Cisco CLI Commando's

jatoch

Inhoudsopgave

1. Inleiding tot Cisco IOS CLI
2. Command Modes
3. Basis Setup en Navigatie
4. Configuratie van Interfaces en VLAN’s
5. Beveiliging en Toegang
6. Routing en NAT
7. Monitoring en Troubleshooting (Show Commando’s)
8. Geavanceerde Functies
9. VTP
10. VLAN – Praktijkvoorbeeld
11. Spanning Tree Protocol (STP)
12. Tips en Veelgemaakte Fouten

1. Inleiding tot Cisco IOS CLI

Cisco IOS (Internetwork Operating System) is de besturingssysteem-software die op Cisco-switches en routers draait. De Command-Line Interface (CLI) is de meest gebruikte en krachtigste manier om de switch te configureren.

Je kunt op twee manieren verbinden:

Console: Via een seriële kabel (blauwe rolkabel) en een programma zoals PuTTY. Instellingen: 9600 baud, 8 data bits, 1 stop bit, geen parity, geen flow control.
Telnet of SSH: Voor toegang op afstand. Hiervoor moet je eerst een IP-adres op de switch zetten (meestal op VLAN 1).

Stappen om te beginnen:

Verbind met de switch (console of netwerk).
Je ziet de prompt Switch>. Typ enable om naar de bevoegde modus te gaan (Switch#).
Typ configure terminal (of kortweg conf t) om in de globale configuratiemodus te komen (Switch(config)#).

2. Command Modes

Cisco gebruikt een hiërarchie van modi. Elk commando werkt alleen in de juiste modus. Gebruik exit om één niveau terug te gaan, end of Ctrl+Z om direct naar de privileged modus (#) te springen.

User EXEC Mode (Switch>): Basiscommando's zoals ping, show version. Je kunt weinig veranderen.
Privileged EXEC Mode (Switch#): Toegang tot alle show-commando's en geavanceerde acties. Ga hierheen met enable.
Global Configuration Mode (Switch(config)#): Hier stel je algemene instellingen in zoals hostname, wachtwoorden. Ga hierheen met configure terminal.
Interface Configuration Mode (Switch(config-if)#): Configureer een specifieke poort of VLAN-interface. Ga hierheen met interface FastEthernet0/1 of interface vlan 10.
Line Configuration Mode (Switch(config-line)#): Stel wachtwoorden in voor console of VTY (Telnet/SSH). Ga hierheen met line console 0 of line vty 0 4.
VLAN Configuration Mode (Switch(config-vlan)#): Maak en noem VLAN's. Ga hierheen met vlan 30.
Router Configuration Mode (Switch(config-router)#): Configureer routing-protocollen zoals OSPF. Ga hierheen met router ospf 1.

Voorbeeld van navigeren:

Switch> enable
Switch# configure terminal
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# exit
Switch(config)# end
Switch#

3. Basis Setup en Navigatie

hostname instellen
Verander de naam van de switch zodat hij herkenbaar is in logs, prompts en netwerktools. Dit is een van de eerste dingen die je altijd doet.

Switch# configure terminal
Switch(config)# hostname CoreArnhem

enable password
Stel een eenvoudig wachtwoord in voor toegang tot de privileged modus (#). Dit is plaintext en niet veilig – gebruik liever enable secret.

Switch(config)# enable password cisco123

enable secret
Veiliger alternatief: dit wachtwoord wordt gehasht (MD5) opgeslagen. Gebruik dit altijd in plaats van enable password.

Switch(config)# enable secret SuperGeheim2026!

service password-encryption
Alle plaintext wachtwoorden in de configuratie (zoals line passwords) worden versleuteld weergegeven. Handig als iemand de config ziet.

Switch(config)# service password-encryption

banner motd
Toon een waarschuwingsbericht zodra iemand inlogt. Gebruik # (of een ander teken) als begin- en eindteken. Dit is juridisch belangrijk.

