden Befehlsmodi strukturiert:
- Benutzer EXEC-Modus — Dies ist der Standardmodus beim Anmelden an einem Cisco-Gerät. Er bietet begrenzten Zugriff und erlaubt nur grundlegende Überwachungsbefehle, während die Möglichkeit zur Vornahme von Konfigurationsänderungen eingeschränkt ist. Er ist erkennbar an einer Eingabeaufforderung, die mit > endet.
- Privileged EXEC-Modus — Dieser erhöhte Modus gewährt Zugriff auf alle Show-Befehle und Systemebenenoperationen. Er bietet vollständige Einblicke in das System, jedoch keinen Konfigurationszugriff. Außerdem ermöglicht er Benutzern, Gerätediagnosen und Dateiverwaltungsaufgaben durchzuführen. Dieser Modus wird durch eine Eingabeaufforderung gekennzeichnet, die mit # endet.
- Globaler Konfigurationsmodus — Dieser hochprivilegierte Modus ermöglicht es Ihnen, systemweite Konfigurationsänderungen vorzunehmen und bietet Zugriff auf verschiedene Untermodi für spezifische Konfigurationen, wie z.B. Schnittstelleneinstellungen. Im diesem Modus enthält die Eingabeaufforderung (config)#.
Wechseln zwischen Befehlsmodi
Wenn Sie sich zum ersten Mal bei einem Cisco-Router oder -Switch anmelden, befinden Sie sich im User EXEC-Modus. Verwenden Sie die folgenden Befehle, um in privilegiertere Modi zu wechseln:
- aktivieren — Wird verwendet, um den Privileged Exec-Modus zu erreichen
- config terminal (oder einfach config t) — Wird verwendet, um den Globalen Konfigurationsmodus zu erreichen
Die Befehle werden im folgenden Screenshot angezeigt:
Der Global Configuration-Modus kann in mehrere Untermodi unterteilt werden, die es Ihnen ermöglichen, verschiedene Komponenten zu konfigurieren. Hier sind diese Untermodi und die Befehle, um auf sie zuzugreifen:
|
Modus zur Konfiguration der Schnittstelle |
Schnittstelle [interface-type] [interface-number] |
|
Modus zur Konfiguration von Subinterfaces |
Schnittstelle [interface-type] [interface-number].[subinterface-number] |
|
Router-Konfigurationsmodus |
Router [Routing-Protokoll] |
|
Modus für die Leitungskonfiguration |
Zeile [line-type] [line-number] |
Jetzt, da Sie die Befehle kennen, um in die höher privilegierten Modi zu wechseln, hier sind die Befehle, um sich wieder aus ihnen herauszuarbeiten.
- exit — Wird verwendet, um eine Ebene im Hierarchiemodus der Konfiguration zurückzugehen. Der folgende Screenshot zeigt den Administrator, der in den Privileged Exec-Modus zurückkehrt:
- end — Wird verwendet, um sofort vom beliebigen Konfigurationsmodus in den Privileged EXEC-Modus zurückzukehren. Dies ist nützlich, um schnell aus verschachtelten Konfigurationsebenen zu gelangen.
Anzeige der Systemkonfiguration
Nachdem Sie sich bei einem Cisco-Gerät angemeldet haben, möchten Sie wahrscheinlich dessen grundlegende Systemeinstellungen einsehen. Dies kann einfach durch Eingabe von show running-config oder einfach show run erfolgen. Dieser Befehl zeigt die aktive Konfiguration an, die im Speicher des Geräts gespeichert ist.
Beachten Sie im folgenden Screenshot, dass wir zuerst den Befehl im User Exec-Modus versucht haben, wo er aufgrund unzureichender Privilegien fehlschlug. Der Screenshot zeigt nur einen Teil der laufenden Konfiguration.
