====== Cisco ======
* [[ne:cisco:passwords|Passwort-Recovery]]
* [[Dies und Das]]
===== Router =====
* [[https://www.safaribooksonline.com/library/view/cisco-ios-cookbook/0596527225/ch01s08.html|Booting a different IOS Image]]
==== Login & Password ====
Router(config)# security passwords min-length 10
Router(config)# login block-for 100 attempts 2 within 100
* https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cfg/configuration/xe-16/sec-usr-cfg-xe-16-book/sec-login-enhance.html
==== Zugriff per SSH ====
Router(config)# hostname name
Router(config)# ip domain-name name
Router(config)# crypto key generate rsa
Router(config)# ip ssh [time-out seconds | authentication-retries integer]
Router(config)# ip ssh version 2
* https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_ssh/configuration/xe-16-6/sec-usr-ssh-xe-16-6-book/sec-secure-shell-v2.html
Beim Einloggen gibt es teilweise Probleme mit neueren SSH-Versionen, da teilweise Algorithmen nicht mehr unterstützt werden. Diese können z.B. in der ''/etc/ssh/ssh_config'' oder ''~/.ssh/config'' hinzugefügt werden:
echo 'KexAlgorithms diffie-hellman-group-exchange-sha1, diffie-hellman-group14-sha1' >> /etc/ssh/ssh_config
echo 'HostKeyAlgorithms ssh-rsa' >> /etc/ssh/ssh_config
==== Login direkt in den privilegierten Modus ====
Router(config)# user cisco privilege 15 secret cisco123!
Router(config)# aaa new-model
Router(config)# aaa authentication login default local
Router(config)# aaa authorization exec default local
----
==== Proxy ARP ====
Proxy-ARP zwischen Subnetzen ist auf Cisco-Routern standardmäßig eingeschaltet und muss aktiv ausgeschalten werden:
Router(config)# interface ethernet 0
Router(config-if)# no ip proxy-arp
* https://www.cisco.com/c/de_de/support/docs/ip/dynamic-address-allocation-resolution/13718-5.html
==== Default Route ====
* [[http://www.cisco.com/c/en/us/support/docs/ip/routing-information-protocol-rip/16448-default.html|Default Route auf einem Cisco Router einrichten]]
* https://www.cisco.com/c/en/us/support/docs/dial-access/floating-static-route/118263-technote-nexthop-00.html
* Default Routen auf Interfaces ohne Next-Hop-IP Adressen werden nicht empfohlen, da der Router für jede Ziel-Adresse einen ARP-Request durchführt
* https://www.ciscopress.com/articles/article.asp?p=391648&seqNum=2
----
==== DHCP ====
=== DHCP Pool auf Cisco Router erstellen ===
ip dhcp pool Management
network 10.10.0.0 255.255.255.0
default-router 10.10.0.1
=== Statische Route per DHCP verteilen ===
ip dhcp pool 0
option 121 ip 24.192.168.30 192.168.10.1
option 249 ip 24.192.168.30 92.168.10.1
https://community.cisco.com/t5/switching/cisco-ios-dhcp-server-classless-static-routes-on-dhcp-clients/td-p/1783721
=== DHCP-lease erneuern ===
alternativ Interface auf Switch aus und anschalten (''shut/no shut'').
**Windows:**
ipconfig /release
ipconfig /renew
**Mac:**
sudo ipconfig set en0 DHCP
ipconfig getpacket en0 #check DHCP config
networksetup -listallhardwareports #lists installed NICs
http://osxdaily.com/2015/07/30/release-renew-dhcp-command-line-ipconfig/
----
==== NAT ====
Overload the interface IP address of the outside interface, allow all hosts behind the inside interface to access the NAT:
R1# configure terminal
R1(config)# interface gigabitEthernet0/0/1
R1(config-if)# ip nat inside
R1(config)# interface gigabitEthernet0/1/0
R1(config-if)# ip nat outside
R1(config)# access-list 10 remark == [Control NAT Access] ==
R1(config)# access-list 10 permit 192.168.0.0 0.0.0.255 any
R1(config)# ip nat inside source list 10 interface gigabitEthernet 0/0/1 overload
Show NAT status:
R1# show ip nat translations
----
==== NETCONF & RESTCONF ====
Router(config)# username admin privilege 15 secret cisco123!
Router(config)# netconf
Router(config)# ip http secure-server
Router(config)# restconf
* https://developer.cisco.com/docs/ios-xe/#!enabling-restconf-on-ios-xe/restconf
===== Switch =====
==== Inter-VLAN Routing ====
* https://www.cisco.com/c/en/us/support/docs/lan-switching/inter-vlan-routing/41860-howto-L3-intervlanrouting.html
==== Spanning Tree ====
Spanning Tree Protokoll für einzelne VLANs ausschalten:
no spanning-tree vlan vlan-id
===== Verschiedenes =====
Cisco Discovery Protocol auf dem Interface ausschalten:
switch(config-if)# no cdp enable
----
Proxy ARP global auf dem Router ausschalten:
router(config)# ip arp proxy disable
----
==== Running Config komplett ersetzen ====
Router# configure replace nvram:startup-config
* http://www.networking-forum.com/viewtopic.php?t=29209
----
==== Booting a Different IOS Image ====
* https://www.safaribooksonline.com/library/view/cisco-ios-cookbook/0596527225/ch01s08.html
----
==== Upgrading an IOS Image (ISR4221) ====
Router# copy usb0:isr4200-universalk9_ias.16.12.06.SPA.bin bootflash:
Router# verify bootflash:isr4200-universalk9_ias.16.12.06.SPA.bin
Router(config)# boot system flash bootflash:isr4200-universalk9_ias.16.12.06.SPA.bin
Router# wr
Router# show boot --> zeigt den aktuellen Wert der Boot-Variablen an
Router# reload
* [[https://community.cisco.com/t5/networking-knowledge-base/how-to-upgrade-or-downgrade-the-ios-on-an-isr-or-similar-router/ta-p/3111919|How to upgrade or downgrade the IOS on an ISR (or similar) router]]
==== Updating Cisco ROM Monitor ====
Show rom-monitor version (ISR4221):
Router# show rom-monitor r0
Router# show platform
Upgrade rom-monitor (ISR4221):
Router#upgrade rom-monitor file usb0:isr4200_4300_rommon_1612_2r_SPA.pkg all
Router#reload
Upgrade rom-monitor (C1841):
Router# upgrade rom-monitor file usbflash0:C1841_RM2.srec.124-13r.T5
* http://www.cisco.com/c/en/us/td/docs/routers/10000/10008/install_and_upgrade/rommon/C10krom.html
* http://www.pietervanos.net/knowledge/cisco-update-rommon-bootstrap/
----
==== Cisco Configuration Syntax Highlighting ====
* http://www.vim.org/scripts/script.php?script_id=4624
* http://www.copyandwaste.com/posts/view/cisco-configuration-syntax-highlighting/
----
==== enable secret / enable password ====
Beide Befehle können gleichzeitig in der Konfiguration stehen.\\
''enable secret'' hat Vorrang vor ''enable password''
Wenn bei beiden Befehlen das gleiche Passwort verwendet wird, erhält der Benutzer eine Fehlermeldung. Dass Passwort wird aber trotzdem gesetzt.