一、Cicso IOS简介

每台计算机需要有操作系统才能工作，包括基于计算机的交换机、路由器、接入点和防火墙等网络设备。这些网络设备使用的操作系统称为网络操作系统。网络操作系统软件使设备硬件能工作并为用户提供交互界面。学习在思科路由器和交换机上配置 Cisco Internetwork Operating System (IOS) 操作系统是思科CCNA课程学习很大一部分

Cisco IOS 是思科的交换机和路由器等设备使用的网络操作系统的通用术语。大多数思科网络设备，无论其大小和种类如何，都离不开 Cisco IOS。

二、IOS训练营

1、Cisco IOS

所有终端设备和网络设备都需要操作系统 (OS) 软件。操作系统在底层硬件与用户之间，是两者沟通的桥梁。

1. 内核：操作系统中直接与计算机硬件交互的部分。
2. 外壳：操作系统中与应用程序和用户连接的部分。用户可使用图形用户界面 (GUI) 或命令行界面 (CLI) 与外壳交互

(1)GUI图形用户界面

GUI 界面，如 Windows、OS X、Apple iOS 或 Android，允许用户利用图形图标、菜单和窗口环境与系统交互。GUI 的用户友好性更高，而且用户只需较少的操作知识即可控制系统。出于这个原因，许多个人用户都依赖于 GUI 环境。家用无线路由器等的操作系统通常称为固件。配置这些路由器的常用方法是使用基于Web浏览器的GUI。我们的实验中主要都是用基于Web浏览器的GUI界面来配置各种无线网络设备！

(2)CLI命令行界面

使用 CLI 时，用户在命令提示符下用键盘输入命令，从而在基于文本的环境中与系统直接交互。系统则执行命令，通常提供文本输出。与GUI相比， CLI需要用户具备控制系统所需的命令结构知识，不过CLI可用功能更多，消耗资源更少，而且更稳定。因此，通常通过 CLI 访问专业的网络设备。 Cisco IOS使用CLI。

2、Cisco IOS访问

(1)访问方法

在 PC 电脑上，访问 Cisco IOS CLI 环境及配置网络设备最常见的方式有三种（分别属于带外（不通过网络）、带内（通过网络）两大类）：

1. 控制台 (Console) – 这是一种物理管理端口，可通过该端口对设备进行带外访问（带外out-of-band访问是指通过仅用于设备维护的专用管理通道进行访问，而无需设备IP地址、无需通过网络）。PC连接Console口使用RJ-45反转线或USB电缆（参见路由器背板图）
2. SSH (Secure Shell, 安全外壳) – 这是一种在网络中通过虚拟接口远程建立安全的 CLI 连接的方法。SSH 连接需要使用设备上的活动网络服务，包括配置了IP地址的活动接口，这点与控制台连接不同，也就是说 SSH 属于带内in-band访问，需要IP地址。
3. Telnet – 这是一种在网络中通过虚拟接口远程建立 CLI 会话的不安全 的方法，也需要IP地址，所以 Telnet 也属于带内访问。与 SSH 不同，Telnet 不能提供安全的加密连接，用户身份验证、密码和命令通过网络以明文发送。

(2)终端仿真程序

在PC电脑上，具体可通过终端仿真程序等软件（例如：PuTTY、Xshell等），访问Cisco IOS CLI环境及配置网络设备。上面两者均支持带外和带内访问。

3、导航IOS

(1)Cisco IOS操作模式

登录CLI命令行界面后，必须能自如切换** IOS CLI 各种命令模式。Cisco IOS 模式采用分层结构，交换机和路由器的 IOS 模式非常类似。

(2)执行命令模式

Cisco IOS 软件将管理访问分为以下两种EXEC（执行）命令模式：

1. 用户 EXEC 模式（User EXEC Mode）一般是用户登入设备进入的第一个模式

   该模式功能有限，但可用于有效执行基本的监控操作。它只允许有限数量的基本监控命令，不允许执行任何可能改变设备配置的命令。用户 EXEC 模式由采用“>”符号结尾的 CLI 提示符标识。