Zu den weiteren Befehlen, die mit der Konfiguration zusammenhängen, gehören die folgenden:
|
show startup-config |
Zeigt die gespeicherte Konfiguration an, die im NVRAM des Geräts gespeichert ist und beim Start des Geräts geladen wird |
|
copy running-config startup-config |
Ersetzt die Startkonfiguration durch die aktive Konfiguration, wenn das Cisco-Netzwerkgerät initialisiert wird |
|
Kopiere startup-config in running-config |
Führt die Startkonfiguration mit der derzeit aktiven Konfiguration im RAM zusammen |
|
write erase erase startup-config |
Löscht die Startkonfiguration |
Tastenkürzel und Befehlsverlauf
Hier sind einige zusätzliche Befehle für eine schnelle Navigation:
- Ctrl+Z — Verwenden Sie diese Tastenkombination jederzeit, um sofort jeden Konfigurationsmodus zu verlassen und in den Privileged EXEC-Modus zurückzukehren
- Tabulatortaste — Verwenden Sie diese Taste, um teilweise Befehle automatisch zu vervollständigen oder mögliche Vervollständigungsoptionen anzuzeigen.
- Pfeiltasten nach oben & unten — Verwenden Sie diese Tasten, um durch vorherige Befehle zu navigieren.
- Verlauf anzeigen — Verwenden Sie diesen Befehl, um den Befehlsverlaufspuffer anzuzeigen.
Einrichtung des Geräts und grundlegende Konfiguration
Ein Gerät umbenennen
Die in der früheren Bildschirmaufnahme angezeigte laufende Konfiguration zeigte router als Hostnamen. Dies ist der Standardname für einen Cisco-Router, so wie switch der Standardname für einen Cisco-Switch ist. Der Name des Geräts erscheint im Befehlsprompt.
Verwenden Sie den Befehl hostname, um den Namen eines Geräts zu ändern. Wählen Sie einen eindeutigen Namen für jedes Gerät, um eine einfache Identifikation innerhalb des Netzwerks zu gewährleisten. Im folgenden Beispiel haben wir den Namen des Routers in NorthOfficeRouter geändert. Beachten Sie, wie der neue Name Teil der abschließenden Eingabeaufforderung ist.
Eine IP-Adresse zuweisen
Sie werden auch eine IP-Adresse dem Gerät zuweisen wollen, um es fernzusteuern. Wählen Sie die Schnittstelle aus, der Sie die IP-Adresse zuweisen möchten und folgen Sie diesen Schritten:
- Geben Sie den Konfigurationsmodus für die Schnittstelle ein:
Schnittstelle <interface-name>
- Weisen Sie eine IP-Adresse und Subnetzmaske zu:
IP-Adresse <IP-address>
- Aktivieren Sie die Schnittstelle:
kein Herunterfahren
Hier ist, wie dieses Verfahren im Cisco IOS aussieht. Beachten Sie, dass config-if darauf hinweist, dass Sie sich im Interface Configuration-Untermodus befinden.
Passwörter konfigurieren
Da wir uns auf einem neuen Gerät angemeldet haben, mussten wir kein Passwort eingeben. Hier sind die Befehle, um Passwörter zu aktivieren und die Sicherheit zu erhöhen:
|
Passwort <pass-value> aktivieren |
Definiert das erforderliche Passwort, wenn der Befehl enable verwendet wird |
|
enable secret <pass-value> |
Legt das Passwort fest, das jeder Benutzer benötigt, um in den Enable-Modus zu gelangen, und verschlüsselt es |
|
Service Passwort-Verschlüsselung |
Weist die Cisco IOS-Software an, die Passwörter, CHAP-Geheimnisse und ähnliche in ihrer Konfigurationsdatei gespeicherte Daten zu verschlüsseln |
Banner konfigurieren
Es gibt auch eine Vielzahl von Bannern, die Sie konfigurieren können:
- Nachricht des Tages (motd) Banner:
banner motd #Unbefugter Zugriff verboten#
- Login-Banner:
Banner-Anmeldung #Bitte geben Sie Ihre Anmeldeinformationen ein#
- Ausführungsbanner:
Banner exec #Willkommen im Netzwerk#
Konfiguration wechseln
Switches dienen einem anderen Zweck als Router und verwenden daher unterschiedliche Befehle. Hier sind einige Schlüsselkonzepte zu verstehen:
- Switchport-Modus — Der Switchport-Modus bestimmt, wie der Port den VLAN-Verkehr behandelt. Die drei Hauptmodi sind Access-Modus, Trunk-Modus und Dynamischer Modus.
