华为S5700三层交换机基本配置

经过Console口登陆交换机

    经过Console口登陆主要用于交换机第一次上电或者本地配置。或者没法经过远程访问时，可经过Console口登陆。

    在配置经过Console口配置交换机以前，须要完成如下任务：

• 准备好PC/终端（COM串口和RS-232电缆）

• PC已安装终端仿真程序（超级终端、SecureCRT、Xshell等）

    使用配置电缆将PC的COM口（若是没有COM口，可使用USB转RS-232链接）和交换机的Console口链接，而后把交换机上电。而后经过终端软件链接。

    这里我当时遇到的问题是：Port 应该选择COM* 呢？

这个端口号，咱们能够在设备管理器中查看，而且能够更改端口的编号。方法以下：

设备管理器 --- 端口（COM和LPT）--- 双击要修改的COM口（或者右键-属性）-- 端口设置 -- 高级 --端口号

OK， 登陆到交换机以后，就开始配置吧。如下配置中，绿色字体是须要自定义的。

# 设置设备的名称为GSH-FZ-Front
<Quidway> system-view
[Quidway] sysname GSH-FZ-Front

# 设置查看设备的时区,时间

# 设置当前时间：clock datetime HH:MM:SS YYYY-MM-DD

# 设置时区： clock timezone time-zone-name { add | minus } offset
<Quidway> clock timezone BJ add 8
<Quidway> clock datetime 18:20:30 2011-06-08
<Quidway> display clock

#设定NTP服务器，自动获取更新时间，假设NTP服务器为 202.120.2.101，202.112.10.36

<Quidway> system-view
[Quidway] ntp-service unicast-peer 202.120.2.101

[Quidway] ntp-service unicast-peer 202.112.10.36

# 配置S5700为内网的NTP服务器，内网的二层交换机指定这个S57为 NTP server 就行

<Quidway> system-view

[Quidway] ntp-service authentication enable
[Quidway] ntp-service sync-interval 180
[Quidway] ntp-service authentication-keyid 42 authentication-mode md5 cipher 123456
[Quidway] ntp-service reliable authentication-keyid 42

# 查看NTP状态

<Quidway> display clock

<Quidway> display ntp-service status

# 设置标题文本

<Quidway> system-view

# 设置登陆时的提示信息: header login { information text | file file-name }

[Quidway]  header login information #Welcome S5700#

# 设置登陆成功后的提示信息: header shell { information text | file file-name }

 [Quidway] header shell information #Welcome S5700#

#telnet远程登陆

# password { simple | cipher }

# 若是使用simple选项，密码将以明文形式保存在配置文件中。通常状况下，应使用cipher 选项将密码加密保存，同时使用

# cipher选项后，没法从系统中取回，请妥善保管密码。
<Quidway> system-view
[Quidway] aaa
[Quidway-aaa] local-user testadmin password cipher p@ssw0rd privilege level 15

[Quidway-aaa] local-user testadmin service-type telnet        (设置用户登陆方式为 telnet， 只能经过telnet方式登陆，还有这几种 ssh http web)  通常不配置它。

[Quidway-aaa] quit
[Quidway]user-interface vty 0 4
[Quidway-vty0-4]authentication-mode aaa        （设置认证方式为: aaa ）

#SSH远程登陆

需求：PC能经过SSH协议远程登陆交换机进行管理。

一、生成本地密钥对：

<Quidway> system-view
[Quidway] rsa local-key-pair create

The key name will be: Auotnavi-callcenter-01_Host

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

       It will take a few minutes.

Input the bits in the modulus[default = 512]:1024

Generating keys...

.++++++

............++++++

...............++++++++

.++++++++

二、配置VTY用户界面

<Quidway> system-view
[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4]  authentication-mode aaa

# 必须设置VTY用户验证方式为AAA，不然 protocol inbound ssh 命令没法成功

[Quidway-ui-vty0-4]  protocol inbound ssh

三、建立SSH用户及密码

[Quidway] aaa

[Quidway-aaa] local-user admin password cipher 123

[Quidway-aaa] local-user admin privilege level 15

[Quidway-aaa] local-user admin service-type ssh

四、使用Stelnet，并配置SSH用户的认证方式

[Quidway] stelnet server enable

[Quidway] ssh authentication-type default password

## 划分VLAN

#建立VLAN
<Quidway> system-view                    （通常缩写为：sys）

[Quidway] vlan 10                               (批量添加vlan:  vlan batch 10 20 30)
[Quidway-vlan10] quit                          （通常缩写为：q）

#设定端口模式，默认为trunk，须要将端口划入VLAN以前，先把端口类型转为access

<Quidway> system-view                    
[Quidway] int gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port link-type access

