网络命令

router> 用户模式 user mode 刚进入时候状态
router>en router #特权模式 privileged mode
router #configure terminal 全局 global Mode
router (conf)#hostname routerA 设置机器名字，如服务器、交换机名字
（可以先输入词句的前几个字母，再按tab键，可显示全部，便于操作，而？可以显示有关的信息）
配置使能口令
enable password cisco
配置执行模式口令 （使能加密）密码区分大小写
enable secret [password] 若以前有使能口令将替换使能口令
security passwords min-length 6
配置当天消息标语
R1(config)#banner motd &
Enter TEXT message. End with the character '&'.
********************************!!!AUTHORIZED ACCESS ONLY!!!********************************&
R1(config)#no ip routing //关闭路由功能，相当于关闭以前的
R1(config)#int fa0/0
R1(config-if)#speed 100 速度
R1(config-if)#duplex full 配置全双工

路由器配置eigrp，并不让自动总结
conf terminal
rout eigrp 1 运行 EIGRP 的整个网络 AS 号码必须一致,其范围为 1-65535
network 10.0.0.0 0.0.0.3 advertise these networks in EIGRP，eigrp最好使用通配符，类似反码的，但可以用掩码机器会自动转化为通配符
no auto-summary (eigrp默认汇总的，有时并不需要，看情况而定)
network 10.0.0.0 255.0.0.0
配置置静态默认路由
ip routing 启用路由
ip route 0.0.0.0 0.0.0.0 s0/0/0 送出接口或者下一跳ip，default route
R1(config)#ip routing 启动路由配置
router ospf 1 （router rip ）Process ID的范围是1到65535，注意0不可以
passive-interface f0/1 禁用某端口更新，而eigrp 不可用会破坏组播更新
clear ip ospf process 相当于重启，用于重新配置，如ospf 开机选举后在想更换DR/BDR
config-router)#router-id *.*.*.* 手工指定一个router id
router rip
default-information originate 传播默认路由，在配置了默认路由的路由设备上再配置此命令。EIGRP，路由再分配通常是自动执行的
network 10.0.0.0 0.0.0.3 area 0 （area 范围 0 to 65535.）
RIP网络协议配置
R1(config)#router rip
R1(config-router)#version 2 （使用ripv2）
R1(config-router)#network 192.168.10.0 直连的网络都列出，network，若不写掩码则用默认掩码/24
R1(config-router)#passive-interface default (禁用所有接口的路由通告，一般禁用连接到局域网的路由器接口
R1(config-router)#no passive-interface s0/0/0 (使用S0/0/0 接口通告)
R1(config-router)#no auto-summary 不自动总结，自动总结会使得相同网络号的不连续网络通信故障，因为双方路由器汇总路由都相同，不学习对方的路由条目。
ip classless 启用无类路由，安全起见，最好在后面加上
单臂路由
配本征 vlan 99 (本

