CISCO-IOS中文命令手册

CiscoIOSCookbook中文精简版V1.6版原著KevinDooley和IanJ.Brown翻译NeoShi

目录第一章、 路由器配置和文件管理 121.1. 通过TFTP来配置路由器 121.2. 保存路由器配置到服务器 121.3. 使用远端配置文件启动路由器 121.4. 保存大于NVRAM大小的配置文件 131.5. 清除启动配置文件 131.6. 加载新的IOS镜像 131.7. 以另一个IOS镜像文件启动 141.8. 通过网络启动 141.9. 拷贝IOS镜像文件到服务器 151.10. 通过控制台口拷贝IOS镜像文件 151.11. 删除FLASH中的文件 161.12. 对FLASH进行分区 161.13. 配置路由器为TFTP服务器 161.14. 在路由器上使用FTP 171.15. 热重启 171.16. 热升级 171.17. 配置存档特性 181.18. 路由器配置锁定 18第二章、 路由器管理 191.1. 创建命令别名 191.2. 管理路由器ARP缓存 191.3. BUFFER调整 191.4. 自动调整路由器BUFFER 201.5. 使用CDP协议 201.6. 禁止CDP协议 211.7. 小服务的开启 211.8. 启用路由器HTTP访问 211.9. 启用路由器安全HTTPS访问 221.10. 使用静态主机名映射 221.11. 启用DNS服务 221.12. 禁用域名解析 221.13. 配置路由器特定时间重启 231.14. 定时执行配置命令 231.15. 显示路由器CPU利用率的历史数据 241.16. 生成意外导出文件（EXCEPTIONDUMPFILES） 25第三章、 用户访问和权限管理 251.1. 设置用户名和密码 251.2. 加密密码 261.3. 使用更高强度加密技术 261.4. 移去配置文件中的密码信息 271.5. 解密思科的弱密码 271.6. 当前登录用户 271.7. 发信息给其它用户 271.8. 修改可用VTY数目 271.9. 修改VTY的超时时长 281.10. 限制用户登录可以使用的协议 281.11. 配置用户登录可用总时长 281.12. 部署BANNERS 291.13. 在特定端口禁用BANNERS显示 291.14. 禁用LINE登录 301.15. 为管理员保留特定的登录端口 301.16. 限制特定地址的TELNET登录 311.17. 对TELNET访问进行日志记录 311.18. 设置发起TELNET的源地址 321.19. 自动登录 321.20. 使用SSH登录 321.21. 改变IOS命令的特权等级 321.22. 基于用户的特权等级 331.23. 基于端口的特权等级 33第四章、 TACAS+ 341.1. 用户登录集中鉴权 341.2. 限制特定命令的执行权限 341.3. TACACS+服务器无法访问 341.4. 在特定端口禁用TACACS+鉴权 351.5. 记录用户行为 351.6. 记录系统事件 351.7. 设置TACACS+消息的源地址 361.8. TACACS+服务器配置文件样本 36第五章、 IP路由 361.1. 查找路由条目 361.2. 查找特定类型的路由条目 371.3. 各种掩码的转换 371.4. 使用静态路由 371.5. 浮动静态路由 381.6. 基于源地址的策略路由 381.7. 基于应用的策略路由 391.8. 策略路由检查 401.9. 改变管理距离 401.10. 相同代价值的多路径路由 411.11. 配置静态路由的追踪 421.12. 路由表变动统计 42第六章、 RIP 431.1. 配置RIP（V1） 431.2. RIP中的路由过滤 441.3. 再发布静态路由至RIP 441.4. 使用ROUTEMAPS进行路由再发布 451.5. 在RIP中宣告缺省路由 451.6. 在特定接口禁用RIP 461.7. 缺省被动接口 461.8. RIP更新使用单播包 471.9. 对路由应用OFFSETS 471.10. 定时器调整 471.11. 增大路由更新数据包发送延迟 481.12. 启用非周期性更新 481.13. 增大RIP的输入队列 481.14. 配置RIP（V2） 481.15. 启用RIP认证 491.16. 配置RIP路由汇总 491.17. 路由标签 50第七章、 EIGRP 501.1. 配置EIGRP 501.2. 路由过滤 511.3. 再发布路由到EIGRP 521.4. 使用ROUTEMAP方式来配置再发布 521.5. 特定接口禁止EIGRP 531.6. 调整EIGRP度量值 531.7. 定时器调整 531.8. 启用EIGRP认证 541.9. 配置EIGRP路由汇总 551.10. 记录邻居状态变化 551.11. 限制EIGRP路由更新占用带宽 551.12. EIGRPSTUB路由 561.13. 路由标签 561.14. 查看EIGRP状态 56第八章、 OSPF 581.1. 配置OSPF 581.2. 路由过滤 581.3. 调整OSPF代价(cost)值 591.4. 宣告缺省路由到OSPF 601.5. 再发布静态路由到OSPF 601.6. 再发布外部路由到OSPF 611.7. DR选举 611.8. 设置OSPFRID 611.9. 启用OSPF认证 621.10. 选择合适的区域类型 621.11. 在拨号接口上配置OSPF 631.12. 路由汇总 641.13. 在特定端口禁用OSPF 651.14. 修改接口的网络类型 651.15. 路由标签 661.16. 记录OSPF邻居状态变化 661.17. OSPF定时器 671.18. 减少OSPF协议流量 671.19. OSPF虚拟链路 671.20. 使用域名查看OSPF状态 681.21. OSPF排错 68第九章、 BGP 681.1. 配置BGP 681.2. 使用EBGPMULTIHOP 691.3. 调整NEXT-HOP属性值 701.4. 连接两个ISPS 701.5. 两台路由器分别连接两个ISP 711.6. 限制向BGP对端的网络宣告 721.7. 调整LOCALPREFERENCE属性值 731.8. 负载均衡 741.9. 在ASPATH属性值中清除私有ASNS 741.10. 基于ASPATH属性值的路由过滤 741.11. 减少接收到的路由表大小 751.12. 出方向路由信息汇总 751.13. 在ASPATH属性值中添加更多ASN 761.14. 再发布路由到BGP 761.15. 