Foglio di riferimento comandi Cisco essenziali per la configurazione del dispositivo
Introduzione
Il Cisco IOS (Internetwork Operating System) fornisce agli amministratori i mezzi per gestire e configurare i dispositivi Cisco. Sebbene la struttura dei comandi di Cisco sia proprietaria, essa esemplifica concetti fondamentali nella gestione dei dispositivi di rete che sono applicabili attraverso vari fornitori. Interfacce a riga di comando (CLI) e principi di configurazione simili possono essere trovati in sistemi di altre importanti aziende di networking come Aruba, Juniper e Broadcom, permettendo ai professionisti di rete di applicare le loro competenze su diverse piattaforme con una certa adattabilità.
Questo articolo fornisce un promemoria che puoi utilizzare come guida rapida ai comandi per la gestione e la configurazione dei dispositivi di rete Cisco. Sono forniti degli screenshot per mostrare alcuni comandi passo dopo passo in azione; sono stati presi utilizzando una connessione console al router o allo switch.
Panoramica della struttura dell'interfaccia a riga di comando (CLI)
Modalità di comando
L'interfaccia a riga di comando (CLI) di Cisco IOS è strutturata gerarchicamente con le seguenti modalità di comando:
- Modalità User EXEC — Questa è la modalità predefinita quando si accede a un dispositivo Cisco. Offre un accesso limitato, consentendo solo comandi di monitoraggio di base e limitando la possibilità di apportare modifiche alla configurazione. È identificabile da un prompt che termina con >.
- Modalità EXEC privilegiata — Questa modalità elevata concede l'accesso a tutti i comandi show e alle operazioni a livello di sistema. Fornisce una visibilità completa del sistema ma nessun accesso alla configurazione. Consente inoltre agli utenti di eseguire diagnostiche dei dispositivi e compiti di gestione dei file. Questa modalità è indicata da un prompt che termina con #.
- Modalità di Configurazione Globale — Questa modalità altamente privilegiata consente di apportare modifiche alla configurazione su tutto il sistema e fornisce l'accesso a varie sotto modalità per configurazioni specifiche, come le impostazioni dell'interfaccia. In questa modalità, il prompt include (config)#.
Passaggio tra le modalità di comando
Quando effettui il primo accesso a un router o switch Cisco, ti troverai nella modalità User EXEC. Utilizza i seguenti comandi per passare a modalità più privilegiate:
- abilitare — Utilizzato per accedere alla modalità Privileged Exec
- config terminal (o semplicemente config t) — Utilizzato per accedere alla modalità di Configurazione Globale
I comandi sono mostrati nello screenshot qui sotto:
La modalità di Configurazione Globale può essere ulteriormente suddivisa in diversi sottomodi che ti permettono di configurare diversi componenti. Ecco quei sottomodi e i comandi per accedervi:
|
Modalità di configurazione dell'interfaccia |
interfaccia [interface-type] [interface-number] |
|
Modalità di configurazione della subinterfaccia |
interfaccia [interface-type] [interface-number].[subinterface-number] |
|
Modalità di configurazione del router |
router [routing-protocol] |
|
Modalità di configurazione della linea |
linea [line-type] [line-number] |
Ora che conosci i comandi per passare alle modalità con privilegi superiori, ecco i comandi per tornare indietro.
- exit — Utilizzato per tornare indietro di un livello nella gerarchia della modalità di configurazione. Lo screenshot seguente mostra l'amministratore che ritorna alla modalità Privileged Exec:
- end — Utilizzato per tornare immediatamente alla modalità EXEC privilegiata da qualsiasi modalità di configurazione. Questo è utile per uscire rapidamente dai livelli di configurazione annidati.
Visualizzazione della configurazione del sistema
Dopo aver effettuato l'accesso a un dispositivo Cisco, probabilmente si desidera visualizzare le sue impostazioni di sistema di base. Questo è facilmente realizzabile digitando show running-config o semplicemente show run. Questo comando mostra la configurazione attiva memorizzata nella memoria del dispositivo.
Si noti nello screenshot sottostante che abbiamo prima provato il comando mentre eravamo in modalità User Exec, dove è fallito a causa di privilegi insufficienti. Lo screenshot mostra solo una parte della configurazione in esecuzione.
