华为交换机作为网络基础设施的核心设备，其稳定运行对整体网络架构至关重要，掌握常用的维护命令是网络管理员进行日常运维、故障排查和性能优化的基础，以下从基础信息查询、配置管理、故障诊断、安全维护及日志管理五个维度,详细解析华为交换机的核心维护命令及其应用场景。

基础信息查询命令

基础信息查询是维护工作的第一步，通过获取设备状态、硬件信息及网络拓扑，快速定位问题范围。

1. 显示设备基本信息

   • display version：查看系统版本、启动时间、设备型号及硬件信息，例如检查是否为当前推荐版本，避免兼容性问题。
   • display device：显示设备槽位、单板状态（如主控板、接口板），确认单板是否正常工作，如Slot 1: SRUH board, Status: Normal。
   • display uptime：查看设备运行时长，结合display reboot-history分析重启原因，判断是否因硬件故障或配置错误导致异常重启。

2. 接口与链路状态查询

   • display interface [interface-type interface-number]：查看接口状态（up/down）、流量统计（收发包数、错误包）、带宽利用率及双工模式，若接口频繁出现input errors，需检查链路质量或硬件问题。
   • display link：显示聚合链路（Eth-Trunk）成员端口状态及负载均衡模式，确认是否有端口被隔离或负载不均。

3. 路由与MAC地址表查询

   
   （图片来源网络，侵删）
   • display ip routing-table：查看路由表，确认路由条目是否正确，特别是静态路由和动态路由协议（如OSPF、BGP）的学习状态。
   • display mac-address：查看MAC地址表，检查是否存在异常MAC地址（如大量泛洪或未知单播），可结合display mac-address aging-time确认MAC地址老化时间是否合理。

配置管理命令

配置管理涉及备份、恢复及修改设备参数，需谨慎操作以避免服务中断。

1. 配置备份与恢复

   • 保存配置：save（将当前配置存入设备，避免重启丢失）。
   • 备份配置：通过ftp server ip-address get filename或tftp将配置文件上传至服务器，建议定期备份，结合定时任务（如clock timezone设置时区后，通过schedule命令自动化备份）。
   • 恢复配置：ftp server ip-address put filename或通过startup saved-configuration filename指定下次启动配置文件。

2. 配置修改与验证

   • 进入系统视图：system-view，进入接口视图：interface GigabitEthernet 0/0/1。
   • 修改接口描述：description "Link to Server-01"，便于后续维护识别。
   • 验证配置：display current-configuration查看当前生效配置，display saved-configuration查看存储的配置文件，对比差异。

故障诊断命令

故障诊断需结合分层思想，从物理层到应用层逐步排查。

1. 连通性测试

   • ping [ip-address]：测试网络连通性，可通过-c count（发送包数量）、-w timeout（超时时间）参数调整，例如ping 192.168.1.1 -c 5 -w 1000。
   • tracert [ip-address]：跟踪路径，定位网络延迟或中断节点，如显示可能表示中间设备ACL过滤或路由不可达。

2. 协议与性能分析

   • display ospf peer：查看OSPF邻居状态，若State为Down，需检查Hello/Dead时间、区域ID是否匹配。
   • display cpu-usage：查看CPU占用率，若持续高于80%，需通过display cpu-defend检查攻击报文（如ARP Miss、ICMP Miss），或优化ACL规则。
   • display memory-usage：查看内存使用情况，若内存泄漏，需重启相关业务进程或升级版本。

3. 硬件故障检测

   • display diagnostic：运行硬件诊断测试，检测单板、接口模块是否存在故障。
   • display temperature：查看设备温度，若超过阈值（如85℃），需检查散热风扇或机房环境。

安全维护命令

安全是网络运维的重点，需通过命令加固设备防护能力。

1. 访问控制与用户管理

   • 配置AAA认证：aaa进入AAA视图，local-user admin password cipher Huawei@123创建管理员账户，authorization-attribute level 3设置权限级别。
   • 限制登录方式：user-interface vty 0 4，authentication-mode aaa，protocol inbound ssh禁用Telnet，仅允许SSH登录。

2. 攻击防护与端口安全

   • 开启ARP防攻击：arp anti-attack check user-bind enable，绑定IP与MAC地址，防止ARP欺骗。
   • 端口安全：interface GigabitEthernet 0/0/1，port-security max-mac-num 1限制端口最大MAC数量，port-security violation shutdown违规时关闭端口。

日志管理命令

日志是故障追溯的重要依据，需合理配置日志输出与存储。

1. 日志配置与查看

   • 开启日志功能：info-center loghost ip-address，将日志发送至日志服务器；info-center source default channel 6设置日志输出级别（如 informational、debugging）。
   • 查看日志：display logbuffer查看设备缓冲区日志，display logbuffer size 1024调整缓冲区大小；通过display logging ip查看日志服务器状态。

2. 日志分析与归档

   • 结合timestamp log datetime添加时间戳，便于定位故障时间点；定期通过ftp将日志文件备份至服务器，避免日志覆盖丢失。

相关问答FAQs

Q1: 如何判断华为交换机CPU过高的原因？
A1: 可通过以下步骤排查：

1. 执行display cpu-usage查看CPU占用率，若系统进程（如SWITCH）占用高，可能为转发任务繁重；
2. 执行display cpu-defend检查防御报文统计，若ARP Miss、IP Fragment等报文数量激增，可能遭受攻击；
3. 执行display logbuffer查看日志，定位是否有异常配置或协议震荡（如OSPF邻居频繁断开）；
4. 若为业务进程（如L2VPN）占用高，需检查VPN配置或重启相关业务模块。

Q2: 交换机接口频繁Up/Down如何处理？
A2: 接口频繁Up/Down通常由物理链路或配置问题导致，处理步骤如下：

1. 检查物理层：确认网线、光模块是否正常，display interface查看CRC错误计数，若持续增加需更换硬件；
2. 检查协商模式：display interface查看接口速率、双工模式是否匹配，手动配置speed 1000、duplex full解决协商不一致问题；
3. 检查环路：开启stp（生成树协议）防止环路，或通过display mac-address检查是否存在MAC地址震荡；
4. 检查端口安全：若配置了port-security，确认是否因MAC地址超限导致端口被Shutdown，需调整max-mac-num或关闭违规关闭功能。