使用PEERGROUPS 771.16. BGP邻居认证 781.17. 使用BGPCOMMUNITIES 781.18. 使用BGP路由反射器 791.19. 汇总实验 81第十章、 帧中继 831.1. 使用点对点子接口的方式配置帧中继 831.2. 调整LMI选项 841.3. 使用MAP命令配置 841.4. 使用多点子接口 851.5. 配置帧中继SVCS 851.6. 模拟帧中继云 871.7. 子接口配置下的帧中继压缩 871.8. MAP命令下的帧中继压缩 881.9. 帧中继承载PPP 881.10. 查看帧中继状态 891.11. FASTSWITCHING和CEF 89第十一章、 队列和拥塞 901.1. 设置DSCP或者TOS位 901.2. 使用优先级队列(PRIORITYQUEUING) 911.3. 使用自定义队列（CUSTOMQUEUING） 911.4. 自定义队列混和优先级队列 921.5. 使用加权公平队列（WEIGHTEDFAIRQUEUING） 931.6. 使用基于类的加权公平队列（USINGCLASS-BASEDWEIGHTEDFAIRQUEUING） 931.7. 使用NBAR 941.8. 使用WRED来控制拥塞 951.9. 使用RSVP 961.10. 手动RSVP预留 961.11. 聚合RSVP的预留（AGGREGATINGRSVPRESERVATIONS） 971.12. 配置一般流量整形（GENERICTRAFFICSHAPING） 981.13. 配置帧中继流量整形 991.14. 配置承诺接入速率 991.15. 部署基于标准的PHB（PER-HOPBEHAVIOR） 1001.16. AUTOQOS 1021.17. 查看队列参数 103第十二章、 隧道和VPN 1031.1. 创建TUNNEL 1031.2. 他协议隧道至IP 1041.3. 隧道和动态路由协议 1051.4. 查看隧道状态 1061.5. 在GRE隧道中创建一个加密的路由器到路由器的VPN 1061.6. 在两个路由器的LAN接口之间创建加密VPN 1091.7. 生成RSA密匙 1101.8. 使用RSA密匙创建路由器到路由器的VPN 1121.9. 创建主机到路由器的VPN 1151.10. 创建SSLVPN 1161.11. 查看IPSEC协议状态 117第十三章、 拨号备份 1171.1. 自动拨号备份 1171.2. 使用拨号接口 1191.3. 在AUX端口使用异步MODEM 1211.4. 使用备份接口 1221.5. 使用DIALERWATCH 1221.6. 使用VIRTUALTEMPLATES 1231.7. 确保断线正常 1241.8. 查看拨号备份状态 1251.9. 拨号备份排错 125第十四章、 NTP和时间 1251.1. 路由器日志显示时间戳 1251.2. 设置时间 1251.3. 设置时区 1261.4. 夏时制调整 1261.5. 时钟同步(NTP) 1261.6. 配置NTP冗余 1271.7. 设置路由器为网络NTP服务器 1271.8. 调整NTP同步周期 1271.9. NTP发送周期性广播包保持更新 1281.10. 14.10.NTP发送周期性组播包保持更新 1281.11. 基于接口开启NTP 1291.12. NTP认证 1301.13. 限制NTPPEERS数目 1301.14. 限制PEERS 1301.15. 设定时钟周期 1311.16. 检查NTP状态 1311.17. NTP排错 1311.18. NTP日志 132第十五章、 路由器接口 1321.1. 查看接口状态 1321.2. 配置串行接口 1331.3. 使用内置T1CSU/DSU 1331.4. 使用内置ISDNPRI模块 1341.5. 使用内置56KBPSCSU/DSU 1341.6. 配置异步串行接口 1341.7. 配置ATM子接口 1351.8. 设置有效载荷绕码（PAYLOADSCRAMBLING） 1361.9. 传统的ATM承载IP（CLASSICALIPOVERATM） 1361.10. 配置以太网接口特性 1381.11. 配置令牌环接口特性 1381.12. 使用ISL协议配置VLANTRUNKS 1381.13. 使用802.1Q协议配置VLANTRUNKS 1391.14. LPD打印机支持 140第十六章、 SNMP 1401.1. 配置SNMP 1401.2. 为SNMP访问配置一些路由器重要信息 1411.3. 使用控制列表来限制SNMP访问 1411.4. 记录非授权的SNMP尝试 1421.5. 限制MIB访问 1431.6. 使用SNMP来修改路由器当前配置 1441.7. 使用SNMP来升级IOS 1441.8. 避免非授权的配置修改 1451.9. 保持接口表名的永久性 1461.10. 启用SNMPTRAPS和INFORMS 1461.11. 以SNMPTRAP的形式发送SYSLOG 1471.12. 设定SNMP包大小 1481.13. 设定SNMP队列大小 1481.14. 设定SNMP超时时长 1481.15. 禁止端口的UP/DOWNTRAPS 1481.16. 设定SNMPTRAPS的源发送地址 1491.17. 使用RMON来发送TRAPS 1491.18. 启用SNMPV3 1501.19. 高强度SNMPV3加密 1511.20. 使用SAA 151第十七章、 日志 1521.1. 启用本地路由器日志 1521.2. 设定日志记录大小 1531.3. 清除路由器日志记录 1531.4. 发送日志到屏幕显示 1531.5. 使用远端日志服务器 1531.6. UNIX服务器上启用SYSLOG服务 1541.7. 修改缺省LOGFACILITY 1541.8. 限制特定日志记录发送至服务器 1541.9. 设定SYSLOG消息的源地址 1551.10. 避免常见的消息被记录 1551.11. 日志记录的流量控制 1551.12. 启用日志统计 1561.13. 生成XML格式的日志记录 1561.14. 修改日志记录 156第十八章、 访问列表 1571.1. 基于源或者目的地址过滤 1571.2. 给ACL添加注释 1581.3. 基于应用过滤 1581.4. 基于TCP头标签过滤 1591.5. 限制TCP会话的方向 1591.6. 基于多端口应用的过滤 1601.7. 基于DSCP和TOS的过滤 1601.8. 记录触发的控制列表 1601.9. 记录TCP会话 1611.10. 使用命名和单反控制列表 1621.11. 处理被动模式FTP 1631.12. 使用基于时间的控制列表 1631.13. 