华为网络运维

SE_Tianle
4
2025-11-26

Hello !👋 平时配置华为设备时,是不是总是搞不清楚什么场景该用什么协议,知道了用什么协议,又不知道如何配置?别急!这篇「网络运维全典」把华为核心网络技术全整理好啦~ 🏷️ VLAN、路由协议、MPLS、高可用、安全技术… 每个知识点都带 详细注释 + 核心命令,新手一看就会,老手也能当速查表,感觉🌟收藏,再也不用翻官方手册!

一、🏷️ VLAN 技术体系(流量隔离 & 扩展必备)

1. 基础 VLAN(入门必备)

作用:划分逻辑广播域,隔离无用流量,提升网络安全性

[Huawei] system-view  # 进入系统视图
[Huawei] vlan 10  # 创建VLAN 10(编号1-4094可选)
[Huawei-vlan10] description "Sales_Department"  # 标记用途,方便管理
[Huawei-vlan10] quit
[Huawei] interface GigabitEthernet0/0/1  # 终端接入接口
[Huawei-GigabitEthernet0/0/1] port link-type access  # Access模式(连终端)
[Huawei-GigabitEthernet0/0/1] port default vlan 10  # 划入VLAN 10
[Huawei-GigabitEthernet0/0/1] quit

2. Super VLAN(IP 地址优化)

作用:多子 VLAN 共用一个三层接口,大幅节省 IP 地址

[Huawei] system-view
[Huawei] vlan 100  # 创建Super VLAN(聚合VLAN)
[Huawei-vlan100] aggregate-vlan  # 标记为Super VLAN
[Huawei-vlan100] access-vlan 10 20 30  # 关联子VLAN 10/20/30
[Huawei-vlan100] quit
[Huawei] interface Vlanif 100  # 子VLAN共用网关
[Huawei-Vlanif100] ip address 192.168.1.1 24
[Huawei-Vlanif100] arp-proxy inter-sub-vlan-proxy enable  # 开启子VLAN互通(关键)
[Huawei-Vlanif100] quit

3. QinQ(双层标签扩展)

作用:运营商 / 多租户场景,外层标签隔离网络,内层保留用户 VLAN

[Huawei] system-view
[Huawei] vlan 200  # 运营商外层VLAN(PE-VLAN)
[Huawei-vlan200] quit
[Huawei] interface GigabitEthernet0/0/1  # 用户侧接口
[Huawei-GigabitEthernet0/0/1] port link-type dot1q-tunnel  # 启用QinQ隧道模式
[Huawei-GigabitEthernet0/0/1] port default vlan 200  # 封装外层标签
[Huawei-GigabitEthernet0/0/1] quit
# 运营商侧终结QinQ(解开双层标签)
[Huawei] interface GigabitEthernet0/0/2.1  # 创建子接口
[Huawei-GigabitEthernet0/0/2.1] encapsulation dot1q vid 10  # 终结用户内层VLAN 10
[Huawei-GigabitEthernet0/0/2.1] qinq termination pe-vid 200 ce-vid 10  # 绑定外层+内层标签
[Huawei-GigabitEthernet0/0/2.1] ip address 10.1.1.1 24  # 配置三层IP
[Huawei-GigabitEthernet0/0/2.1] quit

4. MUX VLAN(部分互通 + 隔离)

作用:主 VLAN 可访问所有从 VLAN,从 VLAN 间隔离(酒店 / 小区 / 办公网适用)

[Huawei] system-view
[Huawei] vlan 50  # 创建主VLAN
[Huawei-vlan50] mux-vlan  # 标记为主VLAN
[Huawei-vlan50] subordinate separate 51 52  # 隔离型从VLAN(51/52内设备互不通)
[Huawei-vlan50] subordinate group 53 54  # 互通型从VLAN(53/54内设备可互通)
[Huawei-vlan50] quit
# 接口配置(Access模式)
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type access
[Huawei-GigabitEthernet0/0/1] port default vlan 50  # 主VLAN接口(如前台设备)
[Huawei-GigabitEthernet0/0/1] quit

5. 单臂路由(低成本 VLAN 互通)

