华三交换机的配置命令是网络管理员进行设备管理、网络部署和故障排查的核心工具,掌握这些命令对于构建高效、稳定的网络环境至关重要,以下从基础配置、VLAN划分、端口配置、路由配置、安全配置及常用维护命令等方面进行详细说明,并结合表格整理常用命令格式及功能。
基础配置命令
首次登录交换机通常需要通过Console线连接,使用默认用户名(如admin)和密码登录后,首先进入系统视图进行基础配置,进入系统视图的命令是system-view,退出为quit,配置设备名称的命令为sysname 名称,例如sysname H3C-SW1,配置管理IP地址需进入VLAN接口视图,如interface vlan-interface 1,然后使用ip address IP地址 子网掩码配置,例如ip address 192.168.1.1 255.255.255.0,保存配置的命令为save,重启设备为reboot。
VLAN划分与端口配置
VLAN(虚拟局域网)用于隔离广播域,提升网络安全性,创建VLAN的命令为vlan VLAN编号,例如vlan 10,进入VLAN视图后可使用name VLAN名称设置VLAN名称,如name Sales,将端口加入VLAN时,需先进入接口视图,命令为interface 接口类型 接口编号(如interface GigabitEthernet 1/0/1),然后配置端口链路类型:port link-type access(接入端口,属于单一VLAN)或port link-type trunk(干道端口,允许多个VLAN通过),Trunk端口需使用port trunk permit vlan VLAN列表允许指定VLAN通过,例如port trunk permit vlan 10 20。
路由配置
当网络需要跨网段通信时,需配置静态路由或动态路由,静态路由配置命令为ip static-route 目标网段 next-hop 下一跳地址,例如ip static-route 192.168.2.0 255.255.255.0 192.168.1.254,若启用动态路由协议,如OSPF,需先进入路由协议视图router ospf 进程号,例如router ospf 1,然后使用network 网段地址 反掩码 area 区域号宣告网段,如network 192.168.1.0 0.0.0.255 area 0。
安全配置
为提升网络安全性,可配置端口安全、访问控制列表(ACL)等功能,端口安全限制MAC地址数量的命令为port-security max-address 数量,例如port-security max-address 2,ACL配置分为基本ACL和高级ACL,基本ACL基于源IP地址,命令为acl number 2000(ACL编号),然后rule permit source 源IP地址 反掩码,如rule permit source 192.168.1.0 0.0.0.255;高级ACL可基于源目IP、端口等,如acl number 3000,rule permit tcp source any destination-port eq 80,应用ACL到接口时,在接口视图下使用traffic-filter inbound acl ACL编号( inbound为入向,outbound为出向)。
常用维护命令
日常维护中,查看设备信息的命令包括display current-configuration(查看当前配置)、display device(查看设备状态)、display interface brief(查看接口摘要信息),诊断网络连通性使用ping 目标IP地址,跟踪路径使用tracert 目标IP地址,查看MAC地址表为display mac-address,查看ARP表为display arp。
以下为常用命令速查表:
| 命令分类 | 命令格式示例 | 功能说明 |
|---|---|---|
| 基础配置 | system-view | 进入系统视图 |
| sysname H3C-SW1 | 设置设备名称 | |
| VLAN配置 | vlan 10 | 创建VLAN 10 |
| port link-type access | 设置端口为接入模式 | |
| 路由配置 | ip static-route 0.0.0.0 0.0.0.0 10.1.1.1 | 配置默认路由 |
| 安全配置 | acl number 2000 | 创建基本ACL 2000 |
| traffic-filter inbound acl 2000 | 在接口入向应用ACL 2000 | |
| 维护命令 | display interface GigabitEthernet 1/0/1 | 查看指定接口详细信息 |
| save | 保存当前配置 |
相关问答FAQs
Q1: 如何将交换机端口从VLAN 10删除并加入VLAN 20?
A1: 首先进入接口视图,例如interface GigabitEthernet 1/0/1,然后执行undo port default vlan 10删除原VLAN配置,再使用port default vlan 20将端口加入VLAN 20,若为Trunk端口,需使用undo port trunk permit vlan 10移除允许的VLAN,再执行port trunk permit vlan 20添加新VLAN。
Q2: 配置完成后如何验证VLAN间通信是否隔离?
A2: 可通过以下步骤验证:1. 在不同VLAN的PC上配置对应网关IP;2. 使用ping命令测试跨VLAN主机的连通性,若无法ping通则说明VLAN隔离生效;3. 在交换机上执行display vlan查看VLAN成员端口是否正确,或使用display mac-address检查MAC地址表是否包含跨VLAN的条目(正常情况下不应存在)。
