====== Cisco IOS Router i Switch ściągawka ======

===== Switch =====


Wukorzystywane w cwiczeniu sekwencje poleceń CLI systemu Cisco IOS:
Konfigurowanie:

  * nadanie przelacznikowi nazwy
  * hasla na interfejsie konsolowym oraz PT GUI
  * hasla na interfejsie terminalowym (Telnet, Putty)
  * hasla dla trybu uprzywilejowanego (switch#)
  * hasla szyfrownego dla trybu uprzywilejowanego (switch#)
  * komunikatu MOTD (banner)
  * interfejsu IP zarzadzania przelacznikem (VLAN 1)
  * bramy domyslnej
  * zabezpieczenia wybranego portu przelacznika
  * restart przelacznika (reload)
  * zapamietanie biezacej konfiguracji jako konfiguracji startowej
  * weryfikacja komunikacji interfejsu IP zarzadzania z serwerem (ping)
  * zapamietanie konfiguracji bieżacej na serwerze TFTP
  * zapamietanie konfiguracji startowej na serwerze TFTP
  * pobranie do pamieci Flash obrazu systemu IOS z serwera TFTP
  * wymuszenie ladowania (po restart) do RAM wybranego obrazu systemu IOS
  * usuniecie z pamieci Flash zbednego obrazu systemu IOS
  * odblokowanie portu
  * usuniecie zabezpieczenia portu
  * definiowanie listy akceptownych adresów MAC na porcie
  * monitoring wybranych portów (SNAP)

Weryfikacja (wyswietlenie):

  * biezacej konfiguracji przelacznika
  * aktualnie uzywanej wersji systemu operacyjnego (Cisco IOS) – pamiec RAM
  * dostepnych obrazów systemu IOS – pamiec Flash
  * aktualnych zabezpieczeń portu

Statyczne sieci VLAN:
  * konfigurowanie sieci VLAN o identyfikatorze <nr> i nazwie <nazwa>
  * skonfiguranie portu jako access
  * skonfigurowanie kilku portow jako access
  * skonfiguranie portu jako trunk (802.1q) */
  * przypisanie 1-go portu access do sieci VLAN <nr>
  * przypisanie kilku portów access do sieci VLAN <nr>
  * zmiana typu portu z trunk na access
  * wyswietlenie zdefiniowanych VLAN-ów
  * wyswietlenie zdefiniowanych łaczy typu trunk (802.1q)

<code>
/* ustawienie hasla dla interejsu konsolowego, rowniez interfejsu GUI */
Switch>enable
Switch#config terminal
Switch(config)#line con 0

/* konfiguracja interfejsu konsolowego */
Switch(config-line)#password <haslo> /*haslo */
Switch(config-line)#login /* wymagane podanie hasla */
Switch(config-line)#exit
Switch(config)#exit
Switch#

/* ustawienie hasla dla interejsu terninalowego - telnet */
Switch#config terminal
Switch(config)#line vty 0

/* konfiguracja interfejsu terminalowego */
Switch(config-line)#password <haslo> /* haslo */
Switch(config-line)#login /* aby pojawilo sie zapytanie o haslo */
Switch(config-line)#exit
Switch(config)#exit
Switch#

/* ustawienie hasla dla trybu uprzywilejowanego - priviledged */
Switch#config terminal
Switch(config)# enable password <haslo> /* haslo */

/* ustawienie szyfrowanego hasla trybu uprzywilejowanego - priviledged */
Switch#config terminal
Switch(config)# enable secret <haslo1> /* haslo zaszyfrowane*/

/* skonfigurowanie banera */
switch> enable
switch# configure terminal
switch# (configure)# banner motd @ <tekst> @

/* wyswietlenie konfiguracji biezacej – running-config w RAM */
switch# show running-config

/* zrestartowanie przelacznika */
switch# reload

/* zapamietanie konfiguracji biezacej w NVRAM */
switch# copy running-config startup-config

