一、IOS的模式导航
多种命令用于进出命令提示符。要从用户模式切换到特权模式,请使用enable命令。使用特权模式命令 disable 返回用户模式。注意: 特权模式有时称为使能模式。
要进出全局配置模式,请使用特权模式命令 configure terminal 。要返回特权模式,请输入全局配置模式命令 exit。
有许多不同的子配置模式。例如,要进入线路子配置模式,您可以使用line命令后跟您要访问的管理线路类型和编号来实现。使用exit命令来退出子配置模式并返回全局配置模式。
使用enable命令进入特权 EXEC 模式。
Switch>enable
使用disable命令返回特权 EXEC 模式。
Switch#disable
重新进入特权模式。
Switch>enable
使用 configure terminal 命令进入全局配置模式。(也可简写config t)
Switch#configure terminal
使用exit命令退出全局配置模式,并返回特权 EXEC 模式。(只退一级)
Switch(config)#exit
重新进入全局配置模式。
Switch#configure terminal
使用 line console 0 命令输入控制台端口的行子配置模式(想要进入line console 0必须要先进入全局模式,下面的vty、vlan也是)。
如果有题目表示所有的线路,则该线路为line console 0与line vty 0 15
Switch(config)#line console 0
使用 exit 命令返回全局配置模式。(只退一级)
Switch(config-line)#exit
使用 line vty 0 15 命令进入VTY线路子配置模式。
Switch(config)#line vty 0 15
返回全局配置模式。
Switch(config-line)#exit
使用 interface vlan 1 命令进入VLAN1接口子配置模式。
Switch(config)#interface vlan 1
使用 line console 0 全局配置命令,从接口配置模式切换到线路控制台子配置模式。
Switch(config-if)#line console 0
使用end命令返回特权 EXEC 模式。(直接退回到特权模式)
Switch(config-line)#end
要从全局配置模式的任何子配置模式切换到模式层级中的上一级模式,请输入exit命令。
要从任何子配置模式切换到特权模式,请输入end命令或输入组合键Ctrl+Z。
二、命令结构
基本 IOS 命令结构
思科 IOS 设备支持许多命令。每个 IOS 命令都有特定的格式或语法,并且只能在相应的模式下执行。常规命令语法为命令后接相应的关键字和参数。(提示符+命令+空格+关键字或参数,如Switch>show ip protocols,这里的关键字或参数为ip protocols)
IOS 命令语法检查
一条命令可能需要一个或多个参数。要确定命令所需的关键字和参数,请参阅命令语法。语法提供输入命令时必须使用的模式或格式。
如下表中所标识的那样,粗体文本表示需要原样输入的命令和关键字。斜体文本表示由用户提供值的参数。
约定 | 描述 |
---|---|
粗体 | 粗体文本表示您需要原样输入的命令和关键字, 如显示的那样。 |
斜体 | 斜体文本指示由您提供值的参数。 |
[x] | 方括号表示可选元素(关键字或参数)。 |
{x} | 大括号表示必需元素(关键字或参数)。 |
[x {y | z }] | 方括号中的大括号和垂直线表示 可选元素中的必填选项。空格用于清楚地描述 命令的各个部分。 |
IOS 帮助功能
IOS 提供两种形式的帮助:上下文相关帮助和命令语法检查。
上下文相关帮助使您能够快速找到以下问题的答案:
每个命令模式中有哪些命令可用?
哪些命令以特定字符或字符组开头?
哪些参数和关键字可用于特定命令?
