Sie sind auf Seite 1von 22

[CCNA1] Kapitel 2: Konfigurieren eines Netzwerk-Betriebssystems

S1>enable
S1# show clock
*0:11:15.403 UTC Mon Mar 1 1993
S1#clock set 13:28:00 20 jan 2035
-PrimaryCommand Modus
-Benutzer-EXEC Modus
– Dieser Modus hat nur einen eingeschränkten
Funktionsumfang, ist aber für den grundlegenden
Betrieb nützlich. Er erlaubt lediglich die Ausführung
einer begrenzten Anzahl grundlegender
Überwachungsbefehle, jedoch nicht die Ausführung
von Befehlen, mit denen die Konfiguration des
Geräts geändert werden kann. Den
Benutzer-EXEC-Modus erkennt man in der
CLI-Eingabeaufforderung am Symbol „>“.
-Privilegierten-EXEC
Moduse(Enable Mode)
– Zum Ausführen von Konfigurationsbefehlen muss
ein Netzwerkadministrator auf den privilegierten
EXEC-Modus zugreifen. Höhere
Konfigurationsmodi wie der globale
Konfigurationsmodus können nur über den
privilegierten EXEC-Modus erreicht werden. Den
privilegierten EXEC-Modus erkennt man in der CLI
am Rautensymbol #.
-globalen Konfigurationsmodus
-Um das Gerät zu konfigurieren, muss der Benutzer
in den globalen Konfigurationsmodus wechseln.

-Die im globalen Konfigurationsmodus vorgenommenen


CLI-Konfigurationsänderungen wirken sich auf den
Betrieb des gesamten Geräts aus.

- dem Gerätenamen endet, wie z. B. Switch(config)#.

-Aus dem globalen Konfigurationsmodus kann der


Benutzer in verschiedene Unterkonfigurationsmodi
wechseln.

- Jeder dieser Modi gestattet die Konfiguration eines


bestimmten Teils oder einer Funktion des IOS-Gerätes.
Zwei gängige Unterkonfigurationsmodi sind:

-Leitungskonfigurationsmodus
(Line Configuration Mode)
– Wird zum Konfigurieren des Konsolen-, SSH-, Telnet- oder AUX-Zugriffs verwendet.
-Um beispielsweise in den Leitungs-Unterkonfigurationsmodus zu wechseln, verwenden Sie den Befehl line gefolgt vom Typ und von der
Kennung der Leitung, auf die Sie zugreifen möchten.
Switch(config)# line console 0
Switch(config-line)#
-Schnittstellenkonfigurationsmodus (Interface Configuration Mode)
– Wird zum Konfigurieren einer Switch-Port- oder Router-Netzwerkschnittstelle verwendet.
-Beachten Sie, dass nach dem Netzwerkgerätenamen die Eingabeaufforderung von „(config-line)#“ in „(config-if)#“ geändert wird.
Switch(config-line)# interface FastEthernet 0/1
Switch(config-if)#
-Navigieren zwischen IOS-Modi
# Enable To move from user EXEC mode to privileged EXEC mode
Used to move from a specific mode to the previous more general mode, such as from interface mode
# Exit to global config
# Disable return to user EXEC mode
# end Can be used to exit out of global configuration mode regardless of which configuration mode you are in
Ctrl+Z Works the same as end
# Configure terminal Enter global config mode
# interface fa0/1 Enter interface sub-config mode using the
-Zuweisen eines Namens zu einem Switch
Switch >enable S1 > enable
Switch # config t S1 # config t
Switch (config) # Hostname S1 S1 (config) # no Hostname
S1 (config) # exit Switch (config) # exit
S1 # Switch #

-Schützen des Zugriffs auf die Konsolenleitung


Limit Access to Device Configurations Configure Passwords
Secure privileged EXEC access using the enable secret password global config command
Secure user EXEC access by configuring the line console as follows:
Securing User EXEC Mode Description
Aktivieren Sie abschließen mit
Switch (config)# line console 0 Command enters line console configuration mode. dem Befehl login den Zugriff
Switch (config-line)# password password Command specifies the line console password. auf den
Switch (config-line)# login Command makes the switch require the password. Benutzer-EXEC-Modus. Der
Konsolenzugriff erfordert jetzt
Switch (config) # exit die Eingabe eines Kennworts,
% SYS-5-CONFIG_I: Von Konsole zu Konsole bevor auf den
konfiguriert Benutzer-EXEC-Modus
zugegriffen werden kann
Switch #
-Überprüfen der Absicherung des Konsolenzugriffs
S1# exit
Switch con0 is now available
Press RETURN to get started.
User Access Verification
Password: cisco
S1>
-Schützen des Zugriffs auf den privilegierten Modus
Secure the privileged EXEC access with the password. Cla55.

S1> enable
S1# configure terminal
S1(config)# enable password cisco
S1(config)# exit
%SYS-5-CONFIG_I: Configured from console by console
S1#

-Überprüfen der Absicherung des Zugriffs auf den privilegierten Modus


S1> en
Password: cisco
S1#
S1# show running-config
-Konfigurieren eines verschlüsselten Kennworts zum Schützen des Zugriffs auf den
privilegierten Modus
Secure the privileged EXEC access with the password. Cla55.

Sw-Floor-1(config)# enable secret Cla55


Sw-Floor-1 (config)# exit
Sw-Floor-1 #
With enable, the password that you give is stored in a plain text format and is not encrypted. With enable secret
password, the password is actually encrypted with MD5. In the simplest sense, enable secret is the more secure
way
-Überprüfen, ob das „enable secret“-Kennwort der
Konfigurationsdatei hinzugefügt wurde
S1 # show run
-Verschlüsseln von enable- und console-Kennwort
Encrypt Passwords
The startup-config and running-config files display most passwords in
plaintext. This is a security threat because anyone can see the passwords if
they have access to these files.
Use the service password-encryption global config command to encrypt all
passwords.
Switch # configuration terminal
Switch (config)# service password-encryption
Switch (config)# exit
Switch # show running-config
-VTY-Leitungenskennwort (virtuelles Terminal)

Secure remote Telnet or SSH access by configuring the Virtual terminal (VTY) lines as follows:
Securing Remote Access Description
Switch (config-line)# line vty 0 15 Cisco switches support up to 16 incoming VTY lines numbered 0 to 15.
Switch (config-line)# password password Command specifies the VTY line password.
Switch (config-line)# login Command makes the switch require the password.
-Konfigurieren eines MOTD-Banners (Message Of The Day)
Banner Messages

Banners are messages that are displayed when someone attempts to


gain access to a device. Banners are an important part of the legal
process in the event that someone is prosecuted for breaking into a device.
Switch > enable
Switch # configure terminal
Switch (config)# banner motd “……………….”
Switch (config) # exit
% SYS-5-CONFIG_I: Configured from console by console
Switch #
-Speichern der Konfigurationsdatei
S1# copy running-config startup-config
Destination filename [startup-config]? [Enter]
Building configuration....
[OK]
Was ist die kürzeste, abgekürzte Version des Befehls copy running-config startup-config ? cop r s

Beschränken Sie den Zugriff auf einen Switch. Schützen Sie den Zugriff auf die Konsolenleitung.

 Verschleiern Sie alle Kennwörter.  Verwenden Sie das Kennwort „Cisc0“.

 Schützen Sie den privilegierten EXEC-Zugriff.  Lassen Sie die Anmeldung zu.
Sw-Floor-1(config)# line console 0
 Schützen Sie den Konsolenzugriff. Sw-Floor-1(config-line)# password Cisc0
Sw-Floor-1(config-line)# login
 Schützen Sie den VTY-Zugriff. SW-Floor-1(config-line)#
Schützen Sie die ersten 16 VTY-Leitungen.

Verschleiern Sie alle Kennwörter.  Verwenden Sie das Kennwort „Cisc0“.