/* skonfigurowanie interfejsu zarzadzania przelacznikiem */
switch# configure terminal
switch(config)# interface vlan 1
/* dla zarzadzania */
switch(config-if)# ip address <address> <mask>
switch(config-if)# no shutdown
/* aktywacja */
switch(config-if)# exit
/* skonfigurowanie bramy domyslnej – dla interfejsu zarzadzania */
switch# configure terminal
switch(config)# ip default-gateway <address>
/* dla itf zarzadzania */

/* weryfikacja komunikacji przelacznika z serwerem tftp */
switch# ping <address>
/* wykonanie kopii konfiguracji biezacej na serwrze TFTP */
switch# copy running-config tftp /* zapyta o adres IP oraz nazwe pliku */

/* wykonanie w pamieci NVRAM kopii konfiguracji biezacej */
switch# copy running-config startup-config

/* wykonanie kopii konfiguracji startowej na serwrze TFTP */
switch# copy startup-config tftp /* zapyta o adres IP oraz nazwe pliku */

/* pobranie do pamieci Flash obrazu systemu IOS z serwera TFTP */
switch# copy tftp

/* wyswietlenie biezacej wersji systemu IOS - w pamieci RAM */
switch# show version

/* wyswietlenie dostepnych obrazow systemu IOS - w pamieci Flash */
switch# show flash

/* wymuszenie ladowania (po restart) do RAM wybranego obrazu systemu IOS */
switch#configure terminal
switch(config)# boot system flash:<wersja> /* nowy */
switch(config)#exit

/* nadanie przelacznikowi nazwy */
switch> enable
switch# configure terminal
switch(config)# hostname <nazwa> /* nowy prompt */

/* Bezpieczeństwo portów */

/* zabezpieczenia wybranego portu dostepowego przelacznika; do portu moze byc
podlaczony host o podanym adresie MAC, podlaczenie innego hosta zablokuje port
*/
switch(config)# interface fa0/10 /* numer portu */
switch(config-if)# switchport mode access /* port dostepowy */
switch(config-if)# switchport port-security /* zabezpieczenie */
switch(config-if)# switchport port-security maximum 1 /* tylko 1 jeden host */
switch(config-if)# switchport port-security mac-address <addr> /* mac hosta */
switch(config-if)# switchport port-security violation shutdown /* reakcja na
naruszenie zabezpieczenia – zablokowanie (shutdown) */

/* odblokowanie portu */
switch(config)#interface fa0/10
switch(config-if)#shutdown /* deaktywacja portu */
switch(config-if)#no shutdown /* aktywacja portu */

/* usuniecie zabezpieczenia portu */
switch(config)#interface fa0/10
switch(config-if)# no switchport port-security /* bez zabezpieczenia */

switch(config-if)#shutdown
/* deaktywacja portu */
switch(config-if)#no shutdown
/*aktywacja portu */

/* weryfikacja zabezpieczenia portu */
/* rodzaj zabezpieczonia */
switch#show port-security interface fa0/10
/* akceptowane adresy MAC na porcie fa0/10 */
switch#show port-security address

/* Statyczne sieci VLAN */

/* konfigurowanie sieci VLAN o identyfikatorze <nr> i nazwie <nazwa> */
Switch(config)#vlan <nr>
Switch(config-vlan)#name <nazwa>
Switch(config-vlan)#exit

/* skonfiguranie portu jako access */
Switch(config)#interface fa0/2
/* np. interfeju fa0/2 */
Switch(config-if)#switchport mode access /* typu access */

/* skonfigurowanie kilku portow jako access */
Switch(config)#interface range fa0/2 - 8 /* np. interfejsów fa0/2- fa0/8 */
Switch(config-if)#switchport mode access /* typu access */

/* skonfiguranie portu jako trunk (802.1q) */
Switch(config)#interface fa0/10
/* np. interfeju fa0/10 */
Switch(config-if)#switchport mode trunk /* typu trunk */

