PACKETTRACER HOOFDSTUK 2:

Show commando’s

 

Show Version

Laat o.a. de versie zien van de IOS die op een switch/router draait.

Show Mac address-table

Laat de MAC-adressen zien van de apparaten waarmee de apparaat is verbonden.

Show Arp

Laat de IP- en MAC-adressen zien van de apparaten waarvan deze het heeft achterhaald.

Show ip interface brief

Geeft een tabel weer met daarin de status per interface.

Show History

Geef de commando’s weer die je op het apparaat tot dan hebt opgegeven.

Show tech-support

Combinatie van show version, show running-config en show interface

Show users

Laat de ingelogde gebruikers zien.

Show ip route

Laat de routing table zien.

 -

Commando’s voor het maken van een back-up van de running-config

 

Router> Enable

Hiermee komen we in de privileged mode.

Router# Configure terminal

Hiermee komen we in de configuratiemodus.

Router(config)# ip ftp username cisco 

Hiermee stellen we de gebruikersnaam in die gebruikt moet worden bij het verbinden met de FTP-server.

Router(config)# ip ftp password cisco

Hiermee stellen we het wachtwoord in dat gebruikt moet worden bij het verbinden met de FTP-server.

Router(config)# do copy running-config ftp:

Kopieert de running-config naar de FTP-server. Je zult gevraagd worden naar het adres (192.168.2.2) en de bestandsnaam (deze mag je zelf invullen). LET OP: we maken gebruik van het Do commando, omdat we in de config mode zitten.

 -

commando’s voor het configureren van de dhcp server

 

Router> Enable

Hiermee komen we in de privileged mode.

Router# Configure terminal

Hiermee komen we in de configuratiemodus.

Router(config)# ip dhcp pool Adressen 

Hiermee configureren we een DHCP-pool. Je kunt zelf een naam opgeven voor je pool.

Router(dhcp-config)# default-router 192.168.1.1

Hiermee geven we op wat het IP-adres is van de gateway.

Router(dhcp-config)# network 192.168.1.0 255.255.255.0

Hiermee geef je de reeks van IP-adressen op die uitgereikt mogen worden. Binnen een server kun je het maximaal aantal IP-adressen opgeven. Dat kan vanuit de PT CLI niet.

 -

commando’s voor het configureren van de dhcp-server

 

R2> Enable

Hiermee komen we in de privileged mode.

R2# Configure terminal

Hiermee komen we in de configuratiemodus.

R2(config)# interface fa0/0

De interface waarmee onze router met het netwerk van de werkstations is verbonden is FastEthernet0/0. We stellen het dus alleen op deze interface in. Op andere mogelijk tussengelegen routers doen we dat niet.

R2(config-if)# ip helper-address 192.168.1.1

Hiermee geven we op naar welk IP-adres DHCP-verzoeken gestuurd moeten worden. Ons broadcastbericht wordt omgezet in een unicastbericht.

 -

PACKETTRACER HOOFDSTUK 3

Instellen van een vlan

 

Vlan 10

Hiermee maak je VLAN 10 aan. Je had net zo goed VLAN 12 kunnen aanmaken.

Name Inkoop

We geven onze VLAN een naam mee, zodat we deze later makkelijk kunnen herkennen. VLAN 10 willen we inzetten voor de inkoopmedewerkers, vandaar dat we hem als naam Inkoop meegeven.

Interface Fa0/1

We gaan naar de interface die we willen configureren.

Switchport access vlan 10

Met dit commando plaatsen we de interface in VLAN 10. Aan de clientzijde hoeven we niets te doen.

 -

Een switchport kan op twee standen ingesteld worden: Access of Trunk. De verschillen zijn als volgt:

Access

Commando: Switchport mode Acces

Een access-poort laat 1 VLAN door, als deze niet gewijzigd is, is dit de Native VLAN (1).

Trunk-poort

Commando: Switchport mode Trunk.

Een trunk-poort laat al het VLAN-verkeer door. De switch gaat ervan uit dat de andere kant mogelijk alle VLAN’s bevat.

 -

 

No Vlan 10

Hiermee verwijder je VLAN 10 uit je VLAN-database.

