交换机配置和管理

SE-YangYao

交换机

430

2025-5-7

一、基础配置准备：连接与登录方式

1. 带外管理（初始配置必用）

Console 口连接
- 工具：通过 RJ45 转 USB 串口线连接交换机 Console 口与电脑，使用 Putty/ SecureCRT 等终端工具（波特率 9600，数据位 8，停止位 1，无校验）。
- 示例（华为交换机）：
  <Huawei> system-view # 进入系统视图 [Huawei] sysname SW-Office # 修改设备名称
带外管理优势：无需网络即可配置，适合首次初始化或网络故障时修复。

2. 带内管理（远程管理）

前提条件：交换机需配置 IP 地址，且与管理主机网络互通。

登录方式：

Telnet/SSH（命令行）：

[SW-Office] interface Vlanif 1     # 创建管理VLAN接口
[SW-Office-Vlanif1] ip address 192.168.1.1 24  # 配置管理IP
[SW-Office] user-interface vty 0 4  # 允许5个VTY会话
[SW-Office-ui-vty0-4] authentication-mode password  # 设置登录密码
[SW-Office-ui-vty0-4] quit

Web 管理界面：访问管理 IP（如 192.168.1.1），输入用户名密码（默认常为 admin/admin，首次登录需修改），适合图形化操作（如 H3C Web 管理界面）。

二、核心功能配置流程

1. 基础网络配置

设置时区与时间（便于日志分析）：

[SW-Office] clock timezone Beijing add 08:00:00  # 北京时区
[SW-Office] ntp-service unicast-server 192.168.1.100  # 同步NTP服务器

端口基本配置：

配置端口速率 / 双工模式（强制百兆全双工）：

[SW-Office] interface GigabitEthernet 0/0/1
[SW-Office-GigabitEthernet0/0/1] speed 100
[SW-Office-GigabitEthernet0/0/1] duplex full

启用 / 关闭端口：

[SW-Office-GigabitEthernet0/0/1] shutdown  # 关闭端口
[SW-Office-GigabitEthernet0/0/1] undo shutdown  # 启用端口

2. VLAN 划分与跨 VLAN 通信

创建 VLAN 并分配端口（Access 端口连接终端，Trunk 端口连接其他交换机）：

[SW-Office] vlan batch 10 20  # 批量创建VLAN 10、20
[SW-Office] interface GigabitEthernet 0/0/2
[SW-Office-GigabitEthernet0/0/2] port link-type access  # Access类型
[SW-Office-GigabitEthernet0/0/2] port default vlan 10  # 加入VLAN 10
[SW-Office] interface GigabitEthernet 0/0/24
[SW-Office-GigabitEthernet0/0/24] port link-type trunk  # Trunk类型
[SW-Office-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20  # 允许VLAN 10/20通过

三层交换机配置 VLAN 接口 IP（实现跨 VLAN 路由）：

[SW-Office] interface Vlanif 10
[SW-Office-Vlanif10] ip address 192.168.10.1 24  # VLAN 10网关
[SW-Office] interface Vlanif 20
[SW-Office-Vlanif20] ip address 192.168.20.1 24  # VLAN 20网关

3. 端口安全与访问控制

限制单端口接入设备数量（防 MAC 泛洪攻击）：

[SW-Office] interface GigabitEthernet 0/0/1
[SW-Office-GigabitEthernet0/0/1] port-security enable  # 启用端口安全
[SW-Office-GigabitEthernet0/0/1] port-security max-mac-count 1  # 仅允许1个MAC地址

绑定合法 MAC 地址（白名单）：

[SW-Office-GigabitEthernet0/0/1] port-security mac-address 5489-9811-0b49  # 绑定特定MAC

配置 ACL（禁止 VLAN 10 访问服务器区 192.168.100.0/24）：

[SW-Office] acl number 3000
[SW-Office-acl-adv-3000] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
[SW-Office] interface Vlanif 10
[SW-Office-Vlanif10] traffic-filter outbound acl 3000  # 出方向应用ACL

4. 高可靠性与性能优化

链路聚合（Eth-Trunk）：

[SW-Office] interface Eth-Trunk 1  # 创建聚合组
[SW-Office-Eth-Trunk1] mode lacp-static  # 静态LACP模式
[SW-Office-Eth-Trunk1] trunkport GigabitEthernet 0/0/23 0/0/24  # 加入物理端口