征vlan并非要99，可以为其他，默认为vlan 1.便于管理一般都要此操作 ，两个交换机之间接口，两个口配两个，四个配四个)
config ter
interface f0/1
switchport trunk native vlan 99
interface f0/3
switchport trunk allowed vlan 11,30 允许vlan中继
switchport mode trunk
switchport trunk encapsulations [dot1q |isl] （需要时配置此项，isl思科专有）
switchport trunk allowed vlan all
为了便于远程访问交换机，在B交换机上需要做的配置
SwitchB(config)#ip default-gateway 192.168.8.254
SwitchB(config)#interface vlan 1
SwitchB(config)#ip address 192.168.8.252 255.255.255.0
SwitchB(config)#no shutdown
no vlan 2 删除vlan 2网络
中继模式开启
config ter
switchport mode trunk (一定要no shut) (交换机与交换机间的接口必需用或者单臂路由中路由器与交换机间，其他用switchport mode access )
switchport trunk allowed vlan 11,30 允许vlan中继
end
交换机上配虚拟端口vlan 99
config ter
interface vlan 99
switchport mode trunk
ip address 192.168.1.2 255.255.255.0
交换机上配端口管理vlan 1接口 (私人信息更安全，易于远程访问vlan 1接口)
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shut （虽然虚拟的接口也要no shut）
ip default-gateway 192.168.1.1 默认网关(注意写法，vlan 的网关应为vlan 1或vlan99 的ip再或者是路由器虚拟端口ip)
配置粘滞地址的安全性命令
interface f0/2 （多个端口加入vlan 30配置：inter range f 0/11-21）
switchport mode access (使得端口成为vlan成员，一定要no shut)
switchport access vlan 30
switchport port-security 端口安全命令
switchport port-security maximum 1 不允许用多台接入，禁止hub
switchport port-security mac-address sticky （将会动态学习mac并添加到running-config文件中）
或者静态添加，命令如下
switchport port-security mac-address sticky [mac-address](真实的可以 show、ipconfig/all 命令获得、计算机的mac)
Switch1(config-if)# switchport port-security violation [shutdown/protect| restrict | shutdown vlan] （作用若违背则关闭/丢弃/.）
1．保护模式（protect）：丢弃数据包，不发警告。
2．限制模式（restrict）：丢弃数据包，发警告，发出SNMP trap，同时被记录在syslog日志里。
3．关闭模式（shutdown）：这是交换机默认模式，在这种情况下端口即时变为err-disable状态，并且关掉端口灯，发出SNMP trap，同时被记录在syslog日志里，除非管理员手工激活，否则该端口失效。

添加vlan 10 /20/30 (只中间的服务器交换机配置即可，广播出去)
config ter
vlan 20 开启vlan 20
name student
ip address 172.16.200.1 255.255.255.0 （可选，非必须）
关闭不用的端口（安全）
interface f 0/4 或 int range f0/1-5
shutdown
·将多个不连续端口同

时加入同一个VLAN：
Sw1(config)#interface range fastEthernet 0/1 , fastEthernet 0/5

切换到多个端口处
Cisco IOS shutdown
静态vlan 端口配置
config
interface f 0/1
switchport mode access (一定要no shut)
switchport access vlan 20
配置description
interface FastEthernet0/1
description : Connect to PC1 （便于以后识别）
description RESEARCH
Router3(config)#interface Serial1
Router3(config-if)#description WAN Connection to Chicago
配置vtp客户端、服务器模式
config ter
vtp mode client /server/transparent (先执行此命令才可对其他的配置)
配置 vtp domain
config ter
vtp domain domain-name 所有设备相同域名才可同步信息
配置 vtp password （区分大小写）
config ter
vtp password password （相同密码才可更新来自服务器的信息，为了安全）
Transparent模式配置过程
Switch1(config)#vtp mode transparent *设置为transparent透明模式
Switch1(config)#vtp version 2
Switch1(config)#int range gig1/1-2
Switch1(config-if-range)#switch mode trunk *配置trunk汇聚链路
Server模式配置过程
Switch0(config)#vtp mode server *设置为server模式
Switch0(config)#vtp domain vtp1 *设置vtp域名称
Switch0(config)#vtp password vtp *设置vtp域的密码
Switch0(config)#vtp version 2 *设置vtp域的版本
Switch0(config)#exit
Client模式配置过程
Switch2(config)#vtp mode client *设置为client客户透明模式
Switch2(config)#vtp domain vtp1 *设置vtp域名称（客户端域名一般不需要设置会自动识别）
Switch2(config)#vtp password vtp *设置vtp域的密码，只有与服务器相同才可接受更新
Switch2(config)#int gig1/1
Switch2(config-if)#switchport mode trunk *配置trunk汇聚链路
Switch2(config-if)#switchport trunk allowed vlan all *允许所有的vlan通过

路由器配置native vlan
interface fastethernet 0/0.1
encapsulation dot1q 1 native （1要随机应变更换）
ip address 10.1.1.254 255.255.255.0
路由器配置单臂路由
interface f0/0.1
encapsulation dot1q 10 (vlan 10,表示vlan 10与前面f0/0.1 对应)
ip address 172.17.10.1 255.255.255.0

