Cisco IOS(Internetwork Operating System)是 Cisco 系统公司开发的专有操作系统,用于其路由器和交换机。它提供了一个稳健的、可扩展的、以命令行接口(CLI)为基础的网络操作环境。通过掌握 Cisco IOS 命令,网络管理员和工程师可以高效地配置、管理和排除网络设备的故障,确保网络的稳定和高效运行。
Cisco IOS 命令集丰富,涵盖从基础的设备管理到复杂的网络协议配置,是每个网络管理员的必备技能。本文将详细介绍 Cisco IOS 的基础知识、命令层级结构及其基本命令,以帮助读者快速上手并掌握 Cisco 设备的管理和配置。
Cisco IOS 命令分为不同的层级,每个层级提供了不同的命令集和功能。了解这些层级和模式的切换方法是使用 Cisco 设备的基础。
User EXEC 模式(Router>):User EXEC 模式是用户登录设备后进入的第一个模式。此模式下的命令通常用于基本的监控和检查设备状态,但不允许进行任何配置更改。
进入方法:设备启动后默认进入 User EXEC 模式。
退出方法:使用 logout 或 exit 命令退出。
典型命令:
show version:显示设备的操作系统版本和设备信息。
show interfaces:显示所有接口的状态。
Privileged EXEC 模式(Router#):Privileged EXEC 模式提供了更多的命令集,用于查看详细的设备状态和进行诊断。在此模式下,可以执行保存配置、查看日志、进入配置模式等操作。
进入方法:在 User EXEC 模式下输入 enable 命令。
退出方法:使用 disable 返回到 User EXEC 模式,或使用 exit 退出设备。
典型命令:
show running-config:显示当前运行配置。
show startup-config:显示启动配置。
copy running-config startup-config:将当前配置保存到启动配置中。
Global Configuration 模式(Router(config)#):Global Configuration 模式用于配置全局参数和设置。在此模式下,可以配置设备名称、密码、路由协议等。
进入方法:在 Privileged EXEC 模式下输入 configure terminal 命令。
退出方法:使用 exit 返回到 Privileged EXEC 模式,或使用 end 直接返回到 Privileged EXEC 模式。
典型命令:
hostname
enable secret
Interface Configuration 模式(Router(config-if)#):Interface Configuration 模式用于配置特定接口的参数,如 IP 地址、描述等。在全局配置模式下输入接口命令进入此模式。
进入方法:在 Global Configuration 模式下输入 interface
退出方法:使用 exit 返回到 Global Configuration 模式。
典型命令:
ip address
description
其他配置模式:除了上述主要模式外,Cisco IOS 还提供了其他特定配置模式,如:
Routing Configuration 模式(Router(config-router)#):用于配置路由协议,如 OSPF、EIGRP 等。
Line Configuration 模式(Router(config-line)#):用于配置控制台、虚拟终端(vty)线路等。
VLAN Configuration 模式(Router(config-vlan)#):用于配置 VLAN。
提示符缩写描述Router>UUser EXEC 模式,提供基本的监控命令。Router#PPrivileged EXEC 模式,提供高级命令。Router(config)#G全局配置模式,用于设置全局参数。Router(config-if)#I接口配置模式,用于设置接口参数。Router(config-router)#R路由配置模式,用于配置路由协议。Router(config-line)#L线路配置模式,用于配置控制台和 vty 线路。Router(config-vlan)#VVLAN 配置模式,用于配置 VLAN。
基础命令
Cisco IOS 提供了大量基础命令,用于显示设备信息、进入配置模式、保存和重载配置等。下面将详细介绍这些基础命令。
显示信息的命令:这些命令主要用于查看设备的状态和配置信息,是进行配置和排错的基础。
show version:显示设备的操作系统版本、启动时间、处理器信息、内存等详细信息。此命令通常在 User EXEC 和 Privileged EXEC 模式下使用。
Router> show version
show interfaces:显示所有接口的物理和协议状态,包括接口的状态(up/down)、速率、双工模式、错误统计等。此命令可以帮助快速诊断接口问题。
Router> show interfaces
show ip route:显示设备的 IP 路由表,包括各条路由的网络地址、子网掩码、下一跳和出接口等信息。此命令常用于检查路由状态和路由问题。
Router> show ip route
进入配置模式的命令:这些命令用于切换到不同的配置模式,以进行全局或特定接口的配置。
configure terminal:进入全局配置模式,用于设置全局参数。
Router# configure terminal Router(config)#
interface
Router(config)# interface GigabitEthernet0/0 Router(config-if)#
保存和重载配置的命令:这些命令用于保存当前配置、重启设备和恢复出厂设置。
copy running-config startup-config:将当前运行的配置保存到启动配置中,以便设备重启时加载最新的配置。