Switch(config)# banner motd #WAARSCHUWING: Ongeautoriseerde toegang verboden!#

ip domain-name
Stel een domeinnaam in. Dit is nodig voor SSH-key generatie en DNS-naamresolutie op de switch zelf.

Switch(config)# ip domain-name solarplex.local

reload
Herstart de switch volledig. Gebruik dit na belangrijke wijzigingen om te testen of alles behouden blijft.

Switch# reload

copy running-config startup-config
Sla de huidige werkende configuratie op in het niet-vluchtige geheugen (NVRAM). Doe dit ALTIJD na wijzigingen, anders ben je alles kwijt na reboot!

Switch# copy running-config startup-config

erase startup-config
Verwijder de opgeslagen configuratie. Na een reload start de switch dan weer als nieuw (factory default).

Switch# erase startup-config

4. Configuratie van Interfaces en VLAN’s

interface selecteren
Ga naar de configuratiemodus van een specifieke interface (poort, VLAN, etc.). Dit is de eerste stap voor bijna alle interface-wijzigingen.

Switch(config)# interface FastEthernet0/1

ip address
Geef een interface (meestal een VLAN-interface) een IP-adres en subnetmasker. Dit is nodig voor management of inter-VLAN routing.

Switch(config)# interface vlan 1
Switch(config-if)# ip address 10.10.0.2 255.255.255.0

no shutdown
Activeer de interface administratief (breng hem omhoog). Zonder dit blijft de poort of VLAN down, zelfs als hij fysiek aangesloten is.

Switch(config-if)# no shutdown

shutdown
Schakel de interface uit (administratief down). Handig om tijdelijk een poort uit te zetten zonder kabel te verwijderen.

Switch(config-if)# shutdown

duplex
Stel in of de verbinding full-duplex (beide kanten tegelijk) of half-duplex is. Auto laat de switch onderhandelen met de andere kant.

Switch(config-if)# duplex full

speed
Stel de snelheid van de poort in Mbps in. Auto is meestal het veiligst, maar soms moet je het forceren. FastEthernet port (Fa) is 100 Mbps en GigabitEthernet (G) is 1000 Mpbs

Switch(config-if)# speed 1000

vlan
Maak een nieuwe VLAN aan en geef hem een naam. Dit is nodig om VLAN's te gebruiken voor segmentatie.

Switch(config)# vlan 30
Switch(config-vlan)# name Productie

switchport mode access
Maak van een poort een access-poort. Dit is voor eindapparaten zoals computers en printers – verkeer is untagged.

Switch(config-if)# switchport mode access

switchport access vlan
Wijs een VLAN toe aan een access-poort. Apparaten op deze poort horen nu bij dat VLAN.

Switch(config-if)# switchport access vlan 30

switchport mode trunk
Maak van een poort een trunk-poort. Dit is voor verbindingen tussen switches of naar routers – meerdere VLAN's worden getagged doorgestuurd.

Switch(config-if)# switchport mode trunk

switchport trunk allowed vlan
Beperk welke VLAN's over de trunk mogen. Standaard gaan alle VLAN's door, maar dit is veiliger en efficiënter.

Switch(config-if)# switchport trunk allowed vlan 30,40,50

switchport trunk native vlan
Stel de native (untagged) VLAN in op een trunk. Verkeer zonder tag hoort bij deze VLAN. Standaard is VLAN 1.

Switch(config-if)# switchport trunk native vlan 1

no vlan
Verwijder een VLAN volledig. Zorg eerst dat er geen poorten meer in zitten, anders krijg je een fout.