Switch0 (config)#interface gigabitEthernet 0/3
Switch0 (config-if)#switchport mode trunk
Switch0 (config-if)#switchport trunk encapsulation ISL
Switch0 (config-if)# switchport trunk allowed all
Switch0(config)#exit
Switch0# vlan database 进入vlan配置子模式
Switch0(vlan)# vlan 1023 name lab02 trunk采用ISL格式时，vlan ID最大为1023。。dot1q vlan id 2100
SwitchA(VLAN)#vtp pruning vtp修剪
路由器配置 domain域名
2500(config)#ip name-server 192.168.0.23
2500(config)#ip domain-name https://www.wendangku.net/doc/751408533.html, (可选)

使用show hosts命令 验证优先级 4096
1)直接建立:spanning-tree vlan 2 root primary
(2)通过修改优先级建立:spanning-tree vlan 2 priority 24768(4096的倍数,值越小优先级

越高--像树一样.默认为32768)
多个vlan ： spanning-tree vlan 2 ,1,3 priority 24768
interface s/0/0/0
encapsulation ppp （而cisco有自己的hdlc，默认hdlc）ppp封装
ppp quality 80
若R1与R3 pap
R1 上
hostname R1
username R3 password sameone
interface s/0/0/0
encapsulation ppp
ppp authentication pap
ppp sent-username R1 password sameone R2也依此配置
若R1与R3 chap
hostname R1
username R3 password sameone
interface s0/0/0
encapsulation ppp
ppp authentication chap R2也依此配置

在 R1(及其他的应用帧中继的路由器) 的 Serial 0/0/0 接口上配置帧中继封装
R1(config)#interface serial0/0/0
R1(config-if)#encapsulation frame-relay cisco/ietf 二选一，cisco可省略
R1(config-if)#no shutdown

路由器还必须支持 RIP，因此需要使用关键字 broadcast。 在路由器 R1 上，
如下配置静态帧中继映射
EAST(config-if)#encapsulation frame-relay ietf （可为cisco看情况而定）
EAST(config-if)#frame-relay map ip 10.0.0.2 402 broadcast cisco（目的402的路由器为cisco封装的，必须写）
EAST(config-if)#frame-relay map ip 10.0.0.1 401 broadcast（ip为目的网络的 ，本地dlci 401，相当于mac
EAST(config-if)#frame-relay map ip 10.0.0.3 403 broadcast ietf （目的3的路由器为IETF封装，可省略
no frame-relay inverse-arp 禁用动态反向arp
frame-relay intf-type dce
将 ANSI 配置为 R1、R2 和 R3 上的 LMI 类型。
对每台路由器的串行接口输入下列命令。
R1(config-if)#interface s0/0/0
R1(config-if)#frame-relay lmi-type [ansi/cisco/q933a] 三者选一，lmi，LMI-type只能配在物理接口上而不是子接口上

csico2600的密码恢复
重新启动路由器，在启动过程中按下win+break键(右ctrl+break)，使路由器进入rom monitor
在提示符下输入命令修改配置寄存器的值，然后重新启动路由器
remmon1>confreg 0x2142
remmon2>reset
重新启动路由器后进入setup模式，选择“no”，退回到exec模式，此时路由器原有的配置仍然保存在startup-config中，
为使路由器恢复密码后配置不变把startup-config中配置保存到running-config中，然后重新设置enable密码，并把配置寄存器改回0x2102：
router>enable
router#copy startup-config running-config
router＃configure terminal
router(conf)#enable password cisco
router(conf)＃config-register 0x2102
保存当前配置到startup-config , 重新启动路由器。
R1#show file systems (列出路由器上所有可用的文件系统)
R1#dir (列出当前目录的文件)
R1#cd nvram (更改目录)
R1#pwd (确认是否已位于 NVRAM 目录)
router #copy running-config startup-config
router #reload （重启，恢复原配置）
copy runnning-config：flash
copy flash: tftp: (show flash 可得源文件复制过去或输入，tftp文件为目的ip 地址)