Sw-Floor-1(config)# service password-encryption
Sw-Floor-1(config)#
 Lassen Sie die Anmeldung zu.
Schützen Sie den Zugriff auf den privilegierten EXEC-Modus mit
Sw-Floor-1(config)# line vty 0 15
dem Kennwort. Cla55. Sw-Floor-1(config-line)# password Cisc0
Sw-Floor-1(config)# enable secret Cla55 Sw-Floor-1(config-line)# login
Sw-Floor-1(config)# Sw-Floor-1(config-line)#
Sie haben den Zugriff auf einen Switch erfolgreich beschränkt.
Alter the Running Configuration
restore the startup-config.
Sw-Floor-1(config)# reload ==> return to the last saved configuration it restores the startup configuration
clear all the configuration
remove the startup configuration is removed by using the privileged EXEC mode command
Sw-Floor-1(config)# erase startup-config

-Konfigurieren der Switch-Management-Schnittstelle


Configure a Switch Virtual Interface
Enter interface configuration mode for VLAN 1.
Configure the IPv4 address as 192.168.10.2 and the subnet mask as 255.255.255.0.
Enable the interface.
Switch(config)# interface vlan 1//Wechseln Sie in den Schnittstellenkonfigurationsmodus für VLAN1.
Switch(config-if)# ip address 192.168.10.2 255.255.255.0
Switch(config-if)# no shutdown //Aktivieren der Schnittstelle
%LINK-5-CHANGED: Interface Vlan1, changed state to up
Switch(config-if)# show ip interface brief

-Interface Addressing Verification

-End-to-End Connectivity Test


-Verhindern Sie unerwünschte DNS-Lookups.
Deaktivieren Sie DNS-Lookup, um zu verhindern, dass der Switch falsch eingegebene Befehle so aufzulösen versucht, als ob es
sich um Hostnamen handeln würde.
S1(config)# no ip domain-lookup
S1(config)#
-Anzeigen der IOS-Version und weiterer hilfreicher Switch-Informationen
Mit dem Befehl show version können Sie die auf dem Switch ausgeführte IOS-Version sowie weitere hilfreiche Informationen
anzeigen. Sie müssen wiederum die Leertaste drücken, um durch die angezeigten Informationen zu navigieren.
S1# show version
-Ermitteln, ob virtuelle lokale Netzwerke (VLANs) erstellt wurden Verwenden
Sie den Befehl show flash, um festzustellen, ob auf dem Switch VLANs erzeugt wurden.
Switch# show flash

-Löschen der VLAN-Datei


a. Wenn die Datei vlan.dat im Flash gefunden wurde, löschen Sie diese Datei.
Switch# delete vlan.dat
Delete filename [vlan.dat]?
Sie werden aufgefordert, den Dateinamen zu überprüfen. An dieser Stelle können Sie den Dateinamen ändern oder einfach die
Eingabetaste drücken, wenn Sie den Namen richtig eingegeben haben.
b. Wenn Sie zum Löschen dieser Datei aufgefordert werden, drücken Sie die Eingabetaste, um den Löschvorgang zu bestätigen.
(Das Drücken jeder anderen Taste führt zum Abbruch des Löschvorgangs.)
Delete flash:/vlan.dat? [confirm]
Switch#
-Löschen der Startkonfigurationsdatei
Verwenden Sie den Befehl erase startup-config zum Löschen der Startkonfigurationsdatei aus dem NVRAM. Wenn Sie zum
Entfernen der Konfigurationsdatei aufgefordert werden, drücken Sie die Eingabetaste, um den Löschvorgang zu bestätigen. (Das
Drücken jeder anderen Taste führt zum Abbruch des Vorgangs.)
Switch# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
Switch#
-Neuladen des Switches
Laden Sie den Switch neu, um alle alten Konfigurationsdaten aus dem Arbeitsspeicher zu entfernen. Wenn Sie zum erneuten
Laden des Switches aufgefordert werden, drücken Sie die Eingabetaste, um das erneute Laden fortzusetzen. (Das Drücken jeder
anderen Taste führt zum Abbruch des erneuten Ladens.)
Switch# reload
Proceed with reload? [confirm]
Hinweis: Sie erhalten möglicherweise eine Aufforderung, die aktuelle Konfiguration vor dem Neuladen des Switches zu
speichern. Geben Sie no ein, und drücken Sie die Eingabetaste.
System configuration has been modified. Save? [yes/no]: no
Kapitel 5 – Ethernet
-ARP-Tabellen
-Auf einem Cisco Router wird der Befehl show ip
arp verwendet, um die ARP-Tabelle anzuzeigen,
Router# show ip arp

- Auf einem PC mit Windows 7 wird der Befehl


arp –a verwendet, um die ARP-Tabelle anzuzeigen

C:\> arp -a

C:\> arp -d ein, um die ARP-Tabelle zu löschen

Switch0 # show mac address-table


Löschen der MAC-Adresstabelle
S2# clear mac address-table dynamic

S1# show interfaces vlan 1

um die MAC-Adressinformationen herauszufinden

Switch0 # show arp

um MAC-Adressinformationen anzuzeigen
Kapitel 6-Vermittlungsschicht

Auf einem Windows-Host kann der


Befehl route print oder netstat
-r verwendet werden, um die
Host-Routing-Tabelle anzuzeigen.

Router# route print


Router# netstat -r
 Interface List (Schnittstellenliste) –
Listet die Media Access Control
(MAC)-Adresse und die zugewiesene
Schnittstellennummer aller
netzwerkfähigen Schnittstellen des
Hosts auf, einschließlich der Ethernet-,
Wi-Fi- und Bluetooth-Adapter.
 IPv4 Route Table
(IPv4-Routen-Tabelle) – Listet alle
bekannten IPv4-Routen auf,
einschließlich direkter Verbindungen,
lokaler Netzwerke und lokaler
Standardrouten.
 IPv6 Route Table
(IPv6-Routen-Tabelle) – Listet alle
bekannten IPv6-Routen auf,
einschließlich direkter Verbindungen,
lokaler Netzwerke und lokaler
Standardrouten

show ip route verwendet werden, um die


IPv4-Routing-Tabelle des Routers
anzuzeigen

Router # show ip route


-Grundlegende Router-Konfiguration
Konfigurieren des Gerätenamens Legen Sie „cisco“ als Kennwort für die Konsolenleitung fest und
Sichern des privilegierten EXEC-Modus verlangen Sie, dass Benutzer sich anmelden.
Sichern des Remote-Telnet-/SSH-Zugriffs R1(config)# line console 0
Sichern aller Kennwörter in der Konfigurationsdatei R1(config-line)# password cisco
Bereitstellen eines rechtlichen Hinweises R1(config-line)# login
Legen Sie „cisco“ als vty-Kennwort für Leitung 0 bis 4 fest und
Verwenden Sie den globalen Konfigurationsmodus, um verlangen Sie, dass Benutzer sich anmelden. Beenden Sie den
den Namen des Routers als „R1“ zu konfigurieren. Leitungskonfigurationsmodus.
Router> enable R1(config-line)# line vty 0 4
Router# configure terminal R1(config-line)# password cisco
Geben Sie die Konfigurationsbefehle ein, und zwar R1(config-line)# login
einen pro Zeile. Beenden Sie den Vorgang mit STRG/Z. R1(config-line)# exit
Router(config)# hostname R1 Verschlüsseln Sie alle unverschlüsselten Kennwörter.
Konfigurieren Sie „class“ als geheimes Kennwort. R1(config)# service password-encryption
R1(config)# enable secret class Geben Sie den Banner „Zugriff nur mit Zugriffsberechtigung!“ ein und
verwenden Sie # als Begrenzungszeichen.
R1(config)# banner motd „Zugriff nur mit Zugriffsberechtigung!“
Beenden Sie den globalen Konfigurationsmodus.
R1(config)# exit
R1#

show version Informationen über die Version der


derzeit auf dem Router ausgeführten Cisco
IOS-Software, die Version des
Bootstrap-Programms und über die
Hardware-Konfiguration an, einschließlich der
Systemspeicherkapazität.

