模块 2,10:交换机 路由器 终端设备 基本配置
第四次课
-
IOS 训练营(核心基础)
-
Cisco IOS 基础概念
-
定义与本质
- Cisco IOS(Internetwork Operating System)是思科交换机、路由器等网络设备的专用网络操作系统,核心作用是连接设备硬件与用户,实现网络功能配置与管理,所有思科网络设备(无论大小类型)均依赖其运行。 - OS 的组成结构
- 内核:直接与硬件交互,是操作系统的核心底层组件。
- 外壳:连接内核与用户/应用程序,提供交互接口(GUI/CLI)。
- 关系:
OS = 内核 + 外壳
-
两种交互接口对比
接口类型 特点 适用场景 示例 GUI(图形用户界面) 可视化(图标、菜单、窗口)、用户友好、无需复杂命令知识 个人设备(Windows、iOS)、家用无线路由器(固件)、本课程实验配置 家用路由器 Web 管理界面 CLI(命令行界面) 文本交互、功能更全、资源消耗少、稳定性高、需掌握命令结构 专业网络设备(思科交换机/路由器)、Linux/Windows(辅助) 思科 IOS CLI、Windows cmd、Linux 终端 -
Cisco IOS 的核心用途
- 运行基于 CLI 的网络程序,通过键盘输入命令配置设备。
- 实时显示命令执行结果,支持设备功能升级(可更新 IOS 版本或功能集)。
- Cisco IOS 访问方式
-
访问分类(按是否通过网络)
访问类型 定义 具体方式 核心要求 安全性 带外访问(Out-of-band) 不依赖网络,通过专用管理通道访问 控制台(Console)端口 需 RJ-45 反转线或 USB 电缆连接 PC 与设备;无需设备 IP 地址 高(物理连接限制) 带内访问(In-band) 通过网络远程访问 SSH(Secure Shell,安全外壳) 设备需配置 IP 地址及活动接口;依赖网络服务 高(加密传输) 带内访问(In-band) 通过网络远程访问 Telnet 设备需配置 IP 地址及活动接口;依赖网络服务 低(明文传输,不推荐) -
终端仿真程序(PC 端访问工具)
工具名称 支持访问类型 备注 PuTTY 带外(Console)、带内(SSH/Telnet) 课程常用,支持多协议 Xshell 带外(Console)、带内(SSH/Telnet) 专业终端工具,界面友好 Tera Term 带外(Console)、带内(SSH/Telnet) 轻量型工具 SecureCRT 带外(Console)、带内(SSH/Telnet) 功能强大,支持多会话管理 超级终端(HyperTerminal) 旧版本:带外+Telnet;新版本:带外+Telnet、SSH Win7 及以上系统无自带,需拷贝 XP 文件或下载替代版 -
初始配置访问优先级
- 新购思科设备首次配置必须通过Console 端口(带外访问),因设备未配置 IP 地址,无法使用 SSH/Telnet。
- IOS 命令模式(分层结构)
- 新购思科设备首次配置必须通过Console 端口(带外访问),因设备未配置 IP 地址,无法使用 SSH/Telnet。
-
核心模式分类与特点
模式名称 进入方式 提示符 核心功能 退出/切换方式 用户 EXEC 模式 设备登录后默认进入 Switch>或Router>仅支持基本监控命令(如 ping),无配置权限(“仅查看”模式) 输入 enable命令→特权 EXEC 模式特权 EXEC 模式 从用户模式输入 enable+密码Switch#或Router#支持所有监控命令,可进入配置模式 输入 disable命令→用户模式;输入configure terminal命令→全局配置模式全局配置模式 从特权模式输入 configure terminal(可缩写conf t)Switch(config)#或Router(config)#设备整体配置(如设备名称、密码策略),可进入子配置模式 输入 exit命令→特权模式;Ctrl+Z→特权模式线路子配置模式 从全局模式输入 line 类型 编号(如line console 0、line vty 0 15)Switch(config-line)#或Router(config-line)#配置 Console、SSH/Telnet 访问(VTY 线路) 输入 exit命令→全局模式;Ctrl+Z→特权模式接口子配置模式 从全局模式输入 interface 类型 编号(如interface vlan 1、interface g0/0)Switch(config-if)#或Router(config-if)#配置设备接口(交换机 SVI、路由器物理接口) 输入 exit命令→全局模式;Ctrl+Z→特权模式 -
模式切换核心规则
- 层级关系:用户 EXEC 模式 → 特权 EXEC 模式 → 全局配置模式 → 各子配置模式(线路/接口等)。
- 直接切换:可从一个子配置模式直接输入另一个子配置模式命令(如从线路子配置模式输入
interface vlan 1→接口子配置模式)。 - 密码提示:进入特权模式需输入密码(不回显),输入后回车即可。
- IOS 命令结构与实用功能
- 命令语法规则
- 基本格式:
命令 + 关键字 + 参数(如ping 192.168.10.5,ping为命令,192.168.10.5为参数)。 - 语法约定:
- 粗体:必须原样输入(如
enable、configure)。 - 斜体:用户自定义参数(如
ip-address、hostname)。 [x]:可选元素(关键字/参数)。{x}:必需元素(关键字/参数)。[x{y|z}]:可选元素中的必填选项。