作用:路由器单物理接口实现多 VLAN 三层互通,节省设备端口

# 路由器配置
[Huawei] system-view
[Huawei] interface GigabitEthernet0/0/1  # 连接交换机的物理接口
[Huawei-GigabitEthernet0/0/1] undo shutdown  # 启用物理接口
[Huawei-GigabitEthernet0/0/1] quit
# 创建VLAN 10子接口
[Huawei] interface GigabitEthernet0/0/1.10
[Huawei-GigabitEthernet0/0/1.10] dot1q termination vid 10  # 封装VLAN 10标签
[Huawei-GigabitEthernet0/0/1.10] ip address 192.168.10.1 24  # VLAN 10网关
[Huawei-GigabitEthernet0/0/1.10] arp broadcast enable  # 开启ARP广播(必配,否则不通)
[Huawei-GigabitEthernet0/0/1.10] quit
# 创建VLAN 20子接口
[Huawei] interface GigabitEthernet0/0/1.20
[Huawei-GigabitEthernet0/0/1.20] dot1q termination vid 20  # 封装VLAN 20标签
[Huawei-GigabitEthernet0/0/1.20] ip address 192.168.20.1 24  # VLAN 20网关
[Huawei-GigabitEthernet0/0/1.20] arp broadcast enable  # 开启ARP广播
[Huawei-GigabitEthernet0/0/1.20] quit
# 交换机配合配置
[Huawei] system-view
[Huawei] vlan 10 20  # 创建VLAN 10/20
[Huawei-vlan20] quit
[Huawei] interface GigabitEthernet0/0/24  # 连接路由器的接口
[Huawei-GigabitEthernet0/0/24] port link-type trunk  # Trunk模式承载多VLAN
[Huawei-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20  # 允许VLAN 10/20通过
[Huawei-GigabitEthernet0/0/24] quit

6. Trunk 链路(跨设备 VLAN 传输)

作用:交换机之间传递多 VLAN 流量,机房互联必备

[Huawei] system-view
[Huawei] interface GigabitEthernet0/0/24  # 交换机互联接口
[Huawei-GigabitEthernet0/0/24] port link-type trunk  # 配置为Trunk模式
[Huawei-GigabitEthernet0/0/24] port trunk allow-pass vlan 10-30  # 允许VLAN 10-30通过(批量配置)
[Huawei-GigabitEthernet0/0/24] port trunk pvid vlan 1  # 默认VLAN(未打标签流量)
[Huawei-GigabitEthernet0/0/24] quit

二、🗺️ 路由技术体系(网络互通核心,全协议覆盖)

1. 静态路由(简单稳定)

作用:手动配置路由路径,适合小型网络 / 固定拓扑

[Huawei] system-view
# 基础静态路由(目标网段+下一跳)
[Huawei] ip route-static 192.168.3.0 24 10.1.1.2
# 点对点链路(直接指定出接口)
[Huawei] ip route-static 192.168.4.0 24 GigabitEthernet0/0/1
# 默认路由(所有未知网络转发到互联网网关)
[Huawei] ip route-static 0.0.0.0 0.0.0.0 202.100.10.1
# 浮动路由(冗余备份)
[Huawei] ip route-static 192.168.5.0 24 10.1.2.2 preference 80  # 主路由(优先级80)
[Huawei] ip route-static 192.168.5.0 24 10.1.3.2 preference 100  # 备份路由(优先级100)
[Huawei] quit

2. OSPF(中大型网络首选)

作用:链路状态协议,收敛快、选路优,支持分层设计(区域划分)

[Huawei] system-view
[Huawei] ospf 1 router-id 1.1.1.1  # 启动OSPF进程1,Router ID(唯一标识)
[Huawei-ospf-1] area 0.0.0.0  # 进入骨干区域0(必须存在)
[Huawei-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255  # 宣告直连网段(反掩码)
[Huawei-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255  # 宣告另一网段
[Huawei-ospf-1-area-0.0.0.0] quit
# 接口级配置(另一种方式)
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] ospf 1 area 0.0.0.0  # 接口加入OSPF进程1和区域0
[Huawei-GigabitEthernet0/0/1] quit

