Cisco交换机配置与管理完全手册（第二版） - 万水书苑-出版资源网

最系统的交 换机配置 与管理手 册  

4.1  IOS 交换机上的交换端口及配置与管理 

Cisco IOS 交换机的交换端口（Switch Port）是仅与一个物理接口（不能是虚拟端口）关联的二 层接口，可属于一个或者多个  VLAN，具体是属于一个还是属于多个  VLAN  要视具体的交换端口 类型而定，将在下面介绍具体交换端口类型时介绍。交换端口用来管理物理接口和关联二层协议， 不能处理路由和 Fallback Bridging（后退桥接） 。注意，本节的内容相当重要，也比较难懂。 【说明】Fallback  Bridging（后退桥接，也叫 VLAN 桥接）可以使不同的 VLAN 通过可路由端 口转发交换机不能路由的非 IP 流量（仅限非 IP 流量），比如 DECnet 协议的流量。在后退桥接中， 每个  VLAN  有单独的生成树，通常称之为“VLAN  桥接生成树” ，用于防止环路。从上述可以得 出，后退桥接是 VLAN 间通过可路由端口的一种相互进行非 IP 访问的解决方案。

在 Cisco 交换机中，交换端口又可划分为：访问端口（Access  Port）、中继端口（Trunk  Port）、 隧道端口（Tunnel  Port）3 种。可以配置一个端口作为 Access 端口或 Trunk 端口，也可以在基于每 端口基础上运行 DTP（Dynamic  Trunking  Protocol，动态中继协议），通过与链路另一端的端口协商 设置为交换端口模式。但你必须手动配置 Tunnel 端口作为一条连接到 IEEE 802.1Q 隧道的非对称链 路的一部分。

可通过使用 switchport 接口配置模式命令来把一个当前工作在三层模式的接口转换成二层模式 接口；使用  no  switchport  接口配置模式命令可以把工作在二层模式的接口转换成三层模式。Cisco  交换机上默认所有的以太网接口均属于二层模式。在转换二层模式接口为三层模式时，当前这个被 转换的二层接口配置信息将丢失，恢复到默认配置状态。也就是二层交换端口被转换成三层可路由 端口后，原来配置的 VLAN 配置信息将丢失。 

4.1.1  理解两组重要概念

在正式介绍各种交换端口的数据帧收发原理之前，先要理解两组重要概念的比较：一是  Tag  （标记）和 Untag（不标记）比较；二是 PVID 与 VID 的比较。  1．Tag 与 Untag  VLAN  标记也称帧标记，是  Cisco  开发的，用于标识中继链路上的不同数据帧。它有两种不 同的标记格式，那就是通用的 IEEE 802.1Q VLAN 标记和 Cisco 私用的 ISL VLAN 标记。Tag 就是 在数据帧的帧头“源  MAC  地址”和“目的  MAC  地址”字段前面（ISL  VLAN  标记）或后面 （IEEE  802.1Q  VLAN 标记）加上了一个 4B 的 VLAN 中继类型封装字段，以表明该数据帧产生 于哪个 VLAN。 当一个以太网帧经过一条中继链路时，一个特定的  VLAN  标记将添加到帧中，然后再穿过中 继链路。当这个数据帧到达中继链路的另一端时，原来添加的那个  VLAN  标记将被移除，然后依 据交换机中的  MAC  地址列表发往正确的访问链路端口，所以数据帧在目的端口接收后并没有使用 其任何 VLAN 信息，帧中的 VLAN 标记仅用作在转发数据时选择目的 VLAN 的依据（因为二层帧 只能在同一个 VLAN 内转发，当然可以在三层被路由）。 

Untag  就是不在帧中插入这个  VLAN  标记信息，保持数据帧原来的格式，也称本地（Native） 格式。一般来说，普通 PC 机网卡只能识别不带 VLAN 标记的本地格式数据帧，不能识别带 VLAN  标记的数据帧，所以在帧到达目的主机所连接的交换端口时要去掉帧中的  VLAN  标记。有关  IEEE  802.1Q 和 ISL 这两种 VLAN 中继协议具体将在第 8 章介绍，在此不再赘述。

最系统的交

换机配置

与管理手

册

2．PVID 与 VID 

PVID 是 Port VLAN  ID（端口 VLAN  ID）的简称，是指端口所属 VLAN 的 VLAN  ID。VID 就 是指  VLAN  ID，每个  VLAN  都有一个唯一的  VLAN  ID。因为访问（Access）端口仅可属于一个 

VLAN，所以它的  PVID  实际上就相当于  VID（VLAN  ID）。一个中继（Trunk）端口可以属于多个 

VLAN，但一个 Trunk 端口只能有一个 PVID，也就是所分配给该 Trunk 端口的本地 VLAN（Native  VLAN）的 VLAN ID。Trunk 端口的本地 VLAN 指定是通过 switchport trunk native vlan vlan_id 的 接口配置命令进行的，也就相当于  Trunk  端口的  PVID  指定。当一个  Trunk  端口接收到一个不带  VLAN 标记的数据帧时，会打上该中继端口的 PVID 所对应的默认 VLAN ID，把这个数据帧当成该  VLAN 中的数据帧来处理；而如果接收到的是与 PVID 对应的 VLAN 中的数据帧时，则会去掉帧中 的 VLAN 标记发往 PVID 对应的 VLAN 中。有关交换端口和中继端口的数据帧收发规则将在 4.1.2  节和 4.1.3 节介绍。 明白了以上两组概念后，就比较好理解下面将要介绍的各种交换端口的数据帧收发规则了。 

4.1.2    Access 端口及数据帧收发规则

交换机上的绝大多数以太网接口通常都设置为  Access  端口。Access  端口通常用于直接连接终 端设备，如 PC 机，也可以用于交换机间的级联，但一般不这样配置，在本节后面将有具体说明。 一个 Access 端口仅可属于并且承载一个 VLAN 内的通信（除非被配置成语音 VLAN 端口）。 在 Access 端口上接收和发送的通信是不带 VLAN 标记的本地（Native）格式（因为它只能接收和

发送来自或去往一个  VLAN  的数据帧） ，到达一个  Access  端口的通信是假定来自该  Access  端口

所属的  VLAN。如果一个  Access  端口接收了一个带有标记  ISL（Inter­Switch  Link，交换机间链 路）或者  IEEE  802.1Q  标记的帧，则这个帧将被丢弃，Access  端口也不会学习这个数据帧的源  MAC 地址。 

Access 端口的数据帧收发规则如下：

l  Access 端口在收到一个数据帧（Access 端口通常是从终端 PC 中接收数据帧）后，先判断

该数据帧中是否有  VLAN  标记信息。如果没有  VLAN  标记，则打上该  Access  端口的  PVID  后继续转发（毕竟  Access  端口收到数据帧后是向其他端口发送的，可以识别带有 

VLAN  标记的数据帧） ；如果有  VLAN  标记（这个数据帧肯定是来自其他非  Access  端口

和终端  PC，因为 Access 端口和终端  PC 网卡不会发送带  VLAN 标记的数据帧） ，则默认

直接丢弃。

l  Access 端口上发送数据帧时，会先将数据帧中的  VLAN  信息去掉（因为  Access 端口发送

数据帧一般是到终端  PC，PC  中的网卡是不能识别  VLAN  标记的。还有一种情况是发送 到另一个相同  VLAN 中的  Access 端口，因为  Access 端口也不接收带有  VLAN 标记的数

据帧） ，然后再直接发送，所以 Access 端口发送出去的数据帧都是不带 VLAN 标记的。

根据以上  Access  端口收发数据帧的规则可知，Access  端口可以实现同一交换机上相同  VLAN  中的主机相互通信；也可以实现交换机级联时的不同交换机中相同  VLAN  主机间的数据帧交换， 但不能实现不同  VLAN  主机间的数据帧交换。如果交换机级联端口设置为  Access  端口，则两交换 机只能进行级联端口所属  VLAN  主机间的通信，不能与其他  VLAN  主机间进行通信，而且两交换 机的级联端口还必须添加到相同 VLAN 中。如级联的 SW1 和 SW2 交换机上都配置有 VLAN  2，并 且这两个级联端口都添加到 VLAN 2 中，则 SW1 和 SW2 交换机中的 VLAN 2 中的主机间可以直接

最系统的交 换机配置 与管理手 册 通信。但这显然不能实现交换机级联的最终目的，所以不常用。除非级联的两个交换机的所有端口 都属于同一 VLAN。 表  4­1  所示是根据上面介绍的  Access  端口接收或发送数据帧的规则而列举的示例（表中的  VLAN 2、VLAN 3 只是其中的两个 VLAN 例子，实际上可为其他任意已激活的 VLAN）。 表 4­1    Access 端口数据帧处理示例 