Router# show version


-Konfigurieren von Router-Schnittstellen
Konfigurieren der GigabitEthernet-Schnittstelle 0/0:
Legen Sie 192.168.10.1 als IPv4-Adresse und 255.255.255.0
als Subnetzmaske fest.
Geben Sie als Beschreibung für die Verbindung „LAN-10“ ein.
Aktivieren Sie die Schnittstelle.
R1# configure terminal
Geben Sie die Konfigurationsbefehle ein, und zwar einen pro
Zeile. Beenden Sie den Vorgang mit STRG/Z.
R1(config)# interface gigabitethernet 0/0
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# description LAN-10
R1(config-if)# no shutdown
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed
state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/0, changed state to up
Konfigurieren der GigabitEthernet-Schnittstelle 0/1:
Legen Sie 192.168.11.1 als IPv4-Adresse und 255.255.255.0
als Subnetzmaske fest.
Geben Sie als Beschreibung für die Verbindung „LAN-11“ ein.
Aktivieren Sie die Schnittstelle.
R1(config)# interface gigabitethernet 0/1
R1(config-if)# ip address 192.168.11.1 255.255.255.0
R1(config-if)# description LAN-11
R1(config-if)# no shutdown
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed
state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/1, changed state to up
R1(config-if)#
Sie haben die LAN-Schnittstellen von R1 erfolgreich
konfiguriert.
-Überprüfen der Schnittstellenkonfiguration
Es gibt mehrere Befehle zur Überprüfung der
Schnittstellenkonfiguration. Der nützlichste Befehl ist show ip
interface brief. Die hierdurch generierte Ausgabe zeigt alle
Schnittstellen, ihre IPv4-Adresse und ihren aktuellen Status an. Die
konfigurierten und verbundenen Schnittstellen sollten den Status
„up“ und das Protokoll „up“ aufweisen. Alles andere würde auf ein
Problem mit der Konfiguration oder der Verkabelung hindeuten.
Andere Befehle zur Überprüfung von Schnittstellen sind wie folgt:
 show ip route – Zeigt den Inhalt der im RAM
gespeicherten IPv4-Routing-Tabelle an. werden Statistiken
für alle auf einem Router konfigurierten Schnittstellen
angezeigt
R1#config t
R1# show ip route / / Inhalt der Routing-Tabelle angezeigt R1(config)#interface g 0/0
R1(config-if)#ip address 192.168.10.1 255.255.255.0
 show interfaces – Zeigt Statistiken für alle Schnittstellen R1(config-if)#no shutdown
auf dem Gerät an.
R1(config-if)#description LAN connection to S1
R1# show interfaces
 show ip interface – Zeigt die IPv4-Statistiken für alle
Schnittstellen eines Routers an. eine kurze
Zusammenfassung der aktuellen Schnittstellen, deren
Status und der ihnen zugewiesenen IP-Adressen
angezeigt
R1# show interfaces Brief

Für die Dokumentation der Netzwerkinformationen ist es


ein bewährtes Verfahren, jede Schnittstelle mit einer
Beschreibung zu konfigurieren. Konfigurieren Sie eine
Schnittstellenbeschreibung, die darauf hinweist, welches
Gerät mit der Schnittstelle verbunden ist.
R1(config-if)# description LAN connection to S1

-Standardgateway für einen Switch


Normalerweise handelt es sich bei einem Arbeitsgruppen-Switch, der
Client-Computer miteinander verbindet, um ein Gerät der zweiten
Schicht (Layer 2). Daher benötigt ein Layer-2-Switch keine IP-Adresse,
um ordnungsgemäß zu funktionieren. Wenn Sie jedoch eine
Verbindung zum Switch herstellen und ihn über mehrere Netzwerke
verwalten möchten, müssen Sie für die SVI eine IPv4-Adresse, eine
Subnetzmaske und eine Standardgateway-Adresse konfigurieren.

Die Standardgateway-Adresse wird gewöhnlich auf allen Geräten


konfiguriert, die über das lokale Netzwerk hinaus kommunizieren
möchten. Das heißt, um aus der Ferne von einem anderen Netzwerk
und mithilfe von SSH oder Telnet auf den Switch zuzugreifen, muss
der Switch eine SVI mit einer konfigurierten IPv4-Adresse,
Subnetzmaske und Standardgateway-Adresse aufweisen. Wenn von
einem Host im lokalen Netzwerk auf den Switch zugegriffen wird, ist
die IPv4-Adresse des Standardgateways nicht erforderlich.

Um ein Standardgateway auf einem Switch zu konfigurieren,


verwenden Sie den globalen Konfigurationsbefehl ip default-gateway.
Die konfigurierte IP-Adresse ist die der Router-Schnittstelle des
verbundenen Switches.

Wechseln Sie in den globalen Konfigurationsmodus und


legen Sie „192.168.10.1“ als Standardgateway für S1
fest.
S1# configure terminal
Geben Sie die Konfigurationsbefehle ein, und
zwar einen pro Zeile. Beenden Sie den Vorgang
mit STRG/Z.
S1(config)# ip default-gateway 192.168.10.1
S1(config)#
Sie haben das Standardgateway auf einem Switch
erfolgreich konfiguriert.

Kapitel 7IP-Adressierung
Kapitel 7-IP-Adressierung
-Statische Konfiguration einer Global-Unicast-Adresse
Konfigurieren und aktivieren Sie die folgenden Schnittstellen:
GigabitEthernet 0/0 - 2001:db8:acad:1::1/64
GigabitEthernet 0/1 - 2001:db8:acad:2::1/64
Serial 0/0/0 - 2001:db8:acad:3::1/64
R1(config)# interface gigabitethernet 0/0
R1(config-if)# ipv6 address 2001:db8:acad:1::1/64
R1(config-if)# no shutdown

R1(config-if)# interface gigabitethernet 0/1


R1(config-if)# ipv6 address 2001:db8:acad:2::1/64
R1(config-if)# no shutdown

R1(config)# interface serial 0/0/0 Bei der manuellen Konfiguration einer Link-Local-Adresse besteht der
R1(config-if)# ipv6 address 2001:db8:acad:3::1/64 Vorteil, eine Adresse so zu erstellen, dass diese leicht zu erkennen und
R1(config-if)# no shutdown merken ist. In der Regel müssen erkennbare Link-Local-Adressen nur
auf Routern erstellt werden. Dies ist nützlich, da Link-Local-Adressen
Sie haben die LAN-Schnittstellen von R1 erfolgreich konfiguriert. von Routern als Standardgateway-Adressen und in RA-Nachrichten
verwendet werden.
-Statische Link-Local-Adressen
Bei der manuellen Konfiguration einer Link-Local-Adresse besteht der R1(config)# interface gigabitethernet 0/0
Vorteil, eine Adresse so zu erstellen, dass diese leicht zu erkennen R1(config-if)# ipv6 address fe80::1?
und merken ist. In der Regel müssen erkennbare Link-Local-Adressen Link-local use link-local address
nur auf Routern erstellt werden. Dies ist nützlich, da
Link-Local-Adressen von Routern als Standardgateway-Adressen und
in RA-Nachrichten verwendet werden. R1(config-if)# ipv6 address fe80::1 Link-local
R1(config-if)# exit
Link-Local-Adressen können manuell mit dem gleichen
Schnittstellenbefehl konfiguriert werden wie globale R1(config)# interface gigabitethernet 0/1
IPv6-Unicast-Adressen, allerdings mit dem zusätzlichen R1(config-if)# ipv6 address fe80::1 Link-local
Parameter link-local. Wenn eine Adresse mit diesem Hextett im R1(config-if)# exit
Bereich von FE80 bis FEBF beginnt, muss der Parameter „link-local“
der Adresse folgen.
R1(config)# interface serial 0/0/0
R1(config-if)# ipv6 address fe80::1 Link-local
Die Abbildung zeigt die Konfiguration einer Link-Local-Adresse
mithilfe des Schnittstellenbefehls ipv6 address. Durch die R1(config-if)# exit
Link-Local-Adresse FE80::1 ist es leicht erkennbar, dass diese zum
Router R1 gehört. Für alle Schnittstellen des Routers R1 wird die
gleiche IPv6 Link-Local-Adresse konfiguriert. Die Adresse FE80::1
kann auf jedem Link konfiguriert werden, da sie nur auf dem
jeweiligen Link einzigartig sein muss.

