Guia Essencial de Comandos Cisco para Configuração de Dispositivos
Introdução
O Cisco IOS (Internetwork Operating System) fornece aos administradores os meios para gerenciar e configurar dispositivos Cisco. Embora a estrutura de comandos da Cisco seja proprietária, ela exemplifica conceitos fundamentais na gestão de dispositivos de rede que são aplicáveis em diversos fornecedores. Interfaces de linha de comando (CLIs) e princípios de configuração semelhantes podem ser encontrados em sistemas de outras grandes empresas de rede como Aruba, Juniper e Broadcom, permitindo que profissionais de rede apliquem suas habilidades em diferentes plataformas com alguma adaptação.
Este artigo fornece uma cola que você pode usar como um guia rápido de comandos para gerenciar e configurar dispositivos de rede Cisco. Capturas de tela são fornecidas para mostrar alguns comandos passo a passo em ação; elas foram tiradas usando uma conexão de console com o roteador ou switch.
Visão geral da estrutura da Interface de Linha de Comando (CLI)
Modos de Comando
A interface de linha de comando (CLI) do Cisco IOS é estruturada hierarquicamente com os seguintes modos de comando:
- Modo EXEC do usuário — Este é o modo padrão ao fazer login em um dispositivo Cisco. Oferece acesso limitado, permitindo apenas comandos básicos de monitoramento e restringindo a capacidade de fazer alterações na configuração. É identificável por um prompt que termina com >.
- Modo EXEC privilegiado — Este modo elevado concede acesso a todos os comandos show e operações no nível do sistema. Ele oferece visibilidade completa do sistema, mas sem acesso à configuração. Também permite que os usuários realizem diagnósticos de dispositivos e tarefas de gerenciamento de arquivos. Este modo é indicado por um prompt que termina com #.
- Modo de Configuração Global — Este modo altamente privilegiado permite que você faça alterações de configuração em todo o sistema e fornece acesso a vários submodos para configurações específicas, como configurações de interface. Neste modo, o prompt inclui (config)#.
Mudando Entre Modos de Comando
Quando você faz o primeiro login em um roteador ou switch Cisco, estará no modo User EXEC. Use os seguintes comandos para mudar para modos mais privilegiados:
- habilitar — Usado para acessar o modo Privileged Exec
- config terminal (ou simplesmente config t) — Usado para acessar o modo de Configuração Global
Os comandos estão mostrados na captura de tela abaixo:
O modo de Configuração Global pode ser dividido em vários submodos que permitem configurar diferentes componentes. Aqui estão esses submodos e os comandos para acessá-los:
|
Modo de configuração da interface |
interface [interface-type] [interface-number] |
|
Modo de configuração de subinterface |
interface [interface-type] [interface-number].[subinterface-number] |
|
Modo de configuração do roteador |
roteador [protocolo de roteamento] |
|
Modo de configuração de linha |
linha [line-type] [line-number] |
Agora que você conhece os comandos para se mover para os modos de privilégios mais altos, aqui estão os comandos para voltar a sair deles.
- sair — Usado para voltar um nível na hierarquia do modo de configuração. A captura de tela a seguir mostra o administrador retornando ao modo Privileged Exec:
- end — Usado para retornar imediatamente ao modo EXEC Privilegiado de qualquer modo de configuração. Isso é útil para sair rapidamente de níveis de configuração aninhados.
Exibindo Configuração do Sistema
Após fazer login em um dispositivo Cisco, provavelmente você desejará visualizar suas configurações básicas do sistema. Isso é facilmente feito digitando show running-config ou simplesmente show run. Este comando exibe a configuração ativa armazenada na memória do dispositivo.
Observe na captura de tela abaixo que primeiro tentamos o comando enquanto no modo User Exec, onde falhou devido a privilégios insuficientes. A captura de tela mostra apenas uma parte da configuração em execução.