Access 端口的 PVID  接收数据帧的 VLAN ID  发送数据帧的 VLAN ID  处理结果 

VLAN 2  无  ­­  打上 VLAN 2 标记后继续转发 

VLAN 2  VLAN 3  ­­  丢弃 

VLAN 2  ­­  VLAN 2  去掉 VLAN 2 标记后继续发送 

VLAN 2  ­­  VLAN 3  去掉 VLAN 3 标记后继续发送 

Cisco 交换机支持两种类型的 Access 端口：

l 静态 Access 端口（Static  Access  Port）：它是被手动指派到一个 VLAN 中的（也可以通过

使用 IEEE 802.1x 的 RADIUS 服务器指派）。

l 动态 Access 端口（Dynamic  Access Port）：它所属的 VLAN 成员资格是通过流入的帧学习到

的。默认情况下，一个动态 Access 端口是不属于任何 VLAN 的成员，仅在发现了该端口属 于某个 VLAN 成员后才可以从该 VLAN 转发数据帧到该端口或者从该端口发送数据帧到该  VLAN。交换机的动态 Access 端口是通过 VMPS（VLAN  Membership  Policy  Server，VLAN  成员策略服务器）来指派到一个  VLAN  中的。Catalyst 6500  系列交换机可以作为  VMPS， 但 Catalyst 3550/3750 这样比较低端的系列交换机不能作为 VMPS 服务器。 

4.1.3    Trunk 端口及数据帧收发规则 

Trunk  端口通常用于交换机级联，或者交换机与路由器、防火墙的连接，用来承载多个  VLAN  的通信（不像  Access 端口那样只能属于并承载一个 VLAN  的通信） ，并且默认是  VLAN  数据帧库 中的所有 VLAN 的成员。也就是说，默认情况下 Trunk 端口可以接收、转发或者发送所有来自或者 到达 VTP（VLAN 中继协议）域中所有 VLAN 的数据帧，但这并不是说 Trunk 端口可以实现不同 

VLAN 间的数据帧通信，只是说它可以转发多个 VLAN 中的数据帧。在 Cisco  IOS 交换机中，有两

种类型的 Trunk 端口：

l  ISL Trunk 端口：ISL（Inter­Switch  Link，交换机间链路）是 Cisco 设备专用的 VLAN 中继

协议，用来在交换机间点对点链路上保持 VLAN 信息。在一个  ISL 类型  Trunk 端口中， 所有接收到的数据帧均将以  ISL  协议头封装，并且所有传输的数据帧都与  ISL  头一起被

发送。在 ISL Trunk 端口上接收到的无 VLAN 标记帧（也称“本地帧” ）都将被丢弃。

l  IEEE  802.1Q  Trunk 端口：IEEE  802.1Q（英文缩写为 dot1q）是 IEEE 以标准形式发布的

公用中继标准协议。IEEE  802.1Q  定义一个关于  VLAN  连接介质访问控制层（MAC）和  IEEE  802.1D 生成树协议的具体概念模型。IEEE  802.1Q  Trunk 端口同时支持加 VLAN 标 记和不加  VLAN 标记的帧通信。IEEE  802.1Q  Trunk 端口分配有一个默认  PVID，把所有 非标记通信都传输到默认 PVID 所对应的 VLAN 端口上，所有未标记的通信和以空 VLAN  ID（也就是不存在的  VLAN  ID）标记的通信都将被假设属于默认  PVID  所属的  VLAN  端 口。带有与发送数据帧的端口的默认  PVID  相同的  VLAN  ID  的数据帧将以不标记方式发 送，带有其他 VLAN ID 的所有数据帧直接发送。

【说明】ISL  标记能与  IEEE  802.1Q  中继执行相同的  VLAN  信息中继任务，只是所采用的帧 格式不同。具体的帧格式将在第 8 章介绍。

最系统的交

换机配置

与管理手

册

过为每个 Trunk 端口配置允许的 VLAN 列表来限制所传输通信的 VLAN。这个 VLAN 允许列表除 了关联的 Trunk 端口外，不影响其他端口。默认情况下，所有可能的 VLAN（VLAN  ID 范围是 1～  4094）都在允许列表中。如果  VTP  知道有这个  VLAN，并且这个  VLAN  是活动状态，则  Trunk 端 口可以仅成为该  VLAN  成员；如果  VTP  学习到一个新的活动  VLAN，且该新的  VLAN  是在某个  Trunk 端口允许列表中，则 Trunk 端口自动成为这个新的 VLAN 成员，并且为该 VLAN 转发所有流 经该  Trunk  端口的通信；如果  VTP  学习到了一个新的活动  VLAN，但它并不在某个  Trunk  端口的  VLAN  允许列表中，则该  Trunk  端口不会成为该  VLAN  的成员，也不会为该  VLAN  转发流经该  Trunk 端口的通信。 

Trunk 端口的数据帧收发规则如下：

l 在 Trunk 端口上发送数据帧时，先会将要发送数据帧的 VLAN 标记与 Trunk 端口的 PVID 

进行比较，如果与  PVID  相等，则从数据帧中去掉  VLAN  标记再发送；如果与  PVID  不 相等，则直接发送。这样一来，如果将交换机级联端口都设置为  Trunk，并允许所有  VLAN  通过后，默认情况下除  VLAN  1  外的所有来自其他  VLAN  中的数据帧将直接发送

（因为这些  VLAN  不是  Trunk  端口的默认  VLAN） ，而作为  Trunk  端口默认  VLAN  的 

VLAN 1，则需要通过去掉数据帧中的 VLAN 信息后再发送。

l 在  Trunk  端口收到一个数据帧时，会首先判断是否有  VLAN  信息。如果没有  VLAN  标

记，则打上该  Trunk  端口的  PVID，视同该帧是来自该  Trunk  端口  PVID  所对应的 

VLAN，然后把该帧转发到这个  VLAN 接口上；如果有  VLAN 标记，判断该 Trunk 端口

是否允许该  VLAN 的数据帧进入，且如果该 VLAN  ID 与该  Trunk 端口  PVID 相同，则 去掉  VLAN 标记后转发；如果该 VLAN  ID 与该  Trunk 端口  PVID 不同，则直接转发； 否则丢弃。

表  4­2  所示是根据上面介绍的  Trunk  端口接收或发送数据帧的规则而列举的示例（表中的 

VLAN 2、VLAN 3 只是其中的两个 VLAN 例子，实际上可为其他任意已激活的 VLAN）。

表 4­2    Trunk 端口数据帧处理示例 

Trunk 端口的 PVID  接收数据帧的 VLAN ID  发送数据帧的 VLAN ID  处理结果 

VLAN 1（默认） 无  ­­  打上 VLAN 1 标记后转发到 VLAN 1 接口 

VLAN 2  无  ­­  打上 VLAN 2 标记后转发到 VLAN 2 接口 

VLAN 2  VLAN 2（在 Trunk 端口上允许）  ­­  去掉 VLAN 2 标记后转发  VLAN 2  VLAN 3（在 Trunk 端口上允许）  ­­  接收并转发 

VLAN 2  VLAN 3（在 Trunk 端口上不允许）  ­­  丢弃 

VLAN 2  ­­  VLAN 2  去掉  VLAN  2  标记后向  PVID  所对应的 

VLAN 中发送 

VLAN 2  ­­  VLAN 3  直接发送到目的 VLAN 

【说明】在华为和 H3C 交换机中，除了也有 Access 和 Trunk 端口外，还有一种与 Trunk 端口类 似的端口——Hybrid  端口，也与  Trunk  端口一样可以接收和发送多个  VLAN  的数据帧，但它既可以 用于交换机、路由器等网络设备之间的连接，也可以用于直接连接用户计算机。Hybrid 端口和  Trunk  端口在接收数据帧时处理方法是一样的，唯一不同之处在于发送数据帧时：Hybrid  端口可以允许多 个 VLAN 的数据帧发送时不打标记，而 Trunk 端口只允许与 PVID 一致的 VLAN 中的数据帧发送时 不打标记，请参见与本书同时出版的《H3C 交换机配置与管理完全手册（第二版） 》一书。 下面通过一个因 PVID 设置不当造成的网络故障的排除方法来加深对 Access 和 Trunk 端口数据 帧收发规则的理解。在图  4­1  中，SW1  和  SW2  之间的连接链路是  Trunk  链路，允许网络中所有  VLAN  的数据帧通过。并设置  SW1  的  f0/2  Trunk  接口的  PVID=1，SW2  的  f0/1  Trunk  接口的  PVID=2，PC2～PC5 各自属于自己的 VLAN，为 Access 端口。现只有 PC2 无法上网。