Show flash:

Hiermee kun je kijken wat er allemaal in het flashgeheugen zit.

Delete flash:Vlan.dat

Hiermee verwijder je de VLAN-databasefile.

Show Vlan

Als het goed is, zie je nu nog de VLAN’s staan. Bij een volgende reload-actie zullen deze weg zijn.

Reload

De switch wordt opnieuw opgestart.

-

VTP-commandos OP S0

 

Interface fa0/0

We gaan interface Fa0/0 configureren

No shutdown

We zetten onze interface aan.

Interface fa0/0.10

Hiermee creëren we onze subinterface.

Encapsulation dot1q 10

Hiermee schakelen we trunking in en zetten we de subinterface op VLAN 10.

Ip address 192.168.1.1 255.255.255.0

We voorzien onze subinterface van het juiste IP-adres.

Interface fa0/0.20         

Hiermee creëren we onze tweede subinterface.

Encapsulation dot1q 20

Hiermee schakelen we trunking in en zetten we deze subinterface op VLAN 20.

Ip address 192.168.2.1 255.255.255.0

We voorzien onze subinterface van het juiste IP-adres.

-

VTP mode Server

We geven op S0 aan dat deze de server dient te worden. Als het goed is, krijgen we te horen dat deze dit al is (elke switch is standaard de server).

VTP domain Packettracer.nl

We geven een naam op voor ons VTP-domein. Alle switches in hetzelfde domein delen dezelfde VLAN-gegevens.

VTP password Welkom01

Dit is een niet-verplichte optie. Een risico is, als je het geheel niet beveiligt, dat nieuwe switches die zich aanmelden, de complete VLAN-database krijgen. Dit is niet wenselijk, zowel niet uit praktisch oogpunt als om beveiligingsredenen.

Vlan 10

We maken VLAN 10 aan. Hier komen straks PC0 en PC2 in te zitten.

Name Tien

We geven hem als naam Tien mee.

Vlan 20

We maken VLAN 20 aan. Hier komen straks PC1 en PC3 in te zitten.

Name Twintig

We geven hem als naam Twintig mee.

-

 

VTP mode Transparent

VTP heeft drie modi waarin hij kan opereren. De Server mode spreekt voor zich (beheert de VLAN’s), de Client mode is de modus die alles opvolgt van de Server, en de Transparant mode speelt slechts als doorgeefluik. In ons geval heeft S1 geen apparatuur aangesloten, dus is het ook niet nodig om hem de VLAN-database in te laten laden. Wel moet hij de gegevens doorspelen naar S2; vandaar de Transparant mode.

VTP domain Packettracer.nl

We zetten hem binnen hetzelfde domein.

VTP password Welkom01

We geven het wachtwoord op dat we ook gebruikt hebben op de server.

-

VTP mode Client

De switch wordt in clientmodus geplaatst.

VTP domain Packettracer.nl

We zetten hem binnen hetzelfde domein.

VTP password Welkom01

We geven het wachtwoord op dat we ook gebruikt hebben op de server.

-

LACP commando's

Interface Port-Channel 1

Hiermee maak je een nieuwe EtherChannel-groep aan, in dit geval één.

Channel-protocol lacp

Hiermee geef je aan dat we gebruik gaan maken van LACP.

Interface range Fa0/1-5

Hiermee selecteren we poort FastEthernet0/1 tot en met 0/5.

Channel-group 1 mode Active

Deze poorten gaan nu actief LACP-berichten versturen om met de overkant een LACP-verbinding op te stellen. Als we aan de andere kant Channel-group 1 mode passive instellen, dan wordt een EtherChannel gevormd.

-

PaGP commando's

Interface Port-Channel 1

Hiermee maak je een nieuwe EtherChannel-groep aan, in dit geval één.

Channel-protocol pagp

Hiermee geef je aan dat we gebruik gaan maken van PAgP.

Interface range Fa0/1-5

Hiermee selecteren we poort FastEthernet0/1 tot en met 0/5.

