思科網路裝置配置命令大全
思科網路裝置配置命令大全
基礎配置
1思科裝置管理基礎命令
enable 從使用者模式進入特權模式
configure terminal 進入配置模式
interface g0/0 進入千兆乙太網介面g0/0
ip address 172.16.0.1 255.255.0.0 配置介面的 ip 地址
no shutdown 開啟介面
line vty 0 4 進入虛擬終端 vty 0 - vty 4
password CISCO 配置認證密碼
login 使用者要進入路由器,需要先進行登入
exit 退回到上一級模式
enable password CISCO 配置進入特權模式的密碼,密碼不加密
end 直接回到特權模式
show int g0/0 顯示 g0/0 介面的資訊
hostname Terminal-Server 配置路由器的主機名
enable secret ccielab 配置進入特權模式的密碼,密碼加密
no ip domain-lookup 路由器不使用 DNS 伺服器解析主機的 IP地址
logging synchronous 路由器上的提示資訊進行同步,防止資訊干擾我們輸入命令
no ip routing 關閉路由器的路由功能
ip default-gateway 10.1.14.254 配置路由器訪問其他網段時所需的閘道器
show line 顯示各線路的狀態
line 33 48 進入 33-48 線路模式
transport input all 允許所有協議進入線路
int loopback0 進入 loopback0 介面
ip host R1 2033 1.1.1.1 為 1.1.1.1 主機起一個主機名
alias exec cr1 clear line 33 為命令起一個別名
privilege exec level 0 clear line 把命令 clear line 的等級改為 0,在使用者模式下也可以執行它
banner motd 設定使用者登入路由器時的提示信
show ip int brief 檢視介面狀態
2VLAN相關命令
vlan X 建立VLAN X
name SPOTO 將VLAN X命名為SPOTO
exit 退出當前模式
interface e0/0 進入乙太網介面e0/0
switchport mode access 將二層介面設定為接入模式
switchport access vlan X 將介面劃入vlan X
interface e0/1
switchport trunk encapsulation dot1q trunk鏈路封裝協議為 802.1q
switchport mode trunk 將二層介面配置模式為 trunk
switchport trunk allow vlan X trunk介面單獨放行某個 vlan。
Show vlan 檢視裝置vlan資訊
3 VTP相關配置命令
vtp domain SPTO 配置VTP域名
vtp mode server 修改模式(預設為 server)
vtp pass SPOTO 配置密碼VTP密碼
vtp version 2 修改版本
vtp pruning 開啟VTP修剪功能
show vtp status 檢視VTP資訊
4Ethernetchannel相關配置命令
interface ran ge e0/0 -1 批量進入介面
channel-pro lacp 啟用 lacp 協議
channel-group 1 mode active 捆綁組 1 模式:主動
interface port-channel 1 進入邏輯鏈路
show etherchannel summary 檢視捆綁組
5HSRP(Cisco 私有)/VRRP配置命令
spandby/vrrp 10 ip 192.168.1.254 設定虛擬閘道器
spandby/vrrp 10 priority110 修改優先順序為 110(預設100)
spandby/vrrp 10 preempt 開啟搶佔
track 10 interface e0/0 line_protocol 啟用鏈路檢測
standby/vrrp 10 track 10 decrement 20 如果斷開則自降優先順序級 20
show hsrp/vrrp brief 檢視 hsrp/vrrp 狀態
6STP配置命令
spanning-tree cost 10 修改介面開銷值
spanning-tree vlan x cost 10 針對一個 vlan 修改開銷值
spanning-tree vlan x priority 0 或 spanning-tree vlan x root priority 將裝置設定為vlan x的主根橋
spanning-tree vlan x priority 4096 或 spanning-tree vlan x root secondary 將裝置設定為vlan x的備份根橋
show spanning-tree brief 檢視生成樹狀態
7MSTP配置命令
spanning-tree mode mst 修改生成樹模式為MSTP
spanning-tree mst conf 進入MSTP配置模式
instance 1 vlan 10,20 建立例項1並將vlan10、20納入例項1
instance 2 vlan 30,40 建立例項2並將vlan30、40納入例項2
spanning-tree mst 1 priority 0 配置例項 1 為根橋
spanning-tree mst 2 priority 4096 配置例項 2 為備根橋
show spanning-tree mst 1 檢視例項
路由配置
一、靜態路由
Ip route x.x.x.x(網段) x.x.x.x( 子網掩碼) x.x.x.x/出介面(下一跳) (儘量用下一跳地址,出介面會產生 ARP 訊息)
預設路由:
Ip route 0.0.0.0 0.0.0.0 x.x.x.x(下一跳)
黑洞路由:
IP route x.x.x.x x.x.x.x null 0 將不需要的流量丟棄到 null 0(黑洞介面)
Loopback 介面:
Interface loopback 0
Interface loopback 1
Interface loopback 2
BFD雙向轉發檢測:
Interface ethernet0/0
Bfd interval 50 min_rx 50 multiplier 3 介面開啟BFD檢測,50ms傳送一次探測幀,3次超時
Ip route static bfd e0/0 x.x.x.x
Ip route 1.1.1.1 255.255.255.255 e0/0 x.x.x.x 靜態路由聯動BFD
Show bfd neighboor 檢視BFD鄰居
二、動態路由
Rip:
Router rip 啟動 rip 程序
Version 2 指定版本 2
Network x.x.x.x 宣告網段
No auto-summary 關閉自動彙總 重點!!!