Outros comandos relacionados à configuração incluem os seguintes:
|
show startup-config |
Exibe a configuração salva armazenada na NVRAM do dispositivo, que será carregada quando o dispositivo for iniciado |
|
copiar running-config startup-config |
Substitui a configuração de inicialização pela configuração ativa quando o dispositivo de rede Cisco inicializa |
|
copiar startup-config running-config |
Mescla a configuração de inicialização com a configuração ativa atualmente na RAM |
|
write erase erase startup-config |
Exclui a configuração de inicialização |
Atalhos e Histórico de Comandos
Aqui estão alguns comandos adicionais para navegação rápida:
- Ctrl+Z — Utilize esta combinação de teclas a qualquer momento para sair instantaneamente de qualquer modo de configuração e voltar ao modo Privileged EXEC
- Tecla Tab — Utilize esta tecla para completar automaticamente comandos parciais ou mostrar opções possíveis de conclusão.
- Teclas de seta para cima & para baixo — Utilize estas teclas para percorrer comandos anteriores.
- mostrar histórico — Utilize este comando para exibir o buffer do histórico de comandos.
Configuração do Dispositivo e Configuração Básica
Renomeando um Dispositivo
A configuração em execução exibida na captura de tela anterior mostrou router como o nome do host. Este é o nome padrão para um roteador Cisco, assim como switch é o nome padrão para um switch Cisco. O nome do dispositivo aparece no prompt de comando.
Utilize o comando hostname para alterar o nome de um dispositivo. Escolha um nome único para cada dispositivo para garantir uma fácil identificação dentro da rede. No exemplo abaixo, mudamos o nome do roteador para NorthOfficeRouter. Observe como o novo nome faz parte do prompt final.
Atribuindo um Endereço IP
Você também vai querer atribuir um endereço IP ao dispositivo para gerenciá-lo remotamente. Escolha a interface à qual deseja atribuir o endereço IP e complete os seguintes passos:
- Entre no modo de Configuração da Interface:
interface <interface-name>
- Atribua um endereço IP e máscara de sub-rede:
endereço IP <IP-address>
- Ative a interface:
no shutdown
Aqui está a aparência deste procedimento no Cisco IOS. Observe que config-if indica que você está no submodo de Configuração de Interface.
Configurando Senhas
Porque fizemos login em um novo dispositivo, não precisamos digitar uma senha. Aqui estão os comandos para ativar senhas e aumentar a segurança:
|
habilite a senha <pass-value> |
Define a senha necessária ao usar o comando enable1 |
|
habilite secret <pass-value> |
Define a senha necessária para qualquer usuário entrar no modo enable e a criptografa |
|
criptografia de senha de serviço |
Direciona o software Cisco IOS a criptografar as senhas, segredos CHAP e dados semelhantes salvos em seu arquivo de configuração |
Configurando Banners
Também existem diversos banners que você pode configurar:
- Banner da mensagem do dia (motd):
banner motd #Acesso não autorizado proibido#
- Banner de login:
banner de login #Por favor, insira suas credenciais#
- Banner de execução:
banner exec #Bem-vindo à rede#
Configuração de Switch
Os switches têm um propósito diferente dos roteadores e, portanto, utilizam comandos diferentes. Aqui estão alguns conceitos chave para entender:
- Modo de porta de switch — O modo de porta de switch determina como a porta lida com o tráfego VLAN. Os três modos principais são modo de acesso, modo tronco e modo dinâmico.
- Velocidade duplex — As configurações de duplex determinam se a porta pode enviar e receber dados simultaneamente. Você pode atribuir half, full ou auto. Auto permite que o switch negocie a configuração de duplex com o dispositivo conectado.
- Velocidade — Esta configuração determina a taxa de transmissão de dados da porta. Dependendo das capacidades do switch, a velocidade pode ser ajustada para 10 Mbps, 100 Mbps, 1000 Mbps (1 Gbps) ou automático.