2. 特权 EXEC 模式（Privileged EXEC Mode）

   要执行所有监控和配置命令，网络管理员必须进入特权 EXEC 模式。较高级别的配置模式，比如全局配置模式，只能通过特权 EXEC 模式访问。特权 EXEC 模式由采用“#”符号结尾的 CLI 提示符标识。

3. 全局配置模式（注：需先进入特权 EXEC 模式，然后才能进入全局配置模式）

   全局配置模式由在设备名称之后加“(config)#”结尾的命令提示符标识，例如：Switch(config)# 或 Router(config)#。此模式下进行的 CLI 配置更改会影响设备的整体运行情况，用户可以继续进入不同的子配置模式

   全局配置模式下，还包括两个常见的子配置模式：

   1. 线路子配置模式 - 用于配置控制台、SSH、Telnet 访问。命令提示符示例：Router(config-line)# （注：记住其中的line字样）
   2. 接口子配置模式 - 用于配置路由器接口或交换机端口。命令提示符示例：Router(config-if)# （注：记住其中的if字样；if = interface）

(3)在IOS模式之间导航

1. 使用 enable 命令从用户 EXEC 模式切换到特权 EXEC 模式。
2. 使用 disable 命令由特权 EXEC 模式返回用户 EXEC 模式。
3. 用 configure terminal 特权 EXEC 模式命令，进入全局配置模式。
4. 用 line 全局配置模式命令后跟要访问的管理线路类型和编号(如vty 0 15或console 0)，进入线路子配置模式。
5. 用 interface 全局配置模式命令后跟要访问的接口类型和编号(如fa0/1或g0/0或vlan 1)，进入接口子配置模式。
6. 用 exit 命令，返回上一级模式。
7. 输入 end 命令或组合键 Ctrl+Z，直接从任意配置模式切换回特权 EXEC 模式。
8. 可输入相应模式命令如 line 或 interface ，直接从一个子配置模式切换到另一子配置模式。

4、基本IOS命令结构

Cisco IOS 设备支持许多命令。每个 IOS 命令都有特定的格式或语法，并且只能在相应的模式下执行。常规命令语法为：命令后接相应的关键字和参数。输入包括关键字和参数在内的完整命令后，按 Enter 回车键将该命令提交，提交后对路由器和交换机配置的更改就会立即生效。

(1)IOS命令语法

示例：

1. ping ip-address - 命令是 ping，用户定义的参数是目的设备的ip-address。例如：ping 10.10.10.5。
2. traceroute ip-address - 命令是 traceroute，用户定义的参数是目的设备的 ip-address。例如：traceroute 192.168.254.254。

(2)IOS帮助功能

IOS 提供两种形式的帮助：

1. 上下文相关帮助 – 可使您快速找到每个命令模式中：哪些命令可用、哪些命令以特定字符或字符组开头、哪些参数和关键字可用于特定命令。要访问上下文相关帮助，请直接在 CLI 中输入一个问号。
2. 命令语法检查 – 用于验证用户输入的命令是否有效。输入命令后，命令行解释程序将从左向右评估命令。如果解释程序可以理解该命令，则用户要求执行的操作将被执行并显示输出结果，且 CLI 将返回到相应的提示符。然而，如果解释程序无法理解用户输入的命令，它将提供反馈，说明该命令存在的问题。

(3)热键与快捷方式

Cisco IOS比较常用的快捷键有：

1. 向下箭头 - 在前面用过的命令历史列表中向前滚动（较新的命令；Windows命令提示符中也类似）
2. 向上箭头 - 在前面用过的命令历史列表中向后滚动（较旧的命令；Windows命令提示符中也类似）
3. Ctrl-C - 放弃当前命令、退出设置模式（见后）、返回到特权 EXEC 模式
4. Enter键 - 显示下一行（当显示内容太多时）
5. 空格键 - 显示下一屏（当显示内容太多时）
6. Tab - 自动补全，即完成只键入了一部分的命令或关键字的其余部分
7. Ctrl-Z - 退出配置模式、返回到特权 EXEC 模式
8. Ctrl-Shift-6（即 Ctrl-^ ） - 用于中断如 ping 或 traceroute 之类的 IOS 进程
9. Ctrl-A - 将光标移至行首
10. Ctrl-E - 将光标移至行尾