3. IS-IS(大型骨干网优选)

作用:支持 IP/CLNP 协议,扩展性强,适合超大型骨干网络

[Huawei] system-view
[Huawei] isis 1  # 启动IS-IS进程1
[Huawei-isis-1] is-level level-2  # 配置为L2级别(骨干网设备,仅参与骨干路由)
[Huawei-isis-1] network-entity 49.0001.0000.0000.0001.00  # NET地址(区域ID.系统ID.选择器)
[Huawei-isis-1] quit
# 接口配置
[Huawei] interface GigabitEthernet0/0/1  # 骨干网互联接口
[Huawei-GigabitEthernet0/0/1] isis enable 1  # 接口加入IS-IS进程1
[Huawei-GigabitEthernet0/0/1] isis circuit-type p2p  # 配置为点对点链路(光纤/专线)
[Huawei-GigabitEthernet0/0/1] quit
# 环回接口配置(设备标识,提高稳定性)
[Huawei] interface LoopBack0
[Huawei-LoopBack0] ip address 1.1.1.1 255.255.255.255
[Huawei-LoopBack0] isis enable 1  # 环回接口加入IS-IS
[Huawei-LoopBack0] quit

4. BGP(跨网互联核心)

作用:自治系统(AS)间路由交换,互联网 / 跨运营商组网必备

[Huawei] system-view
[Huawei] rip 1  # 启动RIP进程1
[Huawei-rip-1] version 2  # 使用RIP v2
[Huawei-rip-1] network 192.168.1.0  # 宣告直连网络
[Huawei-rip-1] quit

三、🔗 高级转发技术(企业 / 数据中心,无遗漏)

1. MPLS(标签交换技术)

作用:数据包加标签转发,替代 IP 路由查询,提速 + 支持 VPN / 流量工程

[Huawei] system-view
[Huawei] mpls  # 全局启用MPLS
[Huawei-mpls] lsr-id 1.1.1.1  # LSR ID(建议用环回IP,全局唯一)
[Huawei-mpls] quit
# 接口启用MPLS
[Huawei] interface GigabitEthernet0/0/1  # MPLS骨干网接口
[Huawei-GigabitEthernet0/0/1] mpls  # 接口开启MPLS
[Huawei-GigabitEthernet0/0/1] mpls ldp  # 启用LDP(标签分发协议)
[Huawei-GigabitEthernet0/0/1] quit
# 全局启用LDP
[Huawei] mpls ldp
[Huawei-mpls-ldp] quit

2. MPLS VPN(跨域多租户隔离)

作用:不同租户共享 MPLS 骨干网,数据互相隔离(企业专线常用)

[Huawei] system-view
# 创建VPN实例(租户A)
[Huawei] ip vpn-instance vpn_companyA
[Huawei-vpn-companyA] route-distinguisher 100:1  # RD(路由区分符,唯一标识VPN)
[Huawei-vpn-companyA] vpn-target 100:1 both  # VPN Target(控制路由收发)
[Huawei-vpn-companyA] quit
# 接口绑定VPN实例
[Huawei] interface GigabitEthernet0/0/2  # 连接租户A的接口
[Huawei-GigabitEthernet0/0/2] ip binding vpn-instance vpn_companyA
[Huawei-GigabitEthernet0/0/2] ip address 192.168.10.1 24
[Huawei-GigabitEthernet0/0/2] quit
# 骨干网接口启用MPLS LDP(同MPLS基础配置)

3. VXLAN(数据中心二层扩展)

作用:三层网络承载二层流量,支持跨机房多租户隔离(云计算 / 数据中心场景)

[Huawei] system-view
# 创建桥接域(BD)
[Huawei] bridge-domain 100
[Huawei-bd100] vxlan vni 10000  # BD与VNI(虚拟网络标识)绑定
[Huawei-bd100] quit
# 配置VTEP(VXLAN隧道端点)
[Huawei] interface nve 1  # 创建NVE接口
[Huawei-nve1] source ip 192.168.200.1  # 本地VTEP IP(环回接口IP)
[Huawei-nve1] vni 10000 head-end peer-list 192.168.200.2  # 对端VTEP IP
[Huawei-nve1] quit
# 接入接口关联BD
[Huawei] interface GigabitEthernet0/0/1.1  # 创建子接口
[Huawei-GigabitEthernet0/0/1.1] encapsulation dot1q vid 10  # 封装VLAN 10标签
[Huawei-GigabitEthernet0/0/1.1] bridge-domain 100  # 关联到BD 100
[Huawei-GigabitEthernet0/0/1.1] quit

