Cisco IOS 명령어

/ 네트워크(컴퓨팅) / 글쓴이
Print Friendly, PDF & Email

■ 시리얼 콘솔 연결
9600 / 흐름제어 없음


■ 콘솔 접속 후 명령어 입력상태로 들어가기
Type help or '?' for a list of available commands.
>enable    //  또는 en
Password:     //  초기 암호 없음, enter
# config terminal    //  또는 #conf t


show configuration 또는 #show startup-config   // 저장된 (처음 실행된) 구성 표시
show running-config  // 현재 실행되고 있는 구성 표시
show running-config host // 현재 실행되고 있는 일부 설정값 표시
show firewall // 현재 모드 확인

# enable password tttdata   // tttdata 로 지정
# enable password tttdata8719932 encrypted  // encrypted 옵션을 추가하면 길이,형식 제약
# enable password         // 공백으로 비우면 암호 해제


■ 라우터 명령어

Router>     <= 사용자모드(User Mode) : 장비의 상태확인에 사용 (privilege level 1)
Router>enable
Router#      <= 관리자모드(Privilege Exec Mode) : 정보확인, 저장, 삭제, 초기화, Ping test, trace route, telnet, ssh 접속, debug 등등 (privilege level 15)
Router# conf t
Router(config)# <= 글로벌 모드(Global Mode) : 전반적인 설정 및 상세설정 모드

show startup-config : 이 명령어는 RAM에 대한 설정 내용을 NVRAM에 저장했을시 그 정보를 보여줌
show ip route
show ip route summary : 라우팅 테이블에 등록된 경로 개수와 유형, 그리고 경로가 차지하는 메모리 소비와 오버헤드 상황을 알 수 있음
ping : ICMP 메시지를 이용하여 IP 데이터 전송 처리를 확인할 수 있음( 왜냐하면 IP는 비 신뢰적, 비 연결형이니까 확인해줘야 함)
       + U.U.U 인 경우 : ICMP 메시지가 목적지까지 도달할 수 없는 상태를 의미
       + ..... 인 경우 : ICMP 요청이 실패이거나 응답이 실패인 경우
show version : 라우터의 전체적인 사양을 알 수 있음
show flash : 라우터 플래시 메모리에 저장된 내용들을 확인할 수 있으며, 일반적으로 Cisco IOS를 저장
show process cpu : 라우터 프로세스 사용률과 부하 현상에 대한 원인을 찾아볼 수 있음
show controller : 라우터 시리얼 인터페이스에 연결된 케이블 유무 상태와 케이블 타입을 확인할 수 있음
show diag : 라우터에 장착된 인터페이스 모듈과 카드 타입을 확인할 수 있음


■ ASA 실전 연습

1 설정 값 정의 (테스트를 위한 임의 구성)
 - 내부망 (inside)  ip : 10.10.10.x (게이트웨이 10.10.10.1)  255.255.255.0
 - 외부망 (outside) ip : 192.168.0.200 / 255.255.255.0
 - 관리 암호 : tttdata
 - 관리사용자명 : ttt / 암호 : 028719932

2. 초기화 후 최초설정
        3번 항목의 명령어를 통해 초기화된 후 시리얼 터미널을 통해 접속한 화면
2013_06_10_21_34_26.gif


Pre-configure (사전 설정) 을 하는 경우 설정된 ip 주소로 접속하여 설정을 시작할 수 있지만
사전 설정 없이, 새로 구성하는 것이 좋습니다..
(n 입력후 enter  또는  ctrl+z 로 눌러 건너뛸수 있음)

  • Pre-configure Firewall now through interactive prompts [yes]? //enter
  • Firewall Mode [Routed]: //enter    // Routed 모드로 지정ob
  • Enable password [<use current password>]: // 암호를 지정하지 않을 경우 아무것도 입력하지 말고 enter
  • Allow password recovery [yes]?
  • Clock (UTC):                          // 날짜, 시간설정
  •   Year [2013]:
  •   Month [Jun]:
  •   Day [4]:
  •   Time [10:42:55]: 19:50:00
  • Inside IP address: 10.10.10.1      // 내부 ip 주소 설정
  • Inside network mask: 255.255.255.0
  • Host name:
  • Domain name:
  • Use this configuration and write to flash? //yes


