思科交换机作为网络基础设施中的核心设备,其配置和管理需要依赖一系列基本命令,这些命令涵盖了从设备初始化到日常运维的多个方面,掌握它们对于网络管理员至关重要,以下将详细介绍思科交换机的基本命令,包括用户模式与特权模式的切换、设备基本信息配置、接口管理、VLAN划分、端口安全、链路聚合、DHCP snooping、STP协议配置以及常用维护命令等内容。
当通过Console线或Telnet/SSH方式登录交换机时,默认进入的是用户模式(User EXEC模式),提示符为“Switch>”,在该模式下,权限有限,只能执行基本的查看命令,如查看当前用户模式状态(Switch> ?),若需进入更高权限的特权模式(Privileged EXEC模式),需输入enable命令,默认情况下可能无需密码(建议配置enable密码以提高安全性),特权模式的提示符为“Switch#”,在此模式下可以执行更多管理操作,如查看设备配置(show running-config)、保存配置(copy running-config startup-config)、重启设备(reload)等。
接下来是设备基本信息配置,通常在全局配置模式(Global Configuration模式)下进行,进入该模式需在特权模式下输入configure terminal(可简写为conf t),提示符变为“Switch(config)#”,在此模式下,可设置设备主机名(hostname Switch-A),该名称将在提示符中显示;管理IP地址的配置需在对应接口或VLAN接口下进行,例如为VLAN 1配置管理IP(interface vlan 1,然后ip address 192.168.1.1 255.255.255.0,最后no shutdown激活接口);还可配置默认网关(ip default-gateway 192.168.1.254),使交换机能够与不同网段通信。
接口管理是交换机配置的重要环节,进入接口配置模式需在全局配置模式下使用interface命令,如interface gigabitethernet 0/1(可简写为int g0/1),针对千兆以太网接口,接口基本操作包括:开启/关闭接口(no shutdown/shutdown),查看接口状态(show interfaces g0/1或show ip interface brief以简洁列表显示所有接口IP及状态),配置接口描述信息(description To_Server,便于管理识别),设置接口速率和双工模式(speed 100,duplex full,需根据连接设备能力配置,通常建议设置为自动协商auto)。
VLAN(虚拟局域网)技术用于隔离广播域,提升网络性能和安全性,创建VLAN在全局配置模式下进行,命令为vlan 10,然后可命名VLAN(name Sales);将接口划入VLAN需进入接口配置模式,使用switchport mode access将接口设置为接入模式(连接终端设备),再使用switchport access vlan 10将其加入VLAN 10;若需实现跨VLAN通信,需配置三层接口(SVI),即interface vlan 10,然后ip address 192.168.10.1 255.255.255.0并no shutdown,同时需在全局模式下开启路由功能(ip routing,部分型号交换机默认关闭),对于跨交换机的VLAN通信,需配置Trunk链路,在接口配置模式下设置switchport mode trunk,并允许特定VLAN通过(switchport trunk allowed vlan 10,20,默认允许所有VLAN)。
端口安全用于限制接口接入的设备数量,防止未授权设备接入,在接口配置模式下,首先将接口设置为接入模式(switchport mode access),然后启用端口安全(switchport port-security),可设置最大MAC地址数量(switchport port-security maximum 2),违规行为处理方式(switchport port-security violation shutdown,可选protect(丢弃违规数据)、restrict(发出警告并丢弃)等),最后可配置安全MAC地址(switchport port-security mac-address 0050.56BE.6A1D,静态绑定或使用sticky动态学习并保存)。
链路聚合(EtherChannel)可增加链路带宽并提供冗余,在物理接口配置模式下,关闭接口(shutdown),设置封装协议为negotiate(默认),然后创建通道组(channel-group 1 mode active,active为主动协商模式,也可为passive、on等),最后激活接口(no shutdown),需注意参与聚合的接口需为同类型、同速率,且配置一致。
DHCP Snooping是DHCP安全特性,用于防止恶意DHCP服务器攻击,在全局配置模式下启用DHCP Snooping(ip dhcp snooping),在VLAN范围内启用(ip dhcp snooping vlan 10),可配置信任接口(连接合法DHCP服务器的接口,ip dhcp snooping trust),非信任接口的DHCP请求将被过滤。
STP(生成树协议)防止网络中出现环路,默认情况下,思科交换机运行PVST+(每VLAN生成树),可调整根桥优先级(spanning-tree vlan 10 root primary,设置为根桥;spanning-tree vlan 10 root secondary,设置为备份根桥),或手动设置优先级(spanning-tree vlan 10 priority 4096,值越小优先级越高),还可调整端口成本(spanning-tree cost 19)和端口优先级(spanning-tree port-priority 16)以影响路径选择。
日常维护中,常用查看命令包括:show running-config(查看当前运行配置)、show startup-config(查看启动配置)、show vlan brief(查看VLAN划分情况)、show interfaces status(查看接口状态摘要)、show mac-address-table(查看MAC地址表)、show ip route(查看路由表)、show logging(查看日志信息)、show version(查看设备版本信息、 uptime等),保存配置使用copy running-config startup-config,擦除启动配置使用erase startup-config(重启后恢复出厂设置,需谨慎操作)。
为更直观展示部分命令,以下列出常用配置模式及切换命令:
| 操作模式 | 提示符示例 | 进入方式 | 退出方式 |
|---|---|---|---|
| 用户模式 | Switch> | 物理登录或Telnet/SSH登录 | 无(需输入enable进入特权模式) |
| 特权模式 | Switch# | 用户模式下输入enable |
输入disable返回用户模式 |
| 全局配置模式 | Switch(config)# | 特权模式下输入configure terminal |
输入end返回特权模式,或exit逐级退出 |
| 接口配置模式 | Switch(config-if)# | 全局模式下输入interface <接口> |
输入end返回特权模式,或exit返回全局模式 |
| VLAN配置模式 | Switch(config-vlan)# | 全局模式下输入vlan <VLAN ID> |
输入end返回特权模式,或exit返回全局模式 |
| 端口安全配置模式 | Switch(config-if-port-sec)# | 接口模式下输入switchport port-security |
通过exit返回接口模式 |
相关问答FAQs:
-
问题:在配置Trunk链路时,为什么有时无法ping通跨交换机的同VLAN设备?
解答:可能原因包括:① Trunk链路未正确配置允许的VLAN,使用show interfaces trunk检查allowed vlan列表;② 两端交换机的Trunk模式协商失败(如一端为on,另一端为auto,无法协商成功),需确保两端模式一致或至少一端为active/passive;③ SVI接口(VLAN接口)未激活(shutdown状态),或IP地址配置错误;④ 物理链路故障,使用show interfaces <接口>查看接口状态是否为up/up。 -
问题:启用端口安全后,当接入的MAC地址数量超过限制时,接口进入
err-disable状态,如何恢复?
解答:接口进入err-disable状态后,需手动恢复,方法一:在全局配置模式下输入errdisable recovery cause psecure-violation设置自动恢复(可配置恢复时间,如errdisable recovery interval 30,30秒后自动恢复);方法二:手动关闭并重新开启接口(interface <接口>,shutdown,no shutdown),建议优先配置自动恢复,避免频繁手动操作,同时需排查违规原因(如未授权设备接入),确保网络安全。