/* przypisanie 1-go portu access do sieci VLAN <nr> */
Switch(config)#interface fa0/2
/* np. interfeju fa0/2 */
Switch(config-if)#switchport access vlan <nr>

/* przypisanie kilku portów access do sieci VLAN <nr> */
Switch(config)#interface range fa0/2 - 8 /* np. interfejsów fa0/2- fa0/8 */
Switch(config-if)#switchport access vlan <nr>

/* przypisanie portu trunk do VLAN-ow nr1, nr2, ... */
Switch(config)#interface fa0/7
/* np. trunk interfejs fa0/7 */
Switch(config-if)#switchport trunk allowed vlan nr1, nr2, ...
/* zmiana typu portu z trunk na access */
Switch(config)#interface fa0/2
/* np. interfeju fa0/2 */
Switch(config-if)#no switchport mode trunk
Switch(config-if)#end

/* wyswietlenie zdefiniowanych VLAN-ów */
Switch# show vlan brief

/* wyswietlenie zdefiniowanych łaczy typu trunk (802.1q) */
Switch# show interfaces trunk

/* Monitoring wybranych portów (SPAN)*/

/* port 1 jest portem obserwowanym (source), a port 24 - monitorujacym
(destination) */

Switch#
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#no monitor session 1 /* wyczyszczenie bufora */
Switch(config)#monitor session 1 source interface fa0/1 tx|rx
Switch(config)#monitor session 1 destination interface fa0/24
Switch(config)#exit
Switch
/* tx – egress traffic; rx – ingress trffic */
</code>

===== Router =====

Wukorzystywane w cwiczeniu sekwencje poleceń CLI systemu Cisco IOS:
Konfigurowanie:

  * nadanie ruterowi nazwy
  * hasla na interfejsie konsolowym oraz PT GUI
  * hasla na interfejsie terminalowym (Telnet, Putty)
  * hasla dla trybu uprzywilejowanego (Router#)
  * hasla szyfrownego dla trybu uprzywilejowanego (Router#)
  * komunikatu MOTD (banner)
  * zablokowanuie wyszukiwania nazw w DNS
  * bramy domyslnej
  * restart rutera (reload)
  * zapamietanie biezacej konfiguracji jako konfiguracji startowej
  * weryfikacja komunikacji interfejsu rutera z serwerem TFTP (ping)
  * zapamietanie konfiguracji bieżacej na serwerze TFTP
  * zapamietanie konfiguracji startowej na serwerze TFTP
  * pobranie do pamieci Flash obrazu systemu IOS z serwera TFTP
  * wymuszenie ladowania (po restart) do RAM wybranego obrazu systemu IOS
  * usuniecie z pamieci Flash zbednego obrazu systemu IOS
  * konfigurowanie interfejsu Ethernet
  * konfigurowanie interfejsu szeregowego
  * konfigurownie rutingu dynamicznego
  * nadanie interfejsowi nazwy opisowej
  * konfigurowanie trasy domyslnej
  * knfiguracja trasy statycznej do sieci odleglej – remote
  * knfiguracja trasy statycznej do sieci przyleglej – local
  * Weryfikacja (wyswietlenie):
  * biezacej konfiguracji rutera
  * aktualnie uzywanej wersji systemu operacyjnego (Cisco IOS) – pamiec RAM
  * dostepnych obrazów systemu IOS – pamiec Flash
  * aktualnej konfiguracji wybranego interfejsu rutera
  * aktualnych tras w tablicy routingu rutera
  * skrotowej informacji o skonfigurowanych interfejsach rutera

Wsparcie dla DHCP:

  * stworzenie puli adresow DHCP
  * zdefiniowanie adresu bazowego sieci
  * zdefiniowanie adresu serwera DNS
  * zdefiniowanie adresu bramy domyślnej
  * określenie zakresu adresow wykluczonych