3. 현재 구성 확인 및 현재구성 저장, 전체 및 일부 초기화

  • # show configuration 또는 #show startup-config   // 저장된 (처음 실행된) 구성 표시
  • # show running-config  // 현재 실행되고 있는 구성 표시
  • # show running-config host // 현재 실행되고 있는 일부 설정값 표시
  • # write // 현재 구성 저장
  • # clear configure all        // 저장되지 않은 구성 전체 초기화
  • # clear configure host         // 일부 설정만 초기화
  • # copy startup-config running-config  // 저장된 (초기 부팅시 사용된) 구성으로 복원

예을 들어 저장하지 않고 (write) clear configure all을 실행하면 전체 값이 초기화되고
저장하지 않고 재부팅 하는 경우 설정된 구성이 모두 이전에 저장되었던 상태로 복원됨.
ciscoasa(config)# hostname ttt  // host name을 ttt으로 변경
ttt(config)# show configuration  // 또는 # show startup-config
프롬프트는 ttt으로 변경되었으나 저장된 정보는 cisco임
  • : Saved
  • : Written by enable_15 at 12:42:09.669 UTC Mon Jun 10 2013
  • !
  • ASA Version 8.2(5)
  • !
  • hostname ciscoasa
  • ttt(config)# write               // 메모리에 쓰기 작업 실행
  • Building configuration...
  • Cryptochecksum: 79a78ed6 ff7428b1 f4920cf0 bf91fb9e
  • 2038 bytes copied in 1.700 secs (2038 bytes/sec)
  • [OK]
  • ttt(config)# show configuration  // 실제 저장된 정보 변경되었는지 확인
  • : Saved
  • : Written by enable_15 at 12:46:37.779 UTC Mon Jun 10 2013
  • !
  • ASA Version 8.2(5)
  • !
  • hostname ttt
  • ttt(config)# clear configure all  // 모든 구성 초기화
  • ciscoasa(config)# show configuration  // 또는 # show startup-config
프롬프트는 초기화 되었지만, 저장된 정보는 ttt으로 표기됨
: Saved
: Written by enable_15 at 12:46:37.779 UTC Mon Jun 10 2013
  • !
  • ASA Version 8.2(5)
  • !
  • hostname ttt
  • ciscoasa(config)# reload    // 검증을 위해 재부팅
  • System config has been modified. Save? [Y]es/[N]o: //  변경된 정보 저장하지 않음 -> n입력후 enter
  • Proceed with reload? [confirm]
  • ttt> en
  • Password:
  • ttt# config t
  • ttt(config)#    // 저장하지 않은 경우 재부팅 후에도 기존에 저장된 설정(host -> ttt)이 복원됩니다.
  • 4.라우팅 모드 지정
  • http://blog.naver.com/PostView.nhn?blogId=bestrouting&logNo=50094136714
  • # show firewall            // 현재 모드 확인
  • # no firewall transparent   // Router 모드로 설정 (기본값)
  • 5. 장비 관리 암호 설정
  • # enable password tttdata   // tttdata 로 지정
  • # enable password tttdata8719932 encrypted  // encrypted 옵션을 추가하면 길이 ,형식 제약
  • # enable password         // 공백으로 비우면 암호 해제

6. 날짜 시간 설정

  • clock zone date {day month | month day} year hh:mm {day month | month day} year hh:mm [offset]
  • # clock timezone KST 9    // 타임존 설정
  • # clock set 23:22:00 10 jun 2013        //  2013년 6월 10일 23시 22분 으로 설정
  • # ntp server 141.223.182.106  // NTP 설정  http://time.ewha.or.kr/domestic.html
  • 7. VLAN 인터페이스 설정
  • # interface vlan2             // vlan2 인터페이스 설정
  • # security-level 0            // 보안레벨 설정
  • # nameif outside           // 인터페이스 이름 정의
  • # ip address 192.168.0.200 255.255.255.0   // 인터페이스 ip 설정
  • # interface ethernet 0/0         // ethernet  0번포트를
  • # switchport access vlan 2    // vlan2 에 할당
  • # no shutdown