[Quidway-GigabitEthernet0/0/1] quit

#将端口加入Vlan
<Quidway> system-view
[Quidway] vlan 10
[Quidway-vlan131] port gigabitethernet 0/0/1 （连续多个端口，用 xx to xx， 如：port giga 0/0/5 to 0/0/10）
[Quidway-Vlan131] quit

#设置Trunk
<Quidway> system-view
[Quidway] interface GigabitEthernet 0/0/23
[Quidway-GigabitEthernet0/0/23] port link-type trunk
# 若是不设置下面这条配置，VLAN10 ， VLAN131都会处于DOWN的状态

[Quidway-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 131    (多个VLAN列出)

#设置VLAN IP(管理IP)
<Quidway> system-view
[Quidway] interface vlanif 131
[Quidway-Vlanif131] ip address 192.168.0.253 255.255.255.0  (缩写： ip add  IP  MASK)
[Quidway-Vlanif131] shutdown
[Quidway-Vlanif131] undo shutdown

# 删除VLAN

一、若是配置VLAN的管理IP，在系统视图下，使用 undo int vlan 10 命令删除VLAN 10的3层虚拟接口，这样VLAN 10就被删除了，可是划入VLAN 10 的那些端口依然在VLAN 10中。这时还须要把那些端口恢复，让他们不属于任何VLAN

<Quidway> system-view
[Quidway] undo int vlanif 10

二、在系统视图下，使用 undo vlan 10 命令能够删除2层接口，这个命令能够释放那些原来划分为VLAN 10的端口，如今这些端口就属于默认的VLAN 1了。

<Quidway> system-view
[Quidway] undo vlan 10

[Quidway] display vlan

固然，要向VLAN添加端口，是能够直接在VLAN视图中添加的。

须要注意的是：交换机上的某个端口被设置成access模式，且加入了一个VLAN， 要想将这个端口模式改成trunk，直接在接口视图中“port link-type trunk” 是不行的，会出现 Error: Please renew the default configurations. 这时须要先从VLAN中删除这个端口，也就是让这个接口恢复到默认的VLAN 1， 才能将这个端口设置为trunk。

<Quidway> system-view
[Quidway] vlan 10

[Quidway] undo port giga 0/0/1

# 配置端口组

# S5700有48个端口，若是要配置VLAN，须要为每一个端口先配置port link-type access，才能加入到VLAN，这岂不是很郁闷？

# 因而乎，端口组的出现了，把一些端口添加到一个组里，而后对这个组进行配置，这样就能批量配置

<Quidway> system-view
[Quidway] port-group 1      # 建立名为1的端口组

[Quidway-port-group-1] group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20   # 添加端口到组

# 而后就能够批量设置端口了

[Quidway-port-group-1] port link-type access            # 设置端口类型

[Quidway-port-group-1] port default vlan 10             # 把端口加入vlan

# 查看组配置

[Quidway] display cur | include group

对端口进行限速

    假设对交换机的第2个端口进行限速，让经过这个端口的下载速度不超过 128KB/S

Inbound:     入端口的流量限速

Outbound:   出端口的流量限速

<Quidway> system-view

[Quidway] int giga 0/0/2

[Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800 

# 默认单位：KB， 1024表示1M的带宽，理论下载速度就是 128KB/S， cbs表明突发信息速率，cir表示承诺信息速率

# 取消限速

[Quidway-GigabitEthernet0/0/2] undo qos lr outbound 

配置基于地址池的DHCP服务器

一、全局启用DHCP服务

<Quidway> system-view

[Quidway] dhcp enable

二、配置IP地址池 10 的属性（地址池范围、DNS地址、出口网关、租期）

[Quidway] ip pool 10

[Quidway] network 192.168.10.0 mask 255.255.255.0

[Quidway] excluded-ip-address 192.168.10.250 192.168.10.254  （start_ip - end_ip）

[Quidway] dns-list 202.103.24.68

[Quidway] gateway-list 192.168.10.1

[Quidway] lease day 10

[Quidway] quit

二、配置VLANIF 10 接口下的客户端从全局地址池中获取IP地址

[Quidway] interface vlanif 10

[Quidway-Vlanif10] ip add 192.168.10.1 255.255.255.0    (或者 ip add 192.168.10.1  24)

[Quidway-Vlanif10] dhcp select global

[Quidway-Vlanif10] quit

#设置默认路由
<Quidway> system-view
[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.254

# 关闭WEB Server,dhcp
<Quidway> system-view
[Quidway] undo http server enable
[Quidway] undo dhcp enable

# 用户管理

用户登陆界面

• CON     适用于从Console接口进行本地登陆

• VTY      适用于Telnet或SSH方式进行本地或远程登陆

用户级别

    用户分为多个级别，标识越高则优先级越高。若是不对用户进行优先级规划，默认用户登陆级别为 0 - 3 级。

用户所能访问命令的级别由用户的级别决定：

• 若是对用户采用不验证或者password验证，登陆到S5700的用户所能访问的命令级别由登陆时的用户级别决定。

• 若是对用户采用AAA验证，登陆到S5700的用户所能访问的命令级别由AAA配置信息中本地用户的级别决定。

登陆用户划分为16级，与命令级别对应。不一样级别的用户登陆后，只能使用等于或低于本身级别的命令。用户所能访问的命令包括用户所在用户级别的命令以及低于此用户级别的命令。