要访问上下文相关帮助,请直接在 CLI 中输入一个?。
例如:
Switch(config)#in? // 补齐命令
interface
Switch(config)#i? // 补齐命令
interface ip
命令语法检查用于检测命令的正确性
热键和快捷方式
命令和关键字可缩写为可唯一确定该命令或关键字的最短字符数。例如,configure命令可缩写为conf,因为configure是唯一一个以conf开头的命令。不能缩写为con,因为以con开头的命令不止一个。关键字也可缩写。
tab可以快速补齐命令
注意: 虽然 Delete 键通常用于删除提示符右侧的字符,但 IOS 命令结构无法识别 Delete 键。
当命令输出产生的文本超过终端窗口中可以显示的文本时,IOS 将显示一个 “–More–” 提示。下表描述了显示此提示时可以使用的键盘输入。
键盘输入 | 描述 |
---|---|
回车 键 | 显示下一行。 |
空格键 | 显示下一屏。 |
任何其他按键 | 结束显示字符串,返回特权模式。 |
下表列出了用于退出操作的命令。
键盘输入 | 描述 |
---|---|
Ctrl-C | 处于任何配置模式下时,用于结束该配置模式并返回 特权模式。处于设置模式下时,用于中止并返回命令 提示符。 |
Ctrl-Z | 处于任何配置模式下时,用于结束该配置模式并返回 特权模式。 |
Ctrl-Shift-通用中断序列用于中止 DNS lookup、traceroutes、 pings等。 |
三、基本设备配置
设备名称
任何设备上的第一个配置命令应该是为其提供一个唯一的设备名称或主机名。默认情况下,所有设备都有一个出厂的默认名称。例如,思科 IOS 交换机是出厂名称是 “Switch”。
问题是如果所有网络中的交换机都采用其默认名称,则会很难识别特定设备。例如,在使用 SSH 远程访问设备时,您如何知道您已连接到了正确的设备?主机名让您确认您已经连接到了正确的设备。
例如:
Switch # configure terminal // 进入全局模式
Switch(config)# hostname Sw-Floor-1 // 修改主机名
Sw-Floor-1(config)# // 修改成功
注意:要使交换机返回默认提示符(Swith),请使用no hostname全局配置命令。
配置密码
当您最初连接到设备时,您处于用户 EXEC 模式。使用控制台保护此模式的安全。
要保护用户 EXEC 模式访问的安全,请使用全局配置命令 line console 0 进入线路控制台配置模式,如示例所示。0 用于代表第一个(而且在大多数情况下是唯一的一个)控制台接口。接下来,使用password password 命令指定用户 EXEC 模式密码。最后,使用login命令启用用户 EXEC 访问。现在控制台访问需要输入密码,然后才能访问用户 EXEC 模式。
Sw-Floor-1 # configure terminal // 进入全局配置
Sw-Floor-1(config)# line console 0 // 进入线路控制配置模式
Sw-Floor-1(config-line)# password cisco // 修改用户EXEC模式的密码
Sw-Floor-1(config-line)# login // 启用用户EXEC访问
Sw-Floor-1(config-line)# end // 回到特权EXEC模式
Sw-Floor-1#
Sw-Floor-1 # configure terminal // 进入全局配置
Sw-Floor-1(config)# line vty 0 15 // 进入vty线路控制配置模式
Sw-Floor-1(config-line)# password cisco // 修改该线路的密码
Sw-Floor-1(config-line)# login // 启用用户登陆访问
Sw-Floor-1(config-line)# end // 回到特权EXEC模式
Sw-Floor-1#
要使管理员能够访问所有 IOS 命令(包括配置设备),您必须获得特权 EXEC 模式访问权限。这是最重要的访问方法,因为它提供了对设备的完整访问权限。
要保护特权 EXEC 访问,请使用enable secret password 全局配置命令,如示例所示。
Sw-Floor-1 # configure terminal // 进入全局配置
Sw-Floor-1(config)# enable password class // 修改特权EXEC模式的密码(密码)
Sw-Floor-1(config)# enable secret itsasecret // 修改特权EXEC模式的密码的密码(加密密码)
Sw-Floor-1(config)# exit // 回到特权EXEC模式
Sw-Floor-1#
虚拟终端 (VTY) 线路支持通过Telnet或SSH对设备的远程访问。许多思科交换机支持第 0 到 15 的 16 条 VTY 线路。
要保护 VTY 线路的安全,请使用 line vty 0 15 全局配置命令进入线路 VTY 模式。接下来,使用password password 命令指定VTY密码。最后,使用login命令启用 VTY 访问。
下面展示了一个在交换机上保护 VTY 线路的示例。
Sw-Floor-1 # configure terminal
Sw-Floor-1(config)# line vty 0 15 // 切换到线路VTY模式
Sw-Floor-1(config-line)# password cisco // 修改改模式的密码
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#
加密密码
启动配置文件和运行配置文件以明文显示大多数密码。这会带来安全威胁,因为任何人如果访问这些文件,就可以发现这些密码。
要加密所有明文密码,请使用全局配置命令 service password-encryption ,如示例所示。
Sw-Floor-1 # configure terminal
Sw-Floor-1(config)# service password-encryption // 加密所有的明文密码
Sw-Floor-1(config)#
该命令对所有未加密的密码进行弱加密。这种加密仅适用于配置文件中的密码,而不适用于通过网络发送的密码。此命令的用途在于防止未经授权的人员查看配置文件中的密码。
使用show running-config命令验证密码现在是否已加密。
如:
Sw-Floor-1(config)# end
Sw-Floor-1# show running-config
!
