**華為S5700三層交換機基本配置

leao6660人評論3581人閱讀2015-03-24 15:37:23
通過Console口登錄交換機
通過Console口登錄主要用于交換機第一次上電或者本地配置。或者無法通過遠程訪問時，可通過Console口登錄。
在配置通過Console口配置交換機之前，需要完成以下任務：
· 準備好PC/終端（COM串口和RS-232電纜）
· PC已安裝終端仿真程序（超級終端、SecureCRT、Xshell等）

這個端口號，我們可以在設備管理器中查看，并且可以更改端口的編號。方法如下：
設備管理器 --- 端口（COM和LPT）--- 雙擊要修改的COM口（或者右鍵-屬性）-- 端口設置 -- 高級 --端口號

OK， 登錄到交換機之后，就開始配置吧。以下配置中，綠色字體是需要自定義的。

設置設備的名稱為GSH-FZ-Front

<Quidway> system-view
[Quidway] sysname GSH-FZ-Front

設置查看設備的時區(qū),時間

設置當前時間：clock datetime HH:MM:SS YYYY-MM-DD

設置時區(qū)： clock timezone time-zone-name { add | minus } offset

<Quidway> clock timezone BJ add 8
<Quidway> clock datetime 18:20:30 2011-06-08
<Quidway> display clock

#設定NTP服務器，自動獲取更新時間，假設NTP服務器為 202.120.2.101，202.112.10.36
<Quidway> system-view
[Quidway] ntp-service unicast-peer 202.120.2.101
[Quidway] ntp-service unicast-peer 202.112.10.36

配置S5700為內(nèi)網(wǎng)的NTP服務器，內(nèi)網(wǎng)的二層交換機指定這個S57為 NTP server 就行

<Quidway> system-view
[Quidway] ntp-service authentication enable
[Quidway] ntp-service sync-interval 180
[Quidway] ntp-service authentication-keyid 42 authentication-mode md5 cipher 123456
[Quidway] ntp-service reliable authentication-keyid 42

查看NTP狀態(tài)

<Quidway> display clock
<Quidway> display ntp-service status

設置標題文本

<Quidway> system-view

設置登錄時的提示信息: header login { information text | file file-name }

[Quidway] header login information #Welcome S5700#

設置登錄成功后的提示信息: header shell { information text | file file-name }

[Quidway] header shell information #Welcome S5700#

#telnet遠程登錄

password { simple | cipher }

如果使用simple選項，密碼將以明文形式保存在配置文件中。一般情況下，應使用cipher 選項將密碼加密保存，同時使用

cipher選項后，無法從系統(tǒng)中取回，請妥善保管密碼。

<Quidway> system-view
[Quidway] aaa
[Quidway-aaa] local-user testadmin password cipher p@ssw0rd privilege level 15
[Quidway-aaa] local-user testadmin service-type telnet (設置用戶登錄方式為 telnet， 只能通過telnet方式登錄，還有這幾種 ssh http web) 一般不配置它。
[Quidway-aaa] quit
[Quidway]user-interface vty 0 4
[Quidway-vty0-4]authentication-mode aaa （設置認證方式為: aaa ）

#SSH遠程登錄
需求：PC能通過SSH協(xié)議遠程登錄交換機進行管理。
1、生成本地密鑰對：
<Quidway> system-view
[Quidway] rsa local-key-pair create
The key name will be:
Auotnavi-callcenter-01_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 512]:1024
Generating keys...
.++++++
............++++++
...............++++++++
.++++++++
2、配置VTY用戶界面
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode aaa

必須設置VTY用戶驗證方式為AAA，否則 protocol inbound ssh 命令無法成功

[Quidway-ui-vty0-4] protocol inbound ssh
3、創(chuàng)建SSH用戶及密碼
[Quidway] aaa
[Quidway-aaa] local-user admin password cipher 123
[Quidway-aaa] local-user admin privilege level 15
[Quidway-aaa] local-user admin service-type ssh
4、使用Stelnet，并配置SSH用戶的認證方式
[Quidway] stelnet server enable
[Quidway] ssh authentication-type default password

