华为交换机最常用的配置有哪些?
必须掌握的华为交换机最常用且关键的配置项目。
比较全面的配置方案列表:包括VLAN配置、端口安全、STP协议、QoS配置、端口聚合等。则提供了具体的命令示例,可以帮助用户实际配置。
最常用的配置类别:网络基础配置方面有VLAN配置是最基本也是最重要的,几乎所有网络都会用到。vlan batch命令可以批量创建VLAN,interface命令配置接口类型和默认VLAN。三层接口配置也很关键,通过interface Vlanif命令为VLAN配置IP地址实现三层转发。
安全防护配置方面,端口安全(port-security)可以限制端口接入设备数量,防止未授权设备接入。ACL(访问控制列表)则用于基于IP地址控制网络访问。DoS攻击防护也很重要,通过traffic-filter命令防御拒绝服务攻击。
性能优化方面,链路聚合(Eth-Trunk)可以将多个物理链路捆绑提高带宽和可靠性。QoS配置通过qos policy-map命令为重要业务流量提供优先处理。带宽控制(traffic-policy)可以精确控制入站流量。高可用性配置方面,生成树协议(STP/RSTP)用于防止网络环路。VRRP(虚拟路由冗余协议)提供网关冗余。网络管理配置包括SNMP监控、时间同步(NTP)和日志记录等。
总共分成几个主要部分:网络基础配置、安全防护配置、性能优化配置、高可用性配置和网络管理配置。每个部分会列出2-3个最常用的配置项,给出具体命令示例和简要说明。
以下是核心配置分类及典型命令示例(基于主流型号如S5700):
一、网络基础配置
VLAN划分与端口分配
创建VLAN并分配端口:
system-view
[Huawei] vlan 10 # 创建VLAN 10
[Huawei-vlan10] quit
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type access # 设置端口为Access模式
[Huawei-GigabitEthernet0/0/1] port default vlan 10 # 加入VLAN 10
用途:隔离广播域,提升网络安全性
三层接口配置(VLANIF)
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] ip address 192.168.10.1 255.255.255.0 # 配置VLAN网关IP
用途:实现VLAN间路由,替代传统路由器
Trunk链路配置
[Huawei] interface GigabitEthernet0/0/24
[Huawei-GigabitEthernet0/0/24] port link-type trunk # 设置Trunk模式
[Huawei-GigabitEthernet0/0/24] port trunk allow-pass vlan 10,20 # 允许多VLAN通过
用途:跨交换机传输多VLAN流量
二、安全防护配置
端口安全
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 2 # 限制MAC数量
[Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown # 违规关闭端口
用途:防止MAC泛洪及未授权设备接入
ACL(访问控制列表)
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule deny tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.1 0 # 阻断子网访问特定IP
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 # 应用ACL到端口入向
用途:精确控制流量权限
DHCP Snooping
[Huawei] dhcp snooping enable
[Huawei] interface GigabitEthernet0/0/3
[Huawei-GigabitEthernet0/0/3] dhcp snooping trusted # 标记信任口(连接合法DHCP服务器)
用途:防御伪造DHCP服务器攻击
三、性能优化配置
链路聚合(Eth-Trunk)
[Huawei] interface Eth-Trunk 1
[Huawei-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 to 0/0/3 # 绑定物理端口
[Huawei-Eth-Trunk1] port link-type trunk
[Huawei-Eth-Trunk1] mode lacp-static # 启用LACP协议
用途:提升带宽、冗余性和负载均衡
QoS策略
[Huawei] qos car outbound cir 10000 cbs 1500 # 限制出口带宽为10Mbps
[Huawei] traffic classifier VOICE operator or
[Huawei-classifier-VOICE] if-match dscp ef # 匹配语音流量(DSCP EF)
[Huawei] traffic behavior VOICE_PRI
[Huawei-behavior-VOICE_PRI] priority high # 赋予高优先级
用途:保障关键业务(如VoIP)带宽
四、高可用性配置
生成树协议(STP/RSTP)
[Huawei] stp mode rstp # 启用快速生成树
[Huawei] stp root primary # 指定本机为根桥
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] stp edged-port enable # 设置边缘端口(连接终端)
用途:防止环路并加速收敛
VRRP网关冗余
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] vrrp vrid 10 virtual-ip 192.168.10.254 # 配置虚拟IP
[Huawei-Vlanif10] vrrp vrid 10 priority 120 # 设置主备优先级
用途:实现网关故障切换
五、网络管理配置
远程管理(SSH/Telnet)
[Huawei] telnet server enable
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh # 强制SSH加密登录
[Huawei] aaa
[Huawei-aaa] local-user admin password cipher P@ssw0rd privilege level 15
用途:安全远程运维
日志与时间同步
[Huawei] info-center enable
[Huawei] ntp-service unicast-server 192.168.1.100 # 指定NTP服务器
[Huawei] clock timezone CST add 08:00:00 # 设置时区
用途:统一日志时间,便于故障排查
配置保存与恢复
操作后务必保存,避免重启丢失配置
总结
以上配置覆盖了华为交换机部署的核心场景:
基础:VLAN、三层接口、Trunk;安全:端口安全、ACL、DHCP Snooping;性能:链路聚合、QoS;高可用:STP、VRRP;管理:SSH、NTP、日志。
实际配置需结合网络拓扑调整参数(如VLAN ID、IP段),并优先在测试环境验证。建议定期备份配置(display current-configuration导出为文本)以防意外。