Cisco Pix日常维护常用命令

一、Cisco Pix日常维护常用命令

1、Pix模式介绍

“>”用户模式

firewall>enable

由用户模式进入到特权模式

password:

“#”特权模式

firewall#config t

由特权模式进入全局配置模式

“（config）#”全局配置模式

firewall(config)#

防火墙的配置只要在全局模式下完成就可以了。

1、

基本配置介绍

1、端口命名、设备命名、IP地址配置及端口激活

nameif ethernet0 outside security0

端口命名

nameif gb-ethernet0 inside security100

定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。firewall(config)#hostname firewall

设备名称

firewall（config）#ip address outside 1.1.1.1 255.255.255.0

内外口地址设置

firewall（config）#ip address inside 172.16.1.1 255.255.255.0

firewall（config）# interface ethernet0 100full

激活外端口

firewall（config）# interface gb-ethernet0 1000auto

激活内端口

2、telnet、ssh、web登陆配置及密码配置

防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet 到防火墙

配置从外网远程登陆到防火墙

Firewall（config）#domain-name https://www.360docs.net/doc/4f16358163.html,

firewall（config）# crypto key generate rsa

firewall（config）#ssh 0.0.0.0 0.0.0.0 outside

允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：

firewall（config）#ssh 218.240.6.81 255.255.255.255 outside

firewall（config）#enable password cisco

由用户模式进入特权模式的口令

firewall（config）#passrd cisco

ssh远程登陆时用的口令

firewall（config）#username Cisco password Cisco

Web登陆时用到的用户名

firewall（config）#http enable

打开http允许内网10网断通过http访问防火墙

firewall（config）#http 192.168.10.0 255.255.255.0 inside

firewall（config）#pdm enable

firewall（config）#pdm location 192.168.10.0 255.255.255.0 inside

web登陆方式：https://172.16.1.1

3、保证防火墙能上网还要有以下的配置

firewall（config）#nat （inside）1 0 0

对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发

firewall（config）#nat

(inside)

1 192.168.10.0 255.255.255.0

fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0

firewall (config) # global

(outside) 1 interface

对进行nat转换得地址转换为防火墙外接口地址

firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2指一条默认路由器到ＩＳＰ

做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如：

Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.2

4、内网服务器映射

如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。服务器映射可以是一对一的映射，也可以是端口映射，一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。下面以发布内网一台WEB服务器来举例说明：

Firewall(config)#static (inside,outside) tcp 222.128.124.1 80 192.168.1.100 80

上述命令便将内部的web服务器放到了公网上面，但外面的用户并不能访问到，因为防火墙的外界口安全级别最低，从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开，如下：

Firewall(config)#access-list outside permit tcp any host 222.128.124.1 eq 80

Firewall(config)#access-group outside in interface outside

必须将用access-group命令将访问控制列表应用到外端口，上述完成后就可以从外网上来访问服务器了。

5、防火墙上常用的show命令

Firewall (config) #show interface 查看所有端口的状态，端口是否出于连接状态

interface ethernet0 "outside" is up, line protocol is up端口和协议都出于“ｕｐ”状态，正常。

pixfirewall# sh cpu usage

查看ＣＰＵ的使用情况，如果ＣＰＵ的使用情况超过６０％是不正常的，说明内部有ＰＣ对外占用了设备大量资源

CPU utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1%

如果内部有终端中毒（或利用Ｐ２Ｐ下载）向网关送大量的数据包，会导致防火墙只能来

处理病毒机器的请求，而无暇顾及正常流量，导致正常用户不能上网，要找到不正常终端可以利用show conn来查看

Firewall(config)#show conn

若用show conn查看到某个内部ＩＰ到互联网上的链接特别多，且都是ＵＤＰ高端口号的，可以断定此机器是在Ｐ２Ｐ下载，然后可以通过在防火墙上的show arp命令查看到此计算机的ＭＡＣ地址，在用上面交换机维护命令讲到的命令确认他连接在交换机的端口，然后将此端口shotdown，或通过机房点位直接找到用户要求其停止，否则会占用出口带宽和防火墙的资源。

Firewall(config)#show conn local 192.168.40.69

查看具体一个ＩＰ地址的链接项：

Firewall(config)#show version 查看防火墙的硬件信息

Firewall(config)#show xlate

查看内部地址时否转换成外端口地址来上网

Fierwall(config)#clear arp

清除ＡＲＰ表

Firewall(config)#clear xlate

清除内部所有地址的转换项，网络中断一下

Firewall(config)#clear xlate local 192.168.40.69

清除内部具体一台机器的转换项

Firewall(config)#show runnint-config

查看防火墙的当前配置文件

二、防火墙配置简介

1、以前的防火墙的系统版本是6.3以下，在这种版本里面不能用“tab”键补齐命令，而且用“？”来查询命令也很不方便；

目前的ASA5500的系统版本为7.0以上，和路由器的命令相同，可以用“tab”键补齐命令，可以用“？”来查看参数、同样也可以在全局模式用show命令。

防火墙的几种工作模式：

用户模式：如果您看到>那么现在代表是在用户模式下，在用户模式下只有简单的命令可以操作。由用户模式进入特权模式的命令为：enable

特权模式：如果您看到当前的位置显示#那么您处于特权模式下，在特权模式下用户可以查看所有信息，而前可以进入全局配置模式对防火墙配置进行修改。由特权模式进入全局配置模式下的命令为：config