最系统的交 换机配置 与管理手 册 图 4­1  Access 和 Trunk 端口收发规则解析示例 这时首先分析一下 PC2 在上网时发送的数据帧流程：首先 PC2 是向所连接的 Access 端口发送 不带 VLAN 标记的帧，所连的 Access 端口接收到这个帧后打上它所属的 VLAN  2 的标记转发到达  SW2 的 f0/1 Trunk 端口，经过比较发现所收到的数据帧的 VLAN 标记（2）与 SW2 的 f0/1 Trunk 端 口的  PVID（2）一样，所以此时  SW2  的  f0/1  Trunk  端口会把这个数据帧去掉  VLAN  标记转发到  SW1 的 f0/2  Trunk 端口。此时因为 SW1 的 f0/2  Trunk 端口收到的数据帧没有 VLAN 标记，则直接 把它打上与  SW1  的  f0/2  Trunk  端口  PVID（1）对应的  VLAN  1  标记，然后错误地把它转发到  VLAN 1 所对应的 VLAN 接口上，所以造成 PC2 不能上网。

现在再来看一下其他几台机器为什么能正常上网，以 PC3 为例。 

PC3 连接的也是 SW2 上的一个 Access 端口，发送的帧也是不带标记的，所连的 Access 端口接 收到这个帧后打上它所属的 VLAN  3 的标记转发到达 SW2 的 f0/1  Trunk 端口，经过比较发现所收 到的数据帧的 VLAN 标记（3）与 SW2 的 f0/1  Trunk 端口的 PVID（2）不一样，所以此时 SW2 的  f0/1  Trunk 端口会直接转发这个数据帧到 SW1 的 f0/2  Trunk 端口。SW1 的 f0/2  Trunk 端口再比较自 己的 PVID（1）与所收到的数据帧的 VLAN  标记（3），发现不一样，直接转发，所以 PC3 是能上 网的。其他的 PC4、PC5 与 PC3 的数据帧发送流程是一样的。 从以上分析可以看出，造成  PC2  不能上网的根本原因就在于从访问端口发送的数据帧的  VLAN  标记与 SW2 的 f0/1  Trunk 端口的 PVID（2）一样，所以造成转发后的数据帧是不带 VLAN 标记的， 最后被 SW1 的 f0/2  Trunk 端口错误地把这些数据帧直接转发到了它所属的 VLAN 中，而不是正确地 发送到对应的 VLAN 中。这时如果把 SW2 的 f0/1  Trunk 端口的 PVID 设置成其他 PC 机在 VLAN 的  VLAN  ID，则对应的  VLAN  中的  PC  机就不能上网了。所以在这种情况下，只要把  SW2  的  f0/1  Trunk 端口的 PVID 设置不包括网络中 PC 机所在 VLAN 的 VLAN  ID（本示例中设置为 1）就可以确 保各 VLAN 中的 PC 都可以上网。这样就可以得出这样一条经验：要确保网络中所有 VLAN 用户都 能上网，则需要把 Trunk 端口的 PVID 设置成非上网用户所在 VLAN 的 VLAN ID。 

4.1.4    Tunnel 端口 

Cisco  IOS 交换机中的 Tunnel 端口专用于 IEEE  802.1Q 隧道中，用来隔离一个服务提供商网络 的客户与另一个使用相同  VLAN  号的客户。需要在一个服务提供商边缘交换机的  Tunnel  端口上配 置一个到客户交换机的 IEEE  802.1Q  Trunk 端口的非对称链路。进入客户端边缘交换机 Trunk 端口

最系统的交 换机配置 与管理手 册 的已经是以客户自己内部  VLAN  进行  IEEE 802.1Q  标记的数据帧，到达服务提供商边缘交换机的  Tunnel 端口后，再以服务提供商分配给客户的对应 VLAN ID 进行 IEEE 802.1Q 标记（称之为 metro  标记）封装，这样由客户发送来的帧就包括了分配每个客户的唯一的  VLAN  ID。这个双重标记的 数据帧通过服务提供商网络继续保持原来封装的客户内部  VLAN  ID。在从服务提供商边缘交换机 到另一个出口（也是  Tunnel  端口）时，metro 标记将被删除，这样就可以从客户端网络中重新得到 原始 VLAN 号。 

Tunnel  端口不能作为  Trunk  端口或  Access  端口，而且对于每一个客户来说，服务提供商分配 给他的 VLAN ID 必须是唯一的，但客户自己内部可使用的 VLAN ID 与其他客户和服务提供商网络 中的 VLAN ID 无关。这样就解决了服务提供商 VLAN ID 空间不足和同一服务提供商中不同客户使 用的 VLAN ID 空间重叠的双重问题。这就是 Tunnel 端口的主要应用。 

4.2  Cisco IOS 交换机的其他类型端口

除了上节介绍的 3 种二层交换端口外，在 Cisco  IOS 交换机中还有一些其他端口，如可路由端 口（Routed Port）、以太网通道端口组（EtherChannel Port Groups）、交换机虚拟接口（Switch Virtual  Interface，SVI）和以太网管理端口（Ethernet Management Port，EMP）等，本节将集中进行介绍。 

4.2.1  IOS 交换机的可路由端口 

Cisco  IOS  交换机上的可路由端口（Routed  Port）就像路由器上的物理接口一样，属于三层端 口，但它不一定非要与路由器连接，还可以与可管理的站点连接。可路由端口不会像  Access  端口 那样与特定的  VLAN  关联，不会去识别经过封装成数据包后的原来帧中的  VLAN  ID，因为它不需 要通过二层协议进行通信，只是通过三层路由协议进行通信。每个可路由端口相当于一台独立的路 由器，只认为自己所连接的是一个单独的子网。Cisco  IOS  交换机上的可路由端口就像传统的路由 器接口一样，可以配置三层路由协议。但运行 LAN  Base 特性集的交换机不支持可路由接口和下节 将要介绍的 SVI 接口。 可路由端口仅是一个三层接口，所以它不支持像 VTP、DTP（Dynamic  Trunk Protocol，动态中 继协议）和  STP（Spanning­Tree  Protocol，生成树协议）这样的二层协议。配置可路由端口是通过 

no  switchport 接口配置命令把接口转换成三层模式，然后使用 ip  address  ip_address 接口配置命令

为该端口分配 IP 地址，启用路由功能，并可通过 ip  routing 和 router  protocol 全局配置命令配置路 由协议特性。 键入  no  switchport  接口配置命令后将先关闭对应端口，然后再重新开启它。这时在原来连接 该端口的设备端会弹出一条提示消息。在把该端口从二层模式转换成三层模式时，与之关联的配置 （如添加的  VLAN  及其他二层协议配置）将丢失，恢复为三层端口的默认设置。有关可路由端口 的配置将在第 6 章介绍。 尽管可路由接口与  SVI  接口有许多相似的用途（如都可以配置  IP  地址、都可以连接不同网 段），但它们的工作方式还是存在区别的。如果不同交换机之间是通过  SVI  连接的，则在不同交换机 间是一个二层链路。这样可以在不同交换机之间正常运行你的  STP  和其他控制通信的协议，也将把 一台交换机上的  STP  域延伸到其他交换机上。如果不同交换机之间是通过可路由端口连接的，则交

最系统的交 换机配置 与管理手 册 换机之间有一个三层链路，并像普通的路由器端口一样工作。但在可路由端口上不能运行 STP，一台 交换机上的  STP  域也不能延伸到下游的其他交换机上。可路由端口的最大不足就是每个端口都将是 一个独立的网络，你将管理大量的 IP 子网，这时运行各种路由协议将是最好的选择。 

4.2.2  IOS 交换机的 SVI 接口

一个交换机虚拟接口（Switch  Virtual  Interface，SVI）代表一个由交换端口构成的  VLAN（其 实就是通常所说的  VLAN  接口），以便于实现系统中路由和桥接的功能，也就是通常所说的  VLAN  接口。一个  SVI  对应一个交换机上的一个  VLAN，不同交换机上即使是同一个  VLAN  也有不同的  SVI  接口。当需要路由  VLAN  间的流量或者桥接  VLAN  之间不可路由（如二层协议、NetBEUI、  DECnet 等非路由协议）的流量的时候，都需要为相应的 VLAN 配置相应的 SVI 接口。 

SVI  是虚拟接口，它既可以工作在二层也可以工作在三层。工作在二层时，它用于连接交换机 上某  VLAN  中的所有端口成员，相当于这个  VLAN  中所有端口成员的二层出口；当工作在三层 时，它既可作为某个  VLAN  中端口成员间的虚拟三层路由端口，实现  VLAN  内部各成员间的三层 通信，又可作为这个 VLAN 中所有端口成员的统一虚拟三层出口，用于与其他 VLAN 的连接。SVI  接口是当在 interface  vlan 全局配置命令后面键入具体的 VLAN  ID 时创建的。可以用 no  interface 

vlan  vlan_id  全局配置命令来删除对应的  SVI 接口（删除  SVI 后对应的  VLAN  也就删除了） ，只是

不能删除 VLAN 1 的 SVI 接口（VLAN 1），因为 VLAN 1 接口是默认已创建的管理 VLAN。 【说明】尽管交换机堆叠支持全部或者最多  1005  个  VLAN，这样理论上来说也就相当于可以 有  1005  个  SVI，但  SVI  数和路由端口数，以及其他已配置的特征数之间的相互关系可能因硬件的 局限性而影响 CPU 的性能。 

