華為交換機(jī)常用配置

1、華為交換機(jī)常用配置介紹華為交換機(jī)常用配置介紹1交換機(jī)開局 三層交換機(jī)和二層交換機(jī)功能上有很大區(qū)別 5700的交換機(jī)除了LI的機(jī)型都是三層設(shè)備 二層交換機(jī)運(yùn)行在數(shù)據(jù)鏈路層，主要作用是數(shù)據(jù)交換和轉(zhuǎn)發(fā)； 三層交換機(jī)運(yùn)行在網(wǎng)絡(luò)層，主要作用是尋址和路由。 所有對(duì)于交換機(jī)的開局而言主要工作是在三層交換機(jī)上。2配置AAA AAA是認(rèn)證（Authentication）、授權(quán)（Authorization）和計(jì)費(fèi)（Accounting）的簡(jiǎn)稱，是網(wǎng)絡(luò)安全中進(jìn)行訪問控制的一種安全管理機(jī)制，提供認(rèn)證、授權(quán)和計(jì)費(fèi)三種安全服務(wù)。 配置用戶名稱和權(quán)限等級(jí) Huawei Huaweiaaa Huawei-aaalocal-u

2、ser admin password cipher admin123 Huawei-aaalocal-user admin service-type telnet ssh web Huawei-aaalocal-user admin privilege level 15 備注：服務(wù)類型除了telnet,ssh，還有等3用戶權(quán)限等級(jí)4配置遠(yuǎn)程控制 華為常用的遠(yuǎn)程控制分為三種方式ssh、telnet、web（默認(rèn)開啟） 1、ssh Huaweistelnet server enable #開啟SSH功能 Huaweirsa local-key-pair create #創(chuàng)建加密秘鑰 Huaweiu

3、ser-interface vty 0 3 #創(chuàng)建4個(gè)遠(yuǎn)程用戶 Huawei-ui-vty0-3authentication-mode aaa #認(rèn)證方式為AAA Huawei-ui-vty0-3protocol inbound ssh #協(xié)議為SSH Huaweissh user admin authentication-type password #配置SSH用戶的驗(yàn)證方式為password Huaweissh server rekey-interval 20 #修改密鑰生成時(shí)間 20小時(shí)更新一次 Huaweissh user admin service-type stelnet #指定用

4、戶協(xié)議5 2、telnet Huaweitelnet server enable #開啟telnet服務(wù)功能 Huaweiuser-interface vty 4 #創(chuàng)建一個(gè)遠(yuǎn)程用戶 Huawei-ui-vty4authentication-mode aaa #認(rèn)證方式為AAA Huawei-ui-vty4protocol inbound telnet #協(xié)議為telnet 或者認(rèn)證方式為password Huaweiuser-interface vty 4 #創(chuàng)建一個(gè)遠(yuǎn)程用戶 Huawei-ui-vty4authentication-mode password #認(rèn)證方式為password

5、Huawei-ui-vty4set authentication password cipher admin123 #設(shè)置認(rèn)證密碼 Huawei-ui-vty4protocol inbound telnet #協(xié)議為telnet6管理口（console）設(shè)置 Huaweiuser-interface console 0 #配置管理口 Huawei-ui-vty4authentication-mode aaa #認(rèn)證方式為AAA 或者認(rèn)證方式為password Huaweiuser-interface console 0 #配置管理口 Huawei-ui-vty4authentication-m

6、ode password #認(rèn)證方式為password Huawei-ui-vty4set authentication password cipher admin123 #設(shè)置認(rèn)證密碼7劃分VLAN 對(duì)于一臺(tái)交換機(jī)，首先要知道根據(jù)公司的部門劃分不通的網(wǎng)段，而在三層交換機(jī)中可以通過劃分VLAN來區(qū)分不通的網(wǎng)段，并且不同網(wǎng)段之間可以互通。在接入層交換機(jī)上只需要將下連接口需要用的vlan宣告出來。 system-view #進(jìn)入系統(tǒng)視圖模式 Huawei Huaweisysname SWITCH #給交換機(jī)命名 SWITCH SWITCHvlan batch 2 7 8 99 #宣告多個(gè)vlan，

7、2、7、8 、99 SWITCHvlan 2 #進(jìn)入vlan2視圖下 SWITCH-vlan2description office #給這個(gè)vlan加個(gè)描述，方便管理8配置網(wǎng)段IP地址 各部門的VLAN劃分完畢之后，要個(gè)每個(gè)網(wǎng)段設(shè)置一個(gè)IP地址作為網(wǎng)關(guān)，各網(wǎng)段之間能夠互相通信就要通過這個(gè)IP； SWITCHinterface Vlanif 2 #進(jìn)入vlan2虛接口下 SWITCH-Vlanif2ip address #配置IP地址 SWITCHinterface Vlanif 7 #進(jìn)入vlan7虛接口下 SWITCH-Vlanif2ip

