/ cisoc / 13浏览

cisco命令行参考集合

一、基础命令

Router> enable  # 进入特权模式(默认无口令,直接回车)

Router# configure terminal  # 进入全局配置模式(缩写:conf  t)

Router(config)#  # 全局配置模式提示符

Router(config)# hostname R1  # 示例:将主机名改为R1

R1(config)# no ip domain-lookup  # 禁用DNS反向查找(默认开启,必须关闭)

R1(config)# enable secret Cisco123!  #  特权模式加密口令为Cisco123!

enable password Cisco456! 特权模式明文口令为Cisco123!

banner motd #This is a secure system.# 以在用户连接路由器时显示标语。

为控制台连接配置口令。(控制台线路编号为0)

R1(config)# line console 0  # 进入console 0线路配置

R1(config-line)# password Console123!  # 配置console口口令

R1(config-line)# login  # 启用登录验证(必须配置,否则口令无效)

R1(config-line)# logging synchronous  # 同步console输出

R1(config-line)# exec-timeout 15 0  # 15分钟0秒超时(格式:分钟 秒)

进入VTY线路配置口令(批量选择0-4线路)

R1(config)# line vty 0 4  # 进入VTY 0-4线路配置

R1(config-line)# password cisco  # 配置VTY口令(cisco)

R1(config-line)# login  # 启用登录验证(必须配置,否则口令无效)

R1(config-line)# logging synchronous  # 同步console输出

R1(config-line)# exec-timeout 15 0  # 15分钟0秒超时(格式:分钟 秒)

# R1(config)# logging synchronous  # 全局启用输出同步(效果同上)

二、路由协议

Router(config)# ip route 192.168.2.0 255.255.255.0 10.0.0.1  # 静态路由配置:目标网络192.168.2.0/24下一跳10.0.0.1

Router(config)# ip route 172.16.0.0 255.255.0.0 Null0  # 黑洞路由:丢弃172.16.0.0/16流量

Router(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1  # 默认路由:下一跳192.168.1.1

RIP

Router(config)# router rip   

Router(config-router)# version 2  #配置RIP路由协议版本2

Router(config-router)# network 192.168.1.0  #声明参与路由的网络段

Router(config-router)# network 172.16.0.0

Router(config-router)# passive-interface GigabitEthernet0/1 #设置被动接口以禁用路由更新

Router(config-router)# maximum-paths 4 #允许最多4条等价路径负载均衡

Router(config-router)# default-information originate #启用默认路由发布功能

 

router ospf 1  #进入OSPF进程

network 192.168.1.0 0.0.0.255 area 0  # 宣告网络

network 10.0.0.0 0.255.255.255 area 1 ## 宣告网络

router-id 1.1.1.1 3# 设置路由器ID

redistribute connected subnets  # 重分发路由

default-information originate #启用默认路由发布功能

redistribute static subnets

interface GigabitEthernet0/1

 ip ospf authentication #配置认证

 ip ospf authentication message-digest # 配置认证

 ip ospf message-digest-key 1 md5 cisco123  #配置认证密钥

PPP 协议配置

R1 配置为使用 PAP 验证 R2 的身份

R1(config)#username R2 password cisco123   #建立对方帐号和密码

R1(config)#interface s0/0/0

R1(config-if)# clock rate 64000

R1(config-if)# ip address 192.168.12.1 255.255.255.0

R1(config-if)# no shutdown

R1(config-if)#encapsulation ppp

R1(config-if)#ppp authentication pap

R1(config-if)#ppp pap sent-username R1 password cisco123 #发自己

R1(config-if)#end

Chap认证

R2(config)#username R3 password cisco  #建立对方帐号和密码

R2(config)#int s0/0/1

R2(config-if)#ppp authentication chap

 

DHCP配置

ip dhcp pool VLAN10_POOL       # 命名地址池(便于管理)

 network 192.168.10.0 255.255.255.0  # 分配的网段

 default-router 192.168.10.1   # 网关(通常是三层接口/SVI IP)

 dns-server 223.5.5.5 114.114.114.114  # DNS服务器(可配多个)

 lease 7 12 30                 # 租期7天12小时30分钟(默认1天,可选)

excluded-address 192.168.20.50  # 排除固定IP(服务器/打印机)

 

NAT 命令行

案例 :PAT(端口复用)配置(企业内网访问外网)

 

# 场景:R1内网接口G0/0(192.168.1.1/24),外网接口G0/1(202.100.1.1/24),内网PC通过PAT访问外网

 

enable

conf t

# 第一步:标记NAT内外接口

interface GigabitEthernet0/0

 ip nat inside                 # 标记为内网接口

 no shutdown

interface GigabitEthernet0/1

 ip nat outside                # 标记为外网接口

 no shutdown

 

# 第二步:创建ACL匹配需要转换的内网流量

access-list 1 permit 192.168.1.0 0.0.0.255  # ACL 1允许192.168.1.0/24网段

 