Altri comandi relativi alla configurazione includono i seguenti:
|
mostra la configurazione di avvio |
Mostra la configurazione salvata memorizzata nella NVRAM del dispositivo, che verrà caricata all'avvio del dispositivo |
|
copia running-config startup-config |
Sostituisce la configurazione di avvio con la configurazione attiva quando il dispositivo di rete Cisco si inizializza |
|
copia startup-config running-config |
Unisce la configurazione di avvio con quella attiva correntemente nella RAM |
|
write erase erase startup-config |
Elimina la configurazione di avvio |
Scorciatoie e Cronologia dei Comandi
Ecco alcuni comandi aggiuntivi per una rapida navigazione:
- Ctrl+Z — Utilizza questa combinazione di tasti in qualsiasi momento per uscire immediatamente da qualsiasi modalità di configurazione e tornare alla modalità Privileged EXEC
- Tasto Tab — Utilizza questo tasto per completare automaticamente i comandi parziali o per mostrare le possibili opzioni di completamento.
- Tasti freccia su & giù — Utilizza questi tasti per scorrere tra i comandi precedenti.
- mostra cronologia — Utilizza questo comando per visualizzare il buffer della cronologia dei comandi.
Configurazione del dispositivo e impostazioni di base
Rinominare un dispositivo
La configurazione in esecuzione mostrata nello screenshot precedente mostrava router come hostname. Questo è il nome predefinito per un router Cisco, proprio come switch è il nome predefinito per uno switch Cisco. Il nome del dispositivo appare nel prompt dei comandi.
Utilizza il comando hostname per cambiare il nome di un dispositivo. Scegli un nome unico per ogni dispositivo per garantire un'identificazione facile all'interno della rete. Nell'esempio sottostante, abbiamo cambiato il nome del router in NorthOfficeRouter. Nota come il nuovo nome sia parte del prompt finale.
Assegnazione di un indirizzo IP
Vorrete anche assegnare un indirizzo IP al dispositivo per gestirlo da remoto. Scegliete l'interfaccia a cui volete assegnare l'indirizzo IP e completate i seguenti passaggi:
- Entra nella modalità di configurazione dell'interfaccia:
interfaccia <interface-name>
- Assegna un indirizzo IP e una maschera di sottorete:
indirizzo IP <IP-address>
- Abilita l'interfaccia:
nessuna chiusura
Ecco come appare questa procedura nel Cisco IOS. Notare che config-if indica che ci si trova nella sottomodalità di configurazione dell'interfaccia.
Configurazione delle Password
Poiché abbiamo effettuato l'accesso su un nuovo dispositivo, non abbiamo dovuto inserire una password. Ecco i comandi per abilitare le password per migliorare la sicurezza:
|
abilita password <pass-value> |
Definisce la password richiesta quando si utilizza il comando enable1 |
|
abilita segreto <pass-value> |
Imposta la password richiesta per consentire a qualsiasi utente di entrare in modalità enable e la cripta |
|
crittografia della password del servizio |
Indica al software Cisco IOS di cifrare le password, i segreti CHAP e dati simili salvati nel suo file di configurazione |
Configurazione dei banner
Ci sono anche una varietà di banner che puoi configurare:
- Messaggio del giorno (motd) banner:
banner motd #Accesso non autorizzato proibito#
- Banner di accesso:
banner di accesso #Inserisci le tue credenziali#
- Banner esecutivo:
banner exec #Benvenuti nella rete#
Configurazione dello switch
Gli switch servono a uno scopo diverso rispetto ai router e quindi utilizzano comandi differenti. Ecco alcuni concetti chiave da comprendere:
- Modalità della porta di commutazione — La modalità della porta di commutazione determina come la porta gestisce il traffico VLAN. Le tre modalità principali sono modalità accesso, modalità trunk e modalità dinamica.
- Velocità duplex — Le impostazioni duplex determinano se la porta può inviare e ricevere dati contemporaneamente. Puoi assegnare half, full o auto. Auto consente allo switch di negoziare l'impostazione duplex con il dispositivo connesso.
