Ste Plex Netwerk Cheatsheet
Jouw persoonlijke examengids voor het CCNA-niveau examen. Alle commando's, uitleg en examentips voor het Ste Plex scenario. Klik op een kaart om hem uit te klappen.
5
Onderwerpen
60+
Commando's
25+
Examentips
InterVLAN Routing
Verkeer routeren tussen VLANs β ROAS vs Multilayer Switch
Wat is InterVLAN Routing?
Zonder routing kunnen apparaten in verschillende VLANs niet met elkaar communiceren β elk VLAN is een eigen broadcast-domein. Je hebt een Layer 3 apparaat nodig om pakketten te routeren. Twee methoden: Router-on-a-Stick (ROAS) via een enkelvoudige routerpoort, of een Multilayer Switch (MLS) die routing intern doet.
π
βΆ
Router-on-a-Stick (ROAS)
ΓΓ©n fysieke poort, meerdere subinterfaces voor elk VLAN
Bij ROAS sluit je de router aan op een trunk-poort van de switch. Je maakt subinterfaces aan (bijv. Gi0/0.10 voor VLAN 10), configureert 802.1Q encapsulatie, en wijst een gateway-IP toe. De router stuurt dan verkeer tussen de subinterfaces.
KRITIEKE EXAMENVOLGORDE!
De
encapsulation dot1q opdracht MOET komen vΓ³Γ³r het ip address commando. Als je het IP-adres eerst configureert, geeft Cisco IOS een foutmelding. Dit is de meest gemaakte fout op examens!
Router β ROAS Configuratie
global config
! Stap 1: Activeer de fysieke poort (geen IP, geen shutdown) Router(config)# interface GigabitEthernet0/0 Router(config-if)# no shutdown Router(config-if)# exit ! Stap 2: Subinterface VLAN 20 β Verkoop afdeling Router(config)# interface GigabitEthernet0/0.20 Router(config-subif)# encapsulation dot1q 20 ! EERST encapsulatie! Router(config-subif)# ip address 192.168.20.1 255.255.255.0 ! DAN IP-adres Router(config-subif)# exit ! Stap 3: Subinterface VLAN 21 β IT afdeling Router(config)# interface GigabitEthernet0/0.21 Router(config-subif)# encapsulation dot1q 21 Router(config-subif)# ip address 192.168.21.1 255.255.255.0 Router(config-subif)# exit ! Stap 4: Subinterface VLAN 30 β Management VLAN Router(config)# interface GigabitEthernet0/0.30 Router(config-subif)# encapsulation dot1q 30 native ! native = ongetagde frames Router(config-subif)# ip address 192.168.30.1 255.255.255.0 Router(config-subif)# exit ! Sla op! Router# write memory
Verificatie ROAS
privileged exec
! Controleer alle interfaces en subinterfaces Router# show ip interface brief ! Verwachte output: Gi0/0 UP/UP, Gi0/0.20 UP/UP, etc. ! Controleer de routing tabel β subnetten moeten 'C' (Connected) zijn Router# show ip route ! Detail van één subinterface Router# show interface GigabitEthernet0/0.20 ! Test connectiviteit vanuit een PC in VLAN 20 naar VLAN 21 PC> ping 192.168.21.10 PC> traceroute 192.168.21.10 ! Moet via 192.168.20.1 gaan
Hoe werkt dot1Q encapsulatie?
802.1Q (dot1Q) is de standaard voor VLAN-tagging op trunk-links. Wanneer een frame aankomt op de router-poort, kijkt de router naar de VLAN-tag in de Ethernet-header. Op basis van die tag weet de router welke subinterface het frame moet verwerken. Zonder de
encapsulation dot1q opdracht weet de router niet welk verkeer bij welke subinterface hoort.
Native VLAN & beveiliging
Het
native keyword geeft aan dat ongetagde frames naar dat VLAN gaan. Zorg dat het native VLAN op de switch-trunk overeenkomt, anders krijg je "native VLAN mismatch" meldingen in CDP.
Examentip: Valkuil fysieke poort
De fysieke interface (bijv.
Gi0/0) mag geen IP-adres hebben bij ROAS. Alleen de subinterfaces krijgen IP-adressen. Vergeet ook niet no shutdown op de fysieke poort β subinterfaces gaan automatisch UP als de fysieke poort UP is, maar komen nooit UP als de fysieke poort DOWN is.
