一、概述
1.1 深信服交换机核心定位
深信服交换机以“安全融合、简单运维”为核心优势,广泛适配中小企业办公、园区网络、分支互联等场景,支持与深信服防火墙、AC、AD等设备联动,实现网络与安全一体化部署。其配置命令风格兼顾易用性与专业性,核心逻辑与主流厂商一致,同时新增简化运维的特色命令,降低配置门槛。
1.2 核心术语与基础概念
CLI模式:深信服交换机支持Console、Telnet、SSH三种CLI登录方式,默认提供用户视图(>)、系统视图([Sangfor])、接口视图([Sangfor-GigabitEthernet0/0/1])等层级视图,配置需按视图层级操作。
VLAN相关:支持802.1Q标准VLAN,端口模式分为Access(终端接入)、Trunk(设备互联)、Hybrid(灵活适配),与主流厂商定义一致,PVID(默认VLAN)默认值为1。
安全联动:支持“一键联动”命令,可快速同步深信服安全设备的策略信息,无需手动配置ACL,特色优势显著。
1.3 适配热门型号
本文命令适配深信服2025年热门交换机型号,核心命令通用,仅高端型号支持部分高级特性:
接入层:深信服 S5100-48GT4S(中小企业主流,48千兆电口+4千兆光口,支持基础安全联动)
汇聚层:深信服 S6500-24X6C(园区/中型数据中心汇聚,24万兆光口+6个40GE光口,支持冗余备份与负载均衡)
二、基础配置命令(通用版)
2.1 登录与视图切换
配置场景 | 命令示例 | 说明 |
|---|---|---|
Console登录后进入系统视图 | system-view(缩写:sys) | 用户视图(>)下执行,进入系统配置核心视图 |
修改设备名称 | sysname Sangfor-SW-Access | 系统视图下执行,命名建议包含设备类型与位置,便于运维识别 |
配置Console登录密码 | user-interface console 0authentication-mode passwordset authentication password simple Sangfor@123 | 设置Console口密码认证,密码建议包含大小写、数字与特殊符号,提升安全性 |
启用SSH登录(推荐) | ssh server enablersa key generate 2048(生成密钥对)local-user admin password cipher Sangfor@Admin123local-user admin service-type sshlocal-user admin privilege level 15 | 深信服默认禁用Telnet,推荐优先配置SSH登录,保障远程管理安全 |
保存配置 | save(交互式确认)/save force(强制保存,无需确认) | 所有配置完成后必须执行,否则设备重启后配置丢失 |
恢复出厂配置 | reset saved-configurationreboot(重启生效,需确认) | 仅在配置错误无法恢复时使用,执行前需备份重要配置 |
2.2 端口基础配置
// 1. 进入目标端口(以S5100的GigabitEthernet 0/0/1为例) interface GigabitEthernet 0/0/1 // 缩写:int Gig 0/0/1 // 2. 启用端口(默认可能禁用) no shutdown // 深信服支持no shutdown与undo shutdown两种写法,功能一致 // 3. 配置端口速率与双工模式(可选,默认自动协商) speed 1000 // 固定速率为1000M duplex full // 全双工模式 // 4. 查看端口状态 display interface GigabitEthernet 0/0/1 // 查看端口详细信息(速率、双工、VLAN归属等) display interface brief // 简洁查看所有端口状态(Up/Down、速率等)三、核心功能配置命令——VLAN配置
VLAN配置是深信服交换机最常用的核心功能,核心逻辑为“创建VLAN→配置端口模式→绑定VLAN/透传VLAN”,命令与主流厂商差异较小,易上手。
3.1 VLAN创建与管理
// 1. 进入系统视图 sys // 2. 创建单个VLAN并命名 vlan 10 name Finance // 命名为“财务部门”,便于识别 // 3. 批量创建VLAN vlan batch 20 30 to 40 // 同时创建VLAN 20、30-40 // 4. 删除VLAN no vlan 10 // 深信服常用no替代undo,部分命令两者均可 no vlan batch 20 30 to 40 // 5. 查看VLAN配置 display vlan // 查看所有VLAN的详细配置(含端口归属) display vlan 10 // 查看单个VLAN的具体信息3.2 端口模式配置(核心重点)
3.2.1 Access端口配置(终端接入场景)
适用于连接PC、打印机、服务器等终端设备,仅允许单个VLAN流量通过。
// 以S5100的G0/0/1端口接入财务部门(VLAN 10)为例 int Gig 0/0/1 port link-type access // 配置为Access模式 port access vlan 10 // 将端口加入VLAN 10,同时设置PVID为10 no shutdown // 验证配置 display port vlan GigabitEthernet 0/0/1 // 查看该端口的VLAN配置3.2.2 Trunk端口配置(设备互联场景)
适用于交换机之间、交换机与路由器的互联链路,允许多个VLAN流量透传。
