交换机配置和管理
一、基础配置准备:连接与登录方式
1. 带外管理(初始配置必用)
-
Console 口连接
- 工具:通过 RJ45 转 USB 串口线连接交换机 Console 口与电脑,使用 Putty/ SecureCRT 等终端工具(波特率 9600,数据位 8,停止位 1,无校验)。
- 示例(华为交换机):
<Huawei> system-view # 进入系统视图 [Huawei] sysname SW-Office # 修改设备名称
-
带外管理优势:无需网络即可配置,适合首次初始化或网络故障时修复。
2. 带内管理(远程管理)
- 前提条件:交换机需配置 IP 地址,且与管理主机网络互通。
- 登录方式:
- Telnet/SSH(命令行):
[SW-Office] interface Vlanif 1 # 创建管理VLAN接口 [SW-Office-Vlanif1] ip address 192.168.1.1 24 # 配置管理IP [SW-Office] user-interface vty 0 4 # 允许5个VTY会话 [SW-Office-ui-vty0-4] authentication-mode password # 设置登录密码 [SW-Office-ui-vty0-4] quit - Web 管理界面:访问管理 IP(如 192.168.1.1),输入用户名密码(默认常为 admin/admin,首次登录需修改),适合图形化操作(如 H3C Web 管理界面)。
- Telnet/SSH(命令行):
二、核心功能配置流程
1. 基础网络配置
-
设置时区与时间(便于日志分析):
[SW-Office] clock timezone Beijing add 08:00:00 # 北京时区 [SW-Office] ntp-service unicast-server 192.168.1.100 # 同步NTP服务器 -
端口基本配置:
- 配置端口速率 / 双工模式(强制百兆全双工):
[SW-Office] interface GigabitEthernet 0/0/1 [SW-Office-GigabitEthernet0/0/1] speed 100 [SW-Office-GigabitEthernet0/0/1] duplex full - 启用 / 关闭端口:
[SW-Office-GigabitEthernet0/0/1] shutdown # 关闭端口 [SW-Office-GigabitEthernet0/0/1] undo shutdown # 启用端口
- 配置端口速率 / 双工模式(强制百兆全双工):
2. VLAN 划分与跨 VLAN 通信
- 创建 VLAN 并分配端口(Access 端口连接终端,Trunk 端口连接其他交换机):
[SW-Office] vlan batch 10 20 # 批量创建VLAN 10、20 [SW-Office] interface GigabitEthernet 0/0/2 [SW-Office-GigabitEthernet0/0/2] port link-type access # Access类型 [SW-Office-GigabitEthernet0/0/2] port default vlan 10 # 加入VLAN 10 [SW-Office] interface GigabitEthernet 0/0/24 [SW-Office-GigabitEthernet0/0/24] port link-type trunk # Trunk类型 [SW-Office-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 # 允许VLAN 10/20通过 - 三层交换机配置 VLAN 接口 IP(实现跨 VLAN 路由):
[SW-Office] interface Vlanif 10 [SW-Office-Vlanif10] ip address 192.168.10.1 24 # VLAN 10网关 [SW-Office] interface Vlanif 20 [SW-Office-Vlanif20] ip address 192.168.20.1 24 # VLAN 20网关
3. 端口安全与访问控制
- 限制单端口接入设备数量(防 MAC 泛洪攻击):
[SW-Office] interface GigabitEthernet 0/0/1 [SW-Office-GigabitEthernet0/0/1] port-security enable # 启用端口安全 [SW-Office-GigabitEthernet0/0/1] port-security max-mac-count 1 # 仅允许1个MAC地址 - 绑定合法 MAC 地址(白名单):
[SW-Office-GigabitEthernet0/0/1] port-security mac-address 5489-9811-0b49 # 绑定特定MAC - 配置 ACL(禁止 VLAN 10 访问服务器区 192.168.100.0/24):
[SW-Office] acl number 3000 [SW-Office-acl-adv-3000] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 [SW-Office] interface Vlanif 10 [SW-Office-Vlanif10] traffic-filter outbound acl 3000 # 出方向应用ACL
4. 高可靠性与性能优化
- 链路聚合(Eth-Trunk):
[SW-Office] interface Eth-Trunk 1 # 创建聚合组 [SW-Office-Eth-Trunk1] mode lacp-static # 静态LACP模式 [SW-Office-Eth-Trunk1] trunkport GigabitEthernet 0/0/23 0/0/24 # 加入物理端口 - 生成树协议(STP)防环路:
[SW-Office] stp mode rstp # 启用RSTP(比STP收敛更快) [SW-Office] stp priority 4096 # 设置设备优先级(数值越小优先级越高,成为根桥) - QoS 流量优先级(保障语音流量):
[SW-Office] traffic classifier voip operator or [SW-Office-classifier-voip] if-match dscp ef # 匹配DSCP标记为EF的语音流量 [SW-Office] traffic behavior voip [SW-Office-behavior-voip] priority level 7 # 最高优先级 [SW-Office] qos policy voip-policy [SW-Office-qos-policy-voip-policy] classifier voip behavior voip [SW-Office] interface Eth-Trunk 1 [SW-Office-Eth-Trunk1] qos apply policy voip-policy inbound # 入方向应用QoS策略
