交换机知识汇总大全，值得收藏！

下午好，我的网工朋友。

说到网工相关的网络设备，你的第一反应是啥？答案基本上都是交换机，是吧。

交换机作为网工最常用的设备之一，你懂多少？

今天想带你温顾一番交换机的基础知识，顺便说说，如何选择交换机，分享一波交换机选型要点，实现最优选。

文末还给你附上了思科、华为等四大厂商的交换机基础配置命令，经典好用。

01 交换机制式

当前的交换机主要分为盒式和框式。

01 盒式交换机

盒式交换机皆可以理解成一个铁盒子，一般情况下盒式交换机是固定配置，固定端口数量，固定电源模块、风扇等；因此盒式交换机不具备扩展性。

为了提高扩展性，盒式交换机可以支持堆叠技术，可以将多台盒式交换机逻辑上组成一台交换机。

正常情况下，盒式交换机应用在一个网络的接入层或者汇聚层。

02 框式交换机

框式交换机基于机框，接口板卡、交换板卡、电源模块等都可以按照需求独立配置，框式交换机的扩展性一般基于槽位数量。

框式交换机一般应用在一个网络的核心位置。

如上图组网所示：数据中心网络中，CE5800、CE6800、CE8800都是盒式设备，一般作为接入层使用；CE128是框式设备，一般作为核心层使用。

因此，在设备选型的时候可以根据实际交换机的使用层级判断选择盒式交换机还是框式交换机。

今日文章阅读福利：《 SecureCRT安装包下载》

私信我，备注“SecureCRT”（建议复制一下直接发哈），即可获取该软件安装包下载链接。

02 交换机功能

01 按照工作协议层分类

交换机可以分为二层交换机和三层交换机。

02 二层交换机、三层交换机区别

（1）二层交换机

工作在OSI参考模型的第二层数据链路层上交换机，主要功能包括物理编址、错误校验、帧序列以及流控。

（如下图所示，二层交换机工作在数据链路层，可以处理数据帧）

（2）三层交换机

一个具有三层交换功能的设备，即带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。

（如下图三层交换机工作在网络层，可以处理数据包）

03 交换机端口数量

01 盒式交换机端口数量

一台交换机可以提供的端口数量，对于盒式交换机每一种型号基本是固定的，一般提供24个或48个接入口，2-4个上连接口。

这里以华为CE5850-48T4S2Q-EI为例（如下如所示），一共有48个1000M接入口，4个10G上行口，2个40G上行口；

02 框式交换机端口数量

框式交换机则跟配置的单板数量有关，一般指配置最高密度的接口板的时候每个机框能够支持的最大端口数量。

这里以华为的CE12804为例，支持4块业务板LPU，端口和具体的单板型号相关，我们以36端口100G单板为例，那么插满单板一共有144个100G端口。

03 如何根据端口数量选择一款交换机

在选择交换机时需要基于当前的业务情况，和未来的可扩展性，交换机端口数量代表你需要接入的终端数量。

以一个48个接入口的交换机为例，那么如果1个终端占用一个端口，那么一台交换机就可以接48个终端，如果是一个200人的公司，那么就需要这样的交换机5台。

04 交换机端口速率

01 交换机支持端口速率

当前交换机提供的端口速率有100Mbps/1000Mbps/10Gbps/25Gbps等。

02 交换机端口速率单位

交换机的端口速率的单位是bps（bit per second），即每秒多少比特。

05 交换容量

01 交换机交换容量

也称为背板带宽或交换带宽。

交换容量是交换机接口处理器（或接口卡）和数据总线之间所能吞吐的最大数据量。

背板带宽标志了交换机总的数据交换能力，单位为Gbit/s。

一台交换机的交换容量越高，所能处理数据的能力就越强，但同时设计成本也会越高。

所有端口容量端口数量之和的两倍应该小于交换容量，从而实现全双工无阻塞交换。

02 交换容量跟交换机的制式有关

(1)对于总线式交换机来说，交换容量指的是背板总线的带宽;