- Velocità — Questa impostazione determina la velocità di trasmissione dati della porta. A seconda delle capacità dello switch, la velocità può essere impostata su 10 Mbps, 100 Mbps, 1000 Mbps (1 Gbps) o automatica.
Configurazione VLAN
La configurazione VLAN è un aspetto cruciale della segmentazione e gestione della rete. In modalità Configurazione Globale, puoi utilizzare i seguenti comandi:
|
vlan <vlan-id> |
Crea una VLAN |
|
Vlan <vlan-name> |
Assegna un nome alla VLAN |
|
vlan switchport access vlan <vlan-id> |
Imposta il VLAN a cui appartiene l'interfaccia |
|
no vlan <vlan-id> |
Elimina una VLAN |
|
mostra vlan |
Mostra la configurazione VLAN |
Lo screenshot qui sotto mostra i comandi per la configurazione di base della porta:
Comandi del Spanning Tree Protocol (STP)
Il Spanning Tree Protocol è una funzionalità degli switch Cisco che può aiutare a prevenire loop nella rete. STP è abilitato per impostazione predefinita sugli switch Cisco per tutte le VLAN. È possibile modificare le impostazioni di STP a livello globale per l'intero switch, o applicare configurazioni specifiche a singole interfacce o VLAN per un controllo più accurato del comportamento di STP nelle diverse parti della rete. Il comando è il seguente:
spanning-tree mode rapid-pvst
Configurazione delle porte trunk
Le porte che devono trasportare traffico di più VLAN devono essere impostate in modalità trunk. Prima è necessario impostare la porta in modalità trunk e poi assegnare le VLAN. Ecco i comandi:
switchport trunk native vlan <vlan-id>
La configurazione delle porte trunk sui switch Cisco comporta l'utilizzo dei comandi switchport trunk e switchport trunk allowed vlan . Ecco maggiori dettagli su questi comandi:
|
switchport trunk native vlan <vlan-id> |
Abilita la modalità trunk per la porta e imposta il VLAN nativo per il traffico non taggato sul trunk |
|
switchport trunk allowed vlan <vlan-id> |
Aggiunge le VLAN specificate all'elenco corrente |
|
rimuovi vlan consentite trunk switchport <vlan-id> |
Rimuove le VLAN specificate dall'elenco delle consentite |
Lo screenshot sottostante mostra questi comandi VLAN in azione:
Fondamenti di Networking
Indirizzamento IP e suddivisione in subnet
I seguenti comandi sono utilizzati per l'indirizzamento IP e il subnetting:
|
indirizzo IP <ip-value> <bnet-value> |
Assegna un IP e una maschera di sottorete |
|
show ip interface <interface-number> |
Mostra lo stato di un'interfaccia di rete così come un elenco dettagliato delle sue configurazioni IP e delle relative caratteristiche |
|
mostra ip interfaccia breve |
Fornisce un riassunto conciso dello stato e della configurazione dell'interfaccia IP |
|
indirizzo IP <ip-value> <subnet-value> secondario |
Assegna un indirizzo IP secondario |
|
nessun indirizzo IP |
Rimuove un indirizzo IP |
Lo screenshot qui sotto mostra l'output del comando show ip interface brief:
Configurazione dei protocolli di routing
Puoi utilizzare i seguenti comandi per configurare i protocolli di routing:
|
ip route <network-number> <network-mask> {<ip-address> | <exit-interface>} |
Sets a static route in the IP routing table |
|
ip route 0.0.0.0 0.0.0.0 {next-hop-ip | exit-interface} |
Configures a default route |
|
no ip route {network} {mask} {next-hop-ip | exit-interface} |
Removes a route |
|
router rip |
Enables a Routing Information Protocol (RIP) routing process, which places you in Router Configuration mode |
|
no auto-summary |
Disables automatic summarization |
|
version 2 |
Configures the software to receive and send only RIP version 2 packets |
|
network ip-address |
Associates a network with a RIP routing process |
|
passive-interface interface |
Sets the specified interface to passive RIP mode, which means RIP routing updates are accepted by, but not sent out of, the interface |
|
show ip rip database |
Displays the contents of the RIP routing database |
|
default-information originate |
Generates a default route into RIP |
Lo screenshot qui sotto mostra la configurazione di una rotta statica e la configurazione di una rotta predefinita per tutte le altre reti:
Configurazione della Traduzione degli Indirizzi di Rete (NAT)
Utilizza i seguenti comandi per configurare NAT, che consente di tradurre gli indirizzi IP privati di una rete locale in indirizzi IP pubblici prima che vengano inviati su Internet.
