CISCO命令

更新时间:

2011/5/20

 

全局命令(switch#)

====常用显示状态的命令====
sh version   显示设备IOS的版本号信息
sh arp [| in xxx...] 显示arp列表

sh ip int brief  显示接口的ip简要信息列表。如IP地址和协议状态等。
sh int status 显示接口状态
sh int stats   显示接口统计信息 (sh int gi0/1 stats)显示某个接口的流量统计信息
sh int description 显示自定义描述信息
sh env all  查看交换设备的环境 如温度等
sh int status err-disabled 显示状态被错误关闭的接口和原因(Reason)

sh port-security interface fastEthernet 0/5  查看该端口安全状态
sh port-security address  查看所有已配置的端口安全

show processes cpu  显示CPU的使用情况,CPU使用率
show processes memory  显示内存的使用情况,内存使用率

 

==================================================

====常用显示状态的命令====
clear arp-cache          清除arp列表
clear counters[接口号]   清除所有接口或某一接口上的统计信息(stats)
clear line console/vty [0]   清除/中断某个登入到设备上的用户

==================================================

====常用特权命令switch(config)#====

switch(config)#ip subnet-zero  允许使用全0的子网.
switch(config)#ip classless  启用无类路由.
switch(config)#ip routing  启用三层交换机的路由功能

==================================================

 

%%%%%  交换机常用的本机配置命令  %%%%%
3560G(config)#ip default-gateway 10.100.100.2    设置交换机的本地默认网关
3560G(config)#hostname Switch  设置此交换机的名字
Switch(config)#

%%%%%  交换机的临时日志出现后自动回车另起一行  %%%%%

switch#conf t
switch(config)# line console 0 
switch(config-line)#logging synchronous  //阻止控制台信息覆盖命令行上的输入

%%%%%  停用域名解释功能 %%%%%

Switch(config)#no ip domain-lookup //在路由或交换中输入字符不会被认为是主机名而去向DNS解释半天
**********

 

%%%%%  设置用户密码:  %%%%%

1、Router(config)#line vty 0 4
Router(config-line)#login  //在用户telnet时是否检查密码。如果设为no login则可以跳过密码直接telnet上来
Router(config-line)#password 123456　　设置telnet时的登入密码。

2、Router(config)#enable password 123456　　设置进行特权en模式的密码（明文方式）
3、Router(config)#enable secret 654321　　设置进行特权en模式的密码（密文方式，优先于明文方式，如设置，上面的明文密码失效）
问题：
A、 当1配置完成后密码生效否？
B、 1与2有何区别？是必须用2来将1激活吗？
C、 既然配置了3则2无效且3比2更安全，哪要2有何用？
D、 1与2的密码要一样吗？
答:
A、 密码生效(telnet的登陆密码)
B、2是用来进入全局模式的密码
c、2无用，cisco称当2、3同时存在时，2无效.(en pwd 可以被show run出来,secret不行)
d、不需要，1时用来进入用户模式的。二者不答价。

4、Router(config-line)#privilege level 15
   使telnet一登陆就进入全局模式(#)level 15是最高权限,不需要再enable

**********

%%%%%  加密密码 密文:  %%%%%
1、对于进入特权模式的enable的密码，可以用enable secret来加密成密文字符显示，当设置了此方式后
原enable password的明文密码将失效。如：
Swicth(config)#enable secret [密码]

2、对于登陆密码可以用service password-encryption命令来对所有登陆口令加密并显示其为密文字符。
Swicth(config)#service password-encryption

**********

%%%%%  二种关于用户的超时设置:  %%%%%
在线路配置模式下的Timeout login response 与 Exec-timeout

1、Timeout login response 是配置当你telnet到设备时等待输入密码的最大时间从0-300。
切记不可设置为0。如果设为0，就等于你要在0秒内输入密码，这是不可能的，所以你就等着去破解密码吧
Swicth(config)#line vty 0 4
Swicth(config-line)#Timeout login response 20   //没有登陆操作时等待20秒后退出