π₯οΈ
βΆ
Multilayer Switch (MLS) β Layer 3 Switch
Routing intern in de switch via SVI's en routed ports
Een Multilayer Switch (bijv. Cisco Catalyst 3560 of 3750) kan zowel switchen als routeren. Je activeert routing met ip routing, maakt Switch Virtual Interfaces (SVI's) aan per VLAN, en geeft elk SVI een gateway-IP.
KRITIEKE EXAMENVALKUIL:
ip routing vergeten!
Zonder ip routing in global config doet de MLS NIET aan Layer 3 routing, ook al heb je SVI's geconfigureerd met IP-adressen. Dit is de #1 fout bij MLS-examenvragen. Controleer altijd met show ip route.
MLS β SVI Configuratie (Ste Plex Main_L3)
global config
! Stap 1: Activeer Layer 3 routing (VERPLICHT β sla dit niet over!) Switch(config)# ip routing ! Stap 2: Maak VLANs aan (moeten bestaan voordat SVI UP kan komen) Switch(config)# vlan 20 Switch(config-vlan)# name VERKOOP Switch(config-vlan)# exit Switch(config)# vlan 21 Switch(config-vlan)# name IT Switch(config-vlan)# exit Switch(config)# vlan 30 Switch(config-vlan)# name MANAGEMENT Switch(config-vlan)# exit ! Stap 3: Maak SVI (Switch Virtual Interface) aan voor elk VLAN Switch(config)# interface vlan 20 Switch(config-if)# ip address 192.168.20.1 255.255.255.0 Switch(config-if)# no shutdown Switch(config-if)# exit Switch(config)# interface vlan 21 Switch(config-if)# ip address 192.168.21.1 255.255.255.0 Switch(config-if)# no shutdown Switch(config-if)# exit Switch(config)# interface vlan 30 Switch(config-if)# ip address 192.168.30.1 255.255.255.0 Switch(config-if)# no shutdown Switch(config-if)# exit ! SVI staat automatisch UP zodra er minstens één actieve poort in dat VLAN is
MLS β Routed Port (uplink naar core router)
interface config
! Een routed port is een switchpoort die gedraagt als router-interface ! Gebruik dit voor point-to-point verbindingen (bijv. uplink naar Edge router) Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# no switchport ! Verwijder switchport functie β maakt het een L3 port Switch(config-if)# ip address 10.0.0.2 255.255.255.252 Switch(config-if)# no shutdown Switch(config-if)# exit ! Voeg een default route toe zodat verkeer naar buiten kan Switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.1 ! Via de Edge router
Wanneer routed port vs SVI?
Gebruik een routed port voor punt-tot-punt verbindingen (uplinks) zonder VLAN-lidmaatschap. Gebruik een SVI als gateway voor een heel VLAN met meerdere hosts.
MLS Verificatie Commando's
privileged exec
! Controleer routing is ingeschakeld en bekijk routeringstabel Switch# show ip route ! Zoek naar 'C' (Connected) voor elk SVI subnet ! Als je alleen 'L' (Local) ziet en geen 'C', is ip routing uit! ! Status van alle interfaces incl. SVI's Switch# show ip interface brief ! Vlan20 moet 'up/up' zijn β als 'down/down': geen actieve poort in VLAN 20 ! Controleer of ip routing actief is Switch# show running-config | include ip routing ! Test routing tussen VLANs (vanuit een PC in VLAN 20) PC> ping 192.168.21.10 ! Host in ander VLAN PC> ping 192.168.20.1 ! Ping de gateway (SVI)
ROAS vs MLS β Vergelijking
| Aspect | ROAS | Multilayer Switch |
|---|---|---|
| Hardware | Losse router + switch | EΓ©n apparaat |
| Bottleneck | ΓΓ©n fysieke link | Intern backplane (snel) |
| Activeringscommando | no shutdown op fysieke poort | ip routing in global config |
| Gateway interface | Subinterface (Gi0/0.20) | SVI (interface vlan 20) |
| Dot1Q config | Verplicht per subinterface | Niet nodig (intern) |
| Ste Plex gebruik | Edge/WAN verbindingen | Main_L3, SW_Core |
VLANs, Trunks & VTP
Netwerksegmentatie voor Ste Plex β VLANs 20, 21, 22, 23 & 30
π
βΆ
VLANs Aanmaken & Poorten Toewijzen
Access ports voor eindgebruikers, trunk voor uplinks
Ste Plex VLAN Schema (uit examenopdracht W2)
Trunking is vereist voor VLAN 20, 21, 22, 23 & 30 op SW1βSW3. De distribution-laag gebruikt deze VLANs voor segmentatie van afdelingen.