|
ip nat [inside | outside] |
Specifies whether the NAT operation is applied to traffic entering or leaving the router’s network |
|
ip nat inside source {list{access-list-number | access-list-name}} interface type number[overload] |
Establishes dynamic source translation. Use the list keyword to specify an ACL to identify the traffic that will be subject to NAT. The overload option enables the router to use one global address for many local addresses |
|
ip nat inside source static local-ip global-ip |
Establishes a static translation between an inside local address and an inside global address |
Risoluzione dei problemi e diagnostica
Di seguito sono riportati i comandi che ti aiuteranno a risolvere i problemi e a eseguire diagnosi di base:
|
ping {hostname | system-address} [source source-address] |
Reveals basic network connectivity |
|
traceroute {hostname | system-address} [source source-address] |
Traces the route that packets take to reach a destination |
|
show interfaces |
Displays detailed information about interface status, settings and counters |
|
show ip route |
Shows the routing table of the device |
|
show interface status |
Displays the interface line status |
|
show interfaces trunk |
Lists information about the currently operational trunks and the VLANs supported by those trunks |
|
show version |
Displays information about the IOS version, uptime and hardware configuration |
|
show running-config |
Displays the current active configuration on the device |
|
show tech-support |
Generates a comprehensive report of the device's configuration and status (useful for advanced troubleshooting) |
|
show cdp |
Shows whether CDP is enabled globally |
|
show cdp neighbors [detail] |
Lists summary (or detailed) information about each neighbor connected to the device |
|
cdp run |
Enables or disables Cisco Discovery Protocol (CDP) for the device |
|
show mac address-table |
Displays the MAC address table |
|
show vtp status |
Lists the current VLAN Trunk Protocol (VTP) status, including the current mode |
Configurazione della sicurezza
Puoi configurare le liste di accesso per limitare e consentire il traffico da e verso il tuo dispositivo Cisco. Utilizza i seguenti comandi:
|
password <pass-value> |
Lists the password that is required if the login command (with no other parameters) is configured |
|
username name password <pass-value> |
Defines one of possibly multiple user names and associated passwords used for user authentication. It is used when the login local line configuration command has been used. |
|
enable password <pass-value> |
Defines the password required when using the enable command |
|
enable secret <pass-value> |
Sets the password required for any user to enter enable mode |
|
service password-encryption |
Directs the Cisco IOS software to encrypt the passwords, CHAP secrets and similar data saved in its configuration file |
|
ip access-list {standard | extended} {acl-name | acl-number |
Creates a standard or extended ACL |
|
permit source <source-wildcar> |
Adds permit rules for a Standard ACL |
|
deny source <source-wildcard> |
Adds deny rules for an Extended ACL |
|
ip access-group {acl-name | acl-number} {in | out} |
Applies an ACL to an interface |
|
show access-lists [acl-name | acl-number] |
Displays ACL configuration |
|
no ip access-list {standard | extended} {acl-name | acl-number} |
Removes an ACL |
|
ip domain-name name |
Configures a DNS domain name |
|
crypto key generate rsa |
Creates and stores (in a hidden location in flash memory) the keys that are required by SSH |
|
transport input {telnet | ssh} |
Defines whether Telnet or SSH access is allowed into this switch. Both values can be specified in a single command to allow both Telnet and SSH access, which are the default settings |
|
ntp peer <ip-address> |
Configures the software clock to synchronize a peer or to be synchronized by a peer |
Lo screenshot qui sotto mostra i comandi per una ACL estesa:
Configurazione di SSH e accesso remoto
Utilizza i seguenti comandi per configurare SSH e l’accesso remoto:
|
hostname <name> |
Sets a hostname (if not already configured) |
|
ip domain-name [domain-name] |
Configures an IP domain name |
|
crypto key generate rsa |
Generates an RSA key pair for SSH |
|
ip ssh version 2 |
Configures SSH version 2 |
|
username [username] privilege [level] secret [password] |
Creates a local user account |
|
Router(config)# line vty [line-range] Router(config-line)# transport input ssh Router(config-line)# login local |
Configures VTY lines for SSH access |
Lo screenshot qui sotto mostra la generazione delle chiavi RSA:
Implementazione della sicurezza delle porte
Usa i seguenti comandi per implementare la sicurezza delle porte:
|
switchport port-security |
Enables port security on the interface |
|
switchport port-security maximum <number> |
Sets the maximum number of secure MAC addresses on the port |
|
switchport port-security mac-address {mac-addr | {sticky [mac-addr]}} |
Adds a MAC address to the list of secure MAC addresses and optionally configures them as sticky on the interface |
|
switchport port-security violation {shutdown | restrict | protect} |
Sets the action to be taken when a security violation is detected |
|
show port security [interface interface-id] |
Displays information about security options configured on the interface |
Lo screenshot qui sotto mostra il processo di configurazione della sicurezza delle porte su una porta dello switch.
