思科交换机作为网络基础设施的核心设备，其命令行界面（CLI）是网络管理员进行配置、管理和故障排查的主要工具，掌握思科交换机命令对于确保网络稳定运行、优化性能及快速定位问题至关重要，以下将详细介绍思科交换机的常用命令，涵盖基础配置、VLAN管理、接口配置、生成树协议、链路聚合、安全配置及监控命令等,并结合实际场景说明其应用方法。

基础配置命令

基础配置是交换机入网的起点，主要包括设备命名、密码设置、管理IP配置及远程访问启用等。

1. 进入全局配置模式
   交换机开机后默认处于用户模式（>），需进入特权模式（#）再进入全局配置模式（(config)#`）：

   enable              // 从用户模式进入特权模式（若 enable password 已设置，需输入密码）
   configure terminal  // 进入全局配置模式

2. 设备命名
   为设备设置唯一标识，便于管理：

   hostname Switch-Core-01    // 将设备命名为"Switch-Core-01"

3. 配置登录密码
   包括特权模式密码和console口登录密码：

   
   （图片来源网络，侵删）

   enable secret level 15 Cisco123!    // 设置特权模式加密密码（level 15为最高权限）
   line console 0                      // 进入console线路配置模式
    password ConsolePass!               // 设置console登录密码
    login                              // 启用密码验证
   line vty 0 15                       // 进入虚拟终端线路配置模式（0-15为16个并发会话）
    password TelnetPass!               // 设置Telnet/SSH登录密码
    login
   transport input ssh                 // 限制远程访问协议为SSH（更安全）

4. 配置管理IP地址
   为交换机配置管理IP，实现远程管理（通常使用VLAN1作为默认管理VLAN，建议根据业务划分独立VLAN）：

   interface vlan 1                   // 进入VLAN1接口配置模式
    ip address 192.168.1.254 255.255.255.0  // 配置管理IP及子网掩码
    no shutdown                        // 启用接口

VLAN管理命令

VLAN（虚拟局域网）用于隔离广播域，提升网络安全性及性能。

1. 创建VLAN

   vlan 10                             // 创建VLAN 10（若VLAN不存在）
    name Sales                         // 为VLAN命名（可选，便于识别）
   vlan 20
    name IT

2. 将端口分配到VLAN

   
   （图片来源网络，侵删）
   • 二层端口接入VLAN：

     interface gigabitethernet 0/1    // 进入指定物理接口
      switchport mode access           // 将端口设置为接入模式（连接终端设备）
      switchport access vlan 10        // 将端口划入VLAN 10

   • 中继端口（Trunk）配置：用于交换机间传输多VLAN流量

     interface gigabitethernet 0/24
      switchport mode trunk            // 设置端口为Trunk模式
      switchport trunk allowed vlan 10,20,30  // 允许VLAN 10、20、30通过Trunk链路
      switchport trunk encapsulation dot1q  // 封装协议为802.1Q（默认为ISL，现多使用dot1q）

3. 查看VLAN信息

   show vlan brief                     // 显示所有VLAN及其对应端口
   show vlan name Sales                // 查看指定VLAN的详细信息

接口配置命令

接口是交换机与外部设备连接的通道，需根据设备类型配置参数。

1. 物理接口参数配置

   interface range gigabitethernet 0/1-10  // 批量配置多个接口（0/1至0/10）
    description "Connected to Sales PCs"    // 设置接口描述信息（可选，便于排查）
    speed 1000                           // 设置接口速率为1000Mbps（自适应可省略）
    duplex full                         // 设置双工模式为全双工（避免半双工导致的冲突）
    no shutdown                          // 启用接口

2. 三层接口配置（SVI）
   当交换机需要跨VLAN路由时，需创建交换虚拟接口（SVI）：

   interface vlan 10                    // 进入VLAN 10的SVI接口
    ip address 192.168.10.1 255.255.255.0  // 配置VLAN 10的网关IP
    no shutdown
   interface vlan 20
    ip address 192.168.20.1 255.255.255.0
    no shutdown

生成树协议（STP）配置

STP用于防止网络环路，通过阻塞冗余链路确保无环路拓扑。

1. 启用STP

   spanning-tree mode pvst             // 设置STP模式为PVST（每VLAN生成树，思科默认）
   spanning-tree vlan 10 priority 4096 // 修改VLAN 10的优先级（默认32768，值越小优先级越高）

2. 配置端口角色

   interface gigabitethernet 0/24
    spanning-tree portfast             // 启用PortFast（用于连接终端的端口，跳过STP监听/学习状态）
   interface gigabitethernet 0/25
    spanning-tree bpduguard enable     // 启用BPDU防护（防止非法设备接入导致环路）