全局配置模式：当您看到（config）#时，表示现在处于全局配置模式，可以对防火墙的设置进行修改。

在“>”、“#”、“（config）#”左侧显示的为设备的名称。

2、

1）、防火墙接口配置

Pix配置

Pix>enable

进入特权模式

Pix#config

进入全局配置模式

Pix(config)#ip address outside 222.128.1.1 255.255.255.0

配置外接口地址

Pix(config)#ip address inside 1.1.1.1 255.255.255.0

配置内接口地址

Pix(config)#interface ethernet0 auto

激活外端口

Pix(config)#interface ethernet1 auto

激活内端口（默认端口是出于shutdown状态的）

防火墙6.3以下系统默认将ethernet0端口做为外端口，默认安全级别为0，ethernet1作为内端口，默认安全级别为100，对于防火墙而言，高安全级别的用户可以访问到低安全级别，而由低安全级别主动发起的到高安全级别的链接是不允许的。

Pix系列产品默认只有两个端口及0和1，DMZ端口都是另外添加的模块，DMZ端口的默认安全级别50，配置DMZ接口的地址和配置inside和outside类似

Pix(config)#ip address dmz 3.3.3.3 255.255.255.0

Pix(config)# interface gb-ethernet0 1000auto 激活DMZ端口，DMZ的端口号需要您用show running-config命令查看，如：

Pix(config)#show running-config

sh run

: Saved

PIX Version 6.3(5)

interface ethernet0 100full

interface ethernet1 auto

interface gb-ethernet0 1000auto

新添加的DMZ端口

2）、防火墙nat设置

2.1、内网用户要上网，我们必须对其进行地址转换，将其转换为在公网上可以路由的注册地址，

防火墙的nat和global是同时工作的，nat定义了我们要进行转换的地址，而global定义了要被转换为的地址，这些配置都要在全局配置模式下完成，

2.2、Nat配置如下：

Pix(config)#nat (inside) 1 0 0

上面inside代表是要被转换得地址，

1要和global 后面的号对应，类似于访问控制列表号，也是从上往下执行，

0 0 代表全部匹配（第一个0代表地址，第二个0代表掩码），内部所有地址都回进行转换。

2.3、Global配置

Pix（config）#global （outside）1 interface

Gobalb定义了内网将要被转换成的地址，

Interface 代表外端口的地址

当然，如果您有更多的公网IP地址，您也可以设置一个地址池，上面一条也是必须的，地址转换首先会用地址池内地址，一旦地址被用完后会用到上面一条及外端口做ＰＡＴ转换上网。

Pix（config）#global （outside）１ 222.128.1.100-222.128.1.254

３）、防火墙路由设置

3.1、因为我们为末节网络，所以对于我们来说路由比较简单，只要将从防火墙过来的所有流量全部导向ＩＳＰ就可以了，具体到各个网站的路由在ＩＳＰ那里会有。如果在我们的内部没有Ｖｌａｎ划分，那么我们之需要在防火墙上指一条向外出的路由就可以了，如下：Pix（config）#route outside 0.0.0.0 0.0.0.0 222.128.1.2

Route outside代表是外出的路由

0.0.0.0 代表目的地址，及全部匹配

0.0.0.0 代表子网掩码，及全部匹配

1.1.1.2代表下一跳，及和我们防火墙互联的ISP的地址

3.2、如果在我们的内部有好多VLAN划分，那么我们需要往回指到各个Vlan的路由，下一跳需要指向和我们防火墙直接相连的内网的地址，比如在我们的内部有VLAN 2：1.1.1.0/24；VLAN 3：3.3.3.0/24；如果VLAN 2是和防火墙直接相连的，那么我们不需要对VLAN 2回指路由，因为他和防火墙在同一网段，而VLAN 3没有和防火墙直接相连，如果想让vlan 3 也能上网我们就需要在防火墙上回指一条到vlan 3 的路由，如下：

Pix（config）#route inside 3.3.3.0 255.255.255.0 1.1.1.2

3.3.3.0 255.255.255.0 目的网络及掩码

1.1.1.2下一跳及和防火墙相连的同一网段的vlan interface地址，

4）、服务器映射配置

4.1、如果在内网有一台web服务器需要向外提供服务，那么需要在防火墙上映射，公网地址多的情况下可以做一对一的映射，如下

Pix（config）#static （inside，outside）222.128.100.100 1.1.1.50

如果只有一个公网地址，那么可以做端口映射，如下

Pix（config）#static （inside，outside）tcp 222.128.100.100 80 1.1.1.50 80

4.2、映射完毕后还必须配置访问控制列表，允许外部来访问映射的WEB服务器，如下：Pix（config）#access-list outside per tcp any host 222.128.100.100 eq 80

Pix（config）#access-group outside in interface outside

其中“access-list”和“access-group”后面的outside为防问控制列表的名字，“access-group”最后的outside为端口名。

允许外面任意一台主机通过TCP的80端口访问到222.128.100.100这台主机，下面还要把此条访问控制列表应用到outside接口上，这样互联网上的用户才能访问到WEB服务器。如果有多条地址映射请重复上述操作。