Gestione degli account utente
Puoi utilizzare i seguenti comandi per gestire gli account utente:
|
username <username> privilege <level> secret <password> |
Creates a local user account |
|
show users |
Displays current user sessions |
|
no username <username> |
Removes a user account |
|
security passwords min-length <length> |
Sets password complexity requirements |
Configurazione DHCP
Utilizza i seguenti comandi per configurare il DHCP:
|
ip address dhcp |
Acquires an IP address on an interface via DHCP |
|
ip dhcp pool <pool-name> |
Configures a DHCP address pool on a DHCP server and enters DHCP Pool Configuration mode |
|
domain-name <domain> |
Specifies the domain name for a DHCP client |
|
network network-number [mask] |
Configures the network number and mask for a DHCP address pool primary or secondary subnet on a Cisco IOS DHCP server |
|
ip dhcp excluded-address ip-address [last-ip-address] |
Specifies IP addresses that a DHCP server should not assign to DHCP clients |
|
ip helper-address address |
Enables forwarding of UDP broadcasts, including BOOTP, received on an interface |
|
default-router address [address2 ... address8] |
Specifies the default gateway for a DHCP client |
La schermata seguente mostra una configurazione DHCP di base su un router Cisco:
Monitoraggio e registrazione
I seguenti comandi sono utili per il monitoraggio e la registrazione:
|
logging on |
Enables logging globally |
|
logging host {ip-address | hostname} |
Configures logging to a syslog server |
|
logging trap level |
Sets the logging severity level |
|
terminal monitor |
Sends a copy of all syslog messages, including debug messages, to the Telnet or SSH user who issues this command |
|
snmp-server community <community-string> [RO|RW] |
Enables SNMP |
|
snmp-server location <location-string> |
Configures the SNMP server location |
|
snmp-server enable traps |
Enables SNMP traps |
Backup, ripristino e aggiornamento
Utilizza i seguenti comandi per eseguire backup, ripristini e aggiornamenti:
|
copy running-config startup-config |
Saves the running configuration to startup configurationEnables logging globally |
|
copy running-config tftp |
Copies the running configuration to a TFTP server |
|
copy startup-config tftp |
Copies the startup configuration to a TFTP server |
|
copy tftp: running-config |
Copies the configuration from a TFTP server to the device |
|
copy running-config flash:<file name> |
Copies the configuration to flash |
|
copy {ftp: flash:} |
Copies a new IOS image to the device using TFTP or FTP |
La schermata seguente mostra la configurazione in esecuzione salvata nella configurazione di avvio.