Ste Plex β VLANs aanmaken (SW1/SW2/SW3)
global config
! VLANs aanmaken met beschrijvende namen Switch(config)# vlan 20 Switch(config-vlan)# name VERKOOP Switch(config-vlan)# exit Switch(config)# vlan 21 Switch(config-vlan)# name IT Switch(config-vlan)# exit Switch(config)# vlan 22 Switch(config-vlan)# name DIRECTIE Switch(config-vlan)# exit Switch(config)# vlan 23 Switch(config-vlan)# name FINANCE Switch(config-vlan)# exit Switch(config)# vlan 30 Switch(config-vlan)# name MANAGEMENT Switch(config-vlan)# exit
Access Poort Configuratie (eindgebruiker aansluiting)
interface config
! Poort Fa0/1 toewijzen aan VLAN 20 (Verkoop) Switch(config)# interface FastEthernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 20 Switch(config-if)# no shutdown Switch(config-if)# exit ! Meerdere poorten tegelijk (range) Switch(config)# interface range FastEthernet0/2 - 10 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 21 Switch(config-if-range)# no shutdown Switch(config-if-range)# exit
Trunk Configuratie SW1βSW3 (Ste Plex Eis: VLAN 20,21,22,23,30)
interface config
! Trunk configureren op uplink naar distributielaag Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport mode trunk ! KRITIEK: Alleen toegestane VLANs doorlaten (exameneis Ste Plex!) Switch(config-if)# switchport trunk allowed vlan 20,21,22,23,30 ! Stel native VLAN in (moet overeenkomen op beide kanten!) Switch(config-if)# switchport trunk native vlan 30 Switch(config-if)# no shutdown Switch(config-if)# exit ! VLANs toevoegen of verwijderen van bestaande trunk Switch(config-if)# switchport trunk allowed vlan add 25 ! Toevoegen Switch(config-if)# switchport trunk allowed vlan remove 25 ! Verwijderen
Examentip:
allowed vlan vs add
Gebruik je switchport trunk allowed vlan 20,21 dan vervangt dit de hele lijst! Gebruik add om VLANs toe te voegen aan een bestaande lijst. Verkeerd gebruik kan ertoe leiden dat andere VLANs geen verkeer meer door de trunk krijgen.
VLAN & Trunk Verificatie
privileged exec
! Alle VLANs en hun poorten zien Switch# show vlan brief ! Detail van één VLAN Switch# show vlan id 20 ! Trunk status controleren (Stellar Plex verificatie W2: trunking aan voor VLAN 20,21,22,23,30) Switch# show interfaces trunk ! Controleer kolom "VLANs allowed and active in management domain" ! Eén specifieke poort controleren Switch# show interfaces GigabitEthernet0/1 trunk Switch# show interfaces FastEthernet0/1 switchport
π’
βΆ
VTP β VLAN Trunking Protocol
Automatisch VLANs synchroniseren tussen switches
GEVAAR: VTP Revision Number β Kan ALLE VLANs wissen!
Als je een switch met een hoger revision number aansluit op je netwerk, overschrijft die de VLAN-database van alle andere switches β inclusief de server! Een refurbished switch uit een magazijn kan je hele productienetwerk plat leggen. Stel altijd nieuwe switches in als VTP Transparent of reset het revision number eerst (verander domain name β verander het terug).
VTP Configuratie
global config
! VTP domain en wachtwoord instellen (moet identiek zijn op alle switches) Switch(config)# vtp domain StePLEX Switch(config)# vtp password Cisco123! Switch(config)# vtp version 2 ! Server mode (default β kan VLANs aanmaken en verspreiden) Switch(config)# vtp mode server ! Client mode (ontvangt VLANs, kan zelf NIET aanmaken) Switch(config)# vtp mode client ! Transparent mode (veiligst β verstuurt VTP frames door maar volgt zelf NIET) Switch(config)# vtp mode transparent ! VTP uitschakelen (versie 3 feature) Switch(config)# vtp mode off
| Modus | VLANs aanmaken | VTP updates volgen | Updates doorsturen | NVRAM opslaan |
|---|---|---|---|---|
| Server | β Ja | β Ja | β Ja | β Ja |
| Client | β Nee | β Ja | β Ja | β Nee |
| Transparent | β Lokaal | β Nee | β Ja | β Ja |
| Off (v3) | β Lokaal | β Nee | β Nee | β Ja |
VTP Status Verificatie
privileged exec
Switch# show vtp status ! Controleer: VTP Domain Name, VTP Mode, Configuration Revision ! Als revision op client HOGER is dan server β gevaar! Switch# show vtp counters ! Ziet VTP advertenties worden verstuurd/ontvangen?
