sh version 顯示裝置IOS的版本號資訊
sh arp [| in xxx...] 顯示arp清單
sh ip int brief 顯示介面的ip簡要資訊清單。 如IP位址和協定狀態等。
sh int status 顯示介面狀態
sh int stats 顯示介面統計資訊 (sh int gi0/1 stats)顯示某個介面的流量統計資訊
sh int description 顯示自訂描述資訊
sh int status err-disabled 顯示狀態被錯誤關閉的介面和原因(Reason)
sh port-security interface fastEthernet 0/5 查看該埠安全狀態
sh port-security address 查看所有已配置的埠安全
clear arp-cache 清除arp清單
clear counters[介面號] 清除所有介面或某一介面上的統計資訊(stats)
clear line console/vty [0] 清除/中斷某個登入到設備上的使用者
常用特權命令switch(config)#ip subnet-zero 允許使用全0的子網.
switch(config)#ip classless 啟用無類路由.
switch(config)#ip routing 啟用三層交換機的路由功能
交換機常用的本機配置命令3560G(config)#ip default-gateway 10.100.100.2 設置交換機的本地預設閘道器
3560G(config)#hostname Switch 設置此交換機的名字
Switch(config)#
交換機的臨時日誌出現後自動回車另起一行
switch#conf t
switch(config)# line console 0
switch(config-line)#logging synchronous //阻止控制台資訊覆蓋命令列上的輸入
停用功能變數名稱解釋功能Switch(config)#no ip domain-lookup //在路由或交換中輸入字元不會被認為是主機名稱而去向DNS解釋半天
設置使用者密碼1、Router(config)#line vty 0 4
Router(config-line)#login //在使用者telnet時是否檢查密碼。 如果設為no login則可以跳過密碼直接telnet上來
Router(config-line)#password 123456 設置telnet時的登入密碼。
2、Router(config)#enable password 123456 設置進行特權en模式的密碼(明文方式)
3、Router(config)#enable secret 654321 設置進行特權en模式的密碼(密文方式, 優先于明文方式, 如設置, 上面的純文字密碼失效)
問題:
A、 當1配置完成後密碼生效否?
B、 1與2有何區別?是必須用2來將1啟動嗎?
C、 既然配置了3則2無效且3比2更安全, 哪要2有何用?
D、 1與2的密碼要一樣嗎?
答:
A、 密碼生效(telnet的登陸密碼)
B、2是用來進入全域模式的密碼
c、2無用, cisco稱當2、3同時存在時, 2無效.(en pwd 可以被show run出來,secret不行)
d、不需要, 1時用來進入使用者模式的。 二者不答價。
4、Router(config-line)#privilege level 15
使telnet一登陸就進入全域模式(#)level 15是最高許可權,不需要再enable
加密密碼 密文1、對於進入特權模式的enable的密碼, 可以用enable secret來加密成密文字元顯示, 當設置了此方式後
原enable password的純文字密碼將失效。 如Swicth(config)#enable secret [密碼]
2、對於登陸密碼可以用service password-encryption命令來對所有登陸口令加密並顯示其為密文字元。
Swicth(config)#service password-encryption
二種關於用戶的超時設置在線路配置模式下的Timeout login response 與 Exec-timeout
1、Timeout login response 是配置當你telnet到設備時等待輸入密碼的最大時間從0-300。
切記不可設置為0。 如果設為0, 就等於你要在0秒內輸入密碼, 這是不可能的, 所以你就等著去破解密碼吧
Swicth(config)#line vty 0 4
Swicth(config-line)#Timeout login response 20 //沒有登陸操作時等待20秒後退出
2、Exec-timeout 是配置在你登陸到設備後,
Swicth(config)#line vty 0 4
Swicth(config-line)#Exec-timeout 3 30 //沒有命令操作時等待3分30秒退出
查看telnet和console的連接用戶和斷開用戶1、查看所有登陸狀態
Swicth#show line (在清單中已登陸的行前面會有*)
2、查看哪些用戶和IP登陸上來了
Swicth#show user (比較慢, 要等幾秒鐘)
3、強行斷開已登陸的用戶(不用擔心會斷開自己的連接, 因為系統不允許斷開自己)
Swicth#clear line [0-16] 0是sonsole口, 1是vty 0口, 以此類推
或指定line的類型:
Swicth#clear line vty [0-15]
Swicth#clear line console [0]
三層交換機 配置介面為路由模式Swicth(config)#hostname Switch 設置此交換機的名字
Swicth(config)#ip routing 啟用三層交換的路由功能
Swicth(config)#int fa(gi)0/1 進入快速乙太網0/1介面
Swicth(config-if)#no switchport 將此介面設為非交換模式(即路由模式)
Swicth(config-if)#ip address X.X.X.X X.X.X.X 設置此介面的位址
三層交換機 創建VLAN, 並將埠加入到VLAN中
Swicth(config)#ip routing 啟用三層交換的路由功能(如果沒有啟用)
Swicth(config)#interface vlan 100 創建一個VLAN並設置此VLAN號為100
