一、基础命令
- 模式切换
enable # 进入特权模式(简写 `en`)
configure terminal # 进入全局配置模式(简写 `conf t`)
exit # 返回上一级模式
end # 直接退出到特权模式
disable # 返回用户模式- 查看配置与状态
show running-config # 查看当前运行配置(简写 `show run`)
show startup-config # 查看启动配置(简写 `show start`)
show version # 查看设备版本信息
show interfaces [接口名] # 查看接口状态(如 GigabitEthernet 0/0)
show ip interface brief # 查看接口 IP 简要信息- 保存配置
copy running-config startup-config # 保存配置(简写 `copy run start` 或 `wr`)二、交换机常用命令
1. VLAN 配置
vlan [VLAN ID] # 创建 VLAN(如 `vlan 10`)
name [VLAN名称] # 为 VLAN 命名(需在 VLAN 配置模式下)
interface [接口名] # 进入接口配置(如 `interface GigabitEthernet0/1`)
switchport mode access # 设置为接入模式
switchport access vlan [VLAN ID] # 将端口加入 VLAN
switchport mode trunk # 设置为 Trunk 模式
switchport trunk allowed vlan [VLAN列表] # 允许的 VLAN(如 `10,20` 或 `add 30`)2. 生成树协议(STP/RSTP)
spanning-tree mode rapid-pvst # 启用快速 PVST+ 模式
spanning-tree vlan [VLAN ID] root primary # 设置 VLAN 的根桥
spanning-tree portfast # 在接入端口启用 PortFast3. 端口聚合(EtherChannel)
interface range [端口列表] # 批量选择端口(如 `interface range Gi0/1-2`)
channel-protocol lacp # 指定 LACP 协议
channel-group [组号] mode active # 创建聚合组(LACP)
interface port-channel [组号] # 进入聚合接口配置
switchport mode trunk # 配置为 Trunk4. 端口安全
interface [接口名]
switchport port-security # 启用端口安全
switchport port-security maximum [数量] # 最大 MAC 地址数
switchport port-security violation [shutdown/restrict] # 违规动作三、路由器常用命令
1. 接口 IP 配置
interface [接口名] # 进入接口配置(如 `interface GigabitEthernet0/0`)
ip address [IP] [掩码] # 配置 IP 地址(如 `ip address 192.168.1.1 255.255.255.0`)
no shutdown # 启用接口2. 静态路由
ip route [目标网络] [掩码] [下一跳IP/出接口] # 静态路由(如 `ip route 0.0.0.0 0.0.0.0 10.0.0.1`)3. 动态路由协议(OSPF/EIGRP)
# OSPF 配置
router ospf [进程号] # 启动 OSPF 进程
network [网络地址] [反掩码] area [区域号] # 宣告网络(如 `network 192.168.1.0 0.0.0.255 area 0`)
# EIGRP 配置
router eigrp [AS号] # 启动 EIGRP 进程
network [网络地址] [反掩码] # 宣告网络(如 `network 10.0.0.0 0.255.255.255`)4. NAT 配置
# 静态 NAT(一对一)
ip nat inside source static [内网IP] [公网IP]
# 动态 NAT(PAT)
access-list [ACL号] permit [源网络] [反掩码] # 定义内部流量(如 `access-list 1 permit 192.168.1.0 0.0.0.255`)
ip nat pool [池名] [起始IP] [结束IP] netmask [掩码] # 定义地址池
ip nat inside source list [ACL号] pool [池名] overload # 启用 PAT
interface [内网接口]
ip nat inside
interface [外网接口]
ip nat outside四、防火墙(ASA)常用命令
1. 接口与安全级别
interface [接口名] # 进入接口配置(如 `interface GigabitEthernet0/0`)
nameif [区域名] # 命名接口区域(如 `nameif inside`)
security-level [0-100] # 设置安全级别(如 `security-level 100`)
ip address [IP] [掩码] # 配置 IP
no shutdown2. 安全策略(ACL)
access-list [ACL名] extended permit [协议] [源IP] [掩码] [目标IP] [掩码] eq [端口]
# 例:允许内网访问外网 HTTP
access-list OUTSIDE_IN extended permit tcp 192.168.1.0 255.255.255.0 any eq 80
access-group [ACL名] in interface [接口区域] # 应用 ACL 到接口3. NAT 规则
# 动态 PAT(内网到外网)
nat (inside) 1 0.0.0.0 0.0.0.0 # 所有内网 IP 使用接口 IP 转换
global (outside) 1 interface # 使用外网接口 IP 进行 PAT
# 静态 NAT(端口映射)
static (inside,outside) tcp [公网IP] [端口] [内网IP] [端口] netmask 255.255.255.2554. VPN 配置(IPSec)
# 配置 IPSec 提议
crypto ipsec ikev1 transform-set [集合名] esp-aes esp-sha-hmac
# 配置隧道组(Tunnel Group)
tunnel-group [对端IP] type ipsec-l2l
tunnel-group [对端IP] ipsec-attributes
ikev1 pre-shared-key [密钥]五、高级功能
1. QoS 配置
class-map [类名] # 定义流量分类
match access-group [ACL号]
policy-map [策略名] # 定义策略
class [类名]
priority [带宽百分比] # 分配优先级带宽
interface [接口名]
service-policy [策略名] [方向] # 应用策略(如 `service-policy OUTSIDE_POLICY out`)2. SNMP 配置
snmp-server community [团体名] ro # 配置只读团体名
snmp-server host [IP] [团体名] # 指定 SNMP 管理服务器3. 日志管理
logging host [IP] # 配置日志服务器(需先配置接口/IP)
logging trap [级别] # 设置日志级别(如 `logging trap informational`)六、故障排查
ping [IP] # 测试连通性(支持扩展参数,如 `ping 8.8.8.8 source 192.168.1.1`)
traceroute [IP] # 追踪路径(ASA 使用 `tracert`)
show arp # 查看 ARP 表
show mac address-table # 查看 MAC 地址表(交换机)
show ip route # 查看路由表
show access-lists # 查看 ACL 规则
show nat translations # 查看 NAT 转换表(路由器/ASA)
show crypto session # 查看 VPN 会话状态(ASA)注意事项
- 模式与权限:思科设备需从用户模式进入特权模式(enable)后,才能执行配置命令。
- 命令缩写:支持简写(如 conf t 代替 configure terminal)。
- 版本差异:不同 IOS/ASA 版本可能略有差异,建议结合官方文档使用。
- 防火墙(ASA):配置逻辑与 IOS 不同,需注意安全区域(nameif)和策略方向。
可以通过模拟器(如 Packet Tracer、GNS3)或实验设备练习命令操作。