华为网络设备的常见功能配置（交换机）

常见的设备配置方式

设备的配置方式主要有三种

1. 利用console接口进行配置
2. 利用Telnet或SSH方式远程登录设备进行配置
3. 通过图像化配置界面进行登录配置
   对于刚出厂的设配，需要直连进行配置。即通过console线缆连接主机的COM端口与设配的console接口。

常见的配置参数有：

• 波特率（数据传输速率）：9600bps
• 数据位：8
• 奇偶校验：None
• 停止位：1
• 流控：无

配置好之后，就可以通过IP地址或SSH方式登录交换机设备进行配置，也可以通过浏览器输入IP地址，在网页上进行配置。图形化配置方式更人性化，可以降低管理员的配置难度。

交换机的基本配置命令

不同的命令视图下，使用的配置命令是不同的，常见命令视图有：

• 用户视图：登录交换机后进入的第一个命令视图，命令提示符为<switch>
• 系统视图：在用户视图下输入system-view，可进入系统视图，命令提示符为[switch]，返回用户视图的命令为quit
• 以太网接口视图
• VLAN视图
• VLAN接口视图

交换机的基本配置

<HUAWEI>  // 用户视图提示符
<HUAWEI>system-view  // 进入系统视图
[HUAWEI]sysname R1  // 设配命名为R1
[R1]interface gigabitethernet 0/0/1  // 进入以太网接口视图
[R1-Gigabitethernet 0/0/1]auto speed 1000 //配置以太网接口可自协商的速率
[R1-Gigabitethernet 0/0/1]quit // 退出系统视图
[R1]

启用Telnet并配置vty线路登录的验证方式

[HUAWEI]telent server enabe  // 开启Telnet功能
[HUAWEI]user-interface vty 0 4  // 开启vty线路模式，其他“0 4”表示允许同时有0~4，一共5个用户登录到设备上
[HUAWEI-ui-vty0-4]protocol inbound telnet // 配置vty支持Telnet协议
[HUAWEI-ui-vty0-4]authentication-mode aaa|password|none // 设置验证模式为aaa或口令验证或不进行验证
[HUAWEI-ui-vty0-4]quit
[HUAWEI]aaa // 如果验证模式配置成aaa验证，则需要进入aaa视图创建账号密码
[HUAWEI-aaa]local-user user1 password irreversible-cipher Huawei // 配置用户账号和密码，此处账号为user1，密码为Huawei
[HUAWEI-aaa]local-user user1 privilege level 3 // 配置账号权限为3
[HUAWEI-aaa]return // 如果从aaa视图直接退出用户视图，则输入return；如果返回上级系统视图，则输入quit
<HUAWEI>save // 在用户视图下保存上述配置

配置console用户的验证方式命令

[HUAWEI]user-interface console 0 // 进入console 0接口
[HUAWEI-ui-console0]authentication-mode {aaa|password|none} //当采用本地验证时，配置密码
[HUAWEI-ui-console0]Set authentication password [cipher password] // cipher password为可选参数，若不使用，则采用交互方式输入明文密码，指定cipher password，可输入密文密码

交换机VLAN接口配置

如果用户要远程管理设备，需要将IP地址提供给用户，方便用户远程登录管理。IP地址可以在物理接口上配置，也可以在逻辑接口上配置。对于交换机，我们通常在其VLAN接口上配置管理IP地址。

<HUAWEI>system-view
[HUAWEI]interface Vlanif 10
[HUAWEI-Vlanif10]ip address 192.168.1.1 24

MAC地址表绑定

交换机的MAC地址与接口映射表可以自动进行学习，管理员也可以进行手动绑定。
举例：A主机连接到交换机，A的MAC地址为00-11-22-aa-bb-cc，所属VLAN为VLAN 1，所连接的交换机设备接口为GigabitEthernet0/0/1。为防止欺骗攻击，在设置的MAC地址表中为A主机添加一条静态表项

<Sysname>system-view
[Sysname]mac-address static 00-11-22-aa-bb-cc interface Gigabitethernet 0/0/1 VLAN 1

接口隔离

假如同一个VLAN中有A、B、C三台主机，现在要求A与B不能通信，但A与C、B与C可以通信，此时可使用接口隔离的功能。

<Switch>system-view
[Switch1]port-isolate model l2  // 配置全局接口隔离模式为二层隔离
[Switch1]interface gigabitethernet 1/0/1
[Switch1-Gigabitethernet 1/0/1]port-isolate enable group1 // 使用接口隔离功能，并将G1/0/1接口加入隔离组group1
[Switch1-Gigabitethernet 1/0/2]port-isolate enable group1 // 使用接口隔离功能，并将G1/0/2接口加入隔离组group1
[Switch1-Gigabitethernet 1/0/2]quit