Ähnlich wie für R1 werden die Schnittstellen des Routers R2 mit der
IPv6-Link-Local-Adresse FE80::2 konfiguriert.
- Überprüfen der IPv6-Adresskonfiguration
Der Befehl show interface zeigt die MAC-Adresse der
Geben Sie den show-Befehl ein, mit dem eine kurze Zusammenfassung des
Ethernet-Schnittstellen an. EUI-64 verwendet diese MAC-Adresse,
um die Schnittstellen-ID für die Link-Local-Adresse zu erstellen. IPv6-Schnittstellenstatus angezeigt wird.
R1# show ipv6 interface brief
Zusätzlich zeigt der Befehl show ipv6 interface brief die verkürzte GigabitEthernet0/0 [up/up]
Ausgabe für jede Schnittstelle an. Wird [up/up] in der gleichen Zeile FE80::FE99:47FF:FE75:C3E0
ausgegeben wie die Schnittstelle, zeigt dies den Zustand der 2001:DB8:ACAD:1::1
Schicht-1-/Schicht-2-Schnittstelle an. Dies entspricht den GigabitEthernet0/1 [up/up]
Spalten Status und Protocol des äquivalenten IPv4-Befehls. FE80::FE99:47FF:FE75:C3E1
Geben Sie den show-Befehl ein, mit dem die IP-Routing-Tabelle angezeigt 2001:DB8:ACAD:2::1
wird. Serial0/0/0 [up/up]
R1# show ipv6 route FE80::FE99:47FF:FE75:C3E0
Überprüfen Sie die Netzwerkverbindungen zu PC2 an 2001:db8:acad:1::10. 2001:DB8:ACAD:3::1
R1# ping 2001:db8:acad:1::10 Serial0/0/1 [administratively down/down]
unassigned
-Dynamische Konfiguration – SLAAC
Pv6 Routing ist nicht standardmäßig aktiviert. Um einen Router als R1(config)# ipv6 unicast-routing
IPv6-Router zu aktivieren, muss der globale Konfigurationsbefehl ipv6 R1(config-if)# ipv6 address fe80::1 Link-local
unicast-routing verwendet werden.
Konfigurieren Sie die IPv6-Adresse mit folgendem Befehl:
-Bei der manuellen Konfiguration einer Link-Local-Adresse besteht R1(config-if)# ipv6 address 2001:DB8:1:1::1/64
der Vorteil, eine Adresse so zu erstellen, dass diese leicht zu R1(config-if)# no shutdown
erkennen und merken ist. In der Regel müssen erkennbare
Link-Local-Adressen nur auf Routern erstellt werden. Dies ist
R1# show ipv6 interface brief
nützlich, da Link-Local-Adressen von Routern als R1# show ipv6 route
Standardgateway-Adressen und in RA-Nachrichten verwendet Das L gibt eine lokale Route an, die spezifische IPv6-Adresse, die
werden. der Schnittstelle zugewiesen ist. Dies ist keine Link-Local-Adresse.
Link-Local-Adressen sind nicht in der Routing-Tabelle des Routers
Link-Local-Adressen können manuell mit dem gleichen enthalten, da sie keine routingfähigen Adressen sind.
Schnittstellenbefehl konfiguriert werden wie globale >ipv6config /all
IPv6-Unicast-Adressen, allerdings mit dem zusätzlichen Ermitteln des IPv6-Pfads / IPv4-Pfads mit
Parameter link-local. Wenn eine Adresse mit diesem Hextett im
Bereich von FE80 bis FEBF beginnt, muss der Parameter „link-local“ Aktivieren von IPv6-Routing auf R1
der Adresse folgen. R1 # configure terminal
R1(config)# ipv6 unicast-routing
R1(config)# exit

Ping wird verwendet, um die Verbindung zwischen zwei Hosts zu PC> tracert 2001:DB8:1:4::A
testen, liefert aber keine Informationen über die Details der Geräte
zwischen den Hosts. Traceroute (tracert) ist ein Dienstprogramm, das
PC> tracert 10.10.1.20
eine Liste von Hops generiert, die auf dem Netzwerkpfad erreicht
wurden. Diese Liste kann wichtige Informationen zur Prüfung und Answers Note: Refer to the Answers Lab Manual for the
Fehlerbehebung liefern. Wenn die Daten das Ziel erreichen, listet
procedures to initialize and reload devices.
tracert die Schnittstelle eines jeden Routers auf dem Netzwerkpfad
zwischen den Hosts auf. Wenn die Daten an einem Hop auf dem Weg
ausfallen, kann die Adresse des letzten Routers, der tracert Answers Note: The default bias template used by the Switch
geantwortet hat, eine Angabe sein, wo das Problem oder Database Manager (SDM) does not provide IPv6 address
Sicherheitsbeschränkungen auftraten. capabilities. Verify that SDM is using either
the dual-ipv4-and-ipv6 template or
Round Trip Time (RTT)
the lanbase-routing template. The new template will be used
Traceroute bietet eine Laufzeit für jeden Hop im Netzwerkpfad und after reboot even if the config is not saved.
gibt an, falls ein Hop nicht antwortet. Die Umlaufzeit ist die Zeit, die
ein Paket benötigt, um den Remote-Host zu erreichen, plus die Zeit S1# show sdm prefer
bis zum Eingang der Antwort vom Host. Ein Sternchen (*) wird
verwendet, um eine verlorenes oder unbeantwortetes Paket zu
kennzeichnen.Diese Informationen können verwendet werden, um Follow these steps to assign the dual-ipv4-and-ipv6 template
einen problematischen Router im Pfad zu lokalisieren. Wenn lange as the default SDM template:
Antwortzeiten oder Datenverluste von einem bestimmten Hop anzeigt
werden, ist dies ein Hinweis darauf, dass die Ressourcen des Routers S1# configure terminal
oder seine Verbindungen überlastet sind.
S1(config)# sdm prefer dual-ipv4-and-ipv6 default
IPv4-TTL IPv6-Hop-Limit S1(config)# end
S1# reload
Traceroute nutzt eine Funktion des IPv4-TTL-Felds und des
IPv6-Hop-Limit-Felds im Layer 3-Header, zusammen mit der
ICMP-Nachricht „Zeit überschritten“.Spielen Sie die Animation in der
Abbildung ab, um zu sehen, wie Traceroute TTL-Werte nutzt.

Die erste Folge von Nachrichten, die von Traceroute gesendet wird,
hat den Wert 1 im TTL-Feld. Dies veranlasst TTL, das Senden des
IPv4-Pakets am ersten Router abzubrechen. Dieser Router antwortet
dann mit einer ICMPv4-Nachricht. Traceroute hat jetzt die Adresse
des ersten Hops.

Traceroute erhöht dann schrittweise das TTL-Feld (2, 3, 4 ...) für jede
weitere Nachricht. Auf diese Weise erhält Traceroute die Adresse
aller weiteren Hops im Netzwerkpfad. Das TTL-Feld wird
kontinuierlich erhöht, bis das Ziel erreicht ist. Es kann auch bis zu
einem vorgegebenen Höchstwert schrittweise erhöht werden.