5）、图形界面登陆设置和用户名密码添加

Pix（config）#pdm history enable

Pix(config)#pdm location 1.1.1.0 255.255.255.0 inside

Pix(config)#http server enable

Pix(config)#http 1.1.1.1 255.255.255.0 inside

Pix(config)#username cisco password cisco

cisco为用户名和密码

上述配置完毕后您就可以通过图形界面来登陆，登陆方式：https://1.1.1.1

如果要打开外网图形界面配置，如下：

Pix（config）#http location 0.0.0.0 0.0.0.0 outside

外网所有的地址都可以通过图形界面来登陆防火墙如果知道用户名和密码。

当然我们也可以定义特定的一台多多台可以通过图形界面登陆防火墙，只要将网段改为特

定的地址就可以了。

6）、防火墙密码

Pix（config）#enable password cisco

设置进入enable的密码

Pix（config）#passwd cisco

ssh登陆是第一次输入的密码

7）、防火墙内网Telnet和外网SSH登陆设置

Telnet Configuration

Pix（config）#telnet 1.1.1.0 255.255.255.0 inside 允许内网1.1.1.0telnet防火墙

Pix(config)#telnet timeout 1

1分钟未作任何操作后超时退出

SSH Configuration

通过外网不能用Telnet防火墙，必须用SSH加密方式，在配置SSH之前要先定义一个domain-name，然后再生成一个key，如下：

Pix（config）#domain-name https://www.360docs.net/doc/4f16358163.html,

Pix（config）# ca generate rsa key 800

Pix（config）#ca save all

Pix（config）#ssh 0.0.0.0 0.0.0.0 outside

SSH也可以定义外网特定的一台主机或固定的一段地址可以来远程登陆。

8）、防火墙DHCP配置

Pix（config）#dhcpd address 1.1.1.200-1.1.1.254 inside 定义地址池并在inside接口开启DHCP 功能

Pix（config）# dhcpd dns 202.106.196.115 202.106.0.20

定义给客户分发的DNS

Pix（config）# dhcpd enable inside 打开DHCP功能

9）、如何修改已存在的访问控制列表

比如，我们在内接口上定义了一些访问控制列表，如下：

Pix（config）#access-list inside deny ip host 1.1.1.100 any

Pix（config）#access-list inside permit tcp any any range 1 1024

Pix（config）#access-list inside permit ucp any any range 1.1024

Pix（config）#access-list inside permit tcp any any eq 1863

Pix（config）#access-group inside in interface inside

上面是我已经在内接口存在的访问控制列表，我拒绝了1.1.1.100到外面所有，而其他的用户只能访问外面的TCP和UDP的1—1024 的端口以及TCP的1863端口（msn），如果我还希望在拒绝IP地址为1.1.1.101的主机到外面所有的，那么我必须将deny 1.1.1.101 的访问控制列表写到access-list inside permit tcp any any range 1 1024列表的上面，因为访问控制列表是从上往下执行，如果将deny 1.1.1.101的访问控制列表放在access-list inside permit tcp any any eq 1863下面，那么对于1.1.1.101 的限制将不能生效，可以按照下面步骤操作：1、先用show access-list命令查看访问控制列表

Pix(config)#show access-list

access-list inside line 1 deny ip host 1.1.1.100 any

(hitcnt=100000)

access-list inside line 2 permit tcp any any range 1 1024

(hitcnt=8000000)

access-list inside line 3 permit udp any any range 1 1024

(hitcnt=100000)

access-list inside line 4 permit udp any any eq 1863

(hitcnt=8000)

2、将deny 1.1.1.101的列表插入，格式如下：

Pix(config)#access-list inside line 1 deny ip host 1.1.1.101 any

做完后，在用show running-config可以看到在访问控制列表位置第一行已经多了一条，显示结果如下：

Pix（config）#show run

access-list inside deny ip host 1.1.1.101 any

access-list inside deny ip host 1.1.1.100 any

access-list inside permit tcp any any range 1 1024

access-list inside permit ucp any any range 1.1024

access-list inside permit tcp any any eq 1863

三、ASA5500端口配置

对于ASA5500系列来说，您定义的参数要多一些，以ASA5520来举例。（asa5500系列中asa5505有8个端口，全部是二层接口，需要划分Vlan然后再vlan接口下配置地址及端口名，其他配置都一样）：

ASA5520默认就有4个Gigabit Ethernet（0-4）和1个百兆的带外管理接口（此接口下默认有有IP地址，并在此接口下有DHCP功能开启），一个扩展插槽可以可安装IPS模块或防病毒模块。

1）、端口配置

ASA5520的4个端口默认没有定义端口名，您需要手动的添加，我们还以0端口为外接口，1为内接口，2为DMZ口说明

Asa5520>enable

进入特权模式

Passwrod:

默认情况下这里会提示让您输入密码，其实没有密码，直接回车就可以。

Asa5520#config t 进入全局配置模式

Asa5520(config)#interface GigabitEthernet0/0

Asa5520(config-if)#name-if outside 定义端口名字，您将此端口设置为外端口是他的安全级别会自动为０

Asa5520(config-if)#ip address 222.128.1.1 255.255.255.0 定义地址

Asa5520(config)#interface gigabitethernet0/1

Asa5520(config-if)#name-if inside

定义端口名字，您将此端口设置为内端口是他的安全级别会自动为100

Asa5520(config-if)#ip address 1.1.1.1 255.255.255.0 定义地址

2）、图形界面登陆设置

Asa5500系列配置图形界面与pix有一点不同，pix图形界面管理调用的PDM，而asa是调用ASDM。

Asa5520（config）# asdm image disk0:/asdm-507.bin

调用ASDM软件，默认好像有。

Asa5520（config）#http 1.11.0 255.255.255.0 inside

其他不管是从外网登陆或通过telnet、ssh、登陆asa的配置都是一样的。

ASA5500系列防火墙的地址映射、路由指向、密码设置、DHCP配置、访问控制列表设置和Pix系列防火墙的配置是一样。请参考上面设置。

思科交换机命令大全

思科交换机命令大全集团文件发布号：（9816-UATWW-MWUB-WUNN-INNUL-DQQTY-

思科交换机常用命令大全 1.1 用户模式与特权模式用户模式：可以使用一些基本的查询命令特权模式：可以对交换机进行相关的配置进入特权模式命令：Switch>enable 退出特权模式命令：Switch#exit 启用命令查询：时间设置：Switch#clock set 时间（自选参数，参数必须符合交换机要求）显示信息命令：Switch#show 可选参数注意：可以用TAB键补齐命令，自选参数为用户自定义参数，可选参数为交换机设定参数查看交换机配置: Switch#show running-config 保存交换机配置：Switch#copy running-config startup-config Switch#wr

查看端口信息：Switch#show interface 查看MAC地址表：Switch#show mac-address-table 查看交换机CPU的状态信息：Switch#show processes 1.2 全局配置模式进入全局配置模式：Switch#configure terminal 主机名修改：Switch(config)#hostname 主机名（自选参数）特权模式进入密码： Switch(config)#enable secret 密码（自选参数）取消特权模式密码：Switch(config)#no enable secret 取消主机名设置： Switch(config)#no hostname 退出配置模式： Switch(config)#exit 需要特别注意的是在配置模式中无法使用show命令，如果要使用的话show前必须加do和空格，例如：do show * 指定根交换机命令：Switch(config)#spanning-tree vlan 自选参数（VLAN号） root primary 例如： Switch(config)#spanning-tree vlan 1 root primary

思科交换机-常用命令及配置

思科交换机-常用命令及配置 switch> 用户模式 1：进入特权模式enable switch> enable switch# 2：进入全局配置模式configure terminal switch> enable switch＃configure terminal switch(conf)# 3：交换机命名hostname name 以cisco001 为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname cisco001 cisco001(conf)# 4：配置使能口令（未加密）enable password cisco 以cisco 为例switch> enable switch＃configure terminal cisco001(conf)# enable password cisco 5：配置使能密码（加密）enable secret ciscolab 以cicsolab 为例switch> enable switch＃configure terminal switch(conf)# enable secret ciscolab

6：设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch＃configure terminal switch(conf)# interface vlan 1 switch(conf)# ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 switch (conf-if)#no shut 激活端口 switch (conf-if)#exit switch (conf)#ip default-gateway 192.168.254 设置网关地址 7：进入交换机某一端口interface fastehernet 0/17 以17 端口为例 switch> enable switch＃configure terminal switch(conf)# interface fastehernet 0/17 switch(conf-if)# 8：查看命令show switch> enable switch# show version 察看系统中的所有版本信息 show interface vlan 1 查看交换机有关ip 协议的配置信息 show running-configure 查看交换机当前起作用的配置信息 show interface fastethernet 0/1 察看交换机1 接口具体配置和统计信息 show mac-address-table 查看mac 地址表

思科交换机命令大全

思科交换机常用命令大全 1.1 用户模式与特权模式用户模式：可以使用一些基本的查询命令特权模式：可以对交换机进行相关的配置进入特权模式命令：Switch>enable 退出特权模式命令：Switch#exit 启用命令查询：？时间设置：Switch#clock set 时间（自选参数，参数必须符合交换机要求）显示信息命令：Switch#show 可选参数注意：可以用TAB键补齐命令，自选参数为用户自定义参数，可选参数为交换机设定参数查看交换机配置: Switch#show running-config 保存交换机配置：Switch#copy running-config startup-config Switch#wr 查看端口信息：Switch#show interface 查看MAC地址表：Switch#show mac-address-table 查看交换机CPU的状态信息：Switch#show processes 1.2 全局配置模式进入全局配置模式：Switch#configure terminal

主机名修改：Switch(config)#hostname 主机名（自选参数）特权模式进入密码： Switch(config)#enable secret 密码（自选参数）取消特权模式密码：Switch(config)#no enable secret 取消主机名设置： Switch(config)#no hostname 退出配置模式： Switch(config)#exit 需要特别注意的是在配置模式中无法使用show命令，如果要使用的话show前必须加do和空格，例如：do show * 指定根交换机命令：Switch(config)#spanning-tree vlan 自选参数（VLAN号）root primary 例如： Switch(config)#spanning-tree vlan 1 root primary 需要注意的是：设置根交换机是基于VLAN的关闭生成树协议命令：Switch(config)#no spanning-tree vlan 自选参数（VLAN 号）例如： Switch(config)#no spanning-tree vlan 1 1.3 接口配置模式进入接口配置模式：Switch(config)#interface 端口名称（可选参数）启用端口：Switch(config-if)#no shutdown 停用端口：Switch(config-if)#shutdown 进入同种类型多端口配置：Switch(config)# interface range fastethernet 0/1-5 进入不同类型多端口配置：Switch(config)#interface range fastethernet 0/1-5，gigabitethernet 0/1-2

