華為S5700三層交換機基本配置

leao6660人評論3581人閱讀2015-03-24 15:37:23通過Console口登錄交換機通過Console口登錄主要用于交換機第一次上電或者本地配置。或者無法通過遠程訪問時，可通過Console口登錄。在配置通過Console口配置交換機之前，需要完成以下任務：? 準備好PC/終端（COM串口和RS-232電纜）? PC已安裝終端仿真程序（超級終端、SecureCRT、Xshell等）

這個端口號，我們可以在設備管理器中查看，并且可以更改端口的編號。方法如下：設備管理器 --- 端口（COM和LPT）--- 雙擊要修改的COM口（或者右鍵-屬性）-- 端口設置 -- 高級 --端口號

OK， 登錄到交換機之后，就開始配置吧。以下配置中，綠色字體是需要自定義的。

system-view[Quidway] sysname GSH-FZ-Front

clock timezone BJ add 8 clock datetime 18:20:30 2011-06-08 display clock

#設定NTP服務器，自動獲取更新時間，假設NTP服務器為 202.120.2.101，202.112.10.36 system-view[Quidway] ntp-service unicast-peer 202.120.2.101[Quidway] ntp-service unicast-peer 202.112.10.36

system-view[Quidway] ntp-service authentication enable[Quidway] ntp-service sync-interval 180[Quidway] ntp-service authentication-keyid 42 authentication-mode md5 cipher 123456[Quidway] ntp-service reliable authentication-keyid 42

display clock display ntp-service status

system-view

[Quidway] header login information #Welcome S5700#

[Quidway] header shell information #Welcome S5700#

#telnet遠程登錄

system-view[Quidway] aaa[Quidway-aaa] local-user testadmin password cipher p@ssw0rd privilege level 15[Quidway-aaa] local-user testadmin service-type telnet (設置用戶登錄方式為 telnet， 只能通過telnet方式登錄，還有這幾種 ssh http web) 一般不配置它。[Quidway-aaa] quit[Quidway]user-interface vty 0 4[Quidway-vty0-4]authentication-mode aaa （設置認證方式為: aaa ）

#SSH遠程登錄需求：PC能通過SSH協(xié)議遠程登錄交換機進行管理。1、生成本地密鑰對： system-view[Quidway] rsa local-key-pair createThe key name will be: Auotnavi-callcenter-01_HostThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Input the bits in the modulus[default = 512]:1024Generating keys....++++++............++++++...............++++++++.++++++++2、配置VTY用戶界面 system-view[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] authentication-mode aaa

[Quidway-ui-vty0-4] protocol inbound ssh3、創(chuàng)建SSH用戶及密碼[Quidway] aaa[Quidway-aaa] local-user admin password cipher 123[Quidway-aaa] local-user admin privilege level 15[Quidway-aaa] local-user admin service-type ssh4、使用Stelnet，并配置SSH用戶的認證方式[Quidway] stelnet server enable[Quidway] ssh authentication-type default password

#創(chuàng)建VLAN system-view （一般縮寫為：sys）[Quidway] vlan 10 (批量添加vlan: vlan batch 10 20 30)[Quidway-vlan10] quit （一般縮寫為：q）#設定端口模式，默認為trunk，需要將端口劃入VLAN之前，先把端口類型轉為access system-view [Quidway] int gigabitethernet 0/0/1[Quidway-GigabitEthernet0/0/1] port link-type access[Quidway-GigabitEthernet0/0/1] quit#將端口加入Vlan system-view[Quidway] vlan 10[Quidway-vlan131] port gigabitethernet 0/0/1 （連續(xù)多個端口，用 xx to xx， 如：port giga 0/0/5 to 0/0/10）[Quidway-Vlan131] quit

#設置Trunk system-view[Quidway] interface GigabitEthernet 0/0/23[Quidway-GigabitEthernet0/0/23] port link-type trunk

[Quidway-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 131 (多個VLAN列出)

#設置VLAN IP(管理IP) system-view[Quidway] interface vlanif 131[Quidway-Vlanif131] ip address 192.168.0.253 255.255.255.0 (縮寫： ip add IP MASK)[Quidway-Vlanif131] shutdown[Quidway-Vlanif131] undo shutdown