Switch(config)# no vlan 30

5. Beveiliging en Toegang

Beveilig je switch tegen ongeautoriseerde toegang.

username admin privilege 15 secret sterkwachtwoord
line console 0
 password consoleww
 login
line vty 0 4
 password telnetww
 login
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security violation shutdown
access-list 150 deny ip 10.10.50.0 0.0.0.255 10.10.30.0 0.0.0.255
ip access-group 150 in

6. Routing en NAT

ip route 10.10.30.0 255.255.255.0 10.10.0.1
ip route 0.0.0.0 0.0.0.0 86.0.0.1
router ospf 1
 network 10.0.0.0 0.255.255.255 area 0
ip nat inside
ip nat outside

7. Monitoring en Troubleshooting (Show Commando’s)

show running-config
show startup-config
show version
show ip interface brief
show interfaces GigabitEthernet0/1
show vlan brief
show interfaces trunk
show mac address-table
show vtp status
show port-security interface FastEthernet0/1
show access-lists 150
show cdp neighbors detail
show ip route
show logging
show spanning-tree

8. Geavanceerde Functies

DHCP Pool configureren (op Core/Layer 3 Switch)
Maak DHCP pools per VLAN, zodat clients automatisch een IP krijgen. Exclude eerst de gateway en vaste IP's.

! Stap 1: Excluded addresses (deze IP's worden NIET uitgedeeld)
Switch(config)# ip dhcp excluded-address 10.10.30.1 10.10.30.50 ! Voor VLAN 30
Switch(config)# ip dhcp excluded-address 10.10.40.1 10.10.40.50 ! Voor VLAN 40
Switch(config)# ip dhcp excluded-address 10.10.50.1 10.10.50.50 ! Voor VLAN 50
! Stap 2: DHCP pool aanmaken voor VLAN 30 (Productie)
Switch(config)# ip dhcp pool VLAN30
Switch(dhcp-config)# network 10.10.30.0 255.255.255.0
Switch(dhcp-config)# default-router 10.10.30.1
Switch(dhcp-config)# dns-server 62.36.55.85
Switch(dhcp-config)# domain-name solarplex.local
Switch(dhcp-config)# lease 0 8 ! lease 8 uur
Switch(dhcp-config)# exit
! Stap 3: Herhaal voor VLAN 40 (Marketing)
Switch(config)# ip dhcp pool VLAN40
Switch(dhcp-config)# network 10.10.40.0 255.255.255.0
Switch(dhcp-config)# default-router 10.10.40.1
Switch(dhcp-config)# dns-server 62.36.55.85
Switch(dhcp-config)# exit
! Stap 4: Controle commando's
Switch# show ip dhcp pool
Switch# show ip dhcp binding
Switch# show ip dhcp server statistics

Tip: Zorg dat ip routing aanstaat (ip routing) en dat de SVI (interface vlan X) up/up is met het juiste IP als default-gateway. VTP
VTP Domain + Hostname instellen

Switch(config)# vtp domain SOLAR
Switch(config)# hostname CoreSwitch01

Root switch maken & vinden
Maak deze switch root voor alle VLAN's (of check met show spanning-tree)

Switch(config)# spanning-tree vlan 1,5,10,20,30,40,50,1002,1003,1004,1005 root primary

Configureer de trunk poorten en laat alleen de VLAN's door
Trunk poort instellen + alleen gewenste VLAN's toestaan

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 1,5,10,20,30,40,50
Switch(config-if)# no shutdown

LLDP – Link Layer Discovery Protocol

LLDP is een vendor-neutraal protocol (IEEE 802.1AB) waarmee Cisco-switches (en andere apparaten) informatie uitwisselen over zichzelf en hun buren. Het is vergelijkbaar met Cisco's CDP, maar werkt ook met apparaten van andere merken (zoals HP, Juniper, etc.).

Waarom is LLDP handig?

Je ziet precies welke switch/router aan welke poort hangt (buren ontdekken).
Handig bij troubleshooting: je ziet hostname, poortnaam, VLAN, IP-adres, platform, etc.
Veiliger dan CDP omdat je het kunt beperken of uitschakelen per poort.