DHCP Server & IP Helper (Relay Agent)
Automatische IP-uitgifte en broadcast-relay over VLANs
π‘
βΆ
DHCP Server Configuratie
IP-pools aanmaken, uitsluiten en uitdelen
Examenvalkuil:
excluded-address locatie
De ip dhcp excluded-address opdracht hoort in global configuration mode, NIET binnen de DHCP pool. Dit is een veelgemaakte fout! Als je het in de pool probeert te typen, krijg je een foutmelding of het wordt genegeerd. De reden: uitsluiting is een globale instelling die geldt voordat de router een adres uit een pool probeert toe te wijzen.
DHCP Server β Volledige Configuratie
global config
! STAP 1: Uitsluitingen EERST instellen in global config! ! Reserveer .1 t/m .10 voor statische apparaten (gateways, servers, printers) Router(config)# ip dhcp excluded-address 192.168.20.1 192.168.20.10 Router(config)# ip dhcp excluded-address 192.168.21.1 192.168.21.10 Router(config)# ip dhcp excluded-address 192.168.30.1 192.168.30.10 ! STAP 2: Pool aanmaken voor VLAN 20 (Verkoop) Router(config)# ip dhcp pool VLAN20_VERKOOP Router(dhcp-config)# network 192.168.20.0 255.255.255.0 ! Hele subnet Router(dhcp-config)# default-router 192.168.20.1 ! Gateway = SVI of subinterface Router(dhcp-config)# dns-server 8.8.8.8 8.8.4.4 ! DNS servers Router(dhcp-config)# domain-name Steplex.local Router(dhcp-config)# lease 7 ! Lease tijd: 7 dagen Router(dhcp-config)# exit ! Pool voor VLAN 21 (IT) Router(config)# ip dhcp pool VLAN21_IT Router(dhcp-config)# network 192.168.21.0 255.255.255.0 Router(dhcp-config)# default-router 192.168.21.1 Router(dhcp-config)# dns-server 8.8.8.8 Router(dhcp-config)# exit
DHCP Relay Agent β ip helper-address
interface config
! Scenario: DHCP server staat in VLAN 30 (192.168.30.100) ! Clients in VLAN 20 kunnen DHCP broadcasts NIET over de router sturen ! Oplossing: ip helper-address op de SVI van VLAN 20 Switch(config)# interface vlan 20 Switch(config-if)# ip helper-address 192.168.30.100 Switch(config-if)# exit Switch(config)# interface vlan 21 Switch(config-if)# ip helper-address 192.168.30.100 Switch(config-if)# exit
Hoe werkt ip helper-address?
Een DHCP-verzoek van een client is een broadcast (naar 255.255.255.255). Routers sturen broadcasts standaard NIET door. Met
ip helper-address op de SVI zet de router de broadcast om naar een unicast UDP-pakket naar het opgegeven DHCP-server adres (poort 67). De server stuurt het antwoord unicast terug, waarna de router het opnieuw omzet naar een broadcast voor de client. Configureer ip helper-address altijd op de interface/SVI die de DHCP broadcasts ontvangt β dus aan de kant van de clients.
DHCP Verificatie
privileged exec
! Alle actieve DHCP leases zien Router# show ip dhcp binding ! Pool statistieken (hoeveel adressen gebruikt/vrij) Router# show ip dhcp pool ! DHCP conflicten (adressen die al in gebruik waren) Router# show ip dhcp conflict ! Controleer helper-address configuratie op SVI Switch# show running-config | section interface vlan ! Van een PC testen (Windows) C:\> ipconfig /release C:\> ipconfig /renew C:\> ipconfig /all ! Controleer: IP, gateway, DNS
Apparaatbeheer & Netwerkinventarisatie
LLDP, NTP & Syslog β Ste Plex W2 Opdracht 1 & 2
π
βΆ
LLDP β Link Layer Discovery Protocol
Netwerkinventarisatie via neighbours (Ste Plex Opdracht 1)
Ste Plex Opdracht 1: Je moet via SSH inloggen op de devices in VLAN 30 en via LLDP neighbours-tabellen de distribution-laag in kaart brengen. LLDP is het open standaard alternatief voor het Cisco-eigen CDP.