!
line con 0
password 7 094F471A1A0A // running-config配置文件的输出结果
login
!
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
!
!
end
横幅消息
尽管要求用户输入密码是防止未经授权的人员进入网络的有效方法,但同时必须向试图访问设备的人员声明仅授权人员才可访问设备。出于此目的,可向设备输出中加入一条标语。当控告某人侵入设备时,标语可在诉讼程序中起到重要作用。某些法律体系规定,若不事先通知用户,则既不允许起诉该用户,甚至连对该用户进行监控都不允许。
要在网络设备上创建当日消息标语,请使用banner motd #当日消息#这一全局配置命令。命令语法中的“#”称为定界符。它会在消息前后输入。定界符可以是未出现在消息中的任意字符。因此,经常使用“#”之类的字符。命令执行完毕后,系统将向之后访问设备的所有用户显示该标语,直到该标语被删除为止。
以下示例显示了在 Sw-Floor-1 上配置标语的步骤。
Sw-Floor-1 # configure terminal
Sw-Floor-1(config)# banner motd #Authorized Access Only# // 设置banner,motd(message of the day)
四、其他配置文件
您现在了解了如何在交换机上执行基本配置,包括密码和标语消息。本主题将向您展示如何保存您的配置。
有两种系统文件用于存储设备配置:
-
startup-config(启动配置文件) -存储在 NVRAM 中的配置文件。它包含在启动时或重启时用到的所有命令。当设备断电后,其中的内容不会消失。
-
running-config(运行配置文件) -存储在随机存取存储器(RAM)中。它反映了当前的配置。修改运行配置会立即影响思科设备的运行。RAM 是易失性存储器。如果设备断电或重新启动,则它会丢失所有内容。
特权 EXEC 模式命令show running-config用于查看正在运行的配置。如示例所示,命令将列出当前存储在 RAM 中的完整配置。
Switch# show running-config
Building configuration...
Current configuration : 1351 bytes
!
! Last configuration change at 00:01:20 UTC Mon Mar 1 1993 // 当前running-config的配置文件
!
version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
要查看启动配置文件,请使用特权 EXEC 命令show startup-config。
Swith#show startup-config // 显示startup-config文件
Swith#show runnning-config // 显示runnning-config文件
如果设备断电或重新启动,所有未保存的配置更改都会丢失。要将对运行配置所作的更改保存到启动配置文件中,请使用特权 EXEC 模式命令copy running-config startup-config。
Swith#copy running-config startup-config // 把运行中配置复制到启动配置里面
Swith#copy startup-config running-config // 把启动配置复制到运行中配置里面
Swith#copy run start // 把运行中配置复制到启动配置里面,简写
修改运行配置
如果对运行配置所作的更改未能实现预期的效果,而且运行配置文件尚未保存,您可以将设备恢复到以前的配置。单独删除更改的命令,或使用特权 EXEC 模式命令 reload重新加载设备都能恢复启动配置。
Swith#reload // 重载
使用 reload命令删除未保存的运行配置的缺点是,在一段很短的时间内设备将会离线,导致网络中断。
当开始重新加载时,IOS 会检测到发生更改的运行配置没有保存到启动配置中。因此,它将显示一则提示消息,询问是否保存更改。要放弃更改,请输入n或no 。
或者,如果将不理想的更改保存到了启动配置文件中,则可能需要清除所有配置。这需要删除启动配置文件并重新启动设备。使用特权 EXEC 模式命令erase startup-config可删除启动配置。在发出此命令后,交换机将提示您确认。按Enter键接受。
Swith#erase startup-config // 擦除startup-config文件
从 NVRAM 中删除启动配置后,请重新加载设备以从内存中清除当前的运行配置文件。重新加载时,交换机将会加载设备出厂默认的启动配置。
本文只用于个人的学习与记录