华为S5700三层交换机基本配置
华为S5700三层交换机基本配置
leao6660人评论3581人阅读2015-03-24 15:37:23通过Console口登录交换机通过Console口登录主要用于交换机第一次上电或者本地配置。或者无法通过远程访问时,可通过Console口登录。在配置通过Console口配置交换机之前,需要完成以下任务:• 准备好PC/终端(COM串口和RS-232电缆)• PC已安装终端仿真程序(超级终端、SecureCRT、Xshell等)
这个端口号,我们可以在设备管理器中查看,并且可以更改端口的编号。方法如下:设备管理器 --- 端口(COM和LPT)--- 双击要修改的COM口(或者右键-属性)-- 端口设置 -- 高级 --端口号
OK, 登录到交换机之后,就开始配置吧。以下配置中,绿色字体是需要自定义的。
system-view[Quidway] sysname GSH-FZ-Front
clock timezone BJ add 8 clock datetime 18:20:30 2011-06-08 display clock
#设定NTP服务器,自动获取更新时间,假设NTP服务器为 202.120.2.101,202.112.10.36 system-view[Quidway] ntp-service unicast-peer 202.120.2.101[Quidway] ntp-service unicast-peer 202.112.10.36
system-view[Quidway] ntp-service authentication enable[Quidway] ntp-service sync-interval 180[Quidway] ntp-service authentication-keyid 42 authentication-mode md5 cipher 123456[Quidway] ntp-service reliable authentication-keyid 42
display clock display ntp-service status
system-view
[Quidway] header login information #Welcome S5700#
[Quidway] header shell information #Welcome S5700#
#telnet远程登录
system-view[Quidway] aaa[Quidway-aaa] local-user testadmin password cipher p@ssw0rd privilege level 15[Quidway-aaa] local-user testadmin service-type telnet (设置用户登录方式为 telnet, 只能通过telnet方式登录,还有这几种 ssh http web) 一般不配置它。[Quidway-aaa] quit[Quidway]user-interface vty 0 4[Quidway-vty0-4]authentication-mode aaa (设置认证方式为: aaa )
#SSH远程登录需求:PC能通过SSH协议远程登录交换机进行管理。1、生成本地密钥对: system-view[Quidway] rsa local-key-pair createThe key name will be: Auotnavi-callcenter-01_HostThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Input the bits in the modulus[default = 512]:1024Generating keys....++++++............++++++...............++++++++.++++++++2、配置VTY用户界面 system-view[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] authentication-mode aaa
[Quidway-ui-vty0-4] protocol inbound ssh3、创建SSH用户及密码[Quidway] aaa[Quidway-aaa] local-user admin password cipher 123[Quidway-aaa] local-user admin privilege level 15[Quidway-aaa] local-user admin service-type ssh4、使用Stelnet,并配置SSH用户的认证方式[Quidway] stelnet server enable[Quidway] ssh authentication-type default password
#创建VLAN system-view (一般缩写为:sys)[Quidway] vlan 10 (批量添加vlan: vlan batch 10 20 30)[Quidway-vlan10] quit (一般缩写为:q)#设定端口模式,默认为trunk,需要将端口划入VLAN之前,先把端口类型转为access system-view [Quidway] int gigabitethernet 0/0/1[Quidway-GigabitEthernet0/0/1] port link-type access[Quidway-GigabitEthernet0/0/1] quit#将端口加入Vlan system-view[Quidway] vlan 10[Quidway-vlan131] port gigabitethernet 0/0/1 (连续多个端口,用 xx to xx, 如:port giga 0/0/5 to 0/0/10)[Quidway-Vlan131] quit
#设置Trunk system-view[Quidway] interface GigabitEthernet 0/0/23[Quidway-GigabitEthernet0/0/23] port link-type trunk
