思科交换机命令行手册是网络管理员日常运维和配置的重要参考工具，通过命令行界面（CLI）可实现对交换机硬件、协议、安全等功能的精细化管理，以下从基础操作、常用配置命令、高级功能及维护命令等方面展开详细说明,帮助用户快速掌握核心操作逻辑。

命令行基础操作

思科交换机CLI基于操作系统（如IOS、IOS XE），通过Console、Telnet或SSH方式登录后，需熟悉基本操作指令：

• 用户模式与特权模式切换：首次登录进入用户模式（提示符：Switch>），输入enable进入特权模式（提示符：Switch#），输入disable返回用户模式。
• 全局配置模式进入：在特权模式下输入configure terminal（简写conf t），进入全局配置模式（提示符：Switch(config)#），所有影响整体设备的命令在此模式下执行。
• 子模式配置：全局模式下输入具体接口配置命令（如interface GigabitEthernet0/1）进入接口子模式（提示符：Switch(config-if)#），或输入vlan 10进入VLAN子模式（提示符：Switch(config-vlan)#）。
• 命令帮助与补全：输入命令后加可查看帮助（如show ?显示所有查看命令）；按Tab键可补全命令（如conf按Tab补全为configure）。
• 保存与擦除配置：特权模式下输入write memory（简写wr）保存当前配置到启动配置（startup-config）；输入erase startup-config恢复出厂配置（重启后生效）。

常用配置命令

基本网络配置

• 设备命名与密码设置：

  Switch(config)# hostname Switch-Office         // 设置设备名称  
  Switch(config)# enable secret cisco123         // 设置特权模式加密密码  
  Switch(config)# line console 0                 // 进入控制台线路模式  
  Switch(config-line)# password console_password // 设置控制台登录密码  
  Switch(config-line)# login                     // 启用密码验证  
  Switch(config-line)# exit  
  Switch(config)# line vty 0 15                  // 进入虚拟线路模式（支持0-15个并发会话）  
  Switch(config-line)# password telnet_password // 设置Telnet/SSH登录密码  
  Switch(config-line)# login  

• IP地址与默认网关配置（用于设备管理）：

  Switch(config)# interface vlan 1              // 进入管理VLAN接口  
  Switch(config-if)# ip address 192.168.1.100 255.255.255.0 // 配置IP地址  
  Switch(config-if)# no shutdown               // 启用接口  
  Switch(config)# ip default-gateway 192.168.1.1 // 配置默认网关  

VLAN配置

VLAN（虚拟局域网）用于隔离广播域，提升网络安全性：

• 创建VLAN并分配端口：

  Switch(config)# vlan 10                      // 创建VLAN 10  
  Switch(config-vlan)# name Sales               // 命名VLAN（可选）  
  Switch(config-vlan)# exit  
  Switch(config)# interface range GigabitEthernet0/1-10 // 批量进入接口范围  
  Switch(config-if-range)# switchport mode access    // 设置端口为接入模式  
  Switch(config-if-range)# switchport access vlan 10 // 将端口划入VLAN 10  

• Trunk端口配置（用于跨交换机传输多VLAN流量）：

  Switch(config)# interface GigabitEthernet0/24  
  Switch(config-if)# switchport mode trunk      // 设置端口为Trunk模式  
  Switch(config-if)# switchport trunk allowed vlan 10,20 // 允许VLAN 10和20通过  
  Switch(config-if)# switchport trunk encapsulation dot1q // 指定封装协议（默认为ISL，需与对端一致）  

接口配置

• 物理接口参数：

  Switch(config)# interface GigabitEthernet0/1  
  Switch(config-if)# description Link-to-Server // 设置接口描述（便于管理）  
  Switch(config-if)# speed 1000                 // 设置接口速率（10/100/1000）  
  Switch(config-if)# duplex full                // 设置双工模式（half/full/auto）  
  Switch(config-if)# no shutdown               // 启用接口（默认关闭）  

• 聚合链路（EtherChannel）配置（增加带宽、实现冗余）：

  Switch(config)# interface range GigabitEthernet0/1-2  
  Switch(config-if-range)# channel-group 1 mode active // 创建聚合组1，模式为LACP（active/passive）  
  Switch(config-if-range)# exit  
  Switch(config)# interface port-channel 1      // 进入聚合逻辑接口  
  Switch(config-if)# switchport mode trunk      // 配置Trunk模式  

高级功能配置

STP生成树协议

STP防止网络中出现二层环路，默认开启：

• 查看STP状态：show spanning-tree vlan 1
• 调整STP优先级（指定根交换机）：

  Switch(config)# spanning-tree vlan 10 priority 4096 // 优先级值越小越优先（默认32768）  

安全功能

• 端口安全（限制端口MAC地址数量）：

  Switch(config)# interface GigabitEthernet0/1  
  Switch(config-if)# switchport port-security      // 启用端口安全  
  Switch(config-if)# switchport port-security maximum 2 // 最多允许2个MAC地址  
  Switch(config-if)# switchport port-security violation shutdown // 违规动作（shutdown/protect/restrict）  

• ACL访问控制列表：

  Switch(config)# ip access-list extended ACL_IN // 扩展ACL  
  Switch(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any eq 80 // 允许VLAN 1访问HTTP  
  Switch(config-ext-nacl)# deny ip any any       // 拒绝其他流量  
  Switch(config-ext-nacl)# exit  
  Switch(config)# interface vlan 1  
  Switch(config-if)# ip access-group ACL_IN in   // 在接口应用ACL（in/out）  

DHCP中继

若交换机连接DHCP服务器，可配置接口转发DHCP请求：

Switch(config)# interface vlan 10  
Switch(config-if)# ip helper-address 192.168.1.10 // 指定DHCP服务器IP  

维护与排错命令

• 查看设备信息：

  show version          // 查看系统版本、硬件信息、运行时间  
  show running-config   // 查看当前运行配置  
  show startup-config   // 查看启动配置  
  show vlan brief       // 查看VLAN及端口分配  
  show interface status // 查看接口状态（up/down速率双工）  
  show mac address-table // 查看MAC地址表  

• 网络连通性测试：

  ping 192.168.1.1      // 测试网络连通性  
  traceroute 192.168.1.1 // 路由跟踪  

• 日志与调试：

  terminal monitor        // 在Console查看远程登录日志  
  logging buffered 512000 // 设置日志缓冲区大小  
  debug ip packet detail // 调试IP数据包（慎用，影响性能）  
  undebug all             // 关闭所有调试  

相关问答FAQs

Q1: 如何恢复思科交换机到出厂默认设置？
A1: 恢复出厂设置需擦除启动配置并重启设备，操作步骤如下：

1. 进入特权模式，输入erase startup-config擦除配置（需确认）；
2. 输入reload重启设备，重启过程中提示是否保存配置时选择“No”；
3. 重启后设备恢复为默认配置（用户模式，无IP地址、无VLAN等）。

Q2: 交换机端口显示“err-disabled”状态是什么原因？如何解决？
A2: “err-disabled”表示因安全违规（如端口安全MAC超限、BPDU防护触发等）导致接口被自动关闭，解决方法：

1. 查看关闭原因：show interfaces GigabitEthernet0/1 status，若显示“err-disabled (security-violation)”，则为端口安全违规；
2. 手动恢复接口：interface GigabitEthernet0/1进入接口模式，输入shutdown关闭接口，再no shutdown重新启用；
3. 永久解决：调整端口安全策略（如增加MAC数量）或禁用违规检测功能（no switchport port-security violation shutdown，不推荐）。