SVI 是在为 VLAN 接口第一次键入 vlan 接口配置命令时创建的。VLAN 与 ISL 或 IEEE 802.1Q  协议中封装的中继或者 Access 端口配置的 VLAN ID 的数据帧相关联的 VLAN 标记相对应。如果需 要路由  VLAN  间的通信，则需要为每个  VLAN  配置一个  SVI，并为每个  SVI  接口分配一个  IP  地 址。有关 SVI 接口 IP 地址的分配方法将在第 6 章介绍。

相同或者不同交换机中同一  VLAN  中的设备可以直接进行二层通信（当然要确保在不同交换 机连接的端口上允许对应 VLAN 通信地址通过），不同 VLAN 间必须通过路由器才能进行数据帧交 换。在带有路由功能的交换机中，当你为不同  VLAN  配置了  SVI，并且为它们配置了  IP  地址后， 则不同 VLAN 可直接通过交换机进行数据帧交换。在图 4­2 所示的示例中，通过在三层交换机上启 用 IP 路由协议后，当为 VLAN  20 和 VLAN  30 的 SVI 接口配置 IP 地址时，从主机 A（Host  A）可 以直接通过交换机把数据帧发往主机  B（Host  B），而无需另外的路由器。具体配置方法将在第  10  章介绍。

图 4­2  通过 SVI 接口进行的 VLAN 连接示意图

最系统的交 换机配置 与管理手 册 两种方法在接口之间通信：路由和  Fallback  Bridging。而如果在独立交换机或堆叠主交换机上运行 的是 IP  base 特性集 IOS 映像，则仅可以通过基本的路由（包括静态路由和 RIP 协议路由）来使得 交换机中不同  VLAN  间进行通信。只要可能，维持高性能是通过交换机硬件来完成的。不管如 何，仅以 Ethernet  II 格式封装的 IPv4 数据帧可以在硬件中被路由。非 IP 通信和带有其他封装方法 的通信可以通过硬件被 Fallback Bridging。 

4.2.3  IOS 交换机的 Uplink 端口 

Uplink  端口就是通常所说的级联端口，专门用于与上级交换机连接，也就是通常所说的交换机 级联。当然，交换机的级联不一定要使用  Uplink  端口，只是使用  Uplink  端口进行交换机级联（在 交换机配备有  Uplink  端口的情况下）性能更佳。Uplink  端口与普通以太网端口最大的不同就是它 可以采用普通的直通线与上级的交换机进行连接，而不是用交叉网线连接。 【注意】一般来说，Uplink  端口与交换机（或集线器）的第一个端口是共享通道的，所以在使 用  Uplink  端口时，交换机（或集线器）的第一个普通以太网端口就不能同时用了。不过，现在的交 换机通常不是共享通道的，所以还是两个端口可以同时使用，具体要看相应交换机的说明书才行。 级联扩展模式是最常见的一种端口和距离扩展方式。目前常见的交换机的级联根据交换机的端 口配置情况又有两种不同的连接方式。如果交换机备有  Uplink（级联）端口，则可直接采用这个端 口进行级联。不过要注意，在这种级联方式中上一层交换机所采用的仍是普通以太网端口，只是下 层交换机则要采用专门的 Uplink 端口（注意，不是两端都是 Uplink 端口） ，如图 4­3 所示。 图 4­3  使用 Uplink 端口进行的交换机级联示例 这种级联方式性能比较好，因为级联端口的带宽通常是比较高的。但要注意，如果采用此种级 联扩展方式，则绝大多数交换机间的级接网线必须是直通线，不能采用交叉线，而且每段网线不能 超过双绞线单段网线的最大长度——100 米。当然，如果交换机端口支持  MDI/MDIX  类型自动翻 转，则也可采用交叉线。

有些 Cisco 交换机（如 Catalyst  3550、Catalyst  3560 系列）还支持双用途的 Uplink 端口。每个  Uplink  端 口 可 以 看 成 一 个 带 有 双 前 端 子 ， 同 时 支 持  RJ­45  连 接 器 和  SFP（ Small  Form­factor  Pluggable，小型可插式）模块连接器的单一接口，但此时也只能在同一时刻使用一种接口，即每一 时刻它仅可以使用其中的一个连接器。因为这个双前端子不是接口冗余，而是多提供了一种连接器 类型选择。默认情况下，交换机在第一次链路启用时动态选择接口类型。无论如何，可以使用  media­type  接口配置命令来手动选择  RJ­45  连接器或  SFP  模块连接器。这时，每个  Uplink  端口有 两个指示灯：一个显示 RJ­45 端口状态，另一个显示 SFP 模块端口状态。灯亮时显示相应连接器是 激话的。 

4.2.4  IOS 交换机的 EMP 

在一些 Cisco 交换机（像 Catalyst  4500、Catalyst  4900 等系列交换机）中，还可以配置以太网

最系统的交

换机配置

与管理手

册

管理端口（Ethernet  Management  Port，EMP）。在这些机型中，以太网管理端口是标注为  fa1  或 

fastethernet1  的端口（也就是第一个快速以太网端口） ，是一个三层主机端口，用于连接  PC  机。可 以使用以太网管理端口来连接到 PC 机上，替代交换机控制台（Console）端口来在浏览器中管理交 换机。但首先必须为该以太网管理端口分配一个 IP 地址。以太网管理端口的连接如图 4­4 所示。 图 4­4  通过以太网管理端口连接 PC 的示意图 默认情况下，以太网管理端口是启用的。交换机不能把数据帧从以太网管理端口路由到网络端 口，也不能把数据帧从网络端口路由到以太网管理端口。也就是说，以太网管理端口仅用于监控、 管理。要实现这样的路由目的，fa1  接口自动置于一个分离路由域（或  VRF  域）中，称为  mgmtVrf。不能配置其他任何接口在同一个路由域中，也不能为  fa1  接口配置不同的路由域。EMP  是在以下型号的交换机中得到支持的：WS­C4948­10GE、ME­C4924­10GE、WS­C4948  和  WS­  C4900M。 可以通过查看该端口指示灯状态来判断该端口的链路状态：指示灯为绿色，表明该端口链路处 于正常活动状态；如果指示灯不亮，表明该端口链路处于关闭状态；如果指示灯为琥珀色，则表明 该端口链路自检失败。配置以太网管理端口的方法与普通以太网端口的配置方法是一样的，具体将 在第 6 章介绍。 

4.2.5  IOS 交换机的 EPG 

以太网通道端口组（EtherChannel  Port  Groups，EPG）把组中的多个交换端口视为一个交换端 口。这些端口组在交换机之间或交换机和服务器之间担当一个具有单一高带宽连接的逻辑端口。以 太网通道在一个通道中提供整个链路的通信负载平衡。如果以太网通道中的一个链路失效，流量会 自动从失效链路转移到备用链路。

可以把多个  Trunk  端口组合成一个逻辑  Trunk  端口；把多个  Access  端口组合成一个逻辑  Access  端口；把多个  Tunnel  端口组合成一个逻辑  Tunnel  端口；把多个可路由端口组合成一个逻辑 可路由端口。绝大多数的协议能够在单独或是组合的交换端口上运行，并且不会意识到在端口组中 的物理端口，除了像  DTP（Dynamic  Trunk  Protocol，动态中继协议）、CDP（Cisco  Discovery  Protocol，思科发现协议）和  PAgP（Port  Aggregation  Protocol，端口聚合协议）这些只能在物理接 口上运行的协议外。 当配置一个以太网通道端口组时，需要先创建一个端口通道逻辑接口，然后指派一个接口给以 太网通道。对于三层接口，需要使用 interface  port­channel 全局配置命令手动创建该逻辑接口，然 后使用  channel­group  接口配置命令为以太网通道指派一个接口；对于二层接口，可以使用  channel­group  接口配置命令动态创建这个端口通道逻辑接口。这个命令就把物理接口和逻辑接口 绑定在了一起。 有关以太网通道端口组的具体配置方法将在第 6 章专门介绍。