[Quidway-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 131 (多个VLAN列出)
#设置VLAN IP(管理IP) system-view[Quidway] interface vlanif 131[Quidway-Vlanif131] ip address 192.168.0.253 255.255.255.0 (缩写: ip add IP MASK)[Quidway-Vlanif131] shutdown[Quidway-Vlanif131] undo shutdown
1、如果配置VLAN的管理IP,在系统视图下,使用 undo int vlan 10 命令删除VLAN 10的3层虚拟接口,这样VLAN 10就被删除了,但是划入VLAN 10 的那些端口依然在VLAN 10中。这时还需要把那些端口恢复,让他们不属于任何VLAN system-view[Quidway] undo int vlanif 102、在系统视图下,使用 undo vlan 10 命令可以删除2层接口,这个命令可以释放那些原来划分为VLAN 10的端口,现在这些端口就属于默认的VLAN 1了。 system-view[Quidway] undo vlan 10[Quidway] display vlan
当然,要向VLAN添加端口,是可以直接在VLAN视图中添加的。需要注意的是:交换机上的某个端口被设置成access模式,且加入了一个VLAN, 要想将这个端口模式改为trunk,直接在接口视图中“port link-type trunk” 是不行的,会出现 Error: Please renew the default configurations. 这时需要先从VLAN中删除这个端口,也就是让这个接口恢复到默认的VLAN 1, 才能将这个端口设置为trunk。 system-view[Quidway] vlan 10[Quidway] undo port giga 0/0/1
system-view[Quidway] port-group 1 # 创建名为1的端口组[Quidway-port-group-1] group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20 # 添加端口到组
[Quidway-port-group-1] port link-type access # 设置端口类型[Quidway-port-group-1] port default vlan 10 # 把端口加入vlan
[Quidway] display cur | include group
对端口进行限速假设对交换机的第2个端口进行限速,让通过这个端口的下载速度不超过 128KB/SInbound: 入端口的流量限速Outbound: 出端口的流量限速 system-view[Quidway] int giga 0/0/2[Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800
[Quidway-GigabitEthernet0/0/2] undo qos lr outbound
配置基于地址池的DHCP服务器1、全局启用DHCP服务 system-view[Quidway] dhcp enable2、配置IP地址池 10 的属性(地址池范围、DNS地址、出口网关、租期)[Quidway] ip pool 10[Quidway] network 192.168.10.0 mask 255.255.255.0[Quidway] excluded-ip-address 192.168.10.250 192.168.10.254 (start_ip - end_ip)[Quidway] dns-list 202.103.24.68[Quidway] gateway-list 192.168.10.1[Quidway] lease day 10[Quidway] quit2、配置VLANIF 10 接口下的客户端从全局地址池中获取IP地址[Quidway] interface vlanif 10[Quidway-Vlanif10] ip add 192.168.10.1 255.255.255.0 (或者 ip add 192.168.10.1 24)[Quidway-Vlanif10] dhcp select global[Quidway-Vlanif10] quit
#设置默认路由 system-view[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.254
system-view[Quidway] undo http server enable[Quidway] undo dhcp enable
用户登录界面• CON 适用于从Console接口进行本地登录• VTY 适用于Telnet或SSH方式进行本地或远程登录用户级别用户分为多个级别,标识越高则优先级越高。如果不对用户进行优先级规划,默认用户登录级别为 0 - 3 级。用户所能访问命令的级别由用户的级别决定:• 如果对用户采用不验证或者password验证,登录到S5700的用户所能访问的命令级别由登录时的用户级别决定。• 如果对用户采用AAA验证,登录到S5700的用户所能访问的命令级别由AAA配置信息中本地用户的级别决定。登录用户划分为16级,与命令级别对应。不同级别的用户登录后,只能使用等于或低于自己级别的命令。用户所能访问的命令包括用户所在用户级别的命令以及低于此用户级别的命令。验证用户的方式:
system-view
[Quidway] user-interface [ui-type] first-ui-number [last-ui-number]