思科交换机路由器命令大全

思科交换机路由器命令大全 YUKI was compiled on the morning of December 16, 2020

1. 交换机支持的命令：交换机基本状态：交换机口令设置： switch>enable ；进入特权模式switch#config terminal ；进入全局配置模式 switch(config)#hostname ；设置交换机的主机名 switch(config)#enable secret xxx ；设置特权加密口令switch(config)#enable password xxa ；设置特权非密口令switch(config)#line console 0 ；进入控制台口switch(config-line)#line vty 0 4 ；进入虚拟终端 switch(config-line)#login ；允许登录 switch(config-line)#password xx ；设置登录口令 xxswitch#exit ；返回命令交换机VLAN设置：

switch(vlan)#vlan 2 ；建VLAN 2switch(vlan)#no vlan 2 ；删vlan 2switch(config)#int f0/1 ；进入端口1switch(config-if)#switchport access vlan 2 ；当前端口加入vlan 2switch(config-if)#switchport mode trunk ；设置为干线switch(config- if)#switchport trunk allowed vlan 1，2 ；设置允许的vlanswitch(config-if)#switchport trunk encap dot1q ；设置vlan 中继switch(config)#vtp domain ；设置发vtp域名switch(config)#vtp password ；设置发vtp密码switch(config)#vtp mode server ；设置发vtp模式switch(config)#vtp mode client ；设置发vtp模式交换机设置IP地址：交换机显示命令：

CISCO命令全集

CISCO命令全集－思科命令汇总视图模式介绍：普通视图router> 特权视图router# /在普通模式下输入enable 全局视图router(config)# /在特权模式下输入config t 接口视图router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0 路由协议视图router（config-route）# /在全局模式下输入router 动态路由协议名称 1、基本配置： router>enable /进入特权模式 router#conf t /进入全局配置模式 router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字 router(config)#enable password /设置特权口令 router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令 router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密 router(config)#line vty 0 4 /进入设置telnet服务模式 router(config-line)#password xxx /设置telnet的密码 router(config-line)#login /使能可以登陆 router(config)#line con 0 /进入控制口的服务模式 router(config-line)#password xxx /要设置console的密码 router(config-line)#login /使能可以登陆 2、接口配置： router(config)#int s0 /进入接口配置模式serial 0 端口配置（如果是模块化的路由器前面加上槽位编号，例如serial0/0 代表这个路由器的0槽位上的第一个接口） router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码

Cisco IOS 基本命令

Cisco IOS 基本命令一、基本路由器的检验命令 show version show processes show protocols show mem show ip route show startup-config show running-config show flash show interfaces 二、基本路由配置命令进入：config terminal/memory/network 配置网络时常采用的命令：copy和load 1．标识：hostname 标识名 2．启动标识：banner 启动标识 3．接口：interface 端口号 4．密码：line 0 6 login passwd 口令 enable password/secret 口令 5．接口：

1）配置端口 interface 端口号 clock rate 时钟速率（64000）/* 在串口中配置*/ bandwidth 带宽（缺省56）/* 在串口中配置*/ media-type 介质类型/* 在以太网口上*/ early-token release /* 在令牌环网口上*/ ring-speed 16 /* 在令牌环网口上*/ no shutdown write memory 2）检验端口 show interfaces show controllers 6．配置环境 1）引导方式 boot system flash IOS-filename boot system tftp IOS-filename tftp-address boot system rom 2）配置Register值 config-register 0x2102 7．查看邻居路由 show cdp interface show cdp neighbors [detail]

Cisco交换机常用配置命令

Cisco交换机常用配置命令 CISCO交换机基本配置 switch>ena 進入特权模式 switch#erasenvram 全部清除交换机的所有配置 switch#reload 重新启动交换机（初始提示符为switch> ) ------------------------------------------------------------------------------------ CISCO交换机基本配置：Console端口连接用户模式hostname>；特权模式hostname(config)# ；全局配置模式hostname(config-if)# ；交换机口令设置： switch>enable ；进入特权模式 switch#config；进入全局配置模式 switch(config)#hostname cisco ；设置交换机的主机名 switch(config)#enable secret csico1 ；设置特权加密口令 switch(config)#enable password csico8 ；设置特权非密口令 switch(config)#line console 0 ；进入控制台口 switch(config-line)#line vty 0 4 ；进入虚拟终端 switch(config-line)#login ；虚拟终端允许登录 switch(config-line)#password csico6 ；设置虚拟终端登录口令csico6 switch#write 保存配置設置 switch#copy running-config startup-config 保存配置設置，與write一樣switch#exit；返回命令配置终端过一会时间就会由全局配置模式自动改为用户模式，将超时设置为永不超时 switch#conf t switch(config)#line con 0 switch(config-line)#exec-timeout 0 --------------------------------------------------------------------------------- 交换机显示命令： switch#write；保存配置信息 switch#showvtp；查看vtp配置信息 switch#show run ；查看当前配置信息 switch#showvlan；查看vlan配置信息 switch#showvlan name vlan2 switch#show interface ；查看端口信息

