交换机作为现代网络的核心设备,其配置和管理依赖于一系列命令指令,掌握这些命令对于网络管理员至关重要,能够确保网络的稳定运行、高效管理和故障排查,以下将详细介绍交换机常用命令及其参数,涵盖基本配置、VLAN管理、端口配置、路由协议、安全设置、监控与维护等多个方面,为网络管理提供全面的参考。
基本配置命令
基本配置是交换机管理的基础,主要包括设备名称、密码设置、管理IP配置等,这些命令决定了交换机的基本身份访问权限和网络可达性。
enable:从用户模式进入特权模式,这是执行大多数配置和查看命令的前提。configure terminal:进入全局配置模式,所有全局性命令在此模式下执行。hostname <name>:设置交换机的主机名,便于网络中识别。hostname Switch-Core。enable secret <password>:设置特权模式加密密码,增强安全性,密码以密文形式存储。line console 0:进入控制台线路配置模式,用于设置控制台访问密码。password <console-password>:设置控制台登录密码。login:启用密码验证。
line vty 0 15:进入虚拟终端线路配置模式,用于远程Telnet/SSH访问。password <vty-password>:设置VTY登录密码。login local:启用本地用户名密码验证(需先配置用户名)。
username <name> privilege <level> secret <password>:创建本地用户并指定权限级别(0-15,15为最高权限)。interface vlan <vlan-id>:进入指定VLAN接口的配置模式,用于管理IP地址配置。ip address <ip-address> <subnet-mask>:配置管理IP地址和子网掩码。no shutdown:启用接口,默认情况下VLAN接口是关闭的。
ip default-gateway <gateway-ip>:配置默认网关,使交换机能够与其他网络通信。
VLAN管理命令
VLAN(虚拟局域网)是交换机最重要的功能之一,用于隔离广播域、提高网络安全性和管理灵活性。
vlan <vlan-id>:创建VLAN并进入VLAN配置模式。vlan 10。name <vlan-name>:为VLAN命名,如name Sales。
show vlan brief:查看所有VLAN的简要信息,包括VLAN ID、名称和对应端口。show vlan <vlan-id>:查看指定VLAN的详细信息,包括包含的端口列表。interface range <interface-range>:进入接口范围配置模式,批量配置端口。interface range fa0/1-10。switchport mode access:将端口设置为接入模式,用于连接终端设备。switchport access vlan <vlan-id>:将接入端口分配到指定VLAN。switchport mode trunk:将端口中继模式,用于承载多个VLAN的流量。switchport trunk allowed vlan <vlan-list>:设置Trunk端口允许通过的VLAN列表。allowed vlan 10,20,30或allowed vlan add 40(添加VLAN)。switchport trunk encapsulation dot1q:设置Trunk封装类型为802.1Q(Cisco交换机默认为ISL,需手动配置为Dot1Q以兼容其他厂商设备)。
端口配置与聚合
端口配置涉及速率、 duplex、状态等基本参数,而端口聚合(Port-Channel)则能增加链路带宽并提供冗余。
interface <interface-id>:进入指定物理接口配置模式,如interface fa0/1(快速以太网)或interface gi0/1(千兆以太网)。speed {10 | 100 | 1000 | auto}:设置端口速率。duplex {half | full | auto}:设置端口双工模式。no shutdown:启用端口;shutdown禁用端口。
channel-group <group-number> mode {on | active | passive | desirable}:将物理端口加入端口聚合组(Port-Channel)。mode on:静态聚合,不协商。mode active/passive:用于LACP(链路聚合控制协议)协商,active主动发起,passive等待发起。mode desirable/auto:用于PAgP(Cisco私有协议)协商,desirable主动发起,auto等待发起。
interface port-channel <group-number>:进入Port-Channel接口配置模式,可以对聚合逻辑端口进行配置,如设置IP地址(三层交换机)或加入VLAN。
三层路由功能(三层交换机)
三层交换机具备路由功能,可在VLAN间进行路由转发。
ip routing:全局命令,启用IP路由功能(默认在三层交换机上可能已启用)。interface <interface-id>:进入三层接口(如SVI或物理接口)。no switchport:将二层端口转换为三层路由端口(仅物理端口)。ip address <ip-address> <subnet-mask>:配置三层接口IP地址。
ip route <destination-network> <subnet-mask> <next-hop-ip | exit-interface>:配置静态路由。ip route 192.168.30.0 255.255.255.0 192.168.10.1。
路由协议配置
动态路由协议能自动学习和维护路由表,适用于复杂网络环境。
router ospf <process-id>:启用OSPF路由协议,进入OSPF配置模式。network <network-address> <wildcard-mask> area <area-id>:宣告参与OSPF的网络。network 192.168.10.0 0.0.0.255 area 0。
router eigrp <as-number>:启用EIGRP路由协议,进入EIGRP配置模式。network <network-address> <wildcard-mask>:宣告参与EIGRP的网络。network 192.168.10.0 0.0.0.255。
show ip route:查看路由表,显示 learned routes 的来源(O OSPF, D EIGRP, S Static)。
安全与访问控制