8、address #配置IP地址9設(shè)置管理IP 如果是二層的接入交換機(jī)，需求遠(yuǎn)程管理這臺(tái)機(jī)器，則需要給這臺(tái)機(jī)器配置個(gè)管理IP。 在給整個(gè)網(wǎng)絡(luò)規(guī)劃的時(shí)候，就會(huì)給整個(gè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備，例如交換機(jī)，路由器，無線設(shè)備等，劃分一個(gè)管理網(wǎng)段。所以新加的這個(gè)交換機(jī)就必須也設(shè)置在這個(gè)網(wǎng)段上。 例如你們公司的管理網(wǎng)段是/24,vlan號(hào)是1. 所以新交換機(jī)也在vlan1上設(shè)置一個(gè)管理IP：5 24 SWITCHinterface Vlanif 1 #進(jìn)入vlan1虛接口下 SWITCH-Vlanif2ip addr

9、ess 5 #配置IP地址10配置接口類型 根據(jù)交換機(jī)的接口接入的設(shè)備配置不同接口的類型 華為的交換機(jī)接口分為三種：trunk、access、hybrid 所有華為交換機(jī)的默認(rèn)接口類型為hybrid 當(dāng)下聯(lián)設(shè)備為交換機(jī)時(shí)： SWITCHinterface GigabitEthernet 0/0/1 #進(jìn)入接口模式下 SWITCH-GigabitEthernet0/0/1 port link-type trunk #配置為trunk型 SWITCH-GigabitEthernet0/0/1port trunk allow-pass vlan a

10、ll #允許所有vlan通過 當(dāng)下聯(lián)設(shè)備為PC終端時(shí)： SWITCHinterface GigabitEthernet 0/0/2 #進(jìn)入接口模式下 SWITCH-GigabitEthernet0/0/2port link-type access #配置為access型 SWITCH-GigabitEthernet0/0/2port default vlan 2 #將接口加入到vlan 2下11上聯(lián)核心的接口設(shè)置 由于連接核心的交換機(jī)的下連端口可能劃分到幾個(gè)vlan中，所以上聯(lián)口一般都設(shè)置為trunk模式，允許多個(gè)vlan通過。 例如你們新加的那個(gè)交換機(jī)，下聯(lián)口分到2、7、8、99的vlan中

11、； 那上聯(lián)口的1口就需要設(shè)置為trunk模式。 SWITCHinterface GigabitEthernet 0/0/1 #進(jìn)入接口模式下 SWITCH-GigabitEthernet0/0/1 port link-type trunk #配置為trunk型 SWITCH-GigabitEthernet0/0/1port trunk allow-pass vlan all #允許所有vlan通過12DHCP（選用） DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議） 如果客戶有DHCP服務(wù)器，則不用將DHCP地址池放到核心交換上； SWITC

12、Hip pool vlan2 #設(shè)置一個(gè)VLAN地址池 SWITCH-ip-pool-vlan2network mask 24 #宣告網(wǎng)段 SWITCH-ip-pool-vlan2gateway-list #設(shè)置網(wǎng)關(guān) SWITCH-ip-pool-vlan2dns-list 33 #設(shè)置DNS SWITCH-ip-pool-vlan2excluded-ip-address 0 #保留2-10地址不分配（選用）13虛接口下啟用DHCP DHCP地址池建好之后，要啟用DHCP功能；

13、 SWITCHdhcp enable #開啟DHCP功能 在接口下要引用DHCP地址池 SWITCHinterface Vlanif 2 SWITCH-Vlanif2dhcp select global #引用全局地址池 或者引用DHCP服務(wù)器的地址池 SWITCHinterface Vlanif 2 SWITCH-Vlanif2dhcp relay server-ip #引用DHCP中繼14路由 華為交換機(jī)的各VLAN之間默認(rèn)是互通的，不需要再寫路由； 當(dāng)核心交換和其他核心之間或者路由器互通時(shí)就需要寫路由； 路由分靜態(tài)路由和動(dòng)態(tài)路由 中小企業(yè)常用的為靜態(tài)路由 當(dāng)通過路

14、由器上網(wǎng)時(shí)，則需將內(nèi)網(wǎng)的所有數(shù)據(jù)路由到路由器，就要寫默認(rèn)路由； SWITCH ip route-static 54 #默認(rèn)路由指向路由器內(nèi)網(wǎng)地址15部分客戶的常用配置要求 訪客網(wǎng)段不能訪問辦公網(wǎng) 可通過policy進(jìn)行流量控制或者進(jìn)行2層端口隔離 1、流量控制 SWITCHacl 3001 #新建一個(gè)高級(jí)ACL SWITCH-acl-adv-3001rule 5 deny ip source 55 destination 55 #禁止5網(wǎng)段訪問2網(wǎng)段 SWITCH-a