LLDP inschakelen (standaard is het vaak al aan)
Schakel LLDP globaal in als het uitstaat, en/of per interface. LLDP run moet dan aan beide kant uitgevoerd.

Switch(config)# lldp run                       ! globaal aanzetten
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# lldp transmit               ! verstuur LLDP-pakketten op deze poort
Switch(config-if)# lldp receive                ! ontvang LLDP-pakketten op deze poort

Belangrijkste show-commando's voor LLDP
De meest gebruikte commando's om buren te zien.

Switch# show lldp neighbors                     ! overzicht van alle buren (tabelvorm)
Switch# show lldp neighbors detail              ! uitgebreide info (IP, platform, poort, VLAN, etc.)
Switch# show lldp neighbors GigabitEthernet0/1  ! alleen info over buren op specifieke poort
Switch# show lldp interface                     ! status per interface (transmit/receive aan/uit?)
Switch# show lldp traffic                       ! statistieken (aantal ontvangen/verzonden pakketten)

Voorbeeld output van show lldp neighbors detail
Dit laat zien wat je echt ziet als het werkt.

------------------------------------------------
Local Intf: Gi0/1
Chassis id: 0018.73ab.cdef
Port id: Gi0/2
Port Description: GigabitEthernet0/2
System Name: SW2-Arnhem
System Description: Cisco Catalyst 2960X Switch
Capabilities: Switch
Management Addresses: 10.10.0.3
VLAN: 10
TTL: 120 seconds

LLDP uitschakelen (voor veiligheid)
Op gevoelige poorten of als je CDP/LLDP niet wilt gebruiken.

Switch(config)# no lldp run                    ! globaal uit
Switch(config-if)# no lldp transmit            ! alleen op deze poort uit

Tip: LLDP en CDP kunnen tegelijk aan staan. Gebruik LLDP als je met niet-Cisco apparaten werkt, anders is CDP vaak voldoende (maar CDP is Cisco-only).

9. VTP

Gebruik VTP alleen als je het netwerk goed beheerst. Een fout kan alle VLAN’s verwijderen.

VTP configuratie

Switch> enable
Switch# configure terminal
Switch(config)# vtp domain SOLAR
Switch(config)# vtp mode server # of client / transparent
Switch(config)# vtp version 2
Switch(config)# hostname CoreSwitch01

VLAN aanmaken (op server)

Switch(config)# vlan 30
Switch(config-vlan)# name Productie
Switch(config-vlan)# exit

Resultaat

VLAN 30 wordt automatisch doorgestuurd naar alle VTP clients in dezelfde domain
Clients krijgen VLAN’s, maar kunnen ze niet aanpassen

Controle

Switch# show vtp status
Switch# show vlan brief
Switch# show interfaces trunk

Veelgemaakte VTP fouten

Domain naam klopt niet → Geen synchronisatie
Verkeerde revision number → Zet eerst in transparent mode
Trunk vergeten → VTP werkt niet over access poorten

Best practice VTP

Gebruik transparent als standaard
Maximaal één VTP server
Stel eerst domain en mode in vóór trunks aansluiten
Controleer altijd show vtp status
Sla config op: copy running-config startup-config

10. VLAN – Praktijkvoorbeeld

VLAN aanmaken

Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name Sales
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name IT
Switch(config-vlan)# exit

Poorten toewijzen

Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# no shutdown
Switch(config-if)# exit

Trunk instellen

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# no shutdown
Switch(config-if)# exit

VLAN IP toevoegen

Switch(config)# interface vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config)# ip default-gateway 192.168.1.1
Switch(config)# end
Switch# copy running-config startup-config

Controle

Switch# show vlan brief
Switch# show interfaces trunk

11. Spanning Tree Protocol (STP)

Spanning Tree Protocol voorkomt netwerk loops tussen switches. Loops zorgen voor broadcast storms en kunnen het hele netwerk platleggen. STP schakelt automatisch overbodige verbindingen uit.