Configuração de VLAN
A configuração de VLAN é um aspecto crucial da segmentação e gerenciamento de rede. No modo de Configuração Global, você pode usar os seguintes comandos:
|
vlan <vlan-id> |
Cria uma VLAN |
|
Vlan <vlan-name> |
Atribui um nome à VLAN |
|
vlan switchport access vlan <vlan-id> |
Define a VLAN à qual a interface pertence |
|
no vlan <vlan-id> |
Exclui uma VLAN |
|
show vlan |
Exibir a configuração da VLAN |
A captura de tela abaixo mostra os comandos para configuração básica de porta:
Comandos do Spanning Tree Protocol (STP)
O Spanning Tree Protocol é um recurso dos switches Cisco que pode ajudar a prevenir loops de rede. O STP está ativado por padrão nos switches Cisco para todas as VLANs. Você pode modificar as configurações do STP globalmente para todo o switch ou aplicar configurações específicas a interfaces individuais ou VLANs para um controle mais refinado sobre o comportamento do STP em diferentes partes da sua rede. O comando é o seguinte:
spanning-tree mode rapid-pvst
Configurando Portas Trunk
As portas que precisam transportar tráfego de várias VLANs precisam ser configuradas como tronco. Primeiro você precisa configurar a porta como tronco e depois atribuir as VLANs. Aqui estão os comandos:
switchport trunk native vlan <vlan-id>
A configuração de portas trunk em switches Cisco envolve o uso dos comandos switchport trunk e switchport trunk allowed vlan . Aqui estão mais detalhes sobre esses comandos:
|
switchport trunk native vlan <vlan-id> |
Habilita o modo trunk para a porta e define a VLAN nativa para o tráfego não marcado no trunk |
|
switchport trunk allowed vlan <vlan-id> |
Adiciona as VLANs especificadas à lista atual |
|
switchport trunk allowed vlan remove <vlan-id> |
Remove os VLANs especificados da lista de permissões |
A captura de tela abaixo mostra esses comandos VLAN em ação:
Fundamentos de Networking
Endereçamento IP e Sub-redes
Os seguintes comandos são usados para endereçamento IP e subnetting:
|
ip address <ip-value> <bnet-value> |
Assigns an IP and subnet mask |
|
show ip interface <interface-number> |
Displays the status of a network interface as well as a detailed listing of its IP configurations and related characteristics |
|
show ip interface brief |
Provides a concise summary of the IP interface status and configuration |
|
ip address <ip-value> <subnet-value> secondary |
Assigns a secondary IP address |
|
no ip address |
Removes an IP address |
A captura de tela abaixo mostra a saída do comando show ip interface brief:
Configuração de protocolos de roteamento
Você pode usar os seguintes comandos para configurar os protocolos de roteamento:
|
ip route <network-number> <network-mask> {<ip-address> | <exit-interface>} |
Sets a static route in the IP routing table |
|
ip route 0.0.0.0 0.0.0.0 {next-hop-ip | exit-interface} |
Configures a default route |
|
no ip route {network} {mask} {next-hop-ip | exit-interface} |
Removes a route |
|
router rip |
Enables a Routing Information Protocol (RIP) routing process, which places you in Router Configuration mode |
|
no auto-summary |
Disables automatic summarization |
|
version 2 |
Configures the software to receive and send only RIP version 2 packets |
|
network ip-address |
Associates a network with a RIP routing process |
|
passive-interface interface |
Sets the specified interface to passive RIP mode, which means RIP routing updates are accepted by, but not sent out of, the interface |
|
show ip rip database |
Displays the contents of the RIP routing database |
|
default-information originate |
Generates a default route into RIP |
A captura de tela abaixo mostra a configuração de uma rota estática e a configuração de uma rota padrão para todas as outras redes:
Configuração da Tradução de Endereços de Rede (NAT)
Utilize os seguintes comandos para configurar o NAT, que permite que endereços IP privados de uma rede local sejam traduzidos em endereços IP públicos antes de serem enviados pela Internet.
