思科交换机作为网络基础设施中的核心设备,其配置与管理需依赖一系列常用命令来实现网络拓扑搭建、流量控制、故障排查等功能,以下从基础配置、VLAN管理、接口配置、链路聚合、STP协议、IP路由、安全配置及故障排查八大维度,详细解析思科交换机的常用命令及其应用场景。
(图片来源网络,侵删)
基础配置命令
基础配置是交换机管理的入门操作,主要包括设备名称、密码设置、管理模式切换等。
- 进入全局配置模式:
enable(从用户模式进入特权模式)后,输入configure terminal(简写conf t)进入全局配置模式。 - 设置设备名称:
hostname Switch-A(将交换机命名为Switch-A)。 - 配置登录密码:
- enable密码:
enable secret level 15 0 Cisco123(设置特权模式加密密码,level 15为最高权限); - console密码:
line console 0→password console123→login; - Telnet/SSH密码:
line vty 0 15→password telnet123→login。
- enable密码:
- 配置管理IP地址:
interface vlan 1→ip address 192.168.1.1 255.255.255.0→no shutdown(默认VLAN 1为管理VLAN)。
VLAN管理命令
VLAN(虚拟局域网)用于隔离广播域,提升网络安全性。
- 创建VLAN:
vlan 10→name Sales(创建VLAN 10并命名为Sales)。 - 将端口划入VLAN:
- 单个端口:
interface gigabitethernet 0/1→switchport mode access→switchport access vlan 10; - 批量端口:
interface range gigabitethernet 0/1-10→switchport mode access→switchport access vlan 10。
- 单个端口:
- 查看VLAN信息:
show vlan brief(以表格形式显示VLAN ID、名称及对应端口)。
接口配置命令
接口是交换机与终端设备连接的通道,需根据场景配置类型。
- 配置接口描述:
interface gigabitethernet 0/1→description Link-to-Server(添加端口用途说明)。 - 设置接口速率与双工模式:
speed 100→duplex full(强制百兆全双工模式,默认auto自适应)。 - 关闭/启用接口:
shutdown(关闭接口)→no shutdown(重启接口)。
链路聚合命令
链路聚合(Port-Channel)通过多物理链路捆绑提升带宽和冗余性。
(图片来源网络,侵删)
- 创建Port-Channel:
interface port-channel 1→switchport mode trunk(配置为中继模式)。 - 将物理端口加入Channel:
- 物理端口:
interface range gigabitethernet 0/23-24→channel-group 1 mode active(active为LACP主动模式, desirable为PAgP主动模式)。
- 物理端口:
- 查看聚合状态:
show etherchannel summary(显示Channel组及成员端口状态)。
STP协议命令
STP(生成树协议)防止网络环路,需优化根桥选举和端口状态。
- 设置交换机优先级:
spanning-tree vlan 10 root primary(将交换机设为VLAN 10的根桥,优先级默认32768,primary可自动调整为最低)。 - 配置端口快速转发:
interface gigabitethernet 0/1→spanning-tree portfast(用于连接终端的端口,跳过STP监听/学习状态)。 - 查看STP状态:
show spanning-tree vlan 10(显示VLAN 10的STP拓扑信息)。
IP路由配置命令
三层交换机支持路由功能,可实现VLAN间互通。
- 启用路由功能:
ip routing(全局模式下开启IP路由)。 - 配置SVI接口:
interface vlan 10→ip address 192.168.10.1 255.255.255.0→no shutdown(为VLAN 10配置虚拟三层接口)。 - 静态路由配置:
ip route 192.168.20.0 255.255.255.0 192.168.10.254(指向目标网段192.168.20.0/24的下一跳地址)。
安全配置命令
安全配置可防止未授权访问和恶意攻击。
- 端口安全:
interface gigabitethernet 0/1→switchport port-security→switchport port-security maximum 2(限制端口最大MAC地址数为2)→switchport port-security violation shutdown(违规关闭端口)。
- MAC地址绑定:
switchport port-security mac-address 001A.2B3C.4D5E(绑定静态MAC地址)。 - ACL访问控制:
- 标准ACL:
access-list 10 permit 192.168.1.0 0.0.0.255(允许192.168.1.0/24网段访问)→interface vlan 10→ip access-group 10 in(在VLAN 10接口应用ACL)。
- 标准ACL:
故障排查命令
故障排查需快速定位问题根源,常用命令如下:
(图片来源网络,侵删)
- 查看系统状态:
show version(显示系统版本、 uptime、硬件信息);show running-config(查看当前运行配置)。 - 接口状态检查:
show interface gigabitethernet 0/1(显示接口流量、错误包、状态);show interfaces status(以表格形式显示所有接口状态,包括连接速度、 duplex模式)。 - MAC地址与ARP表:
show mac-address-table(查看MAC地址与端口绑定关系);show arp(查看IP-MAC映射表)。 - 日志与调试:
show log(查看系统日志);debug ip packet(开启IP数据包调试,需谨慎使用,可能影响性能)。
相关问答FAQs
Q1: 如何将思科交换机的配置保存到启动配置中?
A: 在特权模式下执行copy running-config startup-config(简写wr),可将当前运行配置(running-config)保存为启动配置(startup-config),确保设备重启后配置不丢失,若需保存到TFTP服务器,可使用copy running-config tftp: [IP地址] [文件名]。
Q2: 交换机端口显示“err-disabled”状态如何恢复?
A: “err-disabled”通常因端口安全违规、BPDU防护触发或配置错误导致,恢复方法:
- 查看错误原因:
show interface gigabitethernet 0/1 status(若显示err-disabled,需查看日志show log | include err-disable); - 手动恢复端口:
interface gigabitethernet 0/1→shutdown→no shutdown; - 自动恢复(推荐):全局配置模式下执行
errdisable recovery cause psecure-violation(设置端口安全违规自动恢复),并设置恢复时间errdisable recovery interval 30(30秒后自动恢复)。