LLDP Inschakelen
global config
! LLDP globaal inschakelen (standaard UIT op Cisco) Switch(config)# lldp run ! Per interface beheren (optioneel) Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# lldp transmit ! LLDP frames versturen Switch(config-if)# lldp receive ! LLDP frames ontvangen Switch(config-if)# exit ! LLDP uitschakelen (security hardening) Switch(config)# no lldp run
LLDP Neighbours Opvragen (Ste Plex Inventarisatie)
privileged exec
! Overzicht van alle LLDP neighbours Switch# show lldp neighbors ! Output toont: Device ID, Local Interface, Holdtime, Capability, Port ID ! Gedetailleerde informatie per neighbour (voor netwerktekening!) Switch# show lldp neighbors detail ! Bevat: IP-adres, OS versie, interface snelheid, VLAN info ! LLDP globale status Switch# show lldp ! Per interface Switch# show lldp interface GigabitEthernet0/1 ! CDP equivalent (Cisco only β werkt op alle Cisco devices standaard) Switch# show cdp neighbors detail
| Eigenschap | LLDP (IEEE 802.1AB) | CDP (Cisco Proprietary) |
|---|---|---|
| Standaard | Open IEEE standaard | Cisco proprietary |
| Werkt met | Alle vendors (Juniper, HP, etc.) | Alleen Cisco |
| Standaard status | β Uit (moet lldp run) | β Aan (standaard) |
| Ste Plex gebruik | Inventarisatie multi-vendor | Cisco-only omgevingen |
| Interval | 30 seconden | 60 seconden |
π
βΆ
NTP & Syslog
Tijdsynchronisatie en gecentraliseerde logging (Ste Plex Verificatie-eis)
Ste Plex W2 Controle-eisen: NTP server geconfigureerd EN logging naar Syslog server geconfigureerd β beide moeten gecontroleerd worden op Main_L3, SW1βSW3, SW_Core, SW_back_01, Edge & Firewall.
NTP Client Configuratie
global config
! Stel een NTP server in (bijv. de core server van Ste Plex) Router(config)# ntp server 192.168.30.100 ! Interne NTP server Router(config)# ntp server pool.ntp.org ! Publieke NTP server ! Tijdzone instellen (Amsterdam = CET = UTC+1) Router(config)# clock timezone CET 1 Router(config)# clock summer-time CEST recurring ! Zomertijd ! Handmatig klok instellen (als NTP niet beschikbaar is) Router# clock set 14:30:00 19 May 2026 ! Waarom NTP? Logs van meerdere apparaten vergelijken vereist synchrone tijd! ! Een tijdverschil van seconden maakt forensisch onderzoek na een incident onmogelijk.
Syslog Configuratie
global config
! Logging naar externe Syslog server sturen Router(config)# logging 192.168.30.200 ! IP van de Syslog server ! Logging niveau instellen (0=kritisch, 7=alles) Router(config)# logging trap informational ! Niveau 6 (aanbevolen) ! Tijdstempel op logs inschakelen (ESSENTIEEL!) Router(config)# service timestamps log datetime msec ! Buffered logging (lokaal opslaan) Router(config)# logging buffered 16384 debugging ! Logging on (standaard aan, maar goed om zeker te stellen) Router(config)# logging on
Syslog Niveaus (0β7)
| Nr | Naam | Keyword | Betekenis |
|---|---|---|---|
| 0 | Emergencies | emergencies | Systeem onbruikbaar |
| 1 | Alerts | alerts | Directe actie vereist |
| 2 | Critical | critical | Kritieke condities |
| 3 | Errors | errors | Foutcondities |
| 4 | Warnings | warnings | Waarschuwingen |
| 5 | Notifications | notifications | Normale maar significante events |
| 6 | Informational | informational | Informatieve berichten β Aanbevolen |
| 7 | Debugging | debugging | Debug-level berichten (veel verkeer!) |
NTP & Syslog Verificatie
privileged exec
! NTP synchronisatiestatus Router# show ntp status ! Zoek naar: "Clock is synchronized" β als je dit ziet, is NTP actief! ! "Clock is unsynchronized" = probleem met NTP server bereikbaarheid ! NTP associaties (welke servers worden gebruikt) Router# show ntp associations ! '*' betekent huidige master, '+' = geselecteerd, '-' = geweigerd ! Huidige tijd controleren Router# show clock detail ! Logging configuratie tonen Router# show logging ! Controleer: "Logging to <IP>, X messages dropped" ! Running config voor NTP/logging Router# show running-config | include ntp\|logging
Security & Hardening
Wachtwoorden, SSH, Telnet uitschakelen β Ste Plex W2 Controle-eisen
π
βΆ
Wachtwoorden & Toegangsbeveiliging
enable secret, service password-encryption, console & VTY
Ste Plex W2 Verificatie-eisen: Wachtwoorden versleuteld opgeslagen β | Telnet uitgeschakeld β | Alleen SSH remote toegang β | Privileged Exec (enable) mode ingeschakeld β β op Main_L3, SW1βSW3, SW_Core, SW_back_01, Edge & Firewall.
