思科CLI配置实战：从基础模式到网络故障排查

1. 思科CLI入门：从开机到三大模式切换

第一次接触思科设备时，那个黑底白字的命令行界面确实让人有点发怵。记得我刚开始学习时，连怎么退出当前模式都要翻半天手册。但其实只要掌握几个核心概念，这个看似复杂的CLI（Command Line Interface）就会变得像和老朋友聊天一样自然。

思科设备启动后会直接进入用户模式，也就是最基础的操作层级。这个模式下你只能执行一些简单的查看命令，比如检查设备基本信息。界面提示符显示为Router>，这里的>符号就是用户模式的标志。我建议新手在这个阶段多用?键——这是思科CLI最贴心的帮助功能，输入任何命令后加上?，系统就会告诉你接下来可以输入什么参数。

想进行实际配置？需要先进入特权模式。在用户模式下输入enable（或者简写en）就能升级权限，提示符会变成Router#。这个模式下你可以查看所有配置信息，但依然不能修改设备设置。有个实用技巧：在任何模式下按Ctrl+Z都能快速返回特权模式，比反复输入exit高效多了。

真正的配置工作要在全局配置模式下进行。从特权模式输入configure terminal（可简写为conf t）就能进入这个模式，提示符变为Router(config)#。这里有个容易踩的坑：很多初学者会忘记自己当前处于哪个模式。我的经验是养成看提示符后缀的习惯——>、#和(config)#就是最好的模式指示器。

2. 设备基础配置实战

2.1 给设备起个靠谱的名字

接手一台新设备时，我第一件事就是给它改个有意义的名称。在全局配置模式下执行hostname 新名称即可，比如：

bash复制Router(config)#hostname SH-5F-Switch01

改名后提示符会立即更新。建议采用位置-楼层-设备类型-编号的命名规则，这样以后管理几十台设备时也不会混乱。有次机房故障，正是靠规范的命名，我们五分钟就定位到了出问题的设备。

2.2 接口IP配置详解

给接口配IP是最基础也最常用的操作。假设要给Ethernet0/0接口配置192.168.1.1/24的地址：

bash复制SH-5F-Switch01(config)#interface ethernet0/0  # 进入接口配置模式
SH-5F-Switch01(config-if)#ip address 192.168.1.1 255.255.255.0
SH-5F-Switch01(config-if)#no shutdown  # 激活接口

这里有几个关键点：

1. 接口模式是全局配置模式的子模式，提示符会变成(config-if)#
2. 子网掩码可以用255.255.255.0格式，也可以用/24的CIDR表示法
3. 新接口默认是关闭状态，必须用no shutdown激活

配置完建议立即检查：

bash复制SH-5F-Switch01#show ip interface brief

这个命令能一目了然地看到所有接口的IP状态，比完整的show interfaces输出简洁得多。

3. 配置文件管理技巧

3.1 临时配置与永久保存

新手最容易犯的错误就是配置完忘记保存。思科的配置分为：

• running-config：内存中的临时配置，设备重启就丢失
• startup-config：闪存中的永久配置

把配置写入闪存有两种方法：

bash复制SH-5F-Switch01#copy running-config startup-config
# 或者更简单的：
SH-5F-Switch01#write

有次机房断电，同事因为没保存配置，导致整晚的工作白费。从那以后，我们团队养成了"修改-测试-保存"的标准流程。

3.2 配置回滚与清除

误操作了怎么办？在错误命令前加no就能撤销：

bash复制# 错误地设置了IP
SH-5F-Switch01(config-if)#ip address 192.168.1.2 255.255.255.0
# 撤销操作
SH-5F-Switch01(config-if)#no ip address 192.168.1.2 255.255.255.0

要彻底清空设备配置（比如准备转交设备时）：

bash复制SH-5F-Switch01#erase startup-config
SH-5F-Switch01#reload  # 重启生效

执行前千万确认！我有次不小心清空了正在运行的核心交换机配置，不得不连夜恢复。

4. 高效排查网络故障

4.1 分层排查法

网络故障排查我习惯用OSI分层法：

1. 物理层：先看接口指示灯，用show interfaces检查接口状态
2. 数据链路层：检查MAC地址表show mac address-table
3. 网络层：用ping和traceroute测试连通性

比如发现ping不通时，可以这样排查：

bash复制# 检查接口物理状态
SH-5F-Switch01#show interfaces ethernet0/0
# 检查IP配置
SH-5F-Switch01#show ip interface brief
# 测试连通性
SH-5F-Switch01#ping 192.168.1.100

4.2 日志与信息过滤

思科设备会产生大量日志信息，巧用过滤符|可以快速定位问题：

bash复制# 只查看包含error的日志
SH-5F-Switch01#show log | include error
# 查看特定接口的完整配置
SH-5F-Switch01#show running-config | section interface ethernet0/0

| section比| include显示更完整的配置段落，建议优先使用。

5. 远程管理安全实践

虽然Telnet配置简单，但存在严重安全隐患。现在更推荐使用SSH：

bash复制# 生成RSA密钥
SH-5F-Switch01(config)#crypto key generate rsa
# 启用SSH
SH-5F-Switch01(config)#ip ssh version 2
SH-5F-Switch01(config)#line vty 0 4
SH-5F-Switch01(config-line)#transport input ssh

配置SSH后，记得关闭Telnet服务：

bash复制SH-5F-Switch01(config-line)#no transport input telnet

在实际项目中，我们曾通过抓包发现Telnet密码是明文传输的。迁移到SSH后，不仅安全性提升，运维人员远程操作时也再不用担心密码泄露了。