15、cl-adv-3001rule 100 permit ip #允許訪問任何網(wǎng)段 SWITCH-acl-adv-3001quit #退出當(dāng)前模式16 配置基于ACL的流分類 Switch traffic classifier tc1 /創(chuàng)建流分類 Switch-classifier-tc1 if-match acl 3001 /將ACL與流分類關(guān)聯(lián) Switch-classifier-tc1 quit 配置流行為 Switch traffic behavior tb1 /創(chuàng)建流行為 Switch-behavior-tb1 deny /配置流行為動(dòng)作為拒絕報(bào)文通過 Switch-behavior-

16、tb1 quit 配置流策略 Switch traffic policy tp1 /創(chuàng)建流策略 Switch-trafficpolicy-tp1 classifier tc1 behavior tb1 /將流分類tc1與流行為tb1關(guān)聯(lián) Switch-trafficpolicy-tp1 quit 在接口下應(yīng)用流策略 Switch interface gigabitethernet 0/0/1 Switch-GigabitEthernet0/0/1 traffic-policy tp1 inbound /流策略應(yīng)用在接口入方向17 2、端口隔離 華為的端口隔離默認(rèn)是配置二層隔離三層互通模式 SW

17、ITCH interface gigabitethernet 0/0/2 SWITCH-GigabitEthernet0/0/2port link-type access #配置為access型 SWITCH-GigabitEthernet0/0/2port default vlan 2 #將接口加入到vlan 2下 SWITCH-GigabitEthernet0/0/2 port-isolate enable #缺省加入端口隔離組1，且隔離模式為二層隔離三層互通。 SWITCH interface gigabitethernet 0/0/3 SWITCH-GigabitEthernet0/0

18、/2port link-type access #配置為access型 SWITCH-GigabitEthernet0/0/2port default vlan 7 #將接口加入到vlan 5下 SWITCH-GigabitEthernet0/0/3 port-isolate enable #缺省加入端口隔離組1，且隔離模式為二層隔離三層互通。18接口限速 某些情況下客戶會(huì)對(duì)接口限速。當(dāng)報(bào)文的發(fā)送速率超過限制速率時(shí)，超出的那部分報(bào)文先進(jìn)入緩存隊(duì)列；當(dāng)令牌桶有足夠的令牌時(shí)，再均勻向外發(fā)送這些被緩存的報(bào)文；當(dāng)緩存隊(duì)列已滿時(shí)，新到達(dá)的報(bào)文將被丟棄。 SWITCHint GigabitEthernet

19、 0/0/1 SWITCH-GigabitEthernet0/0/1qos lr outbound cir 10000 #對(duì)出接口方向限速10M19端口匯聚 當(dāng)單條鏈路速率不足或者對(duì)鏈路做冗余配置時(shí)可考慮端口匯聚 端口匯聚一般應(yīng)用在交換機(jī)之間的上下行鏈路 SWITCHinterface Eth-Trunk 1 #建立一個(gè)聚合組 SWITCH-Eth-Trunk1trunkport GigabitEthernet 0/0/5 to 0/0/6 #將5、6口加入聚合組 SWITCH-Eth-Trunk1port link-type trunk #配置為trunk模式 SWITCH-Eth-Trun

20、k1port trunk allow-pass vlan all #允許所有vlan通過 備注：兩臺(tái)交換機(jī)的匯聚組號(hào)必須一致，并且加入組的接口必須默認(rèn)配置20保存配置 Huawei Huaweiquit #退出到用戶視圖 save #保存配置 The current configuration will be written to the device. Are you sure to continue?Y/Ny #選擇Y確認(rèn)繼續(xù) Now saving the current configuration to the slot 0. Mar 7 2017 10:39:28-08:00 Huaw

21、ei %01CFM/4/SAVE(l)48:The user chose Y when dec iding whether to save the configuration to the device. Save the configuration successfully.21備份配置 dir #查看內(nèi)存目錄 Directory of flash:/ Idx Attr Size(Byte) Date Time 0 drw- - Mar 07 2017 10:07:16 src 1 drw- - Mar 07 2017 10:07:35 compatible 2 -rw- 581 Mar 0

22、7 2017 10:39:30 vrpcfg.zip #交換機(jī)的配置文件 32,004 KB total (31,968 KB free) tftp put vrpcfg.zip 向TFTP服務(wù)器上傳配置文件 tftp get vrpcfg.zip 向TFTP服務(wù)器下載配置文件22導(dǎo)入配置 tftp 8 get vrpcfg.zip The exists. Overwrite it?Y/N:y Info: Transfer binary mode. Downloading the the remote T. Please wait. 100% TFTP: Downloading the . 926 byte(s) received in 1 second(s). startup saved-configuration flash:/vrpcfg.zip reboot Info: The system is n