2、Exec-timeout 是配置在你登陆到设备后，多少时间没有进行操作就自动退出设备的时间。
Swicth(config)#line vty 0 4
Swicth(config-line)#Exec-timeout 3 30   //没有命令操作时等待3分30秒退出

**********

%%%%%  查看telnet和console的连接用户和断开用户  %%%%%

1、查看所有登陆状态
Swicth#show line （在列表中已登陆的行前面会有*）

2、查看哪些用户和IP登陆上来了
Swicth#show user （比较慢，要等几秒钟）

3、强行断开已登陆的用户（不用担心会断开自己的连接，因为系统不允许断开自己）
Swicth#clear line [0-16]  0是sonsole口，1是vty 0口，以此类推
或指定line的类型：
Swicth#clear line vty [0-15]
Swicth#clear line console [0]

**********

 

%%%%%  三层交换机 配置接口为路由模式:  %%%%%
Swicth(config)#hostname Switch  设置此交换机的名字
Swicth(config)#ip routing  启用三层交换的路由功能
Swicth(config)#int fa(gi)0/1　　进入快速以太网0/1接口
Swicth(config-if)#no switchport　　将此接口设为非交换模式（即路由模式）
Swicth(config-if)#ip address X.X.X.X X.X.X.X　　设置此接口的地址

**********

 

%%%%%  三层交换机 创建VLAN，并将端口加入到VLAN中:  %%%%%
Swicth(config)#ip routing  启用三层交换的路由功能（如果没有启用）
Swicth(config)#vlan 10 创建VLAN 10 
Swicth(config-vlan)#name mainVlan 给VLAN一个好记的名字
Swicth(config-vlan)#exit
Swicth(config)#interface vlan 100  进入此VLAN 100的VLAN接口，以便给它配置IP管理地址
Swicth(config-if)#ip address 192.168.0.129 255.255.255.0  设置VLAN100的IP地址
Swicth(config-if)#exit
Swicth(config)#int fa(gi)0/1　　进入快速以太网0/1接口
Swicth(config-if)#switchport mode access(switchport 可以直接输入这个默认就是access方式)将此接口设为交换模式
Swicth(config-if)#switchport access vlan 100　　把此接口加入到VLAN100中
Swicth(config-if)#exit
---如何有多个VLAN要跨越交换机通讯，则可配置trunk口，方法如下：
Swicth(config)#int fa(gi)0/24
Swicth(config-if)#switchport mode trunk
Swicth(config-if)#switchport  trunk encapsulation {ISL | dot1q | negotiate} (如何不配置此这条，则默认为ISL封装) 注意：2950，2960开始已经只支持802.1q(dot1q)封装了。所以这条命令会不可用。
Swicth(config-if)#switchport trunk allowed vlan {word | all | add | remove | except | none} (这里配置允许哪些VLAN100可以从这个trunk口上通过)

**********

 

%%%%%  三层交换机 创建VTP:  %%%%%
VTP——VLAN Trunking Protocol  VLAN中继协议 用来统一对网络中的交换机进行VTP的配置，配置存在VLAN的SERVER交换机中，其它CLIEND交换通过接收VLAN信息来简化大量网络中的VLAN配置

 

交换机VTP的三个模式：

Server 服务器模式——提供VTP消息。包括1、VLAN ID和名字信息 2、学习相同域名的VTP消息 3、转发相同域名的VTP消息 4、可以添加、删除和更改VLAN VLAN信息写入NVRAM

Cliend 客户机模式——请求VTP消息。包括1、学习相同域名的VTP消息 2、转发相同域名的VTP消息 3、不可以添加、删除和更改VLAN VLAN信息不会写入NVRAM

Transparent 透明模式:——不提供VTP消息。1、不学习VTP消息 2、转发VTP消息 3、可以添加、删除和更改VLAN，但只在本地有效 VLAN信息写入NVRAM

 

新交换机出厂时的默认配置是预配置为VLAN1，VTP 模式为服务器。

 