R2(c

onfig)#route ospf 1
R2(config-router)#network 192.168.20.0 0.0.0.255 area 0
R2(config-router)#network 10.1.1.0 0.0.0.3 area 0 （相邻网）
R2(config-router)#network 10.2.2.0 0.0.0.3 area 0
R2(config-router)#interface s0/0/0 所有协议相关路由器端口都要配置
R2(config-if)#ip ospf message-digest-key 1 md5 cisco123 （key后密钥 md5 密码）
R1(config-if)#ip ospf authentication message-digest
R2(config-router)#router ospf 1
R2(config-router)#area 0 authentication message-digest

R2(config)#route eigrp 1
R2(config-router)#network 192.168.20.0 0.0.0.255
R2(config-router)#network 10.1.1.0 0.0.0.3 （相邻网）
R2(config-router)#network 10.2.2.0 0.0.0.3
R2(config-router)#interface s0/0/0 所有协议相关路由器端口都要配置
R2(config-router)#exit
R2(config)#key chain EIGRP-KEY
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string cisco
R2(config-keychain-key)#exit
R2(config-keychain)#exit
R2(config-router)#interface s0/0/0
R2(config-if)#ip authentication mode eigrp 1 md5 （eigrp可能由于进程号所以与其他协议不同写法，放在后面eigrp 1）
R2(config-if)#ip authentication key-chain eigrp 1 EIGRP-KEY

router rip
version 2 启用2版本
network 10.2.2.0 0.0.0.3
passive-interface default (配置被动接口，并不阻止协议在路由间传递，只是忽略该端口内网的更新)
no passive-interface s/0/0/0 所有协议相关路由器端口都要配置
R2(config)#key chain RIP-KEY
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string cisco
R2(config-keychain-key)#exit
R2(config-keychain)#exit
R2(config-router)#interface s0/0/0
R2(config-if)#ip rip authentication mode md5
R2(config-if)#ip rip authentication key-chain RIP-KEY
SSH配置
步骤一：配置主机名
R1(config)#hostname R1
步骤二：配置域名
R1(config)#ip domain-name https://www.wendangku.net/doc/751408533.html,
步骤三：生成RSA非对称密钥
R1(config)#crypto key generate rsa
步骤三：配置本地身份验证和vty
R1(config)#username Student secret cisco123
R1(config)#line vty 0 4 （表示0到4号口都可以接入，若一条0表示即可）
R1(config-line)#no transport input 命令，将禁止对应LINE模式下所有的通信协议。设置结果与transport input none相同
R1(config-line)#transport input ssh 若在该交换机上输入 crypto key zeroize rsa 命令后交换机仅能在生成新的RSA 密钥后才允许远程访问
R1(config-line)#login [local|不写] （需要用户名/）
步骤四：配置SSH超时和重试次数
R1(config)#ip ssh time-out 15
R1(config)#ip ssh authentication-retries 2
步骤五：连接SSH客户端
R1(config)#service timestamps (给日志消息加上时间戳)
对外屏蔽简单网关协议
R1 (config)#access-list 101 deny udp any any eq snmp
R1(config)#access-list 101 deny udp any any eq snmptrap
宿舍楼是学

生为主，应限制宿舍楼对办公楼的访问。
S1(config)#access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
S1(config)#access-list 100 permit ip any any （ip的时候不用后面加端口号）
S1(config)#int f0/5
S1(config)#ip address x.y.z.35 255.255.255.240
S1(config-if)#ip access-group 100 in （应用于进入交换机接口方向，进出围绕交换机而言
S1(config-if)#exit
为保证本学校的信息安全，学校不希望自己的信息被外界知道，所以要求拒绝外界网络对本学校ftp的访问，只用于内部的访问与交流，而web服务器则都可以访问
R1(config)#access-list 101 permit tcp 192.168.0.0 0.0.255.255 host 200.1.1.1 eq ftp
R1(config)#access-list 101 permit tcp any host 200.1.1.2 eq www
R1(config)#access-list 101 deny tcp any host 200.1.1.1 eq ftp
R1(config)#access-list 101 permit ip any any
R1(config)#interface s0/1
R1 (config-if)#ip access-group 101 in
2. S2与S3两条链路之间的链路聚合
S1#con t
S1(config)#interface aggregateport 1
S1(config-if)#switchport mode trunk
S1(config-if)#exit
S1(config)#interface range fastethernet 0/23-24
S1(config-if-range)#port-group 1
S1(config-if-range)#end
S1#show aggregateport 1 summary
S3也相同配置