|
ip nat [inside | outside] |
Specifies whether the NAT operation is applied to traffic entering or leaving the router’s network |
|
ip nat inside source {list{access-list-number | access-list-name}} interface type number[overload] |
Establishes dynamic source translation. Use the list keyword to specify an ACL to identify the traffic that will be subject to NAT. The overload option enables the router to use one global address for many local addresses |
|
ip nat inside source static local-ip global-ip |
Establishes a static translation between an inside local address and an inside global address |
Resolução de problemas e diagnóstico
Abaixo estão os comandos que o ajudarão a solucionar problemas e a realizar diagnósticos básicos:
|
ping {hostname | system-address} [source source-address] |
Reveals basic network connectivity |
|
traceroute {hostname | system-address} [source source-address] |
Traces the route that packets take to reach a destination |
|
show interfaces |
Displays detailed information about interface status, settings and counters |
|
show ip route |
Shows the routing table of the device |
|
show interface status |
Displays the interface line status |
|
show interfaces trunk |
Lists information about the currently operational trunks and the VLANs supported by those trunks |
|
show version |
Displays information about the IOS version, uptime and hardware configuration |
|
show running-config |
Displays the current active configuration on the device |
|
show tech-support |
Generates a comprehensive report of the device's configuration and status (useful for advanced troubleshooting) |
|
show cdp |
Shows whether CDP is enabled globally |
|
show cdp neighbors [detail] |
Lists summary (or detailed) information about each neighbor connected to the device |
|
cdp run |
Enables or disables Cisco Discovery Protocol (CDP) for the device |
|
show mac address-table |
Displays the MAC address table |
|
show vtp status |
Lists the current VLAN Trunk Protocol (VTP) status, including the current mode |
Configuração de segurança
Pode configurar listas de acesso para restringir e permitir o tráfego de e para o seu dispositivo Cisco. Utilize os seguintes comandos:
|
password <pass-value> |
Lists the password that is required if the login command (with no other parameters) is configured |
|
username name password <pass-value> |
Defines one of possibly multiple user names and associated passwords used for user authentication. It is used when the login local line configuration command has been used. |
|
enable password <pass-value> |
Defines the password required when using the enable command |
|
enable secret <pass-value> |
Sets the password required for any user to enter enable mode |
|
service password-encryption |
Directs the Cisco IOS software to encrypt the passwords, CHAP secrets and similar data saved in its configuration file |
|
ip access-list {standard | extended} {acl-name | acl-number |
Creates a standard or extended ACL |
|
permit source <source-wildcar> |
Adds permit rules for a Standard ACL |
|
deny source <source-wildcard> |
Adds deny rules for an Extended ACL |
|
ip access-group {acl-name | acl-number} {in | out} |
Applies an ACL to an interface |
|
show access-lists [acl-name | acl-number] |
Displays ACL configuration |
|
no ip access-list {standard | extended} {acl-name | acl-number} |
Removes an ACL |
|
ip domain-name name |
Configures a DNS domain name |
|
crypto key generate rsa |
Creates and stores (in a hidden location in flash memory) the keys that are required by SSH |
|
transport input {telnet | ssh} |
Defines whether Telnet or SSH access is allowed into this switch. Both values can be specified in a single command to allow both Telnet and SSH access, which are the default settings |
|
ntp peer <ip-address> |
Configures the software clock to synchronize a peer or to be synchronized by a peer |
A captura de ecrã abaixo mostra os comandos para uma ACL estendida:
Configuração de SSH e acesso remoto
Utilize os seguintes comandos para configurar o SSH e o acesso remoto:
|
hostname <name> |
Sets a hostname (if not already configured) |
|
ip domain-name [domain-name] |
Configures an IP domain name |
|
crypto key generate rsa |
Generates an RSA key pair for SSH |
|
ip ssh version 2 |
Configures SSH version 2 |
|
username [username] privilege [level] secret [password] |
Creates a local user account |
|
Router(config)# line vty [line-range] Router(config-line)# transport input ssh Router(config-line)# login local |
Configures VTY lines for SSH access |
A captura de ecrã abaixo mostra a geração das chaves RSA:
Implementação da segurança de portas
Utilize os seguintes comandos para implementar a segurança das portas:
|
switchport port-security |
Enables port security on the interface |
|
switchport port-security maximum <number> |
Sets the maximum number of secure MAC addresses on the port |
|
switchport port-security mac-address {mac-addr | {sticky [mac-addr]}} |
Adds a MAC address to the list of secure MAC addresses and optionally configures them as sticky on the interface |
|
switchport port-security violation {shutdown | restrict | protect} |
Sets the action to be taken when a security violation is detected |
|
show port security [interface interface-id] |
Displays information about security options configured on the interface |
A captura de ecrã abaixo mostra o processo de configuração da segurança de portas numa porta de switch.
