干货！思科网络设备配置命令大全

干货！思科网络设备配置命令大全础配置1思科设备管理基础命令enable

从用户模式进入特权模式configureterminal

进入配置模式interfaceg0/0

进入千兆以太网接口g0/0ipaddress

配置接口的ip地址noshutdown

开启接口linevty04

进入虚拟终端vty0-vty4passwordCISCO

配置认证密码login

用户要进入路由器，需要先进行登录exit

退回到上一级模式enablepasswordCISCO

配置进入特权模式的密码，密码不加密end

直接回到特权模式showintg0/0

显示g0/0接口的信息hostnameTerminal-Server

配置路由器的主机名enablesecretccielab

配置进入特权模式的密码，密码加密noipdomain-lookup

路由器不使用DNS服务器解析主机的IP地址loggingsynchronous

路由器上的提示信息进行同步，防止信息干扰我们输入命令noiprouting

关闭路由器的路由功能ipdefault-gateway

54

配置路由器访问其他网段时所需的网关showline

显示各线路的状态line3348

进入33-48线路模式transportinputall

允许所有协议进入线路intloopback0

进入loopback0接口iphostR12033

为主机起一个主机名aliasexeccr1clearline33

为命令起一个别名privilegeexeclevel0clearline

把命令clearline的等级改为0,在用户模式下也可以执行它bannermotd

设置用户登录路由器时的提示信showipintbrief

查看接口状态2VLAN相关命令vlanX

创建VLANXnameSPOTO

将VLANX命名为SPOTOexit

退出当前模式interfacee0/0

进入以太网接口e0/0switchportmodeaccess

将二层接口设置为接入模式switchportaccessvlanX

将接口划入vlanXinterfacee0/1switchporttrunkencapsulationdot1q

trunk链路封装协议为802.1qswitchportmodetrunk

将二层接口配置模式为trunkswitchporttrunkallowvlanX

trunk接口单独放行某个vlan。Showvlan

查看设备vlan信息3VTP相关配置命令vtpdomainSPTO

配置VTP域名vtpmodeserver

修改模式（默认为server）vtppassSPOTO

配置密码VTP密码vtpversion2

修改版本vtppruning

开启VTP修剪功能showvtpstatus

查看VTP信息4Ethernetchannel相关配置命令interfacerangee0/0-1

批量进入接口channel-prolacp

启用lacp协议channel-group1modeactive

捆绑组1模式：主动interfaceport-channel1

进入逻辑链路showetherchannelsummary

查看捆绑组5HSRP（Cisco私有）/VRRP配置命令spandby/vrrp10ip54

设置虚拟网关spandby/vrrp10priority110

修改优先级为110（默认100）spandby/vrrp10preempt

开启抢占track10interfacee0/0line_protocol

启用链路检测standby/vrrp10track10decrement20

如果断开则自降优先级级20showhsrp/vrrpbrief

查看hsrp/vrrp状态6STP配置命令spanning-treecost10

修改接口开销值spanning-treevlanxcost10

针对一个vlan修改开销值spanning-treevlanxpriority0

或

spanning-treevlanxrootpriority

将设备设置为vlanx的主根桥spanning-treevlanxpriority4096

或

spanning-treevlanxrootsecondary

将设备设置为vlanx的备份根桥showspanning-treebrief

查看生成树状态7MSTP配置命令spanning-treemodemst

修改生成树模式为MSTPspanning-treemstconf

进入MSTP配置模式instance1vlan10,20

创建实例1并将vlan10、20纳入实例1instance2vlan30,40

创建实例2并将vlan30、40纳入实例2spanning-treemst1priority0

配置实例1为根桥spanning-treemst2priority4096

配置实例2为备根桥showspanning-treemst1

查看实例路由配置一、静态路由Iproutex.x.x.x(网段)

x.x.x.x(子网掩码)

x.x.x.x/出接口(下一跳)（尽量用下一跳地址，出接口会产生ARP

消息）默认路由：Iproutex.x.x.x(下一跳)

黑洞路由：IProutex.x.x.xx.x.x.xnull0

将不需要的流量丢弃到null0（黑洞接口）Loopback接口：Interfaceloopback0Interfaceloopback1Interfaceloopback2BFD双向转发检测：Interfaceethernet0/0Bfdinterval50min_rx50multiplier3

接口开启BFD检测，50ms发送一次探测帧，3次超时Iproutestaticbfde0/0x.x.x.xIproute55e0/0x.x.x.x

静态路由联动BFDShowbfdneighboor

查看BFD邻居二、动态路由Rip：Routerrip

启动rip

进程Version2

指定版本

2Networkx.x.x.x

宣告网段Noauto-summary

关闭自动汇总重点！！！Default-informationoriginate

默认路由下发Redistributestatic

静态路由重分布EIgrp

（cisco

私有）：Routereigrp1

同区域同AS

号Networkx.x.x.xx.x.x.x

（反掩码）宣告网段Noauto-summary

关闭自动汇总Ospf

：Router-idx.x.x.x

设置

routeIDRouterospf1

启动ospf进程为

1Networkx.x.x.xx.x.x.xarea0

宣告网段，这里区域为

0Ipospfnetworkx.x.x.x

接口下更改ospf

网络类型Showipospfnei

查看ospf

邻居Showipospfinterfacebrief

查看接口关于ospf

的信息Showiprouteospf

查看ospf

路由Showipospfdatabase

查看ospf

链路状态数据库Debugipospfadj

查看ospf

邻居关系建立过程Debugipospfhello

查看ospfhello包Debugipospfevents

查看ospf

相关事件DHCP：Servicedhcp

开启dhcp（默认开启）IPdhcppoolname

设置地址池名称Network

指定可分配网段Default-router54

下发网关Dns-server

下发

dnsipdhcpexcluded-address54

排除这个地址不做分配Pc端：interfacee0/0Ipadddhcp

地址通过DHCP方式获取DHCP

中继：IntvlanxIpaddx.x.x.xx.x.x.xIphelper-address

54

(dhcp服务器上的接口)