在全局配置模式下，创建名为std-1 的标准命名 ACL。
R3(config)#ip access-list standard std-1
R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255
R3(config-std-nacl)#permit any
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group std-1 in
使用IP标准ACL来控制VTY线路的访问.配置步骤如下:
1.创建个IP标准ACL来允许某些主机可以telnet
2.使用access-class命令来应用ACL到VTY线路上
Router(config)#access-list 50 permit 172.16.10.3
Router(config)#line vty 0 15
Router(config)#exec-timeout 0 20
Router(config-line)#access-class 50 in 50为名字可以换其他的或定义的如access-class VTY in(VTY以下定义
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
access-class VTY in
如上,进入VTY线路模式,应用ACL,方向为进此交换机内,即in（否则方向出去out） 因为默认隐含的deny any,所以上面的例子,
只允许IP地址为172.16.10.3的主机telnet到router上
配置命名扩展 ACL。在全局配置模式下，创建名为extend-1 的命名扩展 ACL。
R1(config)#ip access-list extended extend-1
R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225
R1(config-ext-nacl)#deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet
R1(config-ext-nacl)#permit ip any any 默认最后自动添加隐式deny all会阻止所有其它流量因此应添加 permit
R1(config)#interface serial 0/0/0
R1(config-if)#ip access-group extend-1 out
　access -list 10 permit ip host 10.10.30.1 any
　access -list 12 permit ip any 158.124.0.0 0.1.255.255
如果是标准 ACL，最好将其应用于尽量靠近目的地址的位置。而扩展 ACL 则通常应用于靠近源地址的位

dhc

p配置
R1(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10 排除地址，因为此地址特殊用途，防止路由器分配所配置范围内的 IP 地址。
R1(config)#ip dhcp pool R1Fa0 可创建多个地址池，给予不同名字 R1Fa1
R1(dhcp-config)#network 192.168.11.0 255.255.255.0
R1(dhcp-config)#dns-server 192.168.11.5
R1(dhcp-config)#default-router 192.168.11.1
R1(dhcp-config)#domain-name https://www.wendangku.net/doc/751408533.html,
DHCP客户端
interface f0/0
ip address dhcp 客户端中，设置为动态自动获取DHCP形式
no shu

NAT配置
R2(config)#access-list 24 permit 10.1.1.0 0.0.0.255
R2(config)#ip nat inside source static 192.168.20.254 209.165.200.254 静态映射应用于服务器等固定设备，便于外网寻址访问
R2(config)#ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 （6个可用地址掩码为....248）
符合条件的源地址将被转换为 209.165.200.241 - 209.165.200.246 范围内的可用 IP 地址 动态nat （外接口ip也可设置为 209.165.200.241 255.255.255.252）
或者ip nat pool Test 198.18.237.225 198.18.237.230 prefix-length 29 意思是掩码为/29。并不表示可用地址长度，类似于netmask，不过pt模拟器不支持此命令
R2(config)#interface serial 0/0/1
R2(config-if)#ip nat outside
R2(config-if)#interface fa0/0
R2(config-if)#ip nat inside 指定哪些接口是内部接口，哪些接口是外部接口
R2(config)#ip nat inside source list 24 interface S0/0/1 overload （nat 重载,多个共用的可信息中加入端口区分，interface S0/0/1 为外部接口，也可将接口换为pool MY-NAT-POOL，一般选后者）
删除以前的acl，防治干扰现在的正常活动。
no access-list 10 可以show access-list 查看，多条acl，即group 则no access-list 100 。interface f0/0 。no ip access-group 1
扩展ACL（标准ACL的范围是1-99 ,扩展范围1300-1999 。 扩展ACL范围是100-199,扩展范围2000-2699）
R2(config)#ip access-list extended NAT
R2(config-std-nacl)#permit ip 192.168.10.0 0.0.0.255 any （前面ip的后面不加eq端口号
R2(config-std-nacl)#permit ip 192.168.11.0 0.0.0.255 any
R2(config)#ip nat inside source list NAT pool MY-NAT-POOL 绑定nat与访问列表
或者R1(config)#access-list 24 permit 10.1.1.0 0.0.0.255
R1(config)#ip nat inside source list 24 pool mynatpool 定义允许那些主机使用地址池
R2(config)#interface serial 0/0/0
R2(config-if)#ip nat inside 指定内外nat接口
R2(config)#ip nat inside source list NAT interface S0/0/1 overload
NAT 过载允许多位内部用户重用公有 IP 地址。
使用以下命令删除 NAT 地址池和到 NAT ACL 的映射。
R2(config)#no ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask
255.255.255.248
R2(config)#no ip nat inside source list NAT pool MY-NAT-POOL
如果接收到以下消息，请清除 NAT 转换。
%Pool MY-NAT-POOL in use, cannot destroy