- 粗体:必须原样输入(如
- 基本格式:
- 帮助功能
- 上下文相关帮助:输入
?可查看当前模式下可用命令;输入命令前缀+?(如cl?)可查看以该前缀开头的命令;输入命令+空格+?(如clock set?)可查看命令支持的参数/关键字。 - 命令语法检查:输入命令后,IOS 会校验语法,若无效则返回错误提示(如
% Invalid input detected at '^' marker.)。
- 上下文相关帮助:输入
-
热键与快捷方式
操作/组合键 功能 向上/向下箭头 滚动命令历史记录(旧/新命令) Ctrl+C放弃当前命令、退出设置模式,返回特权 EXEC 模式 Enter键显示下一行(输出内容过长时) 空格键 显示下一屏(输出内容过长时) Tab自动补全命令/关键字(输入部分字符后按 Tab) Ctrl+Z退出所有配置模式,直接返回特权 EXEC 模式 Ctrl+Shift+6(Ctrl+^)中断 IOS 进程(如 ping、traceroute) Ctrl+A/Ctrl+E光标移至行首/行尾 命令缩写 可缩写为唯一识别的最短字符(如 configure terminal→conf t,enable→en)
-
-
-
基本设备配置(实操核心)
- 配置设备名称
- 命名规则
- 以字母开头,以字母/数字结尾。
- 不含空格,仅允许字母、数字、减号(-)、下划线(_)。
- 长度 ≤ 64 字符。
- 示例:
Sw-Floor-1(3 楼交换机)、R-Branch-Office(分支机构路由器)。
- 配置命令(全局配置模式下)
- 设置名称:
hostname 设备名称(如hostname Sw-Floor-1),配置后提示符会同步更新。 - 恢复默认名称:
no hostname(设备提示符恢复为Switch或Router)。
- 设置名称:
- 命名规则
-
设备访问安全配置(密码与标语)
-
密码配置(核心安全措施)
保护对象 配置步骤(命令流程) 示例命令 备注 特权 EXEC 模式 1. 进入全局配置模式( conf t);2. 输入enable secret 密码(加密存储)Switch(config)#enable secret class密码不回显; enable secret比enable password更安全(加密存储),优先使用控制台端口(带外访问) 1. 全局模式输入 line console 0(进入线路子配置模式);2. 输入password 密码;3. 输入login(启用登录验证)Switch(config)#line console 0Switch(config-line)#password ciscoSwitch(config-line)#loginconsole 0代表第一个(默认唯一)控制台接口;防止物理接入攻击VTY 线路(SSH/Telnet,带内访问) 1. 全局模式输入 line vty 0 15(进入 VTY 子配置模式,支持 16 条线路);2. 输入password 密码;3. 输入login(启用登录验证)Switch(config)#line vty 0 15Switch(config-line)#password ciscoSwitch(config-line)#login需设备配置 IP 地址;推荐用 SSH 替代 Telnet,避免明文传输 -
密码选择原则
- 长度 ≥ 8 字符,组合使用大小写字母、数字、特殊字符。
- 避免统一密码、常用词语(如
cisco、class),教学示例弱密码不可用于生产环境。
- MOTD 标语配置(法律通知)
- 作用:向所有访问设备的用户显示法律提示(如“未授权访问禁止”),用于诉讼举证。
- 配置命令(全局配置模式):
banner motd # 标语内容 #(#为定界符,可替换为其他未在标语中使用的字符)。 - 示例:
Switch(config)#banner motd #This is a secure system. Authorized Access ONLY!!!#。 - 注意:避免使用“欢迎登录”等邀请性词语。
- 配置文件管理(保存/回滚/删除)
-
两种核心配置文件
文件类型 存储位置 特点 查看命令(特权模式) 运行配置(running-config) RAM(随机存取存储器) 实时生效,掉电丢失 show running-config(缩写sh run)启动配置(startup-config) NVRAM(非易失性 RAM) 设备启动时加载,掉电不丢失 show startup-config(缩写sh start) -
配置文件操作命令
操作目的 命令(特权模式) 说明 保存运行配置到启动配置 copy running-config startup-config(缩写copy run start)防止掉电丢失配置,必须执行 回滚配置(未保存运行配置时) 1. copy startup-config running-config(缩写copy start run);2. 或reload(重启设备,自动加载启动配置)放弃当前未保存的更改,恢复到上次保存的状态 删除启动配置(恢复出厂设置) 1. erase startup-config(缩写erase start);2.reload(重启设备)慎用!重启后进入初始配置向导(可按 Ctrl+C中断) -
密码加密
- 问题:默认情况下,配置文件中密码以明文显示,存在安全风险。
- 解决方案:全局配置模式输入
service password-encryption(对所有未加密密码进行弱加密)。 - 注意:加密后不可逆,即使禁用服务(