最系统的交

换机配置

与管理手

册

4.2.6  IOS 交换机的 PoE 端口

现在许多厂商（如 Cisco、3COM 和华为等）都推出了基于以太网供电（Power  over  Ethernet，  PoE）的交换机技术，以解决一些电源布线比较困难的网络环境中需要部署交换机设备的问题。  Cisco  推出了业界唯一支持  802.3af  PoE  的  10/100/1000Mb/s  端口，这种配置在  Catalyst  6500  和  Catalyst  4500 交换机中均被支持。千兆位以太网和 PoE 相结合能够实现更出色的网络优化、用户生 产效率和投资保护。此外，利用 PoE，用户无须再为每个支持 PoE 的设备提供墙壁电源，从而消除 了为连接 IP 电话、无线 LAN 接入点、视频监视摄像机、建筑物管理系统和远程视频亭等设备所必 须开销的电源布线成本。此外，借助  PoE，企业还能够将关键的设备锁定在一个电源上，用  UPS  备份电源支持整个系统。 

Cisco  Catalyst  3750 家族提供了新的支持 IEEE  802.3af 和 Cisco 预标准 PoE 的 48 端口和 24 端 口快速以太网交换机。此外，Cisco 在新推出的  Catalyst  3560  家族中，48  端口和  24 端口快速以太 网交换机系列支持新的业界标准和 Cisco 标准。Catalyst 3550­24 PWR 交换机将继续支持 Cisco 预标 准  PoE，所有的  24  端口配置均同时支持  24  个完全供电的  PoE  端口（15.4W），实现了最出色的上 电设备支持。48 端口配置以 15.4W 支持 24 个端口，以 7.7W 支持 48 个端口，或在 7.7～15.4W 之 间支持 24～48 之间任意数量的端口。  Cisco  Catalyst  6500  系列提供了一个新的  96  端口  10/100  线卡以及  48  端口的  10/100  和  10/100/1000 线卡。Catalyst  6500 系列为 96 端口 10/100 卡和 48 端口 10/100/1000 卡提供了一个模块 化的 PoE 子卡架构，实现了最大的灵活性和投资保护。Cisco  Catalyst  4500 系列也提供了新的 48 端 口 10/100 和 10/100/1000 线卡。所有的线卡均支持 IEEE  802.3af 和 Cisco 预标准 PoE。这些卡兼容 任何 Catalyst  6500 或 4500 机箱以及超级引擎。Catalyst 模块化机箱交换机可同时为模块上 48 个端 口中的每个端口提供 15.4W。 在优势方面，PoE  技术除了从以太网电缆为连接设备提供通用供电支持外，PoE  降低了投资开 支，从而降低了在统一  IP  基础设施中整合进上电设备的总部署成本。PoE  免除了为终端设备安装 墙壁电源连接的需要，因而降低了与支持终端设备相关的电源插座成本。它还可以在部署本地交流 电源较为困难的场所安装网络连接设备，从而提供了更大的灵活性。  Cisco 交换机 PoE 端口为以下设备连接提供电源： l  Cisco 预标准电源设备（如 Cisco IP 电话和 Cisco Aironet 访问点） l 兼容 IEEE 802.3af 的电源设备

在 Cisco  IOS  12.2(40)SE 及以前版本中，每个 10/100/1000Mb/s  PoE 端口可以提供 15.4W 的电 源功率到设备上。在 Cisco  IOS  12.2(44)SE 及以后版本中，支持增强 PoE。增强 PoE 应该在端口上 进行配置，可以为设备提供高达 20W 的电源功率，如 Cisco AP1250 的 WLAN 访问点设备。  1．支持协议和标准  Cisco 交换机使用以下协议和标准来支持 PoE： l 带有电能的  CDP：在这种带有电能的  CDP  协议的支持下，电源设备通告交换机它可以提 供的电能功率。交换机并不回应电能消息。交换机仅可以选择由 PoE 端口供电或者从 PoE  端口上移去电源。 l  Cisco  智能电源管理：电源设备和交换机通过电能协商  CDP  消息（Power­negotiation  CDP  Messages）协商所能接受的电源功率水平。这种协商可以允许使用高电能  Cisco  电源设 备，如大于 7W 的设备，工作在其最高的电能模式。 l  IEEE  802.3af：这个标准最主要的功能就是电源设备发现、电源管理、连接断开检测和可

最系统的交

换机配置

与管理手

册

选的电源设备分类。

l  IEEE  802.11n（Predraft  Standard） ：在这个标准的支持下，可以在一个增强型的  PoE  端口

上提供高达 20W 的电能。  2．电源设备检测和初始电能分配 在 PoE 端口处于非关闭状态时，交换机可以检测到一个 Cisco 预标准或 IEEE 标准电源设备， 启用 PoE 功能后（默认是启用的），连接到这个端口的设备就无须再通过交流电供电了。 交换机判断所连设备是否需要电源是依据以下几个方面的： l  Cisco  预标准电源设备在交换机检测到它时，不为它提供所需的电源，所以交换机仍会以 分配 15.4W 作为电能预算的初始分配。初始电能预算就是所需的最大电源设备量。交换机 在检测并接受电源设备供电时就初始化电能的分配。因为交换机需要接收从电源设备发来 的 CDP 消息，而且电源设备与交换机要通过 CDP 电能协商消息进行协商，所以初始化的 电能分配可能要被告知。 l 交换机会根据电能级别对检测到的  IEEE  设备进行分类。根据在电能预算中可用的电能， 如果端口可以被供电，则交换机可以检测到。表 4­3 列出了这些分类级别。 表 4­3  IEEE 电源分类  IEEE 类别 交换机的最大电源需求 上电设备最大输入电量  0（默认模式）  15.4W  0.44～12.95W  1  4.0W  0.44～3.84W  2  7.0W  3.84～6.49W  3  15.4W  6.49～12.95W  4（保留） 按照类别 0 对待 按照类别 0 对待 交换机会监控和跟踪电源请求，并仅在有可用电能时许可请求。交换机跟踪电源预算（可以为 交换机  PoE  端口提供的电源），在端口被许可或者被拒绝供电时重新计算电源需求，以实时更新电 源预算。

管理  IP  地址就是可以用来在网络中访问（无须通过  Console  接口本地连接）交换机的  IP  地 址。在这里首先要明确的一个事实是，不是只有三层交换机才有管理  IP  地址，纯二层交换机同样 可以有管理  IP  地址，只要这个交换机是可网管型的就有这个管理  IP  地址。但是，三层交换机与二 层交换机在管理  IP  地址的设置上还是有一些区别，那就是二层交换机只能使用特定的管理接口来 配置管理 IP 地址，而三层交换机理论上可以在任意三层接口上配置管理 IP 地址。 

4.3  Cisco IOS 交换机接口的基础配置与管理

交换机接口配置与管理是交换机最基础的配置和管理工作。上节介绍了在  Cisco  交换机中几种 主要的二层接口类型，本节先介绍  Cisco  IOS  交换机接口的基本配置方法和流程，在本章后面将要 具体介绍 Cisco IOS 交换机二层以太网接口工作模式、二层接口属性的具体配置和管理方法。 

4.3.1  IOS 交换机接口类型和标识

配置物理接口则要指定接口类型、堆叠成员号（仅在交换机堆叠中需要）、模块号和交换机端 口号，让 IOS 系统知道你是配置哪个接口。 （1）接口类型。 在  Cisco  局域网以太网交换机中，目前主要的接口类型包括：10/100Mb/s  快速以太网（Fast

最系统的交

换机配置

与管理手

册

Ethernet，配置时写成  fastethernet 或  fa）接口、10/100/1000Mb/s  千兆以太网（Gigabit  Ethernet，配 置 时 写 成  gigabitethernet  或  gi ） 接 口 、 10000Mb/s  以 太 网 （ 10­Gigabit  Ethernet ， 配 置 时 写 成  tengigabitethernet  或  te）接口、SFP  模块千兆以太网（Small  Form­factor  Pluggable  Module  Gigabit  Ethernet，配置时写成  SFP）接口。以上这些都是物理接口，还可以是交换机虚拟接口，如  VLAN  接口 SVI、以太网端口通道 EtherChannel。 （2）堆叠成员号。 堆叠成员号是标识交换机堆叠中的成员的，范围是 1～9，并且在交换机首次初始化时被分配。 默认的成员号为 1。当交换机被分配了成员号后，它将一直保持该成员号，直到该交换机被分配了 另一个成员号。但要注意的是，并不是所有交换机系列都支持交换机堆叠。在  Cisco  以太局域网交 换机各系列中，支持堆叠的仅有 Catalyst 3750、Catalyst 3750­E、Catalyst 3560­E 三大系列。 【说明】可以在堆叠模式中使用交换机端口指示灯来识别交换机的堆叠成员号，有关交换机堆 叠方面的详细信息请参见第 7 章。 （3）模块号。 模块号是交换机模块（Module）或插槽（Slot）号。对于非模块化（也就是固定配置）的交换 机，默认为只有一个模块，模块号为 0。当然非模块交换机在配置时也不用把模块号写出来。 （4）端口号。 端口号是交换机上的接口号。接口号总是从 1 开始，排列顺序总是从面对交换机前面板时的最 左边开始。 如果是堆叠交换机，交换机接口的标识顺序为：接口类型 堆叠成员号/模块号/接口号。可堆叠 的独立交换机的成员号为1，非模块交换机的模块号默认为0。如一个非模块交换机的第一个堆叠成 员的第一个接口为快速以太网接口，则该接口的标识为：fastethernet1/0/1（或  fa1/0/1），也可以直 接写成  fa1/1，而省略模块号不输入。如果一个非模块交换机的第一个堆叠成员的第一个接口为千 兆以太网接口，则它的标识为：gigabitethernet1/0/1（或  gi1/0/1），同样也可以写成  gi1/1，而不输入 模块号。