// 以S5100的G0/0/48端口与汇聚层S6500互联为例,透传VLAN 10-40 int Gig 0/0/48 port link-type trunk // 配置为Trunk模式 port trunk permit vlan 10 to 40 // 允许VLAN 10-40透传 // 可选:修改Trunk端口默认PVID(默认1,如需调整) port trunk pvid vlan 100 no shutdown // 验证配置 display port trunk // 查看所有Trunk端口的透传VLAN情况3.2.3 Hybrid端口配置(灵活适配场景)
深信服默认端口模式为Hybrid,可灵活配置部分VLAN无标签、部分VLAN带标签通过,适配同一端口接入多VLAN终端的复杂场景。
// 场景:G0/0/5端口同时接入VLAN 10(办公)和VLAN 40(访客),VLAN 10无标签,VLAN 40带标签 int Gig 0/0/5 port link-type hybrid port hybrid pvid vlan 10 // 设置默认PVID为10(无标签流量归为VLAN 10) port hybrid untagged vlan 10 // 允许VLAN 10无标签通过 port hybrid tagged vlan 40 // 允许VLAN 40带标签通过 no shutdown3.3 深信服特色配置——安全联动VLAN
深信服交换机可与深信服AC(上网行为管理)、FW(防火墙)联动,自动同步安全策略,无需手动配置ACL控制VLAN访问权限。
// 启用安全联动功能 security联动 enable // 关联深信服AC设备(IP:192.168.1.254) security联动 ac ip 192.168.1.254 // 配置VLAN 10(财务)仅允许访问核心服务器网段(10.0.0.0/24),策略同步自AC vlan 10 security联动 policy sync // 同步AC中针对VLAN 10的访问策略四、热门型号实操案例
案例一:深信服S5100-48GT4S(接入层)—— 企业部门VLAN隔离
4.1 案例背景
某中小企业使用S5100-48GT4S作为办公接入交换机,需求:财务(VLAN 10)、研发(VLAN 20)、行政(VLAN 30)三部门网络隔离,交换机通过G0/0/48端口与汇聚层S6500互联,同时启用SSH远程管理。
4.2 端口规划
G0/0/1-2:财务(VLAN 10);G0/0/3-8:研发(VLAN 20);G0/0/9-12:行政(VLAN 30);G0/0/48:Trunk互联;Console口:本地管理。
4.3 完整配置命令
// 1. 登录后进入系统视图,修改设备名称 sys sysname Sangfor-S5100-Access // 2. 配置Console登录密码 user-interface console 0 authentication-mode password set authentication password simple Sangfor@Console123 // 3. 启用SSH登录,创建管理员用户 ssh server enable rsa key generate 2048 local-user admin password cipher Sangfor@Admin123 local-user admin service-type ssh local-user admin privilege level 15 // 4. 批量创建VLAN并命名 vlan batch 10 20 30 vlan 10 name Finance vlan 20 name R&D vlan 30 name Admin // 5. 批量配置财务部门端口(1-2) interface range GigabitEthernet 0/0/1 to 0/0/2 // 批量进入端口1-2 port link-type access port access vlan 10 no shutdown // 6. 批量配置研发部门端口(3-8) interface range GigabitEthernet 0/0/3 to 0/0/8 port link-type access port access vlan 20 no shutdown // 7. 批量配置行政部门端口(9-12) interface range GigabitEthernet 0/0/9 to 0/0/12 port link-type access port access vlan 30 no shutdown // 8. 配置Trunk互联端口(48) interface GigabitEthernet 0/0/48 port link-type trunk port trunk permit vlan 10 20 30 no shutdown // 9. 保存配置并验证 save force display vlan // 查看各VLAN端口归属 display port trunk // 查看Trunk端口配置 display local-user // 查看本地用户配置4.4 配置说明
S5100作为接入层主流机型,支持端口批量配置,大幅提升部署效率;通过部门VLAN隔离实现网络安全管控,同时配置SSH远程管理,适配中小企业运维需求。若需对接深信服安全设备,可额外添加安全联动命令,简化策略配置。
案例二:深信服S6500-24X6C(汇聚层)—— 多VLAN透传与冗余备份
4.5 案例背景