指向dhcp

服务器Showipdhcppoolname

查看dhcp

地址池三、ACL

访问控制列表标准ACL：1-99“Noaccess-list

一条”将会删除整个ACL列表。Access-list1denyx.x.x.xx.x.x.x

拒绝某网段通过Access-list1permitany

允许所有通过Intere0/0Ipaccess-group1in

进接口下调用配置了ACL

一定要在接口下调用，否则不生效，或者接口下调用了，全局下没有这个ACL

也不生效。扩展ACL：100-199“Noaccess-list

一条”将会删除整个ACL列表。Access-list(100-199)per/deny协议（IP代表所有TCP/IP协议）x.x.x.x(源地址)

反掩码端口号（选加）

x.x.x.x(目的)反掩码（不加默认为）端口号（选加）Access-list100deny（拒绝或允许）tcp（协议）any（源地址）

host（精确主机，）x.x.x.x

（不加反掩码默认为）eq23或者access-list100denytcpany

x.x.x.xeq

23拒绝所有的TCP协议访问x.x.x.x的23端口Access-list100permitip（所有TCP/IP协议）any（源）any（目的）

允许所有Inte0/1

进入接口Ipaccess-group1out

调用在出接口Showipaccess-list

编号

查看

ACLShowipaccess-listintvlanxShowrun|secaccess-list

查看ACL

配置

字符命名

ACLIpaccess-liststandard(标准)/extended(扩展)name

创建命名ACL，如果name用数字命名，则会进入到数字ACL下，并不是字符命名ACL。数字

ACL下删除一条语句就会删除整个

ACL，所以可以用字符命名的方式，name用数字来命名，这样就会进入对应的数字ACL里，然后no编号，就可以解决数字命名里无法逐一删除语句了。可以逐一删除语句，只需进入ACL：no编号Ipaccess-liststanACL-A

创建命名ACL-A的标准

ACL5perx.x.x.x(网段)x.x.x.x（反掩码）允许x.x.x.x语句5

是语句编号10perx.x.x.xx.x.x.x

编号最好0-5-10

中间有间隔，方便以后插入语句15denyany(不加也可以，ACL最后隐藏了默认拒绝全部)每个接口，每个方向，每种协议，只能有一个

ACLACL做telnet限制时，需要去VTY线程下调用ACL。交换机二层接口只能调用In方向的ALC，交换机ACL可以调用在SVI，或者三层接口上。NAT配置一、NAT网络地址转换静态

NATIpnatinsidesourcestatic（静态）

x.x.x.x（内网地址）x.x.x.x(映射的地址)

静态映射一个内网地址为外网地址Inte0/0(内网口)Ipnatinside

配置接口为内网接口Inte0/1（外网口）Ipnatoutside

配置接口为外网接口出口路由上：Ipnatinsedesourcestatictcpx.x.x.x（管理地址）23（端口号）x.x.x.x（外网地址）

2323（选个不常用的）

做内网映射端口到外网，使外网能够远程登陆到内网这台主机。telnetx.x.x.x（外网地址）2323动态

NATIpnat

poolxyp

0

netmask

定义NAT

地址池Access-list1permit55

定义访问控制列表IPnatinsidesourcelist1poolxyp

将acl和nat

地址池关联进接口配置inside和outside

即可PAT/端口复用Access-list1permitx.x.x.xx.x.x.xIpnatinsidesourcelist1int

e1/0overload

将ACL

与出接口匹配，并且是PAT

方式。进接口配置inside和outside

即可Clearipnattran

清除nat

表项showipnattranslations

查看NAT

表项二、PPPR1服务器是认证方，R2客户端是被认证方PAP：单向认证R1：usernameCCNApasswordCISCO@123interfaceSerial1/0clockrate64000

//串行接口在DCE端配置时钟，DCE

端一般为运营商ipaddress52encapsulationppppppauthenticationpapR2：interfaceSerial1/0ipaddress52encapsulationpppppppapsent-usernameCCNApasswordCISCO@123PAP：双向认证即双方都是认证方也都是被认证方R1:UsernameCCNApasswordCISCOIntseria1/0Ipaddx.x.x.xx.x.x.xEncapsulationpppPppauthenticationpapPpppapsent-usernameCCNPpasswordcisco@123R2:usernameCCNPpasswordCISCO@123interfaceSerial1/0ipaddress52encapsulationppppppauthenticationpapppppapsent-usernameCCNApasswordCISCOCHAP

单项认证CHAP

认证过程比较复杂，三次握手机制。使用密文格式发送CHAP

认证信息。由认证方发起CHAP

认证，也可以双方都配置认证，有效避免暴力破解，在链路建立成功后具有再次认证检测机制。目前在企业网的远程接入环境中用的比较常见。R1：usernameCCNApasswordCISCOinterfaceSerial1/0ipaddress52encapsulationppppppauthenticationchapR2：interfaceSerial1/0ipaddress52pppchaphostnameCCNApppchappassword0CISCOCHAP

双向认证R1：usernameCCNPpasswordCISCO@123

//双方数据库中用户名可以不一样，但密码必须一样interfaceSerial1/0ipaddress52encapsulationppppppauthenticati