基于非连续端口的过滤 1641.14. 控制列表编辑 1641.15. 基于IPV6过滤 165第十九章、 DHCP 1651.1. 使用IPHELPERADDRESSES命令 1651.2. 限制IPHELPERADDRESSES命令的影响 1661.3. 使用DHCP来动态配置路由器IP地址 1661.4. 通过DHCP来对客户端进行动态IP地址分配 1671.5. 配置DHCP的配置选项 1671.6. 配置DHCP的分配时长 1681.7. 分配静态IP地址 1681.8. 配置一个DHCP数据库客户端 1681.9. 在同一子网配置多个DHCP服务器 1691.10. DHCP静态映射 1701.11. 安全DHCPIP地址指派 1711.12. 显示DHCP状态 1711.13. DHCP排错 172第二十章、 NAT 1721.1. 配置基本NAT功能 1721.2. 动态转化为外部地址 1731.3. 静态转化为外部地址 1731.4. 地址静态和动态翻译结合 1741.5. 使用ROUTEMAPS来进行翻译规则控制 1751.6. 同时两个方向地址翻译 1751.7. 网络前缀重写 1761.8. 使用NAT来进行服务器负荷分担 1761.9. 基于状态的NAT切换 1771.10. 调整NAT时长 1781.11. 修改FTP的TCP端口 1791.12. 检查NAT状态 1791.13. NAT排错 180第二十一章、 冗余协议 1801.1. 配置基本HSRP 1801.2. 使用HSRP强占特性 1811.3. 配置HSRP对接口问题追踪的支持 1811.4. HSRP负载均衡 1821.5. HSRP中ICMP重定向 1831.6. 调整HSRP定时器 1831.7. 在令牌环网络中使用HSRP 1831.8. 配置HSRP的SNMP支持 1841.9. 增加HSRP的安全性 1841.10. 显示HSRP状态信息 1851.11. HSRP排错 1851.12. 启用HSRP版本2 1861.13. VRRP 1861.14. GLBP 187第二十二章、 IP组播 1871.1. 配置PIM-DM下的组播 1871.2. 配置PIM-SM和BSR下的组播路由 1881.3. 配置PIM-SM和AUTO-RP下的组播路由 1891.4. 过滤PIM邻居 1901.5. 低频度组播包应用的支持 1911.6. 在FRAMERELAY或者ATM网络中使用组播 1911.7. 配置CGMP 1921.8. 使用IGMP版本3 1921.9. 静态组播路由和组成员 1931.10. 启用DVMRP来进行组播路由 1931.11. DVMRP隧道 1941.12. 配置双向PIM（CONFIGURINGBIDIRECTIONALPIM） 1941.13. 使用TTL来控制组播范围 1951.14. 使用ADMINISTRATIVELYSCOPEDADDRESSING来控制组播范围 1951.15. 使用MBGP来交换组播路由信息 1961.16. 使用MSDP来发现外部源 1971.17. 配置ANYCASTRP 1981.18. 转化广播为组播 1981.19. 显示组播状态信息 1991.20. 组播路由排错 200第二十三章、 移动IP 2001.1. 本地移动性（LOCALAREAMOBILITY） 2001.2. 归属地代理（HOMEAGENT）配置 2021.3. 访问地代理（FOREIGNAGENT）配置 2031.4. 配置路由器成为移动终端 2031.5. 反向隧道转发（REVERSE-TUNNELFORWARDING） 2041.6. 配置归属地代理HSRP支持来增加冗余性 205第二十四章、 IPV6 2061.1. 自动配置接口IPV6地址 2061.2. 手动配置接口IPV6地址 2071.3. 配置IPV6DHCP服务 2081.4. 配置RIP的IPV6版本 2091.5. 修改RIP的缺省参数 2101.6. RIP中IPV6路由的过滤和度量值的修改 2111.7. 配置OSPF的IPV6版本 2121.8. OSPF中IPV6路由过滤和度量值修改 2131.9. 路由重分布 2131.10. 配置MBGP 2141.11. 在现有IPV4网络中传递IPV6数据 2151.12. IPV6和IPV4之间转化 216第二十五章、 MPLS 2171.1. 配置基本的MPLSP路由器 2171.2. 配置基本的MPLSPE路由器 2181.3. 配置基本的MPLSCE路由器 2221.4. ATM承载MPLS 2231.5. PE-CE之间运行RIP 2251.6. PE-CE之间运行OSPF 2251.7. PE-CE之间运行EIGRP 2271.8. PE-CE之间运行BGP 2281.9. MPLS上的QOS 2291.10. AUTOROUTE和MPLS流量工程 2311.11. MPLS上的组播 2351.12. 服务商不能我能 238第二十六章、 安全 2391.1. 使用AUTOSECURE 2391.2. 使用基于上下文的控制列表（CONTEXT-BASEDACCESS-LISTS） 2411.3. 透明IOS防火墙 2421.4. 防止拒绝服务攻击 2431.5. 在非标准端口检查应用 2441.6. 入侵监测和预防 2441.7. 登录密码重试锁定 2451.8. 认证代理（AUTHENTICATIONPROXY） 245

路由器配置和文件管理通过TFTP来配置路由器提问使用TFTP来加载路由器的配置文件回答Router1#copytftp:///NEWCONFIGrunning-configDestinationfilename[running-config]?<enter>LoadingNEWCONFIGfrom(viaFastEthernet0/0.1):![OK-24bytes]24bytescopiedin0.192secs(125bytes/sec)Router1#注释IOS12.0版本以前使用configurenetwork命令，另外拷贝至路由器的配置文件应该以End结尾，否则会出现下面的错误提示信息：%PARSER-4-BADCFG:Unexpectedendofconfigurationfile.