(2)对于交换矩阵式交换机来说，交换容量是指交换矩阵的接口总带宽。

这个交换容量是一个理论计算值，但是它代表了交换机可能达到的最大交换能力。

当前交换机的设计保证了该参数不会成为整台交换机的瓶颈。

06 交换机包转发率

包转发率也称为接口吞吐量，是指通信设备某接口上的数据包转发能力，单位通常为pps（packet per second）。

交换机的包转发率一般是实测的结果，代表交换机实际的转发性能。

01 包转发率计算方式

包转发率的衡量标准是以单位时间内发送64字节的数据包（最小包）的个数作为计算基准的。

当计算包转发率时，需考虑前导码和帧间隙的固定开销。

缺省情况下，帧间隙为最大值12字节，建议用户使用缺省配置。

如果用户修改接口的帧间隙为较小值，则接收端在接收一个数据帧以后，可能会没有充足的时间接收下一帧，导致无法及时处理转发报文而出现丢包现象。

我们知道以太帧的长度是可变的，但是交换机处理每一个以太帧所用的处理能力跟以太帧的长度无关。

所以，在交换机的接口带宽一定的情况下，以太帧长度越短，交换机需要处理的帧数量就越多，需要耗费的处理能力也越多。

07 视频监控交换机选择

高清网络视频监控系统中，经常有客户反馈画面延时、卡顿等现象，造成这种现象的原因有很多，但大多数情况下还是交换机的配置不够合理，导致带宽不足造成的。

从网络拓扑结构来讲，一个中大型高清网络视频监控系统需采用三层网络架构：接入层、汇聚层、核心层。

01 接入层交换机的选择

接入层交换机主要下联前端网络高清摄像机，上联汇聚交换机。

以720P网络摄像机4M码流计算，一个百兆口接入交换机最大可以接入几路720P网络摄像机呢？

我们常用的交换机的实际带宽是理论值的50%-70%，所以一个百兆口的实际带宽在50M-70M。

4M*12=48M，因此建议一台百兆接入交换机最大接入12台720P网络摄像机。

同时考虑目前网络监控采用动态编码方式，摄像机码流峰值可能会超过4M带宽，同时考虑带宽冗余设计，因此一台百兆接入交换机控制在8台以内时最好的，超过8台建议采用千兆口。

02 汇聚层交换机的选择

汇聚层交换机主要下联接入层交换机，上联监控中心核心交换机。

一般情况下汇聚交换机需选择带千兆上传口的二层交换机。

还是以720P网络摄像机4M码流计算，前端每台接入层交换机上有6台720P网络摄像机，该汇聚交换机下联5台接入层交换机。

该汇聚层交换机下总带宽为4M*6*5=120M，因此汇聚交换机与核心交换机级联口应选千兆口。

03 核心层交换机的选择

核心层交换机主要下联汇聚层交换机，上联监控中心视频监控平台，存储服务器，数字矩阵等设备，是整个高清网络监控系统的核心。

在选择核心交换机是必须考虑整个系统的带宽容量及如何核心层交换机配置不当，必然导致视频画面无法流畅显示。

因此监控中心需选择全千兆口核心交换机。

如点位较多，需划分VLAN，还应选择三层全千兆口核心交换机。

附：决定交换机性能的参数

背板带宽：

背板带宽计算方法：端口数*端口速度*2=背板带宽，以华为S2700-26TP-SI为例，该款交换机有24个百兆口，两个千兆上联口。

背板带宽=24*100*2/1000+2*1000*2/1000=8.8Gbps。

包转发率：

包转发率的计算方法：满配置GE端口数×1.488Mpps+满配置百兆端口数×0.1488Mpps=包转发率（1个千兆端口在包长为64字节时的理论吞吐量为1.488Mpps，1个百兆端口在包长为64字节时的理论吞吐量为0.1488Mpps）。

拿华为S2700-26TP-SI为例，该款交换机有24个百兆口，两个千兆上联口。

包转发率=24*0.1488Mpps+2*1.488Mpps=6.5472Mpps。

怎么样，看到这，对于交换机怎么选型应该多少有数了吧？

当然，选择什么型号的交换机，除了考虑到上面说的这些端口数量、带宽……

在实际项目中，作为销售或者售前工程师，你肯定首先要考虑的是交换机价格和客户的财力。

不谈钱的选型都是耍流氓，你说是吧？

最后，赠送一份经典文档给你：思科、华为等四大厂商的交换机基础配置命令全收录，必存，都能用得上哈。

08 思科交换机基本配置命令

01 进入特权模式enable

switch>enable

switch#

02 进入全局配置模式configure terminal

switch>enable

switch#configure terminal

switch(conf)#

03 交换机命名hostname aptech2950以aptech2950为例

switch>enable

switch#configure terminal

switch(conf)#hostname aptch-2950

aptech2950(conf)#

04 配置使能口令enable password cisco以cisco为例

switch>enable

switch # c onfigure terminal

switch(conf)#hostname aptch2950

aptech2950(conf)# enable password cisco

05 配置使能密码enable secret ciscolab以cicsolab为例

switch>enable

switch # c onfigure terminal

switch(conf)#hostname aptch2950

aptech2950(conf)# enble secret ciscolab

06 创建多个VLAN

switch>enable (进入特权模式)