对于独立模块交换机则接口标识顺序为：接口类型 模块号/接口号，如  fastethernet0/1（或 

fa0/1）；而对于独立非模块交换机，可直接以接口类型+接口号来标识，如 fa1 代表 1 号快速以太网

接口。

尽管在本书中，关于接口标识方面的参数名称可能不一样，如有的表示为 type  interface_id，有 的表示为  type  mod/port，还有的是  type slot/port – port  等，其实最终的总体表示形式都是一样的，

那就是“接口类型 接口所在模块号/接口号” 。当然对于是否是模块结构，是否支持堆叠，具体的 表示形式还要参见本节前面的介绍。不要被这不同的参数名搞晕了头。 另外，在网络设备中，除了物理接口这一说法外，还有一种称为“子接口” （Subinterface）的 说法。它是物理接口中的虚拟接口。子接口的表示形式是在物理接口后面加上一个小圆点，然后再 加上一个子接口号，如 f0/1.1，则表示 0 模块第 1 个接口的第 1 个子接口。要注意的是，它是虚拟 接口，不是物理接口。 进入接口配置模式的命令为 interface。可以使用 show interfaces 特权模式命令显示特定接口或 所有接口信息。下面是一些在具体配置中标识接口的示例。 以下是一个在可堆叠的独立交换机上进入端口 4 的 10/100/1000Mb/s 接口配置模式的示例。  Switch(config)#interface gi1/0/4  以下是一个在交换机堆叠成员 3 上进入端口 4 的 10/100Mb/s 接口配置模式的示例。  Switch(config)#interface fa3/0/4

最系统的交 换机配置 与管理手 册 以下是一个在可堆叠的独立交换机上进入端口 1 的 10­Gigabit 模块接口配置模式的示例。  Switch(config)#interface te1/0/1  以下是一个在交换机堆叠成员 3 上进入端口 1 的 10­Gigabit 模块接口配置模式的示例。  Switch(config)#interface te3/0/1  以下是一个在非可堆叠的交换机上进入端口 2 的 10/100/1000Mb/s 接口配置模式的示例。  Switch(config)#interface gi0/2  如果交换机有 SFP 模块，这些端口的接口号要依据交换机上其他接口的类型而定。如果其他接 口为快速以太网类型，则 SFP 模块中的端口号从 1 开始编号；如果交换机中的其他端口也是千兆以 太网类型，则 SFP 模块的接口与其他接口一起连续编号。 以下是一个在一个有 24 口 10/100/1000Mb/s 端口的可堆叠交换机上进入 SFP 模块接口配置模 式的示例（SFP  模块端口编号是  25，因为前面  24  个端口都是千兆以太网端口，所以采取连续编 号规则）。  Switch(config)#interface gi1/0/25  如果以上是非可堆叠交换机，则以上配置命令如下（接口标识前没有堆叠成员号 1）：  Switch(config)#interface gi0/25  以下是一个在一个有 24 口 10/100Mb/s 端口的可堆叠交换机上进入 SFP 模块接口配置模式的示 例（SFP  模块端口编号是  1，因为前面  24 个端口都是快速以太网端口，所以  SFP  端口重新从 1  开 始编号）。  Switch(config)#interface gi1/0/1  如果以上是非可堆叠交换机，则以上配置命令如下（接口标识前没有堆叠成员号 1）：  Switch(config)#interface gi0/1 

4.3.2  IOS 交换机物理以太网接口配置流程

下面是配置  Cisco  IOS  系统交换机物理以太网接口的通用配置流程，像  SVI、以太网通道这类 虚拟接口的配置将在第 6 章具体介绍。

（1）在特权模式提示下键入  configure  terminal（可以简写成  con  t）命令，进入全局配置模 式。按 Enter 键则显示如下提示（要注意，此时提示符已发生了改变，从特权模式提示符#改变为全 局配置模式提示符(config)#）：  Switch#configure terminal  Enter configuration commands, one per line. End with CNTL/Z.  Switch(config)#  （2）在全局配置模式下按照如下格式输入：interface 以太网接口类型 堆叠成员号（非可堆叠 交换机不用此标识）/模块号/接口号。在此以堆叠成员  1  的千兆以太网端口  1  为例（交换机为非模 块交换机，模块号默认为 0）。  Switch(config)#interface gi1/0/1  Switch(config­if)#  【注意】在接口类型和接口号之间可以留空格，也可以不留空格。当然可以是接口类型全称， 也可以是简写。如 gigabitethernet 1/0/1、gigabitethernet1/0/1、gi 1/0/1 或 gi1/0/1 都是正确的。 下面是一个综合以上两步进入交换机的 Fast Ethernet interface 5/5 接口配置模式的示例。  Switch#configure terminal  Enter configuration commands, one per line.    End with CNTL/Z.  Switch(config)#interface fastethernet 5/5  Switch(config­if)#  （3）可以使用各种接口配置命令来配置相应接口属性，具体将在本章后面和第  6  章分别介绍 二层/三层接口属性配置时体现。配置完后可用 end 命令或者按 Ctrl+Z 组合键返回到特权模式。 为了提高配置效率，也可以使用 interface range 或 interface range macro 全局配置命令来配置

最系统的交 换机配置 与管理手 册 接口范围。但在接口范围中的接口类型必须一致，而且必须以相同的特性选项进行配置。具体在下 面两小节中介绍。 

4.3.3    IOS 交换机以太网接口范围配置

因为在一个交换机上同类型、同用途的以太网接口往往不止一个，所以它们经常是属性配置完 全一样。为了提高配置效率，通常是想一次性配置这些需要相同配置的以太网接口。这时就可以使 用 interface  range 全局配置模式命令来用相同的配置参数一次性配置多个接口了。在进入接口范围 配置模式时，键入的所有参数将同样应用到范围中的所有接口。这个问题其实在与网友的交流中有 许多人经常会问到，这证明  Cisco  早已考虑到我们的诉求（H3C  交换机中也有类似的功能）。具体 的接口范围配置步骤如表 4­4 所示（从特权模式开始）。 表 4­4  接口范围配置步骤 步骤 命令 用途说明  1  Switch#configure terminal  进入全局配置模式  2  Catalyst 2950/2960/3750 等非模块交换机系列：  Switch(config)#interface  range  {port­range  |  macro 

macro_name} 

Catalyst 4000/4500/4900 等模块交换机系列：  Switch(config)#interface range 

{vlan vlan_ID ­ vlan_ID} | {{fastethernet |  gigabitethernet | tengigabitethernet | macro 

macro_name} slot/interface ­ interface} [, {vlan vlan_ID ­  vlan_ID} {{fastethernet 

| gigabitethernet | tengigabitethernet | macro 

macro_name} slot/interface ­ interface}] 

Catalyst 6000/6500 系列：  Switch(config)#interface range 

{{vlan vlan_ID ­ vlan_ID [, vlan vlan_ID ­ vlan_ID]} |  {type slot/port ­ port [, type slot/port ­ port]} |  {macro_name [, macro_name]}}  不同系列，该命令的语法格式有所不同，但总体格式是一样的， 也就是一个接口范围或者再加一个定义的宏名。只不过，表示的 方式有所不同。 后面两个格式中的  vlan_ID ­ vlan_ID  也属于最前面的那个格式中 参数  port­range  的一种格式。而且后面两个格式其实是一样的， 只是在接口范围表示形式和参数顺序排列上有少许不同。 参数  port­range  用来指定要配置的接口范围（VLAN  或者物理端 口），进入接口范围配置模式。 可以使用 interface  range 命令配置多达 5 个端口的范围或者以前定 义的宏（macro）。有关宏方面的说明，将在下节的“配置和使用 接口范围宏”中介绍。 在以英文逗号（,）分隔的接口范围中，必须为每个接口条目键入 接口类型，在逗号的前后都必须有空格。 在连接符（­）格式的接口范围中，不需要重复键入接口类型，但 在连接符前留有一个空格  3  使用普通配置命令来为范围中的所有接口应用配置参数  4  Switch(config­if)#end  返回到特权模式  5  Switch#show interfaces [interface­id]  校验范围中的接口配置  6  Switch#copy running­config startup­config  （可选）保存配置更改到配置文件中 在使用 interface range 全局配置命令时，注意以下事项： l 以下接口范围格式才是有效的：