  • # interface vlan1            // vlan1 인터페이스 설정
  • # security-level 100        // 보안레벨 설정
  • # nameif inside             // 인터페이스 이름 정의
  • # ip address 10.10.10.1 255.255.255.0      // 인터페이스 ip 설정

  • # interface ethernet 0/1          // ethernet  1번포트를
  • # switchport access vlan 1      // vlan1 에 할당
  • # no shutdown
  • # interface ethernet 0/2            // 2번포트를
  • # switchport access vlan 1        // vlan1 에 할당
  • # no shutdown
  • # interface ethernet 0/3
  • # switchport access vlan 1
  • # no shutdown
  • # interface ethernet 0/4
  • # switchport access vlan 1
  • # no shutdown
  • # interface ethernet 0/5
  • # switchport access vlan 1
  • # no shutdown
  • # interface ethernet 0/6
  • # switchport access vlan 1
  • # no shutdown
  • # interface ethernet 0/7
  • # switchport access vlan 1
  • # no shutdown                        // ethernet 7번포트 까지 vlan1에 할당

8. 암호 및 사용자(관리자) 설정 (ssh 로그인시 사용)

  • # username user_here password password_here  encrypted privilege 15
// encrypted privilege 15 보안강화옵션
9. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 D class 전체)
  • # aaa authentication ssh console LOCAL  // 로컬사용자가 ssh 로그인 가능하도록 허용
  • # ssh 10.10.10.0 255.255.255.0 inside
  • # ssh timeout [분 1~60]   // 입력이 없을때 접속 자동으로 끊어지는 시간 설정
*9. 이후 부터는 ssh를 통해 원격지에서 로그인하여 설정 가능


10. 네트워크 연결상태 모니터링을 위해 ICMP 허용
  • # object-group icmp-type DefaultICMP
  • # description Default ICMP Types permitted
  • # icmp-object echo-reply
  • # icmp-object unreachable
  • # icmp-object time-exceeded
  • # access-list acl_outside extended permit icmp any any object-group DefaultICMP
  • # access-group acl_outside in interface outside

11. Static Routes - 외부 접속시 사용할 게이트웨이 주소 설정 (내부망 D class 전체)
ex) route if_name dest_ip mask gateway_ip [distance]
  • # route outside 0 0 192.168.0.1
12.내부 네트워크가 인터넷에 연결될 수 있도록 동적 NAT 구성
Inside Interface의10.10.10.x Network이 외부네트워크(Outside)로갈때,
outside interface 를 사용한다. (IP Address 192.168.0.200)
  • # global (outside) 1 interface
  • # nat (inside) 1 10.10.10.0 255.255.255.0
13. DHCP 활성화 (최대 32개가능? , 10~41까지 dhcp 대역으로 설정)
  • # dhcpd address 10.10.10.19-10.10.10.41  inside
  • # dhcpd dns 8.8.8.8 8.8.4.4             // google 1,2차 DNS 입니다.
  • # dhcpd enable inside
14. 설정 사항 저장 (저장하지 않으면 장비 재부팅시 설정내용이 손실됨)
  • #write memory 또는 #write,  #wr
원격 관리
5-1 ssh를 통한 관리
원격지에서 ssh 클라이언트를 통한 방화벽 관리
5-2. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)
  • # aaa authentication ssh console LOCAL  // 로컬사용자가 ssh 로그인 가능하도록 허용
  • # ssh 10.10.10.0 255.255.255.0 inside
  • # ssh timeout [분 1~60]   // 입력이 없을때 접속 자동으로 끊어지는 시간 설정
5-3. ssh 클라이언트
http://www.putty.org/ (리눅스, 윈도우 공용)
5-4. ASDM을 통한 관리
웹브라우저를 통해 방화벽 관리 (익스플로러)
5-5. ASDM 접속 활성화
  • # dir (ASDM 파일명 확인, asdm-645.bin 와 비슷한 형식)
  • # http server enable                                   // web 서버 활성화
  • # http 10.10.10.0 255.255.255.0 inside                 // 접속 가능한 ip대역 지정 (내부망 전체)
  • # asdm image disk0:/asdm-645.bin <- dir로 확인한 ASDM 이미지 파일명 입력 // asdm 이미지 연결
5-5. ASDM 웹브라우저로 접속
https://10.10.10.1      // https://로 접속 해야 함
5-6. telnet 을 통한 관리
원격지에서 방화벽 관리를 용이하게 하기 위해 (윈도우)
5-7. telnet 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)
  • # telnet 0.0.0.0 0.0.0.0 inside
5-8. 윈도우 7 용 텔넷 클라이언트
윈도우 클라이언트 활성화 http://shinb.tistory.com/111
tenlet을 통해 장비에 접속
PAT (Port Redirection) 구성
외부 인터페이스 (192.168.0.200) ftp 로 접근하면 10.10.10.19 의 ftp로 연결
  • # static (inside,outside) tcp interface ftp 10.10.10.19 ftp netmask 255.255.255.255
  • # access-list acl_outside permit tcp any interface outside eq ftp
  • # access-group acl_outside in interface outside
  • # show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
  • # access-list acl_outside permit tcp any interface outside eq $
  • # show access-list
  • access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
  • alert-interval 300
  • access-list acl_outside; 1 elements; name hash: 0xdcd74233
  • access-list acl_outside line 1 extended permit tcp any interface outside eq ftp (hitcnt=0) 0x62470edd
#
현재구성 확인 명령
VLAN 정보 확인
  • #show vlan
Dynamic NAT 환경설정 확인
  • #nat show dynamic
PAT 설정확인
  • #nat show pat
설정 지우기 (no 를 앞에 붙입니다.)
  • #no <지워야할 설정 명령어>
ex) #no http server enable

