Commandostructuur

 Les Commandostructuur
Basis-I0S-commandostructuur
Een net­ werkbeheerder moet de basis-I0S-commandostructuur kennen om de CLI voor het configu­reren van netwerkapparaten te kunnen gebruiken.
1 / 34
suivant
Slide 1: Diapositive
ICTMBOStudiejaar 2

Cette leçon contient 34 diapositives, avec diapositives de texte.

Éléments de cette leçon

 Les Commandostructuur
Basis-I0S-commandostructuur
Een net­ werkbeheerder moet de basis-I0S-commandostructuur kennen om de CLI voor het configu­reren van netwerkapparaten te kunnen gebruiken.

Slide 1 - Diapositive

Lesdoel
Je kent de basisstructuur van de Cisco commando's

Slide 2 - Diapositive

2.3.1 Basis-I0S-commandostructuur
Een Cisco-I0S-apparaat kent vele commando's. Elk I0S-commando heeft een bepaald for­maat of syntax en kan alleen in de juiste mode uitgevoerd worden. De algemene Syntax voor een commando (zie volgende sheet) is het commando gevolgd door eventuele relevante sleutelwoorden (keywords) en argumenten.

Slide 3 - Diapositive

2.3.1 Basis-I0S-commandostructuur

Slide 4 - Diapositive

2.3.1 Basis-I0S-commandostructuur
► Sleutelwoord- Dit is een specifieke parameter die door het besturingss1jsteem gedefi­nieerd is (in plaatje vorige sheet ip protocols).
► Argument- Dit is niet vooraf vastgelegd. Het is een waarde of variabele die door de gebrui­ker opgegeven wordt (in plaatje vorige sheet: 192.168.10.5).
Na het invoeren van het volledige commando, inclusief eventuele sleutelwoorden en argu­menten, druk je op de ENTER-toets om het commando naar de commando-interpreter te sturen.

Slide 5 - Diapositive

2.3.2 I0S-commando syntax checker
Een commando kan één of meerdere argumenten nodig hebben. Om te bepalen welke sleutelwoorden en argumenten voor een commando nodig zijn, wordt er naar de commandosyntax verwezen. De syntax geeft het patroon of formaat dat bij het invoeren van het commando gebruikt wordt.

Slide 6 - Diapositive

2.3.2 I0S-commando syntax checker

Slide 7 - Diapositive

2.3.2 I0S-commando syntax checker
De syntax van bijvoorbeeld het commando description is description string. Het argument is een string met een waarde die door de gebruiker opgegeven wordt. Het description-com­mando wordt meestal gebruikt om het doel van een interface aan te geven. Zo geeft het voorbeeld het invoeren van het commando description Switch hoofdkantoor in de beschrij­ving aan dat dit de verbinding met de switch van het hoofdkantoor is.

Slide 8 - Diapositive

2.3.2 I0S-commando syntax checker
De volgende voorbeelden laten bepaalde conventies zien die worden gebruikt voor het documenteren en het gebruik van IOS-commando's.
ping ip-adres - Het commando is ping en het door de gebruiker gedefinieerde argument is het ip-adres van het destination-apparaat.


Slide 9 - Diapositive

2.3.2 I0S-commando syntax checker
traceroute ip-adres - Het commando is traceroute en het door de gebruiker gedefinieerde argument is het ip-adres van het destination-apparaat. Voorbeeld:

Slide 10 - Diapositive

2.3.2 I0S-commando syntax checker
Als een commando complex is met meerdere argumenten zie je dit mogelijk als volgt:

Het commando wordt meestal gevolgd door een gedetailleerde beschrijving van het com­mando en elk argument.
De Cisco IOS Commando Reference is de ultieme informatiebron voor een bepaald IOS-commando.

Slide 11 - Diapositive

2.3.3 I0S-helpfuncties
Het IOS heeft twee vormen van help beschikbaar: contextgevoelige help en commando syn­taxcontrole.
 
De contextgevoelige help stelt je in staat om snel de antwoorden op de volgende vragen te vinden:
► Welke commando's zijn er in elke commando-mode beschikbaar?
► Welke commando's beginnen met bepaalde tekens of een groep karakters?
► Welke argumenten en sleutelwoorden zijn voor bepaalde commando's beschikbaar?

Typ voor de toegang tot de contextgevoelige hulp eenvoudig een vraagteken? in op de CLI.

Slide 12 - Diapositive

2.3.5 Hot-keys en shortcuts
De IOS-CLI kent een aantal hotkeys en shortcuts die het configureren, monitoren en trou­bleshooten vergemakkelijken.
Commando's en sleutelwoorden kunnen tot het minimale aantal tekens ingekort worden zodat een unieke selectie herkend wordt. Het commando configure kan bijvoorbeeld tot conf ingekort worden, omdat configure het enige commando is dat met conf begint. Een nog kortere versie, con, werkt niet omdat er meerdere commando's zijn die met con begin­nen. Sleutelwoorden kunnen eveneens ingekort worden.