Swicth(config-if)#ip address 192.168.0.129 255.255.255.0 設置VLAN100的IP位址
回到config全域配置下
Swicth(config)#int fa(gi)0/1 進入快速乙太網0/1介面
Swicth(config-if)#switchport 將此介面設為交換模式(即非路由模式)
Swicth(config-if)#switchport access vlan 100 把此介面加入到VLAN100中
配置埠安全開始配置
Router(config)#int fa 0/1 進入此埠
Router(config-if)#switchport mode access 改變埠工作狀態為訪問模式
Router(config-if)#switchport port-security 啟用port-security埠安全功能
Router(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 (指定此埠MAC 可以不配置)
Router(config-if)#switchport port-security maximum 1 允許最大MAC數
Router(config-if)#switchport port-security violation shutdown 違反安全後shutdown關閉埠
Router(config)#sh port-security interface fastEthernet 0/5 最後查看此埠相關狀態
配置埠鏡像Switch(config)# no monitor session 1 取消session 1 (如果有的話)
Switch(config)# monitor session 1 source interface fastethernet0/1 建立一個session 1 並設置需要鏡像的源埠
Switch(config)# monitor session 1 destination interface fastethernet0/10 在session 1 中設置鏡像的目的埠
Switch(config)# end
存取控制清單ACL簡單說明和一般操作:
ACL的萬用字元與子網路遮罩正好相反。 (0為通配檢查, 1為忽略不檢查)
如要檢查192.168.2.0下的所有機器, 它的萬用字元為:0.0.0.255;
如果要對所有IP通配, 而萬用字元為"any"(255.255.255.255);如果對一台主機IP通配, 則為"host"(0.0.0.0)
ACL分為基本(standard)ACL, 和擴展(extended)ACL。 基本ACL只能檢查源IP, 擴展ACL可以檢查包括源、
目的IP,
通過在config#下輸入access-list [數位]或ip access-list 來定義ACL
通過在介面配置下用ip access-group [數位或ACL名稱] in/out 來載入啟用ACL
注意:
ACL的順序很重要;ACL的最後一條系統會暗含deny any, 也就是"拒絕所有"。
1、在早期IOS版本中:
命令:3560G(config)#access-list [號碼]
ACL號為:1~99和1300~1999為基本(standard)ACL, 100~199,2000~2699為擴展(extended)ACL
並且, 在創建同一個號的多條ACL時, 如果想刪的話則此ACL號碼下的所有條目將被刪除。
如:
3560G(config)#access-list 1 permit host 192.168.1.1
3560G(config)#access-list 1 permit host 192.168.1.2
在刪除時
3560G(config)#no access-list 1 permit host 192.168.1.1 等同於
3560G(config)#no access-list 1
它會把access-list 1下的所有條目全部刪除。
2、在新版本11.2版中可以用命名ACL來解決上面問題
命令:3560G(config)#ip access-list [號碼] standard/extended [ACL的名字]
這樣就可以進入ip access-list [名字]下的配置模式, 對此名字ACL下的條目進行配置和單獨刪除。
而且, 命名ACL不再使用數位號作為基本和擴展ACL的分類, 而直接用standard/extended來分類,
這樣就衝破了ACL的在條數上的限制。
例子:
3560G(config)#access-list 1 permit host 192.168.1.1 standard test
3560G(config-std-nacl)#permit host 192.168.1.1
3560G(config-std-nacl)#permit host 192.168.1.2
3560G(config-std-nacl)#permit host 192.168.1.3
3560G(config-std-nacl)#exit
3560G(config)#int gi0/1
3560G(config-if)#ip access-group test in
配置DHCP1、配置位址集區
3560G(config)#ip dhcp pool SYY //指定一個name為SYY的DHCP位址集區
3560G(dhcp-config)#network 192.168.1.0 255.255.255.0 //配置192.168.1.X/24的網段位址集區
3560G(dhcp-config)#default-router 192.168.1.1 //配置閘道位址
3560G(dhcp-config)#dns-server 172.16.218.111 202.101.224.69 //配置DNS伺服器位址
3560G(dhcp-config)#domain-name client.com //為客戶機配置域尾碼
3560G(dhcp-config)#netbios-name-server 10.1.1.5 10.1.1.6 //配置wins伺服器位址
3560G(dhcp-config)#netbios-node-type h-node //為客戶機配置DHCP的節點模式(影響名稱解釋的順序,如h-node=先通過ins伺服器解釋...)