Wsparcie dla statycznej translacji DNAT:

  * zdefiniowanie interfejsu wewnetrznego sieci LAN
  * zdefiniowanie interfejsu zewnetrznego sieci WAN
  * weryfikacja skonfigurowanej statycznej translacji DNAT

Wsparcie dla dynamicznej translacji SNAT:

  * zdefiniowanie puli adresów publicznych
  * zdefiniowanie listy hostów, które maja dostęp do sieci publicznej
  * zdefiniowanie dynamicznej translacji SNAT (PAT)
  * zdefiniowanie interfejsu wewnętrznego i zewnetrnego SNAT

Wsparcie dla VLAN:
  * skonfigurowanie subintefejsu z enkapsulacją 802.1q
  * weryfikacja skonfigurowanego subinterfejsu

<code>
/* ustawienie hasla dla interejsu konsolowego, rowniez interfejsu GUI */
Router>enable
Router#config terminal
Router(config)#line con 0

/* konfiguracja interfejsu konsolowego */
Router(config-line)#password konsola /*haslo */
Router(config-line)#login /* wymagane podanie hasla */
Router(config-line)#exit
Router(config)#exit
Router#

/* ustawienie hasla dla interejsu terninalowego - telnet */
Router#config terminal
Router(config)#line vty 0

/* konfiguracja interfejsu terminalowego */
Router(config-line)#password terninal /* haslo */
Router(config-line)#login /* wymagane podanie hasla */
Router(config-line)#exit
Router(config)#exit
Router#

/* ustawienie hasla dla trybu uprzywilejowanego - priviledged */
Router#config terminal
Router(config)# enable password <haslo> /* haslo */

/* ustawienie szyfrowanego hasla trybu uprzywilejowanego - priviledged */
Router#config terminal
Router(config)# enable secret <haslo1> /* haslo zaszyfrowane*/

/* zaszyfrowanie wszystkich hasel – niewidoczne w #show running-config */
Router(config)#service password-encryption

/* blokowada próby wyszukiwania w DNS - nie trzeba <Ctrl><Shift><6> */
Router(config)#no ip domain-lookup

/* skonfigurowanie banera */
Router> enable
Router# configure terminal
Router (configure)# banner motd $ <tekst> $

/* wyswietlenie konfiguracji biezacej – running-config w RAM */
Router# show running-config

/* zrestartowanie rutera */
Router# reload

/* zapamietanie konfiguracji biezacej w NVRAM */
Router# copy running-config startup-config

/* weryfikacja komunikacji routera z serwerem tftp */
Router# ping <address>

/* wykonanie kopii konfiguracji biezacej na serwrze TFTP */
Router# copy running-config tftp /* zapyta o adres IP oraz nazwe pliku */

/* wykonanie kopii konfiguracji startowej na serwrze TFTP */
Router# copy startup-config tftp /* zapyta o adres IP oraz nazwe pliku */

/* pobranie do pamieci Flash obrazu systemu IOS z serwera TFTP */
Router# copy tftp

/* wyswietlenie biezacej wersji systemu IOS - w pamieci RAM */
Router# show version

/* wyswietlenie dostepnych obrazow systemu IOS - w pamieci Flash */
Router# show flash

/* wymuszenie ladowania (po restart) do RAM wybranego obrazu systemu IOS */
Router#configure terminal
Router(config)# boot system flash:<wersja> /* nowy */
Router(config)#exit

/* nadanie ruterowi nazwy */
Router> enable
Router# configure terminal
Router(config)# hostname <nazwa> /* nowy prompt */

/* konfigurowanie interfejsu Ethernet - LAN */
Router(config)#interface FastEthernet 0/0
Router(config-if)#description <text> /* opcja */
Router(config-if)#ip address <adres> <maska>
CustomerRouter(config-if)#no shutdown /* wlaczenie interfejsu */
CustomerRouter(config-if)#end