此外，命令和关键字可缩写为能唯一确定该命令或关键字的最短字符数。例如，configure 命令可缩写为 conf，因为 configure 是唯一一个以 conf 开头的命令；但不能缩写为 con ，因为以 con 开头的命令不止一个。

二、基本设备匹配值

1、配置设备名称

设备名称便于网络管理员通过网络识别设备，设备名称的选择原则：

1. 以字母开头
2. 不包含空格
3. 以字母或数字结尾
4. 仅使用字母、数字或减号、下划线
5. 长度少于64字符

在全局配置模式下，输入命令 hostname 后跟交换机或路由器的名称，然后按 Enter 键。注意命令提示符的变化。要删除已配置的设备名称并使交换机或路由器返回默认提示符 Switch 或 Router，用 no hostname 全局配置模式命令。

Switch(config)# hostname SW-Floor-1
Sw-Floor-1(config)#

2、限制对设备的访问

(1)配置密码

1. 保护特权 EXEC 模式访问：请用 enable secret password 全局配置模式命令。使用此命令设置的密码会被加密，从而可提供更强的安全性当在用户 EXEC 模式输入 enable 命令想进入特权 EXEC 模式时，会提示输入正确密码才允许进入。
2. 保护控制台端口：可降低未经授权的人员将电缆插入实际设备来访问设备的风险。保护用户 EXEC 访问：用 line console 0 全局配置模式命令进入线路控制台子配置模式。0 用于代表第一个（且常为唯一一个）控制台接口。接下来用 password password 命令指定用户 EXEC 模式密码。最后用 login 命令启用用户 EXEC 访问。（带外，想通过控制台直接进入设备的用户EXEC模式，必须先输入密码。）
3. VTY 线路允许通过Telnet或SSH利用IP地址访问思科网络设备，也应保护：所支持的 VTY 线路数量因设备类型和 IOS 版本的不同而不同。目前许多思科网络设备支持第 0 到 15 共 16 条 VTY 线路。保护为 SSH 和 Telnet 使用的 VTY 线路：用 line vty 0 15 全局配置模式命令进入线路 VTY 子配置模式。再用 password password 命令指定 VTY 密码。最后用 login 命令启用 VTY 访问。（带内，想用IP地址通过网络远程登入设备的用户EXEC模式，必须先输入密码。）

(2)标语信息

要在网络设备上创建标语，请使用 banner motd # the message of the day #全局配置模式命令。#为定界符，在消息前后输入。命令执行完毕后，系统将向之后访问设备的所有用户显示该标语。常用于发布法律通知。当控告某人侵入设备时，标语可在诉讼程序中起重要作用。暗含“欢迎登录”或“邀请登录”意味的词语都不合适。

3、保存配置

(1)保存运行配置文件

有两种系统文件用于存储设备配置：

1. 运行配置 - 反映当前配置的文件，存储在 RAM 中，修改此文件将立即影响思科设备的运行。如果设备断电或重新启动，RAM 会丢失所有内容。可用 show running-config 特权 EXEC 模式命令查看。
2. 启动配置 - 包含在启动时执行的所有命令的文件，存储在 NVRAM 中。当设备断电后，NVRAM 中的内容不会消失。可用 show startup-config 或 sh run 特权 EXEC 模式命令查看。