사용자 삭제
  • # no username name_user_to_delete(삭제할 사용자명)
vlan mac address 확인
  • # show interface vlan 1
  • Interface Vlan1 "inside", is up, line protocol is up
  •   Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
  •         MAC address  xxxx.xxxx.xxxx, MTU 1500
  •         IP address 10.10.10.1, subnet mask 255.255.255.0
  •   Traffic Statistics for "inside":
  •         225262 packets input, 17941107 bytes
  •         81819 packets output, 52581621 bytes
  •         142335 packets dropped
  •       1 minute input rate 2 pkts/sec,  166 bytes/sec
  •       1 minute output rate 1 pkts/sec,  87 bytes/sec
  •       1 minute drop rate, 0 pkts/sec
  •       5 minute input rate 2 pkts/sec,  291 bytes/sec
  •       5 minute output rate 1 pkts/sec,  195 bytes/sec
  •       5 minute drop rate, 0 pkts/sec
  • #
  • # show interface vlan 2
  • Interface Vlan2 "outside", is up, line protocol is up
  •   Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
  •         MAC address xxxx.xxxx.xxxx, MTU 1500
  •         IP address 192.168.0.200, subnet mask 255.255.255.0
  •   Traffic Statistics for "outside":
  •         145142 packets input, 58033410 bytes
  •         111845 packets output, 26528585 bytes
  •         28460 packets dropped
  •       1 minute input rate 2 pkts/sec,  284 bytes/sec
  •       1 minute output rate 1 pkts/sec,  121 bytes/sec
  •       1 minute drop rate, 1 pkts/sec
  •       5 minute input rate 3 pkts/sec,  301 bytes/sec
  •       5 minute output rate 1 pkts/sec,  188 bytes/sec
  •       5 minute drop rate, 0 pkts/sec
  • #
  • ethernet interface mac address 확인
  • # show interface ethernet 0/0
  • Interface Ethernet0/0 "", is up, line protocol is up
  •   Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
  •         Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
  •         Input flow control is unsupported, output flow control is unsupported
  •         Available but not configured via nameif
  •         MAC address xxxx.xxxx.xxxx, MTU not set
  •         IP address unassigned
  •         200088 packets input, 68454189 bytes, 0 no buffer
  •         Received 54808 broadcasts, 0 runts, 0 giants
  •         0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
  •         0 pause input, 0 resume input
  •         0 L2 decode drops
  •         53354 switch ingress policy drops
  •         112614 packets output, 28847792 bytes, 0 underruns
  •         0 pause output, 0 resume output
  •         0 output errors, 0 collisions, 0 interface resets
  •         0 late collisions, 0 deferred
  •         0 rate limit drops
  •         0 switch egress policy drops
  •         0 input reset drops, 0 output reset drops
위로 스크롤