配置过程：

 

Swicth(config)#vtp mode server  有三种{server | client | transparent }

Swicth(config)#vtp domain gongshui 配置VTP的管理域，只有在同一个管理域的交换机才会被更新VLAN信息
Swicth(config)#vtp password 123456 为了安全可以配置一个密码，在同一个VTP管理域的客户模式交换机也要一样的密码才行。

 

　　之后，在其它交换机上配置为 vtp mode cliend ，管理域配置为相同的 vtp domain gongshui ,vtp password 123456就可以加入到这个VTP管理域。
　　然后在每台交换机上仍然需要手动将接口interface 加入到VLAN号中去。如: switchport access vlan 100。

 

**********

 

 

%%%%%  配置端口安全:  %%%%%
开始配置
Router(config)#int fa 0/1  进入此端口
Router(config-if)#switchport mode access   改变端口工作状态为访问模式
Router(config-if)#switchport port-security  启用port-security端口安全功能
Router(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 (指定此端口MAC 可以不配置)
Router(config-if)#switchport port-security maximum 1  允许最大MAC数
Router(config-if)#switchport port-security violation shutdown 违反安全后shutdown关闭端口
Router(config)#sh port-security interface fastEthernet 0/5 最后查看此端口相关状态

**********

%%%%%  配置端口镜像:  %%%%%
Switch(config)# no monitor session 1  取消session 1 (如果有的话)
Switch(config)# monitor session 1 source interface fastethernet0/1  建立一个session 1 并设置需要镜像的源端口
Switch(config)# monitor session 1 destination interface fastethernet0/10   在session 1 中设置镜像的目的端口
Switch(config)# end

**********

 

 

%%%%%  配置端口保护:  %%%%%

相对来说cisco 3550或者2950交换机配置相对简单，进入网络接口配置模式:
Switch(config)#int range f0/1 - 24       #同时操作f0/1到f0/24口可根据自己的需求来选择端口
Switch(config-if-range)#Switchitchport protected       #开启端口保护

**********

%%%%%  访问控制列表ACL:  %%%%%

  简单说明和一般操作：
ACL的通配符与子网掩码正好相反。(0为通配检查，1为忽略不检查)
如要检查192.168.2.0下的所有机器，它的通配符为：0.0.0.255；
如果要对所有IP通配，而通配符为"any"(255.255.255.255);如果对一台主机IP通配，则为"host"(0.0.0.0)
ACL分为基本(standard)ACL，和扩展(extended)ACL。基本ACL只能检查源IP，扩展ACL可以检查包括源、
目的IP，还有端口号等。
通过在config#下输入access-list [数字]或ip access-list 来定义ACL
通过在接口配置下用ip access-group [数字或ACL名称] in/out 来加载启用ACL
注意：
ACL的顺序很重要;ACL的最后一条系统会暗含deny any，也就是"拒绝所有"。

1、在早期IOS版本中：
命令：3560G(config)#access-list [号码]
ACL号为：1~99和1300~1999为基本(standard)ACL，100~199,2000~2699为扩展(extended)ACL
并且，在创建同一个号的多条ACL时，如果想删的话则此ACL号码下的所有条目将被删除。
如：
3560G(config)#access-list 1 permit host 192.168.1.1
3560G(config)#access-list 1 permit host 192.168.1.2
在删除时
3560G(config)#no access-list 1 permit host 192.168.1.1 等同于
3560G(config)#no access-list 1
它会把access-list 1下的所有条目全部删除。

2、在新版本11.2版中可以用命名ACL来解决上面问题
命令：3560G(config)#ip access-list [号码] standard/extended [ACL的名字]
这样就可以进入ip access-list [名字]下的配置模式，对此名字ACL下的条目进行配置和单独删除。
而且，命名ACL不再使用数字号作为基本和扩展ACL的分类，而直接用standard/extended来分类，
这样就冲破了ACL的在条数上的限制。

