Cisco IOS（Internetwork Operating System）是 Cisco 系统公司开发的专有操作系统，用于其路由器和交换机。它提供了一个稳健的、可扩展的、以命令行接口（CLI）为基础的网络操作环境。通过掌握 Cisco IOS 命令，网络管理员和工程师可以高效地配置、管理和排除网络设备的故障，确保网络的稳定和高效运行。

Cisco IOS 命令集丰富，涵盖从基础的设备管理到复杂的网络协议配置，是每个网络管理员的必备技能。本文将详细介绍 Cisco IOS 的基础知识、命令层级结构及其基本命令，以帮助读者快速上手并掌握 Cisco 设备的管理和配置。

Cisco IOS 命令分为不同的层级，每个层级提供了不同的命令集和功能。了解这些层级和模式的切换方法是使用 Cisco 设备的基础。

1. User EXEC 模式（Router>）：User EXEC 模式是用户登录设备后进入的第一个模式。此模式下的命令通常用于基本的监控和检查设备状态，但不允许进行任何配置更改。

• 进入方法：设备启动后默认进入 User EXEC 模式。
• 退出方法：使用 logout 或 exit 命令退出。
• 典型命令：
• show version：显示设备的操作系统版本和设备信息。
• show interfaces：显示所有接口的状态。

2. Privileged EXEC 模式（Router#）：Privileged EXEC 模式提供了更多的命令集，用于查看详细的设备状态和进行诊断。在此模式下，可以执行保存配置、查看日志、进入配置模式等操作。

• 进入方法：在 User EXEC 模式下输入 enable 命令。
• 退出方法：使用 disable 返回到 User EXEC 模式，或使用 exit 退出设备。
• 典型命令：
• show running-config：显示当前运行配置。
• show startup-config：显示启动配置。
• copy running-config startup-config：将当前配置保存到启动配置中。

3. Global Configuration 模式（Router(config)#）：Global Configuration 模式用于配置全局参数和设置。在此模式下，可以配置设备名称、密码、路由协议等。

• 进入方法：在 Privileged EXEC 模式下输入 configure terminal 命令。
• 退出方法：使用 exit 返回到 Privileged EXEC 模式，或使用 end 直接返回到 Privileged EXEC 模式。
• 典型命令：
• hostname <name>：设置设备的主机名。
• enable secret <password>：设置 enable 模式的密码。

4. Interface Configuration 模式（Router(config-if)#）：Interface Configuration 模式用于配置特定接口的参数，如 IP 地址、描述等。在全局配置模式下输入接口命令进入此模式。

• 进入方法：在 Global Configuration 模式下输入 interface <interface> 命令。
• 退出方法：使用 exit 返回到 Global Configuration 模式。
• 典型命令：
• ip address <ip-address> <mask>：为接口分配 IP 地址。
• description <description>：为接口设置描述。

5. 其他配置模式：除了上述主要模式外，Cisco IOS 还提供了其他特定配置模式，如：

• Routing Configuration 模式（Router(config-router)#）：用于配置路由协议，如 OSPF、EIGRP 等。
• Line Configuration 模式（Router(config-line)#）：用于配置控制台、虚拟终端（vty）线路等。
• VLAN Configuration 模式（Router(config-vlan)#）：用于配置 VLAN。

基础命令

Cisco IOS 提供了大量基础命令，用于显示设备信息、进入配置模式、保存和重载配置等。下面将详细介绍这些基础命令。

1. 显示信息的命令：这些命令主要用于查看设备的状态和配置信息，是进行配置和排错的基础。

• show version：显示设备的操作系统版本、启动时间、处理器信息、内存等详细信息。此命令通常在 User EXEC 和 Privileged EXEC 模式下使用。

Router> show version

• show interfaces：显示所有接口的物理和协议状态，包括接口的状态（up/down）、速率、双工模式、错误统计等。此命令可以帮助快速诊断接口问题。

Router> show interfaces

• show ip route：显示设备的 IP 路由表，包括各条路由的网络地址、子网掩码、下一跳和出接口等信息。此命令常用于检查路由状态和路由问题。

Router> show ip route

2. 进入配置模式的命令：这些命令用于切换到不同的配置模式，以进行全局或特定接口的配置。

• configure terminal：进入全局配置模式，用于设置全局参数。

Router# configure terminal
Router(config)#

• interface <interface>：进入特定接口的配置模式，用于配置接口参数，如 IP 地址、描述等。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#