switch#vlan data (进入VLAN配置模式)

switch(vlan)#vlan 10 name IT (划分VLAN 10，名称为IT)

switch(vlan)#vlan 20 name HR (划分VLAN20，名称为HR)

switch(vlan)#vlan 30 name FIN (划分VLAN30，名称为FIN)

switch(vlan)#vlan 40 name LOG (划分VLAN40，名称为LOG)

switch(vlan)#exit

07 设置VLAN 1

switch>enable

switch # configure terminal

switch(conf)#hostname aptch2950

aptech2950(conf)# interface vlan 1

aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0

配置交换机端口IP和子网掩码

aptech2950(conf-if)#no shut

aptech2950(conf-if)#exit

aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址

08 进入交换机某一个端口interface fastehernet 0/17以17为

switch>enable

switch # configure terminal

switch(conf)#hostname aptch2950

aptech2950(conf)# interface fastehernet 0/17

aptech2950(conf-if)#

09 查看命令show

switch>enable

switch# show version

查看系统中的所有版本信息

show interface vlan 1

查看交换机有关IP协议的配置信息

show running-configure

查看交换机当前起作用的配置信息

show interface fastethernet 0/1

查看交换机1接口具体配置和统计信息

show mac-address-table

查看MAC地址表

show mac-address-table aging-time

查看MAC地址表自动老化时间

10 交换机恢复出厂默认命令

switch>enable

switch # erase startup-configure

switch # reload

11 双工模式设置

switch> enable

switch # c onfigure terminal

switch2950(conf)#hostname aptch-2950

aptech2950(conf)# interface fastehernet 0/17

aptech2950(conf-if)#duplex full/half/auto

有 full、half、auto三个选项

12 cdp相关命令

switch> enable

switch# show cdp 查看设备的cdp全局配置信息

show cdp interface fastethernet 0/17

show cdp traffic 查看有关cdp包的统计信息

show cdp nerghbors 列出与设备相连的cisco设备

13 交换机telnet远程登录设置

switch>enable

switch # configure terminal

switch(conf)#hostname aptech-2950

aptech2950(conf)#enable password cisco

aptech2950(conf)#interface fastethernet 0/1

aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0

aptech2950(conf-it)#no shut

aptech2950(conf-if)#exit

aptech2950(conf)line vty 0 4 设置0-4个用户可以telnet远程登录

aptech2950(conf-line)#password edge 以edge为远程登录的用户密码

主机设置：

IP 192.168.1.2 主机的IP必须和交换机端口的地址在同一个网络段

metmask 255.255.255.0

gate-way 192.168.1.1 网关地址是交换机端口地址

运行：

telent 192.168.1.1

进入telnet远程登录界面

password：edge

aptech2950>en

password:cisco

aptech#

09 华为交换机基础配置命令

01 常用命令视图

02 创建VLAN

<Huawei> //用户视图，一般display命令查看信息比较多。

<Huawei>system-view //准备进入系统视图。

[Huawei]vlan 100 //创建vlan 100。

[Huawei-vlan100]quit //退回系统视图。

03 将端口加入到vlan中

[Huawei] interface GigabitEthernet2/0/1 //(10G光口)

