思科交换机端口命令有哪些常用操作？

思科交换机端口命令是网络管理中用于配置和管理交换机接口的核心工具，通过这些命令可以实现对端口状态、速率、 duplex 模式、 VLAN 划分、安全策略等的精细控制，以下从常用命令、配置步骤及高级功能三个方面进行详细说明。

基础状态与参数配置命令

在配置端口前，通常需要先进入全局配置模式，再进入具体的接口配置模式，基础命令包括查看端口状态和修改物理参数。

1. 进入接口模式：

   configure terminal  
   interface GigabitEthernet0/1  // 以千兆以太网口 0/1 为例  

2. 查看端口状态：
   • show interfaces GigabitEthernet0/1：显示端口的详细状态，包括 line protocol 状态、 duplex 模式、速率、流量统计等。
   • show interfaces status：以表格形式显示所有端口的简要状态（如端口名、VLAN、状态、 duplex 等）。
3. 配置物理参数：
   • 速率与 duplex 设置：

     speed 100          // 设置速率为 100Mbps  
     duplex full        // 设置 duplex 为全双工  

   • 开关端口：

     no shutdown        // 启用端口（默认关闭）  
     shutdown           // 禁用端口  

VLAN 与 Trunk 配置命令

VLAN 划分和 Trunk 配置是实现网络隔离和跨交换机通信的关键。

1. 接入端口（Access Port）配置：
   将端口划入指定 VLAN，通常用于连接终端设备（如 PC、打印机）。

   switchport mode access    // 设置端口为接入模式  
   switchport access vlan 10 // 将端口划分到 VLAN 10  

2. Trunk 端口配置：
   用于交换机之间的互联，允许多个 VLAN 的数据通过。

   switchport mode trunk     // 设置端口为 Trunk 模式  
   switchport trunk allowed vlan 10,20,30 // 允许 VLAN 10、20、30 通过  

   • 查看Trunk配置：show interfaces GigabitEthernet0/1 trunk
   • 移除允许的VLAN：no switchport trunk allowed vlan 20

安全与保护功能配置

思科交换机提供多种端口安全机制，防止未授权设备接入。

1. 端口安全配置：
   • 限制 MAC 地址数量并绑定安全地址：

     switchport port-security        // 启用端口安全  
     switchport port-security maximum 2 // 最多允许 2 个 MAC 地址  
     switchport port-security violation shutdown // 违例时关闭端口  

   • 手动绑定 MAC 地址：

     switchport port-security mac-address 0050.56BE.6A2D  

2. 风暴控制（Storm Control）：
   限制广播、组播或未知单播流量，防止广播风暴。

   storm-control broadcast level 20 // 广播流量超过 20% 时触发  

高级功能配置

1. 端口镜像（SPAN）：
   将指定端口的流量复制到监控端口，用于流量分析。

   monitor session 1 source interface GigabitEthernet0/1 rx // 监控端口 0/1 的接收流量  
   monitor session 1 destination interface GigabitEthernet0/2 // 将流量复制到端口 0/2  

2. 端口通道（Port-Channel）：
   将多个物理端口捆绑为逻辑通道，增加带宽和冗余。

   interface Port-channel1  
   switchport mode trunk  
   interface range GigabitEthernet0/1-2  
   channel-group 1 mode active // 将端口 0/1 和 0/2 加入 Port-channel1  

相关问答 FAQs

问题1：如何将已配置的 Trunk 端口修改为 Access 端口？
解答：进入接口配置模式后，依次执行以下命令：

no switchport trunk allowed vlan // 移除 Trunk 允许的 VLAN  
switchport mode access         // 修改为 Access 模式  
switchport access vlan 10       // 划分到目标 VLAN  

注意：修改前需确保该端口未承载重要业务，避免导致网络中断。

问题2：端口安全中“violation”模式有哪些选项，区别是什么？
解答：violation 模式有三种选项：

• protect：当 MAC 地址数量超过限制时，丢弃违规数据包但不记录日志，端口保持 UP 状态。
• restrict：丢弃违规数据包并生成 SNMP 陷阱，端口仍 UP，适合需要监控的场景。
• shutdown：默认模式，端口立即进入 err-disabled 状态，需手动执行 no shutdown 恢复或配置 err-disabled 自动恢复。