劃分VLAN

#創(chuàng)建VLAN
<Quidway> system-view （一般縮寫為：sys）
[Quidway] vlan 10 (批量添加vlan: vlan batch 10 20 30)
[Quidway-vlan10] quit （一般縮寫為：q）
#設定端口模式，默認為trunk，需要將端口劃入VLAN之前，先把端口類型轉(zhuǎn)為access
<Quidway> system-view
[Quidway] int gigabitethernet 0/0/1
[
Quidway-GigabitEthernet0/0/1] port link-type access
[
Quidway-GigabitEthernet0/0/1] quit
#將端口加入Vlan
<Quidway> system-view
[Quidway] vlan 10
[Quidway-vlan131] port gigabitethernet 0/0/1 （連續(xù)多個端口，用 xx to xx， 如：port giga 0/0/5 to 0/0/10）
[Quidway-Vlan131] quit

#設置Trunk
<Quidway> system-view
[Quidway] interface GigabitEthernet 0/0/23
[
Quidway-GigabitEthernet0/0/23] port link-type trunk

如果不設置下面這條配置，VLAN10 ， VLAN131都會處于DOWN的狀態(tài)

[
Quidway-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 131 (多個VLAN列出)

#設置VLAN IP(管理IP)
<Quidway> system-view
[Quidway] interface vlanif 131
[Quidway-Vlanif131] ip address 192.168.0.253 255.255.255.0 (縮寫： ip add IP MASK)
[Quidway-Vlanif131] shutdown
[Quidway-Vlanif131] undo shutdown

刪除VLAN

1、如果配置VLAN的管理IP，在系統(tǒng)視圖下，使用 undo int vlan 10 命令刪除VLAN 10的3層虛擬接口，這樣VLAN 10就被刪除了，但是劃入VLAN 10 的那些端口依然在VLAN 10中。這時還需要把那些端口恢復，讓他們不屬于任何VLAN
<Quidway> system-view
[Quidway] undo int vlanif 10
2、在系統(tǒng)視圖下，使用 undo vlan 10 命令可以刪除2層接口，這個命令可以釋放那些原來劃分為VLAN 10的端口，現(xiàn)在這些端口就屬于默認的VLAN 1了。
<Quidway> system-view
[Quidway] undo vlan 10
[Quidway] display vlan

當然，要向VLAN添加端口，是可以直接在VLAN視圖中添加的。
需要注意的是：交換機上的某個端口被設置成access模式，且加入了一個VLAN， 要想將這個端口模式改為trunk，直接在接口視圖中“port link-type trunk” 是不行的，會出現(xiàn) Error: Please renew the default configurations. 這時需要先從VLAN中刪除這個端口，也就是讓這個接口恢復到默認的VLAN 1， 才能將這個端口設置為trunk。
<Quidway> system-view
[Quidway] vlan 10
[Quidway] undo port giga 0/0/1

配置端口組

S5700有48個端口，如果要配置VLAN，需要為每個端口先配置port link-type access，才能加入到VLAN，這豈不是很郁悶？

于是乎，端口組的出現(xiàn)了，把一些端口添加到一個組里，然后對這個組進行配置，這樣就能批量配置

<Quidway> system-view
[Quidway] port-group 1 # 創(chuàng)建名為1的端口組
[Quidway-port-group-1] group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20 # 添加端口到組

然后就可以批量設置端口了

[Quidway-port-group-1] port link-type access # 設置端口類型
[Quidway-port-group-1] port default vlan 10 # 把端口加入vlan

查看組配置

[Quidway] display cur | include group

對端口進行限速
假設對交換機的第2個端口進行限速，讓通過這個端口的下載速度不超過 128KB/S
Inbound: 入端口的流量限速
Outbound: 出端口的流量限速
<Quidway> system-view
[Quidway] int giga 0/0/2
[
Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800

