交换机作为网络中的核心设备,其配置命令的掌握程度直接影响网络的稳定性、安全性和性能,不同品牌(如Cisco、华为)的交换机命令存在差异,但核心逻辑相通,以下以Cisco IOS为例,详细讲解常用交换机配置命令,涵盖基础设置、VLAN划分、端口安全、链路聚合、DHCP中继等关键场景,并辅以表格对比,帮助系统化理解。
基础配置命令
交换机的基础配置是网络搭建的起点,主要包括设备命名、管理IP设置、登录权限及密码配置。
进入全局配置模式
所有高级配置均需从全局配置模式开始,命令为:
Switch> enable // 从用户模式进入特权模式 Switch# configure terminal // 进入全局配置模式 Switch(config)#
设备命名
为便于管理,需为交换机设置唯一标识:
Switch(config)# hostname Switch-A // 将设备名改为Switch-A
配置管理IP地址
交换机需IP地址以实现远程管理(如Telnet/SSH登录),通常使用VLAN 1作为管理VLAN(生产环境建议单独创建管理VLAN):
Switch(config)# interface vlan 1 // 进入VLAN 1接口 Switch(config-if)# ip address 192.168.1.1 255.255.255.0 // 配置IP与子网掩码 Switch(config-if)# no shutdown // 启用接口
设置登录权限与密码
- 控制台密码:用于本地物理登录控制台端口:
Switch(config)# line console 0 Switch(config-line)# password console123 // 设置控制台密码 Switch(config-line)# login // 启用密码验证
- VTY密码:用于远程Telnet/SSH登录,支持多个并发会话:
Switch(config)# line vty 0 15 // 配置0-15条虚拟线路(支持16个并发会话) Switch(config-line)# password telnet456 // 设置VTY密码 Switch(config-line)# login
保存配置
配置完成后需保存至闪存,避免重启丢失:
Switch# copy running-config startup-config // 将当前运行配置保存到启动配置
VLAN配置命令
VLAN(虚拟局域网)用于隔离广播域,提升网络安全性,以下是创建VLAN、分配端口及Trunk链路的配置步骤。
创建VLAN
Switch(config)# vlan 10 // 创建VLAN 10 Switch(config-vlan)# name Sales // 命名为Sales部门 Switch(config-vlan)# vlan 20 Switch(config-vlan)# name IT
将端口分配到VLAN
- 接入端口(Access Port):连接终端设备(如PC、打印机),只能属于一个VLAN:
Switch(config)# interface fastethernet 0/1 // 进入F0/1接口 Switch(config-if)# switchport mode access // 设置为接入模式 Switch(config-if)# switchport access vlan 10 // 将端口划入VLAN 10
- 中继端口(Trunk Port):连接其他交换机,允许多个VLAN通过(默认所有VLAN通过,可手动限制):
Switch(config)# interface gigabitethernet 0/1 // 进入千兆口G0/1 Switch(config-if)# switchport mode trunk // 设置为中继模式 Switch(config-if)# switchport trunk allowed vlan 10,20 // 仅允许VLAN 10、20通过(默认允许所有)
查看VLAN信息
Switch# show vlan brief // 显示所有VLAN及其对应端口
端口安全配置
端口安全限制端口接入的设备数量,防止未授权设备接入,保障网络安全。
启用端口安全
Switch(config)# interface fastethernet 0/1 Switch(config-if)# switchport port-security // 启用端口安全
设置最大连接数
Switch(config-if)# switchport port-security maximum 2 // 限制端口最多接入2台设备
违反安全策略后的处理方式
- protect:丢弃违规数据包,不发送告警(默认)
- restrict:丢弃数据包并发送SNMP告警
- shutdown:关闭端口(需手动重启)
Switch(config-if)# switchport port-security violation shutdown // 违规时关闭端口
绑定MAC地址
可将特定MAC地址与端口绑定,仅允许该设备接入:
Switch(config-if)# switchport port-security mac-address 0015.C5BE.0E01 // 绑定MAC地址
链路聚合配置
链路聚合(EtherChannel)将多个物理链路捆绑为一条逻辑链路,增加带宽并提供冗余。
创建EtherChannel
Switch(config)# interface range fastethernet 0/1-2 // 选择要聚合的端口(F0/1和F0/2) Switch(config-if-range)# channel-group 1 mode active // 创建组1,模式为active(LACP协议)
- 模式说明:
- active:主动发送LACP报文(推荐)
- passive:被动响应LACP报文
- on:静态聚合(不协商,需两端手动配置)
配置聚合端口IP
聚合后需在逻辑接口上配置IP:
Switch(config)# interface port-channel 1 // 进入聚合接口 Switch(config-if)# ip address 192.168.2.1 255.255.255.0
DHCP中继配置
当DHCP服务器不在同一VLAN时,需在交换机上配置DHCP中继,转发客户端的DHCP请求。
启用DHCP中继
Switch(config)# interface vlan 10 // 进入需要DHCP中继的VLAN接口 Switch(config-if)# ip helper-address 192.168.1.10 // 指定DHCP服务器IP
常用配置命令速查表
| 功能分类 | 命令示例 | 说明 |
|---|---|---|
| 进入模式 | configure terminal |
进入全局配置模式 |
| 设备命名 | hostname Switch-A |
修改设备名称 |
| 配置管理IP | ip address 192.168.1.1 255.255.255.0 |
设置接口IP地址 |
| 创建VLAN | vlan 10 name Sales |
创建VLAN并命名 |
| 端口划入VLAN | switchport access vlan 10 |
将Access端口划入VLAN 10 |
| 配置Trunk | switchport mode trunk |
设置端口为Trunk模式 |
| 启用端口安全 | switchport port-security |
开启端口安全功能 |
| 创建链路聚合 | channel-group 1 mode active |
创建EtherChannel并设置LACP主动模式 |
| 保存配置 | copy running-config startup-config |
保存当前配置到启动配置 |
相关问答FAQs
问题1:交换机端口无法划入VLAN,可能的原因及解决方法?
解答:可能原因包括:
- 端口已被其他服务占用(如端口安全、STP),需用
no switchport port-security或spanning-tree portfast清除配置; - 端模式错误(如为Trunk模式),需先执行
switchport mode access; - VLAN不存在,需先创建VLAN(
vlan [ID])。
解决步骤:检查端口模式→确认VLAN是否存在→清除冗余配置。
问题2:如何查看交换机已配置的DHCP中继信息?
解答:使用以下命令查看:
Switch# show ip interface dhcp-relay // 显示所有VLAN接口的DHCP中继配置 Switch# show running-config | include ip helper-address // 过滤配置中包含DHCP服务器IP的行
通过上述命令可确认哪些VLAN开启了DHCP中继及指定的服务器IP地址是否正确。