4. EVPN(VXLAN 控制平面)

作用:为 VXLAN 提供控制平面,自动发现 VTEP、同步主机路由,简化配置

[Huawei] system-view
[Huawei] bgp 65001  # 启动BGP进程
[Huawei-bgp] router-id 192.168.200.1  # Router ID(VTEP源IP)
# 配置iBGP邻居(数据中心内其他VTEP)
[Huawei-bgp] peer 192.168.200.2 as-number 65001
[Huawei-bgp] peer 192.168.200.2 connect-interface LoopBack0
# 启用EVPN地址族
[Huawei-bgp] l2vpn-family evpn
[Huawei-bgp-l2vpn-evpn] peer 192.168.200.2 enable  # 激活邻居EVPN能力
[Huawei-bgp-l2vpn-evpn] quit
[Huawei-bgp] quit
# 桥接域绑定EVPN实例
[Huawei] bridge-domain 100
[Huawei-bd100] vxlan vni 10000
[Huawei-bd100] evpn binding vpn-instance vpn_dc  # 绑定EVPN实例
[Huawei-bd100] quit

四、🛡️ 高可用技术(业务不中断,全方案覆盖)

1. VRRP(网关冗余)

作用:多台路由器虚拟为一个网关,主网关故障时备用自动接管(零中断)

[Huawei] system-view
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] ip address 192.168.10.1 24  # 路由器自身IP
[Huawei-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254  # 虚拟网关IP(终端使用)
[Huawei-Vlanif10] vrrp vrid 1 priority 110  # 优先级(1-255,默认100,高者为主)
[Huawei-Vlanif10] vrrp vrid 1 preempt-mode timer delay 5  # 抢占延迟(避免频繁切换)
[Huawei-Vlanif10] vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30  # 追踪物理接口,故障时优先级降30
[Huawei-Vlanif10] quit

2. STP/RSTP/MSTP(二层防环路)

作用:消除二层网络环路,同时保留冗余路径(交换机必配)

[Huawei] system-view
[Huawei] stp enable  # 全局启用STP
[Huawei] stp mode mstp  # 配置为MSTP模式(支持多实例,最灵活)
[Huawei] stp priority 0  # 配置为根桥(优先级0最高)
# MSTP区域配置
[Huawei] stp region-configuration
[Huawei-mstp-region] region-name DC_Core  # 区域名(同一区域设备需一致)
[Huawei-mstp-region] instance 0 vlan 1-10  # VLAN 1-10映射到实例0
[Huawei-mstp-region] instance 1 vlan 11-20  # VLAN 11-20映射到实例1
[Huawei-mstp-region] active region-configuration  # 激活配置
[Huawei-mstp-region] quit
# 接口配置
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] stp edged-port enable  # 边缘端口(连接终端,快速收敛)
[Huawei-GigabitEthernet0/0/1] quit

3. BFD+NQA 联动(快速故障检测)

作用:BFD 毫秒级检测链路故障,NQA 监控网络质量,联动路由 / VRRP 快速切换

# 1. 配置NQA(检测链路可达性)
[Huawei] system-view
[Huawei] nqa test-instance admin link_check
[Huawei-nqa-admin-link_check] test-type icmp  # 检测类型:ICMP ping
[Huawei-nqa-admin-link_check] destination-ip 10.1.1.2  # 目标IP(邻居设备)
[Huawei-nqa-admin-link_check] frequency 1000  # 检测频率:1秒/次
[Huawei-nqa-admin-link_check] start now  # 立即启动检测
[Huawei-nqa-admin-link_check] quit
# 2. 配置BFD(绑定NQA,加速检测)
[Huawei] bfd  # 全局启用BFD
[Huawei-bfd] quit
[Huawei] bfd bfd_nqa bind nqa admin link_check  # BFD绑定NQA实例
[Huawei-bfd-session-bfd_nqa] discriminator local 100  # 本地标识符(唯一)
[Huawei-bfd-session-bfd_nqa] discriminator remote 200  # 对端标识符(需与对端一致)
[Huawei-bfd-session-bfd_nqa] min-tx-interval 100  # 发送间隔:100ms
[Huawei-bfd-session-bfd_nqa] min-rx-interval 100  # 接收间隔:100ms
[Huawei-bfd-session-bfd_nqa] commit  # 提交配置
[Huawei-bfd-session-bfd_nqa] quit
# 3. 联动静态路由(故障时切换)
[Huawei] ip route-static 192.168.6.0 24 10.1.1.2 track bfd-session bfd_nqa  # 主路由关联BFD
[Huawei] ip route-static 192.168.6.0 24 10.1.2.2 preference 100  # 备份路由