Slide 13 - Diapositive

2.3.5 Hot-keys en shortcuts

Slide 14 - Diapositive

2.3.5 Hot-keys en shortcuts
Wanneer een commando-uitvoer meer tekst produceert dan op een terminalscherm weer­ gegeven kan worden, geeft het I0S de prompt -More-. De volgende tabel beschrijft de toetsaanslagen die gebruikt kunnen worden wanneer deze prompt weergegeven wordt.

Slide 15 - Diapositive

2.3.5 Hot-keys en shortcuts
Deze tabel bevat commando's die gebruikt worden om een bewerking af te breken.

Slide 16 - Diapositive

2.4 Basisapparaatconfiguratie
2.4.1 Apparaatnamen

 De eerste configuratieopdracht op elk apparaat is het geven van een unieke naam, of hostnaam, aan het apparaat. Standaard krijgen alle apparaten een default fabrieksnaam. Een Cisco IOS-switch heet bijvoorbeeld Switch.
Het probleem is dat als alle switches in het netwerk hun standaardnaam zouden houden, het moeilijk wordt om een bepaald apparaat te identificeren. Hoe weet je bijvoorbeeld dat je met het juiste apparaat verbonden bent, als je op afstand met SSH werkt? De hostnaam geeft een bevestiging dat je met het juiste apparaat verbonden bent.


Slide 17 - Diapositive

2.4.1 Apparaatnamen
De default naam moet gewijzigd worden in een beschrijvende naam. Door de namen ver­standig te kiezen, is het gemakkelijker om netwerkapparaten te onthouden, te documen­teren en te identificeren. Hier zijn enkele belangrijke richtlijnen voor de naamgeving van hosts:
► Begin met een letter
► Gebruik geen spaties
► Eindig met een letter of een cijfer
► Gebruik alleen letters, cijfers en streepjes
► Gebruik minder dan 64 karakters

Slide 18 - Diapositive

2.4.1 Apparaatnamen
Een organisatie moet benamingsafspraken vastleggen waardoor het eenvoudig en intuïtief is om een specifiek apparaat te herkennen. De hostnamen die voor de IOS-apparaten ge­ bruikt worden bevatten hoofd- en kleine letters. De volgende sheet laat bijvoorbeeld drie switches zien, die over drie verdiepingen verdeeld en onderling via het netwerk verbonden zijn. De gebruikte benamingsafspraken bevatten de locatie en het doel van elk apparaat. In de net­ werkdocumentatie moet vastliggen hoe de namen gekozen worden, zodat nieuwe appara­tuur op dezelfde manier een naam krijgt.

Slide 19 - Diapositive

2.4.1 Apparaatnamen

Slide 20 - Diapositive

2.4.1 Apparaatnamen
Wanneer de benamingafspraken gemaakt zijn, is de volgende stap het gebruik van de CLI om de namen aan de apparaten toe te wijzen. Zoals hieronder te zien is, ga je vanuit depri­vileged-EXEC-mode naar de globale configuratie-mode door het terminal-commando in te voeren. Let op de verandering van de commandoprompt.

Slide 21 - Diapositive

2.4.1 Apparaatnamen
Voer in de globale configuratie-mode het hostname-commando in, gevolgd door de naam van de switch en druk op ENTER. Let op de verandering van de naam van de com­mandopromp 

Opmerking Gebruik het globale configuratiecommando no hostname om de switch naar de standaard prompt terug te zetten.
Zorg er altijd voor dat de documentatie, telkens als er een apparaat toegevoegd of gewij­ zigd wordt, bijgewerkt wordt. Identificeer de apparaten in de documentatie aan de hand van hun locatie, doel en adres.


Slide 22 - Diapositive

2.4.2 Richtlijnen voor wachtwoorden
Het gebruik van zwakke of gemakkelijk te raden wachtwoorden blijft een beveiligingspro­bleem in veel facetten van het bedrijfsleven. 

Op alle netwerkapparaten moeten de beheerdersrechten beperkt worden door de privi­leged-EXEC-, user-EXEC- en externe Telnet-toegang met wachtwoorden te beveiligen. Bovendien moeten alle wachtwoorden encrypted worden en moet er een juridische melding
{banner) ingevoerd worden.

Slide 23 - Diapositive

2.4.2 Richtlijnen voor wachtwoorden
Gebruik sterke wachtwoorden die niet gemakkelijk te raden zijn. Er zijn enkele belangrijke punten waarmee je bij het kiezen van wachtwoorden rekening moet houden:
► Gebruik wachtwoorden die langer zijn dan 8 karakters.
► Gebruik een combinatie van hoofd- en kleine letters, getallen en speciale tekens en/of nu­ merieke reeksen in wachtwoorden.
► Voorkom het gebruik van dezelfde wachtwoorden voor alle apparaten.
► Gebruik geen veelvoorkomende woorden omdat deze gemakkelijk te raden zijn.
Zoek op het internet naar een wachtwoordgenerator. Bij veel ervan kun je de lengte, teken­ set en andere parameters instellen.