3. 查看STP状态

   show spanning-tree vlan 10          // 查看VLAN 10的STP拓扑信息
   show spanning-tree summary          // 查看STP全局摘要信息

链路聚合（EtherChannel）配置

链路聚合将多个物理链路捆绑为一条逻辑链路，提升带宽并实现冗余。

1. 创建EtherChannel

   interface range gigabitethernet 0/1-2  // 选择要捆绑的物理接口
    channel-group 1 mode active          // 创建编号为1的EtherChannel，模式为active（LACP主动模式）

   • 模式说明：active/passive（LACP协商）、on（静态捆绑，不协商，需确保两端参数一致）。

2. 配置接口参数
   物理接口需配置为Trunk模式且允许相关VLAN通过，参数需一致：

   interface port-channel 1            // 进入逻辑接口
    switchport mode trunk
    switchport trunk allowed vlan 10,20

3. 查看EtherChannel状态

   show etherchannel summary           // 显示所有EtherChannel的摘要信息
   show etherchannel port-channel 1    // 查看指定EtherChannel的详细信息

安全配置命令

安全配置是防范网络攻击的重要手段，包括端口安全、MAC地址过滤等。

1. 端口安全
   限制端口接入的MAC地址数量，防止未授权设备接入：

   interface gigabitethernet 0/1
    switchport port-security           // 启用端口安全
    switchport port-security maximum 2  // 限制最大MAC地址数为2（如仅允许PC和打印机）
    switchport port-security violation shutdown  // 安全违规动作（shutdown/protect/restrict）

2. MAC地址绑定
   绑定静态MAC地址，仅允许指定设备接入：

   switchport port-security mac-address 001A.2B3C.4D5E  // 绑定静态MAC

3. IP Source Guard
   基于端口安全MAC和DHCP Snooping绑定，防止IP地址欺骗：

   ip dhcp snooping                   // 启用DHCP Snooping
   ip dhcp snooping vlan 10           // 对VLAN 10启用DHCP Snooping
   interface gigabitethernet 0/1
    ip verify source port-security    // 启用IP Source Guard

监控与故障排查命令

通过监控命令实时掌握设备状态，快速定位故障。

1. 查看系统信息

   show version                        // 查看系统版本、运行时间、配置寄存器值
   show running-config                 // 查看当前运行配置（可导出保存：copy running-config tftp://<IP>）
   show startup-config                 // 查看启动配置（保存在NVRAM中）

2. 查看接口状态

   show interfaces gigabitethernet 0/1  // 查看指定接口的详细状态（流量、错误、双工等）
   show interfaces status              // 查看所有接口的简要状态（up/down、速度、双工）

3. 查看MAC地址表

   show mac-address-table             // 查看MAC地址与端口的映射关系
   show mac-address-table aging-time  // 查看MAC地址表老化时间

4. 查看ARP表

   show arp vlan 10                    // 查看VLAN 10内的ARP表（IP与MAC的映射）

5. 日志与调试

   show logging                        // 查看系统日志
   debug spanning-tree events          // 调试STP事件（调试信息需用undebug all关闭）

配置保存与备份

配置完成后需保存，避免重启丢失：

copy running-config startup-config    // 保存当前配置到NVRAM（启动时自动加载）
copy startup-config tftp://192.168.1.100/backup.cfg  // 备份配置到TFTP服务器

相关问答FAQs

Q1: 如何快速定位交换机上某个MAC地址对应的端口？
A: 使用show mac-address-table命令，结合MAC地址查询即可，查找MAC地址56BE.6A12所属端口：

show mac-address-table | include 0050.56BE.6A12

若输出为Gi0/5 10 0050.56BE.6A12 DYNAMIC，表示该MAC地址属于VLAN 10的GigabitEthernet0/5端口，且为动态学习到的MAC。

Q2: 交换机Trunk端口无法传输多VLAN流量，如何排查？
A: 可按以下步骤排查：

1. 检查端口模式是否为Trunk：show interfaces gigabitethernet 0/24 | include switchport，确认输出为switchport mode trunk。
2. 检查允许的VLAN列表：show interfaces gigabitethernet 0/24 switchport | include allowed vlan，确认目标VLAN是否在列表中，若不在，需添加：switchport trunk allowed vlan add <VLAN_ID>。
3. 检查对端交换机Trunk端口配置，确保两端允许的VLAN一致、封装协议相同（dot1q/ISL）。
4. 检查VLAN是否在交换机中存在：show vlan brief，若VLAN未创建,需先创建VLAN。