五、🔒 安全技术体系(防护 + 合规,全场景覆盖)

1. ACL(访问控制列表)

作用:过滤流量,允许 / 拒绝特定 IP / 端口 / 协议(如禁止外网访问内网服务器)

# 基础ACL(仅过滤源IP)
[Huawei] system-view
[Huawei] acl number 2000
[Huawei-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255  # 允许内网网段
[Huawei-acl-basic-2000] rule 10 deny source any  # 拒绝其他所有
[Huawei-acl-basic-2000] quit
# 高级ACL(过滤IP+端口+协议)
[Huawei] acl number 3000
[Huawei-acl-adv-3000] rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.1 0 destination-port eq 80  # 允许内网访问Web服务
[Huawei-acl-adv-3000] rule 10 deny tcp source any destination 10.0.0.1 0 destination-port eq 22  # 禁止SSH远程登录服务器
[Huawei-acl-adv-3000] rule 15 deny ip any any  # 拒绝其他所有IP流量
[Huawei-acl-adv-3000] quit
# 接口应用ACL
[Huawei] interface GigabitEthernet0/0/1  # 外网接口
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3000  # 入方向应用(外网→内网)
[Huawei-GigabitEthernet0/0/1] quit

2. NAT(网络地址转换)

作用:私网 IP 转公网 IP,解决公网 IP 短缺,隐藏内网地址(出口路由器必备)

# 源NAT(内网访问外网)
[Huawei] system-view
[Huawei] nat address-group 1 202.100.10.50 202.100.10.60  # 公网地址池
[Huawei] acl number 2000
[Huawei-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255  # 需转换的内网流量
[Huawei-acl-basic-2000] quit
[Huawei] interface GigabitEthernet0/0/1  # 公网接口
[Huawei-GigabitEthernet0/0/1] nat outbound acl 2000 address-group 1  # 启用源NAT
[Huawei-GigabitEthernet0/0/1] quit
# 静态NAT(公网访问内网服务器)
[Huawei] system-view
[Huawei] nat static global 202.100.10.51 inside 192.168.1.10  # 公网IP→内网服务器IP
[Huawei] quit

3. IPsec VPN(加密通信)

作用:远程办公 / 跨地域组网,数据加密传输,防止窃听 / 篡改(企业远程接入必备)

[Huawei] system-view
# 1. 配置ACL定义加密流量
[Huawei] acl number 3000
[Huawei-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255  # 内网1→内网2流量加密
[Huawei-acl-adv-3000] quit
# 2. 配置IKE对等体(协商加密参数)
[Huawei] ike peer peer1
[Huawei-ike-peer-peer1] pre-shared-key cipher Huawei@123  # 预共享密钥(双方需一致)
[Huawei-ike-peer-peer1] remote-address 202.100.10.2  # 对端VPN设备公网IP
[Huawei-ike-peer-peer1] quit
# 3. 配置IPsec提议(加密/认证算法)
[Huawei] ipsec proposal prop1
[Huawei-ipsec-prop1] encapsulation-mode tunnel  # 隧道模式(推荐)
[Huawei-ipsec-prop1] esp encryption-algorithm aes-256  # AES-256加密
[Huawei-ipsec-prop1] esp authentication-algorithm sha2-256  # SHA2-256认证
[Huawei-ipsec-prop1] quit
# 4. 配置IPsec策略
[Huawei] ipsec policy policy1 1 isakmp
[Huawei-ipsec-policy-isakmp-policy1-1] security acl 3000  # 引用ACL
[Huawei-ipsec-policy-isakmp-policy1-1] ike-peer peer1  # 引用IKE对等体
[Huawei-ipsec-policy-isakmp-policy1-1] proposal prop1  # 引用IPsec提议
[Huawei-ipsec-policy-isakmp-policy1-1] quit
# 5. 接口应用策略
[Huawei] interface GigabitEthernet0/0/1  # 公网接口
[Huawei-GigabitEthernet0/0/1] ipsec policy policy1  # 应用IPsec策略
[Huawei-GigabitEthernet0/0/1] quit

4. 端口安全(Port Security)

作用:限制接口 MAC 地址学习数量,防止未授权设备接入(办公网 / 接入层必备)