思科交换机基本配置(非常详细)

cisco交换机基本配置 1．Cisco IOS简介 Cisco Catalyst系列交换机所使用的操作系统是IOS（Internetwork Operating System，互联网际操作系统）或COS（Catalyst Operating System），其中以IOS使用最为广泛，该操作系统和路由器所使用的操作系统都基于相同的内核和shell。 IOS的优点在于命令体系比较易用。利用操作系统所提供的命令，可实现对交换机的配置和管理。Cisco IOS操作系统具有以下特点： (1)支持通过命令行（Command-Line Interface，简称CLI）或Web界面，来对交换机进行配置和管理。 (2)支持通过交换机的控制端口（Console）或Telnet会话来登录连接访问交换机。 (3)提供有用户模式（user level）和特权模式（privileged level）两种命令执行级别，并提供有全局配置、接口配置、子接口配置和vlan数据库配置等多种级别的配置模式，以允许用户对交换机的资源进行配置。 (4)在用户模式，仅能运行少数的命令，允许查看当前配置信息，但不能对交换机进行配置。特权模式允许运行提供的所有命令。 (5)IOS命令不区分大小写。 (6)在不引起混淆的情况下，支持命令简写。比如enable通常可简约表达为en。 (7)可随时使用？来获得命令行帮助，支持命令行编辑功能，并可将执行过的命令保存下来，供进行历史命令查询。 1.搭建交换机配置环境在对交换机进行配置之前，首先应登录连接到交换机，这可通过交换机的控制端口（Console）连接或通过Telnet登录来实现。 (1)通过Console口连接交换机对于首次配置交换机，必须采用该方式。对交换机设置管理IP地址后，就可采用Telnet登录方式来配置交换机。对于可管理的交换机一般都提供有一个名为Console的控制台端口（或称配置口），该端口采用RJ-45接口，是一个符合EIA/TIA-232异步串行规范的配置口，通过该控制端口，可实现对交换机的本地配置。交换机一般都随机配送了一根控制线，它的一端是RJ-45水晶头，用于连接交换机的控制台端口，另一端提供了DB-9（针）和DB-25（针）串行接口插头，用于连接PC机的COM1或COM2串行接口。Cisco的控制线两端均是RJ-45水晶头接口，但配送有RJ-45到DB-9和RJ-45到DB-25的转接头。通过该控制线将交换机与PC机相连，并在PC上运行超级终端仿真程序，即可实现将PC机仿真成交换机的一个终端，从而实现对交换机的访问和配置。 Windows系统一般都默认安装了超级终端程序，对于Windows 2000 Server系统，该程序位于【开始】菜单下【程序】中【附件】的【通讯】群组下面，若没有，可利用控制面板中的【添加/删除程序】来安装。单击【通讯】群组下面的【超级终端】，即可启动超级终端。首次启动超级终端时，会要求输入所在地区的电话区号，输入后将显示下图所示的连接创建对话框，在【名称】输入框中输入该连接的名称，并选择所使用的示意图标，然后单击确定按钮。图9-2 超级终端连接创建对话框

思科交换机命令大全 + Cisco IOS 基本命令

思科交换机命令大全（一）序号/类别基于ios的交换机命令基于CLI的交换机命令 1．设置主机名/系统名switch(config)# hostname "hostname" switch(enable) set system name name-string 2．设置登录口令switch(config)# enable password level 1 password switch(enable) set password switch(enable) set enalbepass 3．设置远程访问switch(config)# inte***ce vlan 1 switch(config-if)# ip address ip-address netmask switch(config-if)# ip default-gateway ip-address switch(enable) set inte***ce sc0 ip-address netmask broadcast-address switch(enable) set inte***ce sc0 vlan switch(enable) set ip route default gateway 4．启用和浏览CDP信息switch(config-if)# cdp enable switch(config-if)# no cdp enable switch(enable) set cdp {enable|disable} module/port 5．查看Cisco邻接设备的CDP通告switch# show cdp inte***ce [type modle/port] switch# show cdp neighbors [type module/port] [detail] switch(enable) show cdp neighbors[module/port] [vlan|duplex|capabilities|detail] 6．端口描述switch(config-if)#description escription-string switch(enable)set port name module/number description-string 7．设置端口速度switch(config-if)# speed{10|100|auto} switch(enable) set port speed moudle/number {10|100|auto} switch(enable) set port speed moudle/number {4|16|auto} 8．设置以太网的链路模式switch(config-if)# duplex {auto|full|half} switch(enable) set port duplex module/number {full|half 9．配置静态VLAN switch# vlan database switch(vlan)# vlan vlan-num name vla switch(vlan)# exit switch# configure teriminal switch(config)#inte***ce inte***ce module/number switch(config-if)# switchport mode access switch(config-if)# switchport access vlan vlan-num switch(config-if)# end switch(enable) set vlan vlan-num [name name] switch(enable) set vlan vlan-num mod-num/port-list 10．配置VLAN中继线switch(config)# inte***ce inte***ce mod/port switch(config-if)# switchport mode trunk switch(config-if)#switchport trunk encapsulation {isl|dotlq} switch(config-if)# switchport trunk allowed vlan remove vlan-list switch(config-if)# switchport trunk allowed vlan add vlan-list switch(enable)set trunk module/port [on|off|desirable|auto|nonegotiate] Vlan-range [isl|dotlq|dotl0|lane|negotiate] 11．配置VTP管理域switch# vlan database