Wachtwoorden & Encryptie (Alle Ste Plex Devices)
global config
! enable secret gebruikt MD5 hash β ALTIJD gebruiken, NOOIT 'enable password' Router(config)# enable secret Cisco@Ste2024! ! Hostname instellen (vereist voor SSH) Router(config)# hostname Main_L3 ! Versleutel ALLE wachtwoorden in de running-config (type 7) Main_L3(config)# service password-encryption ! Console beveiliging Main_L3(config)# line console 0 Main_L3(config-line)# password Console123! Main_L3(config-line)# login Main_L3(config-line)# exec-timeout 5 0 ! Uitloggen na 5 min inactiviteit Main_L3(config-line)# exit ! Banner instellen (juridische waarschuwing) Main_L3(config)# banner motd # WAARSCHUWING: Onbevoegde toegang is verboden. Ste Plex Network. #
enable secret vs enable password
enable password slaat het wachtwoord op in plaintext (of zwakke type 7 versleuteling). enable secret gebruikt MD5 en overschrijft enable password als beide zijn ingesteld. Gebruik altijd enable secret.
SSH Configuratie β Stap voor Stap (Verplichte Volgorde!)
global config
! ββββββββββββββββββββββββββββββββββββββββββββββββββββββ ! SSH STAPPEN β in DEZE volgorde uitvoeren! ! ββββββββββββββββββββββββββββββββββββββββββββββββββββββ ! STAP 1: Hostname instellen (verplicht voor SSH key) Router(config)# hostname SW1 ! STAP 2: Domain name instellen (verplicht voor RSA key) SW1(config)# ip domain-name Steplex.local ! STAP 3: Lokale gebruiker aanmaken (voor 'login local') SW1(config)# username admin privilege 15 secret Admin@Ste! ! STAP 4: RSA sleutelpaar genereren (minimaal 2048 bits!) SW1(config)# crypto key generate rsa ! Voer in: 2048 (geeft SSHv2 ondersteuning) ! Tip: 'crypto key generate rsa modulus 2048' is de snelle versie ! STAP 5: SSH versie 2 forceren SW1(config)# ip ssh version 2 ! STAP 6: VTY lines configureren (ALLEEN SSH, Telnet uitschakelen!) SW1(config)# line vty 0 15 SW1(config-line)# transport input ssh ! Telnet UITGESCHAKELD! SW1(config-line)# login local ! Gebruik lokale gebruikersdatabase SW1(config-line)# exec-timeout 10 0 ! Timeout 10 min SW1(config-line)# exit ! STAP 7: Opslaan! SW1# write memory
Telnet expliciet uitschakelen
Standaard staan VTY lines op
transport input all (Telnet + SSH). Door transport input ssh te configureren, is Telnet geblokkeerd. transport input none blokkeert ALLES inclusief SSH β dat wil je niet in productie! Controleer altijd met show line vty 0 4.