/* konfigurowanie interfejsu szeregowego – WAN */
Router(config)#interface Serial 0/0/0
Router(config-if)#description <nazwa> /* nazwa opisowa */
Router(config-if)#clock rate 64000 /* tylko po stronie DCE */
Router(config-if)#encapsulation ppp /* enkapsulacja - ramkowanie */
Router(config-if)#ip address <adres> <maska>
CustomerRouter(config-if)#no shutdown /* wlaczenie interfejsu */
CustomerRouter(config-if)#end

/* konfigurowanie routingu dynamicznego RIP */

/* router ma wymieniac dane z sieciami 1 oraz 2 */
Router(config)# router rip
/* protokoł RIP */
Router(config-router)# network <adres bazowy sieci_1>
Router(config-router)# network <adres bazowy sieci_2>
Router(config-router)# end

/* konfigurowanie routingu dynamicznego OSPF */

/* router ma wymieniac dane z sieciami 1 oraz 2 */
Router(config)# router ospf
/* protokoł OSPF */
Router(config-router)# network <adres bazowy sieci_1>
Router(config-router)# network <adres bazowy sieci_2>
Router(config-router)# end
/* nadanie interfejsowi nazwy <nazwa> */
Router(config)#interface FastEthernet 0/0
Router(config-if)#description <nazwa>

/* konfigurowanie trasy domyslnej do bramy domyslnej o adrresie <gtw_addr> */
CustomerRouter(config)#ip route 0.0.0.0 0.0.0.0 <gtw_addr>

/* Weryfikacja konfiguracji interfejsu Ethernet */
Router#show ip route

/* weryfikacja polaczenia z hostem adresie <adres>*/
Router#ping <adres>

/* weryfikacja konfiguracji tras w ruterze */
Router#show ip route
Codes: C - connected, S - static,...

Gateway of last resort is 209.165.200.226 to network 0.0.0.0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
209.165.200.0/27 is subnetted, 1 subnets
C 209.165.200.224 is directly connected, Serial0/1/0
S* 0.0.0.0/0 [1/0] via 209.165.200.226

/* zdefiniowanie trasy statycznej do sieci odleglej - remote */
Router#configure terminal
Router(config)#ip route <destination> <maska> <next hoop>
Router(config)#end
Przyklad:
Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.2.2 /* remote */
/* zdefiniowanie zapasowej trasy statycznej do sieci odleglej - remote */
Router#configure terminal
Router(config)#ip route <destination> <maska> <next hoop> <distance>
Router(config)#end

Przyklad:
Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.2.2 10/* remote */
/* zdefiniowanie trasy statycznej do sieci przyleglej - local */
Router#configure terminal
Router(config)#ip route <destination> <maska> <interface>
Router(config)#end

Przyklad:
Router(config)#ip route 192.168.4.0 255.255.255.0 fa0/1 /* local */
/* usuniecie trasy statycznej */
Router(config)# no ip route 192.168.4.0 255.255.255.0 192.168.2.2 /* remote */
Router(config)# no ip route 192.168.4.0 255.255.255.0 fa0/1 /* local */
/* skrótowa informacja o kazdym z interfejsów */
Router# show ip interface brief
/* informacja o konkretnym interfejscie */
Router# show interfaces se0/0/0//1 /* szeregowy /
Router# show interfaces fa0/2
/* fast ethernet */

/* stworzenie puli adresow DHCP o nazwie <nazwa>; alokacja adresów: bazowego */

/* sieci, serwera DNS, bramy wyjsciowej, zakresu adresow wykluczonych */

/* określenie zakresu adresow wykluczonych: od-do */
Router(config)#ip dhcp excluded-address <adres_od> <adres_do>

/* zdefiniowanie nazwy <nazwa> puli adresow
Router(config)#ip dhcp pool <nazwa>

/* zdefiniowanie adresu bazowego dla hostów z puli <nazwa> */
Router(dhcp-config)#network <adres-bazowy> <maska>