Channel-group 1 mode Desirable

Deze poorten gaan nu actief PAgP-berichten versturen om met de overkant een PAgP-verbinding op te stellen. Als we aan de andere kant Channel-group 1 mode auto instellen, dan wordt een EtherChannel gevormd.

-

ON commando's

Interface Port-Channel 1

Hiermee maak je een nieuwe EtherChannel-groep aan, in dit geval één.

Interface range Fa0/1-5

Hiermee selecteren we poort FastEthernet0/1 tot en met 0/5.

Channel-group 1 mode ON

Deze poorten zijn nu gebundeld. Als we aan de andere kant Channel-group 1 mode ON instellen, dan wordt een EtherChannel gevormd.

-

Beveiligen VTP

VTP mode server

Hiermee zorg je ervoor dat de Switch de VTP-server wordt en hiermee dus de VLANS beheert.

VTP domain packettracer.nl

De switches binnen hetzelfde domein delen nu hun VLAN-informatie met elkaar.

VTP password Welkom01

Hiermee configureer je een wachtwoord voor je VTP domain. Een buitenstaander kan zich dus niet zomaar aanmelden tot het domein.

-

Beveiligen tegen loops

Spanning-tree bpduguard enable

Switches communiceren met elkaar d.m.v. Bridge Protocol Data Units. Hierin staan dus bijvoorbeeld de STP-berichten. Wil je dat een switch op een bepaalde interface geen BPDU-berichten mag binnen krijgen, dan kan je hierop de BPDU guard op inschakelen. Op het moment dat een switch zo’n bericht krijgt op de interface, zal deze zichzelf uitschakelen. Voer dit bijvoorbeeld uit op S1, de interface die verbonden is met EigenSwitch.

Spanning-tree guard root

Hiermee zorg je ervoor dat een bepaalde interface nooit de Root zal worden. Test het uit op de verbinding tussen S3 en S2. Je zult zien dat je STP opnieuw een verkiezing gaat uitvoeren en tot een andere topologie komt wat betreft Root interfaces.

Switchport mode access

Standaard staan de interfaces van een Switch op auto mode. Als je dus zelf hier een switch op aansluit en deze hard op Trunk zet, zal de Switch dit ook overnemen. Wil je echter dat, wat er ook aan de overkant ingesteld staat, deze altijd Access is, dan kun je er ook voor kiezen om dit hard in te stellen.

Het is overigens gebruikelijk om interfaces die niet gebruikt worden, standaard uit te zetten (shutdown).

-

port-security

Switchport mode access

Voor port-security dient de poort van het type Access te zijn. Standaard staat hij op Dynamic en zullen de port-security commando’s niet geaccepteerd worden.

Switchport port-security

Hiermee schakel je port-security in.

Switchport port-security maximum 1

Hiermee geef je aan hoeveel MAC-adressen op deze interface geaccepteerd zullen worden. Het had bijvoorbeeld zo kunnen zijn dat de ene dag persoon A met zijn laptop verbonden is en de andere dag persoon B met zijn laptop. Dan hadden we het maximum op 2 kunnen zetten.  Nu wordt er maar 1 MAC-adres geaccepteerd.

Switchport port-security mac-address 000B.BEE6.C8C8

De interface zal nu alleen berichten van het MAC-adres 000B.BEE6.C8C8 accepteren. Als hij een ander MAC-adres tegenkomt op de interface, zal deze zichzelf met een error melding uitschakelen.

Switchport port-security mac-address sticky

Wil je niet handmatig het MAC-adres overnemen of heb je hier geen overzicht van, dan kun je het ook op sticky zetten. Hiermee word(t)(en) de MAC-adress(en) automatisch geleerd en opgeslagen. Als we bij maximum 4 hadden opgegeven, had hij er dus 4 kunnen leren. Als de 5de zich had voorgedaan, was deze wederom met een error melding uitgeschakeld geweest.

-

PACKETTRACER HOOFDSTUK 4

HSRP commando's

R0(config)# interface fa0/0

HSRP configureer je op de interface die het betreft.