思科交换机配置常用命令(精编文档).doc

【最新整理，下载后即可编辑】 Cisco三层交换机配置命令及解释 (2011-07-11 08:54:50) 分类：IT资讯标签： cisco 杂谈基本配置 S> enable 进入特权模式 S# configure terminal 进入全局配置模式 S(config)# hostname name 改变交换机名称 S(config)# enable password level level_# password 设置用户口令（level_#=1)或特权口令（level_#=15) S(config)# line console 0 进入控制台接口 S(config-line)# password console_password 接上一条命令，设置控制台口令 S(config)# line vty 0 15 进入虚拟终端 S(config-line)# password telnet_password 接上一条命令，设置Telnet口令 S(config-line)# login 允许Telnet登录 S(config)# enable password|secret privilege_password 配置特权口令（加密或不加密） S(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 进入接口子配置模式 S(config-if)# [no] shutdown 关闭或启用该接口（默认启用） S(config)# ip address IP_address sunbet_mask 指定IP地址 S(config)# ip default-gateway router's_IP_address 指定哪台路由器地址为默认网关 S# show running-config 查看当前的配置 S# copy running-config startup-config 将RAM中的当前配置保存到NVRAM中

思科交换机配置常用命令

Cisco三层交换机配置命令及解释 (2011-07-11 08:54:50) 标签：分类：IT资讯 cisco 杂谈基本配置 S> enable 进入特权模式 S# configure terminal 进入全局配置模式 S(config)# hostname name 改变交换机名称 S(config)# enable password level level_# password 设置用户口令（level_#=1)或特权口令（level_#=15) S(config)# line console 0 进入控制台接口 S(config-line)# password console_password 接上一条命令，设置控制台口令 S(config)# line vty 0 15 进入虚拟终端 S(config-line)# password telnet_password 接上一条命令，设置Telnet口令 S(config-line)# login 允许Telnet登录 S(config)# enable password|secret privilege_password 配置特权口令（加密或不加密）S(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 进入接口子配置模式 S(config-if)# [no] shutdown 关闭或启用该接口（默认启用） S(config)# ip address IP_address sunbet_mask 指定IP地址 S(config)# ip default-gateway router's_IP_address 指定哪台路由器地址为默认网关 S# show running-config 查看当前的配置 S# copy running-config startup-config 将RAM中的当前配置保存到NVRAM中 S> show interface [type slot_#/port_#] 查看所有或指定接口的信息 S> show ip 显示交换机的IP配置（只在1900系列上可用） S> show version 查看设备信息 S# show ip interface brief 验证IP配置 S(config-if)# speed 10|100|auto 设置接口速率 S(config-if)# duplex auto|full|half 设置接口双工模式 S> show mac-address-table 查看CAM表 S# clear mac-address-table 清除CAM表中的动态条目 1900(config)# mac-address-table permanent MAC_address type [slot_#/]port_# 在CAM 表中创建静态条目 2950(config)# mac-address-table static MAC_address vlan VLAN_# interface type [slot_#/] port_# 在CAM表中创建静态条目 1900(config)# mac-address-table restricted static MAC_address source_port list_of_allowed_interface 设置静态端口安全措施 1900(config-if)# port secure 启用粘性学习 1900(config-if)# port secure max-mac-count value 设置粘性学习特性能够学到的地址数量（默认132，取值范围是1-132）

CISCO基本命令

端口速度：设置端口速度为：100Mbps/s 半双工模式 Switch# configure terminal Switch(config)# interface range gigabitethernet0/1 - 2 Switch(config-if-range)# speed 100 Switch(config-if)# duplex half 定义端口聚合并存储到NVRAM：定义名称为enet_list的端口组。 Switch# configure terminal Switch(config)# define interface-range enet_list gigabitethernet0/1 - 2 Switch(config)# end Switch# show running-config | include define Switch# define interface-range enet_list gigabitethernet0/1 – 2 Switch# configure terminal Switch(config)# no define interface-range enet_list Switch(config)# end Switch# show run | include define Switch# 设置端口类型： Switch(config-if)media-type auto-select | rj45 | sfp Switch#show interfaces interface-id transceiver properties

CISCO 常用命令解释

视图模式介绍：普通视图 router> 特权视图 router# /在普通模式下输入enable 全局视图 router(config)# /在特权模式下输入config t 接口视图 router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0 路由协议视图 router（config-route）# /在全局模式下输入router 动态路由协议名称 1、基本配置： router>enable /进入特权模式 router#conf t /进入全局配置模式 router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字 router(config)#enable password /设置特权口令 router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令 router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密router(config)#line vty 0 4 /进入设置telnet服务模式 router(config-line)#password xxx /设置telnet的密码 router(config-line)#login /使能可以登陆 router(config)#line con 0 /进入控制口的服务模式 router(config-line)#password xxx /要设置console的密码 router(config-line)#login /使能可以登陆 2、接口配置： router(config)#int s0 /进入接口配置模式 serial 0 端口配置（如果是模块化的路由器前面加上槽位编号，例如serial0/0 代表这个路由器的0槽位上的第一个接口） router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码router(config-if)#enca hdlc/ppp 捆绑链路协议 hdlc 或者 ppp 思科缺省串口封装的链路层协议是HDLC所以在show run配置的时候接口上的配置没有，如果要封装为别的链路层协议例如PPP/FR/X25就是看到接口下的enca ppp或者enca fr router(config)#int loopback /建立环回口(逻辑接口)模拟不同的本机网段 router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码给环回口在物理接口上配置了ip地址后用no shut启用这个物理接口反之可以用shutdown管理性的关闭接口 3、路由配置： (1)静态路由 router(config)#ip route xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 下一条或自己的接口router(config)#ip route 0.0.0.0 0.0.0.0 s 0 添加缺省路由 (2)动态路由 rip协议 router(config)#router rip /启动rip协议 router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段 router(config-router)#version 2 转换为rip 2版本 router(config-router)#no auto-summary /关闭自动汇总功能，rip V2才有作用 router(config-router)# passive-int 接口名 /启动本路由器的那个接口为被动接口