[Huawei- GigabitEthernet2/0/1] port link-type access //定义端口传输模式

[Huawei- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100

[Huawei- GigabitEthernet2/0/1] quit //回到接口视图

[Huawei] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口接口视图中。0代表1号口

[Huawei- GigabitEthernet1/0/0] port link-type access //定义端口传输模式

[Huawei- GigabitEthernet2/0/1] port default vlan 10 //将这个端口加入到vlan10中

[Huawei- GigabitEthernet2/0/1] quit

04 将多个端口加入到VLAN中

<Huawei>system-view

[Huawei]vlan 10

[Huawei-vlan10]port GigabitEthernet 1/0/0 to 1/0/29 //将0到29号口加入到vlan10中

[Huawei-vlan10]quit

05 交换机配置IP地址

[Huawei] interface Vlanif100 // 进入vlan100接口视图与vlan 100命令进入的地方不同

[Huawei-Vlanif100] ip address 192.168.1.1 255.255.255.0 // 定义vlan100管理IP三层交换网关路由

[Huawei-Vlanif100] quit //返回视图

06 配置默认网关

[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 //配置默认网关。

07 交换机保存设置和重置命令

<Huawei>save //保存配置信息

<Huawei>reset saved-configuration //重置交换机的配置

<Huawei>reboot //重新启动交换机

08 交换机常用的显示命令

用户视图模式下：

<Huawei>display current-configuration //显示现在交换机正在运行的配置明细

<Huawei>display device //显示各设备状态

<Huawei>display interface xxx //显示个端口状态，用？可以查看后边跟的选项

<Huawei>display version //查看交换机固件版本信息

<Huawei>display vlan xxx // 查看vlan的配置信息

10 H3C交换机的基本配置

01 基本配置

<H3C> //用户直行模式提示符,用户视图

<H3C>system-view //**进入系统视图**

[H3C] sysname xxx //设置主机名成为xxx这里使用修改特权用户密码

02 用户配置

<H3C>system-view

[H3C]super password H3C //设置用户分级密码

[H3C]undo superpassword //删除用户分级密码

[H3C]localuser bigheap 1234561 //Web网管用户设置,1为管理级用户

[H3C]undo localuser bigheap //删除Web网管用户

[H3C]user-interface aux 0 //只支持0

[H3C-Aux]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟

[H3C-Aux]undoidle-timeout //恢复默认值

[H3C]user-interface vty 0 //只支持0和1

[H3C-vty]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟

[H3C-vty]undoidle-timeout //恢复默认值

[H3C-vty]set authentication password123456 //设置telnet密码,必须设置

[H3C-vty]undo set authentication password //取消密码

[H3C]displayusers //显示用户

[H3C]displayuser-interface //用户界面状态

03 vlan配置

[H3C]vlan 2 **//创建VLAN2**

[H3C]undo vlan all //删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除

[H3C-vlan2]port Ethernet 0/4 to Ethernet0/7 //将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口

[H3C-vlan2]port-isolate enable //打开VLAN内端口隔离特性，不能二层转发,**默认不启用该功能**

[H3C-Ethernet0/4]port-isolate uplink-portvlan 2 //设置4为VLAN2的**隔离上行端口**，用于转发二层数据,只能配置一个上行端口,若为trunk,则建议允许所有VLAN通过,隔离不能与汇聚同时配置

[H3C]display vlan all //**显示所有VLAN的详细信息**

[H3C]user-group 20 //创建user-group 20，默认只存在user-group 1

[H3C-UserGroup20]port Ethernet 0/4 toEthernet 0/7 //**将4到7号端口加入到VLAN20中，**初始时都属于user-group 1中

[H3C]display user-group 20 //显示user-group 20的相关信息

04 交换机IP配置

[H3C]vlan 20 //**创建vlan**

[H3C]management-vlan 20 //管理vlan

[H3C]interface vlan-interface 20 //**进入并管理vlan20**

[H3C]undo interface vlan-interface 20 //删除管理VLAN端口

[H3C-Vlan-interface20]ip address192.168.1.2 255.255.255.0 //**配置管理VLAN接口静态IP地址**

[H3C-Vlan-interface20]undo ipaddress //删除IP地址

[H3C-Vlan-interface20]ip gateway 192.168.1.1 //指定缺省网关(默认无网关地址)

[H3C-Vlan-interface20]undo ip gateway

[H3C-Vlan-interface20]shutdown //**关闭接口**

[H3C-Vlan-interface20]undo shutdown //开启

[H3C]display ip //显示管理VLAN接口IP的相关信息

[H3C]display interface vlan-interface20 //查看管理VLAN的接口信息

<H3C>debugging ip //开启IP调试功能

<H3C>undo debugging ip

05 DHCP客户端配置

[H3C-Vlan-interface20]ip address dhcp-alloc // 管理VLAN接口**通过DHCP方式获取IP地址**

[H3C-Vlan-interface20]undo ip address dhcp-alloc // 取消

[H3C]display dhcp //显示DHCP客户信息

<H3C>debugging dhcp-alloc //开启DHCP调试功能

<H3C>undo debugging dhcp-alloc

06 端口配置

[H3C]interface Ethernet0/3 //进入端口

[H3C-Ethernet0/3]shutdown //关闭端口

[H3C-Ethernet0/3]speed 100 //速率可为10,100,1000和auto(缺省)