1、如果配置VLAN的管理IP，在系統(tǒng)視圖下，使用 undo int vlan 10 命令刪除VLAN 10的3層虛擬接口，這樣VLAN 10就被刪除了，但是劃入VLAN 10 的那些端口依然在VLAN 10中。這時還需要把那些端口恢復，讓他們不屬于任何VLAN system-view[Quidway] undo int vlanif 102、在系統(tǒng)視圖下，使用 undo vlan 10 命令可以刪除2層接口，這個命令可以釋放那些原來劃分為VLAN 10的端口，現(xiàn)在這些端口就屬于默認的VLAN 1了。 system-view[Quidway] undo vlan 10[Quidway] display vlan

當然，要向VLAN添加端口，是可以直接在VLAN視圖中添加的。需要注意的是：交換機上的某個端口被設置成access模式，且加入了一個VLAN， 要想將這個端口模式改為trunk，直接在接口視圖中“port link-type trunk” 是不行的，會出現(xiàn) Error: Please renew the default configurations. 這時需要先從VLAN中刪除這個端口，也就是讓這個接口恢復到默認的VLAN 1， 才能將這個端口設置為trunk。 system-view[Quidway] vlan 10[Quidway] undo port giga 0/0/1

system-view[Quidway] port-group 1 # 創(chuàng)建名為1的端口組[Quidway-port-group-1] group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20 # 添加端口到組

[Quidway-port-group-1] port link-type access # 設置端口類型[Quidway-port-group-1] port default vlan 10 # 把端口加入vlan

[Quidway] display cur | include group

對端口進行限速假設對交換機的第2個端口進行限速，讓通過這個端口的下載速度不超過 128KB/SInbound: 入端口的流量限速Outbound: 出端口的流量限速 system-view[Quidway] int giga 0/0/2[Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800

[Quidway-GigabitEthernet0/0/2] undo qos lr outbound

配置基于地址池的DHCP服務器1、全局啟用DHCP服務 system-view[Quidway] dhcp enable2、配置IP地址池 10 的屬性（地址池范圍、DNS地址、出口網(wǎng)關、租期）[Quidway] ip pool 10[Quidway] network 192.168.10.0 mask 255.255.255.0[Quidway] excluded-ip-address 192.168.10.250 192.168.10.254 （start_ip - end_ip）[Quidway] dns-list 202.103.24.68[Quidway] gateway-list 192.168.10.1[Quidway] lease day 10[Quidway] quit2、配置VLANIF 10 接口下的客戶端從全局地址池中獲取IP地址[Quidway] interface vlanif 10[Quidway-Vlanif10] ip add 192.168.10.1 255.255.255.0 (或者 ip add 192.168.10.1 24)[Quidway-Vlanif10] dhcp select global[Quidway-Vlanif10] quit

#設置默認路由 system-view[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.254

system-view[Quidway] undo http server enable[Quidway] undo dhcp enable

用戶登錄界面? CON 適用于從Console接口進行本地登錄? VTY 適用于Telnet或SSH方式進行本地或遠程登錄用戶級別用戶分為多個級別，標識越高則優(yōu)先級越高。如果不對用戶進行優(yōu)先級規(guī)劃，默認用戶登錄級別為 0 - 3 級。用戶所能訪問命令的級別由用戶的級別決定：? 如果對用戶采用不驗證或者password驗證，登錄到S5700的用戶所能訪問的命令級別由登錄時的用戶級別決定。? 如果對用戶采用AAA驗證，登錄到S5700的用戶所能訪問的命令級別由AAA配置信息中本地用戶的級別決定。登錄用戶劃分為16級，與命令級別對應。不同級別的用戶登錄后，只能使用等于或低于自己級別的命令。用戶所能訪問的命令包括用戶所在用戶級別的命令以及低于此用戶級別的命令。驗證用戶的方式：

system-view

[Quidway] user-interface [ui-type] first-ui-number [last-ui-number]