默認單位：KB， 1024表示1M的帶寬，理論下載速度就是 128KB/S， cbs代表突發(fā)信息速率，cir表示承諾信息速率

取消限速

[Quidway-GigabitEthernet0/0/2] undo qos lr outbound

配置基于地址池的DHCP服務器
1、全局啟用DHCP服務
<Quidway> system-view
[Quidway] dhcp enable
2、配置IP地址池 10 的屬性（地址池范圍、DNS地址、出口網(wǎng)關、租期）
[Quidway] ip pool 10
[Quidway] network 192.168.10.0 mask 255.255.255.0
[Quidway] excluded-ip-address 192.168.10.250 192.168.10.254 （start_ip - end_ip）
[Quidway] dns-list 202.103.24.68
[Quidway] gateway-list 192.168.10.1
[Quidway] lease day 10
[Quidway] quit
2、配置VLANIF 10 接口下的客戶端從全局地址池中獲取IP地址
[Quidway] interface vlanif 10
[Quidway-Vlanif10] ip add 192.168.10.1 255.255.255.0 (或者 ip add 192.168.10.1 24)
[Quidway-Vlanif10] dhcp select global
[Quidway-Vlanif10] quit

#設置默認路由
<Quidway> system-view
[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.254

關閉WEB Server,dhcp

<Quidway> system-view
[Quidway] undo http server enable
[Quidway] undo dhcp enable

用戶管理

用戶登錄界面
· CON 適用于從Console接口進行本地登錄
· VTY 適用于Telnet或SSH方式進行本地或遠程登錄
用戶級別
用戶分為多個級別，標識越高則優(yōu)先級越高。如果不對用戶進行優(yōu)先級規(guī)劃，默認用戶登錄級別為 0 - 3 級。
用戶所能訪問命令的級別由用戶的級別決定：
· 如果對用戶采用不驗證或者password驗證，登錄到S5700的用戶所能訪問的命令級別由登錄時的用戶級別決定。
· 如果對用戶采用AAA驗證，登錄到S5700的用戶所能訪問的命令級別由AAA配置信息中本地用戶的級別決定。
登錄用戶劃分為16級，與命令級別對應。不同級別的用戶登錄后，只能使用等于或低于自己級別的命令。用戶所能訪問的命令包括用戶所在用戶級別的命令以及低于此用戶級別的命令。
驗證用戶的方式：

系統(tǒng)提供AAA本地驗證、密碼驗證和不驗證三種方式。 如何配置啟用哪種驗證方式呢？

<Quidway> system-view

user-interface 配置用戶接口

[Quidway] user-interface [ui-type] first-ui-number [last-ui-number]

配置啟用用戶驗證方式

[Quidway] authentication-mode { aaa | password | none }
super密碼：
華為super 命令設置的口令用于低級用戶向高級別用戶切換時進行驗證，類似于Linux系統(tǒng)從普通用戶切換到root用戶時需要驗證。用戶共分為4級，分別是訪問級（0）、監(jiān)控級（1）、系統(tǒng)級（2）和管理級（3），當?shù)图墑e的用戶向高級別的用戶身份切換時： super [level] , 此時只有驗證通過后才能切換成功?？梢酝ㄟ^super命令提升用戶級別。
配置實例：
1、配置console口為密碼驗證方式
<Quidway> system-view
[Quidway] user-interface console 0
[Quidway-ui-console0] idle-timeout 0 0 ( idle-timeout minutes [seconds] )
[Quidway-ui-console0] history-command max-size 100

配置用戶級別

[Quidway-ui-console0] user privilege level 3 # 設置此接口登錄的用戶級別

配置驗證方式 password

[Quidway-ui-console0] authentication-mode password
[Quidway-ui-console0] set authentication password { cipher | simple } password

登錄后，如果用戶超過30分鐘未對交換機進行操作，將斷開與交換機的連接。

第一步：配置接口的驗證方式

<Quidway> system-view
[Quidway] user-interface maximum-vty 5 配置可以同時登錄交換機的VTY最大個數(shù)
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode aaa
[Quidway-ui-vty0-4] user privilege level 2

