思科设备在网络配置与管理中占据重要地位,掌握其常见命令是网络工程师的基本技能,以下从用户模式、特权模式、全局配置模式、接口配置、路由配置、网络服务配置、查看命令及故障排查等方面,详细介绍思科设备的常用命令及其应用场景。
在用户模式下,设备提示符为“>”,此时仅能执行基本的查看命令,如显示设备基本信息(show version查看系统版本、硬件配置及启动时间;show running-config显示当前运行配置,但部分设备可能需要特权模式权限;show startup-config显示启动配置文件,即NVRAM中的配置),若需进行配置操作,必须通过enable命令进入特权模式,提示符变为“#”,此时可执行更多查看命令(如show interfaces查看所有接口状态,包括流量统计、错误计数等;show ip interface brief以简洁表格形式显示接口的IP地址、状态及协议信息;show mac address-table查看MAC地址表,用于定位终端连接端口;show arp查看ARP缓存表,记录IP与MAC的映射关系;show log查看系统日志,帮助定位故障;show processes查看CPU及内存使用情况,分析设备性能瓶颈;show cdp neighbors查看CDP邻居信息,了解直连设备的型号及接口)。
全局配置模式下,提示符为“(config)#”,通过configure terminal命令从特权模式进入,是大部分配置操作的起始点,在此模式下,可进行设备基础配置:hostname设置设备主机名,如hostname SW1将设备命名为SW1;enable secret设置特权模式加密密码,优先于enable password,且存储加密后的值;line console 0进入控制台线路配置模式,设置控制台登录密码(password)及登录验证(login),超时时间通过exec-timeout 0 0设置(0 0表示禁用超时);line vty 0 4进入虚拟终端线路配置模式(0-4为同时最大连接数),设置远程登录密码及验证,支持SSH需先通过ip domain-name设置域名,再生成RSA密钥(crypto key generate rsa);service password-encryption对所有明文密码进行弱加密(虽可被破解,但优于明文存储);no shutdown开启接口(默认关闭),需在接口配置模式下使用。
接口配置模式下,提示符为“(config-if)#”,通过interface命令进入,如interface GigabitEthernet0/1进入千兆以太网0/1接口,接口配置是网络层以下的核心操作:ip address 192.168.1.1 255.255.255.0配置IP地址及子网掩码;description设置接口描述,如description To_Router_Gi0/0便于后期维护;switchport mode access将二层接口设置为接入模式(连接终端设备),switchport access vlan 10将接口划入VLAN 10;switchport mode trunk设置中继模式(连接交换机),switchport trunk allowed vlan 10,20允许指定VLAN通过中继链路;speed 100设置接口速率(10/100/1000/auto),duplex full设置双工模式(half/full/auto);spanning-tree portfast在接入端口启用PortFast(跳过STP listening/learning状态,直接转发,避免终端设备接入延迟);no ip address删除接口IP地址(常用于三层接口关闭路由功能);shutdown关闭接口。
路由配置涉及三层网络互通,在全局配置模式下进行:静态路由配置为ip route 目标网络 子网掩码 下一跳IP/出接口,如ip route 10.0.0.0 255.255.0.0 192.168.1.2表示访问10.0.0.0/16网段的数据包下一跳为192.168.1.2;默认路由为ip route 0.0.0.0 0.0.0.0 下一跳IP/出接口,用于未知流量转发,动态路由协议中,RIP配置需先启用router rip,再使用network宣告直连网络(如network 192.168.1.0),并关闭自动汇总(no auto-summary)以支持变长子网掩码;OSPF配置通过router ospf 进程号(进程号本地有效),使用network 网络地址 反掩码 area 区域号宣告接口参与OSPF(如network 192.168.1.0 0.0.0.255 area 0),区域0为骨干区域;EIGRP配置为router eigrp AS号(AS号自治系统号,需直连设备一致),通过network宣告网络,并关闭自动汇总(no auto-summary),EIGRP支持汇总(ip summary-address eigrp AS号 网络地址 子网掩码)及负载均衡(variance倍数)。
网络服务配置包括DHCP、ACL等:DHCP服务通过ip dhcp excluded-address保留静态IP(如ip dhcp excluded-address 192.168.1.1 192.168.1.10排除1-10地址),再创建地址池ip dhcp pool POOL_NAME,配置network 192.168.1.0 255.255.255.0、default-router 192.168.1.1、dns-server 8.8.8.8等参数;ACL配置分为标准ACL(access-list 1 permit/deny 源IP地址 通配符掩码,如access-list 1 permit 192.168.1.0 0.0.0.255允许1.0网段访问)和扩展ACL(access-list 100 permit/deny 协议 源IP 源通配符 目的IP 目的通配符 操作,如access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80允许1.0网段访问10.0.0.0网段的80端口),ACL应用方向为in(入站)或out(出站),需在接口配置模式下绑定(ip access-group 1 in)。
故障排查命令是快速定位问题的关键:ping测试网络连通性(ping 192.168.1.1),可扩展参数(ping -s 1500 -c 4 192.168.1.1设置包大小1500字节,发送4次);traceroute跟踪路径(traceroute 192.168.1.1),通过TTL递增定位中间设备;debug开启调试功能(如debug ip packet调试IP数据包),但需谨慎使用(可能影响性能),完成后用undebug all关闭;show interface查看接口详细状态,若line protocol down表示链路协议层故障,需检查对端设备、VLAN配置等;show ip route查看路由表,确认路由条目是否存在、是否正确;show vlan brief查看VLAN划分情况,确认接口是否正确划入VLAN;show running-config | include 关键词(如include ip address)过滤配置,快速定位相关配置项。
以下是常见问题解答:
Q1: 如何查看交换机某个接口的流量统计?
A: 在特权模式下,使用show interface 接口编号命令,如show interface GigabitEthernet0/1,输出中“input packets”“output packets”分别表示接收和发送的数据包数量,“input errors”“output errors”表示错误计数,若错误计数持续增长,需检查接口线缆、对端设备兼容性或接口速率/双工模式是否匹配。
Q2: 配置ACL后无法上网,如何排查?
A: 首先检查ACL规则顺序(默认隐含deny any),确认允许规则是否正确;其次使用show ip access-lists查看ACL匹配计数,确认是否有流量匹配到规则;然后检查ACL应用方向(in/out是否正确,通常ACL应用在靠近源端的接口入方向);最后验证接口状态及路由表,确保数据包能正确转发,若ACL匹配计数为0,可能是流量未经过该接口或ACL配置错误。