交换机的安全设置对于保护网络免受未授权访问和攻击至关重要。
mac address-table static <mac-address> <interface-id> vlan <vlan-id>:静态绑定MAC地址到端口,增强安全性。switchport port-security:启用端口安全功能。maximum <number>:设置端口允许的最大MAC地址数。violation {shutdown | restrict | protect}:设置安全违规处理方式。shutdown:关闭端口(默认)。restrict:丢弃违规数据包并发送SNMP trap。protect:丢弃违规数据包但不关闭端口。
ip access-list standard <acl-name>:创建标准IP访问控制列表。permit <host-ip> | <wildcard-mask>:允许特定主机或网段。deny any:拒绝其他所有。
interface <interface-id>:在接口应用ACL。ip access-group <acl-name> in | out:将ACL应用到接口的入方向或出方向。
监控与维护命令
日常监控和维护命令帮助管理员了解交换机状态,及时发现和解决问题。
show running-config:查看当前生效的配置。show startup-config:查看保存在NVRAM中的启动配置。copy running-config startup-config:将当前配置保存为启动配置。show version:查看交换机版本信息、硬件配置、启动时间等。show interfaces <interface-id> status:查看端口状态(up/down)、速率、双工模式等。show interfaces <interface-id> statistics:查看端口详细统计信息,如收发字节数、广播包数等。show mac address-table:查看MAC地址表,学习到的MAC地址与端口的映射关系。show log:查看系统日志信息。ping <ip-address>:测试网络连通性。traceroute <ip-address>:跟踪数据包到达目的地的路径。
交换机常用参数速查表
| 命令类别 | 常用命令 | 主要功能/参数说明 |
|---|---|---|
| 基本配置 | hostname <name> |
设置交换机主机名 |
enable secret <password> |
设置特权模式加密密码 | |
interface vlan <vlan-id> |
进入VLAN接口配置模式 | |
ip address <ip> <mask> |
配置管理IP地址和子网掩码 | |
| VLAN管理 | vlan <vlan-id> |
创建VLAN并进入VLAN配置模式 |
switchport mode access |
将端口设置为接入模式 | |
switchport access vlan <vlan-id> |
将接入端口分配到指定VLAN | |
switchport mode trunk |
将端口设置为Trunk模式 | |
switchport trunk allowed vlan <vlan-list> |
设置Trunk端口允许通过的VLAN列表 | |
| 端口配置 | speed {10|100|1000|auto} |
设置端口速率 |
duplex {half|full|auto} |
设置端口双工模式 | |
channel-group <group-num> mode active |
将端口加入LACP聚合组 | |
| 路由协议 | router ospf <process-id> |
启用OSPF协议 |
network <net> <wildcard> area <area-id> |
宣告OSPF网络 | |
ip route <dest> <mask> <next-hop> |
配置静态路由 | |
| 安全控制 | switchport port-security |
启用端口安全 |
port-security maximum <num> |
设置端口最大MAC数量 | |
ip access-group <acl-name> in |
在接口应用入方向ACL | |
| 监控维护 | show running-config |
查看当前生效配置 |
show interfaces status |
查看端口状态信息 | |
show mac address-table |
查看MAC地址表 | |
ping <ip> |
测试网络连通性 |
相关问答FAQs
Q1: 如何查看交换机上某个特定端口属于哪个VLAN?
A1: 可以使用以下命令:
- 进入特权模式:
enable - 查看指定端口的详细信息:
show interface <interface-id> switchport
show interface fa0/1 switchport。
在命令输出中,”Administrative Mode”和”Operational Mode”会显示端口是access还是trunk模式;”Access Mode VLAN”字段会明确显示该access端口所属的VLAN ID;如果是trunk端口,”Trunking VLANs Enabled”字段会显示允许通过的VLAN列表。
Q2: 交换机Trunk端口如何只允许特定VLAN通过,禁止其他VLAN?
A2: 可以通过配置Trunk端口的allowed vlan参数来实现,假设Trunk端口为gi0/1,只允许VLAN 10、20、30通过,操作步骤如下:
- 进入全局配置模式:
configure terminal - 进入接口配置模式:
interface gi0/1 - 设置Trunk模式(如果尚未设置):
switchport mode trunk - 配置允许的VLAN列表:
switchport trunk allowed vlan 10,20,30
如果需要在原有允许列表基础上添加VLAN,可以使用switchport trunk allowed vlan add <vlan-id>,例如add 40,如果需要移除某些VLAN,可以使用remove <vlan-id>,如果不允许任何VLAN通过(仅允许默认VLAN 1),可以使用switchport trunk allowed vlan remove 1(注意:某些交换机可能需要显式允许VLAN 1通过默认)。
来源互联网整合,作者:小编,如若转载,请注明出处:https://www.aiboce.com/ask/307762.html