- Duplex-Geschwindigkeit — Duplex-Einstellungen bestimmen, ob der Port Daten gleichzeitig senden und empfangen kann. Sie können half, full oder auto. Auto ermöglicht dem Switch, die Duplex-Einstellung mit dem verbundenen Gerät auszuhandeln.
- Geschwindigkeit — Diese Einstellung bestimmt die Datenübertragungsrate des Ports. Abhängig von den Fähigkeiten des Switches kann die Geschwindigkeit auf 10 Mbps, 100 Mbps, 1000 Mbps (1 Gbps) oder automatisch eingestellt werden.
VLAN-Konfiguration
Die VLAN-Konfiguration ist ein entscheidender Aspekt der Netzwerksegmentierung und -verwaltung. Im Global Configuration-Modus können Sie die folgenden Befehle verwenden:
|
vlan <vlan-id> |
Erstellt ein VLAN |
|
VLAN <vlan-name> |
Weist dem VLAN einen Namen zu |
|
VLAN-Switchport-Zugriff VLAN <vlan-id> |
Legt das VLAN fest, zu dem die Schnittstelle gehört |
|
no vlan <vlan-id> |
Löscht ein VLAN |
|
show vlan |
Zeigen Sie die VLAN-Konfiguration an |
Das folgende Bildschirmfoto zeigt die Befehle für die grundlegende Portkonfiguration:
Spanning Tree Protocol (STP) Befehle
Das Spanning Tree Protocol ist eine Funktion von Cisco-Switches, die dabei helfen kann, Netzwerkschleifen zu verhindern. STP ist standardmäßig auf Cisco-Switches für alle VLANs aktiviert. Sie können die STP-Einstellungen global für den gesamten Switch ändern oder spezifische Konfigurationen auf einzelne Schnittstellen oder VLANs anwenden, um die STP-Funktionsweise in verschiedenen Teilen Ihres Netzwerks fein abzustimmen. Der Befehl lautet wie folgt:
spanning-tree mode rapid-pvst
Trunk-Ports konfigurieren
Ports, die mehreren VLAN-Verkehr tragen müssen, müssen getrunkt werden. Zuerst müssen Sie den Port trunkieren und dann die VLANs zuweisen. Hier sind die Befehle:
switchport trunk native vlan <vlan-id>
Das Konfigurieren von Trunk-Ports auf Cisco-Switches beinhaltet die Verwendung der Befehle switchport trunk und switchport trunk allowed vlan . Hier sind weitere Details zu diesen Befehlen:
|
switchport trunk native vlan <vlan-id> |
Aktiviert den Trunk-Modus für den Port und legt das native VLAN für ungetaggten Verkehr auf dem Trunk fest |
|
switchport trunk allowed vlan <vlan-id> |
Fügt die angegebenen VLANs zur aktuellen Liste hinzu |
|
switchport trunk allowed vlan remove <vlan-id> |
Removes the specified VLANs from the allowed list |
Der Screenshot unten zeigt diese VLAN-Befehle in Aktion:
Netzwerktechnik-Grundlagen
IP-Adressierung und Subnetting
Die folgenden Befehle werden für die IP-Adressierung und das Subnetting verwendet:
|
ip address <ip-value> <bnet-value> |
Assigns an IP and subnet mask |
|
show ip interface <interface-number> |
Displays the status of a network interface as well as a detailed listing of its IP configurations and related characteristics |
|
show ip interface brief |
Provides a concise summary of the IP interface status and configuration |
|
ip address <ip-value> <subnet-value> secondary |
Assigns a secondary IP address |
|
no ip address |
Removes an IP address |
Der Screenshot unten zeigt die Ausgabe des Befehls show ip interface brief:
Konfiguration von Routing-Protokollen
Sie können die folgenden Befehle verwenden, um Routing-Protokolle zu konfigurieren:
|
ip route <network-number> <network-mask> {<ip-address> | <exit-interface>} |
Sets a static route in the IP routing table |
|
ip route 0.0.0.0 0.0.0.0 {next-hop-ip | exit-interface} |