Configurazione di autenticazione, autorizzazione e accounting
I seguenti comandi vengono utilizzati per configurare l’autenticazione, l’autorizzazione e l’accounting (AAA):
|
aaa new-model |
Enables AAA |
|
radius-server host {ip-address | hostname} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string] |
Configures the RADIUS server |
|
radius-server key {0 string | 7 string | string} |
Sets the RADIUS key |
|
aaa authentication login {default | list-name} method1 |
Configures AAA authentication |
|
aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name} method1 |
Configures AAA authorization |
|
aaa accounting {system | network | exec | connection | commands level} {default | list-name} {start-stop | stop-only | none} [method1 |
Configures AAA accounting |
Casi d’uso comuni
Un caso d’uso comune per gli switch Cisco è la segmentazione della rete e il controllo della qualità tramite VLAN. Creando VLAN separate per wireless, telefoni, telecamere e stampanti, puoi segmentare e dare priorità a diversi tipi di traffico (ad esempio, dare priorità alla voce rispetto alla stampa).
I router Cisco consentono anche la segmentazione della rete utilizzando liste di controllo accessi standard o estese. Queste possono limitare il traffico da origini specifiche o controllare determinati tipi di traffico in entrata o in uscita dai segmenti del router.
Ecco una guida passo-passo per configurare un router Cisco per un segmento di rete:
- Configura il nome host del router e abilita una password segreta.
- Assegna indirizzi IP alle interfacce del router.
- Configura routing statico o un protocollo di routing per instradare il traffico tra i segmenti di rete collegati.
- Configura DHCP per distribuire indirizzi IP e altre opzioni DHCP ai client che si connettono alla rete.
- Configura ACL per aumentare la sicurezza e limitare il traffico in entrata e in uscita.
- Configura NAT per l’accesso a Internet.
- Abilita il logging.
- Salva la configurazione.
Scenari comuni di problemi e suggerimenti per la risoluzione
Ecco alcuni problemi comuni con router e switch Cisco e suggerimenti per risolverli:
Scenario: I dispositivi non riescono a comunicare tra VLAN o sottoreti.
- Controlla le configurazioni delle VLAN e il trunking sugli switch.
- Verifica gli indirizzi IP e le maschere di sottorete.
- Controlla la tabella di routing e assicurati che le rotte esistano.
- Testa la connettività con ping e traceroute.
- Verifica che le ACL non stiano bloccando il traffico.
Scenario: L’interfaccia è inattiva o instabile
- Controlla le connessioni fisiche e l’integrità dei cavi.
- Verifica la configurazione dell’interfaccia con show interface.
- Disattiva e riattiva l’interfaccia.
- Prova diverse impostazioni di velocità e duplex.
Scenario: Tentativi di accesso non autorizzati o traffico sospetto
- Controlla i log e utilizza show logging.
- Verifica le configurazioni ACL e i conteggi di accesso.
- Controlla le impostazioni di AAA e TACACS+.
- Implementa la sicurezza delle porte sugli switch.
Suggerimenti extra
I seguenti suggerimenti possono aiutarti a gestire i tuoi dispositivi Cisco in modo più efficiente:
- Se non conosci bene Cisco IOS, sfrutta l’aiuto sensibile al contesto: digita ? in qualsiasi punto di un comando per ottenere suggerimenti e opzioni disponibili.
- Risparmia tempo con le scorciatoie dei comandi e il completamento automatico con il tasto Tab. Ad esempio, digita sh run invece di show running-config.
- Usa le frecce su e giù (oppure Ctrl+P e Ctrl+N) per accedere rapidamente ai comandi recenti.
- Se non hai accesso a un router Cisco, sono disponibili diversi simulatori di dispositivi Cisco da scaricare per esercitarti e familiarizzare con i comandi.
Rendi sempre la sicurezza una priorità assoluta.
- Limita chi può accedere ai tuoi dispositivi Cisco.
- Assicurati che tutti gli account utilizzino password lunghe e crittografate.
- Applica il principio del privilegio minimo quando assegni i ruoli.
- Crea liste di controllo accessi per limitare diverse origini e tipi di traffico.
- Abilita i log e utilizza una soluzione di monitoraggio di terze parti per ricevere avvisi in caso di modifiche alle configurazioni, accidentali o malevole.
Netwrix Auditor per Dispositivi di Rete
Semplifica l’auditing dei dispositivi Cisco con informazioni dettagliate sulle modifiche alla configurazione, i tentativi di accesso e i problemi hardware.
Scarica la versione di prova gratuita di 20 giorniCondividi su