Ø  vlan vlan­ID ­ vlan­ID（VLAN ID 的范围是 1～4094）

Ø  fastethernet stack member/module/{第一个端口} ­ {最后一个端口}（模块号全为 0）

Ø  gigabitethernet stack member/module/{第一个端口} ­ {最后一个端口}（模块号全为 0）

Ø  port­channel 端口通道号  – 端口通道号（端口通道号的范围为 1～48，但必须都是激

活的）

l 连接符两端必须留有空格，如  interface  range  gigabitethernet1/0/1 ­ 4  是有效的，而 

interface range gigabitethernet1/0/1­4 是无效的。

l  interface  range  命令仅适用于已用  interface  vlan  配置的  VLAN  接口（此处只是针对 

VLAN 接口而言，并非指 interface  range 命令中只能包括 VLAN 接口）。范围中的 VLAN 

接口必须已用 interface  vlan 命令进行了配置。可以用 show  running­config 特权模式命令 显示 VLAN 接口配置，不在该命令输出中显示的 VLAN 接口不能在接口范围中。

l 在范围中定义的所有接口必须是同种类型的（如全部为快速以太网、千兆以太网、以太网

最系统的交 换机配置 与管理手 册 下面的示例显示了在 Catalyst 3750 系列交换机中如何使用 interface range 全局配置模式命令设 置堆叠成员 1 的 1～4 号快速以太网端口。  Switch#configure terminal  Switch(config)#interface range gigabitethernet1/0/1 – 4  Switch(config­if­range)#speed 100  【示例 1】在 Catalyst  3750 交换机堆叠中使用逗号分隔的堆叠成员 1 的 1～3 号快速以太网端 口和堆叠成员 2 的 1～2 号千兆以太网端口上应用帧的流控制。  Switch#configure terminal  Switch(config)#interface range fastethernet1/0/1 ­ 3, gigabitethernet2/0/1 ­ 2  Switch(config­if­range)#flowcontrol receive on  如果在接口范围配置模式中键入了多个配置命令，则每个命令在键入后即被执行，而不会批量执 行，也不会等到退出接口范围配置模式才执行。如果在执行过程中退出了接口范围配置模式，则有些命 令可能不会在范围中的所有接口上执行。所以，必须在出现命令提示符后才退出接口范围配置模式。 【示例 2】在 Catalyst 4500/4900/6000/6500 等系列交换机中一次性激活接口 5/1～5/5。  Switch(config)#interface range fastethernet 5/1 ­ 5  Switch(config­if)#no shutdown  #  激活接口  Switch(config­if)#  *Oct    6 08:24:35: %LINK­3­UPDOWN: Interface FastEthernet5/1, changed state to up  *Oct    6 08:24:35: %LINK­3­UPDOWN: Interface FastEthernet5/2, changed state to up  *Oct    6 08:24:35: %LINK­3­UPDOWN: Interface FastEthernet5/3, changed state to up  *Oct    6 08:24:35: %LINK­3­UPDOWN: Interface FastEthernet5/4, changed state to up  *Oct    6 08:24:35: %LINK­3­UPDOWN: Interface FastEthernet5/5, changed state to up  *Oct    6 08:24:36: %LINEPROTO­5­UPDOWN: Line protocol on Interface FastEthernet5/  5, changed state to up  *Oct    6 08:24:36: %LINEPROTO­5­UPDOWN: Line protocol on Interface FastEthernet5/  3, changed state to up  *Oct    6 08:24:36: %LINEPROTO­5­UPDOWN: Line protocol on Interface FastEthernet5/  4, changed state to up  Switch(config­if)#  【示例 3】在 Catalyst  4500/4900/6000/6500 等系列交换机中在使用逗号分隔的不同类型接口范 围内激活端口 5/1～5/5 快速以太网端口和 1/1、1/2 千兆以太网端口。  Switch(config­if)#interface range fastethernet 5/1 ­ 5, gigabitethernet 1/1 ­ 2  Switch(config­if)#no shutdown  Switch(config­if)#  *Oct    6 08:29:28: %LINK­3­UPDOWN: Interface FastEthernet5/1, changed state to up  *Oct    6 08:29:28: %LINK­3­UPDOWN: Interface FastEthernet5/2, changed state to up  *Oct    6 08:29:28: %LINK­3­UPDOWN: Interface FastEthernet5/3, changed state to up  *Oct    6 08:29:28: %LINK­3­UPDOWN: Interface FastEthernet5/4, changed state to up  *Oct    6 08:29:28: %LINK­3­UPDOWN: Interface FastEthernet5/5, changed state to up  *Oct    6 08:29:28: %LINK­3­UPDOWN: Interface GigabitEthernet1/1, changed state to  up  *Oct    6 08:29:28: %LINK­3­UPDOWN: Interface GigabitEthernet1/2, changed state to  up  *Oct    6 08:29:29: %LINEPROTO­5­UPDOWN: Line protocol on Interface FastEthernet5/  5, changed state to up  *Oct    6 08:29:29: %LINEPROTO­5­UPDOWN: Line protocol on Interface FastEthernet5/  3, changed state to up  *Oct    6 08:29:29: %LINEPROTO­5­UPDOWN: Line protocol on Interface FastEthernet5/  4, changed state to up  Switch(config­if)# 

4.3.4  IOS 交换机以太网接口范围宏配置

可以创建一个接口范围宏来自动选择一个用于配置的接口范围，但是在 interface  range  macro  全局配置命令字符中使用 macro 关键字之前必须使用 define interface­range 全局配置命令来定义所 要使用的宏。

最系统的交 换机配置 与管理手 册 定义宏的具体步骤如表 4­5 所示（从特权模式开始）。 表 4­5  定义宏的步骤 步骤 命令 用途说明  1  Switch#configure terminal  进入全局配置模式  2  Catalyst 2950/2960/3650/3750 等非模块交换机系列：  Switch(config)#define interface­  range macro_name interface­range  Catalyst 4000/4500/4900 模块交换机系列：  Switch(config)#define interface­range  macro_name {vlan vlan_ID ­ vlan_ID} | {{fastethernet | 

gigabitethernet} slot/interface ­ interface} [, {vlan vlan_ID ­ 

vlan_ID} {{fastethernet | gigabitethernet} slot/interface ­  interface}] 

Catalyst 6000/6500 系列： 

Switch(config)#define interface­range 

macro_name {vlan vlan_ID ­ vlan_ID} | {type slot/port ­ port} [, 

{type slot/port ­ port}]  定义接口范围宏，并保存在交换机的 NVRAM 中。 参数  macro_name  是一个最大  32  个字符的宏名称字符 串，一个宏最多可以包括 5 个以逗号分隔的接口范围。 每个接口范围中必须包括相同类型的端口。 这  3  种语法格式总体来说也是一样的，只是接口范围表 示形式不同而已

可以使用 no  define  interface­range  macro_name 全局配 置命令删除宏  3  Switch(config­if)#interface range macro macro_name  从保存的  macro_name  参数宏指定的值中选择用于配置 的接口范围  4  使用普通配置命令来对宏中所定义的所有接口应用配置  5  Switch(config­if)#end  返回到特权模式  6  Switch#show running­config | include define  显示宏配置中定义的接口范围  7  Switch#copy running­config startup­config  （可选）保存以上设置更改到配置文件中 在使用 define interface­range 全局配置命令时，需要注意以下事项： l 有效的接口范围格式如下：

Ø  vlan  vlan­ID  ­  vlan­ID（VLAN  ID 的范围是 1～4094，有关 VLAN 接口的配置将在第  8 章介绍） Ø  fastethernet stack member/module/{第一个端口} ­ {最后一个端口}（模块号全为 0） Ø  gigabitethernet stack member/module/{第一个端口} ­ {最后一个端口}（模块号全为 0） Ø  port­channel 端口通道号  – 端口通道号（端口通道号的范围为  1～48，但必须都是 激活的） l 在键入接口范围时，必须在连接符两端留有一个空格。如  gigabitethernet1/0/1 ­ 4  格式是有 效的，而 gigabitethernet1/0/1­4 格式无效。 l 范围中的 VLAN 接口必须已用 interface vlan 命令进行了配置，此时可以用 show running­ 

config  特权模式命令显示  VLAN  接口配置，不在该命令输出中显示的  VLAN  接口不能在

接口范围中。 l 在一个范围中定义的所有接口必须是相同的类型，但是在一个宏中可以组合多个接口类 型，不同接口类型的范围用英文逗号（,）分隔。 以下示例显示了如何定义一个名为  enet_list  的接口范围，范围中包括了堆叠成员  1  的  1～2  号 端口，并校验宏配置。  Switch#configure terminal  Switch(config)#define interface­range enet_list gigabitethernet1/0/1 ­ 2  Switch(config)#end  Switch#show running­config | include define  Define interface­range enet_list GigabitEthernet1/0/1 – 2  Switch#  以下示例显示了如何创建一个名称为 1 的多接口宏。  Switch#configure terminal  Switch(config)#define interface­range macro1 fastethernet1/0/1 ­ 2, gigabitethernet1/0/1 ­ 2  Switch(config)#end  以下示例显示了如何进入接口范围 enet_list 宏的接口范围配置模式。