Router# copy running-config startup-config
reload:重启设备。此命令会提示确认,确保在重启前保存所有未保存的配置。
Router# reload
erase startup-config:删除启动配置,将设备恢复到出厂默认设置。此命令会提示确认,执行此命令后,设备将在重启后没有任何配置。
Router# erase startup-config
设备配置命令
接口配置
接口是网络设备的基本单元,通过配置接口,可以实现网络连接和数据传输。
配置接口描述和 IP 地址
description
Router(config)# interface GigabitEthernet0/0 Router(config-if)# description Link to Main Office
ip address
Router(config-if)# ip address 192.168.1.1 255.255.255.0
启用或禁用接口
no shutdown:启用接口。接口默认是关闭状态,通过此命令将其启用。
Router(config-if)# no shutdown
shutdown:禁用接口。
Router(config-if)# shutdown
配置接口速率和双工模式
speed <10 | 100 | 1000 | auto>:设置接口速率为 10Mbps、100Mbps、1000Mbps 或自动协商。
Router(config-if)# speed auto
duplex
Router(config-if)# duplex full
路由配置
路由协议是网络通信的基础,通过配置路由协议,可以实现网络之间的数据传输和路径选择。
静态路由配置
ip route
Router(config)# ip route 10.1.1.0 255.255.255.0 192.168.1.2
no ip route
Router(config)# no ip route 10.1.1.0 255.255.255.0 192.168.1.2
默认路由配置
ip route 0.0.0.0 0.0.0.0
Router(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.2
OSPF 动态路由配置
router ospf
Router(config)# router ospf 1 Router(config-router)#
network
Router(config-router)# network 192.168.1.0 0.0.0.255 area 0
show ip ospf interface:显示所有活动的 OSPF 接口。
Router# show ip ospf interface
VLAN 和交换机配置
VLAN(虚拟局域网)用于将物理网络分割成多个逻辑网络,提高网络管理效率和安全性。
创建和配置 VLAN
vlan
Switch(config)# vlan 10 Switch(config-vlan)# name Sales
name
Switch(config-vlan)# name Sales
配置交换机端口
switchport mode access:将端口设置为访问模式。
Switch(config-if)# switchport mode access
switchport access vlan
Switch(config-if)# switchport access vlan 10
配置干道端口
switchport mode trunk:将端口设置为干道模式,允许多个 VLAN 通过。
Switch(config-if)# switchport mode trunk
switchport trunk allowed vlan
Switch(config-if)# switchport trunk allowed vlan 10,20,30
配置 VTP 模式
vtp mode
Switch(config)# vtp mode server
安全配置
网络安全是设备配置中的重要部分,通过配置安全策略,可以防止未经授权的访问和潜在的攻击。以下是一些常用的安全配置命令:
设置密码
enable secret
Router(config)# enable secret mysecretpassword
配置控制台和虚拟终端(VTY)线路
line console 0:进入控制台配置模式。
Router(config)# line console 0 Router(config-line)# password consolepassword Router(config-line)# login
line vty 0 4:进入 VTY 配置模式,允许五个同时的虚拟连接。
Router(config)# line vty 0 4 Router(config-line)# password vtypassword Router(config-line)# login
加密配置文件中的密码
service password-encryption:加密配置文件中的所有密码。
Router(config)# service password-encryption
配置访问控制列表(ACL)
access-list
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
access-list
Router(config)# access-list 100 permit tcp any 192.168.1.0 0.0.0.255 eq 80
ip access-group
Router(config-if)# ip access-group 100 in
网络管理和监控