Default-information originate 預設路由下發
Redistribute static 靜態路由重分佈
EIgrp (cisco 私有):
Router eigrp 1 同區域同 AS 號
Network x.x.x.x x.x.x.x (反掩碼)宣告網段
No auto-summary 關閉自動彙總
Ospf :
Router-id x.x.x.x 設定 routeID
Router ospf 1 啟動 ospf 程序為 1
Network x.x.x.x x.x.x.x area 0 宣告網段,這裡區域為 0
Ip ospf network x.x.x.x 介面下更改 ospf 網路型別
Show ip ospf nei 檢視 ospf 鄰居
Show ip ospf interface brief 檢視介面關於 ospf 的資訊
Show ip route ospf 檢視 ospf 路由
Show ip ospf database 檢視 ospf 鏈路狀態資料庫
Debug ip ospf adj 檢視 ospf 鄰居關係建立過程
Debug ip ospf hello 檢視 ospf hello 包
Debug ip ospf events 檢視 ospf 相關事件
DHCP:
Service dhcp 開啟 dhcp (預設開啟)
IP dhcp pool name 設定地址池名稱
Network 192.168.1.0 255.255.255.0 指定可分配網段
Default-router 192.168.1.254 下發閘道器
Dns-server 8.8.8.8 下發 dns
ip dhcp excluded-address 192.168.1.254 排除這個地址不做分配
Pc端:interface e0/0
Ip add dhcp 地址通過DHCP方式獲取
DHCP 中繼:
Int vlan x
Ip add x.x.x.x x.x.x.x
Ip helper-address 192.168.1.254 (dhcp 伺服器上的介面) 指向 dhcp 伺服器
Show ip dhcp pool name 檢視 dhcp 地址池
三、ACL 訪問控制列表
標準 ACL:1-99 “No access-list 一條”將會刪除整個 ACL 列表。
Access-list 1 deny x.x.x.x x.x.x.x 拒絕某網段通過
Access-list 1 permit any 允許所有通過
Inter e0/0
Ip access-group 1 in 進介面下呼叫
配置了 ACL 一定要在介面下呼叫,否則不生效,或者介面下呼叫了,全域性下沒有這個 ACL 也不生效。
擴充套件 ACL:100-199 “No access-list 一條”將會刪除整個 ACL 列表。
Access-list(100-199) per/deny 協議(IP 代表所有 TCP/IP 協議)x.x.x.x(源地址) 反掩碼 埠號(選加) x.x.x.x(目的) 反掩碼(不加預設為 0.0.0.0)埠號(選加)
Access-list 100 deny(拒絕或允許) tcp(協議) any(源地址) host(精確主機,) x.x.x.x (不加反掩碼預設為 0.0.0.0)eq 23 或者 access-list 100 deny tcp any x.x.x.x 0.0.0.0 eq 23 拒絕所有的 TCP 協議訪問 x.x.x.x 的 23埠
Access-list 100 permit ip(所有 TCP/IP 協議) any(源) any(目的) 允許所有
Int e0/1 進入介面
Ip access-group 1 out 呼叫在出介面
Show ip access-list 編號 檢視 ACL
Show ip access-list int vlan x
Show run | sec access-list 檢視 ACL 配置
字元命名 ACL
Ip access-list standard(標準)/extended(擴充套件) name 建立命名 ACL,如果name 用數字命名,則會進入到數字 ACL 下,並不是字元命名 ACL。
數字 ACL 下刪除一條語句就會刪除整個 ACL,所以可以用字元命名的方式,name 用數字來命名,這樣就會進入對應的數字 ACL 裡,然後 no 編號,就可以解決數字命名裡無法逐一刪除語句了。
可以逐一刪除語句,只需進入 ACL:no 編號
Ip access-list stan ACL-A 建立命名 ACL-A 的標準 ACL
5 per x.x.x.x(網段) x.x.x.x(反掩碼)允許 x.x.x.x 語句 5 是語句編號
10 per x.x.x.x x.x.x.x 編號最好 0-5-10 中間有間隔,方便以後插入語句
15 deny any(不加也可以,ACL 最後隱藏了預設拒絕全部)
每個介面,每個方向,每種協議,只能有一個 ACL
ACL 做 telnet 限制時,需要去 VTY 執行緒下呼叫 ACL。
交換機二層介面只能呼叫 In 方向的 ALC,交換機 ACL 可以呼叫在 SVI,或者三層介面上。
NAT配置
一、NAT 網路地址轉換
靜態 NAT
Ip nat inside source static(靜態) x.x.x.x(內網地址) x.x.x.x(對映的地址) 靜態對映一個內網地址為外網地址
Int e0/0(內網口)
Ip nat inside 配置介面為內網介面
Int e0/1(外網口)
Ip nat outside 配置介面為外網介面