配置完成后，交换机G1/0/1和G1/0/2接口所连接的主机无法实现二层通信，达到接口隔离的目的。

VLAN配置

基于接口划分VLAN

如图所示，主机A与主机C属于VLAN2，主机B和主机D属于VLAN3。要求同一VLAN可以互相通信，即A与C能够互通，B与D能够互通

1. 配置交换机A所连接的PC接口所属VLAN

   <HUAWEI>system-view
   [HUAWEI]sysname SwitchA  // 给设备命名为SwitchA
   [SwitchA]VLAN batch 2 3 // 批量创建VLAN2和VLAN3
   [SwitchA]interface gigabitethernet 0/0/1 // 进入以太网接口视图
   [SwitchA-Gigabitethernet0/0/1]port link-type access // 配置接口为access类型
   [SwitchA-Gigabitethernet0/0/1]port default VLAN 2 // 把接口划入VLAN2
   [SwitchA-Gigabitethernet0/0/1]quit
   [SwitchA]interface gigabitethernet 0/0/2
   [SwitchA-Gigabitethernet0/0/2]port link-type access // 配置接口为access类型
   [SwitchA-Gigabitethernet0/0/1]port default VLAN 3 // 把接口划入VLAN2

2. 配置交换机A和交换机B连接的接口为trunk类型，同时允许所有VLAN通过

   [SwitchA]interface gigabitethernet 0/0/3
   [SwitchA-Gigabitethernet0/0/3]port link-type trunk // 配置接口为trunk类型
   [SwitchA-Gigabitethernet0/0/3]port trunk allow-pass VLAN all

   交换机B的配置与交换机A相似，不再赘述

   基于MAC地址划分VLAN

   网络拓扑图如下所示
   
   交换机A和交换机B的G0/0/2分属两个不同的部门，笔记本电脑A和笔记本电脑B分别属于两个不同部门，两个部门间使用VLAN100和VLAN200进行隔离。要求两台笔记本电脑无论在哪个部门，只能访问自己部门的服务器。笔记本电脑A和B的MAC地址分别为00-11-22-aa-bb-cc，11-11-22-aa-bb-cc

3. 配置交换机A，交换机B的配置类型，不再赘述

   <HUAWEI>system-view
   [HUAWEI]sysname SwitchA  // 给设备命名为SwitchA
   [SwitchA]VLAN batch 100 200 // 批量创建VLAN100和VLAN200
   [SwitchA]interface gigabitethernet 1/0/2 // 进入以太网接口视图
   [SwitchA-Gigabitethernet1/0/2]port link-type trunk // 配置接口为trunk类型
   [SwitchA-Gigabitethernet1/0/2]port trunk allow-pass VLAN 100 200 // 把接口GE1/0/2加入VLAN100和VLAN200
   [SwitchA-Gigabitethernet1/0/2]quit
   [SwitchA]VLAN100
   [SwitchA-VLAN 100]mac-VLAN mac-address 001122-aabbcc // MAC地址为001122-aabbcc的报文在VLAN100内转发
   [SwitchA-VLAN 100]quit
   [SwitchA]VLAN200
   [SwitchA-VLAN 200]mac-VLAN mac-address 111122-aabbcc // MAC地址为111122-aabbcc的报文在VLAN200内转发
   [SwitchA-VLAN 200]quit
   [SwitchA]interface gigabitethernet 1/0/1 // 进入以太网接口视图
   [SwitchA-Gigabitethernet1/0/1]port link-type hybrid // 配置接口为hybrid类型
   [SwitchA-Gigabitethernet1/0/1]port hybrid untagged VLAN 100 200 // 对VLAN100、VLAN200的报文去掉VLAN标记
   [SwitchA-Gigabitethernet1/0/1]mac-VLAN enable // 在接口处启用MAC-VLAN功能
   [SwitchA-Gigabitethernet1/0/1]quit

4. 配置交换机C

   <HUAWEI>system-view
   [HUAWEI]sysname SwitchC  // 给设备命名为SwitchC
   [SwitchC]VLAN batch 100 200 // 批量创建VLAN100和VLAN200
   [SwitchC]interface gigabitethernet 1/0/1 // 进入以太网接口视图
   [SwitchA-Gigabitethernet1/0/1]port link-type trunk // 配置接口为trunk类型
   [SwitchA-Gigabitethernet1/0/1]port trunk allow-pass VLAN 100 200 // 允许VLAN100和VLAN200的流量通过
   [SwitchA-Gigabitethernet1/0/1]quit