Sobald das endgültige Ziel erreicht ist, antwortet der Host entweder
mit einer ICMP-Nachricht, dass der Port nicht erreichbar ist, oder mit
einer ICMP-Echo-Antwort-Nachricht anstelle einer
ICMP-Zeitüberschreitungsnachricht.
-Verkürzen von IPv6-Adressen
Regeln für IPv6-Adressverkürzungen zum richtigen Regel 3: In einer IPv6-Adresse kann eine einzelne
Komprimieren und Dekomprimieren von IPv6-Adressen fortlaufende Zeichenfolge von vier oder mehr Nullen zu
kennen. einem doppelten Doppelpunkt (::) verkürzt werden. Die
Schritt 1: Erlernen von Regeln für die Ipv6-Adressverkürzung doppelte Doppelpunkt-Verkürzung kann nur einmal in einer
Regel 1: In einer IPv6-Adresse kann eine Zeichenfolge von vier IP-Adresse verwendet werden.
Nullen (0) in einem Hextett zu einer einzigen Null verkürzt 2001:0404:0001:1000:0000:0000:0EF0:BC00
werden. 2001:404:1:1000::EF0:BC00 (verkürzt durch Weglassen
2001:0404:0001:1000:0000:0000:0EF0:BC00 führender Nullen und Ersetzen fortlaufender Nullen durch
2001:0404:0001:1000:0:0:0EF0:BC00 (verkürzt durch einzelne einen doppelten Doppelpunkt)
Nullen)
Regel 2: In einer IPv6-Adresse können die führenden Nullen in
einem Hextett weggelassen werden, nachfolgende Nullen
können nicht weggelassen werden.
2001:0404:0001:1000:0000:0000:0EF0:BC00
2001:404:1:1000:0:0:EF0:BC00 (verkürzt durch Weglassen
führender Nullen)
1) 2002:0EC0:0200:0001:0000:04EB:44CE:08A2
2002:EC0:200:1::4EB:44CE:8A2
2) FE80:0000:0000:0001:0000:60BB:008E:7402
FE80::1:0:60BB:8E:7402
3) FE80::7042:B3D7:3DEC:84B8
FE80:0000:0000:0000:7042:B3D7:3DEC:84B8
4) FF00::
FF00:0000:0000:0000:0000:0000:0000:0000
5) 2001:0030:0001:ACAD:0000:330E:10C2:32BF
2001:30:1:ACAD::330E:10C2:32BF

Kapitel 8-IPv4- und IPv6-Subnetting


- Subnetze unterteilten IPv4-Adressierungsschemas
Die Loopback-Schnittstellen werden erstellt, um zusätzliche R1> en
LANs auf dem Router R1 zu simulieren. Konfigurieren Sie R1# config t
IP-Adressen und Subnetzmasken für die R1(config)# interface loopback 0
Loopback-Schnittstellen. LoopbackSchnittstellen sind nach R1(config-if)# ip address 192.168.0.65 255.255.255.192
dem Erstellen standardmäßig aktiviert. (Zum Erstellen der R1# no shutdown
Loopback-Adressen geben Sie im globalen
Konfigurationsmodus den Befehl interface loopback 0 ein.)
Kapitel 10-Anwendungsschicht
-Der Befehl „nslookup“
Bei der Konfiguration von Netzwerkgeräten werden eine oder
Sie können die DNS-Server direkt abfragen, indem Sie einfach den Domänennamen
mehrere DNS-Server-Adressen bereitgestellt, die der DNS-Client
zur Namensauflösung verwenden kann. Normalerweise stellt der zum Befehl „nslookup“ hinzufügen.
Internet Service Provider (ISP) die Adressen für den DNS-Server Geben Sie „nslookup www.google.com“ ein.
zur Verfügung. Wenn eine Benutzeranwendung eine c:\> nslookup www.google.com
Verbindungsanforderung an ein Remote-Gerät sendet und dabei Server: UnKnown
den Namen verwendet, sendet der anfordernde DNS-Client eine Address: 10.10.10.1
Abfrage an den DNS-Server, um den Namen in eine numerische
Adresse aufzulösen. Non-authoritative answer:
Name: www.google.com
Computer-Betriebssysteme verfügen zudem über ein Addresses: 2001:4860:4002:802::1014
Dienstprogramm mit der Bezeichnung „nslookup“, mit dem der 74.125.227.80
Benutzer die Namensserver manuell abfragen kann, um einen 74.125.227.84
bestimmten Hostnamen aufzulösen. Dieses Dienstprogramm kann 74.125.227.83
auch verwendet werden, um Probleme bei der Namensauflösung 74.125.227.82
zu beheben und den aktuellen Status der Namensserver zu 74.125.227.81
überprüfen.
Nun arbeiten Sie mit der Linux-Eingabeaufforderung. Der nslookup-Befehl ist

Geben Sie an der Windows-Eingabeaufforderung den Befehl „nslookup“ ein, derselbe.

um eine -Geben Sie den Befehl „nslookup“ ein, um eine manuelle Abfrage der Namensserver

manuelle Abfrage der Namensserver zu starten. zu starten.


c:\> nslookup -Geben Sie „www.cisco.com“ an der Eingabeaufforderung „>“ ein.
Default Server: UnKnown
Address: 10.10.10.1 -Geben Sie „exit“ ein, um den nslookup-Modus zu verlassen und zur
Linux-Befehlszeile zurückzukehren.
Die Ausgabe zeigt den Namen und die IP-Adresse des DNS-Servers, der auf
user@cisconetacad$ nslookup
dem Client konfiguriert ist. Server: 127.0.1.1
Beachten Sie, dass die DNS-Server-Adresse manuell konfiguriert oder Address: 127.0.1.1#53
> www.cisco.com
dynamisch über
Non-authoritative answer:
DHCP bezogen werden kann. Sie befinden sich jetzt im nslookup-Modus. www.cisco.com canonical name = www.cisco.com.akadns.net.
www.cisco.com.akadns.net canonical name =
Geben Sie den Domänennamen „www.cisco.com“ ein.
wwwds.cisco.com.edgekey.net.
> www.cisco.com
wwwds.cisco.com.edgekey.net canonical name =
Server: e144.dscb.akamaiedge.net
wwwds.cisco.com.edgekey.net.globalredir.akadns.net.
Addresses: 2600:1400:1:1:8500::90
wwwds.cisco.com.edgekey.net.globalredir.akadns.net
2600:1400:1:1:8200::90
canonical name = e144.dscb.akamaiedge.net.
2600:1400:1:1:8100::90
Name: e144.dscb.akamaiedge.net
23.67.208.170
Address: 23.60.112.170
Aliases: www.cisco.com
www.cisco.com.akadns.net > exit
wwwds.cisco.com.edgekey.net user@cisconetacad$
wwwds.cisco.com.edgekey.net.globalredir.akadns.net Wie in Windows können Sie den DNS-Server direkt abfragen, indem Sie einfach den
Die Ausgabe führt die zu „www.cisco.com“ gehörigen IP-Adressen auf, die der Domänennamen
Server „e144“ derzeit zum Befehl „nslookup“ hinzufügen. Geben Sie „nslookup www.google.com“ ein.
in seiner Datenbank hat. Beachten Sie, dass auch IPv6-Adressen aufgeführt user@cisconetacad$# nslookup www.google.com
Server: 127.0.1.1
werden. Darüber hinaus werden verschiedene Address: 127.0.1.1#53
Aliase angezeigt, die in „www.cisco.com“ aufgelöst werden. Geben Sie den Non-authoritative answer:
Name: www.google.com
Befehl „exit“ ein, um den nslookup-Modus zu Address: 74.125.225.209
verlassen und zur Windows-Befehlszeile zurückzukehren. Name: www.google.com
> exit Address: 74.125.225.210
Name: www.google.com
Address: 74.125.225.211
Name: www.google.com
Address: 74.125.225.212
Name: www.google.com
Address: 74.125.225.208

user@cisconetacad$
Sie haben den Befehl „nslookup“ erfolgreich verwendet, um den Status von
Domänennamen zu überprüfen.
Kapitel 11-Einrichten eines kleinen Netzwerks
Beim Installieren eines neuen Betriebssystems auf einem Gerät R1# auto secure
werden die Sicherheitseinstellungen auf die Standardwerte gesetzt. In
den meisten Fällen ist dieses Maß an Sicherheit unzureichend. Für
Cisco Router kann die Funktion Cisco AutoSecure zum Schutz des
Systems verwendet werden, wie in der Abbildung gezeigt. Außerdem
gibt es einige einfache Schritte, die ausgeführt werden sollten und die
für die meisten Betriebssysteme gelten:

-Standard-Benutzernamen und -Kennwörter sollten sofort geändert


werden.
-Der Zugriff auf Systemressourcen sollte ausschließlich auf die
Personen beschränkt werden, die zur Nutzung dieser Ressourcen
berechtigt sind.
-Alle nicht benötigten Dienste und Anwendungen sollten deaktiviert
und nach Möglichkeit deinstalliert werden.
Häufig werden Geräte nach der Auslieferung durch den Hersteller
eine Zeit lang in einem Lager aufbewahrt und verfügen nicht über
aktuelle Patches. Es ist wichtig, vor der Implementierung die gesamte
Software zu aktualisieren und alle Sicherheits-Patches zu installieren.

