一、基础命令
Router> enable # 进入特权模式(默认无口令,直接回车)
Router# configure terminal # 进入全局配置模式(缩写:conf t)
Router(config)# # 全局配置模式提示符
Router(config)# hostname R1 # 示例:将主机名改为R1
R1(config)# no ip domain-lookup # 禁用DNS反向查找(默认开启,必须关闭)
R1(config)# enable secret Cisco123! # 特权模式加密口令为Cisco123!
enable password Cisco456! 特权模式明文口令为Cisco123!
banner motd #This is a secure system.# 以在用户连接路由器时显示标语。
为控制台连接配置口令。(控制台线路编号为0)
R1(config)# line console 0 # 进入console 0线路配置
R1(config-line)# password Console123! # 配置console口口令
R1(config-line)# login # 启用登录验证(必须配置,否则口令无效)
R1(config-line)# logging synchronous # 同步console输出
R1(config-line)# exec-timeout 15 0 # 15分钟0秒超时(格式:分钟 秒)
进入VTY线路配置口令(批量选择0-4线路)
R1(config)# line vty 0 4 # 进入VTY 0-4线路配置
R1(config-line)# password cisco # 配置VTY口令(cisco)
R1(config-line)# login # 启用登录验证(必须配置,否则口令无效)
R1(config-line)# logging synchronous # 同步console输出
R1(config-line)# exec-timeout 15 0 # 15分钟0秒超时(格式:分钟 秒)
# R1(config)# logging synchronous # 全局启用输出同步(效果同上)
二、路由协议
Router(config)# ip route 192.168.2.0 255.255.255.0 10.0.0.1 # 静态路由配置:目标网络192.168.2.0/24下一跳10.0.0.1
Router(config)# ip route 172.16.0.0 255.255.0.0 Null0 # 黑洞路由:丢弃172.16.0.0/16流量
Router(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1 # 默认路由:下一跳192.168.1.1
RIP
Router(config)# router rip
Router(config-router)# version 2 #配置RIP路由协议版本2
Router(config-router)# network 192.168.1.0 #声明参与路由的网络段
Router(config-router)# network 172.16.0.0
Router(config-router)# passive-interface GigabitEthernet0/1 #设置被动接口以禁用路由更新
Router(config-router)# maximum-paths 4 #允许最多4条等价路径负载均衡
Router(config-router)# default-information originate #启用默认路由发布功能
router ospf 1 #进入OSPF进程
network 192.168.1.0 0.0.0.255 area 0 # 宣告网络
network 10.0.0.0 0.255.255.255 area 1 ## 宣告网络
router-id 1.1.1.1 3# 设置路由器ID
redistribute connected subnets # 重分发路由
default-information originate #启用默认路由发布功能
redistribute static subnets
interface GigabitEthernet0/1
ip ospf authentication #配置认证
ip ospf authentication message-digest # 配置认证
ip ospf message-digest-key 1 md5 cisco123 #配置认证密钥
PPP 协议配置
R1 配置为使用 PAP 验证 R2 的身份
R1(config)#username R2 password cisco123 #建立对方帐号和密码
R1(config)#interface s0/0/0
R1(config-if)# clock rate 64000
R1(config-if)# ip address 192.168.12.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication pap
R1(config-if)#ppp pap sent-username R1 password cisco123 #发自己
R1(config-if)#end
Chap认证
R2(config)#username R3 password cisco #建立对方帐号和密码
R2(config)#int s0/0/1
R2(config-if)#ppp authentication chap
DHCP配置
ip dhcp pool VLAN10_POOL # 命名地址池(便于管理)
network 192.168.10.0 255.255.255.0 # 分配的网段
default-router 192.168.10.1 # 网关(通常是三层接口/SVI IP)
dns-server 223.5.5.5 114.114.114.114 # DNS服务器(可配多个)
lease 7 12 30 # 租期7天12小时30分钟(默认1天,可选)
excluded-address 192.168.20.50 # 排除固定IP(服务器/打印机)
NAT 命令行
案例 :PAT(端口复用)配置(企业内网访问外网)
# 场景:R1内网接口G0/0(192.168.1.1/24),外网接口G0/1(202.100.1.1/24),内网PC通过PAT访问外网
enable
conf t
# 第一步:标记NAT内外接口
interface GigabitEthernet0/0
ip nat inside # 标记为内网接口
no shutdown
interface GigabitEthernet0/1
ip nat outside # 标记为外网接口
no shutdown
# 第二步:创建ACL匹配需要转换的内网流量
access-list 1 permit 192.168.1.0 0.0.0.255 # ACL 1允许192.168.1.0/24网段
# 第三步:配置PAT(多对一映射,复用外网接口IP)
ip nat inside source list 1 interface GigabitEthernet0/1 overload