保存路由器配置到服务器提问保存路由器当前配置文件到TFTP服务器作为备份回答Freebsd%touch/tftpboot/router1-confgFreebsd%chmod666/tftpboot/router1-confgFreebsd%telnetRouter1Trying...ConnectedtoRouter1.Escapecharacteris'^]'.UserAccessVerificationPassword:<vtypassword>Router1>enablePassword:<enablepassword>Router1#copyrunning-configtftp://Addressornameofremotehost[]?<enter>Destinationfilename[router1-confg]?<enter>!!!9640bytescopiedin3.956secs(2437bytes/sec)Router1#注释确保TFTP服务器上的目录和文件可写使用远端配置文件启动路由器提问使用另外的配置文件来启动路由器回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#serviceconfigRouter1(config)#bootnetworktftpRouter1(config)#boothosttftpRouter1(config)#endRouter1#注释serviceconfig缺省是关闭的，如果打开后缺省会去查找的文件名为network-config,cisconet.cfg,router1-confg,router1.cfg等保存大于NVRAM大小的配置文件提问配置文件过大，超过了可用的NVRAM大小回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#servicecompress-configRouter1(config)#endRouter1#注释可以使用showstartup-config来验证Router1#showstartup-configUsing5068outof29688bytes,uncompressedsize=9969bytesUncompressedconfigurationfrom5068bytesto9969bytes清除启动配置文件提问清除配置文件恢复到出厂设置回答Router1#erasenvram:（erasestartup-config）Erasingthenvramfilesystemwillremoveallfiles!Continue?[confirm]<enter>[OK]Eraseofnvram:completeRouter1#reloadSystemconfigurationhasbeenmodified.Save?[yes/no]:noProceedwithreload?[confirm]<enter>注释无加载新的IOS镜像提问升级当前的IOS回答Router1#copytftp://-12a.binflash:-12a.bin]?<enter>-12a.bin...Eraseflash:beforecopying?[confirm]<enter>Erasingtheflashfilesystemwillremoveallfiles!Continue?[confirm]<enter>Erasingdevice...eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee...erasedEraseofflash:complete-12a.binfrom(viaFastEthernet0/0.1):!!!!!!!!!!!!!![OK-11135588bytes]Verifyingchecksum...OK(0xE643)11135588bytescopiedin82.236secs(135410bytes/sec)Router1#reloadProceedwithreload?[confirm]<enter>以另一个IOS镜像文件启动提问使用其它的IOS镜像启动回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#bootsystem-7a.binRouter1(config)#bootsystemRouter1(config)#bootsystemRouter1(config)#bootsystemromRouter1(config)#end注释bootsystem命令的顺序非常重要，如果使用新的IOS，建议先进行nobootsystem的操作。从IOS12.3(4)T后思科引入了bootmarkers的概念，所有的bootsystme命令都会放在bootmarkers之间，比如：Router1#showrunning-config|include^bootboot-start-markerbootsystemflash:boot-end-markerRouter1#通过网络启动提问IOS太大本地Flash无法保存，使用保存在网络上的IOS启动回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#bootsystemtftp-7aRouter1(config)#bootsystemflashRouter1(config)#endRouter1#注释无拷贝IOS镜像文件到服务器提问保存一份IOS到TFTP服务器作为备份回答Freebsd%touch-12a.binFreebsd%chmod666-12a.binFreebsd%telnetRouter1Trying...ConnectedtoRouter1.Escapecharacteris'^]'.UserAccessVerificationPassword:<vtypassword>Router1>enablePassword:<enablepassword>Router1#copyflash:-12a.bintftpAddressornameofremotehost[]?-12a.bin]?<enter>!!!!!!11135588bytescopiedin52.588secs(211752bytes/sec)Router1#注释无通过控制台口拷贝IOS镜像文件提问通过控制台口和AUX端口来加载IOS回答Router1#copyxmodem:slot1:****WARNING****x/ymodemisaslowtransferprotocollimitedtothecurrentspeedsettingsoftheauxiliary/consoleports.Theuseoftheauxilaryportforthisdownloadisstronglyrecommended.Duringthecourseofthedownloadnoexecinput/outputwillbeavailable.