Wat doet STP

STP kiest één centrale switch, de root bridge
Alle switches berekenen het beste pad naar de root
Extra paden worden geblokkeerd
Bij een storing wordt een geblokkeerd pad actief

Belangrijke begrippen

Root bridge. Centrale switch
Bridge ID. Priority plus MAC-adres
Root port. Beste pad richting root
Designated port. Actieve poort per segment
Blocked port. Verkeer wordt tegengehouden

Hoe kiest STP de root bridge

De switch met de laagste Bridge ID wordt root. Bridge ID bestaat uit priority en MAC-adres. Priority is belangrijker dan MAC.

Commando: spanning-tree vlan 1 priority 0

Met dit commando maak je deze switch root bridge voor VLAN 1. Priority 0 is de laagst mogelijke waarde. Deze switch wint altijd de STP-verkiezing.

Switch(config)# spanning-tree vlan 1 priority 0

Gevolg:

Deze switch wordt root bridge
Andere switches passen hun poorten aan
Onnodige links worden geblokkeerd

Gebruik dit alleen op de core of hoofd-switch.

Alternatief: automatisch root maken

Switch(config)# spanning-tree vlan 1 root primary

Cisco kiest zelf een lage priority. Dit is veiliger als je niet exact wilt rekenen.

Commando: show spanning-tree

Met dit commando controleer je de STP-status.

Switch# show spanning-tree

Wat zie je in de output

Welke switch de root bridge is
De priority en MAC van de root
Welke poort root port is
Welke poorten blocked zijn
Voor welk VLAN STP actief is

Voorbeeld output

Root ID    Priority    0
           Address     001a.2b3c.4d5e

Interface  Role        Sts     Cost
Gi0/1      Root        FWD     4
Gi0/2      Desg        FWD     4
Gi0/3      Altn        BLK     4

Uitleg voorbeeld

Priority 0 betekent root bridge
Gi0/1 is de root port
Gi0/3 is geblokkeerd om een loop te voorkomen

STP per VLAN

STP werkt per VLAN. Je kunt per VLAN een andere root instellen.

Switch(config)# spanning-tree vlan 10 priority 4096
Switch(config)# spanning-tree vlan 20 priority 8192

Veelgemaakte fouten bij Datacom

Access switch root laten worden
Geen controle met show spanning-tree
Verkeerde VLAN root instellen
Trunk links vergeten

Datacom tentamen tips

Weet waarom STP nodig is
Begrijp root bridge en priority
Herken root, designated en blocked ports
Weet wat show spanning-tree laat zien

12. Tips en Veelgemaakte Fouten

Sla altijd op! Vergeet niet copy run start (of wr) – anders verlies je alle wijzigingen bij een herstart of stroomuitval.
Controleer altijd de juiste modus: veel commando's werken alleen in config-modus (bijv. ip address alleen in interface-modus).
Trunk-poorten: vergeet niet switchport trunk allowed vlan add 30,40 – standaard laat een trunk alleen VLAN 1 door, dus andere VLAN's komen niet aan.
ACL's: regels worden van boven naar beneden gelezen. Zet specifieke denies bovenaan, eindig altijd met permit any any, anders blokkeer je alles.
Test na elke wijziging: gebruik ping, traceroute, show interfaces status, show vlan brief om te controleren of alles werkt.
Veiligheid eerst: gebruik nooit alleen enable password (plaintext), maar altijd enable secret. Gebruik SSH in plaats van Telnet (Telnet stuurt wachtwoorden in plain text).
Leer de show-commando's: show run, show vlan brief, show interfaces trunk, show vtp status en show spanning-tree zijn je beste vrienden bij troubleshooting.

Datacommunicatie Aantekeningen

Cisco Packet Tracer configuratie - W2

1. Config

Hieronder staat per stap de Cisco IOS-configuratie die je direct in Packet Tracer kunt invoeren.

Config

Ga op DS-C naar de CLI.

Config

show running-config
exit