end
show ip nat translations # 验证:查看NAT转换表(PC访问外网时生成条目)
debug ip nat # 调试:查看NAT转换过程(排障用)
案例 3:静态 NAT(内网服务器发布到外网)
场景
内网 WEB 服务器 IP 为 192.168.1.10,外网公网 IP 为 202.100.1.10,需让外网用户通过 202.100.1.10 访问内网 WEB 服务器(80 端口)。
enable
conf t
# 第一步:标记NAT内外接口
interface GigabitEthernet0/0 # 内网接口(连接服务器)
ip address 192.168.1.1 255.255.255.0
ip nat inside
no shutdown
interface GigabitEthernet0/1 # 外网接口(连接互联网)
ip address 202.100.1.1 255.255.255.0
ip nat outside
no shutdown
# 第二步:配置静态NAT(一对一映射)
ip nat inside source static 192.168.1.10 202.100.1.10 # 内网IP→公网IP
# (进阶:仅映射80端口)
# ip nat inside source static tcp 192.168.1.10 80 202.100.1.10 80
end
# 验证命令
show ip nat translations # 查看静态NAT映射(永久存在,无需流量触发)
ping 202.100.1.10 # 外网测试访问公网IP,验证映射生效
案例 4:动态 NAT(多对多 IP 映射)
场景
内网有 10 台 PC(192.168.1.10-192.168.1.20),外网有公网 IP 池 202.100.1.20-202.100.1.30,需让内网 PC 随机使用公网 IP 池中的地址访问外网(多对多)。
enable
conf t
# 第一步:标记NAT内外接口
interface G0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no shutdown
interface G0/1
ip address 202.100.1.1 255.255.255.0
ip nat outside
no shutdown
# 第二步:创建公网IP地址池
ip nat pool OUTSIDE_POOL 202.100.1.20 202.100.1.30 netmask 255.255.255.0
# 第三步:创建ACL匹配内网需要转换的流量
access-list 1 permit 192.168.1.0 0.0.0.255
# 第四步:绑定ACL与地址池,配置动态NAT
ip nat inside source list 1 pool OUTSIDE_POOL
end
# 验证命令
show ip nat pool OUTSIDE_POOL # 查看地址池配置(起始/结束IP、掩码)
show ip nat translations # 查看动态映射(仅当PC访问外网时生成,超时老化)
案例 5:PAT(端口复用,多对一)
企业内网 192.168.1.0/24 网段有 200 台 PC,但仅 1 个公网 IP(202.100.1.1),需让所有 PC 通过 PAT 复用该公网 IP 访问外网
enable
conf t
# 第一步:标记NAT内外接口
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no shutdown
interface GigabitEthernet0/1
ip address 202.100.1.1 255.255.255.0
ip nat outside
no shutdown
# 第二步:创建ACL匹配内网流量
access-list 1 permit 192.168.1.0 0.0.0.255
# 第三步:配置PAT(核心:overload参数)
ip nat inside source list 1 interface GigabitEthernet0/1 overload
# (或用公网IP池实现PAT:ip nat inside source list 1 pool PAT_POOL overload)
end
# 验证命令
show ip nat translations # 查看PAT映射(每条条目包含端口号,如192.168.1.5:5000→202.100.1.1:10001)
debug ip nat # 调试:实时查看NAT转换过程(排障用)
clear ip nat translations * # 清空所有NAT条目(测试时用)
# 1. 排查DHCP问题
show ip dhcp server statistics # 查看DHCP分配失败原因(如No free addresses/Invalid gateway)
show ip dhcp binding # 确认PC是否获取到IP(无条目→未分配;有条目→IP正常)
ping 192.168.10.1 # PC ping网关,验证内网连通性(不通→VLAN/接口问题)
# 2. 排查NAT问题
show ip nat translations # 无条目→PC未发起外网访问,或ACL/接口标记错误
show running-config | include nat # 检查NAT配置(是否标记内外接口、ACL是否匹配)
debug ip nat # 实时查看NAT转换(显示“Translating inside source”表示正常)
# 3. 排查路由问题
show ip route # 确认路由器有到外网的默认路由(S* 0.0.0.0/0)
traceroute 223.5.5.5 # 跟踪到DNS服务器的路径,定位丢包位置
ACL
标准 ACL
Router(config)#access-list 1 permit host 192.168.1.10 # 等价于192.168.1.10 0.0.0.0
Router(config)#access-list 1 permit 192.168.1.10 0.0.0.0 # 0.0.0.0表示精确匹配该IP
Router(config)#interface ethernet0 # 进入E0接口配置模式(缩写:int e0)
Router(config-if)#ip access-group 1 in # 将ACL1应用到接口入方向
扩展 ACL
Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80 # 规则1:允许192.168.1.0/24网段访问所有IP的HTTP(80端口)
Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 21拒绝192.168.1.0/24网段访问所有IP的FTP(21端口)
创建名为 std-1 的标准命名 ACL
R3(config)#ip access-list standard std-1
R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255