*******Proceed?[confirm]<enter>Destinationfilename[]?-12a.binEraseslot1:beforecopying?[confirm]<enter>Usecrcblockchecksumming?[confirm]<enter>MaxRetryCount[10]:<enter>Performimagevalidationchecks?[confirm]<enter>XmodemdownloadusingcrcchecksummingwithimagevalidationContinue?[confirm]<enter>ReadytoreceivefileCC<startxmodemfiletransferhere>Router1#注释思科建议使用AUX口进行此步骤，因为AUX口支持硬件流控。为了提高拷贝速度，建议提前使用下述命令来设置端口速度Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#lineaux0Router1(config-line)#speed115200Router1(config-line)#endRouter1#删除FLASH中的文件提问删除Flash中的文件回答Router1#eraseslot1:Erasingtheslot1filesystemwillremoveallfiles!Continue?[confirm]<enter>Erasingdevice...eeeeeeeeeeee...erasedEraseofslot1:completeRouter1#或者删除单个文件Router1#deleteDeletefilename[c3620-ik9s-mz.122-13.bin]?<enter>Deleteslot1:c3620-ik9s-mz.122-13.bin?[confirm]<enter>Router1#注释并不是所有的路由器都支持erase命令，不行的话可以尝试format命令，有些路由器在使用delete命令以后还可以使用undelete来恢复，同时也需要使用squeeze来彻底删除文件对FLASH进行分区提问对Flash进行分区回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#partitionslot1:288Router1(config)#endRouter1#注释如果erase不支持也可以试试partition命令配置路由器为TFTP服务器提问配置路由器为TFTP服务器回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#tftp-server-12a.binRouter1(config)#endRouter1#注释使用此命令并不能把路由器配置为全功能的TFTP服务器，此服务器只能用于文件下载，而不能进行上传在路由器上使用FTP提问在路由器上使用FTP来进行文件的下载回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#ipftpusernameneoshiRouter1(config)#ipftppasswordioscookbookRouter1(config)#endRouter1#copyftp:running-configAddressornameofremotehost[]?Sourcefilename[]?testDestinationfilename[running-config]?<enter>Loading/test[OK-24/4096bytes]24bytescopiedin0.276secs(87bytes/sec)Router1#当然也可以使用下面的简化命令copy：-10a.binslot1:注释如果没有指定用户名和密码，路由器缺省会使用匿名登录热重启提问重启路由器而对业务影响减少到最低回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#warm-rebootRouter1(config)#endRouter1#注释要使用热启动必须先冷启动一次…无语了吧哈哈。此特性开始于（2）T，根据实验冷启动要比热启动慢4分钟。可以使用reloadwarm命令进行人工的热重启热升级提问升级路由器IOS而对业务影响最小回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#warm-rebootRouter1(config)#endRouter1#reloadwarmfile注释12.3(11)T开始支持此特性配置存档特性提问自动对路由器配置进行存档回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#archiveRouter1(config-archive)#pathslot0:/configs/$hRouter1(config-archive)#write-memoryRouter1(config-archive)#time-period1440Router1(config-archive)#endRouter1#注释从12.3(4)T开始思科引入配置存档特性，每次使用wr对配置进行保存的时候都会在路由器上生成一个存档配置文件，当然也可以像示例那样每1440分钟保存一次，使用showarchive命令来显示当前的配置存档，缺省保存14个文件，并且提供了配置比较命令showarchiveconfigdifferencesslot0:/configs/Router1-1更提供了配置回滚的命令configurereplaceslot0:/configs/Router1-1方便的回滚到以前的配置。对于保存的配置文件名可以$h来代表设备主机名$t来代表时间路由器配置锁定提问防止多个用户同时对路由器配置文件进行修改回答自动进行配置锁定Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#configurationmodeexclusiveautoRouter1(config)#endRouter1#按需进行配置锁定Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#configurationmodeexclusivemanualRouter1(config)#endRouter1#注释12.3(14)T引入了此特性防止多个用户同时对路由器配置进行修改，在配置为auto的模式下，如果有用户进入了配置模式就自动对配置进行锁定，在manual模式下可以使用configureterminallock进行配置锁定，可以使用showconfigurationlock来查看当前的配置锁定信息，如果你确实需要进行配置，就把看到锁定的人踢掉吧。。