3. 保存和重载配置的命令：这些命令用于保存当前配置、重启设备和恢复出厂设置。

• copy running-config startup-config：将当前运行的配置保存到启动配置中，以便设备重启时加载最新的配置。

Router# copy running-config startup-config

• reload：重启设备。此命令会提示确认，确保在重启前保存所有未保存的配置。

Router# reload

• erase startup-config：删除启动配置，将设备恢复到出厂默认设置。此命令会提示确认，执行此命令后，设备将在重启后没有任何配置。

Router# erase startup-config

设备配置命令

接口配置

接口是网络设备的基本单元，通过配置接口，可以实现网络连接和数据传输。

1. 配置接口描述和 IP 地址

• description <description>：为接口设置描述，方便识别和管理。

Router(config)# interface GigabitEthernet0/0
Router(config-if)# description Link to Main Office

• ip address <ip-address> <mask>：为接口分配 IP 地址和子网掩码。

Router(config-if)# ip address 192.168.1.1 255.255.255.0

2. 启用或禁用接口

• no shutdown：启用接口。接口默认是关闭状态，通过此命令将其启用。

Router> show interfaces
0

• shutdown：禁用接口。

Router> show interfaces
1

3. 配置接口速率和双工模式

• speed <10 | 100 | 1000 | auto>：设置接口速率为 10Mbps、100Mbps、1000Mbps 或自动协商。

Router> show interfaces
2

• duplex <auto | full | half>：设置接口的双工模式为自动、全双工或半双工。

Router> show interfaces
3

路由配置

路由协议是网络通信的基础，通过配置路由协议，可以实现网络之间的数据传输和路径选择。

1. 静态路由配置

• ip route <network> <mask> <next-hop>：配置静态路由，将指定网络的流量发送到下一跳。

Router> show interfaces
4

• no ip route <network> <mask> <next-hop>：删除指定的静态路由。

Router> show interfaces
5

2. 默认路由配置

• ip route 0.0.0.0 0.0.0.0 <next-hop>：配置默认路由，将所有无法匹配的流量发送到下一跳。

Router> show interfaces
6

3. OSPF 动态路由配置

• router ospf <process-id>：启用 OSPF 路由协议并进入 OSPF 配置模式。

Router> show interfaces
7

• network <network> <wildcard-mask> area <area-id>：将网络加入到指定的 OSPF 区域中。

Router> show interfaces
8

• show ip ospf interface：显示所有活动的 OSPF 接口。

Router> show interfaces
9

VLAN 和交换机配置

VLAN（虚拟局域网）用于将物理网络分割成多个逻辑网络，提高网络管理效率和安全性。

1. 创建和配置 VLAN

• vlan <vlan-id>：创建 VLAN 并进入 VLAN 配置模式。

Router> show ip route
0

• name <name>：为 VLAN 设置名称。

Router> show ip route
1

2. 配置交换机端口

• switchport mode access：将端口设置为访问模式。

Router> show ip route
2

• switchport access vlan <vlan-id>：将访问模式的端口分配到指定的 VLAN。

Router> show ip route
3

3. 配置干道端口

• switchport mode trunk：将端口设置为干道模式，允许多个 VLAN 通过。

Router> show ip route
4

• switchport trunk allowed vlan <vlan-list>：指定允许通过干道的 VLAN 列表。

Router> show ip route
5

4. 配置 VTP 模式

• vtp mode <server | client | transparent>：设置交换机的 VTP 模式。

Router> show ip route
6

安全配置

网络安全是设备配置中的重要部分，通过配置安全策略，可以防止未经授权的访问和潜在的攻击。以下是一些常用的安全配置命令：

1. 设置密码

• enable secret <password>：设置 enable 模式的密码，该密码经过 MD5 加密。

Router> show ip route
7

2. 配置控制台和虚拟终端（VTY）线路

• line console 0：进入控制台配置模式。

Router> show ip route
8

• line vty 0 4：进入 VTY 配置模式，允许五个同时的虚拟连接。

Router> show ip route
9

3. 加密配置文件中的密码

• service password-encryption：加密配置文件中的所有密码。

Router# configure terminal
Router(config)#
0

4. 配置访问控制列表（ACL）

• access-list <access-list-number> <permit | deny> <source>：创建标准 ACL。

Router# configure terminal
Router(config)#
1

• access-list <access-list-number> <permit | deny> <protocol> <source> <destination>：创建扩展 ACL。