R2#clear ip nat translation
网络安全
R1(config)#security passwords min-length 5(最短密码长度)
R1(config)#username Student password cisco123
R1(config)#do show run | include username
R1(config)#service password-encryption (对运行配置文件中先前未加密的所有口令加密，但no后还是加密出于安全考虑MD5加密不可逆) no-....不加密
R1(config)#do show run | include username
R1(config)#username Student secret cisco (配置加密的用户名)
R1(config)#do show run | include username
R1#auto secure 思科路由器保护 禁用非必要的系统进程和服务
interface Loopback0 还回接口
ip address 209.165.200.225 255.255.255.224
将“控制台”线路的历史记录缓存设置为 50
enable
terminal history size 50
exit
保护“控制台”访问 （一般易遗忘）
R1#config ter
R1(config)#line console 0
Rl(configline)# password cisco 配置进入用户模式的密码
R1(config-line)#login
Rl(configline)# logging synchronous 输入同步
Rl(configline)# exectimeout 0 0 禁止因为一段时间没有输入而跳出 exec-timeout 5 0 超时控制

保护未用的AUX端口
R1(config)#line aux 0
R1(config-line)#no password
R1(config-line)#exec-timeout 15 0
R1(config-line)#login
配置VTY链接
service password-encryption 加密，非明文显示 vty线路；telnet加密
line vty 0 4 开启0-4共五条telnet而 line vty 0 表示只开启一条，
login
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet （input可换为output
R1(config)#config ter
R1(config)#line vty 0 4 （0--4接口，实际的接口还多，而且只能顺序开放 )
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#no transport input 清除以前配置
R1(config-line)#transport input telnet ssh ( VTY 接受 Telnet 和 SSH 会话可以只允许一种，一般是用telnet，虽然不安全，方便简单)
R1(config-line)#exec-timeout 15 0 (配置 VTY 超时)
R1(config)#service tcp-keepalives-in(保持连接)

router#show interface s0 /0
S1#show vlan 查看Vlan 与接口的绑定
S1#show vlan brief(检验 Vlan)
S1#show vtp status（确认已开始发送通告,查看vtp 信息）
show vtp password 查看密码相同否
使用show vlan brief 命令检查是否存在正确的 VLAN。
使用show interfaces trunk 命令检查交换机的中继是否运作正确,查看各端口模式中继或接入
show interface f0/2 switchport/trunk 查看端口配置，是否trunk
show protocols 协议运行状况
show ip access-list
show access-lists 访问列表的显示
show命令
Router#show arp （用于显示设备的ARP表可查看station（所连接switch）的端口mac
Switch#show mac-address-table （仅适用于交换机，用于显示交换机的 MAC 表，查看mac 对应的端口号）
Router#show

startup-config （用于显示保存在 NVRAM 中的配置）
Router#show running-config （用于显示当前运行配置文件的内容、特定接口的配置或映射类别信息等，比较常用、实用！！！）
show ip interface brief 命令检查接口是否打开以及 IP 地址是否正确和协议是否开启
Router#show ip interfaces（用于显示路由器上所有接口的 IPv4 统计信息ip配置）
Router#show ip interfaces interface-id（用于查看某个具体接口的统计信息）
Router#show ip interface brief（用于快速获取接口及其工作状态的摘要信息）
R1#show ip route
R1#show controllers serial 0/0/0（确定路由器接口）
router# show sessions 查看本机上的TELNET会话
router# show users 查看本机上的用户，包括telnet的用户
router# show controllers serial0 查看串口0的物理层信息，线路是否正确（主要是查看DTE/DCE）
router# show hosts 查看主机表