路由器管理创建命令别名提问为常用的命令创建简洁的别名回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#aliasexecrtshowiprouteRouter1(config)#aliasexeconshowipospfneighborRouter1(config)#endRouter1#注释showaliases命令可以输出当前配置的别名管理路由器ARP缓存提问修改ARP表条目超时时长回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#interfaceEthernet0Router1(config-if)#arptimeout600Router1(config-if)#endRouter1#注释缺省情况为4个小时，同时思科没有提供命令能单独的清除某个ARP缓存，只能通过cleararp命令来清除整个ARP表BUFFER调整提问手动调整路由器Buffer分配来使其工作的更高效回答路由器维护两个Buffer池，publicbuffers和interfacebuffers调整publicbuffersRouter1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#buffersbiginitial100Router1(config)#buffersbigmax-free200Router1(config)#buffersbigmin-free50Router1(config)#buffersbigpermanent50Router1(config)#endRouter1#调整interfacebuffersRouter1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#buffersEthernet0initial200Router1(config)#buffersEthernet0max-free300Router1(config)#buffersEthernet0min-free50Router1(config)#buffersEthernet0permanent50Router1(config)#endRouter1#注释一般不建议修改，如果修改，建议首先使用showbuffers命令来查看当前buffer使用情况，调整完以后建议使用showmemory来查看内存使用情况自动调整路由器BUFFER提问希望路由器根据自己的情况自动进行buffer分配调整回答Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#bufferstuneautomaticRouter(config)#endRouter#注释此命令引自IOS12.3(14)T，使用showbufferstune命令来查看自动调整情况使用CDP协议提问希望获的相连网络设备的信息回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#cdprunRouter1(config)#interfaceSerial0/0Router1(config-if)#cdpenableRouter1(config-if)#exitRouter1(config)#interfaceFastEthernet0/0Router1(config-if)#nocdpenableRouter1(config-if)#exitRouter1(config)#interfaceFastEthernet1/0Router1(config-if)#cdpenableRouter1(config-if)#endRouter1#注释CDP(CiscoDiscoveryProtocol)是思科专有的协议，用于发现相连的思科设备，帮助了解网络拓朴，缺省是启用的，使用showcdpneighbordetail命令可以查看相连设备的详细信息禁止CDP协议提问为了安全原因不想让邻近设备发现自己设备的信息回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#cdprunRouter1(config)#interfaceFastEthernet0/0Router1(config-if)#nocdpenableRouter1(config-if)#endRouter1#注释为了安全可以在边界设备上禁止CDP小服务的开启提问开启或者禁用一些类似finger的小服务回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#servicetcp-small-servers（noservicetcp-small-servers）Router1(config)#serviceudp-small-servers(nosercieudp-small-servers)Router1(config)#endRouter1#Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#ipfinger(noipfinger)Router1#注释tcp和udp的小服务指开启路由器的echo,discard,daytime和chargen服务，为了安全都建议将其关闭启用路由器HTTP访问提问通过浏览器来配置和管理路由器回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#access-list75permitRouter1(config)#access-list75denyanyRouter1(config)#iphttpserverRouter1(config)#iphttpaccess-class75Router1(config)#endRouter1#注释由于IOS12.1(5)之前存在HTTP访问的高危漏洞，所以如果你的IOS版本小于此版本建议不要开启此服务启用路由器安全HTTPS访问提问通过加密的方式HTTP访问路由器回答Core#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