下面给出思科路由器(Cisco Router)和交换机(Switch)配置命令的详细总结归纳,按设备类型和场景整理,便于快速查阅和使用。

重要说明

  • Cisco 设备有多种操作系统家族,常见有 IOS、IOS-XE、IOS-XR、NX-OS 等。以下命令大体通用,但具体命令或参数可能因版本而略有差异。

  • 命令前的“#”表示特权模式下的提示符,实际使用时你需要在路由器/交换机上进入相应模式。

一、进入和基本模式

  • enable

    • 作用:进入特权EXEC模式,获得较高权限执行全局配置等操作。

    • 说明:如果启用了密码,需在提示符处输入密码。通常特权模式提示符为 Router#

  • enable secret

    • 作用:为特权模式设置加密的密码。

    • 说明:比 enable password 更安全,使用 secret 时不显示明文。

  • configure terminal

    • 作用:进入全局配置模式,执行全局配置命令。

    • 说明:在全局配置模式下可以修改设备全局行为与接口等。

  • conf t

    • 作用:configure terminal 的简写。

  • exit / end

    • 作用:退出当前模式,返回上一层级。

  • show running-config

    • 作用:查看当前正在运行的配置。

    • 说明:用于排查现有配置、比对差异。

  • show startup-config

    • 作用:查看开机时加载的配置。

  • copy running-config startup-config

    • 作用:保存当前运行配置到 startup 配置(持久化)。

  • write memory

    • 作用:在旧版本 IOS 保存配置到启动配置,等价于 copy running-config startup-config。

  • reload

    • 作用:重启设备(谨慎使用,生产环境需排程或告知相关人员)。

二、全局配置核心

  1. 主机名与域名

  • hostname

    • 作用:设置设备名,便于网络管理与识别。

  • ip domain-name

    • 作用:设置设备的域名,SSH 证书、DNS 相关功能需要。

  • crypto key generate rsa

    • 作用:生成 RSA 密钥对,用于 SSH。

    • 说明:首次运行时通常会提示 modulus 大小,常用 2048。

    • 示例:crypto key generate rsa modulus 2048

  1. 认证与访问控制

  • username privilege secret

    • 作用:创建本地用户及权限,与本地认证结合使用。

  • aaa new-model

    • 作用:启用 AAA(认证/授权/记账)框架,通常与 remote RADIUS/TADIUS/ TACACS+ 集成配合使用。

  • aaa authentication login default local

    • 作用:将默认登录认证方式设为本地认证。

  • line vty 0 4

    • 作用:配置远程访问(VTY)接口。

    • 常用命令:login local、transport input ssh

  • ip ssh version 2

    • 作用:强制使用 SSH v2,提升安全性。

  1. 终端与传输安全

  • service password-encryption

    • 作用:对明文密码进行简单加密存储,提升安全性。

  • banner motd ^

    • 作用:在登录前显示消息,提升安全告知。

  • no ip http server

    • 作用:禁用 HTTP 服务器(管理界面),降低被攻击面。

  • no ip http secure-server

    • 作用:禁用 HTTPS 管理界面(如不使用 web 管理时的安全考虑)。

  1. 终端、日志与时间

  • clock set / ntp

    • 作用:时间同步,便于日志时间准确。

  • logging console / logging buffered

    • 作用:配置日志输出设备及缓冲区。

  1. 设备坑位与接口描述

  • interface <接口名>

    • 作用:进入接口模式,配置该物理/逻辑接口的参数。

  • description

    • 作用:为接口添加描述,便于运维识别。

  • no shutdown

    • 作用:启用接口(默认通常是启用,但在首次配置或被禁用后需要此命令)。

  • shutdown

    • 作用:禁用接口。

  • duplex <full|auto|half> & speed <10|100|1000|auto>

    • 作用:设置接口双工模式和速率。

  • ip address

    • 作用:给接口配置 IP 地址(路由端口或管理接口)。

  • no ip address

    • 作用:从接口移除 IP 地址(将接口变成纯数据层端口)。

  1. VLAN 与三层接口

  • vlan

    • 作用:在交换机上创建 VLAN。

  • name

    • 作用:给 VLAN 起一个描述性名字。

  • interface vlan

    • 作用:进入 SVI(交换机虚拟接口)以启用三层接口。

  • ip address

    • 作用:为 SVI 指定 IP,用于该 VLAN 的 L3 路由。

  • show vlan brief

    • 作用:查看 VLAN 状态与成员端口。

  1. 交换机端口与聚合

  • switchport mode access

    • 作用:将端口设置为访问端口(普通主机接入)。