R3(config-std-nacl)#permit any
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group std-1 in
创建名为 FIREWALL 的扩展命名 ACL
R2(config)#ip access-list extended FIREWALL
R2(config-ext-nacl)#
R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#permit icmp any any echo-reply
R2(config-ext-nacl)#deny ip any any
R3(config)#interface s0/1/0
R3(config-if)#ip access-group FIREWALL in
帧中继
R1(config)#interface serial0/0/0
R1(config-if)#encapsulation frame-relay / ppp / hdlc
R1(config-if)#frame-relay map ip 10.10.10.2 102 broadcast
R1(config-if)#frame-relay map ip 10.10.10.3 103 broadcast
R1(config-if)#frame-relay lmi-type ansi #常用类型:cisco(Cisco私有)、ansi、q933a(标准),实操中一致。
交换机配置命令集
Switch>enable #配置模式
Switch#config term #全局配置模式
Switch(config)#hostname S1 #配置交换机主机名。
S1(config)#enable secret class #配置执行模式口令 class。
S1(config)#no ip domain-lookup #禁用 DNS 查找。
S1(config)#ip default-gateway 172.17.99.1 #配置默认网关。
S1(config)#line console 0 #为控制台连接配置口令 cisco。
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15 #为 vty 连接配置口令 cisco。
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#end
S1#copy running-config startup-config # 保存
Destination filename [startup-config]? [enter]
Building configuration...
S2(config)#interface fa0/6 #进入接口模式
S2(config-if)#switchport mode access #接口模式为access
S2(config-if)#no shutdown #激活接口
VTP 命令
S1(config)#vtp mode server/ client/ transparent #VTP的工作模式
S1(config)#vtp domain Lab4
S1(config)#vtp password cisco
S1(config)#end
端口安全
S2(config)#interface fa0/6 #进入接口模式
S2(config-if)#switchport port-security #开启端口安全
S2(config-if)#switchport port-security maximum 1 #端口连接最大数1
S2(config-if)#switchport port-security mac-address sticky #启用sticky MAC地址功能,这样即使端口重启,之前成功连接的设备的MAC地址也会被记住。
S1(config)#interface fa0/1 #进入接口模式
S1(config-if)#switchport mode trunk #接口模式为干道
S1(config-if)#switchport trunk native vlan 99 #指定 VLAN 99 为中继端口的本征 VLAN
S1(config-if)#no shutdown
S1(config)#end
S1(config)#vlan 99 #进入vlan接口模式
S1(config-vlan)#name management #起名为management
S1(config)#interface vlan99 #在所有三台交换机上配置管理接口地址。
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S2(config)#interface fa0/6 #进入接口模式
S2(config-if)#switchport access vlan 30 #划分接口属于vlan30
S2(config-if)#end
单臂路由
R1(config)#interface fastethernet 0/0 #进入接口模式
R1(config-if)#no shutdown #激活接口
R1(config-if)#interface fastethernet 0/0.10 #进入子接口0.10
R1(config-subif)#encapsulation dot1q 10 #封装dot1q号10
R1(config-subif)#ip address 172.17.10.1 255.255.255.0 #配置IP地址
R1(config-if)#interface fastethernet 0/0.99 #进入子接口0.99
R1(config-subif)#encapsulation dot1q 99 native #封装dot1q号10,native表示该VLAN为默认无标记通信的VLAN。
R1(config-subif)#ip address 172.17.99.1 255.255.255.0 #配置IP地址
R1(config)#interface FastEthernet0/1 #进入接口模式
R1(config-if)#ip address 172.17.50.1 255.255.255.0 #配置IP地址和子网掩码
R1(config-if)#description server interface #配置描述
R1(config-if)#no shutdown #激活接口
R1(config-if)#end
生成树
spanning-tree vlan 1 priority 4096 # 配置生成树的等 级4096 默认32768
spanning-tree vlan 1 root primary/secondary # 配置生成树为主要根桥 或次要根桥
show spanning-tree #查看生成树信息
交换机DHCP中继
interface Vlan10
ip address 192.168.10.2 255.255.255.0
ip helper-address 192.168.1.1 # 关键:指向DHCP服务器IP
no shutdown