Core(config)#iphttpsecure-serverCore(config)#endCore#注释IOS12.2(14)S之后引入此特性，建议先用noiphttpserver命令关闭非加密的HTTP访问，然后开启安全的访问，同时可以使用iphttpsecure-port8080命令来更改访问端口使用静态主机名映射提问在路由器上配置静态的主机映射表，从而使用主机名而不是IP地址来访问设备回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#iphostRouter1(config)#iphostrouter2Router1(config)#endRouter1#注释可以对一个主机名映射很多IP地址来提供冗余访问，showhosts命令来验证启用DNS服务提问路由器使用DNS服务器来解析主机名回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#ipdomain-lookupRouter1(config)#ipdomain-nameRouter1(config)#ipname-serverRouter1(config)#ipname-server.5Router1(config)#endRouter1#注释从IOS12.2开始，思科使用了ipdomainlookup.来代替ipdomain-lookup类似的ipdomain-name被ipdomainname代替禁用域名解析提问禁用域名解析，防止路由器自动对打错的命令的进行DNS查询回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#noipdomain-lookupRouter1(config)#endRouter1#如果需要启用DNS查询主机名，但是又为了避免打错命令查询的情况可以使用如下的变通方法Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#linevty04Router1(config-line)#transportpreferrednoneRouter1(config-line)#endRouter1#注释对后一个命令的稍微解释一下，正常情况下都知道可以直接使用主机名回车路由器会认为是telnet到此设备，可以省略掉telnet的命令，原因是因为transportpreferred缺省是telnet，如果配置为none就必须使用telnet命令来进行设备登录，命令打错也不会出现地址解析的问题了。配置路由器特定时间重启提问需要路由器在特定时间自动重启回答Router1#reloadin20Reloadscheduledfor11:33:53ESTSatFeb12003(in20minutes)Proceedwithreload?[confirm]<enter>Router1#Router1#reloadat14:00Feb2Reloadscheduledfor14:00:00ESTSunFeb22003(in26hoursand44minutes)Proceedwithreload?[confirm]<enter>Router1#注释很有用的命令，当你在对路由器配置进行修改前可以先行输入此命令，然后进行修改但是不保存配置，这样可以防止把自己锁在路由器之外。可以使用reloadcancel命令来取消定时重启定时执行配置命令提问周期性的定时执行某个命令回答Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#kronpolicy-listNEOSHIRouter(config-kron-policy)#cliwritememoryRouter(config-kron-policy)#exitRouter(config)#kronoccurrenceDAILYat5at17:00recurringRouter(config-kron-occurrence)#policy-listNEOSHIRouter(config-kron-occurrence)#endRouter#注释从IOS12.3(1)开始引入了这个类似UnixCron的特性，不过也有一些缺点，只能运行EXEC模式下的命令，不能运行配置模式下的命令，同时输入的命令不能是交互性的，比如不能输入copyrunning-configstartup-config来保存配置，因为是需要确认的，必须使用writememory来代替显示路由器CPU利用率的历史数据提问显示历史的路由器CPU利用率回答Router#showprocessescpuhistoryRouter03:48:18PMMondayApr172006EDT5555599999999999999995444449999999999999999100******************90******************80******************70******************60******************50***********************40***********************30***********************20***********************10************************0511223344550505050505CPU%persecond(last60seconds)991999999149999100*****#*#90****##*#80#**###*#70#**###*#60#**###*#50#**#####40#**#####30#*######20########10##*######0511223344550505050505CPU%perminute(last60minutes)*=maximumCPU%#=averageCPU%……………….（由于显示问题省去此图）.CPU%perhour(last72hours)*=maximumCPU%#=averageCPU%注释从IOS12.2(2)T以后思科为showprocesscpu命令增加了history的选项，这样可以看到最长3天的CPU利用率，而以前最多可以看到5分钟的。输出图很不容易看懂，简单的说最左边是最新的数据，然后历史数据会向右移，在每分钟和每小时的会有峰值和平均值，峰值为现在每列的上端，不过是竖着排列的。