思科3560交换机作为企业级接入层设备,其命令体系基于Cisco IOS,涵盖基础配置、VLAN管理、端口安全、路由功能及故障排查等多个维度,以下从核心应用场景出发,详细解析关键命令及配置逻辑。
基础配置命令
基础配置是交换机投入使用的前提,主要包括设备命名、密码设置、接口IP配置及远程管理权限开启等。
- 设备命名与密码设置:
进入全局配置模式后,通过hostname SW1将交换机命名为“SW1”,便于识别,特权模式密码使用enable secret cisco123配置(加密存储),console口密码通过line console 0进入console线路配置模式,执行password console123和login启用登录验证。 - 管理IP配置:
管理VLAN(默认VLAN1)需配置IP地址,实现远程管理,命令如下:interface vlan 1 ip address 192.168.1.1 255.255.255.0 no shutdown若需远程Telnet/SSH访问,需配置VTY线路:
line vty 0 15 password telnet123 login transport input ssh (仅允许SSH,更安全)SSH需提前生成加密密钥:
crypto key generate rsa,指定密钥长度(如1024位)。
VLAN管理与端口配置
VLAN(虚拟局域网)是实现网络隔离的核心技术,3560支持标准VLAN(1-1005)和扩展VLAN(1006-4094)。
VLAN创建与划分
- 创建VLAN:
vlan 10进入VLAN配置模式,name Sales命名VLAN10为“Sales”,批量创建VLAN可使用vlan batch 20,30,40。 - 端口划入VLAN:将接入端口(如FastEthernet0/1)划入VLAN10:
interface fa0/1 switchport mode access (定义为接入端口) switchport access vlan 10若需端口允许多个VLAN通过(如连接交换机),则配置为Trunk模式:
interface gi0/1 switchport mode trunk switchport trunk allowed vlan 10,20,30 (允许指定VLAN通过,默认允许所有)
Native VLAN与VLAN修剪
Trunk链路的Native VLAN(默认VLAN1)用于承载未标记流量,可通过switchport trunk native vlan 99修改为自定义VLAN(建议非VLAN1),为减少广播流量,可修剪Trunk允许的VLAN:switchport trunk allowed vlan remove 50(禁止VLAN50通过)。
端口安全配置
端口安全功能可限制接入设备的MAC地址数量,防止非法设备接入,配置步骤如下:
- 进入接口配置模式(如
interface fa0/2)。 - 启用端口安全:
switchport port-security。 - 设置MAC地址限制:
switchport port-security maximum 2(最多允许2个MAC地址)。 - 定义违规处理方式:
switchport port-security violation shutdown(违规时关闭端口,可选protect(丢弃违规流量)或restrict(丢弃并告警))。 - 绑定静态MAC地址(可选):
switchport port-security mac-address 0000.1111.2222。
查看端口安全状态:show port-security interface fa0/2,可显示MAC地址、违规计数等信息。
三层路由功能配置
思科3560是三层交换机,支持硬件加速的路由转发,需先启用全局路由功能:ip routing。
接口IP与路由
- 为VLAN接口配置IP地址(作为VLAN内网关):
interface vlan 10 ip address 10.1.10.1 255.255.255.0 - 配置静态路由:若目标网络192.168.2.0/24的下一跳为192.168.1.2,命令为:
ip route 192.168.2.0 255.255.255.0 192.168.1.2。 - 动态路由协议(如OSPF):
router ospf 1 network 10.1.10.0 0.0.0.255 area 0 (宣告直连网络) network 192.168.1.0 0.0.0.255 area 0
DHCP中继
若DHCP服务器位于其他网段,需在DHCP客户端所在VLAN接口启用中继:
interface vlan 20
ip helper-address 192.168.1.100 (指向DHCP服务器IP) 常用查看与排错命令
日常运维中需通过查看命令监控设备状态,关键命令如下表所示:
| 命令 | 功能说明 |
|---|---|
show running-config |
查看当前生效的完整配置 |
show vlan brief |
显示VLAN摘要信息(VLAN ID、名称及关联端口) |
show interface status |
查看接口状态(连接速率、双工模式、VLAN归属) |
show mac address-table |
显示MAC地址表(MAC与端口对应关系) |
show ip route |
查看路由表(直连、静态、动态路由条目) |
show log |
查看系统日志(记录设备启动、端口状态变化等事件) |
ping 192.168.1.1 |
测试网络连通性(发送ICMP Echo请求) |
traceroute 10.1.10.2 |
跟踪数据包路径(定位网络故障点) |
FAQs
Q1:如何恢复思科3560交换机到出厂设置?
A1:通过console口连接交换机,重启过程中按住“mode”键进入ROMMON模式,执行flash_init初始化闪存,然后delete flash:config.text删除配置文件,delete flash:vlan.dat删除VLAN数据库,最后boot重启交换机,即可恢复出厂设置(无需密码进入,配置为空)。
Q2:端口因安全违规被关闭后,如何恢复?
A2:首先进入接口配置模式(如interface fa0/2),执行shutdown再no shutdown手动重启端口;若需自动恢复,可在全局配置模式下设置errdisable recovery cause psecure-violation(端口安全违规自动恢复),并配置恢复间隔errdisable recovery interval 30(30秒后恢复)。