R0(config-if)#standby 1 ip 192.168.1.1

Met behulp van het Standby commando kunnen we HSRP configureren. Met behulp van deze regel geven we aan dat het HSRP groep 1 is (er kunnen meerdere HSRP-groepen aangemaakt worden) en dat ons virtueel IP-adres 192.168.1.1 is (de gateway die we hebben ingesteld op onze pc’s).

R0(config-if)#standby 1 priority 100

Hiermee geven we de priority aan. Als de routers tegelijkertijd online komen, kijken ze naar hun prioritywaarde om te bepalen, welke de active router zal worden. Het configureren van deze waarde is optioneel.

R0(config-if)#standby 1 preempt

Als de active router niet bereikbaar was en de standby router het heeft overgenomen, dan blijft deze active. Ook al komt de eerste active router later weer online. Wil je dat de oorspronkelijke active router active wordt op het moment deze online komt, dan moet je deze preempt functie inschakelen.  Het configureren van deze waarde is optioneel.

-

ACL Standard commando's

R0(config)# ip access-list standard BlokkeerPC0

We creëren hiermee een standard access list met als naam BlokkeerPC0. We hadden i.p.v. een naam ook voor een getal tussen 1 en 99 kunnen kiezen.

R0(config-std-nacl)#1 deny 192.168.1.2

We hebben binnen onze ACL hiermee een regel gecreëerd. Deze regel hebben we nummer 1 gegeven (hij komt dus helemaal bovenaan onze trechter). 

R0(config-std-nacl)#interface gig0/0

Dit is de interface waarmee mijn router verbonden is met de switch. We gaan hierop de access list toepassen. 

R0(config-if)#Ip access-group BlokkeerPC0 IN

Hiermee geven we aan dat de access list BlokkeerPC0  toegepast moet worden op deze interface.

-

ACL Standard commando's

R0(config)# ip access-list standard BlokkeerPC0

We creëren hiermee een standard access list met als naam BlokkeerPC0.

R0(config-std-nacl)#2 permit any

Eerst wordt regel 1 uitgevoerd. Indien er geen match is, gaat hij deze regel uitvoeren. Deze regel staat alle verkeer toe. Test het uit

-

ACL extended commando's

R0(config)# ip access-list extended Browsen

We creëren hiermee een Extended access-list met als naam Browsen. We hadden i.p.v. een naam ook voor een getal tussen 100 en 199 kunnen kiezen.

R0(config-std-nacl)#1 permit tcp host 192.168.1.2 host 192.168.3.2 eq www

We hebben binnen onze ACL hiermee een regel gecreëerd. Deze regel hebben we nummer 1 gegeven (hij komt dus helemaal bovenaan onze trechter).  We staan TCP-verkeer toe van host 192.168.1.2 (PC0) naar de 192.168.3.2 (Web server) op poort 80/443 (www/http verkeer).

R0(config-std-nacl)#interface gig0/0

Dit is de interface waarmee mijn router verbonden is met de switch. We gaan hierop de access list toepassen. 

R0(config-if)#Ip access-group Browsen IN

Hiermee geven we aan dat de access list Browsen toegepast moet worden op deze interface.

-

Frame-relay point-to-point commando's

R0(config)#int s0/1/0

Router R0 is verbonden via S0/1/0 met de Frame-relay Cloud.

R0(config-if)#no shutdown

We zetten deze interface aan.

R0(config-if)#encapsulation frame-relay

Hiermee geven we aan dat berichten die deze interface verlaten, ingepakt moeten worden in een Frame-relayframe.

R0(config-if)#int s0/1/0.102 point-to-point

We creëren een subinterface (vergelijkbaar met onze Dot1Q opdracht). Als subinterfacenummer hadden we voor alles kunnen kiezen, maar om de administratie eenvoudig te houden kies ik er voor om het gelijk te houden met de Data Link Connection Identifier.

R0(config-subif)# frame-relay interface-dlci 102

De Data Link Connection Identifier is in feite hetzelfde als een MAC-adres. Berichten die ingepakt worden, krijgen dit als verzendadres mee. Deze nummers mag je zelf bepalen.

R0(config-subif)#Ip address 192.168.1.1 255.255.255.0

Hiermee stellen we tot slot ons IP-adres in op de interface.

