华为交换机S5720系列是华为公司推出的新一代三层千兆以太网交换机,具备高性能、高密度、高可靠性的特点,广泛应用于企业网、园区网等场景,其配置命令涉及基础设置、VLAN划分、接口管理、路由协议、安全策略等多个方面,以下将详细介绍常用配置命令及操作步骤。
(图片来源网络,侵删)
基础配置
用户登录与设备命名
首次配置通常通过Console口登录,使用超级用户账号(默认为admin,密码需首次设置),进入系统视图后,可配置设备名称:
system-view // 进入系统视图 sysname Switch-A // 设置设备名称为Switch-A
管理IP配置
为交换机配置管理IP地址,用于远程登录(如Telnet/SSH):
vlanif 10 // 进入VLAN10接口视图(假设管理VLAN为10) ip address 192.168.10.1 24 // 配置IP地址及子网掩码 quit
用户权限与密码设置
配置登录用户及密码,提升安全性:
aaa // 进入AAA视图 local-user admin password cipher Huawei@123 // 设置用户密码 local-user admin privilege level 15 // 设置用户权限为15级(最高权限) local-user admin service-type telnet ssh // 允许Telnet和SSH登录 quit
SSH登录配置
为安全考虑,建议禁用Telnet,仅启用SSH:
(图片来源网络,侵删)
stelnet server enable // 启用SSH服务 user-interface vty 0 4 // 进入VTY用户界面 authentication-mode aaa // 使用AAA认证 protocol inbound ssh // 仅允许SSH协议 quit
VLAN与端口配置
VLAN创建与划分
vlan 10 // 创建VLAN 10 vlan 20 // 创建VLAN 20 quit
端口加入VLAN
-
Access端口(用于连接终端设备):
interface GigabitEthernet 0/0/1 // 进入GE0/0/1接口视图 port link-type access // 设置端口类型为Access port default vlan 10 // 将端口加入VLAN 10 quit
-
Trunk端口(用于连接其他交换机,允许多VLAN通过):
interface GigabitEthernet 0/0/2 // 进入GE0/0/2接口视图 port link-type trunk // 设置端口类型为Trunk port trunk allow-pass vlan 10 20 // 允许VLAN 10和20通过 port trunk pvid vlan 10 // 设置默认VLAN为10(可选) quit
端口速率与双工模式配置
interface GigabitEthernet 0/0/1 speed 1000 // 设置速率为1000Mbps duplex full // 设置双工模式为全双工 quit
路由配置
静态路由配置
ip route-static 192.168.30.0 24 192.168.10.2 // 目标网段、掩码、下一跳地址
OSPF动态路由配置
ospf 1 // 启动OSPF进程1 area 0 // 进入区域0 network 192.168.10.0 0.0.0.255 // 宣告直连网段(反掩码格式) network 192.168.20.0 0.0.0.255 quit
安全与策略配置
端口安全(限制MAC地址数量)
interface GigabitEthernet 0/0/1 port-security max-mac-num 2 // 最大允许2个MAC地址 port-security mac-address sticky // 绑定MAC地址 port-security violation shutdown // 违规操作关闭端口 quit
ACL访问控制
acl number 3000 // 创建基本ACL 3000 rule 5 permit source 192.168.10.0 0.0.0.255 // 允许VLAN 10网段访问 rule 10 deny // 拒绝其他所有流量 quit interface GigabitEthernet 0/0/2 traffic-filter inbound acl 3000 // 在入方向应用ACL quit
常用维护命令
display current-configuration // 查看当前配置 display saved-configuration // 查看已保存配置 save // 保存配置 reset saved-configuration // 清空已保存配置 ping 192.168.10.2 // 测试网络连通性 tracert 192.168.30.1 // 路由跟踪
配置示例表格
| 功能分类 | 命令示例 | 说明 |
|---|---|---|
| 设备命名 | sysname Switch-A |
设置交换机名称 |
| VLAN创建 | vlan 10 |
创建VLAN 10 |
| Access端口 | port link-type accessport default vlan 10 |
将端口设置为Access模式并加入VLAN 10 |
| Trunk端口 | port link-type trunkport trunk allow-pass vlan 10 20 |
允许VLAN 10和20通过Trunk端口 |
| 静态路由 | ip route-static 192.168.30.0 24 192.168.10.2 |
配置静态路由 |
| OSPF宣告 | network 192.168.10.0 0.0.0.255 area 0 |
宣告直连网段到OSPF区域0 |
| 端口安全 | port-security max-mac-num 2port-security violation shutdown |
限制端口MAC数量并违规关闭 |
| ACL应用 | traffic-filter inbound acl 3000 |
在接口入方向应用ACL |
相关问答FAQs
Q1: 如何配置交换机支持SSH远程登录?
A1: 配置步骤如下:
- 进入系统视图,开启SSH服务:
stelnet server enable; - 创建本地用户并设置密码和权限:
local-user admin password cipher Huawei@123 privilege level 15 service-type ssh; - 进入VTY用户界面,配置认证方式为AAA并限制协议为SSH:
user-interface vty 0 4,authentication-mode aaa,protocol inbound ssh; - 保存配置并测试SSH登录(使用PuTTY等工具)。
Q2: 交换机端口无法加入VLAN,可能的原因及解决方法?
A2: 可能原因及解决方法如下:
- 端口类型错误:若端口为Trunk模式,需先修改为Access模式:
undo port link-type后重新配置port link-type access; - VLAN不存在:检查VLAN是否已创建,使用
display vlan查看,若未创建则执行vlan [vlan-id]; - 端口被占用或关闭:检查端口状态是否为
UP,使用undo shutdown开启端口; - 配置冲突:检查是否有其他安全策略(如端口安全)阻止端口加入VLAN,可通过
display port-security查看并调整策略。