[Huawei] system-view
[Huawei] interface GigabitEthernet0/0/2  # 员工终端接入接口
[Huawei-GigabitEthernet0/0/2] port-security enable  # 启用端口安全
[Huawei-GigabitEthernet0/0/2] port-security max-mac-num 1  # 仅允许1个MAC地址(单设备接入)
[Huawei-GigabitEthernet0/0/2] port-security mac-address sticky  # 启用MAC地址粘滞(自动绑定首次接入设备)
[Huawei-GigabitEthernet0/0/2] port-security protect-action error-down  # 超量时接口关闭(防止攻击)
[Huawei-GigabitEthernet0/0/2] quit

5. AAA 认证(用户身份管控)

作用:对接入用户进行身份验证、授权、计费(企业内网 / 远程登录 / WiFi 接入)

# 本地AAA认证(小型网络)
[Huawei] system-view
[Huawei] aaa
[Huawei-aaa] authentication-scheme local_auth  # 创建认证方案
[Huawei-aaa-authen-local_auth] authentication-mode local  # 本地认证
[Huawei-aaa-authen-local_auth] quit
# 创建本地用户
[Huawei-aaa] local-user itadmin password cipher Admin@123  # 用户名:itadmin,密码:Admin@123
[Huawei-aaa] local-user itadmin privilege level 15  # 权限级别15(最高)
[Huawei-aaa] local-user itadmin service-type ssh telnet  # 允许SSH/Telnet登录
[Huawei-aaa] quit
# 远程登录接口应用
[Huawei] user-interface vty 0 15  # VTY接口(0-15共16个会话)
[Huawei-ui-vty0-15] authentication-mode aaa  # 启用AAA认证
[Huawei-ui-vty0-15] protocol inbound ssh  # 仅允许SSH(禁用Telnet,更安全)
[Huawei-ui-vty0-15] quit
# RADIUS远程认证(大型网络,统一管理用户)
[Huawei] system-view
[Huawei] radius-server template radius_temp  # 创建RADIUS模板
[Huawei-radius-radius_temp] radius-server authentication 10.1.1.100 1812  # RADIUS服务器IP+认证端口
[Huawei-radius-radius_temp] radius-server accounting 10.1.1.100 1813  # 计费端口
[Huawei-radius-radius_temp] radius-server shared-key cipher Key@123  # 共享密钥(与服务器一致)
[Huawei-radius-radius_temp] quit
[Huawei] aaa
[Huawei-aaa] authentication-scheme radius_auth
[Huawei-aaa-authen-radius_auth] authentication-mode radius  # 启用RADIUS认证
[Huawei-aaa-authen-radius_auth] quit
[Huawei-aaa] radius-server radius_temp  # 关联RADIUS模板
[Huawei-aaa] quit

六、📶 链路与流量管理(带宽 + 质量,全方案)

1. Eth-Trunk(链路聚合)

作用:多物理链路捆绑为一个逻辑链路,带宽翻倍 + 冗余备份(核心设备互联必备)

# 静态LACP模式(推荐,稳定可靠)
[Huawei] system-view
[Huawei] interface Eth-Trunk 1  # 创建聚合接口1
[Huawei-Eth-Trunk1] mode lacp-static  # 配置为静态LACP模式
[Huawei-Eth-Trunk1] max active-linknumber 3  # 最多3条活动链路(其余为备份)
[Huawei-Eth-Trunk1] quit
# 物理接口加入聚合组
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] eth-trunk 1  # 加入Eth-Trunk 1
[Huawei-GigabitEthernet0/0/1] quit
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] eth-trunk 1
[Huawei-GigabitEthernet0/0/2] quit
[Huawei] interface GigabitEthernet0/0/3
[Huawei-GigabitEthernet0/0/3] eth-trunk 1
[Huawei-GigabitEthernet0/0/3] quit

2. QoS(流量控制)

作用:保障语音 / 视频等关键业务带宽,限制 P2P / 下载等非关键流量(企业网 / 校园网必备)