GVRP配置

如果网络环境比较复杂或网络规模比较庞大，那么管理员手工给每个交换机配置VLAN就会变得复杂，而GVRP可以只让管理员只配置一个或少数几个交换机的VLAN，然后将配置传递到其他未配置的交换机上，自动完成VLAN的配置。
比如将交换机A的配置传递到交换机B上，交换机A配置了VLAN2和VLAN3，命令如下：

1. 交换机A的配置

   <HUAWEI>system-view
   [HUAWEI]sysname SwitchA  // 给设备命名为SwitchA
   [SwitchA]VLAN batch 2 3 // 批量创建VLAN100和VLAN200
   [SwitchA]gvrp // 全局使用GVRP
   [SwitchA]interface gigabitethernet 0/0/1
   [SwitchA-Gigabitethernet0/0/1]port link-type trunk // 配置接口为trunk类型
   [SwitchA-Gigabitethernet0/0/1]port trunk allow-pass VLAN all // 允许所有注册VLAN通过
   [SwitchA-Gigabitethernet0/0/1]gvrp // 在接口处使用gvrp
   [SwitchA-Gigabitethernet0/0/1]gvrp registration normal // 接口G0/0/1的GVRP注册模式为normal
   [SwitchA-Gigabitethernet0/0/1]quit

2. 交换机B的配置

   <HUAWEI>system-view
   [HUAWEI]sysname SwitchB  // 给设备命名为SwitchB
   [SwitchB]gvrp // 全局使用GVRP
   [SwitchB]interface gigabitethernet 0/0/1
   [SwitchB-Gigabitethernet0/0/1]port link-type trunk // 配置接口为trunk类型
   [SwitchB-Gigabitethernet0/0/1]port trunk allow-pass VLAN all // 允许所有注册VLAN通过
   [SwitchB-Gigabitethernet0/0/1]gvrp // 在接口处使用gvrp
   [SwitchB-Gigabitethernet0/0/1]gvrp registration normal // 接口G0/0/1的GVRP注册模式为normal
   [SwitchB-Gigabitethernet0/0/1]quit

STP配置

交换机A、B、C两两相连形成物理环路，在这些交换机上允许STP，可消除网络中的环路。

1. 配置交换机A的STP模式

   <HUAWEI>system-view
   [HUAWEI]sysname SwitchA  // 给设备命名为SwitchA
   [SwitchA]stp mode stp // 允许STP
   [SwitchA]stp root primary // 配置交换机A为根交换机

2. 交换机B的配置

   [SwitchB]stp root secondary // 配置交换机B为备份根交换机

3. 设置接口的路径开销命令

   [SwitchC]interface gigabitethernet 1/0/1
   [SwitchC-Gigabitethernet1/0/1]stp cost 20000

4. 设置连接PC的接口为边缘接口

   [SwitchC-Gigabitethernet0/0/2]stp edged-port enable // 配置接口为边缘接口
   [SwitchC-Gigabitethernet0/0/2]stp bpdu-filter enable // 启用接口BPDU报文过滤功能

   链路聚合

   链路聚合是将多条物理链路捆绑在一起，形成一条逻辑链路。比如将交换机A和交换机B连接在一起，形成一条逻辑链路的配置如下

   <HUAWEI>system-view
   [HUAWEI]sysname SwitchA
   [SwitchA]interface eth-trunk 1 // 创建Eth-Trunk1接口
   [SwitchA-Eth-Trunk1]trunkport gigabitethernet 0/0/1 to 0/0/2 // 加入接口成员
   [SwitchA-Eth-Trunk1]port link-type trunk // 配置Eth-Trunk1接口类型
   [SwitchA-Eth-Trunk1]port trunk allow-pass VLAN all // 配置Eth-Trunk1接口放行流量
   [SwitchA-Eth-Trunk1]quit

VLAN间通信

三层交换机拥有路由功能，当内网中不同VLAN的主机加入三层交换机后，能实现跨网段通信。

[HUAWEI]interface Vlanif 10
[HUAWEI-Vlanif10]ip address 192.168.0.1 24
[HUAWEI]interface Vlanif 20
[HUAWEI-Vlanif20]ip address 10.10.10.1 24
[HUAWEI]interface Vlanif 30
[HUAWEI-Vlanif30]ip address 172.16.0.1 24