# 第三步:配置PAT(多对一映射,复用外网接口IP)

ip nat inside source list 1 interface GigabitEthernet0/1 overload

end

show ip nat translations       # 验证:查看NAT转换表(PC访问外网时生成条目)

debug ip nat                   # 调试:查看NAT转换过程(排障用)

 

 

 

案例 3:静态 NAT(内网服务器发布到外网)

场景

内网 WEB 服务器 IP 为 192.168.1.10,外网公网 IP 为 202.100.1.10,需让外网用户通过 202.100.1.10 访问内网 WEB 服务器(80 端口)。

 

 

enable

conf t

# 第一步:标记NAT内外接口

interface GigabitEthernet0/0   # 内网接口(连接服务器)

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

 no shutdown

interface GigabitEthernet0/1   # 外网接口(连接互联网)

 ip address 202.100.1.1 255.255.255.0

 ip nat outside

 no shutdown

# 第二步:配置静态NAT(一对一映射)

ip nat inside source static 192.168.1.10 202.100.1.10  # 内网IP→公网IP

# (进阶:仅映射80端口)

# ip nat inside source static tcp 192.168.1.10 80 202.100.1.10 80

end

# 验证命令

show ip nat translations       # 查看静态NAT映射(永久存在,无需流量触发)

ping 202.100.1.10              # 外网测试访问公网IP,验证映射生效

案例 4:动态 NAT(多对多 IP 映射)

场景

内网有 10 台 PC(192.168.1.10-192.168.1.20),外网有公网 IP 池 202.100.1.20-202.100.1.30,需让内网 PC 随机使用公网 IP 池中的地址访问外网(多对多)。

 

enable

conf t

# 第一步:标记NAT内外接口

interface G0/0

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

 no shutdown

interface G0/1

 ip address 202.100.1.1 255.255.255.0

 ip nat outside

 no shutdown

# 第二步:创建公网IP地址池

ip nat pool OUTSIDE_POOL 202.100.1.20 202.100.1.30 netmask 255.255.255.0

# 第三步:创建ACL匹配内网需要转换的流量

access-list 1 permit 192.168.1.0 0.0.0.255

# 第四步:绑定ACL与地址池,配置动态NAT

ip nat inside source list 1 pool OUTSIDE_POOL

end

# 验证命令

show ip nat pool OUTSIDE_POOL  # 查看地址池配置(起始/结束IP、掩码)

show ip nat translations       # 查看动态映射(仅当PC访问外网时生成,超时老化)

案例 5:PAT(端口复用,多对一)

企业内网 192.168.1.0/24 网段有 200 台 PC,但仅 1 个公网 IP(202.100.1.1),需让所有 PC 通过 PAT 复用该公网 IP 访问外网

enable

conf t

# 第一步:标记NAT内外接口

interface GigabitEthernet0/0

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

 no shutdown

interface GigabitEthernet0/1

 ip address 202.100.1.1 255.255.255.0

 ip nat outside

 no shutdown

# 第二步:创建ACL匹配内网流量

access-list 1 permit 192.168.1.0 0.0.0.255

 

# 第三步:配置PAT(核心:overload参数)

ip nat inside source list 1 interface GigabitEthernet0/1 overload

# (或用公网IP池实现PAT:ip nat inside source list 1 pool PAT_POOL overload)

end

 

# 验证命令

show ip nat translations       # 查看PAT映射(每条条目包含端口号,如192.168.1.5:5000→202.100.1.1:10001)

debug ip nat                   # 调试:实时查看NAT转换过程(排障用)

clear ip nat translations *    # 清空所有NAT条目(测试时用)

# 1. 排查DHCP问题

show ip dhcp server statistics # 查看DHCP分配失败原因(如No free addresses/Invalid gateway)

show ip dhcp binding           # 确认PC是否获取到IP(无条目→未分配;有条目→IP正常)

ping 192.168.10.1              # PC ping网关,验证内网连通性(不通→VLAN/接口问题)

# 2. 排查NAT问题

show ip nat translations       # 无条目→PC未发起外网访问,或ACL/接口标记错误

show running-config | include nat  # 检查NAT配置(是否标记内外接口、ACL是否匹配)

debug ip nat                   # 实时查看NAT转换(显示“Translating inside source”表示正常)

# 3. 排查路由问题

show ip route                  # 确认路由器有到外网的默认路由(S* 0.0.0.0/0)

traceroute 223.5.5.5           # 跟踪到DNS服务器的路径,定位丢包位置

 

ACL

标准 ACL

Router(config)#access-list 1 permit host 192.168.1.10  # 等价于192.168.1.10 0.0.0.0

Router(config)#access-list 1 permit 192.168.1.10 0.0.0.0  # 0.0.0.0表示精确匹配该IP

Router(config)#interface ethernet0  # 进入E0接口配置模式(缩写:int e0)