[Quidway] authentication-mode { aaa | password | none }super密码:华为super 命令设置的口令用于低级用户向高级别用户切换时进行验证,类似于Linux系统从普通用户切换到root用户时需要验证。用户共分为4级,分别是访问级(0)、监控级(1)、系统级(2)和管理级(3),当低级别的用户向高级别的用户身份切换时: super [level] , 此时只有验证通过后才能切换成功。可以通过super命令提升用户级别。配置实例:1、配置console口为密码验证方式 system-view[Quidway] user-interface console 0[Quidway-ui-console0] idle-timeout 0 0 ( idle-timeout minutes [seconds] )[Quidway-ui-console0] history-command max-size 100
[Quidway-ui-console0] user privilege level 3 # 设置此接口登录的用户级别
[Quidway-ui-console0] authentication-mode password [Quidway-ui-console0] set authentication password { cipher | simple } password
登录后,如果用户超过30分钟未对交换机进行操作,将断开与交换机的连接。
system-view[Quidway] user-interface maximum-vty 5 配置可以同时登录交换机的VTY最大个数[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4] user privilege level 2
[Quidway-ui-vty0-4] idle-timeout 30 (idle-timeout minutes [seconds])[Quidway-ui-vty0-4] quit
[Quidway] aaa[Quidway-aaa] local-user huawei password cipher huawei
[Quidway-aaa] local-user huawei service-type telnet[Quidway-aaa] local-user huawei privilege level 15[Quidway-aaa] quit
[Quidway] super password level 3 cipher huawei#保存配置 save
1、创建vlan system-view[Quidway] vlan 102、将端口划入vlan[Quidway-vlan10] port GigabitEthernet 0/0/1 to 0/0/4 (注意:划入的端口模式必须为access)[Quidway-vlan10] quit3、配置vlan的管理IP[Quidway] int vlanif 10[Quidway-Vlanif10] ip add 192.168.1.254 255.255.255.0[Quidway-Vlanif10] quit4、添加FTP用户[Quidway] aaa[Quidway-aaa] local-user huawei password cipher huawei privilege level 15[Quidway-aaa] local-user huawei service-type ftp # 配置用户为ftp登录[Quidway-aaa] local-user huawei ftp-directory flash:/ # 配置登录的FTP目录[Quidway-aaa] quit5、开启ftp服务
[Quidway] ftp timeout 30 # 单位 minutes
[Quidway] ftp server enable
[Quidway] display ftp-server6、可选:配置ACL基本访问控制列表
[Quidway] acl number 2001[Quidway-acl-basic-2001] rule permit source 192.168.1.10 0.0.0.0 [Quidway-acl-basic-2001] quit
[Quidway] ftp acl 20017、连接测试
C:Users�dmin> ftp 192.168.1.254Connected to 192.168.1.254220 FTP servece ready.User(192.168.1.254(none)):huawei331 Password required for huawei.Password:230 User logged in.ftp>
1、上传web文件
C:Users�dmin> ftp 192.168.1.254ftp> put xxx.web.zip 2、开启web服务 system-view[Quidway] http server load flash:/xxx.web.zip[Quidway] http server enable3、配置web用户[Quidway] aaa[Quidway-aaa] local-user webadmin password cipher webadmin[Quidway-aaa] local-user webadmin service-type http[Quidway-aaa] quit4、通过浏览器测试URL 地址: http://192.168.1.254
#相关查看命令[Quidway] display version 显示VRP版本号[Quidway] display current-configuration 显示系统运行配置信息[Quidway] display saved-configuration 显示保存的配置信息[Quidway] display interfaces brief 显示接口配置信息[Quidway] display history-command 显示历史命令记录
[Quidway] display xxx | { include | exclude | begin } strings
• /expr == begin• -expr == exclude• +expr == include [Quidway] display current-configuration | include ntp[Quidway] display current-configuration | include ip|user