CDP show 命令
R1#show cdp neighbors 查看CDP邻居信息，若R3与R1相连，R3 可ping R1，但是show cdp neighbors 看不到设备R1， 原因是R1上no cdp run 或者R3相连的接口上 no cdp enable
Show cdp interface 本命令显示各端口的CDP状态，特权模式下
R1#show cdp neighbors detail
R1(config)#show ip rip database（查看 AD 值，AD 值称为 Distance—距离）
R1(config)#show ip protocols（路由协议信息）
R1#show ip eigrp neighbors （查看邻居表并检验 EIGRP 是否已与其邻居建立邻接关系）
R1#show ip eigrp topology (后面跟ip/all-links或空) (查看该拓扑表)检验路由器 ID，显示可行后继路径、后继路径
Router#show ip ospf
Router#show ip ospf interface
Router#show ip ospf neighbor（验证 OSPF 相邻关系）
switch#show history （查看最新输入的执行命令）
SSH show命令
S1#show ip ssh 或 S1#show ssh (显示交换机上的 SSH 服务器的状态，ssh类似于telnet但更安全)
S1#show port-security interface f0/1（验证端口安全性设置）
show port-security address
S1#show port-security [interface interface-id] address （验证安全 MAC 地址）

STP show命令
S1#show spanning-tree detail(检验端口和路径开销)
S1#show spanning-tree（检验交换机的网桥优先级）
S1#show spanning tree active(只显示活动接口的生成树配置详细信息)
S1#show spanning-tree vlan vlan-id
R1#show interfaces serial (输出显示有关串行接口的信息)
R1#show controllers interface id (查看串行接口的状态)
R1#show frame-relay map (查看动态映射)
R1#show frame-relay lmi (本地管理接口 (LMI)统计信息)
R1#show file systems (列出路由器上所有可用的文件系统)
show ip nat translations 命令检验 NAT
show ip dhcp binding 命令提供关于目前已分配的所有 DHCP 地址的信息。
clear frame-relay-inarp (清除映射)
R1# show frame r

elay pvc 查看frame relay情况
debug frame-relay lmi (帧中继运作故障诊断)
debug ip rip no dubug all （debug在特权模式下，和show用法类似）
debug ip routing（启用） undebug all（禁用
debug ip icmp 用于debug a ping command 。 debug command 追踪查找命令执行情况，查看 the effects of the policy 如QOS
检验EIGRP配置 debug eigrp fsm（启动 DUAL 调试）
检验查看PPP配置（用的是chap还是pap）
R1#debug ppp {negotiation | error | authentication | compression | cbcp}(调试命令)display the CHAP authentication process as it occurs between two routers
R1#debug frame-relay lmi (帧中继运作故障诊断)
通常应该禁用的服务
R1(config)#no service tcp-small-servers 或 R1(config)#no service udp-small-servers (禁用echo、discard 和 chargen 之类的小型服务)
R1(config)#no ip bootp server (禁用BOOTP)
R1(config)#no service finger (禁用Finger)
R1(config)#no ip http server (禁用HTTP) 一般路由器一端连接子网中（服务器的除外）不禁用
R1(config)#no snmp-server (禁用SNMP)
禁用那些允许特定数据包通过路由器、发送特定数据包或用于远程路由器配置的服务
PC2(config)#no ip routing 关闭路由功能
R1(config)#no router rip (禁用rip更新，停止rip路由过程)
R1(config)#no cdp run (禁用Cisco 发现协议 CDP，启用CDP当然是 cdp run
R1(config)#no service config (禁用远程配置)
R1(config)#no ip source-route (禁用源路由)
R1(config)#no ip classless (禁用无类路由)
接口配置模式下使用某些命令使路由器上的接口变得更安全
R1(config)#interface f0/0
R1(config-if)#shutdown (禁用未使用的接口)
R1(config-if)#no ip directed-broadcast (避免 SMURF 攻击)
R1(config-if)#no ip proxy-arp (禁用对等路由)
配置DNS，或禁用DNS查找
Router(config)# no ip domain-lookup
end or ctrl+z 从各种配置模式退到特权模式
switch(config-if)# trunk on　启用trunk,注意：只能在百兆以上端口启用trunk
Rl(config-line)# exec-timeout 0 0 禁止因为一段时间没有输入而跳出
router# erase startup-config 删除NVRAM中的配置
router# reload 重启路由器
router# disconnect 关闭所有的TELNET会话
router# disable or exit 从特权模式退出到用户模式
traceroute https://www.wendangku.net/doc/751408533.html, 计算机等查找https://www.wendangku.net/doc/751408533.html,的packet经过的路径、下一跳和tracert（cisco实验中常用）类似
debug command 能够实时的查看policies的结果（Qos）
no ip subnet-zero 不能用全0子网
clear mac-address-table 删除动态，静态条目，动态的在ram中重启后消失
show version 用于更新ios，可以查看ram、flash 大小是否够用升级，上次last启动方法，配置登记表设置，ios 加载位置，重启的原因等
2960Switch(config)# mac-address-table static 0000.00aa.aaaa vlan 10 in