Router# configure terminal
Router(config)#
2

• ip access-group <access-list-number> <in | out>：将 ACL 应用于接口。

Router# configure terminal
Router(config)#
3

网络管理和监控

通过配置 SNMP、Syslog 和其他管理协议，可以实现对网络设备的监控和管理，确保网络运行的稳定和高效。

1. 配置 SNMP

• snmp-server community <community-string> <ro | rw>：配置 SNMP 社区字符串。

Router# configure terminal
Router(config)#
4

• snmp-server host <ip-address> version <community-string>：指定接收 SNMP traps 的主机。

Router# configure terminal
Router(config)#
5

2. 配置 Syslog

• logging <ip-address>：指定 Syslog 服务器的 IP 地址。

Router# configure terminal
Router(config)#
6

• logging trap <level>：设置 Syslog 消息的严重性级别。

Router# configure terminal
Router(config)#
7

3. 查看日志和调试信息

• show logging：显示当前的日志信息和设置。

Router# configure terminal
Router(config)#
8

• terminal monitor：在当前终端启用调试和错误消息显示。

Router# configure terminal
Router(config)#
9

VLAN 和交换配置

VLAN 高级配置

VLAN 是将物理网络划分为多个逻辑网络的技术，它可以提高网络管理的灵活性和安全性。

1. VLAN 配置和管理

• vlan <vlan-id>：创建一个新的 VLAN 并进入 VLAN 配置模式。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
0

• name <name>：为 VLAN 设置名称，方便识别和管理。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
1

• vlan <vlan-id> state suspend：暂停一个 VLAN 的活动，停止 VLAN 的数据传输。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
2

• no vlan <vlan-id>：删除一个 VLAN。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
3

2. VTP（VLAN Trunking Protocol）配置

VTP 可以在一个网络中自动同步 VLAN 配置，简化了 VLAN 的管理和维护过程。

• vtp mode <server | client | transparent>：设置交换机的 VTP 模式。

Router> show ip route
6

• vtp domain <domain-name>：配置 VTP 域名，用于标识同一 VTP 域中的设备。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
5

• vtp password <password>：为 VTP 设置密码，确保只有知道密码的设备才能加入 VTP 域。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
6

3. 跨交换机 VLAN 配置

跨交换机 VLAN 配置允许 VLAN 跨越多个交换机，扩展 VLAN 的范围和应用。

• vlan <vlan-id>：在多个交换机上创建相同的 VLAN。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
7

• show vlan brief：显示所有 VLAN 的简要信息，包括 VLAN ID 和名称。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
8

交换机配置

交换机是网络中的核心设备之一，负责局域网内计算机之间的数据交换和转发。

1. 端口安全

通过端口安全功能，可以限制接入交换机的设备数量和类型，增强网络安全性。

• switchport port-security：启用端口安全功能。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
9

• switchport port-security maximum <max-value>：设置允许连接到端口的最大设备数目。

Router# copy running-config startup-config
0

• switchport port-security violation <shutdown | restrict | protect>：设置违规安全操作后的响应动作。

Router# copy running-config startup-config
1

2. EtherChannel 配置

EtherChannel 允许将多个物理链路捆绑成一个逻辑链路，增加带宽和冗余性。

• interface range <interface-range>：进入接口范围配置模式，配置多个接口。

Router# copy running-config startup-config
2

• channel-group <channel-group-number> mode <on | active | passive>：配置 EtherChannel 组。

Router# copy running-config startup-config
3

• show etherchannel summary：显示 EtherChannel 汇总信息，包括成员接口和状态。

Router# copy running-config startup-config
4

3. Spanning Tree Protocol（STP）配置

STP 用于防止交换环路并提供冗余路径的故障转移能力。

• spanning-tree mode rapid-pvst：配置交换机为 Rapid Per VLAN Spanning Tree 模式。

Router# copy running-config startup-config
5

• spanning-tree vlan <vlan-id> priority <priority-value>：设置 VLAN 的根桥优先级。

Router# copy running-config startup-config
6

• show spanning-tree：显示所有 VLAN 的 Spanning Tree 摘要信息。

Router# copy running-config startup-config
7

IP 服务配置

在企业网络中，IP 服务配置是至关重要的一部分，它包括 NAT、DHCP、DNS 等服务的配置和管理。这些服务不仅提供了网络连接和通信所需的基础设施，还能够增强网络的安全性和可管理性。

NAT（Network Address Translation）配置

NAT 技术允许将私有 IP 地址转换为公共 IP 地址，以便内部网络中的设备可以访问公共互联网。

1. 动态 NAT 配置

动态 NAT 允许内部网络中的多个设备共享少量公共 IP 地址。

• ip nat pool <pool-name> <start-ip> <end-ip> netmask <subnet-mask>：创建一个 NAT 地址池。