[H3C-Ethernet0/3]duplexfull //**双工,可**为half,full和auto，光口和汇聚后不能配置

[H3C-Ethernet0/3]flow-control //**开启流控，默认为关闭**

[H3C-Ethernet0/3]broadcast-suppression 20 //设置抑制广播百分比为20%,可取5,10,20,100,缺省为100,同时组播和未知单播也受此影响

[H3C-Ethernet0/3]loopback internal //内环测试

[H3C-Ethernet0/3]port link-type trunk //设置链路的**类型为trunk**

[H3C-Ethernet0/3]port trunk pvid vlan 20 //设置20为该trunk的缺省VLAN，默认为1(trunk线路两端的PVID必须一致)

[H3C-Ethernet0/3]port access vlan 20 //将当前**access端口加入指定的VLAN**

[H3C-Ethernet0/3]port trunk permit vlan all //允许**所有的VLAN通过当前的trunk端口,**可多次使用该命令

[H3C]link-aggregation Ethernet 0/1 to Ethernet 0/4 //**将1-4口加入汇聚组,**1为主端口,两端需要同时配置,设置了端口镜像以及端口隔离的端口无法汇聚

[H3C]undo link-aggregation Ethernet 0/1 //删除该汇聚组

[H3C]link-aggregation mode egress //配置端口汇聚模式为根据目的MAC地址进行负荷分担,可选为 ingress,egress和both,缺省为both

[H3C]monitor-port Ethernet 0/2 //**将该端口设置为镜像端口**,必须先设置镜像端口,删除时必须先删除被镜像端口,而且它们不能同在一个端口,该端口不能在汇聚组中,设置新镜像端口时,新取代旧,被镜像不变

[H3C]mirroring-port Ethernet 0/3 toEthernet 0/4 both //将**端口3和4设置为被镜像端口**,both为同时监控接收和发送的报文,inbound表示仅监控接收的报文,outbound表示仅监控发送的报文

[H3C]display mirror

[H3C]display interface Ethernet 0/3

<H3C>resetcounters //**清除所有端口的统计信息**

11 锐捷交换机基础命令配置

01 基础命令

>Enable //进入特权模式

#Exit //返回上一级操作模式

#End //返回到特权模式

#copy running-config startup-config //保存配置文件

#del flash:config.text //删除配置文件(交换机及1700系列路由器)

#erase startup-config //删除配置文件(2500系列路由器)

#del flash:vlan.dat //删除Vlan配置信息（交换机）

#Configure terminal //进入全局配置模式

(config)# hostname switchA //配置设备名称为switchA

(config)#banner motd & //配置每日提示信息 &为终止符

(config)#enable secret level 1 0 star //配置远程登陆密码为star

(config)#enable secret level 15 0 star //配置特权密码为star

Level 1为普通用户级别，可选为1~15，15为最高权限级别；0表示密码不加密

(config)#enable services web-server //开启交换机WEB管理功能

Services 可选以下：web-server(WEB管理)、telnet-server(远程登陆)等

02 查看信息

#show running-config //查看当前生效的配置信息

#show interface fastethernet 0/3 //查看F0/3端口信息

#show interface serial 1/2 //查看S1/2端口信息

#show interface //查看所有端口信息

#show ip interface brief //以简洁方式汇总查看所有端口信息

#show ip interface //查看所有端口信息

#show version //查看版本信息

#show mac-address-table //查看交换机当前MAC地址表信息

#show running-config //查看当前生效的配置信息

#show vlan //查看所有VLAN信息

#show vlan id 10 //查看某一VLAN (如VLAN10)的信息

#show interface fastethernet 0/1 //查看某一端口模式(如F 0/1)

#show aggregateport 1 summary //查看聚合端口AG1的信息

#show spanning-tree //查看生成树配置信息

#show spanning-tree interface fastethernet 0/1 //查看该端口的生成树状态

#show port-security //查看交换机的端口安全配置信息

#show port-security address //查看地址安全绑定配置信息

#show ip access-lists listname //查看名为listname的列表的配置信息

03 端口基本配置

(config)#Interface fastethernet 0/3 //进入F0/3的端口配置模式

(config)#interface range fa 0/1-2,0/5,0/7-9 //进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式