Router(config-if)#ip access-group 1 in  # 将ACL1应用到接口入方向

扩展 ACL

Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80  # 规则1:允许192.168.1.0/24网段访问所有IP的HTTP(80端口)

Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 21拒绝192.168.1.0/24网段访问所有IP的FTP(21端口)

创建名为 std-1 的标准命名 ACL

R3(config)#ip access-list standard std-1

R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255

R3(config-std-nacl)#permit any

R3(config)#interface serial 0/0/1

R3(config-if)#ip access-group std-1 in

创建名为 FIREWALL 的扩展命名 ACL

R2(config)#ip access-list extended FIREWALL

R2(config-ext-nacl)#

R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www

R2(config-ext-nacl)#permit tcp any any established

R2(config-ext-nacl)#permit icmp any any echo-reply

R2(config-ext-nacl)#deny ip any any

R3(config)#interface s0/1/0

R3(config-if)#ip access-group FIREWALL in

 

帧中继

R1(config)#interface serial0/0/0

R1(config-if)#encapsulation frame-relay / ppp / hdlc

R1(config-if)#frame-relay map ip 10.10.10.2 102 broadcast

R1(config-if)#frame-relay map ip 10.10.10.3 103 broadcast

R1(config-if)#frame-relay lmi-type ansi  #常用类型:cisco(Cisco私有)、ansi、q933a(标准),实操中一致。

 

 

交换机配置命令集

Switch>enable #配置模式

Switch#config term #全局配置模式

Switch(config)#hostname S1  #配置交换机主机名。

S1(config)#enable secret class #配置执行模式口令 class。

S1(config)#no ip domain-lookup #禁用 DNS 查找。

S1(config)#ip default-gateway 172.17.99.1 #配置默认网关。

S1(config)#line console 0 #为控制台连接配置口令 cisco。

S1(config-line)#password cisco

S1(config-line)#login

S1(config-line)#line vty 0 15   #为 vty 连接配置口令 cisco。

S1(config-line)#password cisco

S1(config-line)#login

S1(config-line)#end

S1#copy running-config startup-config  # 保存

Destination filename [startup-config]? [enter]

Building configuration...

 

 

S2(config)#interface fa0/6 #进入接口模式

S2(config-if)#switchport mode access #接口模式为access

S2(config-if)#no shutdown #激活接口

 

VTP 命令

S1(config)#vtp mode server/ client/ transparent  #VTP的工作模式

S1(config)#vtp domain Lab4

S1(config)#vtp password cisco

S1(config)#end

端口安全

S2(config)#interface fa0/6 #进入接口模式

S2(config-if)#switchport port-security #开启端口安全

S2(config-if)#switchport port-security maximum 1 #端口连接最大数1

S2(config-if)#switchport port-security mac-address sticky  #启用sticky MAC地址功能,这样即使端口重启,之前成功连接的设备的MAC地址也会被记住。

S1(config)#interface fa0/1 #进入接口模式

S1(config-if)#switchport mode trunk #接口模式为干道

S1(config-if)#switchport trunk native vlan 99 #指定 VLAN 99 为中继端口的本征 VLAN

S1(config-if)#no shutdown

S1(config)#end

S1(config)#vlan 99  #进入vlan接口模式

S1(config-vlan)#name management #起名为management

S1(config)#interface vlan99  #在所有三台交换机上配置管理接口地址。

S1(config-if)#ip address 172.17.99.11 255.255.255.0

S2(config)#interface fa0/6 #进入接口模式

S2(config-if)#switchport access vlan 30 #划分接口属于vlan30

S2(config-if)#end

单臂路由

R1(config)#interface fastethernet 0/0 #进入接口模式

R1(config-if)#no shutdown #激活接口

R1(config-if)#interface fastethernet 0/0.10 #进入子接口0.10

R1(config-subif)#encapsulation dot1q 10 #封装dot1q号10

R1(config-subif)#ip address 172.17.10.1 255.255.255.0 #配置IP地址

R1(config-if)#interface fastethernet 0/0.99 #进入子接口0.99

R1(config-subif)#encapsulation dot1q 99 native #封装dot1q号10,native表示该VLAN为默认无标记通信的VLAN。

R1(config-subif)#ip address 172.17.99.1 255.255.255.0  #配置IP地址

R1(config)#interface FastEthernet0/1 #进入接口模式

R1(config-if)#ip address 172.17.50.1 255.255.255.0 #配置IP地址和子网掩码

R1(config-if)#description server interface #配置描述

R1(config-if)#no shutdown #激活接口

R1(config-if)#end

 

生成树

spanning-tree vlan 1 priority 4096   # 配置生成树的等 级4096  默认32768

spanning-tree vlan 1 root primary/secondary  # 配置生成树为主要根桥  或次要根桥

show spanning-tree   #查看生成树信息

交换机DHCP中继

interface Vlan10

 ip address 192.168.10.2 255.255.255.0

 ip helper-address 192.168.1.1  # 关键:指向DHCP服务器IP

 no shutdown

 

Peregrine