3560G(dhcp-config)#lease 3 //地址租用期限: 3天
3560G(dhcp-config)#exit
2、配置DHCP排除位址
3560G(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10 //不用於動態位址分配的位址
高級應用:為客戶機分配固定IP位址
3560G(config)#ip dhcp pool ddd //指定一個name為ddd的DHCP位址集區
3560G(dhcp-config)#host 10.1.1.21 255.255.255.0 //指定一個客戶機IP
3560G(dhcp-config)#client-identifier 010050.bade.6384 //client-identifier=01加上客戶機網卡位址
相關的DHCP調試命令:
no service dhcp //停止DHCP服務[預設為啟用DHCP服務]
sh ip dhcp binding //顯示位址分配情況
show ip dhcp conflict //顯示位址衝突情況
debug ip dhcp server {events | packets | linkage} //觀察DHCP伺服器工作情況
配置NAT第一種:
//NAT的內網介面
Switch(config-if)#int f0/1
Switch(config-if)#no switchport
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config-if)#ip nat inside
//NAT的外網介面
Switch(config-if)#int f0/2
Switch(config-if)#no switchport
Switch(config-if)#ip address 218.64.64.215 255.255.255.0
Switch(config-if)#ip nat outside
//配一個ACL用來控制需要被NAT的源位址
Switch(config)#access-list 1 permit 192.168.2.0 0.0.0.15
//配一個位址集區(pool) bob 用來定義NAT轉換後的位址
Switch(config)#ip nat pool bob 218.64.64.250 218.64.64.254 netmask 255.255.255.0
//開始做NAT關聯,如果在最後加上overload 則說明bob的位址集區中的位址如果用盡則從頭開始使用
Switch(config)#ip nat inside source list 1 pool bob [overload]
第二種:
//可以不用上面的POOL方面,而最上面最後二條改成下面的形式,下面說明是用F0/2的介面位址來用NAT的轉換後的位址
Switch(config)#ip nat in source list 1 interface fastEthernet 0/2 [overload]
第三種是靜態NAT
這條是一對一的靜態NAT
Switch(config)#ip nat in source static 192.168.2.11 218.64.64.215
注意,如果不能刪除名為bob的pool則需要在特權模式下清除NAT清單:
Switch#clear ip nat translation *
3560G(dhcp-config)#network 192.168.1.0 255.255.255.0 //配置192.168.1.X/24的網段位址集區
3560G(dhcp-config)#default-router 192.168.1.1 //配置閘道位址
3560G(dhcp-config)#dns-server 172.16.218.111 202.101.224.69 //配置DNS伺服器位址
3560G(dhcp-config)#domain-name client.com //為客戶機配置域尾碼
3560G(dhcp-config)#netbios-name-server 10.1.1.5 10.1.1.6 //配置wins伺服器位址
3560G(dhcp-config)#netbios-node-type h-node //為客戶機配置DHCP的節點模式(影響名稱解釋的順序,如h-node=先通過ins伺服器解釋...)
3560G(dhcp-config)#lease 3 //地址租用期限: 3天
3560G(dhcp-config)#exit
2、配置DHCP排除位址
3560G(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10 //不用於動態位址分配的位址
高級應用:為客戶機分配固定IP位址
3560G(config)#ip dhcp pool ddd //指定一個name為ddd的DHCP位址集區
3560G(dhcp-config)#host 10.1.1.21 255.255.255.0 //指定一個客戶機IP
3560G(dhcp-config)#client-identifier 010050.bade.6384 //client-identifier=01加上客戶機網卡位址
相關的DHCP調試命令:
no service dhcp //停止DHCP服務[預設為啟用DHCP服務]
sh ip dhcp binding //顯示位址分配情況
show ip dhcp conflict //顯示位址衝突情況
debug ip dhcp server {events | packets | linkage} //觀察DHCP伺服器工作情況
配置NAT第一種:
//NAT的內網介面
Switch(config-if)#int f0/1
Switch(config-if)#no switchport
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config-if)#ip nat inside
//NAT的外網介面
Switch(config-if)#int f0/2
Switch(config-if)#no switchport
Switch(config-if)#ip address 218.64.64.215 255.255.255.0
Switch(config-if)#ip nat outside
//配一個ACL用來控制需要被NAT的源位址
Switch(config)#access-list 1 permit 192.168.2.0 0.0.0.15
//配一個位址集區(pool) bob 用來定義NAT轉換後的位址
Switch(config)#ip nat pool bob 218.64.64.250 218.64.64.254 netmask 255.255.255.0
//開始做NAT關聯,如果在最後加上overload 則說明bob的位址集區中的位址如果用盡則從頭開始使用
Switch(config)#ip nat inside source list 1 pool bob [overload]
第二種:
//可以不用上面的POOL方面,而最上面最後二條改成下面的形式,下面說明是用F0/2的介面位址來用NAT的轉換後的位址
Switch(config)#ip nat in source list 1 interface fastEthernet 0/2 [overload]
第三種是靜態NAT
這條是一對一的靜態NAT
Switch(config)#ip nat in source static 192.168.2.11 218.64.64.215
注意,如果不能刪除名為bob的pool則需要在特權模式下清除NAT清單:
Switch#clear ip nat translation *