生成意外导出文件（EXCEPTIONDUMPFILES）提问在路由器发生意外当机的情况下生成导出文件发给TAC进行处理回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#ipftpsource-interfaceLoopback0Router1(config)#ipftpusernameijbrownRouter1(config)#ipftppasswordijpasswordRouter1(config)#exceptionprotocolftpRouter1(config)#exceptionregion-size65536Router1(config)#exceptiondumpRouter1(config)#endRouter1#注释缺省情况下路由器会使用tftp命令进行传送，不过TFTP有16M的限制所以建议换为FTP协议。另外为了防止当机导致文件不能生成，所以使用了exceptionregion-size65536来提前保留部分内存给该命令使用。可以先使用writecore命令来提前实验下生成此文件用户访问和权限管理设置用户名和密码提问为每个单独的人员设置不同的用户名和密码回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#usernameneoshipasswordioscookbook（usernameweaknopassword）Router1(config)#aaanew-modelRouter1(config)#aaaauthenticationloginlocal_authlocalRouter1(config)#linevty04Router1(config-line)#loginauthenticationlocal_authRouter1(config-line)#exitRouter1(config)#endRouter1#注释设置单独的用户名和密码的好处就不用多说了，这里只提一个就是在日志中会显示谁做了修改，比如%SYS-5-RELOAD:Reloadrequestedbykdooleyonvty0().另外在username这个命令里面还有一个autocommand的选项，实现登录以后自动执行某个特定的命令的作用，下面的例子就是一个用户名为run无密码，登录以后显示完端口状态就自动退出的例子，很好用吧Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#aaanew-modelRouter1(config)#aaaauthenticationlogindefaultlocalRouter1(config)#aaaauthorizationexecdefaultlocalRouter1(config)#usernamerunnopasswordnoescapeRouter1(config)#usernamerunautocommandshowipinterfacebriefRouter1(config)#endRouter1#加密密码提问加密密码从而在配置文件中不明文显示回答CiscoIOSCookBook中文精简版RouteToTheFuture章:第三章用户访问和权限管理48Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#enablepasswordoreillyRouter1(config)#linevty04Router1(config-line)#passwordcookbookRouter1(config-line)#linecon0Router1(config-line)#passwordcookbookRouter1(config-line)#lineaux0Router1(config-line)#passwordcookbookRouter1(config-line)#exitRouter1(config)#servicepassword-encryptionRouter1(config)#endRouter1#注释这种加密方式很弱，很容易被破解使用更高强度加密技术提问使用强度高的加密方式而不是思科缺省的加密技术回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#enablesecretORAbooksRouter1(config)#endRouter1#在IOS12.2(8)T后也可以对username的密码做高强度的加密Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#usernameijbrownsecretoreillyRouter(config)#endRouter#注释由于这种加密方式使用的是MD5所以破解难度相对增大了。对于enablesecret的密码有个小技巧就是密码设定正常没有？，不过可以通过^V＋？的方式来输入。移去配置文件中的密码信息提问不想在配置文件中显示密码回答使用脚本略去注释简单的用showtech命令也可以解密思科的弱密码提问破解思科缺省的密码算法回答使用脚本略去注释可以使用BOSON网站上的免费工具当前登录用户提问显示当前登录设备的用户回答Router1#showusers（who）注释无发信息给其它用户提问试图发送信息给登录在同一设备的其它用户回答Router1#send*Router1#sendconsole0Router1#sendvty2Router1#send66注释很好用的特性，比如当你重启的时候需要告诉别人，文本信息^＋Z结束修改可用VTY数目提问增加或者减少可登录用户的数目回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#linevty09Router1(config-line)#exitRouter1(config)#endRouter1#注释缺省可登录vty数目为5，不能删除，对于增加的可以使用nolinevtyx删除，不能不能删除单独的vty，是删除所有大于x的vty修改VTY的超时时长提问修改超时时长避免用户登录超时被系统断开回答Router1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#linevty04Router1(config-line)#exec-timeout00（exec-timeout2400）Router1(config-line)#exitRouter1(config)#endRouter1#注释缺省用户10分钟空闲就会被踢掉系统，00可以用不超时，第一个0是分钟，第二个0是秒。同时