Configures a default route |
|
no ip route {network} {mask} {next-hop-ip | exit-interface} |
Removes a route |
|
router rip |
Enables a Routing Information Protocol (RIP) routing process, which places you in Router Configuration mode |
|
no auto-summary |
Disables automatic summarization |
|
version 2 |
Configures the software to receive and send only RIP version 2 packets |
|
network ip-address |
Associates a network with a RIP routing process |
|
passive-interface interface |
Sets the specified interface to passive RIP mode, which means RIP routing updates are accepted by, but not sent out of, the interface |
|
show ip rip database |
Displays the contents of the RIP routing database |
|
default-information originate |
Generates a default route into RIP |
Der Screenshot unten zeigt die Konfiguration einer statischen Route und die Konfiguration einer Standardroute für alle anderen Netzwerke:
Konfiguration der Network Address Translation (NAT)
Verwenden Sie die folgenden Befehle, um NAT zu konfigurieren. Damit können private IP-Adressen in einem lokalen Netzwerk in öffentliche IP-Adressen übersetzt werden, bevor sie über das Internet gesendet werden.
|
ip nat [inside | outside] |
Specifies whether the NAT operation is applied to traffic entering or leaving the router’s network |
|
ip nat inside source {list{access-list-number | access-list-name}} interface type number[overload] |
Establishes dynamic source translation. Use the list keyword to specify an ACL to identify the traffic that will be subject to NAT. The overload option enables the router to use one global address for many local addresses |
|
ip nat inside source static local-ip global-ip |
Establishes a static translation between an inside local address and an inside global address |
Fehlerbehebung und Diagnose
Nachfolgend finden Sie Befehle, die Ihnen bei der Fehlerbehebung und bei grundlegenden Diagnosen helfen:
|
ping {hostname | system-address} [source source-address] |
Reveals basic network connectivity |
|
traceroute {hostname | system-address} [source source-address] |
Traces the route that packets take to reach a destination |
|
show interfaces |
Displays detailed information about interface status, settings and counters |
|
show ip route |
Shows the routing table of the device |
|
show interface status |
Displays the interface line status |
|
show interfaces trunk |
Lists information about the currently operational trunks and the VLANs supported by those trunks |
|
show version |
Displays information about the IOS version, uptime and hardware configuration |
|
show running-config |
Displays the current active configuration on the device |
|
show tech-support |
Generates a comprehensive report of the device's configuration and status (useful for advanced troubleshooting) |
|
show cdp |
Shows whether CDP is enabled globally |
|
show cdp neighbors [detail] |
Lists summary (or detailed) information about each neighbor connected to the device |
|
cdp run |
Enables or disables Cisco Discovery Protocol (CDP) for the device |
|
show mac address-table |
Displays the MAC address table |
|
show vtp status |
Lists the current VLAN Trunk Protocol (VTP) status, including the current mode |
Sicherheitskonfiguration
Sie können Zugriffskontrolllisten konfigurieren, um den Datenverkehr zu und von Ihrem Cisco-Gerät zu beschränken und zuzulassen. Verwenden Sie die folgenden Befehle:
|
password <pass-value> |
Lists the password that is required if the login command (with no other parameters) is configured |
|
username name password <pass-value> |
Defines one of possibly multiple user names and associated passwords used for user authentication. It is used when the login local line configuration command has been used. |
|
enable password <pass-value> |
Defines the password required when using the enable command |
|
enable secret <pass-value> |
Sets the password required for any user to enter enable mode |
|
service password-encryption |
Directs the Cisco IOS software to encrypt the passwords, CHAP secrets and similar data saved in its configuration file |
|
ip access-list {standard | extended} {acl-name | acl-number |
Creates a standard or extended ACL |
|
permit source <source-wildcar> |
Adds permit rules for a Standard ACL |
|
deny source <source-wildcard> |
Adds deny rules for an Extended ACL |
|
ip access-group {acl-name | acl-number} {in | out} |
Applies an ACL to an interface |
|
show access-lists [acl-name | acl-number] |
Displays ACL configuration |
|
no ip access-list {standard | extended} {acl-name | acl-number} |
Removes an ACL |
|
ip domain-name name |
Configures a DNS domain name |
|
crypto key generate rsa |
Creates and stores (in a hidden location in flash memory) the keys that are required by SSH |
|
transport input {telnet | ssh} |
Defines whether Telnet or SSH access is allowed into this switch. Both values can be specified in a single command to allow both Telnet and SSH access, which are the default settings |
|
ntp peer <ip-address> |
Configures the software clock to synchronize a peer or to be synchronized by a peer |
Der Screenshot unten zeigt die Befehle für eine erweiterte ACL:
Konfiguration von SSH und Fernzugriff
Verwenden Sie die folgenden Befehle, um SSH und den Fernzugriff zu konfigurieren:
|
hostname <name> |
Sets a hostname (if not already configured) |
|
ip domain-name [domain-name] |
Configures an IP domain name |
|
crypto key generate rsa |
Generates an RSA key pair for SSH |
|
ip ssh version 2 |
Configures SSH version 2 |
|
username [username] privilege [level] secret [password] |
Creates a local user account |
|
Router(config)# line vty [line-range] Router(config-line)# transport input ssh Router(config-line)# login local |
Configures VTY lines for SSH access |
Der Screenshot unten zeigt die Erstellung der RSA-Schlüssel:
Implementierung der Port-Sicherheit
Verwenden Sie die folgenden Befehle, um die Port-Sicherheit zu implementieren:
|
switchport port-security |
Enables port security on the interface |
|
switchport port-security maximum <number> |
Sets the maximum number of secure MAC addresses on the port |
|
switchport port-security mac-address {mac-addr | {sticky [mac-addr]}} |
Adds a MAC address to the list of secure MAC addresses and optionally configures them as sticky on the interface |
|
switchport port-security violation {shutdown | restrict | protect} |
Sets the action to be taken when a security violation is detected |
|
show port security [interface interface-id] |
Displays information about security options configured on the interface |
Der Screenshot unten zeigt den Prozess der Konfiguration der Port-Sicherheit auf einem Switch-Port.