最系统的交 换机配置 与管理手 册   Switch#configure terminal  Switch(config)#interface range macro enet_list  Switch(config­if­range)#  以下示例显示了如何删除接口范围 enet_list 宏，并校验是否真正删除了。  Switch#configure terminal  Switch(config)#no define interface­range enet_list  Switch(config)#end  Switch#show run | include define  Switch# 

4.3.5  IOS 交换机接口配置信息查看

在配置好一个接口后，可以在特权模式下使用一系列与交换机接口相关的 show  interfaces 特权 模式命令查看、校验对应或者所有接口配置信息是否正确和数据帧通信统计信息。这个  show  interfaces  命令功能非常强大，可选项和参数也非常多，可以选择性地查看任何与接口相关的信 息，非常方便、实用。在实际的交换机维护与管理工作中经常要用到。 在 Cisco Catalyst 2900/2950/2960 等早期系列交换机中完整的命令格式如下： 

show interfaces [interface­id | vlan vlan­id] [accounting | capabilities [module number] | counters | description | etherchannel | flowcontrol  | pruning | stats | status [err­disabled] | switchport [backup | module number] | transceiver | properties | detail [module number] | trunk]  [ | {begin | exclude | include} expression] 

在  Cisco  Catalyst  3650/3750  系列可堆叠交换机中完整的命令格式如下（与上面  Cisco  Catalyst 

2900/2950/2960 等早期系列交换机中的该命令格式相比只是少部分选项有差异）： 

show interfaces [interface­id | vlan vlan­id] [accounting | capabilities [module number] | counters | description | etherchannel | flowcontrol  | private­vlan mapping | pruning | stats | status [err­disabled] | switchport [backup | module number] | tengigabitethernet interface­id |  transceiver [detail | properties | dom­supported­list] [module number] | trunk] [ | {begin | exclude | include} expression] 

在 Cisco Catalyst 4500/4900/6500 等非可堆叠模块交换机系列中，完整的命令格式如下（注意， 虽然这些交换机集成在  show  interfaces  命令的可选项较少，但其实其他选项均有对应的  show 

interfaces 命令）： 

show interfaces [{{fastethernet mod/interface­number} | {gigabitethernet mod/interface­number} | {tengigabitethernet mod/interface­ 

number} | {null interface­number} | vlan vlan_id} | status}] 

以上 show interfaces 命令中的可选项和参数说明如表 4­6 所示。 表 4­6  show interfaces 命令的可选项和参数说明

可选项和参数 说明 

interface­id  （可选）指定要显示信息的物理接口（包括接口类型和接口号标识，包括接口类型、堆叠成员号

（仅适用于堆叠交换机）、模块的端口号）或者端口通道，端口通道的范围为 1～48 

vlan vlan­id  （可选）要显示的 VLAN 接口的 ID，取值范围为 1～4094 

accounting  （可选）显示指定接口或端口通道的统计信息，包括活动协议和接收/发送的数据帧流量，但仅显示 软件进程中的帧信息，不显示硬交换中的帧信息  capabilities  （可选）显示所有接口或者指定接口性能（也就是属性配置），包括接口功能以及你可以在对应接口 上配置的选项。此选项不适用于 VLAN 接口  module number  （可选）显示交换机或者指定堆叠成员号的成员交换机上的所有接口的性能、交换端口配置或者数 据帧收发特性。 【说明】在 Catalyst  3750 系列交换机中，参数 number 的取值范围为 1～9；在 Catalyst  3560 系列交 换机中，参数 number 的取值仅可以为 1。如果你键入了指定的接口 ID，则这个选项无效  counters  （可选）显示指定接口的各种信息统计器内容，与 show interfaces counters 命令功能类似  description  （可选）显示指定接口或者端口通道的管理状态和描述设置  etherchannel  （可选）显示接口的以太网通道信息，可查看对应接口是否属于某个以太网通道  flowcontrol  （可选）显示接口流量控制信息，以查看接口是否配置了流量控制设置  pruning  （可选）显示接口中继 VTP 修剪信息 

private­vlan mapping  （可选）显示 SVI 接口的 PVLAN（私有 VLAN）映射信息，但不适用于运行 LAN  Base 特性集 IOS _{系统的交换机} 

stats  （可选）显示接口在交换路径中接收/发送的数据帧数 

status  （可选）显示接口状态，如果在状态信息中的  type（类型）字段中显示为  unsupported，则表示在模

最系统的交 换机配置 与管理手 册 续表 可选项和参数 说明  err­disabled  （可选）显示出错处于禁止状态的接口  switchport  （可选）显示交换端口（不包括可路由端口）的管理和运行状态，如端口阻塞和被保护设置  backup  （可选）显示指定接口的链路备份接口配置和状态  tengigabitethernet  显示 10Gb/s 模块中的接口状态  transceiver  [detail  |  properties  | 

dom­supported­list]  （可选）显示 SFP 模块接口物理属性，与 show interfaces transceivers 命令功能相似  trunk  显示接口中继信息，如果你不指定任何接口，则仅显示当前活动的中继接口信息  | begin  （多选一选项）显示自第一个包括参数 expression 表达式开始以后行的输出信息  | exclude  （多选一选项）显示不包括参数 expression 表达式的行的输出信息  | include  （多选一选项）显示包括参数 expression 表达式的行的输出信息  expression  （可选项）设置一个用于限制显示输出信息的表达式，注意表达式是区分大小写的 要清除在 show interfaces 命令中显示的接口计数器，可以使用 clear counters [interface­id]特权 模式命令进行。 【示例 1】清除和重置 fa5/5 接口上的计数器。  Switch#clear counters fa5/5  Clear "show interface" counters on this interface [confirm] y  Switch#  *Sep 30 08:42:55: %CLEAR­5­COUNTERS: Clear counter on interface FastEthernet5/5  by vty1 (171.69.115.10)  Switch#  【注意】如果使用没有带任何参数的  clear  counters  特权模式命令，则会从所有接口中清除所 有接口的计数器。clear  counters  命令不清除用于检索  SNMP  的计数器，仅能清除显示在  show 

interfaces 命令输出中的计数器。 可以用  shutdown  接口配置模式命令来禁用一个接口，此时会禁用指定接口的所有功能，并在 所有监控命令输出显示中标记该接口为不可用状态。这个信息会通过所有动态路由协议传达到其他 网络服务器中。这样任何路由更新都不会与该接口关联了。 【示例 2】关闭交换机上的 fastethernet 5/5 接口。  Switch(config)#interface fastethernet 5/5  Switch(config­if)#shutdown  Switch(config­if)#  *Sep 30 08:33:47: %LINK­5­CHANGED: Interface FastEthernet5/5, changed state to a  administratively down  Switch(config­if)#  【示例 3】重启上面示例的 fastethernet 5/5 接口。  Switch(config­if)#no shutdown  Switch(config­if)#  *Sep 30 08:36:00: %LINK­3­UPDOWN: Interface FastEthernet5/5, changed state to up  Switch(config­if)#  要验证接口是否被禁用了，可以键入 show interfaces 特权模式命令来查看。禁用了的接口将显 示 administratively down。 【示例 4】使用不带可选项的 show  interfaces 命令查看堆叠成员 3 交换机上的 gigabitethernet3/0/2  接口信息。  Switch#show interfaces gigabitethernet3/0/2  GigabitEthernet3/0/2 is down, line protocol is down  !­­显示这个接口当前是关闭的，当前链路没有启用。从中可以看出该接口是否  !­­工作正常  Hardware is Gigabit Ethernet, address is 0009.43a7.d085 (bia 0009.43a7.d085)  !­­显示该接口的 MAC 地址  MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,  reliability 255/255, txload 1/255, rxload 1/255  !­­以上两行显示的是接口的 MTU（最大传输单元）、BW（带宽）、DLY（链路延时）、reliability（可靠性，255/255 表示 100%可  !­­靠）、txload（发送负载，1/255 表示发送负载很小，只占了 1/255）、rxload（接收负载，与 txload 一样计算）  Encapsulation ARPA, loopback not set  !­­显示这个以太网接口的链路封装协议为 APPA，没设置 lookback 接口