RAM：随机存取存储器，掉电丢失。

NVRAM：非易失性随机存取存储器，掉电不丢失。

所以，配置修改后立即存入RAM，手动存入NVRAM，手工存入NVRAM的不需要重新输入。

使用 copy running-config startup-config 或者 copy run start 特权 EXEC 模式命令可将当前最新

运行配置保存到启动配置文件中。

(2)修改运行配置

如果对运行配置所作的更改未能实现预期效果，而且运行配置文件尚未保存（即尚未 copy run start），您现在想反悔回滚的话，可以这样做：

1. 逐个删除更改的命令（如用相应的 no 命令），将设备还原到以前配置。
2. 使用 copy startup-config running-config 特权 EXEC 模式命令，可将启动配置文件复制到运行配置，立即生效。
3. 也可直接使用 reload 特权 EXEC 模式命令重启设备。（因为上电启动时会调用启动配置中的所有命令来执行，也就是说，其实上电启动时已自动暗含了复制启动配置到当前运行配置的操作，即在上电启动时启动配置文件的内容就自动转换到了当前运行配置中）

(3)删除启动配置

如果将不理想的更改保存到了启动配置中，则可能需要清除所有配置，这时就需要删除启动配置并重启设备：

1. 用 erase startup-config 特权EXEC模式命令可从NVRAM中删除启动配置（缩写 erase start ）。慎用！
2. 然后再用 reload 命令重启设备（相当于从RAM中清除当前运行配置文件）。
3. 重启后将进入一个初始配置对话向导（称为“设置模式”，可 Ctrl+C 中断）完成基本配置，或者也可跳过向导逐一输入命令进行配置（相当于一新出厂设备，新设备无任何配置，启动后也会进入初始配置对话向导）

(4)加密密码

启动配置文件 startup-config 和运行配置文件 running-config 以明文显示大多数密码。这会带来安全威胁，因为任何人访问这些文件（用 sh start 或 sh run 命令），就可以看到这些密码。

要加密密码，请用全局配置模式命令：service password-encryption

该命令对所有未加密密码进行弱加密。这种加密仅适用于配置文件中的密码，而不适用于通过网络发送的密码。此命令用途在于防止未经授权的人员查看配置文件中的密码。此命令一旦应用，即使取消加密服务，也不会消除加密效果。

三、地址方案

1、端口和地址

Cisco IOS 交换机不仅提供多个用于连接设备的物理端口，而且有一个或多个交换机虚拟接口 (SVI)。交换机设备上没有与SVI关联的物理硬件，SVI创建于软件中，它提供一种通过网络远程管理交换机的方法，即通过SVI虚拟接口的IP地址可访问并管理交换机。每台交换机默认都有一个SVI，这个默认的SVI就是VLAN 1。（VLAN = Virtual虚拟LAN接口）

交换机物理端口无IP地址，交换机虚拟接口有IP地址。

2、配置IP地址

交换机端口本来没有IP地址。但要远程访问及管理交换机，则必须使交换机具有IP地址，那就必须配置交换机虚拟接口SVI（即VLAN接口） ，具体就要配置其IP地址和子网掩码：

1. interface VLAN 1` - 进入接口子配置模式
2. ip address 192.168.10.2 255.255.255.0 - 为 SVI 配置 IP 地址和子网掩码
3. no shutdown - 管理性地启用 SVI

对于路由器来说也是一样的。

配置IPv6地址的命令举例：ipv6 address 2001:1::1/64

配置IPv6本地链路地址的命令举例：ipv6 address FE80::1 link-local

3、检验连接

可使用命令和工具（比如 ipconfig）来检验 PC 主机的网络配置。可使用 show ip interface brief 或 sh ip int b 用户/特权EXEC模式命令来检验交换机和路由器等中间设备的接口和地址设置。

ping 命令可用于测试与网络上的另一设备或 Internet 上的一个网站的连接。

traceroute 命令（Windows下为 tracert，Cisco IOS下 traceroute 可缩写成 trace ）可跟踪源到目标的每一跳情况。

IOS中，ping 和 traceroute 为用户/特权EXEC模式命令。既适用于IPv4地址，又适用于IPv6地址。Windows中，用 ping 和 tracert 命令测试一个域名时，均可在其后添加 -4 或 -6 来指定使用IPv4或IPv6地址。当然IOS系统中也可以。