通过配置 SNMP、Syslog 和其他管理协议,可以实现对网络设备的监控和管理,确保网络运行的稳定和高效。
配置 SNMP
snmp-server community
Router(config)# snmp-server community public ro Router(config)# snmp-server community private rw
snmp-server host
Router(config)# snmp-server host 192.168.1.100 version 2c public
配置 Syslog
logging
Router(config)# logging 192.168.1.200
logging trap
Router(config)# logging trap warnings
查看日志和调试信息
show logging:显示当前的日志信息和设置。
Router# show logging
terminal monitor:在当前终端启用调试和错误消息显示。
Router# terminal monitor
VLAN 和交换配置
VLAN 高级配置
VLAN 是将物理网络划分为多个逻辑网络的技术,它可以提高网络管理的灵活性和安全性。
VLAN 配置和管理
vlan
Switch(config)# vlan 20 Switch(config-vlan)# name Marketing
name
Switch(config-vlan)# name Marketing
vlan
Switch(config)# vlan 30 Switch(config-vlan)# state suspend
no vlan
Switch(config)# no vlan 30
VTP(VLAN Trunking Protocol)配置
VTP 可以在一个网络中自动同步 VLAN 配置,简化了 VLAN 的管理和维护过程。
vtp mode
Switch(config)# vtp mode server
vtp domain
Switch(config)# vtp domain mynetwork
vtp password
Switch(config)# vtp password mypassword
跨交换机 VLAN 配置
跨交换机 VLAN 配置允许 VLAN 跨越多个交换机,扩展 VLAN 的范围和应用。
vlan
Switch1(config)# vlan 40 Switch1(config-vlan)# name HR Switch2(config)# vlan 40 Switch2(config-vlan)# name HR
show vlan brief:显示所有 VLAN 的简要信息,包括 VLAN ID 和名称。
Switch1# show vlan brief
交换机配置
交换机是网络中的核心设备之一,负责局域网内计算机之间的数据交换和转发。
端口安全
通过端口安全功能,可以限制接入交换机的设备数量和类型,增强网络安全性。
switchport port-security:启用端口安全功能。
Switch(config-if)# switchport port-security
switchport port-security maximum
Switch(config-if)# switchport port-security maximum 2
switchport port-security violation
Switch(config-if)# switchport port-security violation shutdown
EtherChannel 配置
EtherChannel 允许将多个物理链路捆绑成一个逻辑链路,增加带宽和冗余性。
interface range
Switch(config)# interface range GigabitEthernet0/1 - 2 Switch(config-if-range)# channel-group 1 mode desirable
channel-group
Switch(config-if-range)# channel-group 1 mode active
show etherchannel summary:显示 EtherChannel 汇总信息,包括成员接口和状态。
Switch# show etherchannel summary
Spanning Tree Protocol(STP)配置
STP 用于防止交换环路并提供冗余路径的故障转移能力。
spanning-tree mode rapid-pvst:配置交换机为 Rapid Per VLAN Spanning Tree 模式。
Switch(config)# spanning-tree mode rapid-pvst
spanning-tree vlan
Switch(config)# spanning-tree vlan 10 priority 24576
show spanning-tree:显示所有 VLAN 的 Spanning Tree 摘要信息。
Switch# show spanning-tree
IP 服务配置
在企业网络中,IP 服务配置是至关重要的一部分,它包括 NAT、DHCP、DNS 等服务的配置和管理。这些服务不仅提供了网络连接和通信所需的基础设施,还能够增强网络的安全性和可管理性。
NAT(Network Address Translation)配置
NAT 技术允许将私有 IP 地址转换为公共 IP 地址,以便内部网络中的设备可以访问公共互联网。
动态 NAT 配置
动态 NAT 允许内部网络中的多个设备共享少量公共 IP 地址。
ip nat pool
Router(config)# ip nat pool NATPOOL 203.0.113.1 203.0.113.10 netmask 255.255.255.0