# 1. 接口限速(简单直接)
[Huawei] system-view
[Huawei] interface GigabitEthernet0/0/1  # 接入接口
[Huawei-GigabitEthernet0/0/1] qos lr inbound cir 2048  # 入方向限速2Mbps
[Huawei-GigabitEthernet0/0/1] qos lr outbound cir 4096  # 出方向限速4Mbps
[Huawei-GigabitEthernet0/0/1] quit
# 2. MQC精细化管控(按业务分类)
[Huawei] system-view
# 定义流量分类(语音业务)
[Huawei] traffic classifier voice operator or
[Huawei-classifier-voice] if-match dscp 46  # 匹配DSCP标记46(语音业务标准)
[Huawei-classifier-voice] quit
# 定义流量行为(保障带宽)
[Huawei] traffic behavior voice_guarantee
[Huawei-behavior-voice_guarantee] car cir 1024 pir 2048  # 承诺带宽1Mbps,峰值2Mbps
[Huawei-behavior-voice_guarantee] priority high  # 优先级高
[Huawei-behavior-voice_guarantee] quit
# 定义流量分类(P2P下载)
[Huawei] traffic classifier p2p operator or
[Huawei-classifier-p2p] if-match destination-port range 1024 65535  # 匹配高端口
[Huawei-classifier-p2p] quit
# 定义流量行为(限制带宽)
[Huawei] traffic behavior p2p_limit
[Huawei-behavior-p2p_limit] car cir 512  # 限速512Kbps
[Huawei-behavior-p2p_limit] quit
# 绑定流量策略
[Huawei] traffic policy qos_policy
[Huawei-trafficpolicy-qos_policy] classifier voice behavior voice_guarantee
[Huawei-trafficpolicy-qos_policy] classifier p2p behavior p2p_limit
[Huawei-trafficpolicy-qos_policy] quit
# 接口应用策略
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-policy qos_policy inbound
[Huawei-GigabitEthernet0/0/1] quit

七、💻 IP 服务技术(终端接入,全场景)

1. DHCP(动态主机配置协议)

作用:终端自动获取 IP 地址、网关、DNS,减少手动配置(办公网 / 校园网 / 宿舍必备)

[Huawei] system-view
[Huawei] dhcp enable  # 全局启用DHCP服务
# 创建全局地址池(VLAN 10)
[Huawei] ip pool vlan10_pool
[Huawei-ip-pool-vlan10_pool] network 192.168.10.0 mask 255.255.255.0  # 分配IP段
[Huawei-ip-pool-vlan10_pool] gateway-list 192.168.10.254  # 网关(与VRRP虚拟IP一致)
[Huawei-ip-pool-vlan10_pool] dns-list 114.114.114.114 8.8.8.8  # DNS服务器
[Huawei-ip-pool-vlan10_pool] lease day 1 hour 12  # 租期1天12小时
[Huawei-ip-pool-vlan10_pool] excluded-ip-address 192.168.10.1 192.168.10.10  # 排除保留IP(服务器/网关)
[Huawei-ip-pool-vlan10_pool] quit
# 接口启用DHCP
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] dhcp select global  # 引用全局地址池
[Huawei-Vlanif10] quit

2. DHCP Snooping(防非法 DHCP)

作用:仅允许信任接口的合法 DHCP 服务器分配 IP,防止私搭 DHCP 服务器导致地址冲突

[Huawei] system-view
[Huawei] dhcp snooping enable  # 全局启用DHCP Snooping
# 配置信任接口(连接合法DHCP服务器)
[Huawei] interface GigabitEthernet0/0/24
[Huawei-GigabitEthernet0/0/24] dhcp snooping trust  # 标记为信任接口
[Huawei-GigabitEthernet0/0/24] quit
# 配置非信任接口(连接终端)
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] dhcp snooping disable  # 非信任(默认)
[Huawei-GigabitEthernet0/0/1] dhcp snooping max-user-number 5  # 限制最大分配IP数(防攻击)
[Huawei-GigabitEthernet0/0/1] quit
# 启用选项82(记录终端位置信息)
[Huawei] dhcp snooping option82 enable
[Huawei] dhcp snooping option82 insert-position position-1  # 插入位置

八、📡 网络监控与管理(运维可视化)

SNMP(简单网络管理协议)

