Router(config)# security passwords min-length 10 Router(config)# login block-for 100 attempts 2 within 100
Router(config)# hostname name Router(config)# ip domain-name name Router(config)# crypto key generate rsa Router(config)# ip ssh [time-out seconds | authentication-retries integer] Router(config)# ip ssh version 2
Beim Einloggen gibt es teilweise Probleme mit neueren SSH-Versionen, da teilweise Algorithmen nicht mehr unterstützt werden. Diese können z.B. in der /etc/ssh/ssh_config
oder ~/.ssh/config
hinzugefügt werden:
echo 'KexAlgorithms diffie-hellman-group-exchange-sha1, diffie-hellman-group14-sha1' >> /etc/ssh/ssh_config echo 'HostKeyAlgorithms ssh-rsa' >> /etc/ssh/ssh_config
Router(config)# user cisco privilege 15 secret cisco123! Router(config)# aaa new-model Router(config)# aaa authentication login default local Router(config)# aaa authorization exec default local
Proxy-ARP zwischen Subnetzen ist auf Cisco-Routern standardmäßig eingeschaltet und muss aktiv ausgeschalten werden:
Router(config)# interface ethernet 0 Router(config-if)# no ip proxy-arp
ip dhcp pool Management network 10.10.0.0 255.255.255.0 default-router 10.10.0.1
ip dhcp pool 0 option 121 ip 24.192.168.30 192.168.10.1 option 249 ip 24.192.168.30 92.168.10.1
alternativ Interface auf Switch aus und anschalten (shut/no shut
).
Windows:
ipconfig /release ipconfig /renew
Mac:
sudo ipconfig set en0 DHCP ipconfig getpacket en0 #check DHCP config networksetup -listallhardwareports #lists installed NICs
http://osxdaily.com/2015/07/30/release-renew-dhcp-command-line-ipconfig/
Overload the interface IP address of the outside interface, allow all hosts behind the inside interface to access the NAT:
R1# configure terminal R1(config)# interface gigabitEthernet0/0/1 R1(config-if)# ip nat inside R1(config)# interface gigabitEthernet0/1/0 R1(config-if)# ip nat outside R1(config)# access-list 10 remark == [Control NAT Access] == R1(config)# access-list 10 permit 192.168.0.0 0.0.0.255 any R1(config)# ip nat inside source list 10 interface gigabitEthernet 0/0/1 overload
Show NAT status:
R1# show ip nat translations
Router(config)# username admin privilege 15 secret cisco123! Router(config)# netconf Router(config)# ip http secure-server Router(config)# restconf
Spanning Tree Protokoll für einzelne VLANs ausschalten:
no spanning-tree vlan vlan-id
Cisco Discovery Protocol auf dem Interface ausschalten:
switch(config-if)# no cdp enable
Proxy ARP global auf dem Router ausschalten:
router(config)# ip arp proxy disable
Router# configure replace nvram:startup-config
Router# copy usb0:isr4200-universalk9_ias.16.12.06.SPA.bin bootflash: Router# verify bootflash:isr4200-universalk9_ias.16.12.06.SPA.bin Router(config)# boot system flash bootflash:isr4200-universalk9_ias.16.12.06.SPA.bin Router# wr Router# show boot --> zeigt den aktuellen Wert der Boot-Variablen an Router# reload
Show rom-monitor version (ISR4221):
Router# show rom-monitor r0 Router# show platform
Upgrade rom-monitor (ISR4221):
Router#upgrade rom-monitor file usb0:isr4200_4300_rommon_1612_2r_SPA.pkg all Router#reload
Upgrade rom-monitor (C1841):
Router# upgrade rom-monitor file usbflash0:C1841_RM2.srec.124-13r.T5
Beide Befehle können gleichzeitig in der Konfiguration stehen.
enable secret
hat Vorrang vor enable password
Wenn bei beiden Befehlen das gleiche Passwort verwendet wird, erhält der Benutzer eine Fehlermeldung. Dass Passwort wird aber trotzdem gesetzt.