access-list
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list
Router(config)# ip nat inside source list 1 pool NATPOOL
静态 NAT 配置
静态 NAT 将特定的内部 IP 地址映射到一个固定的外部 IP 地址。
ip nat inside source static
Router(config)# ip nat inside source static 192.168.1.10 203.0.113.20
ip nat outside source static
Router(config)# ip nat outside source static 203.0.113.20 192.168.1.10
PAT(Port Address Translation)配置
PAT 允许多个内部设备共享同一个公共 IP 地址,通过端口号区分不同的会话。
ip nat inside source list
Router(config)# ip nat inside source list 1 interface GigabitEthernet0/0 overload
DHCP(Dynamic Host Configuration Protocol)配置
DHCP 是一种自动分配 IP 地址的协议,它大大简化了网络设备的配置和管理。
DHCP 服务器配置
ip dhcp pool
Router(config)# ip dhcp pool OFFICEPOOL
network
Router(dhcp-config)# network 192.168.1.0 255.255.255.0
default-router
Router(dhcp-config)# default-router 192.168.1.1
dns-server
Router(dhcp-config)# dns-server 8.8.8.8
lease
Router(dhcp-config)# lease 7
DHCP 中继配置
DHCP 中继允许 DHCP 请求和响应在不同的子网之间传递。
interface
Router(config)# interface GigabitEthernet0/1
ip helper-address
Router(config-if)# ip helper-address 192.168.10.1
DNS(Domain Name System)配置
DNS 提供了将域名解析为 IP 地址的服务,是互联网中的基础设施之一。
ip domain-lookup:启用 DNS 查询功能。
Router(config)# ip domain-lookup
ip name-server
Router(config)# ip name-server 8.8.8.8
ip dns server:启用路由器作为 DNS 服务器。
Router(config)# ip dns server
安全配置
在网络管理中,安全性是至关重要的一环。Cisco IOS 提供了丰富的安全配置选项,包括 AAA 认证、访问控制列表(ACL)、端口安全和 SSH 配置等,以帮助管理员保护网络免受未经授权的访问和攻击。
AAA 认证配置
AAA(Authentication, Authorization, and Accounting)认证机制用于管理用户对网络设备的访问和操作权限。
基本 AAA 配置
username
Router(config)# username admin privilege 15 secret PaSsWoRd
enable secret
Router(config)# enable secret SuperSecr3t
aaa new-model:启用 AAA 认证。
Router(config)# aaa new-model
线路和虚拟终端(VTY)访问控制
line vty 0 4:进入 VTY 线路配置模式。
Router(config)# line vty 0 4
login local:使用本地数据库进行登录验证。
Router(config-line)# login local
transport input ssh:限制 VTY 接受 SSH 登录。
Router(config-line)# transport input ssh
SSH 配置
SSH(Secure Shell)提供了一种加密的远程登录协议,用于安全地管理网络设备。
ip ssh version 2:配置 SSH 使用版本 2。
Router(config)# ip ssh version 2
crypto key generate rsa:生成 RSA 密钥对。
Router(config)# crypto key generate rsa
line vty 0 4:进入 VTY 线路配置模式。
Router(config)# line vty 0 4
transport input ssh:限制 VTY 接受 SSH 登录。
Router(config-line)# transport input ssh
访问控制列表(ACL)配置
ACL 用于过滤路由器或交换机上的数据流量,以实现对网络流量的精细控制和安全防护。
标准 ACL 配置
access-list
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
interface
Router(config)# interface GigabitEthernet0/0
ip access-group
Router(config-if)# ip access-group 1 in
扩展 ACL 配置
ip access-list