例子：
3560G(config)#access-list 1 permit host 192.168.1.1 standard test
3560G(config-std-nacl)#permit host 192.168.1.1
3560G(config-std-nacl)#permit host 192.168.1.2
3560G(config-std-nacl)#permit host 192.168.1.3
3560G(config-std-nacl)#exit
3560G(config)#int gi0/1
3560G(config-if)#ip access-group test in

**********

 

%%%%%  配置DHCP:  %%%%%
1、配置地址池
3560G(config)#ip dhcp pool SYY　//指定一个name为SYY的DHCP地址池
3560G(dhcp-config)#network 192.168.1.0 255.255.255.0  //配置192.168.1.X/24的网段地址池
3560G(dhcp-config)#default-router 192.168.1.1  //配置网关地址
3560G(dhcp-config)#dns-server 172.16.218.111 202.101.224.69  //配置DNS服务器地址
3560G(dhcp-config)#domain-name client.com //为客户机配置域后缀
3560G(dhcp-config)#netbios-name-server 10.1.1.5 10.1.1.6  //配置wins服务器地址
3560G(dhcp-config)#netbios-node-type h-node  //为客户机配置DHCP的节点模式（影响名称解释的顺序,如h-node=先通过ins服务器解释...）
3560G(dhcp-config)#lease 3  //地址租用期限: 3天
3560G(dhcp-config)#exit
2、配置DHCP排除地址
3560G(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10  //不用于动态地址分配的地址

高级应用：为客户机分配固定IP地址（特别注意，这里要为固定分配的主机新添一个Pool，不能也无法在原有的pool里使用下面的命令）
3560G(config)#ip dhcp pool ddd　//指定一个name为ddd的DHCP地址池
3560G(dhcp-config)#host 192.168.1.21 255.255.255.0  //指定一个客户机IP （前提是已经有了一个network 192.168.1.0 255.255.255.0的pool池）
3560G(dhcp-config)#client-identifier 1cb0.9434.a498 //client-identifier=01加上客户机网卡地址（可能client-identifier方式不能使用户得到指定的IP，这里可以改用hardware-address 1cb0.9434.a498）

相关的DHCP调试命令：
　　
no service dhcp //停止DHCP服务[默认为启用DHCP服务]
service dhcp //启用DHCP服务　
sh ip dhcp binding //显示地址分配情况
clear ip dhcp binding * //清除已分配的IP租约　　
show ip dhcp conflict //显示地址冲突情况
debug ip dhcp server {events | packets | linkage} //观察DHCP服务器工作情况

**********

 

 

 

%%%%%  配置NAT:  %%%%%

第一种:
//NAT的内网接口

Switch(config-if)#int f0/1
Switch(config-if)#no switchport
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config-if)#ip nat inside

//NAT的外网接口
Switch(config-if)#int f0/2
Switch(config-if)#no switchport
Switch(config-if)#ip address 218.64.64.215 255.255.255.0
Switch(config-if)#ip nat outside

//配一个ACL用来控制需要被NAT的源地址
Switch(config)#access-list 1 permit 192.168.2.0 0.0.0.15

//配一个地址池(pool) bob 用来定义NAT转换后的地址
Switch(config)#ip nat pool bob 218.64.64.250 218.64.64.254 netmask 255.255.255.0

//开始做NAT关联,如果在最后加上overload 则说明bob的地址池中的地址如果用尽则从头开始使用

Switch(config)#ip nat inside source list 1 pool bob [overload]

------------------------------------------------------

第二种:
//可以不用上面的POOL方面,而最上面最后二条改成下面的形式,下面说明是用F0/2的接口地址来用NAT的转换后的地址
Switch(config)#ip nat in source list 1 interface fastEthernet 0/2 [overload]
------------------------------------------------------

第三种是静态NAT
//这条是一对一的静态NAT
Switch(config)#ip nat in source static 192.168.2.11 218.64.64.215
------------------------------------------------------

注意,如果不能删除名为bob的pool则需要在特权模式下清除NAT列表:

Switch#clear ip nat translation *

**********