Verwaltung von Benutzerkonten
Sie können die folgenden Befehle verwenden, um Benutzerkonten zu verwalten:
|
username <username> privilege <level> secret <password> |
Creates a local user account |
|
show users |
Displays current user sessions |
|
no username <username> |
Removes a user account |
|
security passwords min-length <length> |
Sets password complexity requirements |
DHCP-Konfiguration
Verwenden Sie die folgenden Befehle, um DHCP zu konfigurieren:
|
ip address dhcp |
Acquires an IP address on an interface via DHCP |
|
ip dhcp pool <pool-name> |
Configures a DHCP address pool on a DHCP server and enters DHCP Pool Configuration mode |
|
domain-name <domain> |
Specifies the domain name for a DHCP client |
|
network network-number [mask] |
Configures the network number and mask for a DHCP address pool primary or secondary subnet on a Cisco IOS DHCP server |
|
ip dhcp excluded-address ip-address [last-ip-address] |
Specifies IP addresses that a DHCP server should not assign to DHCP clients |
|
ip helper-address address |
Enables forwarding of UDP broadcasts, including BOOTP, received on an interface |
|
default-router address [address2 ... address8] |
Specifies the default gateway for a DHCP client |
Der Screenshot unten zeigt eine grundlegende DHCP-Konfiguration auf einem Cisco-Router:
Überwachung und Protokollierung
Die folgenden Befehle sind nützlich für die Überwachung und Protokollierung:
|
logging on |
Enables logging globally |
|
logging host {ip-address | hostname} |
Configures logging to a syslog server |
|
logging trap level |
Sets the logging severity level |
|
terminal monitor |
Sends a copy of all syslog messages, including debug messages, to the Telnet or SSH user who issues this command |
|
snmp-server community <community-string> [RO|RW] |
Enables SNMP |
|
snmp-server location <location-string> |
Configures the SNMP server location |
|
snmp-server enable traps |
Enables SNMP traps |
Sicherung, Wiederherstellung und Aktualisierung
Verwenden Sie die folgenden Befehle, um Sicherungen, Wiederherstellungen und Aktualisierungen durchzuführen
|
copy running-config startup-config |
Saves the running configuration to startup configurationEnables logging globally |
|
copy running-config tftp |
Copies the running configuration to a TFTP server |
|
copy startup-config tftp |
Copies the startup configuration to a TFTP server |
|
copy tftp: running-config |
Copies the configuration from a TFTP server to the device |
|
copy running-config flash:<file name> |
Copies the configuration to flash |
|
copy {ftp: flash:} |
Copies a new IOS image to the device using TFTP or FTP |
Der Screenshot unten zeigt, wie die laufende Konfiguration in die Startkonfiguration gesichert wird.
Konfiguration von Authentifizierung, Autorisierung und Accounting
Die folgenden Befehle werden verwendet, um Authentifizierung, Autorisierung und Accounting (AAA) zu konfigurieren:
|
aaa new-model |
Enables AAA |
|
radius-server host {ip-address | hostname} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string] |
Configures the RADIUS server |
|
radius-server key {0 string | 7 string | string} |
Sets the RADIUS key |
|
aaa authentication login {default | list-name} method1 |
Configures AAA authentication |
|
aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name} method1 |
Configures AAA authorization |
|
aaa accounting {system | network | exec | connection | commands level} {default | list-name} {start-stop | stop-only | none} [method1 |
Configures AAA accounting |
Häufige Anwendungsfälle
Ein häufiger Anwendungsfall für Cisco-Switches ist die Netzsegmentierung und Qualitätskontrolle durch VLANs. Durch das Erstellen separater VLANs für drahtlose Netzwerke, Telefone, Kameras und Drucker können Sie verschiedene Datenverkehrsarten segmentieren und priorisieren (z. B. Sprachverkehr gegenüber Druckvorgängen priorisieren).
Cisco-Router ermöglichen ebenfalls die Netzsegmentierung mithilfe von Standard- oder erweiterten Zugriffskontrolllisten. Diese können den Datenverkehr aus bestimmten Quellen einschränken oder bestimmte Arten von Datenverkehr beim Ein- oder Austritt aus Routersegmenten begrenzen.
Hier ist eine Schritt-für-Schritt-Anleitung zur Konfiguration eines Cisco-Routers für ein Netzwerksegment:
- Konfigurieren Sie den Hostname des Routers und aktivieren Sie ein geheimes Passwort.
- Weisen Sie den Schnittstellen des Routers IP-Adressen zu.
- Konfigurieren Sie statisches Routing oder ein Routing-Protokoll, um den Datenverkehr zwischen den angeschlossenen Netzwerksegmenten zu leiten.