(config-if)#speed 10 //配置端口速率为10M,可选10,100,auto

(config-if)#duplex full //配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)

(config-if)#no shutdown //开启该端口

(config-if)#switchport access vlan 10 //将该端口划入VLAN10中,用于VLAN

(config-if)#switchport mode trunk //将该端口设为trunk模式,可选模式为access , trunk

(config-if)#port-group 1 //将该端口划入聚合端口AG1中,用于聚合端口

04 端口聚合配置

(config)# interface aggregateport 1 //创建聚合接口AG1

(config-if)# switchport mode trunk //配置并保证AG1为 trunk 模式
(config)#int f0/23-24
(config-if-range)#port-group 1 //将端口（端口组）划入聚合端口AG1中

05 生成树

配置多生成树协议:

switch(config)#spanning-tree //开启生成树协议

switch(config)#spanning-tree mst configuration //建立多生成树协议

switch(config-mst)#name ruijie //命名为ruijie

switch(config-mst)#revision 1 //设定校订本为1

switch(config-mst)#instance 0 vlan 10,20 //建立实例0

switch(config-mst)#instance 1 vlan 30,40 //建立实例1

switch(config)#spanning-tree mst 0 priority 4096 //设置优先级为4096

switch(config)#spanning-tree mst 1 priority 8192 //设置优先级为8192

switch(config)#interface vlan 10

switch(config-if)#vrrp 1 ip 192.168.10.1 //此为vlan 10的IP地址

switch(config)#interface vlan 20

switch(config-if)#vrrp 1 ip 192.168.20.1 //此为vlan 20的IP地址

switch(config)#interface vlan 30

switch(config-if)#vrrp 2 ip 192.168.30.1 //此为vlan 30的IP地址(另一三层交换机)

switch(config)#interface vlan 40

switch(config-if)#vrrp 2 ip 192.168.40.1 //此为vlan 40的IP地址(另一三层交换机)

06 vlan的基本配置

(config)#vlan 10 //创建VLAN10

(config-vlan)#name vlanname // 命名VLAN为vlanname

(config-if)#switchport access vlan 10 //将该端口划入VLAN10中

某端口的接口配置模式下进行

(config)#interface vlan 10 //进入VLAN 10的虚拟端口配置模式

(config-if)# ip address 192.168.1.1 255.255.255.0 //为VLAN10的虚拟端口配置IP及掩码，二层交换机只能配置一个IP，此IP是作为管理IP使用，例如，使用Telnet的方式登录的IP地址

(config-if)# no shutdown //启用该端口

07 端口安全

(config)# interface fastethernet 0/1 //进入一个端口

(config-if)# switchport port-security //开启该端口的安全功能

（1）配置最大连接数限制

(config-if)# switchport port-secruity maxmum 1 //配置端口的最大连接数为1，最大连接数为128

(config-if)# switchport port-secruity violation shutdown

//配置安全违例的处理方式为shutdown，可选为protect (当安全地址数满后，将未知名地址丢弃)、restrict(当违例时，发送一个Trap通知)、shutdown(当违例时将端口关闭，并发送Trap通知，可在全局模式下用errdisable recovery来恢复)

（2）IP和MAC地址绑定

(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1

//接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写)

08 三层路由功能(针对三层交换机)

(config)# ip routing //开启三层交换机的路由功能

(config)# interface fastethernet 0/1

(config-if)# no switchport //开启端口的三层路由功能(这样就可以为某一端口配置IP)

(config-if)# ip address 192.168.1.1 255.255.255.0

(config-if)# no shutdown

09 三层交换机路由协议

(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 //配置静态路由

注:172.16.1.0 255.255.255.0 //为目标网络的网络号及子网掩码

172.16.2.1 为下一跳的地址，也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)

(config)# router rip //开启RIP协议进程

(config-router)# network 172.16.1.0 //宣告本设备的直连网段信息

(config-router)# version 2 //开启RIP V2，可选为version 1(RIPV1)、version 2(RIPV2)

(config-router)# no auto-summary //关闭路由信息的自动汇总功能(只有在RIPV2支持)

(config)# router ospf //开启OSPF路由协议进程（针对1762，无需使用进程ID）

(config)# router ospf 1 //开启OSPF路由协议进程（针对2501，需要加OSPF进程ID）

(config-router)# network 192.168.1.0 0.0.0.255 area 0

//宣告直连网段信息，并分配区域号(area0为骨干区域)

整理：老杨丨10年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部