Router# copy running-config startup-config
8

• access-list <access-list-number> permit <source>：创建用于动态 NAT 的访问控制列表（ACL）。

Router# copy running-config startup-config
9

• ip nat inside source list <access-list-number> pool <pool-name>：将 ACL 和 NAT 地址池关联。

Router# reload
0

2. 静态 NAT 配置

静态 NAT 将特定的内部 IP 地址映射到一个固定的外部 IP 地址。

• ip nat inside source static <local-ip> <global-ip>：配置静态 NAT 映射。

Router# reload
1

• ip nat outside source static <global-ip> <local-ip>：配置反向静态 NAT 映射。

Router# reload
2

3. PAT（Port Address Translation）配置

PAT 允许多个内部设备共享同一个公共 IP 地址，通过端口号区分不同的会话。

• ip nat inside source list <access-list-number> interface <interface> overload：配置 PAT。

Router# reload
3

DHCP（Dynamic Host Configuration Protocol）配置

DHCP 是一种自动分配 IP 地址的协议，它大大简化了网络设备的配置和管理。

1. DHCP 服务器配置

• ip dhcp pool <pool-name>：创建一个 DHCP 地址池。

Router# reload
4

• network <network-id> <subnet-mask>：定义 DHCP 地址池的 IP 网络范围。

Router# reload
5

• default-router <gateway-ip>：设置 DHCP 客户端的默认网关。

Router# reload
6

• dns-server <dns-ip>：配置 DHCP 客户端使用的 DNS 服务器。

Router# reload
7

• lease <days>：设置 IP 地址的租期。

Router# reload
8

2. DHCP 中继配置

DHCP 中继允许 DHCP 请求和响应在不同的子网之间传递。

• interface <interface>：进入接口配置模式。

Router# reload
9

• ip helper-address <dhcp-server-ip>：配置 DHCP 中继地址。

Router# erase startup-config
0

DNS（Domain Name System）配置

DNS 提供了将域名解析为 IP 地址的服务，是互联网中的基础设施之一。

• ip domain-lookup：启用 DNS 查询功能。

Router# erase startup-config
1

• ip name-server <dns-ip>：配置路由器使用的 DNS 服务器。

Router# erase startup-config
2

• ip dns server：启用路由器作为 DNS 服务器。

Router# erase startup-config
3

安全配置

在网络管理中，安全性是至关重要的一环。Cisco IOS 提供了丰富的安全配置选项，包括 AAA 认证、访问控制列表（ACL）、端口安全和 SSH 配置等，以帮助管理员保护网络免受未经授权的访问和攻击。

AAA 认证配置

AAA（Authentication, Authorization, and Accounting）认证机制用于管理用户对网络设备的访问和操作权限。

1. 基本 AAA 配置

• username <username> privilege <privilege-level> secret <password>：创建一个本地用户并设置密码。

Router# erase startup-config
4

• enable secret <password>：设置特权模式访问密码。

Router# erase startup-config
5

• aaa new-model：启用 AAA 认证。

Router# erase startup-config
6

2. 线路和虚拟终端（VTY）访问控制

• line vty 0 4：进入 VTY 线路配置模式。

Router# erase startup-config
7

• login local：使用本地数据库进行登录验证。

Router# erase startup-config
8

• transport input ssh：限制 VTY 接受 SSH 登录。

Router# erase startup-config
9

3. SSH 配置

SSH（Secure Shell）提供了一种加密的远程登录协议，用于安全地管理网络设备。

• ip ssh version 2：配置 SSH 使用版本 2。

Router(config)# interface GigabitEthernet0/0
Router(config-if)# description Link to Main Office
0

• crypto key generate rsa：生成 RSA 密钥对。

Router(config)# interface GigabitEthernet0/0
Router(config-if)# description Link to Main Office
1

• line vty 0 4：进入 VTY 线路配置模式。

Router# erase startup-config
7

• transport input ssh：限制 VTY 接受 SSH 登录。

Router# erase startup-config
9

访问控制列表（ACL）配置

ACL 用于过滤路由器或交换机上的数据流量，以实现对网络流量的精细控制和安全防护。

1. 标准 ACL 配置

• access-list <acl-number> {permit | deny} <source>：创建标准 ACL 条目。

Router# copy running-config startup-config
9

• interface <interface>：进入接口配置模式。

Router(config)# interface GigabitEthernet0/0
Router(config-if)# description Link to Main Office
5

• ip access-group <acl-number> {in | out}：应用 ACL 到接口。

Router(config)# interface GigabitEthernet0/0
Router(config-if)# description Link to Main Office
6