no service password-encryption),已加密密码仍保持加密状态。
- 地址方案(网络连通基础)
- IP 地址核心概念
- IPv4 地址基础
- 格式:点分十进制(4 个 0-255 的十进制数,如
192.168.1.10)。 - 关联参数:
- 子网掩码:区分网络位与主机位(如
255.255.255.0)。 - 默认网关:主机访问远程网络的路由器 IP(如
192.168.1.1)。 - DNS 服务器:将域名转换为 IP(如
www.cisco.com→对应 IP)。
- 子网掩码:区分网络位与主机位(如
- 格式:点分十进制(4 个 0-255 的十进制数,如
- 需配置 IP 地址的设备
- 终端设备:计算机、网络打印机、VoIP 电话、安全摄像头等。
- 网络设备:路由器接口、交换机 SVI(虚拟接口)(交换机物理端口无 IP 地址)。
- 交换机 SVI 接口(Switch Virtual Interface)
- 定义:软件创建的虚拟接口,无物理硬件关联,用于远程管理交换机。
- 默认 SVI:每台交换机默认存在
VLAN 1接口(需手动配置 IP)。 - 核心作用:通过 SVI 的 IP 地址,可远程访问交换机(SSH/Telnet)。
- IP 地址配置方法
-
终端设备(以 Windows PC 为例)
配置方式 操作步骤 适用场景 手动配置 1. 控制面板→网络共享中心→更改适配器设置;2. 右键网卡→属性→IPv4 属性;3. 输入 IP 地址、子网掩码、默认网关、DNS 服务器 固定 IP 需求(如服务器、网络设备管理) DHCP 自动获取 1. IPv4 属性选择“自动获取 IP 地址”“自动获取 DNS 服务器地址”;2. 无需手动输入参数 普通终端(如办公电脑、手机),需网络中有 DHCP 服务器 配置验证 命令提示符输入 ipconfig(查看 IP、子网掩码、网关等信息)验证配置是否生效 -
交换机 SVI 接口配置(命令流程)
- 进入特权模式:
enable(输入密码)。 - 进入全局配置模式:
configure terminal(conf t)。 - 进入 SVI 接口(默认 VLAN 1):
interface vlan 1。 - 配置 IP 地址和子网掩码:
ip address IP地址 子网掩码(如ip address 192.168.10.2 255.255.255.0)。 - 启用接口:
no shutdown(必需,否则接口处于关闭状态)。 - 保存配置:
copy run start。
- 进入特权模式:
- 路由器接口配置(命令流程)
- 进入特权模式:
enable。 - 进入全局配置模式:
conf t。 - 进入接口(如千兆以太网口 G0/0):
interface g0/0(可缩写int g0/0)。 - 配置 IP 地址和子网掩码:
ip address 192.168.1.1 255.255.255.0。 - 启用接口:
no shutdown。 - 保存配置:
copy run start。
- 进入特权模式:
- IPv6 配置示例
- 接口配置:
ipv6 address 2001:1::1/64(全局单播地址)。 - 本地链路地址:
ipv6 address FE80::1 link-local。 - 连接检验(排障核心)
- 接口配置:
- 接口状态验证(特权模式命令)
- 命令:
show ip interface brief(缩写sh ip int b),查看接口 IP 地址、物理状态(status)、协议状态(protocol)。 - 正常状态:两个状态均为
up(物理层和数据链路层正常)。 - IPv6 接口查看:
show ipv6 interface brief。
- 命令:
-
端到端连接测试
命令 功能 适用场景 示例 ping 测试设备间连通性(基于 ICMP) 验证直接连接或跨网络连接 Windows: ping -4 192.168.1.1(IPv4)、ping -6 2001:1::1(IPv6);IOS:ping 192.168.1.1、ping ipv6 2001:1::1traceroute(IOS)/ tracert(Windows) 跟踪数据包从源到目标的每一跳路径 定位网络连通故障点 Windows: tracert www.zju.edu.cn;IOS:traceroute www.zju.edu.cn(缩写trace) -
命令使用注意
- Windows 中可通过
-4/-6指定 IPv4/IPv6 协议。 - 若
ping无响应,可能是防火墙拦截、接口未启用、路由配置错误等。
- Windows 中可通过
-
- 配置设备名称
-
核心总结
- IOS 核心特性:模式化操作系统,通过 CLI 访问,支持命令缩写、上下文帮助,核心模式分层明确,配置需在对应模式下执行。
- 设备配置共性:交换机与路由器的初始配置步骤一致(命名、密码、保存配置),差异在于接口配置(交换机 SVI vs 路由器物理接口)。
-
关键操作原则:
- 配置后必须保存(
copy run start),否则掉电丢失。 - 接口配置后需启用(
no shutdown),否则无法生效。 - 带内访问优先使用 SSH,避免 Telnet 明文传输。
- 密码需符合安全规范,配置文件需加密(
service password-encryption)。
- 配置后必须保存(
-
排障思路:先验证接口状态(
sh ip int b),再测试连通性(ping),最后跟踪路径(traceroute)。