- Konfigurieren Sie DHCP, um IP-Adressen und andere DHCP-Optionen an Clients im Netzwerk zu verteilen.
- Konfigurieren Sie Zugriffskontrolllisten (ACLs), um die Sicherheit zu erhöhen und den ein- und ausgehenden Datenverkehr zu beschränken.
- Konfigurieren Sie NAT für den Internetzugang.
- Aktivieren Sie das Logging.
- Speichern Sie die Konfiguration.
Häufige Problemszenarien und Tipps zur Fehlerbehebung
Hier sind einige häufige Probleme mit Cisco-Routern und -Switches sowie Tipps zu deren Behebung:
Szenario: Geräte können nicht über VLANs oder Subnetze hinweg kommunizieren.
- Überprüfen Sie die VLAN-Konfigurationen und das Trunking auf den Switches.
- Überprüfen Sie die IP-Adressen und Subnetzmasken.
- Prüfen Sie die Routing-Tabelle und stellen Sie sicher, dass Routen vorhanden sind.
- Testen Sie die Konnektivität mit ping und traceroute.
- Vergewissern Sie sich, dass ACLs den Datenverkehr nicht blockieren.
Szenario: Schnittstelle ist ausgefallen oder instabil
- Überprüfen Sie die physischen Verbindungen und die Kabelintegrität.
- Überprüfen Sie die Schnittstellenkonfiguration mit show interface.
- Deaktivieren und reaktivieren Sie die Schnittstelle.
- Testen Sie verschiedene Geschwindigkeits- und Duplexeinstellungen.
Szenario: Unbefugte Zugriffsversuche oder verdächtiger Datenverkehr
- Überprüfen Sie die Protokolle und verwenden Sie show logging.
- Prüfen Sie die ACL-Konfigurationen und Zugriffszähler.
- Überprüfen Sie die AAA- und TACACS+-Einstellungen.
- Implementieren Sie Portsicherheit auf den Switches.
Zusätzliche Tipps
Die folgenden Tipps können Ihnen helfen, Ihre Cisco-Geräte effizienter zu verwalten:
- Wenn Sie mit Cisco IOS nicht vertraut sind, nutzen Sie die kontextsensitive Hilfe – geben Sie einfach ? an einer beliebigen Stelle eines Befehls ein, um Vorschläge und verfügbare Optionen zu erhalten.
- Sparen Sie Zeit mit Befehlsabkürzungen und der Tab-Vervollständigung. Zum Beispiel geben Sie sh run statt show running-config ein.
- Verwenden Sie die Pfeiltasten nach oben und unten (oder Ctrl+P und Ctrl+N), um schnell auf die zuletzt verwendeten Befehle zuzugreifen.
- Wenn Sie keinen Zugriff auf einen Cisco-Router haben, können Sie verschiedene Cisco-Gerätesimulatoren herunterladen, um zu üben und sich mit den Befehlen vertraut zu machen.
Machen Sie Sicherheit stets zu Ihrer obersten Priorität.
- Begrenzen Sie, wer auf Ihre Cisco-Geräte zugreifen darf.
- Stellen Sie sicher, dass alle Konten verschlüsselte, lange Passwörter verwenden.
- Setzen Sie das Prinzip der minimalen Rechte bei der Rollenzuweisung um.
- Erstellen Sie Zugriffskontrolllisten, um verschiedene Verkehrsquellen und -typen einzuschränken.
- Aktivieren Sie die Protokollierung und verwenden Sie eine Überwachungslösung von Drittanbietern, um benachrichtigt zu werden, wenn Ihre Konfigurationen geändert werden – ob versehentlich oder böswillig.
Netwrix Auditor für Netzwerkgeräte
Optimieren Sie die Überwachung von Cisco-Geräten mit Einblicken in Konfigurationsänderungen, Anmeldeversuche und Hardwareprobleme.
Laden Sie die kostenlose 20-Tage-Testversion herunterTeilen auf