出口路由上:Ip nat insede source static tcp x.x.x.x(管理地址) 23(埠號) x.x.x.x(外網地址) 2323(選個不常用的) 做內網對映埠到外網,使外網能夠遠端登陸到內網這臺主機。telnet x.x.x.x(外網地址)2323
動態 NAT
Ip nat pool xyp 10.10.10.1 10.10.10.20 netmask 255.255.255.0 定義NAT 地址池
Access-list 1 permit 10.10.9.1 0.0.0.255 定義訪問控制列表
IP nat inside source list 1 pool xyp 將 acl 和 nat 地址池關聯
進介面配置 inside 和 outside 即可PAT/埠複用
Access-list 1 permit x.x.x.x x.x.x.x
Ip nat inside source list 1 int e1/0 overload 將 ACL 與出介面匹配,並且是 PAT 方式。
進介面配置 inside 和 outside 即可Clear ip nat tran 清除 nat 表項
show ip nat translations 檢視 NAT 表項
二、PPP
R1伺服器是認證方,R2客戶端是被認證方
PAP:單向認證
R1:
username CCNA password CISCO@123
interface Serial1/0
clock rate 64000 //序列介面在 DCE 端配置時鐘,DCE 端一般為運營商
ip address 12.1.1.2 255.255.255.252
encapsulation ppp
ppp authentication pap
R2:
interface Serial1/0
ip address 12.1.1.1 255.255.255.252
encapsulation ppp
ppp pap sent-username CCNA password CISCO@123
PAP:雙向認證
即雙方都是認證方也都是被認證方
R1:
Username CCNA password CISCO
Int seria1/0
Ip add x.x.x.x x.x.x.x
Encapsulation ppp
Ppp authentication pap
Ppp pap sent-username CCNP password cisco@123
R2:
username CCNP password CISCO@123
interface Serial1/0
ip address 12.1.1.2 255.255.255.252
encapsulation ppp
ppp authentication pap
ppp pap sent-username CCNA password CISCO
CHAP 單項認證
CHAP 認證過程比較複雜,三次握手機制。
使用密文格式傳送 CHAP 認證資訊。
由認證方發起 CHAP 認證,也可以雙方都配置認證,有效避免暴力破解,
在鏈路建立成功後具有再次認證檢測機制。
目前在企業網的遠端接入環境中用的比較常見。
R1:
username CCNA password CISCO
interface Serial1/0
ip address 12.1.1.1 255.255.255.252
encapsulation ppp
ppp authentication chap
R2:
interface Serial1/0
ip address 12.1.1.2 255.255.255.252
ppp chap hostname CCNA
ppp chap password 0 CISCO
CHAP 雙向認證
R1:
username CCNP password CISCO@123 //雙方資料庫中使用者名稱可以不一樣,但密碼必須一樣
interface Serial1/0
ip address 12.1.1.1 255.255.255.252
encapsulation ppp
ppp authentication chap
ppp chap hostname CCNA
ppp chap password CISCO@123
R2:
username CCNA password CISCO@123 //雙方資料庫中使用者名稱可以不一樣,但密碼必須一樣
interface Serial1/0
ip address 12.1.1.2 255.255.255.252
encapsulation ppp
ppp authentication chap
ppp chap hostname CCNP
ppp chap password CISCO@123
三、GRE VPN
通用路由封裝協議 GRE 協議,它提供了將一種協議的報文封裝在另一種協議報文中的機制,使報文能夠在 tunnel(隧道)中傳輸。
優點:
• 支援多種協議和多播
• 能夠用來建立彈性的 VPN
• 支援多點隧道
缺點:
• 缺乏加密機制
• 沒有標準的控制協議來保持 GRE 隧道(通常使用協議和 keepalive)
• 隧道很消耗 CPU
• 出現問題要進行 DEBUG 很困難
• MTU 和 IP 分片是一個問題
隧道技術(Tunnel):
Tunnel 是一個虛擬的點對點的連線,提供了一條通路使封裝的資料包文能夠在這個通路上傳輸,並且在一個 Tunnel 的兩端分別對資料包進行封裝及解封裝。
interface Tunnel0
tunnel mode gre ip //預設封裝
ip address x.x.x.x x.x.x.x
tunnel source Ethernet0/0 //也可寫 IP
tunnel destination x.x.x.x