一份完整的交换机配置清单应包含哪些内容？

在构建现代网络时，交换机扮演着至关重要的角色，它如同数据高速公路上的智能交通枢纽，而要让这个枢纽高效、安全地运作，精细的配置是必不可少的，交换机配置是一个系统性的过程，旨在将其从一个默认的、功能单一的设备，转变为一个能够满足特定网络需求的、可管理的核心组件,其配置内容涵盖了从基础管理到高级安全策略的多个层面。

基础配置与管理设置

这是对交换机进行任何操作前的第一步,也是保障设备安全与可管理性的基石。

• 设备命名： 为交换机设置一个具有辨识度的主机名（如 SW-Core-01）,方便在网络管理系统中快速识别和定位。
• 密码设置： 配置进入特权模式的密码（enable secret）和远程登录（VTY线路）的密码，并建议使用加密方式存储，防止明文泄露,这是最基本的安全防线。
• 管理接口配置： 为了能够远程管理交换机，需要为其配置一个IP地址，通常是在一个VLAN接口（如VLAN 1或专门的管理VLAN）上设置IP地址、子网掩码和默认网关,使其成为网络中一个可访问的节点。
• 启用远程管理协议： 配置SSH（Secure Shell）或Telnet协议，出于安全考虑，强烈推荐使用SSH，因为它提供了加密的通信通道,可以有效防止管理信息被窃听。

端口配置模式

交换机的端口是其与外部设备连接的窗口，根据连接对象的不同,端口需要配置为不同的模式。

配置端口时，需明确指定其工作模式，将连接PC的端口设置为switchport mode access，并将其划入特定的VLAN；而将交换机之间的级联端口设置为switchport mode trunk,以允许所有必要的VLAN数据通过。

VLAN的创建与划分

虚拟局域网（VLAN）是交换机配置中的核心功能之一，它通过逻辑方式将一个物理网络划分为多个独立的广播域，极大地增强了网络的安全性、灵活性和性能。

配置过程主要包括两步：

1. 创建VLAN： 在全局配置模式下创建新的VLAN，并为其命名以便于管理，如创建VLAN 10并命名为“Sales”。
2. 端口分配： 将之前配置为“接入模式”的端口逐一分配到相应的VLAN中，这样，连接到这些端口的设备就归属于各自的VLAN,实现了逻辑上的隔离。

安全与高可用性配置

当基础网络架构搭建完毕后,就需要为其添加安全与冗余机制。

• 生成树协议（STP）： 在含有冗余链路的网络中，STP是必须启用的，它能智能地检测并阻塞网络中的环路，防止广播风暴导致网络瘫痪,现代网络多使用其快速版本RSTP或MSTP。
• 端口安全： 此功能可以限制某个端口允许连接的MAC地址数量，或将端口固定于特定的MAC地址，当有未经授权的设备接入时，交换机可以采取关闭端口、发出警报等动作,有效防止非法设备入侵。
• 链路聚合（LACP）： 通过将多条物理链路捆绑成一条逻辑上的高带宽链路，不仅可以增加网络带宽，还能实现链路冗余，当其中一条物理链路失效时，流量会自动无缝切换到其他正常链路上,提高了网络的可靠性。

保存配置

所有在交换机上进行的配置，默认都是存放在“运行配置”（Running-Configuration）中的，这是临时存储，设备重启后会丢失，为了使配置永久生效，必须执行“保存配置”命令（如 copy running-config startup-config 或 write），将当前的运行配置写入到“启动配置”（Startup-Configuration）中。

相关问答FAQs

问题1：我的电脑连接到交换机某个端口后无法上网，但在其他端口就可以，这是什么原因？
解答： 这个问题很可能与端口的安全配置或VLAN配置有关，请检查该端口是否启用了“端口安全”功能，并且MAC地址数量已满或绑定了错误的MAC地址，确认该端口所在的VLAN是否提供了正常的网络出口，即该VLAN是否配置了正确的SVI接口IP地址和默认网关，或者是否有上联路由器为该VLAN提供路由服务，你可以通过查看端口状态（show interface status）和端口配置（show running-config interface [端口号]）来排查。

问题2：我已经对交换机做了很多配置，但为什么重启后一切都恢复到默认状态了？
解答： 这是因为您只修改了交换机的“运行配置”，而没有将其保存到“启动配置”中，运行配置是当前正在内存中生效的配置，它是临时的，设备断电或重启后会丢失，要使配置永久生效，请在特权模式下输入 write 命令或 copy running-config startup-config 命令，这个操作会将内存中的当前配置写入到NVRAM（非易失性存储）中，确保设备下次启动时加载这些设置,这是网络管理中一个非常关键且容易遗忘的步骤。