/* zdefiniowanie adresu serwera DNS dla hostów z puli <nazwa> */
Router(dhcp-config)# dns-server <adres-serwera-DNS>

/* zdefiniowanie adresu bramy domyślnej dla hostów z puli <nazwa> */
Router(dhcp-config)# default-router <adres-bramy>
/* stały adresy dla hosta PC – nie zaiplemenowane w Packet Tracer */
/* przydzielanie stalego adresu stacji roboczej */

R2(config)# ip dhcp pool <nazwa> /* nazwa puli adresow np. PC2 */
R2(dhcp-config)# host <address IP> <mask>
R2(dhcp-config)# client-identifier 01aa.aaaa.aaaa.aa /* PC MAC*/
R2(dhcp-config)#dns-server <address IP>
R2(dhcp-config)#default-router <address IP>

/* skonfigurowanie statycznej translacji D-NAT */

/* 1 <adres LAN> na 1 <adres WAN> */
/* zdefiniowanie interfejsu Fa0/0 jako wewnętrznego a interfejsu se2/0 jako
interfejsu zewnętrznego translacji translacji D-NAT */
Router(config)# interface fa0/0
Router(config-if)# ip nat inside
Rputer(config-if)# interface se2/0
Router(config-if)# ip nat outside

/* Powiązanie (1:1) adresu sieci LAN z adresem sieci WAN */
Router(config)#ip nat inside source static <adres LAN> <adres WAN>

/* Powiązanie (1:1) adresu sieci LAN z adresem sieci WAN dla konkretnej
aplikacji: protokol (tcp, udp) inside port, outside port */
Router(config)#ip nat inside source static <proto> <adres LAN> <inside port>
<adres WAN> <outside port>

/* weryfikacja skonfigurowanej usługi statycznej translacji D-NAT */
Router# show ip nat translations

/* skonfigurowanie dymanicznej translacji S-NAT (PAT)oveload */

/* N adresow LAN na 1 adres WAN - adres interfejsu zewnetrznego */

/* zdefiniowanie interfejsu Fa0/0 jako wewnętrznego a interfejsu se2/0 jako
interfejsu zewnętrznego translacji S-NAT (PAT) */
Router(config)# interface fa0/0
Router(config-if)# ip nat inside
Rputer(config)# interface se2/0
Router(config-if)# ip nat outside

/* zdefiniowanie standardiwej listy o numerze <nr> (1..99) adresów /* hostów
prywatnych, których adresy prywatne bedą tlumaczone na adresy publiczne */

/* lista numer <nr> moze skladac sie z wielu wpisów; np. */
Router(config)# access-list <nr> permit host <adres_hosta_1> /* tlumacz */
Router(config)# access-list <nr> permit host <adres_hosta_2> /* tlumacz */
Router(config)# access-list <nr> deny host <adres_hosta_3> /* nie tlumacz */

/* zdefiniowanie translacji S-NAT (PAT) dla listy <nr> */
Router(config)# ip nat inside source list <nr> interface <int_zewn> overload

/* standardowa listy kontroli dostepu - ACL <1..99>

/* pozwala na przepusczenie (permit) lub zablokowanie (deny) ruchu od zrodlowego
adresu IP. Port zrodlowy/docelowy oraz docelowy adres IP nie maja znaczenia */

/* skladnia listy standardowej */
Access-list <nr> permit/deny <src_addr> <neg_maska>

/* lista numer <nr> moze skladac sie z wielu wpisów; np. */
Router(config)# access-list <nr> permit host <adres_hosta_1>
Router(config)# access-list <nr> permit <src_adres> <neg_maska>
Router(config)# access-list <nr> deny host <adres_hosta_3>
Uwaga: jesli maska sieci ma wartosc 255.255.255.0, to zanegowana maska
<neg_maska> ma wartosc 0.0.0.255
Uwaga: na koncu kazdej listy automatycznie jest dopisywana “niewidoczna” reguła
“deny any”; co powoduje, ze kazdy inny ruch zostanie zablokowany