作用:对接网管平台(如华为 iMaster NCE、Zabbix),统一监控设备状态、告警、性能

[Huawei] system-view
[Huawei] snmp-agent  # 全局启用SNMP
[Huawei] snmp-agent sys-info version v3  # 启用SNMPv3(安全版,支持认证+加密)
# 创建SNMP用户组
[Huawei] snmp-agent group v3 netadmin privacy  # privacy:认证+加密;authentication:仅认证
[Huawei] snmp-agent group v3 guest authentication  # 只读用户组(仅查看)
# 创建SNMP用户
[Huawei] snmp-agent usm-user v3 admin netadmin  # 管理员用户(netadmin组)
[Huawei] snmp-agent usm-user v3 admin netadmin authentication-mode sha2-256 cipher Auth@123  # 认证密码
[Huawei] snmp-agent usm-user v3 admin netadmin privacy-mode aes-256 cipher Priv@123  # 加密密码
[Huawei] snmp-agent usm-user v3 viewer guest  # 只读用户(guest组)
[Huawei] snmp-agent usm-user v3 viewer guest authentication-mode md5 cipher View@123  # 认证密码
# 配置网管平台目标主机
[Huawei] snmp-agent target-host trap address udp-domain 10.100.1.100 params securityname admin v3  # 网管IP
[Huawei] snmp-agent trap enable  # 启用告警上报
[Huawei] quit

九、🔍 故障排查工具(快速定位问题,运维必备)

高频排错命令(全覆盖)

# 1. 接口状态排查(物理/协议/错误包)
display interface GigabitEthernet0/0/1  
display interface Vlanif 10
# 2. 路由表排查(路由是否存在/优选/下一跳)
display ip routing-table  # 查看所有路由
display ip routing-table 192.168.2.0 24  # 查看指定路由
display ospf routing  # 查看OSPF路由
display bgp routing-table  # 查看BGP路由
# 3. 协议状态排查
display ospf peer  # OSPF邻居状态
display bgp peer  # BGP邻居状态
display isis peer  # IS-IS邻居状态
display bfd session all  # BFD会话状态
display nqa results test-instance admin link_check  # NQA检测结果
# 4. VLAN/Trunk排查
display vlan brief  # 查看VLAN配置摘要
display port vlan  # 查看接口VLAN配置
display interface trunk  # 查看Trunk接口状态
# 5. 安全配置排查
display acl all  # 查看所有ACL配置
display nat session all  # 查看NAT会话
display ipsec policy  # 查看IPsec策略
display port-security interface GigabitEthernet0/0/2  # 查看端口安全配置
# 6. 系统状态排查
display logbuffer  # 查看系统日志(最近异常)
display current-configuration  # 查看当前生效配置
display saved-configuration  # 查看保存的配置
display health  # 查看设备健康状态(CPU/内存/温度/风扇)
display diagnose health-check  # 一键诊断设备异常

十、📋 华为网络技术全景速查表(建议保存)

技术类别 核心技术 关键场景
🏷️ VLAN 技术 基础 VLAN/Super/QinQ/MUX/ 单臂路由 / Trunk 流量隔离、IP 优化、多租户、跨设备 VLAN
🗺️ 路由技术 静态路由 / OSPF/IS-IS/BGP 内网互通、跨网互联、骨干网路由
🔗 高级转发 MPLS/MPLS VPN/VXLAN/EVPN 企业专线、数据中心扩展、多租户隔离
🛡️ 高可用 VRRP/BFD+NQA/STP/MSTP 网关冗余、快速故障切换、防环路
🔒 安全技术 ACL/NAT/IPsec/ 端口安全 / AAA 访问控制、地址转换、加密通信、防非法接入
📶 链路流量 Eth-Trunk/QoS 带宽聚合、关键业务保障、流量限制
💻 IP 服务 DHCP/DHCP Snooping 自动分配 IP、防非法 DHCP
📡 网络监控 SNMPv3 设备监控、告警上报、运维可视化
🔍 故障排查 display 命令集 / BFD/NQA 排查 接口 / 路由 / 协议 / 安全故障定位
阅读剩余
版权声明:
作者:SE_Tianle
链接:https://www.cnesa.cn/9177.html
文章版权归作者所有,未经允许请勿转载。
THE END
【转载】HCIE R&S 备考笔记 华为设备堆叠原理和配置
<<上一篇
相关推荐
华为网络运维
华为V5服务器device manager中没有RAID卡配置界面
电脑硬件故障通常有哪些原因?如何解决?
有线网络无法连接?别慌!手把手教你解决网络故障,让你秒变网络达人!
[linux仓库]线程控制
无线用户获取地址慢
数据中心业务BFD检测参数配置不当导致主备路由异常切换故障
什么是iReliable
常见网络故障排查技巧:从物理层到应用层
Linux 新手必学:yum 软件管理 + vim 编辑器使用与配置全攻略
Copyright © 2025 CNESA CoreNext Powered by WordPress