本文关键词：cisco 主机和交换机链接

干网络这行九年，见过太多刚入行的小兄弟，一碰到设备连不上就慌神，满世界找软件破解或者重装系统。其实吧，90%的问题都出在物理层和基础配置上。今天咱不整那些虚头巴脑的理论，就聊聊怎么把 Cisco 主机和交换机链接给理顺了，全是真金白银砸出来的经验。

先说个最基础的，也是最容易翻车的地方：网线。别以为买根成品线就万事大吉。我有个客户，某电商公司的机房，新上架了一批服务器，死活 ping 不通网关。查了半天配置，IP、子网掩码全对。最后我趴在地上看机柜后面，好家伙，那根线是以前剩的旧线，水晶头铜片都氧化发黑了，而且线序虽然看着像T568B，但有一对线对接触不良。换根新线，指示灯秒亮。所以，做 cisco 主机和交换机链接 之前，先拿测线仪跑一遍，别省那几块钱买线的钱，省小钱亏大钱。

再来说说端口协商。很多新手不知道，Cisco 交换机端口默认是自动协商的，但有时候自动协商会抽风。比如你接的是千兆网卡，交换机端口却跑在百兆，或者更惨，直接 down 掉了。这时候你得进交换机命令行看看。别怕黑屏，敲几个命令就完事。

show interfaces status 这条命令是必杀技。它能一眼看出哪个端口没连接，哪个端口速度不对。如果看到端口状态是 "notconnect" 或者 "disabled"，别急着换设备。先检查对端设备是不是也开了端口。有时候两边都设成了 "auto"，反而协商失败。这时候手动指定速率和双工模式是个好办法，比如 speed 100 和 duplex full。虽然现代设备大多支持自协商，但在一些老旧环境或者特殊链路里，手动锁定反而更稳。

还有一个坑，叫端口安全（Port Security）。很多公司为了安全，会在交换机上开启这个功能。默认情况下，它可能只允许一个 MAC 地址接入。如果你的主机网卡换了，或者接了个小交换机再连主机，MAC 地址一变，端口直接 shutdown。这时候你 show logging 一看，满屏都是 "SECURITY VIOLATION"。解决办法也不难，要么把端口安全关了，要么把允许的 MAC 地址加进去，或者设置违规模式为 "protect" 而不是 "shutdown"。这点一定要在上线前跟业务部门确认好，别为了那点安全指标，把业务给搞挂了。

再分享个真实案例。去年帮一家物流公司调优网络，他们用的是老款的 Catalyst 2960 交换机。新购的主机是万兆网卡，但交换机只有千兆口。结果就是链路起不来，日志里全是 "autonegotiation failed"。这时候就得手动干预了。在交换机端口下输入 no negotiation auto，强制指定速率。虽然牺牲了自动协商的便利性，但保证了链路的稳定性。这种操作在 cisco 交换机配置 里很常见，特别是当你对端设备不支持标准自协商协议时。

最后，别忽视 VLAN 的问题。有时候物理链路是通的，灯也亮，但就是不通。这时候查一下端口属于哪个 VLAN，主机配置的 IP 是否在同一个网段。很多小白会把主机插到管理 VLAN 或者未使用的 VLAN 里，当然 ping 不通。用 show vlan brief 快速扫一眼，确认端口划分正确。

总之，排查网络问题，先物理后逻辑，先硬件后软件。别一上来就搞复杂的路由协议，先把线接好，灯亮了，再谈其他。这些细节做好了，cisco 主机和交换机链接 才能稳如老狗。希望这些经验能帮大家在排查问题时少走弯路，毕竟时间就是金钱，网络不通，老板的脸色可不好看。