2. 扩展 ACL 配置

• ip access-list <acl-number> {permit | deny} <protocol> <source> <destination>：创建扩展 ACL 条目。

Router(config)# interface GigabitEthernet0/0
Router(config-if)# description Link to Main Office
7

• interface <interface>：进入接口配置模式。

Router# reload
9

• ip access-group <acl-number> {in | out}：应用 ACL 到接口。

Router(config)# interface GigabitEthernet0/0
Router(config-if)# description Link to Main Office
9

端口安全配置

端口安全允许管理员控制接入交换机的设备数量和类型，以减少网络安全风险。

• switchport port-security：启用端口安全功能。

Router(config)# interface GigabitEthernet0/0
Router(config-if)#
9

• switchport port-security maximum <max-value>：设置允许连接到端口的最大设备数目。

Router# copy running-config startup-config
0

• switchport port-security violation {shutdown | restrict | protect}：设置违规操作后的响应动作。

Router# copy running-config startup-config
1

监控和排错

监控和排错是网络管理中的关键部分，通过使用各种命令，管理员可以实时监控网络设备的状态，诊断并解决网络问题。

基本监控命令

1. 显示设备信息

• show version：显示 IOS 版本信息、设备型号和系统启动时间等信息。

Router(config-if)# ip address 192.168.1.1 255.255.255.0
3

• show running-config：显示当前运行的配置。

Router(config-if)# ip address 192.168.1.1 255.255.255.0
4

• show startup-config：显示设备启动时加载的配置。

Router(config-if)# ip address 192.168.1.1 255.255.255.0
5

2. 显示接口状态

• show interfaces：显示所有接口的详细信息，包括物理状态和统计数据。

Router(config-if)# ip address 192.168.1.1 255.255.255.0
6

• show ip interface brief：显示所有接口的简要信息，包括 IP 地址和状态。

Router(config-if)# ip address 192.168.1.1 255.255.255.0
7

• show interfaces status：显示接口状态和连接信息。

Router(config-if)# ip address 192.168.1.1 255.255.255.0
8

3. 显示 IP 路由信息

• show ip route：显示设备的 IP 路由表。

Router(config-if)# ip address 192.168.1.1 255.255.255.0
9

• show ip arp：显示 ARP 表。

Router> show interfaces
00

网络协议监控

1. 显示 OSPF 信息

• show ip ospf：显示 OSPF 全局信息。

Router> show interfaces
01

• show ip ospf interface：显示 OSPF 接口信息。

Router> show interfaces
9

• show ip ospf neighbor：显示 OSPF 邻居信息。

Router> show interfaces
03

2. 显示 BGP 信息

• show ip bgp：显示 BGP 路由表。

Router> show interfaces
04

• show ip bgp summary：显示 BGP 邻居的摘要信息。

Router> show interfaces
05

• show ip bgp neighbors：显示 BGP 邻居的详细信息。

Router> show interfaces
06

VLAN 和交换机监控

1. 显示 VLAN 信息

• show vlan：显示 VLAN 信息和接口分配。

Router> show interfaces
07

• show vlan brief：显示 VLAN 的简要信息。

Router> show interfaces
08

2. 显示生成树信息

• show spanning-tree：显示生成树的详细信息。

Router# copy running-config startup-config
7

• show spanning-tree summary：显示生成树的摘要信息。

Router> show interfaces
10

故障排除工具

1. Ping

• ping <destination>：测试与目标 IP 地址的连通性。

Router> show interfaces
11

2. Traceroute

• traceroute <destination>：追踪到目标 IP 地址的路由路径。

Router> show interfaces
12

3. Telnet

• telnet <destination>：通过 Telnet 测试到目标设备的连接。

Router> show interfaces
13

4. 显示日志和调试信息

• show logging：显示系统日志信息。

Router# configure terminal
Router(config)#
8

• terminal monitor：启用当前终端的调试和系统错误信息。

Router# configure terminal
Router(config)#
9

5. 显示 CDP 和 LLDP 信息

• show cdp neighbors：显示 CDP 邻居信息。

Router> show interfaces
16

• show lldp neighbors：显示 LLDP 邻居信息。

Router> show interfaces
17

6. 显示 NAT 信息

• show ip nat translations：显示 NAT 转换条目。

Router> show interfaces
18

• show ip nat statistics：显示 NAT 统计信息。

Router> show interfaces
19

7. 端口和流量监控

• show port-security：显示端口安全配置。

Router> show interfaces
20

• show ip flow top-talkers：显示网络中数据流量最多的主机（如果启用了 NetFlow）。

Router> show interfaces
21