生成树协议（STP）防环路：

[SW-Office] stp mode rstp  # 启用RSTP（比STP收敛更快）
[SW-Office] stp priority 4096  # 设置设备优先级（数值越小优先级越高，成为根桥）

QoS 流量优先级（保障语音流量）：

[SW-Office] traffic classifier voip operator or
[SW-Office-classifier-voip] if-match dscp ef  # 匹配DSCP标记为EF的语音流量
[SW-Office] traffic behavior voip
[SW-Office-behavior-voip] priority level 7  # 最高优先级
[SW-Office] qos policy voip-policy
[SW-Office-qos-policy-voip-policy] classifier voip behavior voip
[SW-Office] interface Eth-Trunk 1
[SW-Office-Eth-Trunk1] qos apply policy voip-policy inbound  # 入方向应用QoS策略

三、远程管理与监控

1. 集中式管理工具

SNMP（简单网络管理协议）：

[SW-Office] snmp-agent sys-info version v2c  # 启用SNMPv2c
[SW-Office] snmp-agent community read public  # 设置只读团体名public
[SW-Office] snmp-agent target-host trap address udp-domain 192.168.1.200 params securityname public  # 向管理服务器发送陷阱消息

工具：配合 Nagios、Zabbix、SolarWinds 等监控软件，实时查看交换机端口流量、CPU / 内存利用率。

SDN 控制器管理（适用于支持 OpenFlow 的交换机）：
通过 SDN 控制器（如华为 iMaster NCE、Cisco APIC）下发策略，自动配置 VLAN、ACL 等，简化大规模网络管理。

2. 日志与诊断命令

查看实时日志：

[SW-Office] terminal monitor  # 开启终端日志显示
[SW-Office] display logbuffer  # 查看日志缓冲区

诊断端口状态：

[SW-Office] display interface GigabitEthernet 0/0/1  # 查看端口速率、双工、错误包统计
[SW-Office] display mac-address  # 查看MAC地址表
[SW-Office] display ip interface brief  # 查看接口IP摘要

ping/tracert 测试连通性：

[SW-Office] ping 192.168.10.10  # 测试与终端的连通性
[SW-Office] tracert 192.168.20.50  # 追踪路由路径

四、安全加固最佳实践

账号密码管理

禁用默认账号（如 admin），创建强密码账户：

[SW-Office] local-user manager password cipher Huawei@123  # 创建加密密码账户
[SW-Office] local-user manager privilege level 15  # 赋予最高管理权限

启用 AAA 认证（配合 RADIUS 服务器）：

[SW-Office] aaa
[SW-Office-aaa] authentication-scheme radius
[SW-Office-aaa] authentication-mode radius
[SW-Office-aaa] quit

禁用危险服务

关闭未使用的端口和服务（如 Telnet，推荐使用 SSH）：

[SW-Office] undo telnet server enable  # 禁用Telnet
[SW-Office] ssh server enable  # 启用SSH

限制远程管理 IP（仅允许管理网段 192.168.1.0/24 访问）：

[SW-Office] acl number 2000
[SW-Office-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[SW-Office] user-interface vty 0 4
[SW-Office-ui-vty0-4] acl 2000 inbound  # 应用ACL限制登录源IP

定期维护
- 备份配置：
  [SW-Office] save # 保存当前配置到闪存 [SW-Office] tftp 192.168.1.200 put vrpcfg.zip # 远程备份到TFTP服务器
- 升级固件：
  通过官网下载最新版本（如华为 V200R022C10），使用 TFTP/FTP 上传后重启加载。

五、不同厂商配置差异（命令行对比）

功能	华为 / 华三（HCL）	Cisco（IOS）
进入全局配置	`system-view`	`enable` → `configure terminal`
创建 VLAN	`vlan 10`	`vlan 10` → `name VLAN10`
设置 Access 端口	`port link-type access`	`switchport mode access`
链路聚合	`interface Eth-Trunk 1`	`interface port-channel 1`
保存配置	`save`	`write memory` 或 `copy running-config startup-config`

六、常见问题处理

忘记 Console 密码
- 硬件复位：长按交换机 Reset 键（部分型号），恢复出厂设置后重新配置（谨慎操作，会清除所有配置）。
远程管理无法连接
- 检查管理 IP 是否正确，防火墙是否放行 Telnet/SSH 端口（23/22），使用display ip interface Vlanif 1确认管理接口状态。
环路导致网络卡顿
- 启用 STP/RSTP（stp mode rstp），通过display stp brief查看端口角色，断开阻塞端口的物理连接。