Router(config)# ip access-list extended 101 Router(config-ext-nacl)# permit tcp any host 203.0.113.5 eq 80
interface
Router(config)# interface GigabitEthernet0/1
ip access-group
Router(config-if)# ip access-group 101 out
端口安全配置
端口安全允许管理员控制接入交换机的设备数量和类型,以减少网络安全风险。
switchport port-security:启用端口安全功能。
Switch(config-if)# switchport port-security
switchport port-security maximum
Switch(config-if)# switchport port-security maximum 2
switchport port-security violation {shutdown | restrict | protect}:设置违规操作后的响应动作。
Switch(config-if)# switchport port-security violation shutdown
监控和排错
监控和排错是网络管理中的关键部分,通过使用各种命令,管理员可以实时监控网络设备的状态,诊断并解决网络问题。
基本监控命令
显示设备信息
show version:显示 IOS 版本信息、设备型号和系统启动时间等信息。
Router# show version
show running-config:显示当前运行的配置。
Router# show running-config
show startup-config:显示设备启动时加载的配置。
Router# show startup-config
显示接口状态
show interfaces:显示所有接口的详细信息,包括物理状态和统计数据。
Router# show interfaces
show ip interface brief:显示所有接口的简要信息,包括 IP 地址和状态。
Router# show ip interface brief
show interfaces status:显示接口状态和连接信息。
Router# show interfaces status
显示 IP 路由信息
show ip route:显示设备的 IP 路由表。
Router# show ip route
show ip arp:显示 ARP 表。
Router# show ip arp
网络协议监控
显示 OSPF 信息
show ip ospf:显示 OSPF 全局信息。
Router# show ip ospf
show ip ospf interface:显示 OSPF 接口信息。
Router# show ip ospf interface
show ip ospf neighbor:显示 OSPF 邻居信息。
Router# show ip ospf neighbor
显示 BGP 信息
show ip bgp:显示 BGP 路由表。
Router# show ip bgp
show ip bgp summary:显示 BGP 邻居的摘要信息。
Router# show ip bgp summary
show ip bgp neighbors:显示 BGP 邻居的详细信息。
Router# show ip bgp neighbors
VLAN 和交换机监控
显示 VLAN 信息
show vlan:显示 VLAN 信息和接口分配。
Switch# show vlan
show vlan brief:显示 VLAN 的简要信息。
Switch# show vlan brief
显示生成树信息
show spanning-tree:显示生成树的详细信息。
Switch# show spanning-tree
show spanning-tree summary:显示生成树的摘要信息。
Switch# show spanning-tree summary
故障排除工具
Ping
ping
Router# ping 192.168.1.1
Traceroute
traceroute
Router# traceroute 192.168.1.1
Telnet
telnet
Router# telnet 192.168.1.1
显示日志和调试信息
show logging:显示系统日志信息。
Router# show logging
terminal monitor:启用当前终端的调试和系统错误信息。
Router# terminal monitor
显示 CDP 和 LLDP 信息
show cdp neighbors:显示 CDP 邻居信息。
Router# show cdp neighbors
show lldp neighbors:显示 LLDP 邻居信息。
Router# show lldp neighbors
显示 NAT 信息
show ip nat translations:显示 NAT 转换条目。
Router# show ip nat translations
show ip nat statistics:显示 NAT 统计信息。
Router# show ip nat statistics
端口和流量监控
show port-security:显示端口安全配置。
Switch# show port-security
show ip flow top-talkers:显示网络中数据流量最多的主机(如果启用了 NetFlow)。
Router# show ip flow top-talkers
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享