  • switchport mode trunk

    • 作用:将端口设置为 Trunk,承载多个 VLAN。

  • switchport trunk allowed vlan

    • 作用:在 trunk 上限制允许通过的 VLAN。

  • interface range

    • 作用:对一组端口执行同样的配置(便于快速批量配置)。

  • channel-group mode <on|active|active-aggressive| desirable| nonegotiate>

    • 作用:配置以太网聚合(EtherChannel)。

  • show etherchannel summary

    • 作用:查看聚合组状态与成员端口。

  1. 静态与动态路由

  • ip route

    • 作用:配置静态路由。

  • router ospf

    • 作用:进入 OSPF 路由配置。

    • 关键命令:network area 、passive-interface default、no shutdown

  • router bgp

    • 作用:进入 BGP 配置,定义邻居、网络公告等。

  • network mask

    • 作用:在 OSPF/BGP 下宣告网络。

  1. 访问控制列表(ACL)

  • ip access-list extended <name|number>

    • 作用:创建扩展 ACL,允许/拒绝指定流量。

    • 常用形式:permit/deny [eq ]

  • access-list <permit|deny> ...

    • 作用:简短、数字编号的 ACL。

  • ip access-group in|out

    • 作用:应用 ACL 到接口方向。

  • show access-lists

    • 作用:查看已配置的 ACL。

  1. NAT 基本实现

  • interface

    • 作用:进入内部网络接口。

  • ip nat inside

    • 作用:标记接口为 NAT 的内部侧。

  • interface

    • 作用:进入外部/公网侧接口。

  • ip nat outside

    • 作用:标记接口为 NAT 的外部侧。

  • ip nat inside source list interface overload

    • 作用:通过外部接口进行 NAT(端口地址转换,PAT)。

  • show ip nat translations

    • 作用:查看当前 NAT 转换表。

  1. 动态路由的进阶

  • router rip

    • 作用:启用 RIP(若使用)。

  • version 2

    • 作用:指定 RIP 版本为 v2,支持无广播、子网掩码等特性。

  • router ospf 1 与 router bgp 的前缀和网络声明要点参照上面。

  1. 监控与故障排查

  • show ip interface brief

    • 作用:快速查看接口状态、IP 地址等摘要信息。

  • show ip route

    • 作用:查看路由表。

  • show running-config | section interface

    • 作用:从运行配置中筛选出接口相关配置,便于定位问题。

  • show processes cpu

    • 作用:查看 CPU 使用情况。

  • show logging

    • 作用:查看日志缓冲区输出。

  • show mac-address-table

    • 作用:查看 MAC 地址表(交换机)。

  • ping/traceroute

    • 作用:基本连通性与路径追踪。

十三、常见安全与运维实践

  • aaa new-model

  • username admin privilege 15 secret 0 password

  • line vty 0 4

    • login local

    • transport input ssh

  • crypto key generate rsa

    • modulus 2048

  • ip domain-name yourdomain.local

  • ip ssh version 2

十四、简要对比:常见场景的示例清单

  • 基本层三路由(路由器接口、默认路由、静态路由)

    • enable -> configure terminal

    • interface GigabitEthernet0/0

    • ip address 192.168.1.1 255.255.255.0

    • no shutdown

    • ip route 0.0.0.0 0.0.0.0 203.0.113.1

  • VLAN 与三层交换

    • vlan 10

    • interface range FastEthernet0/1-24

    • switchport mode access

    • switchport access vlan 10

    • interface Vlan10

    • ip address 192.168.10.1 255.255.255.0

  • SSH 安全远程管理

    • aaa new-model

    • username admin privilege 15 secret 0 myPass

    • line vty 0 4

    • login local

    • transport input ssh

    • crypto key generate rsa modulus 2048

    • ip domain-name yourdomain.local

    • ip ssh version 2