思科设备在网络基础设施中广泛应用,管理员需要熟练掌握配置查询命令来监控设备状态、排查故障和验证配置,这些命令通过命令行界面(CLI)执行,不同特权模式和配置模式下可用的命令有所差异,以下是详细的思科配置查询命令分类及使用方法,涵盖系统信息、接口状态、路由表、ACL配置、NAT配置、VLAN配置、 spanning-tree 协议、DHCP 配置、安全配置和日志查询等核心场景。
基础系统信息查询
在特权模式下,首先通过 show version 命令查看系统基本信息,包括操作系统版本、设备型号、运行时间、上次重启原因和配置寄存器值,输出中的 "Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE" 表示设备型号和IOS版本。show running-config 命令用于查看当前生效的完整配置,可结合 begin 或 include 参数过滤内容,如 show running-config | begin interface 直接跳转到接口配置部分。show startup-config 则显示保存在NVRAM中的启动配置,用于对比当前配置与下次启动时的差异,硬件信息可通过 show inventory 查询,该命令会列出所有模块、组件的序列号和型号,方便硬件资产管理。
接口状态与流量查询
接口是网络通信的关键,show ip interface brief 以表格形式快速展示所有三层接口的IP地址、状态(up/down)和协议状态,"protocol" 列为"up"表示三层协议正常,"line protocol" 为"up"表示物理链路正常,若需查看详细接口信息,使用 show interfaces [interface-id],show interfaces gigabitethernet0/1,输出包含带宽、 duplex(双工模式)、流量统计(输入/输出字节数、广播包数)和错误计数(CRC、丢包数),当接口出现故障时,重点关注 "errors" 和 "drops" 字段,若CRC错误持续增加,可能表明物理层问题(如线缆故障或设备兼容性问题),对于二层接口,show interfaces switchport 可查看端口模式(access/trunk)、VLAN分配和状态。
路由表与协议查询
路由表查询使用 show ip route,默认显示所有路由条目,可通过参数过滤:show ip route static 查看静态路由,show ip route rip 查看RIP路由,show ip route ospf 查看OSPF路由,路由条目中的代码含义需注意,"C" 表示直连网络,"S" 表示静态路由,"O" 表示OSPF路由,"*" 表示候选默认路由,动态路由协议的详细信息可通过协议特定命令查询,show ip protocols 显示RIP/OSPF/EIGRP的运行参数(如AS号、更新时间、网络范围),show ip ospf neighbor 查看OSPF邻居状态,"FULL/DR" 表示邻接关系建立完成且为指定路由器。
访问控制列表(ACL)查询
ACL配置验证需区分标准ACL和扩展ACL。show ip access-lists 显示所有配置的ACL,输出中会匹配次数统计("matches"),"Extended IP access list 101" 下每条规则的匹配次数,若某条规则matches为0且预期应有流量,需检查ACL应用位置或规则顺序。show ip interface [interface-id] 可查看ACL在接口的应用方向(inbound/outbound),"Inbound access list is 101" 表示接口对入站流量应用ACL 101,对于命名的ACL,命令格式相同,但列表名称代替数字编号。
网络地址转换(NAT)查询
NAT配置查询通过 show ip nat translations 查看当前活动的NAT转换表,显示内部本地IP、内部全局IP、外部IP和协议端口等信息,表项的超时时间可通过 show ip nat statistics 查看,若需排查NAT故障,可使用 debug ip nat 启用调试(注意高负载设备慎用),实时观察NAT转换过程,静态NAT配置通过 show running-config | include ip nat inside source static 查询,动态NAT(如地址池)则通过 show ip nat pool 查看地址池范围和分配状态。
VLAN与Trunk配置查询
VLAN信息查询使用 show vlan brief,以表格形式显示VLAN ID、名称、状态和对应端口,"VLAN Name Status Ports" 下的 "default active Fa0/1, Fa0/2" 表示VLAN 1包含这些端口,Trunk接口配置通过 show interfaces [interface-id] trunk 查看,输出包含允许的VLAN列表("V allowed on trunk")、封装协议(isl dot1q)和native VLAN("Native VLAN is 1"),若需查看特定VLAN的详细信息,如SVI(交换虚拟接口),使用 show ip interface vlan [vlan-id],检查SVI的IP地址和状态。
生成树协议(STP)查询
STP状态查询对网络稳定性至关重要,show spanning-tree vlan [vlan-id] 显示指定VLAN的STP拓扑,根桥("Root ID")、端口角色(root designated blocking)、端口成本和优先级等信息。"Port role is ROOT PORT" 表示该端口为根端口,"Port state: forwarding" 表示端口处于转发状态,若网络存在环路,需关注 "Port state: blocking" 的端口是否异常,并通过 show spanning-tree summary 查看所有VLAN的STP摘要,快速定位异常VLAN。
DHCP配置查询
DHCP服务状态通过 show ip dhcp binding 查看已分配的IP地址绑定表,显示IP地址、MAC地址、租约剩余时间等信息;show ip dhcp conflict 检测IP地址冲突,若有冲突会列出冲突的IP地址和MAC地址,DHCP地址池配置通过 show ip dhcp pool [pool-name] 查看,包含网关、DNS服务器、租约时长等参数,未指定池名则显示所有地址池摘要。
安全与日志查询
安全配置方面,show access-lists 查看标准/扩展ACL,show ip ssh 查看SSH服务状态(如版本、端口),show crypto isakmp sa 查看IPSec SA状态,日志查询使用 show logging,显示缓冲区中的系统日志,包括时间戳、日志级别(error/warning/info)和模块信息,可结合 show logging level [module] 查看特定模块的日志级别,若需实时监控日志,可使用 terminal monitor 将日志输出到当前终端。
配置保存与对比
配置修改后,需使用 copy running-config startup-config 保存到NVRAM,避免重启丢失,若需对比当前配置与历史配置,可通过 show archive config differences 命令(需先启用配置归档功能),或在外部服务器通过TFTP/FTP下载配置文件后对比。
相关问答FAQs
问:如何快速定位接口下的VLAN配置?
答:若接口为access模式,使用 show interfaces [interface-id] switchport 查看 "Switchport: Enabled" 和 "Access Mode VLAN: 10"(VLAN 10为接入VLAN);若为trunk模式,同一命令下查看 "Trunking VLANs Enabled: ALL" 或 "Allowed VLANs: 1,10,20",表示允许通过的VLAN列表,也可通过 show running-config interface [interface-id] 直接查看接口下的VLAN相关配置命令。
问:OSPF邻居无法建立时,应优先检查哪些命令?
答:首先使用 show ip ospf neighbor 查看邻居状态,若状态为"down"或"init",检查:① show ip ospf interface [interface-id] 确认接口是否使能OSPF("Router ID" 和 "Area" 配置正确);② show ip protocols 检查OSPF进程是否正确宣告网络("Network" 语句包含接口网段);③ show cdp neighbors 验证物理层连通性(若CDP未发现邻居,可能为链路或设备故障);④ 检查防火墙或ACL是否阻止OSPF组播包(如224.0.0.5)。
