交换机配置命令有哪些？

交换机作为网络中的核心设备,其配置命令的掌握程度直接影响网络的稳定性、安全性和性能，不同品牌（如Cisco、华为）的交换机命令存在差异，但核心逻辑相通，以下以Cisco IOS为例，详细讲解常用交换机配置命令，涵盖基础设置、VLAN划分、端口安全、链路聚合、DHCP中继等关键场景，并辅以表格对比，帮助系统化理解。

基础配置命令

交换机的基础配置是网络搭建的起点,主要包括设备命名、管理IP设置、登录权限及密码配置。

进入全局配置模式
所有高级配置均需从全局配置模式开始，命令为：

Switch> enable          // 从用户模式进入特权模式  
Switch# configure terminal  // 进入全局配置模式  
Switch(config)#  

设备命名
为便于管理，需为交换机设置唯一标识：

Switch(config)# hostname Switch-A  // 将设备名改为Switch-A  

配置管理IP地址
交换机需IP地址以实现远程管理（如Telnet/SSH登录），通常使用VLAN 1作为管理VLAN（生产环境建议单独创建管理VLAN）：

Switch(config)# interface vlan 1      // 进入VLAN 1接口  
Switch(config-if)# ip address 192.168.1.1 255.255.255.0  // 配置IP与子网掩码  
Switch(config-if)# no shutdown       // 启用接口  

设置登录权限与密码

• 控制台密码：用于本地物理登录控制台端口：

  Switch(config)# line console 0  
  Switch(config-line)# password console123  // 设置控制台密码  
  Switch(config-line)# login              // 启用密码验证  

• VTY密码：用于远程Telnet/SSH登录，支持多个并发会话：

  Switch(config)# line vty 0 15  // 配置0-15条虚拟线路（支持16个并发会话）  
  Switch(config-line)# password telnet456  // 设置VTY密码  
  Switch(config-line)# login  

保存配置
配置完成后需保存至闪存，避免重启丢失：

Switch# copy running-config startup-config  // 将当前运行配置保存到启动配置  

VLAN配置命令

VLAN（虚拟局域网）用于隔离广播域，提升网络安全性，以下是创建VLAN、分配端口及Trunk链路的配置步骤。

创建VLAN

Switch(config)# vlan 10               // 创建VLAN 10  
Switch(config-vlan)# name Sales       // 命名为Sales部门  
Switch(config-vlan)# vlan 20  
Switch(config-vlan)# name IT  

将端口分配到VLAN

• 接入端口（Access Port）：连接终端设备（如PC、打印机），只能属于一个VLAN：

  Switch(config)# interface fastethernet 0/1  // 进入F0/1接口  
  Switch(config-if)# switchport mode access    // 设置为接入模式  
  Switch(config-if)# switchport access vlan 10 // 将端口划入VLAN 10  

• 中继端口（Trunk Port）：连接其他交换机，允许多个VLAN通过（默认所有VLAN通过，可手动限制）：

  Switch(config)# interface gigabitethernet 0/1  // 进入千兆口G0/1  
  Switch(config-if)# switchport mode trunk      // 设置为中继模式  
  Switch(config-if)# switchport trunk allowed vlan 10,20  // 仅允许VLAN 10、20通过（默认允许所有）  

查看VLAN信息

Switch# show vlan brief  // 显示所有VLAN及其对应端口  

端口安全配置

端口安全限制端口接入的设备数量,防止未授权设备接入，保障网络安全。

启用端口安全

Switch(config)# interface fastethernet 0/1  
Switch(config-if)# switchport port-security  // 启用端口安全  

设置最大连接数

Switch(config-if)# switchport port-security maximum 2  // 限制端口最多接入2台设备  

违反安全策略后的处理方式

• protect：丢弃违规数据包，不发送告警（默认）
• restrict：丢弃数据包并发送SNMP告警
• shutdown：关闭端口（需手动重启）

  Switch(config-if)# switchport port-security violation shutdown  // 违规时关闭端口  

绑定MAC地址
可将特定MAC地址与端口绑定，仅允许该设备接入：

Switch(config-if)# switchport port-security mac-address 0015.C5BE.0E01  // 绑定MAC地址  

链路聚合配置

链路聚合（EtherChannel）将多个物理链路捆绑为一条逻辑链路，增加带宽并提供冗余。

创建EtherChannel

Switch(config)# interface range fastethernet 0/1-2  // 选择要聚合的端口（F0/1和F0/2）  
Switch(config-if-range)# channel-group 1 mode active  // 创建组1，模式为active（LACP协议）  

• 模式说明：
  • active：主动发送LACP报文（推荐）
  • passive：被动响应LACP报文
  • on：静态聚合（不协商，需两端手动配置）

配置聚合端口IP
聚合后需在逻辑接口上配置IP：

Switch(config)# interface port-channel 1  // 进入聚合接口  
Switch(config-if)# ip address 192.168.2.1 255.255.255.0  

DHCP中继配置

当DHCP服务器不在同一VLAN时,需在交换机上配置DHCP中继，转发客户端的DHCP请求。

启用DHCP中继

Switch(config)# interface vlan 10  // 进入需要DHCP中继的VLAN接口  
Switch(config-if)# ip helper-address 192.168.1.10  // 指定DHCP服务器IP  

常用配置命令速查表

相关问答FAQs

问题1：交换机端口无法划入VLAN，可能的原因及解决方法？
解答：可能原因包括：

1. 端口已被其他服务占用（如端口安全、STP），需用no switchport port-security或spanning-tree portfast清除配置；
2. 端模式错误（如为Trunk模式），需先执行switchport mode access；
3. VLAN不存在,需先创建VLAN（vlan [ID]）。
   解决步骤：检查端口模式→确认VLAN是否存在→清除冗余配置。

问题2：如何查看交换机已配置的DHCP中继信息？
解答：使用以下命令查看：

Switch# show ip interface dhcp-relay  // 显示所有VLAN接口的DHCP中继配置  
Switch# show running-config | include ip helper-address  // 过滤配置中包含DHCP服务器IP的行  

通过上述命令可确认哪些VLAN开启了DHCP中继及指定的服务器IP地址是否正确。