- Grundlegende Sicherheitspraktiken
Zusätzliche Kennwortsicherheit R1> en
Mithilfe des globalen Konfigurationsbefehls service password-encryption kann
R1# config t
verhindert werden, dass nicht autorisierte Einzelpersonen unverschlüsselte R1(config)# service password-encryption
Kennwörter in der Konfigurationsdatei anzeigen können, Dieser Befehl R1(config)# security passwords min-length 8
verschlüsselt alle bisher nicht verschlüsselten Kennwörter.
R1(config)# login block-for 120 attempts 3 within 60
Um sicherzustellen, dass alle konfigurierten Kennwörter eine festgelegte R1(config)# line vty 0 4
Mindestlänge haben, verwenden Sie zusätzlich den Befehl security passwords R1(config-line)# exec-timeout 10
min-length im globalen Konfigurationsmodus. R1(config-line)# end
Eine weitere Möglichkeit für Hacker, Kennwörter herauszufinden, sind
R1(config)# show running config
Brute-Force-Angriffe, wobei viele Kennwörter ausprobiert werden, bis eines
funktioniert. Diese Art von Angriffen kann verhindert werden, wenn die
Anmeldeversuche für ein Gerät blockiert werden, sobald eine bestimmte Anzahl
von Fehlversuchen innerhalb eines gewissen Zeitraums auftritt.
Router(config)# login block-for 120 attempts 3 within 60
Dieser Befehl blockiert Anmeldeversuche 120 Sekunden lang, wenn innerhalb von
60 Sekunden drei Anmeldeversuche fehlschlagen.
Exec Timeout (Ausführungszeitüberschreitung)

Eine weitere Empfehlung besteht darin, Ausführungszeitüberschreitungen


festzulegen. Durch Festlegen einer Zeitüberschreitung wird das Cisco Gerät
angewiesen, Benutzer auf einer Leitung automatisch zu trennen, wenn diese für
die Dauer des eingestellten Werts nicht aktiv waren.
Ausführungszeitüberschreitungen können im Leitungskonfigurationsmodus auf
Konsolen-, VTY- und AUX-Ports mit dem Befehl exec-timeout konfiguriert
werden.
Router(config)# line vty 0 4
Router(config-line)# exec-timeout 10
Dieser Befehl konfiguriert das Gerät so, dass Benutzer nach zehn Minuten
Inaktivität getrennt werden.
- Aktivieren von SSH
Telnet ist kein sicheres Protokoll. Daten in einem Telnet-Paket R1> en
werden unverschlüsselt übertragen. Um einen sicheren R1# config t
Remote-Zugriff zu gewährleisten, sollte daher auf Geräten
unbedingt SSH aktiviert werden. Die Unterstützung von SSH auf R1(config)# ip domain-name span.com
einem Cisco Gerät kann, wie in der Abbildung gezeigt, in R1(config)# crypto key generate rsa general-keys modulus
4 Schritten konfiguriert werden. 1024
Schritt 1: Stellen Sie sicher, dass der Router einen eindeutigen R1(config)# username badr secret cisco
Hostnamen aufweist und konfigurieren Sie anschließend im
globalen Konfigurationsmodus den IP-Domänennamen des
R1(config)# line vty 0 4
Netzwerks mit dem Befehl ip domain-name. R1(config-line)# login local
Schritt 2: Für Router müssen Einweg-Geheimschlüssel generiert R1(config-line)# transport input ssh
werden, um SSH-Datenverkehr zu verschlüsseln. Um den R1(config-line)# exit
SSH-Schlüssel zu generieren, verwenden Sie im globalen
Konfigurationsmodus den Befehl crypto key generate rsa
general-keys. Die genaue Bedeutung der verschiedenen Teile
dieses Befehls ist sehr komplex und geht über den Rahmen
dieses Kurses hinaus. Beachten Sie lediglich, dass der Modul die
Größe des Schlüssels bestimmt und als ein Wert zwischen
360 Bit und 2048 Bit konfiguriert werden kann. Je größer der
Modul, umso sicherer ist der Schlüssel, aber umso länger dauert
das Verschlüsseln und Entschlüsseln von Informationen. Die
empfohlene Mindestlänge ist 1024 Bit.
Schritt 3: Erstellen Sie mit dem globalen
Konfigurationsbefehl username einen Benutzernameneintrag in
der lokalen Datenbank.
Schritt 4: Aktivieren Sie eingehende SSH-Sitzungen mit den „line
vty“-Befehlen login local und transport input ssh.

Der Remote-Zugriff auf den Router ist jetzt nur noch mit SSH
möglich.

- Interpretieren von Ping-Ergebnissen


Mit dem Befehl ping können Netzwerkverbindungen auf effektive R1# ping 198.168.1.10
Weise getestet werden. Der Befehl ping verwendet das Internet
Control Message Protocol (ICMP) und überprüft die
Layer-3-Netzwerkverbindungen. Mit dem Befehl ping kann die Art
eines Problems nicht immer genau ermittelt werden. Er kann jedoch
dabei helfen, die Ursache des Problems zu identifizieren – ein
wichtiger erster Schritt bei der Behebung eines Netzwerkproblems.
IOS-Ping-Indikatoren
Ein von IOS ausgegebener Ping-Befehl gibt einen von mehreren
Indikatoren für jede gesendete ICMP-Echo-Anfrage zurück. Die
gängigsten Indikatoren sind wie folgt:
-! – Zeigt den Empfang einer ICMP-Echo-Antwortnachricht an, wie in C:> ping 198.168.1.10
Abbildung 1 gezeigt.
-( . )– Gibt eine Zeit an, die beim Warten auf eine
ICMP-Echo-Antwortnachricht vergangen ist.
-U – Zeigt den Empfang einer ICMP-Nachricht an, dass das Ziel nicht
erreichbar ist.

Loopback-Test
Mit dem Ping-Befehl kann außerdem die interne IP-Konfiguration auf
dem lokalen Host überprüft werden. Hierzu wird ein Ping an die
Loopback-Adresse 127.0.0.1 gesendet, wie in Abbildung 2 gezeigt.
Damit wird die ordnungsgemäße Funktion des Protokoll-Stacks von
der Vermittlungsschicht zur Bitübertragungsschicht und zurück
überprüft, ohne dass tatsächlich ein Signal auf den Medien gesetzt
wird.
- Der erweiterte Ping-Befehl
Cisco IOS bietet einen „erweiterten“ Modus R1# ping 198.168.1.10
des ping-Befehls. Um in diesen Modus zu wechseln, geben
Sie im privilegierten EXEC-Modus ping ein, allerdings ohne
eine Ziel-IP-Adresse anzugeben. Wie in der Abbildung
gezeigt, wird daraufhin eine Reihe von
Eingabeaufforderungen angezeigt. Durch Drücken
der Eingabetaste werden die angezeigten Standardwerte
übernommen. Das Beispiel zeigt, wie 10.1.1.1 als
Quelladresse für ein Ping erzwungen wird (siehe R2 in der
Abbildung). Die Quelladresse für ein Standard-Ping wäre
209.165.200.226. Damit kann der Netzwerkadministrator
von R2 aus überprüfen, ob R1 über eine Route zu
10.1.1.0/24 verfügt.

Hinweis: Der Befehl ping ipv6 wird für erweiterte


IPv6-Pings verwendet.

- Interpretieren von Trace-Meldungen


Der Befehl „trace“ gibt eine Liste der Hops zurück, entlang derer ein C:> tracerout 198.168.1.10
Paket durch ein Netzwerk geroutet wird. Die Form des Befehls ist
abhängig davon, wo der Befehl ausgegeben wird. Wenn Sie den
Trace-Befehl auf einem Windows-Computer ausführen, verwenden
Sie tracert. Wenn Sie den Trace-Befehl in der Befehlszeile eines
Routers ausführen, verwenden Sie traceroute, wie in Abbildung 1
gezeigt.