Slide 24 - Diapositive

2.4.3 Wachtwoorden configureren
Wanneer je voor het eerst verbinding met een apparaat maakt, bevind je je in de user­ EXEC-mode. Deze mode wordt met behulp van de console beveiligd.
Om de toegang van de user-EXEC-mode te beveiligen, ga je in de globale configuratie-mode met het commando line console o naar de line-console-configuratie-mode, zie het voor­ beeld. De nul wordt gebruikt om de eerste {en in de meeste gevallen de enige) console-in­terface aan te geven. Geef vervolgens het user-EXEC-mode-wachtwoord op met het commando password wachtwoord. Tenslotte activeer je de toegang tot de user-EXEC-mode met het login-commando.

Slide 25 - Diapositive

2.4.3 Wachtwoorden configureren
Er is nu voor de consoletoegang een wachtwoord vereist voordat er toegang tot de user­ EXEC-mode verleend wordt.
Als je als beheerder toegang tot alle 1OS-commando hebt, inclusief het configureren van een apparaat, moet je toegang tot de privileged-EXEC-mode krijgen. Het is de belangrijkste toegangsmethode omdat deze volledige toegang tot het apparaat geeft.
Om de toegang tot de privileged-EXEC-mode te beveiligen, gebruik je het globale configura­tie-mode-commando enable secret.


Slide 26 - Diapositive

2.4.3 Wachtwoorden configureren
De virtuele terminal {VTY)-lijnen maken externe toegang tot het apparaat via Telnet of SSH mogelijk. Veel Cisco-switches ondersteunen maximaal 16 VTY-lijnen genummerd van o tot en met 15.
Om de VTY-lijnen te beveiligen, ga je naar de globale VTY-line-mode met behulp van het globale configuratiecommando line vty o 15. Geef vervolgens het VTV-wachtwoord op met het commando password wachtwoord. En activeer de VTV-toegang met het commando login.
Hieronder staat een voorbeeld voor het beveiligen van de VTY-lijnen van een switch.



Slide 27 - Diapositive

2.4.4 Encrypt de wachtwoorden
De startup-config- en running-config-bestanden tonen de meeste wachtwoorden in platte tekst. Dit is een beveiligingsrisico omdat iedereen die toegang tot deze bestanden heeft de wachtwoorden kan lezen

Slide 28 - Diapositive

2.4.4 Encrypt de wachtwoorden
Gebruik het globale configuratiecommando service password-encryption om alle wacht­ woorden in platte tekst te encrypten.

Slide 29 - Diapositive

2.4.4 Encrypt de wachtwoorden
Dit commando past een zwakke encryptie toe op alle niet-gecodeerde wachtwoorden. Deze encryptie is alleen van toepassing op de tekst van de wachtwoorden in het configuratiebestand, niet op de wachtwoorden die via het netwerk verzonden worden. Het doel van dit commando is om te voorkomen dat onbevoegden de wachtwoorden in het configuratiebe­stand kunnen bekijken.

Slide 30 - Diapositive

2.4.4 Encrypt de wachtwoorden
Gebruik het commando show running-config

Slide 31 - Diapositive

2.4.5 Banner-berichten
Hoewel het verplichten van wachtwoorden een manier is om niet geautoriseerd personeel uit het netwerk te houden, is het van belang om voor een methode te zorgen die aangeeft dat alleen geautoriseerd personeel toegang tot het apparaat kan krijgen. Voeg om dit te bereiken een banner aan de uitvoer van het apparaat toe. Banners kunnen een belangrijk aandeel hebben in een juridisch proces in het geval dat iemand wordt vervolgd voor het inbreken in een apparaat. Bepaalde juridische systemen staan geen vervolging of zelfs het monitoren van gebruikers toe, tenzij er een melding zichtbaar is.

Gebruik het globale configuratie-mode-commando banner motd # bericht van deze dag# om een banner-boodschap van de dag Message Of The Day {motd) te configureren.

Slide 32 - Diapositive

2.4.5 Banner-berichten
Het volgende voorbeeld laat het configureren van een banner op de switch SW-Etage-1 zien.

Slide 33 - Diapositive

Opdrachten
  • Fase 0 en 1 ingeleverd. Documentatie en PT.
  • Vandaag start Fase 2 Locatie Magazijn toevoegen.
    1 Maart deadline
  • Subnetten
  • Zie Cheat sheets in Teams, Kanaal Netwerken.

Slide 34 - Diapositive