nb思科交换机常用命令

1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname 在基于CLI的交换机上设置主机名/系统名: switch(enable) set system name name-string 2.在基于IOS的交换机上设置登录口令: switch(config)# enable password level 1 password 在基于CLI的交换机上设置登录口令: switch(enable) set password switch(enable) set enalbepass 3.在基于IOS的交换机上设置远程访问: switch(config)# interface vlan 1 switch(config-if)# ip address ip-address netmask switch(config-if)# ip default-gateway ip-address 在基于CLI的交换机上设置远程访问: switch(enable) set interface sc0 ip-address netmask broadcast-address switch(enable) set interface sc0 vlan switch(enable) set ip route default gateway 4.在基于IOS的交换机上启用和浏览CDP信息:

switch(config-if)# cdp enable switch(config-if)# no cdp enable 为了查看Cisco邻接设备的CDP通告信息: switch# show cdp interface [type modle/port] switch# show cdp neighbors [type module/port] [detail] 在基于CLI的交换机上启用和浏览CDP信息: switch(enable) set cdp {enable|disable} module/port 为了查看Cisco邻接设备的CDP通告信息: switch(enable) show cdp neighbors[module/port] [vlan|duplex|capabilities|detail] 5.基于IOS的交换机的端口描述: switch(config-if)# description description-string 基于CLI的交换机的端口描述: switch(enable)set port name module/number description-string 6.在基于IOS的交换机上设置端口速度: switch(config-if)# speed{10|100|auto} 在基于CLI的交换机上设置端口速度: switch(enable) set port speed moudle/number {10|100|auto} switch(enable) set port speed moudle/number {4|16|auto}

Cisco常用命令

路由器实验： router> enable 从用户模式进入特权模式 router# disable or exit 从特权模式退出到用户模式 router# show sessions 查看本机上的TELNET会话router# disconnect 关闭所有的TELNET会话 router# show users 查看本机上的用户 router# erase startupconfig 删除NVRAM中的配置 router# reload 重启路由器 router# config terminal 从用户模式进入特权模式 router(config)# hostname rl 配置用户名为rl router(config)# #banner welcome# 配置开机话语

router# show controllers serial0 查看串口0的物理层信息（主要是查看DTE/DCE）router# show ip interface 查看端口的IP配置信息 router# show hosts 查看主机表 end or ctrl+z 从各种配置模式退到特权模式 rl(config)# no ipdomainlookup 关闭动态域名解析 rl(config)# ipdomainlookup 打开动态域名解析 rl(config)# ipnameserver 202.106.0.20 打开动态域名解析之后便可以指定DNS服务rl(config)# interface serial 0 进入serial 0的接口配置模式 rl(configif)# no shutdown 路由器出厂默认所有端口关闭，使用此命令使它们打开rl(configif)# encapsulation ppp 封装ppp rl(configif)# clockrate 64000 如果是DCE使需要设置时钟速率，如果是DTE使不必设置

思科模拟器基本命令(交换机)

知识归纳思科模拟器命令: 设置交换机名字为yzh Switch> 进入超级终端控制台 Switch>enable 进入交换机特权模式 Switch# Switch#configure terminal 进入交换机全局配置模式 Switch(configure)#hostname yzh 改变名字为XXX yzh(configure)# 显示改名成功 yzh(configure)#exit 退回上级操作模式，即返回特权模式 yzh# yzh#exit 返回到用户模式 yzh> 参看交换机有关信息 yzh# yzh#configure terminal 进入交换机全局配置模式 yzh#show version 查看交换机的版本信息 yzh#show vlan 查看交换机的VLAN信息，默认情况下所有借口均属于VLAN yzh#show running-config 查看交换机当前生效的配置信息配置交换机接口f0/2 yzh> yzh>enable yzh# yzh#configure terminal 进入交换机配置模式 yzh(config)#interface fastEthernet 0/2 进入交换机接口fa0/2 yzh(config-if)# 进入接口配置模式 yzh(config-if)#speed 100 设置接口F0/2速率为100M yzh(config-if)#duplex half 配置接口的双工模式是半双工 yzh(config-if)#no shutdown 开启接口，使得处于工作状态，等待转发数据。yzh(config-if)#exit 输入exit返回全局模式 yzh(config)#exit 返回特权模式 yzh# 位于特权模式 yzh#show interfaces fastEthernet 0/2 查看刚才对接口f0/2配置情况设置交换机Enable特权密码为admin yzh> 进入超级终端控制台 yzh>enable 进入交换机特权模式 yzh#configure terminal 进入交换机配置模式 yzh(config)#enable secret admin 设置Enable密码为admin 注：验证密码自己思考。查看设备配置信息 yzh#show running-config