某园区汇聚层使用S6500-24X6C,下联3台S5100接入交换机(分别对应办公VLAN 10-30、访客VLAN 40、服务器VLAN 50-60),上联核心路由器实现跨VLAN通信;需求:实现各VLAN流量精准透传,同时配置端口聚合保障链路冗余。
4.6 端口规划
XGE 0/0/1:下联办公接入交换机(透传VLAN 10-30);XGE 0/0/2:下联访客接入交换机(透传VLAN 40);XGE 0/0/3:下联服务器接入交换机(透传VLAN 50-60);40GE 0/0/25-26:端口聚合,上联核心路由器(透传所有业务VLAN)。
4.7 核心配置命令
// 1. 进入系统视图,修改设备名称 sys sysname Sangfor-S6500-Aggregation // 2. 配置端口聚合(Eth-Trunk 1),保障上联链路冗余 interface Eth-Trunk 1 port link-type trunk port trunk permit vlan 10 to 60 // 透传所有业务VLAN mode lacp-static // 静态LACP模式,提升链路可靠性 trunkport 40GE 0/0/25 to 0/0/26 // 将40GE 25-26端口加入聚合组 no shutdown // 3. 配置下联办公接入端口(XGE 0/0/1) interface XGigabitEthernet 0/0/1 port link-type trunk port trunk permit vlan 10 to 30 no shutdown // 4. 配置下联访客接入端口(XGE 0/0/2) interface XGigabitEthernet 0/0/2 port link-type trunk port trunk permit vlan 40 no shutdown // 5. 配置下联服务器接入端口(XGE 0/0/3) interface XGigabitEthernet 0/0/3 port link-type trunk port trunk permit vlan 50 to 60 no shutdown // 6. 配置STP,避免环路(汇聚层核心配置) stp mode rstp // 启用RSTP快速生成树协议 stp priority 4096 // 配置为根桥(优先级数值越小越优先) // 7. 保存配置并验证 save force display eth-trunk 1 // 查看聚合组状态 display port trunk // 查看Trunk端口透传VLAN情况 display stp // 查看STP配置及端口角色4.8 配置说明
S6500作为汇聚层高性能机型,支持万兆/40GE高速接口与端口聚合功能,通过LACP静态聚合保障上联链路冗余,避免单点故障;精准控制各下联端口的VLAN透传范围,实现不同区域流量隔离汇聚;启用RSTP协议防止网络环路,保障园区网络稳定运行。
五、常见问题排查
问题1:终端接入后无法上网,端口状态Down? 排查方向:① 执行“display interface brief”查看端口状态,若为Down,检查网线是否插紧、终端网卡是否正常;② 确认端口已执行“no shutdown”启用;③ 若连接老款终端,可手动配置端口速率为100M、双工为全双工(默认自动协商可能失败)。
问题2:同一VLAN内设备无法互通? 排查方向:① 执行“display vlan 10”(对应VLAN ID)确认两台设备接入的端口均归属目标VLAN;② 检查终端IP是否在同一网段(如VLAN 10对应192.168.10.0/24);③ 排除终端防火墙拦截,可尝试关闭防火墙测试。
问题3:Trunk链路无法透传VLAN? 排查方向:① 两端交换机互联端口均需配置为Trunk模式,执行“display port link-type 端口号”验证;② 两端允许透传的VLAN需一致,执行“display port trunk”对比;③ 若透传VLAN包含默认VLAN 1,确认未误配置“port trunk deny vlan 1”。
问题4:SSH登录失败? 排查方向:① 执行“display ssh server status”确认SSH服务已启用;② 检查本地用户配置,确认“service-type ssh”已配置;③ 排查网络链路,确保终端与交换机IP互通,且未被防火墙拦截22端口。
六、注意事项
深信服交换机命令支持部分华为、H3C命令写法(如undo shutdown/no shutdown通用),但部分高级命令存在差异,建议优先参考深信服官方手册。
配置安全联动功能时,需确保交换机与深信服安全设备(AC/FW)IP互通,且设备版本兼容(建议均升级至最新稳定版本)。
汇聚层、核心层设备配置变更(如端口聚合、STP)需在业务低峰期执行,避免影响正常业务;执行前建议备份配置(save backup.cfg)。
深信服交换机默认开启端口安全基础功能,若出现终端无法接入,可执行“display port-security”查看是否存在MAC地址限制,必要时执行“no port-security enable”临时关闭排查。
七、总结
深信服交换机配置命令兼具通用性与特色性,基础配置(登录、VLAN、端口)与主流厂商差异较小,易上手;安全联动、简化运维等特色命令则大幅降低了网络与安全一体化部署的难度。实际配置时,需遵循“先基础配置→再核心功能→最后验证保存”的流程,结合设备型号与业务需求精准配置。通过本文的命令解析与案例实操,可覆盖绝大多数深信服交换机的日常部署场景。
如果你正在为企业规划网络架构、优化办公网络性能,或遇到 VLAN 划分混乱、路由策略失效、专线利用率低、搬迁断网等实际问题,欢迎点击下方,我可以提供免费的规划咨询(我专注于为30–200人成长型企业提供标准化ICT规划与运维服务)。