Security Verificatie (Ste Plex W2 Checklist)
privileged exec
! 1. Controleer SSH status en versie Switch# show ip ssh ! Zoek naar: "SSH Enabled - version 2.0" ! 2. Controleer VTY transport (Telnet uit?) Switch# show line vty 0 4 Switch# show running-config | section line vty ! Moet 'transport input ssh' bevatten β NIET 'transport input all' ! 3. Controleer wachtwoordversleuteling Switch# show running-config | include secret\|password ! 'enable secret 5 $1$...' = MD5 hash (goed!) ! 'enable password Cisco123' = plaintext (FOUT!) ! 4. Controleer RSA sleutels Switch# show crypto key mypubkey rsa ! 5. Test SSH verbinding (vanuit een ander apparaat) PC> ssh -l admin 192.168.30.10 ! 6. Controleer actieve SSH sessies Switch# show ssh ! 7. IOS versie controleren (Ste Plex W2 eis) Switch# show version ! Geeft: IOS versie, serienummer, uptime, geheugen
Ste Plex Verificatie Checklist
Directe vertaling van de examenopdracht W2 naar commando's
π
βΆ
W2 Opdracht 2A β Volledige Controle Tabel
Elk controle-item met bijbehorend commando en verwacht resultaat
| Controle Item (examen) | Apparaten | Commando | Verwacht resultaat |
|---|---|---|---|
| Trunking alleen voor VLAN 20,21,22,23 & 30 | SW1βSW3 | show interfaces trunk |
Kolom "VLANs allowed" toont 20,21,22,23,30 |
| Telnet is uitgeschakeld | SW1βSW3 | show run | section line vty |
transport input ssh |
| Wachtwoorden versleuteld opgeslagen | Alle devices | show run | include secret|password |
Hashes zichtbaar, geen plaintext |
| Alleen SSH remote inloggen | Alle devices | show ip ssh |
"SSH Enabled - version 2.0" |
| Werkplek PC's kunnen op Intranet webpagina | Alle PC's | ping + browser test |
HTTP response van intranet server |
| Privileged Exec (enable) mode ingeschakeld | Alle devices | show run | include enable secret |
enable secret 5 $1$... aanwezig |
| NTP Server geconfigureerd | Alle devices | show ntp status |
"Clock is synchronized" |
| Logging naar Syslog server geconfigureerd | Alle devices | show logging |
Syslog server IP zichtbaar, logging actief |
| IOS versie controleren | Alle devices | show version |
Vergelijk met netwerk documentatie |
β‘
βΆ
Snel Diagnose Script β Alles in één keer
Copy-paste dit blok voor een complete controle van één device
Volledige Device Controle β Ste Plex
privileged exec
! ββββββββββββββββββββββββββββββββββββββββββββββββββββββ ! Ste PLEX DEVICE CHECK β Voer dit uit per device ! ββββββββββββββββββββββββββββββββββββββββββββββββββββββ ! 1. Basis info Device# show version Device# show ip interface brief ! 2. VLAN & Trunk check Device# show vlan brief Device# show interfaces trunk ! 3. Security check Device# show ip ssh Device# show running-config | section line vty Device# show running-config | include enable secret ! 4. NTP check Device# show ntp status Device# show clock ! 5. Logging check Device# show logging ! 6. LLDP neighbours (voor netwerktekening) Device# show lldp neighbors detail ! 7. Routing check (alleen L3 devices) Device# show ip route Device# show ip dhcp binding ! 8. Opslaan als alles goed is Device# write memory
β οΈ
βΆ
Top 10 Examenvalkuilen β Ste Plex
De meest gemaakte fouten, samengevat door een Senior Network Engineer
- ROAS: encapsulation vΓ³Γ³r ip address β Altijd
encapsulation dot1q <vlan>EERST, dan pasip address. - MLS: ip routing vergeten β Zonder
ip routinggeen interVLAN routing, ook al heb je SVI's. - SVI staat DOWN/DOWN β Controleer of er een actieve access port in dat VLAN zit. Een SVI zonder actieve poort blijft DOWN.
- DHCP excluded-address buiten de pool β Dit hoort in global config, NIET in de DHCP pool!
- ip helper-address op verkeerde interface β Configureer het op de interface die de DHCP broadcasts ontvangt (client-kant).
- VTP revision number gevaar β Stel nieuwe switches in als Transparent VOORDAT je ze aansluit op het netwerk.
- Trunk allowed vlan overschrijft β Gebruik
addom VLANs toe te voegen; anders wis je bestaande VLANs. - SSH mislukt: geen hostname of domain-name β RSA key generatie vereist BEIDE. Volgorde: hostname β domain-name β crypto key.
- transport input none ipv ssh β
noneblokkeert ook SSH! Gebruiktransport input ssh. - write memory vergeten β Na reboot is alles weg! Altijd opslaan:
write memoryofcopy running-config startup-config.