Gestão de contas de utilizador
Pode utilizar os seguintes comandos para gerir as contas de utilizador:
|
username <username> privilege <level> secret <password> |
Creates a local user account |
|
show users |
Displays current user sessions |
|
no username <username> |
Removes a user account |
|
security passwords min-length <length> |
Sets password complexity requirements |
Configuração de DHCP
Use os seguintes comandos para configurar o DHCP:
|
ip address dhcp |
Acquires an IP address on an interface via DHCP |
|
ip dhcp pool <pool-name> |
Configures a DHCP address pool on a DHCP server and enters DHCP Pool Configuration mode |
|
domain-name <domain> |
Specifies the domain name for a DHCP client |
|
network network-number [mask] |
Configures the network number and mask for a DHCP address pool primary or secondary subnet on a Cisco IOS DHCP server |
|
ip dhcp excluded-address ip-address [last-ip-address] |
Specifies IP addresses that a DHCP server should not assign to DHCP clients |
|
ip helper-address address |
Enables forwarding of UDP broadcasts, including BOOTP, received on an interface |
|
default-router address [address2 ... address8] |
Specifies the default gateway for a DHCP client |
A captura de tela abaixo mostra uma configuração básica de DHCP em um roteador Cisco:
Monitoramento e registro
Os seguintes comandos são úteis para o monitoramento e o registro:
|
logging on |
Enables logging globally |
|
logging host {ip-address | hostname} |
Configures logging to a syslog server |
|
logging trap level |
Sets the logging severity level |
|
terminal monitor |
Sends a copy of all syslog messages, including debug messages, to the Telnet or SSH user who issues this command |
|
snmp-server community <community-string> [RO|RW] |
Enables SNMP |
|
snmp-server location <location-string> |
Configures the SNMP server location |
|
snmp-server enable traps |
Enables SNMP traps |
Backup, restauração e atualização
Use os seguintes comandos para realizar backups, restaurações e atualizações:
|
copy running-config startup-config |
Saves the running configuration to startup configurationEnables logging globally |
|
copy running-config tftp |
Copies the running configuration to a TFTP server |
|
copy startup-config tftp |
Copies the startup configuration to a TFTP server |
|
copy tftp: running-config |
Copies the configuration from a TFTP server to the device |
|
copy running-config flash:<file name> |
Copies the configuration to flash |
|
copy {ftp: flash:} |
Copies a new IOS image to the device using TFTP or FTP |
A captura de tela abaixo mostra a configuração em execução sendo copiada para a configuração de inicialização.
Configuração de autenticação, autorização e contabilização
Os seguintes comandos são usados para configurar autenticação, autorização e contabilização (AAA):
|
aaa new-model |
Enables AAA |
|
radius-server host {ip-address | hostname} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string] |
Configures the RADIUS server |
|
radius-server key {0 string | 7 string | string} |
Sets the RADIUS key |
|
aaa authentication login {default | list-name} method1 |
Configures AAA authentication |
|
aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name} method1 |
Configures AAA authorization |
|
aaa accounting {system | network | exec | connection | commands level} {default | list-name} {start-stop | stop-only | none} [method1 |
Configures AAA accounting |
Casos de uso comuns
Um caso de uso comum para switches Cisco é a segmentação de rede e o controle de qualidade por meio de VLANs. Ao criar VLANs separadas para redes sem fio, telefones, câmeras e impressoras, você pode segmentar e priorizar diferentes tipos de tráfego (por exemplo, priorizar voz em vez de impressão).