/* Przyklad: przepusczaj ruch IP od wszystkich hostow sieci 192.168.30.0/24 i
zablokuj kazdy inny ruch */

Router(config)# access-list 1 permit 192.168.30.0 0.0.0.255

/* rozszerzona lista kontroli dostepu - ACL <100..199>
/* pozwala na filtrowanie ruchu IP na podstawie wielu atrybutów: protokoł (icmp,
udp,tcp), zrodlowy i docelowy adres IP, zrodlowy i docelowy port transportowy
oraz ruchu zwrotnegoe (TCP,ICMP)*/
/* skladnia listy rozszerzonej */
Router(config)# access-list <nr> permit/deny <proto> <source_addr> <neg_maska>
eq/neq <src_port> <dest_adres> <neg_maska> eq/neq <dst_port> [ruch zwrotny]
/* proto: TCP,UDP,ICMP;
ruch zwrotny: established (dla TCP), echo-reply (dla ICMP)
lista numer <nr> moze skladac sie z wielu wpisów; np.
*/
Uwaga: jesli maska sieci ma wartosc 255.255.255.0, to zanegowana maska
<neg_maska> ma wartosc 0.0.0.255
Uwaga: zamiast pary <addr> <neg_maska> mozna uzyc mnemonikow “host” lub “any”
Mnemonik host 192.168.10.10 oznacza 192.168.10.10 0.0.0.0 /* konkretny host */
Mnemonik any oznacza 0.0.0.0 255.255.255.255 /* dowolny host dowolnej sieci */
Uwaga: na koncu kazdej listy automatycznie jest dopisywana “niewidoczna” reguła
“deny any”; co powoduje, ze kazdy inny ruch zostanie zablokowany
/* Przyklad: blokuj ruch FTP (porty 21 i 20) od hostow podsieci 192.168.11.0/24
skierowany do podsieci 10.0.0.0/8 i przepuszczaj kazdy inny ruch */
Router(config)# access-list 101 deny tcp 192.168.11.0 0.0.0.255 10.0.0.0
0.255.255.255 eq 21
Router(config)# access-list 101 deny tcp 192.168.11.0 0.0.0.255 10.0.0.0
0.255.255.255 eq 20
Router(config)# access-list 101 permit ip any any
/* Przyklad: przepusczaj ruch ICMP generowany z sieci 192.168.21.0/26. Ruch ICMP
do sieci 192.168.21.0/26 bedzie blokowany. Wpis na interfejsie 1.1.1.1/8
Router(config-itf)# ip access-group 101 in.
Router(config)# access-list 101 permit icmp 1.0.0.0 0.255.255.255 192.168.21.0
0.0.0.63 echo-reply
/* przypisanie listy kontroli dostępu (standard/extended) do interfejsu */
/* in – ruch wejsciowy, out – ruch wyjsciowy */
Router(config)# ip access-group <nr-listy> in/out

/* kontrola dostępu do interfejsu terminalowego vty 0 - 16 */
Router(config)# access-list <nr-listy> deny host <IP address>
Router(config)# access-list <nr-listy> permit host <IP address>
Router(config)# line vty 0 /* terminal virtualny 0 */
Router(config-line)# access-class <nr-listy> in
/* dla sieci VLAN */

/* skonfigurowanie subintefejsu o numerze xx z enkapsulacją 802.1q */

/* na interfejsie routera fa0/0 */
Router(config)#interface fa0/0.xx
Router(config-subif)#encapsulation dot1Q xx
Router(config-subif)#ip address <adres> <maska> /* interfejsu */
Router(config-subif)#exit
/* weryfikacja skonfigurowanego subinterfejsu */
Router# show interface fa0/0.xx
lub
Router# show ip route

</code>