-

frame-relay multipoint commando's

R0(config)#int s0/1/0

Router R0 is verbonden via S0/1/0 met de Frame-relay Cloud.

R0(config-if)#no shutdown

We zetten deze interface aan.

R0(config-if)#encapsulation frame-relay

Hiermee geven we aan dat berichten die deze interface verlaten, ingepakt moeten worden in een Frame-relayframe.

R0(config-if)#int s0/1/0.1 multipoint

We creëren een subinterface (vergelijkbaar met onze Dot1Q opdracht). Als subinterfacenummer hadden we voor alles kunnen kiezen.

R0(config-subif)# frame-relay interface-dlci 102

We geven de DLCI’s op (voor iedere verbinding met een router, 1).

R0(config-subif)# frame-relay interface-dlci 103

We geven de DLCI’s op (voor iedere verbinding met een router, 1).

R0(config-subif)#Ip address 192.168.1.1 255.255.255.0

Hiermee stellen we tot slot ons IP-adres in op de interface.

-

NAT en PAT configuratie

R0(config)#Int fa0/0

We gaan eerst opgeven, wat de interne en externe interface is. Fa0/0 is op R0 de interface die verbonden is met de switch.

R0(config-if)#Ip Nat inside

Met behulp van dit commando geven we op dat deze interface met ons intern netwerk is verbonden.

R0(config-if)# Int fa0/1

We gaan eerst opgeven, wat de interne en externe interface is. Fa0/1 is op R0 de interface die verbonden is met R1.

R0(config-if)#Ip Nat outside

Met behulp van dit commando geven we op dat deze interface met het publieke netwerk is verbonden.

R0(config-if)#Ip access-list standard PATTEN

We creëren een access-list waarin we de scope gaan aangeven van IP-adressen die omgezet moeten worden in een publiek IP-adres.

R0(config-std-nacl)#1 permit 192.168.1.0 0.0.0.255

We staan alle IP-adressen van het netwerk 192.168.1.0/24 toe om vertaald te worden.

R0(config-std-nacl)#exit

We gaan uit de ACL-configuratie modus. We hadden voor de volgende commando’s hier gewoon in kunnen blijven zitten, maar dit maakt het even overzichtelijker en biedt je de mogelijkheid om een tab of vraagteken te gebruiken.

R0(config)# ip nat inside source list PATTEN interface fa0/1 overload

Het commando IP nat inside is hetgeen waar het om draait. Hiermee schakel je NAT in. Voor dit commando is het van belang om op te geven welke IP’s je vertaald wilt hebben. Dit hebben we met de source list PATTEN aangegeven (onze ACL die we hebben aangemaakt, wordt dus toegestaan). Voor de global address moeten we de interface opgeven die verbonden is met het publieke netwerk (fa0/1). Tot slot geven we met het commando Overload aan dat er gebruikgemaakt moet worden van PAT i.p.v. NAT. Hadden we deze weggelaten, dan was er een 1-op-1-koppeling geweest tussen privaat en publiek IP-adres. Het andere werkstation had dus geen gebruik kunnen maken van het internet. Hiermee zijn we klaar op R0.

R1(config)#Int fa0/0

We gaan eerst opgeven wat de interne en externe interface is. Fa0/0 is op R1 de interface die verbonden is met de webserver.

R1(config-if)#Ip Nat inside

-

R1(config-if)# Int fa0/1

We gaan eerst opgeven wat de interne en externe interface is. Fa0/1 is op R1 de interface die verbonden is met R0.

R1(config-if)#Ip Nat outside

-

R1(config-if)#ip nat inside source static 192.168.1.2 34.34.34.2

Met dit commando zal R1 alle verzoeken die hij binnenkrijgt, doorsturen naar de webserver. Ook als je vanaf PC0 pingt op 34.34.34.2, zal de R1 deze doorsturen naar de webserver. Dit is puur NAT. Wil je dat R1 alles zelf beantwoordt, behalve Webverzoeken (poort 80), dan kun je gebruikmaken van het volgende commando:

ip nat inside source static tcp 192.168.1.2 80 34.34.34.2 80

Hiermee hebben we ook R1 geconfigureerd.