[Quidway] authentication-mode { aaa | password | none }super密碼：華為super 命令設置的口令用于低級用戶向高級別用戶切換時進行驗證，類似于Linux系統(tǒng)從普通用戶切換到root用戶時需要驗證。用戶共分為4級，分別是訪問級（0）、監(jiān)控級（1）、系統(tǒng)級（2）和管理級（3），當?shù)图墑e的用戶向高級別的用戶身份切換時： super [level] , 此時只有驗證通過后才能切換成功。可以通過super命令提升用戶級別。配置實例：1、配置console口為密碼驗證方式 system-view[Quidway] user-interface console 0[Quidway-ui-console0] idle-timeout 0 0 ( idle-timeout minutes [seconds] )[Quidway-ui-console0] history-command max-size 100

[Quidway-ui-console0] user privilege level 3 # 設置此接口登錄的用戶級別

[Quidway-ui-console0] authentication-mode password [Quidway-ui-console0] set authentication password { cipher | simple } password

登錄后，如果用戶超過30分鐘未對交換機進行操作，將斷開與交換機的連接。

system-view[Quidway] user-interface maximum-vty 5 配置可以同時登錄交換機的VTY最大個數(shù)[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4] user privilege level 2

[Quidway-ui-vty0-4] idle-timeout 30 （idle-timeout minutes [seconds]）[Quidway-ui-vty0-4] quit

[Quidway] aaa[Quidway-aaa] local-user huawei password cipher huawei

[Quidway-aaa] local-user huawei service-type telnet[Quidway-aaa] local-user huawei privilege level 15[Quidway-aaa] quit

[Quidway] super password level 3 cipher huawei#保存配置 save

1、創(chuàng)建vlan system-view[Quidway] vlan 102、將端口劃入vlan[Quidway-vlan10] port GigabitEthernet 0/0/1 to 0/0/4 (注意：劃入的端口模式必須為access)[Quidway-vlan10] quit3、配置vlan的管理IP[Quidway] int vlanif 10[Quidway-Vlanif10] ip add 192.168.1.254 255.255.255.0[Quidway-Vlanif10] quit4、添加FTP用戶[Quidway] aaa[Quidway-aaa] local-user huawei password cipher huawei privilege level 15[Quidway-aaa] local-user huawei service-type ftp # 配置用戶為ftp登錄[Quidway-aaa] local-user huawei ftp-directory flash:/ # 配置登錄的FTP目錄[Quidway-aaa] quit5、開啟ftp服務

[Quidway] ftp timeout 30 # 單位 minutes

[Quidway] ftp server enable

[Quidway] display ftp-server6、可選：配置ACL基本訪問控制列表

[Quidway] acl number 2001[Quidway-acl-basic-2001] rule permit source 192.168.1.10 0.0.0.0 [Quidway-acl-basic-2001] quit

[Quidway] ftp acl 20017、連接測試

C:Usersdmin> ftp 192.168.1.254Connected to 192.168.1.254220 FTP servece ready.User(192.168.1.254(none)):huawei331 Password required for huawei.Password:230 User logged in.ftp>

1、上傳web文件

C:Usersdmin> ftp 192.168.1.254ftp> put xxx.web.zip 2、開啟web服務 system-view[Quidway] http server load flash:/xxx.web.zip[Quidway] http server enable3、配置web用戶[Quidway] aaa[Quidway-aaa] local-user webadmin password cipher webadmin[Quidway-aaa] local-user webadmin service-type http[Quidway-aaa] quit4、通過瀏覽器測試URL 地址： http://192.168.1.254

#相關查看命令[Quidway] display version 顯示VRP版本號[Quidway] display current-configuration 顯示系統(tǒng)運行配置信息[Quidway] display saved-configuration 顯示保存的配置信息[Quidway] display interfaces brief 顯示接口配置信息[Quidway] display history-command 顯示歷史命令記錄

[Quidway] display xxx | { include | exclude | begin } strings

? /expr == begin? -expr == exclude? +expr == include [Quidway] display current-configuration | include ntp[Quidway] display current-configuration | include ip|user