這里的用戶級別設置為2 ， 但是采用AAA驗證，那么級別由AAA中的本地用戶級別決定。 如果采用password或者不驗證，那么從此接口登錄的用戶就是 level 2 級別的。

[Quidway-ui-vty0-4] idle-timeout 30 （idle-timeout minutes [seconds]）
[Quidway-ui-vty0-4] quit

第二步：配置AAA用戶，密碼以及權限

[Quidway] aaa
[Quidway-aaa] local-user huawei password cipher huawei

下面service-type一般不用配置, 將允許所有類型

[Quidway-aaa] local-user huawei service-type telnet
[Quidway-aaa] local-user huawei privilege level 15
[Quidway-aaa] quit

第三步：配置supper密碼

[Quidway] super password level 3 cipher huawei
#保存配置
<Quidway> save

配置FTP

1、創(chuàng)建vlan
<Quidway> system-view
[Quidway] vlan 10
2、將端口劃入vlan
[Quidway-vlan10] port GigabitEthernet 0/0/1 to 0/0/4 (注意：劃入的端口模式必須為access)
[Quidway-vlan10] quit
3、配置vlan的管理IP
[Quidway] int vlanif 10
[Quidway-Vlanif10] ip add 192.168.1.254 255.255.255.0
[Quidway-Vlanif10] quit
4、添加FTP用戶
[Quidway] aaa
[Quidway-aaa] local-user huawei password cipher huawei privilege level 15
[Quidway-aaa] local-user huawei service-type ftp # 配置用戶為ftp登錄
[Quidway-aaa] local-user huawei ftp-directory flash:/ # 配置登錄的FTP目錄
[Quidway-aaa] quit
5、開啟ftp服務

配置ftp服務器超時斷開的時間

[Quidway] ftp timeout 30 # 單位 minutes

默認情況下，交換機是沒有開啟ftp服務的，需要手動打開

[Quidway] ftp server enable

使用display ftp-server 命令查看ftp服務器的配置和狀態(tài)信息

[Quidway] display ftp-server
6、可選：配置ACL基本訪問控制列表

配置ACL規(guī)則

[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule permit source 192.168.1.10 0.0.0.0
[Quidway-acl-basic-2001] quit

把acl規(guī)則應用到ftp

[Quidway] ftp acl 2001
7、連接測試

打開命令提示符，或者其他ftp工具

C:\Users\admin> ftp 192.168.1.254
Connected to 192.168.1.254
220 FTP servece ready.
User(192.168.1.254(none)):huawei
331 Password required for huawei.
Password:
230 User logged in.
ftp>

配置WEB

1、上傳web文件

注意：要開啟web服務，需要先上傳web管理文件(xxx.web.zip) 到交換機的根目錄下

可以通過ftp上傳

C:\Users\admin> ftp 192.168.1.254
ftp> put xxx.web.zip
2、開啟web服務
<Quidway> system-view
[Quidway] http server load flash:/xxx.web.zip
[Quidway] http server enable
3、配置web用戶
[Quidway] aaa
[Quidway-aaa] local-user webadmin password cipher webadmin
[Quidway-aaa] local-user webadmin service-type http
[Quidway-aaa] quit
4、通過瀏覽器測試
URL 地址： http://192.168.1.254

#相關查看命令
[Quidway] display version 顯示VRP版本號
[Quidway] display current-configuration 顯示系統(tǒng)運行配置信息
[Quidway] display saved-configuration 顯示保存的配置信息
[Quidway] display interfaces brief 顯示接口配置信息
[Quidway] display history-command 顯示歷史命令記錄

管道過濾

[Quidway] display xxx | { include | exclude | begin } strings

當出現(xiàn) -- More -- 時，同樣支持

· /expr == begin
· -expr == exclude
· +expr == include
[Quidway] display current-configuration | include ntp
[Quidway] display current-configuration | include ip|user

注意第一個 | 是管道, 那么之后的 | 都不認為是管道，而是正則表達式的運算符

命令是不區(qū)分大小寫的，但是 strings 是區(qū)分的。