terface fa0/1 相当于静态绑定接口与mac，MAC address 0000.00aa.aaaa will be listed in the MAC address table for interface fa0/1 only.
frame-relay interface-dlci 301 on Serial 0/0/0.1
frame-relay interface-dlci 302 on Serial 0/0/0.2 （本地dlci后加目的方的ip，点对点网络，同一子网内）
单词会写，不错误
show access-list 路由器中，查看访问列表（命令中间横线）
show ip interface [interface] 看某个接口是否有访问列表用
show ip interface brief 查看the interface on which to apply access list .
show mac-address-table 查找与交换机相连的接口mac，show mac-address这样不规范的。
show cdp neighbors 查看邻居配置信息什么设备操作系统平台当地哪个接口连接邻居的等
show cdp neighbor detail 查看更多邻居详细信息，如ip等
show spanning-tree vlan 1/或空着，交换机中用于查找vlan1的根root是谁
show vtp status 查看vtp配置更新信息，修订版本，域名等，高的可以更新低的交换机，所以新添加交换机的时候最好把修订版本号清零，防治过高把原有的vtp域内信息破坏
show vlan 查看不同端口各自对应的vlan，show vlan status 没见过吧，没有的和show vtp status混了
show interface trunk 交换机中查看哪个端口trunk 及vlan状态信息封装mode（on、desirable
show interface [interface] switchport 查看trunk、acces模式
show running-config 很有用查看配置信息便于排错，没其他办法看看也可，不过都是自己的配置，没有学到的路由、邻居等信息。
show interface vlan id
#delete vlan.dat 特权模式删除vtp域名，使得服务器管理原域名变为null。不可以no vtp domain
spanning-tree mode rapid-pvst 交换机使用rstp。stp的增强版
terminal monitor 命令用于打开终端显示信息中心发送的调试/日志/告警信息功能
terminal monitor （to see output from the OSPF debug command
show process 查看cpu使用率
ip default-network 0.0.0.0
ip route 0.0.0.0 0.0.0.0 172.16.2.1 这两条set the gateway of last resort to the default gateway
计算机上可以arp -a 得到ip与mac地址映射
show ip arp 查看ip映射mac，路由器，显示ip 后面是mac，生存时间age，方式ARPA，接口
在路由器可以笼统的宣告如 network 192.164.4.0 （ 默认为24掩码
还有有的题目说什么命令必须全局模式下执行，虽然大部分需要全局，但是有的还必须接口模式才可以的。
由于RIP 协议与EIGRP 协议都支持有类的路由通告，通告时可使用主类地址而不像OSPF 必须考虑反掩码问题，
摘自《zemingkan百度空间。。由于编辑仓促难免有疏漏不足，敬请提出。谢谢！！zemingkan.百度空间》.