思科交换机端口配置常用命令有哪些？

思科交换机端口配置是网络管理中的基础操作,合理的端口配置能够确保网络的稳定性、安全性和高效运行，以下从进入全局配置模式、端口基本参数配置、VLAN配置、安全配置、链路类型配置、接口状态管理以及常见配置场景等方面，详细解析思科交换机端口配置的相关命令。

进入全局配置模式是所有端口配置的前提,通过命令行界面（CLI）登录交换机后，首先需要输入“enable”进入特权执行模式，若需要设置密码，可在全局配置模式下使用“enable secret password”命令设置加密的enable密码，或使用“enable password password”设置明文密码（不推荐），接着输入“configure terminal”进入全局配置模式，此时命令提示符会变为“switch(config)#”，后续所有端口配置命令均需在此模式下或其子模式下执行。

端口基本参数配置包括进入指定端口、设置描述信息、配置速率和双工模式等，进入全局配置模式后，使用“interface interface-id”命令进入指定端口子模式，interface-id”为端口的物理标识，如“GigabitEthernet0/1”或“FastEthernet0/5”，为方便管理，建议使用“description text”命令为端口添加描述信息，description To-Server-Floor2”，后续通过“show interface description”命令可快速查看端口用途，速率和双工模式配置需根据设备连接特性设置，常用命令为“speed {10 | 100 | 1000 | auto}”和“duplex {half | full | auto}”，auto”表示自动协商，但对于服务器等关键设备，建议手动指定固定速率和双工模式以避免因协商失败导致的链路中断，可通过“no shutdown”命令启用端口（默认为关闭状态），使用“shutdown”命令则可关闭端口。

VLAN配置是划分网络逻辑分段的重要手段,需先创建VLAN再将其分配到端口，创建VLAN的命令为“vlan vlan_id”，vlan 10”创建VLAN 10，随后可进入VLAN子模式使用“name vlan-name”设置VLAN名称，如“name Sales”，将端口划入VLAN时，需根据端口类型选择接入模式（Access）或 trunk模式，接入模式用于连接终端设备，命令为“switchport mode access”，再通过“switchport access vlan vlan_id”将端口加入指定VLAN，switchport access vlan 10”；Trunk模式用于连接交换机，允许多个VLAN流量通过，配置命令为“switchport mode trunk”，默认情况下Trunk端口会允许所有VLAN通过，可使用“switchport trunk allowed vlan vlan-list”限制允许通过的VLAN列表，switchport trunk allowed vlan 10,20,30”表示仅允许VLAN 10、20、30通过，也可使用“add”或“remove”动态修改允许的VLAN，如“switchport trunk allowed vlan add 40”。

安全配置方面,思科交换机提供端口安全功能，可限制端口接入的MAC地址数量，防止未授权设备接入，首先进入端口子模式，使用“switchport port-security”命令启用端口安全，默认情况下允许单个MAC地址接入，且安全MAC地址类型为 sticky（动态学习），通过“switchport port-security maximum number”命令可设置最大安全MAC地址数量，switchport port-security maximum 2”允许最多2个MAC地址，当违规发生时（如MAC地址数量超限或非法MAC接入），可配置违规处理方式：“switchport port-security violation {protect | restrict | shutdown}”，protect”表示丢弃违规数据包但不报警；“restrict”表示丢弃数据包并发送SNMP陷阱；“shutdown”则关闭端口（默认行为），可通过“errdisable recovery cause psecure-violation”和“errdisable recovery interval interval”设置端口自动恢复时间，还可手动绑定静态MAC地址，使用“switchport port-security mac-address mac-address”命令，switchport port-security mac-address 00:1A:2B:3C:4D:5E”。

链路类型配置中,除了上述的Access和Trunk模式，还有一种动态协商模式“dynamic auto”和“dynamic desirable”，dynamic desirable”端口会主动协商成为Trunk模式，“dynamic auto”端口则被动等待协商，若两端均为“dynamic auto”，则链路将处于Access模式，建议在连接交换机的端口上配置“switchport mode dynamic desirable”或“switchport mode trunk”，确保Trunk链路正常建立。

接口状态管理是确保网络稳定运行的关键,可通过“show interface interface-id”命令查看端口状态，若显示“line protocol current state is down”，可能原因包括端口未启用（no shutdown未执行）、链路层协议错误（如速率/双工模式不匹配）、VLAN配置问题或硬件故障，使用“show running-config interface interface-id”可查看端口当前配置，与需求对比排查问题，若需恢复端口默认配置，可在端口子模式下使用“default interface interface-id”命令，或进入全局配置模式后使用“no shutdown”重新启用端口。

在实际应用中,常见配置场景包括连接终端设备的接入端口和连接交换机的Trunk端口，配置接入端口时，典型命令序列为：进入全局配置模式→进入指定端口→设置描述→模式为access→划入VLAN→启用端口；配置Trunk端口时，命令序列为：进入全局配置模式→进入指定端口→设置描述→模式为trunk→允许指定VLAN→启用端口，配置GigabitEthernet0/1为连接销售部门的接入端口，VLAN 10：

configure terminal  
interface GigabitEthernet0/1  
description Sales-PC-Port  
switchport mode access  
switchport access vlan 10  
speed 1000  
duplex full  
no shutdown  

配置GigabitEthernet0/24为连接核心交换机的Trunk端口，允许VLAN 10、20、30：

configure terminal  
interface GigabitEthernet0/24  
description Core-Switch-Trunk  
switchport mode trunk  
switchport trunk allowed vlan 10,20,30  
speed 1000  
duplex full  
no shutdown  

相关问答FAQs

Q1: 如何查看交换机端口已配置的VLAN信息？
A1: 可通过以下命令查看端口VLAN配置：

• 查看所有端口的VLAN成员关系：show vlan brief，该命令会显示VLAN ID、名称、状态及所属端口列表。
• 查看指定端口的VLAN配置详情：show interface interface_id switchport，例如show interface GigabitEthernet0/1 switchport，会显示端口的模式（Access/Trunk）、所属VLAN（Access模式下）或允许的VLAN列表（Trunk模式下）。

Q2: 端口安全违规后，如何手动恢复被关闭的端口？
A2: 当端口因安全违规（如MAC地址超限）被关闭（进入errdisable状态）时，可通过以下方式恢复：

• 手动恢复：在全局配置模式下使用“errdisable recovery cause psecure-violation”启用安全违规自动恢复功能（若未提前配置），然后执行“shutdown”和“no shutdown”命令重新启用端口。
• 自动恢复：提前配置自动恢复定时器，errdisable recovery interval 300”表示每300秒自动恢复一次因安全违规关闭的端口，恢复后端口会重新学习安全MAC地址。