思科设备作为网络基础设施的核心组件,其命令行界面（CLI）是网络管理员进行配置、管理和故障排查的主要工具，思科命令体系遵循特定的语法规则，通常以“全局配置模式”为核心，通过不同层级的模式切换实现功能配置，以下从基础命令到高级功能，详细梳理思科设备的常用命令及使用场景。

基础操作与模式切换

思科CLI的层级结构是命令执行的基础,管理员需熟练掌握不同模式间的切换逻辑。用户模式（User EXEC）是初始访问模式，提示符为“>”，仅能执行基本命令如ping、tracert和show（部分查看命令）。特权模式（Privileged EXEC）通过在用户模式下输入enable进入，提示符为“#”，可查看设备配置、重启设备等，常用命令包括show running-config（查看当前配置）、show startup-config（查看启动配置）、reload（重启设备）。全局配置模式（Global Configuration）通过configure terminal（简写conf t）进入，提示符为(config)#，用于影响整个设备的配置，如设置主机名（hostname Router1）、启用服务（service timestamps debug datetime msec）等，还有接口配置模式（(config-if)#）、线路配置模式（(config-line)#）等子模式，需通过interface GigabitEthernet0/0、line console 0等命令进入。

接口配置命令

接口是网络设备与外部通信的窗口,其配置是网络部署的核心，进入接口配置模式后，首先需启用接口（no shutdown，简写no shut），默认情况下接口处于关闭状态，配置IP地址和子网掩码使用ip address 192.168.1.1 255.255.255.0，若为三层交换机接口，需先启用路由功能（ip routing），二层交换机接口默认为二层模式，配置VLAN成员关系通过switchport access vlan 10将接口划入VLAN 10，或通过switchport mode trunk设置中继模式，并使用switchport trunk allowed vlan add 20允许特定VLAN通过，接口描述信息可通过description Link to Switch-1添加，便于管理，查看接口状态使用show interfaces GigabitEthernet0/0，可获取接口状态、流量、错误计数等详细信息，重点关注line protocol state（协议状态，up/down表示链路是否正常）和input/output errors（错误计数）。

路由协议配置

路由协议是实现网络互通的关键,思科设备支持静态路由和动态路由协议。静态路由配置简单，适用于小型网络，命令为ip route 192.168.2.0 255.255.255.0 10.0.0.2，表示目标网络192.168.2.0/24通过下一跳10.0.0.2可达。OSPF是常用的动态路由协议，需先进入全局配置模式启用router ospf 1（1为进程号），然后使用network 192.168.1.0 0.0.0.255 area 0宣告直连网络（通配符掩码需精确匹配子网），area 0表示骨干区域。BGP用于大型网络或互联网连接，配置时需进入router bgp 65001（AS号），通过neighbor 203.0.113.2 remote-as 65002建立对等体关系，再使用network 10.0.0.0 mask 255.0.0.0宣告网络，查看路由表使用show ip route，通过show ip protocols可验证路由协议的运行状态。

交换与VLAN配置

VLAN是隔离广播域的重要技术,需在交换机上进行配置。创建VLAN使用vlan 10，进入VLAN配置模式后设置名称name Sales。端口分配将接口划入VLAN，如interface range GigabitEthernet0/1-10批量选择接口，再执行switchport access vlan 10。中继配置用于连接交换机或路由器，需设置switchport mode trunk，并可选配置switchport trunk encapsulation dot1q（指定封装协议，默认为ISL）。VLAN间路由需通过三层设备实现，可在路由子接口配置IP地址，如interface GigabitEthernet0/0.10，封装encapsulation dot1q 10，再配置ip address 192.168.10.1 255.255.255.0，查看VLAN信息使用show vlan brief，查看MAC地址表使用show mac-address-table。

安全与访问控制

安全配置是网络管理的重点,思科设备通过访问控制列表（ACL）实现流量过滤。标准ACL基于源IP地址过滤，如access-list 10 permit 192.168.1.0 0.0.0.255（允许192.168.1.0/24网段），access-list 10 deny any（拒绝其他流量），应用方向为入站（in）或出站（out）。扩展ACL可基于源/目标IP、端口等更精细控制，如access-list 101 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80（允许HTTP流量），ACL需应用在接口上，如ip access-group 10 in，密码配置包括enable密码（enable secret cisco，加密存储）和console密码（line console 0 → password cisco → login），VTY远程登录密码配置类似，SSH比Telnet更安全，需通过ip domain-name example.com设置域名，crypto key generate rsa生成密钥，再在line vty 0 4下启用transport input ssh。

网络服务与故障排查

启用网络服务可提升设备管理效率。DHCP服务配置需进入ip dhcp pool POOL1，设置network 192.168.1.0 255.255.255.0、default-router 192.168.1.1和dns-server 8.8.8.8，再全局启用ip dhcp excluded-address 192.168.1.1（排除静态IP）。NTP服务用于同步时间，ntp server 192.168.1.100 prefer指定首选NTP服务器。故障排查命令中，ping测试连通性（ping 192.168.1.1），tracert（简写tracert）跟踪路径，show ip interface brief快速查看接口IP和状态，debug命令（如debug ip packet）可实时捕获数据包，但需谨慎使用，完成后需undebug all关闭，日志配置可通过logging 192.168.1.100将日志发送到 syslog 服务器。

高级功能与维护

NAT（网络地址转换）用于节省公网IP，配置包括：定义内部接口（interface GigabitEthernet0/0 → ip nat inside），定义外部接口（interface GigabitEthernet0/1 → ip nat outside），配置动态PAT（ip nat inside source list 1 interface GigabitEthernet0/1 overload，ACL 1定义内部网段）。冗余协议如HSRP（热备份路由器协议），需在接口配置模式下standby 1 ip 192.168.1.254（虚拟IP），standby 1 priority 110（优先级），standby 1 preempt（启用抢占）。文件管理命令包括copy running-config startup-config（保存配置）、copy tftp: running-config（从TFTP加载配置）、delete flash:config.text（删除配置文件）。

以下为常用命令的快速参考表格：

FAQs

Q1: 如何在思科设备上查看当前生效的ACL规则？
A: 使用show access-lists命令可查看所有已配置的ACL规则，包括规则编号、匹配条件、允许/拒绝动作以及数据包匹配计数。show access-lists 10将显示标准ACL 10的详细规则，帮助管理员验证ACL是否按预期生效。

Q2: 交换机接口显示“administratively down”是什么原因？如何解决？
A: 该状态表示接口被手动关闭，通常未执行no shutdown命令，解决方法：进入接口配置模式（interface GigabitEthernet0/0），输入no shutdown启用接口，若仍无法恢复，需检查接口是否被shutdown（show running-config interface GigabitEthernet0/0查看是否有shutdown命令）或硬件故障（show interfaces status查看物理状态）。