三、远程管理与监控
1. 集中式管理工具
-
SNMP(简单网络管理协议):
[SW-Office] snmp-agent sys-info version v2c # 启用SNMPv2c [SW-Office] snmp-agent community read public # 设置只读团体名public [SW-Office] snmp-agent target-host trap address udp-domain 192.168.1.200 params securityname public # 向管理服务器发送陷阱消息- 工具:配合 Nagios、Zabbix、SolarWinds 等监控软件,实时查看交换机端口流量、CPU / 内存利用率。
-
SDN 控制器管理(适用于支持 OpenFlow 的交换机):
通过 SDN 控制器(如华为 iMaster NCE、Cisco APIC)下发策略,自动配置 VLAN、ACL 等,简化大规模网络管理。
2. 日志与诊断命令
- 查看实时日志:
[SW-Office] terminal monitor # 开启终端日志显示 [SW-Office] display logbuffer # 查看日志缓冲区 - 诊断端口状态:
[SW-Office] display interface GigabitEthernet 0/0/1 # 查看端口速率、双工、错误包统计 [SW-Office] display mac-address # 查看MAC地址表 [SW-Office] display ip interface brief # 查看接口IP摘要 - ping/tracert 测试连通性:
[SW-Office] ping 192.168.10.10 # 测试与终端的连通性 [SW-Office] tracert 192.168.20.50 # 追踪路由路径
四、安全加固最佳实践
-
账号密码管理
- 禁用默认账号(如 admin),创建强密码账户:
[SW-Office] local-user manager password cipher Huawei@123 # 创建加密密码账户 [SW-Office] local-user manager privilege level 15 # 赋予最高管理权限 - 启用 AAA 认证(配合 RADIUS 服务器):
[SW-Office] aaa [SW-Office-aaa] authentication-scheme radius [SW-Office-aaa] authentication-mode radius [SW-Office-aaa] quit
- 禁用默认账号(如 admin),创建强密码账户:
-
禁用危险服务
- 关闭未使用的端口和服务(如 Telnet,推荐使用 SSH):
[SW-Office] undo telnet server enable # 禁用Telnet [SW-Office] ssh server enable # 启用SSH - 限制远程管理 IP(仅允许管理网段 192.168.1.0/24 访问):
[SW-Office] acl number 2000 [SW-Office-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [SW-Office] user-interface vty 0 4 [SW-Office-ui-vty0-4] acl 2000 inbound # 应用ACL限制登录源IP
- 关闭未使用的端口和服务(如 Telnet,推荐使用 SSH):
-
定期维护
- 备份配置:
[SW-Office] save # 保存当前配置到闪存 [SW-Office] tftp 192.168.1.200 put vrpcfg.zip # 远程备份到TFTP服务器 - 升级固件:
通过官网下载最新版本(如华为 V200R022C10),使用 TFTP/FTP 上传后重启加载。
- 备份配置:
五、不同厂商配置差异(命令行对比)
| 功能 | 华为 / 华三(HCL) | Cisco(IOS) |
|---|---|---|
| 进入全局配置 | system-view |
enable → configure terminal |
| 创建 VLAN | vlan 10 |
vlan 10 → name VLAN10 |
| 设置 Access 端口 | port link-type access |
switchport mode access |
| 链路聚合 | interface Eth-Trunk 1 |
interface port-channel 1 |
| 保存配置 | save |
write memory 或 copy running-config startup-config |
六、常见问题处理
-
忘记 Console 密码
- 硬件复位:长按交换机 Reset 键(部分型号),恢复出厂设置后重新配置(谨慎操作,会清除所有配置)。
-
远程管理无法连接
- 检查管理 IP 是否正确,防火墙是否放行 Telnet/SSH 端口(23/22),使用
display ip interface Vlanif 1确认管理接口状态。
- 检查管理 IP 是否正确,防火墙是否放行 Telnet/SSH 端口(23/22),使用
-
环路导致网络卡顿
- 启用 STP/RSTP(
stp mode rstp),通过display stp brief查看端口角色,断开阻塞端口的物理连接。
- 启用 STP/RSTP(
总结
交换机配置与管理需遵循 “先带外后带内,先基础后高级” 的原则:
- 初始配置:通过 Console 口完成设备命名、管理 IP、登录密码等基础设置。
- 功能部署:根据需求配置 VLAN、端口安全、QoS、链路聚合等,实现网络隔离与性能优化。
- 远程管理:启用 SNMP/SSH/Web 界面,结合集中监控工具实现高效运维。
- 安全加固:禁用默认账号、限制管理 IP、定期备份配置,保障网络安全。
通过合理规划配置策略并结合厂商文档(如华为《S5700 配置指南》),可高效管理不同规模的交换网络,确保稳定性与安全性。
阅读剩余
版权声明:
作者:SE-YangYao
链接:https://www.cnesa.cn/4767.html
文章版权归作者所有,未经允许请勿转载。
THE END
相关推荐