Abbildung 2 zeigt ein Beispiel für die Ausgabe des Befehls tracert,
der auf Host 1 eingegeben wurde, um die Route zu Host 2 zu
verfolgen. Die einzig erfolgreiche Antwort stammt vom Gateway auf
Router A. Bei den an den nächsten Hop gesendeten
Trace-Anforderungen ist eine Zeitüberschreitung aufgetreten, d. h.
dass der nächste Hop-Router nicht geantwortet hat. Die
Trace-Ergebnisse weisen darauf hin, dass entweder ein Fehler im
jenseits des LAN liegenden Internetworks vorliegt oder dass diese
Router so konfiguriert wurden, dass sie nicht auf Echo-Anfragen in
der Trace-Anforderung reagieren.
- Erweiterter Traceroute-Befehl
Der als Variante des Befehls traceroute konzipierte
erweiterte traceroute-Befehl ermöglicht es dem Administrator,
Parameter im Zusammenhang mit der Befehlsfunktion
anzupassen. Dies ist bei der Fehlerbehebung von
Routing-Schleifen hilfreich, da der genaue nächste Hop-Router
bestimmt wird. Außerdem kann festgestellt werden, wo Pakete
von einem Router verworfen oder von einer Firewall abgelehnt
werden. Während der erweiterte ping-Befehl verwendet werden
kann, um die Art des Verbindungsproblems zu ermitteln, ist der
erweiterte traceroute-Befehl bei der Suche nach dem Problem
nützlich.
Eine ICMP-Fehlermeldung vom Typ „Zeitüberschreitung“ zeigt
an, dass ein Router im Pfad das Paket gesehen und verworfen
hat. Eine ICMP-Fehlermeldung vom Typ „Ziel nicht erreichbar“
zeigt an, dass ein Router das Paket erhalten aber verworfen hat,
da es nicht zugestellt werden konnte. Ebenso wie der Befehl
„ping“ verwendet auch der Befehl „traceroute“
ICMP-Echo-Anfragen und -Antworten. Wenn der ICMP-Timer
abläuft, bevor eine ICMP-Echo-Antwort empfangen wird, wird in
der Ausgabe des traceroute-Befehls ein Sternchen (*)
angezeigt.
In IOS wird der erweiterte Traceroute-Befehl beendet, wenn eine
der folgenden Bedingungen eintritt:
 Das Ziel antwortet mit einer ICMP-Echo-Antwort.

 Der Benutzer unterbricht den Trace-Befehl mit der


Escape-Sequenz.
Hinweis: In IOS können Sie diese Escape-Sequenz aufrufen,
indem Sie Strg+Umschalt+6 drücken. In Windows wird die
Escape-Sequenz durch Drücken von Strg+C aufgerufen.

Um den erweiterten traceroute-Befehl zu verwenden, geben Sie


einfach traceroute ohne Parameter ein, und drücken Sie
die Eingabetaste. IOS führt Sie durch die Befehlsoptionen,
indem eine Reihe von Eingabeaufforderungen angezeigt wird,
die sich auf die Einstellung der verschiedenen Parameter
beziehen. Abbildung 1 zeigt die erweiterten traceroute-Optionen
in IOS und ihre jeweiligen Beschreibungen.
Obwohl der Windows-Befehl tracert die Eingabe mehrerer
Parameter zulässt, werden Sie nicht durch die Einstellungen für
die Parameter geführt sondern müssen diese über Optionen in
der Befehlszeile festlegen. Abbildung 2 zeigt die verfügbaren
Optionen für tracert in Windows.
- Gängige Show-Befehle
Die show-Befehle der Cisco IOS-CLI zeigen relevante Informationen
über die Konfiguration und den Betrieb des Geräts an.
Netzwerktechniker verwenden show-Befehle häufig, um
Konfigurationsdateien anzuzeigen, den Status von
Geräteschnittstellen und -prozessen zu überprüfen und den
Betriebsstatus des Gerätes zu prüfen. Die show-Befehle sind
verfügbar, wenn das Gerät mithilfe der Befehlszeile (CLI) oder mit
Cisco Configuration Professional konfiguriert wurde.
Der Status nahezu aller Prozesse oder Funktionen des Routers kann
mit einem show-Befehl angezeigt werden. Einige der häufiger
genutzten show-Befehle sind wie folgt:

-show running-config
-show interfaces
-show arp
-show ip route
-show protocols
-show version
- Der Befehl „ipconfig“
Wie in Abbildung 1 gezeigt, kann die IP-Adresse des
Standardgateways eines Hosts durch Eingabe des
Befehls ipconfig in der Befehlszeile eines Windows-Computers
angezeigt werden.
Verwenden Sie wie in Abbildung 2 gezeigt den Befehl ipconfig /all,
um die MAC-Adresse sowie einige Details zur Layer-3-Adressierung
des Geräts anzuzeigen.

Der DNS-Client-Dienst auf Windows-PCs optimiert außerdem die


Leistung der DNS-Namensauflösung, indem zuvor aufgelöste Namen
gespeichert werden. Wie in Abbildung 3 dargestellt, zeigt der
Befehl ipconfig /displaydns alle gecachten DNS-Einträge auf einem
Windows-Computersystem an.
- Der Befehl „arp“
Der Befehl arp wird an der Windows-Eingabeaufforderung
ausgeführt, wie in der Abbildung gezeigt. Der Befehl arp –a listet
alle Geräte auf, die sich aktuell im ARP-Cache des Hosts
befinden, einschließlich der IPv4-Adresse, der physischen
Adresse und des Adressierungstyps (statisch/dynamisch) für
jedes Gerät.
Der Cache kann mithilfe des Befehls arp -d gelöscht werden,
falls der Netzwerkadministrator den Cache mit aktualisierten
Daten auffüllen möchte.

Hinweis: Der ARP-Cache enthält nur Daten von Geräten, auf


die kürzlich zugegriffen wurde. Um sicherzustellen, dass der
ARP-Cache aufgefüllt ist, pingen Sie ein Gerät, damit dieses
einen Eintrag in der ARP-Tabelle erhält.

- Der Befehl „show cdp neighbors“


R1# show cdp neighbors
Es gibt eine Reihe weiterer IOS-Befehle, die ebenfalls hilfreich sind. R1# show cdp neighbors detail
Beispielsweise ist das Cisco Discovery Protokoll (CDP) ein
proprietäres Protokoll von Cisco, das auf der Sicherungsschicht
ausgeführt wird. Da CDP auf der Sicherungsschicht arbeitet,
können zwei oder mehrere Cisco Netzwerkgeräte wie Router, die
unterschiedliche Vermittlungsschichtprotokolle unterstützen, Daten
untereinander austauschen, selbst wenn keine
Layer-3-Netzwerkverbindungen vorhanden sind.
Vergleichen Sie die Ausgabe der show cdp neighbors-Befehle in
Abbildung 1 mit der Topologie in Abbildung 2. Beachten Sie, dass
R3 einige detaillierte Informationen über R2 und den Switch erfasst
hat, der mit der FastEthernet-Schnittstelle von R3 verbunden ist.
Beim Booten eines Cisco Geräts wird CDP standardmäßig
gestartet. CDP erkennt automatisch benachbarte Cisco Geräte, auf
denen CDP ausgeführt wird, ganz gleich, welches Layer-3-Protokoll
oder welche Protokollfamilien ausgeführt werden. CDP tauscht
Hardware- und Software-Gerätedaten mit seinen direkt
verbundenen benachbarten CDP-Geräten aus.
CDP liefert die folgenden Informationen zu allen
CDP-Nachbargeräten:
-Gerätekennungen – Gibt beispielsweise den für einen Switch
konfigurierte Hostnamen an.
-Adressliste – Bis zu eine Vermittlungsschichtadresse für jedes
unterstützte Protokoll.
-Port-Kennung – Der Name des lokalen und Remote-Ports in
Form einer ASCII-Zeichenfolge, z. B. FastEthernet 0/0.
-Funktionsliste – Gibt beispielsweise an, ob das Gerät ein Router
oder ein Switch ist.
-Plattform – Die Hardware-Plattform des Geräts, z. B. ein Router
der Cisco Serie 1841.
Der Befehl show cdp neighbors detail gibt die IP-Adresse eines
benachbarten Geräts zurück. CDP zeigt die IP-Adresse des
benachbarten Geräts unabhängig davon an, ob Sie das Gerät
pingen können. Dieser Befehl ist sehr hilfreich, wenn zwei
Cisco Router nicht über ihre gemeinsam genutzte Datenverbindung
routen können. Mithilfe des Befehls show cdp neighbors
detail kann festgestellt werden, ob bei einem der
CDP-Nachbargeräte ein IP-Konfigurationsfehler vorliegt.