Os roteadores Cisco também permitem a segmentação de rede usando listas de controle de acesso padrão ou estendidas. Estas podem restringir o tráfego de fontes específicas ou limitar certos tipos de tráfego que entram ou saem dos segmentos do roteador.
Aqui está um guia passo a passo para configurar um roteador Cisco para um segmento de rede:
- Configure o nome do host do roteador e ative uma senha secreta.
- Atribua endereços IP às interfaces do roteador.
- Configure roteamento estático ou um protocolo de roteamento para encaminhar o tráfego entre os segmentos de rede conectados.
- Configure o DHCP para distribuir endereços IP e outras opções de DHCP aos clientes que se conectam à rede.
- Configure listas de controle de acesso (ACLs) para reforçar a segurança e restringir o tráfego de entrada e saída.
- Configure o NAT para acesso à Internet.
- Ative o registro (logging).
- Salve a configuração.
Cenários comuns de problemas e dicas de solução
Aqui estão alguns problemas comuns com roteadores e switches Cisco e dicas para resolvê-los:
Cenário: Os dispositivos não conseguem se comunicar entre VLANs ou sub-redes.
- Verifique as configurações de VLAN e o trunking nos switches.
- Confirme os endereços IP e as máscaras de sub-rede.
- Verifique a tabela de roteamento e garanta que as rotas existam.
- Teste a conectividade com ping e traceroute.
- Certifique-se de que as ACLs não estejam bloqueando o tráfego.
Cenário: A interface está inativa ou intermitente
- Verifique as conexões físicas e a integridade dos cabos.
- Confirme a configuração da interface com show interface.
- Desative e reative a interface.
- Teste diferentes configurações de velocidade e duplex.
Cenário: Tentativas de acesso não autorizadas ou tráfego suspeito
- Revise os logs e use show logging.
- Verifique as configurações das ACL e os contadores de acessos.
- Confirme as definições de AAA e TACACS+.
- Implemente segurança de portas nos switches.
Dicas adicionais
As dicas a seguir podem ajudá-lo a gerenciar seus dispositivos Cisco com mais eficiência:
- Se não estiver familiarizado com o Cisco IOS, aproveite a ajuda sensível ao contexto — basta digitar ? em qualquer ponto de um comando para obter sugestões e opções disponíveis.
- Poupe tempo com atalhos de comando e conclusão automática com a tecla Tab. Por exemplo, digite sh run em vez de show running-config.
- Use as setas para cima e para baixo (ou Ctrl+P e Ctrl+N) para acessar rapidamente comandos recentes.
- Se não tiver acesso a um roteador Cisco, há vários simuladores de dispositivos Cisco disponíveis para download que permitem praticar e se familiarizar com os comandos.
Faça da segurança sempre a sua principal prioridade.
- Limite quem pode acessar seus dispositivos Cisco.
- Garanta que todas as contas utilizem senhas longas e criptografadas.
- Adote o princípio do menor privilégio ao atribuir funções.
- Crie listas de controle de acesso para restringir diferentes origens e tipos de tráfego.
- Ative o registro e use uma solução de monitoramento de terceiros para ser alertado caso suas configurações sejam alteradas, acidental ou maliciosamente.
Netwrix Auditor para Dispositivos de Rede
Simplifique a auditoria dos dispositivos Cisco com informações sobre alterações de configuração, tentativas de login e problemas de hardware.
Baixe a versão de avaliação gratuita de 20 diasCompartilhar em