Da einige IOS-Versionen standardmäßig CDP-Nachrichten senden,


ist es wichtig, zu wissen, wie CDP deaktiviert werden kann. Um
CDP global zu deaktivieren, verwenden Sie den globalen
Konfigurationsbefehl no cdp run. Um CDP auf einer Schnittstelle
zu deaktivieren, verwenden Sie den Schnittstellenbefehl no cdp
enable.
- Der Befehl „show ip interface brief“
Genauso wie Befehle und Dienstprogramme zum Überprüfen einer
Host-Konfiguration eingesetzt werden, können sie auch dazu dienen,
die Schnittstellen von aktiven Netzwerkkomponenten zu überprüfen.
Cisco IOS stellt Befehle zur Verfügung, mit denen die
Funktionsfähigkeit von Router- und Switch-Schnittstellen überprüft
werden kann.

Überprüfen von Switch-Schnittstellen


Klicken Sie auf die Schaltfläche S1 in Abbildung 2. Der Befehl show ip
interface brief kann auch verwendet werden, um den Status der
Switch-Schnittstellen zu überprüfen. In diesem Fall wurde der
Schnittstelle VLAN1 die IPv4-Adresse 192.168.254.250 zugewiesen und
sie wurde aktiviert und ist funktionsfähig.
Die Ausgabe zeigt außerdem, dass die Schnittstelle „FastEthernet0/1“
Überprüfen von Router-Schnittstellen deaktiviert ist. Dies weist darauf hin, dass entweder kein Gerät mit der
Einer der am häufigsten verwendeten Befehle ist show ip interface Schnittstelle verbunden ist oder dass das verbundene Gerät über eine
brief. Dieser Befehl gibt eine kürzere Ausgabe als der Befehl show ip Netzwerkschnittstelle verfügt, die nicht funktionsfähig ist.
interface zurück. Er liefert eine Zusammenfassung der wichtigsten
Informationen für alle Netzwerkschnittstellen auf einem Router. Im Gegenzug zeigt die Ausgabe, dass die Schnittstellen
„FastEthernet0/2“ und „FastEthernet0/3“ funktionsfähig sind. Ein
Klicken Sie auf die Schaltfläche R1 in Abbildung 2. Die Ausgabe des Anzeichen hierfür ist, dass sowohl Status als auch Protokoll als aktiv
Befehls show ip interface brief zeigt alle Schnittstellen auf dem angezeigt werden.
Router an, die den einzelnen Schnittstellen zugewiesene IP-Adresse,
falls vorhanden, sowie den Betriebsstatus der Schnittstelle.

- Der Befehl „debug“


IOS-Prozesse, -Protokolle, -Mechanismen und -Ereignisse generieren Um eine kurze Beschreibung aller Optionen des debug-Befehls
Meldungen, um ihren Status mitzuteilen. Diese Meldungen können aufzulisten, geben Sie im privilegierten EXEC-Modus in der
nützliche Informationen für die Fehlerbehebung oder die Überprüfung Befehlszeile den Befehl debug ? ein.
des Systembetriebs bereitstellen. Mit dem IOS-Befehl debug kann der
Administrator diese Meldungen in Echtzeit zu Analysezwecken Um eine bestimmte Debugging-Funktion zu deaktivieren, fügen Sie
anzeigen. Der Befehl ist ein sehr wichtiges Tool für die Überwachung das Schlüsselwort no vor dem Befehl debug hinzu:
von Ereignissen auf einem Cisco IOS Gerät.
Router# no debug ip icmp
Alle debug-Befehle werden im privilegierten EXEC-Modus
eingegeben. In Cisco IOS kann die Ausgabe von debug so
eingeschränkt werden, dass nur die relevante Funktion oder Alternativ können Sie die Befehlsvariante undebug im privilegierten
Teilfunktion eingeschlossen wird. Dies ist wichtig, da die Ausgabe des EXEC-Modus eingeben:
debug-Befehls im CPU-Prozess hohe Priorität hat und das System
außer Betrieb setzen kann. Verwenden Sie den Befehl debug deshalb Router# undebug ip icmp
nur, um spezifische Probleme zu beheben. Um den Status von
ICMP-Meldungen auf einem Cisco Router zu überwachen, verwenden Um alle aktiven debug-Befehle gleichzeitig zu deaktivieren,
Sie debug ip icmp, wie in der Abbildung gezeigt. verwenden Sie den Befehl undebug all:

Router# undebug all

Einige debug-Befehle wie debug all und debug ip packet generieren


ein große Menge von Ausgabedaten und nutzen einen großen Teil
der Systemressourcen. Der Router wäre in diesem Fall durch die
Anzeige von Debugging-Meldungen überlastet und hätte nicht mehr
genügend Verarbeitungsleistung zur Ausführung von
Netzwerkfunktionen bzw. könnte nicht mehr auf Befehle zum
Deaktivieren des Debugging-Vorgangs reagieren. Aus diesem Grund
wird die Verwendung dieser Befehlsoptionen nicht empfohlen und
sollte vermieden werden.
- Der Befehl „terminal monitor“
Verbindungen für den Zugriff auf die IOS-Befehlszeile können lokal
Führen Sie den Befehl aus, der das Senden von Protokollmeldungen
oder aus der Ferne hergestellt werden.
an die Remote-Sitzung erlaubt.
Lokale Verbindungen erfordern physischen Zugriff auf den Router R1# terminal monitor
oder Switch. Daher ist eine Kabelverbindung erforderlich. Diese R1#
Verbindung wird normalerweise hergestellt, indem ein PC mit einem Führen Sie die folgenden Fehlerbehebungsbefehle aus:
Rollover-Kabel an den Konsolen-Port des Routers oder Switches
angeschlossen wird. In diesem Kurs wird eine lokale Verbindung als  Führen Sie den Debug-Befehl aus, der den Status von
Konsolenverbindung bezeichnet.
ICMP-Meldungen auf R1 überwacht.
Remote-Verbindungen werden über das Netzwerk hergestellt. Sie
erfordern daher ein Netzwerkprotokoll wie IP. Für Remote-Sitzungen  Senden Sie ein Ping an ein Gerät mit der IP-Adresse
ist kein direkter physischer Zugriff erforderlich. SSH und Telnet sind 10.0.0.10.
zwei gängige Verbindungsprotokolle für Remote-Sitzungen. In diesem
Kurs verwenden wir das Protokoll, wenn wir von einer speziellen
Remote-Verbindung wie einer Telnet- oder eine SSH-Verbindung  Deaktivieren Sie alle Debugging-Vorgänge.
sprechen. R1# debug ip icmp
Während IOS-Protokollmeldungen standardmäßig an die Konsole
R1# ping 10.0.0.10
gesendet werden, werden dieselben Meldungen nicht standardmäßig
an die virtuellen Verbindungen gesendet. Da Debugging-Meldungen
Protokollmeldungen sind, verhindert dieses Verhalten, dass
Debugging-bezogene Meldungen für VTY-Leitungen angezeigt
werden.
Um Protokollmeldungen auf einem Terminal (virtuelle Konsole)
anzuzeigen, verwenden Sie den privilegierten EXEC-Befehl terminal
monitor.

Um das Protokollieren von Meldungen auf einem Terminal zu


stoppen, verwenden Sie den privilegierten EXEC-Befehl terminal no
monitor.

Verwenden Sie die Syntaxprüfung, um die Verwendung der


Befehle terminal monitor und debug zur Fehlerbehebung zu üben.