验证用户的方式：

    系统提供AAA本地验证、密码验证和不验证三种方式。 如何配置启用哪一种验证方式呢？

<Quidway> system-view

# user-interface 配置用户接口
[Quidway] user-interface [ui-type] first-ui-number [last-ui-number]

# 配置启用用户验证方式

[Quidway] authentication-mode { aaa | password | none }

super密码：

    华为super 命令设置的口令用于低级用户向高级别用户切换时进行验证，相似于Linux系统从普通用户切换到root用户时须要验证。用户共分为4级，分别是访问级（0）、监控级（1）、系统级（2）和管理级（3），当低级别的用户向高级别的用户身份切换时： super [level] , 此时只有验证经过后才能切换成功。能够经过super命令提高用户级别。

配置实例：

    一、配置console口为密码验证方式

<Quidway> system-view
[Quidway] user-interface console 0

[Quidway-ui-console0] idle-timeout 0 0   ( idle-timeout minutes [seconds] )

[Quidway-ui-console0] history-command max-size 100

# 配置用户级别

[Quidway-ui-console0] user privilege level 3        # 设置此接口登陆的用户级别

# 配置验证方式  password

[Quidway-ui-console0] authentication-mode  password 

[Quidway-ui-console0] set authentication password { cipher | simple } password

    二、配置VTY虚拟接口使用3a认证

    配置VTY 0-4， 优先级为2， 对从VTY 0-4登陆的用户进行AAA验证，用户登陆时须要输入用户名： huawei, 密码：huawei

登陆后，若是用户超过30分钟未对交换机进行操做，将断开与交换机的链接。

# 第一步：配置接口的验证方式

<Quidway> system-view

[Quidway] user-interface maximum-vty 5    配置能够同时登陆交换机的VTY最大个数

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode aaa

[Quidway-ui-vty0-4] user privilege level 2

# 这里的用户级别设置为2 ， 可是采用AAA验证，那么级别由AAA中的本地用户级别决定。 若是采用password或者不验证，那么今后接口登陆的用户就是 level 2 级别的。

[Quidway-ui-vty0-4] idle-timeout 30    （idle-timeout minutes [seconds]）

[Quidway-ui-vty0-4] quit

# 第二步：配置AAA用户，密码以及权限

[Quidway] aaa

[Quidway-aaa] local-user huawei password cipher huawei 

# 下面service-type通常不用配置, 将容许全部类型

[Quidway-aaa] local-user huawei service-type telnet

[Quidway-aaa] local-user huawei privilege level 15

[Quidway-aaa] quit

# 第三步：配置supper密码

[Quidway] super password level 3 cipher huawei

#保存配置
<Quidway> save

# 配置FTP

一、建立vlan

<Quidway> system-view

[Quidway] vlan 10

二、将端口划入vlan

[Quidway-vlan10] port GigabitEthernet 0/0/1 to 0/0/4            (注意：划入的端口模式必须为access)

[Quidway-vlan10] quit

三、配置vlan的管理IP

[Quidway] int vlanif 10

[Quidway-Vlanif10] ip add 192.168.1.254 255.255.255.0

[Quidway-Vlanif10] quit

四、添加FTP用户

[Quidway] aaa

[Quidway-aaa] local-user huawei password cipher huawei privilege level 15

[Quidway-aaa] local-user huawei service-type ftp                # 配置用户为ftp登陆

[Quidway-aaa] local-user huawei ftp-directory flash:/          # 配置登陆的FTP目录

[Quidway-aaa] quit

五、开启ftp服务

# 配置ftp服务器超时断开的时间

[Quidway] ftp timeout 30        # 单位 minutes

# 默认状况下，交换机是没有开启ftp服务的，须要手动打开

[Quidway] ftp server enable

# 使用display ftp-server 命令查看ftp服务器的配置和状态信息

[Quidway] display ftp-server

六、可选：配置ACL基本访问控制列表

# 配置ACL规则

[Quidway] acl number 2001

[Quidway-acl-basic-2001] rule permit source 192.168.1.10 0.0.0.0 

[Quidway-acl-basic-2001] quit

# 把acl规则应用到ftp

[Quidway] ftp acl 2001

七、链接测试

# 打开命令提示符，或者其余ftp工具

C:\Users\admin> ftp 192.168.1.254

Connected to 192.168.1.254

220 FTP servece ready.

User(192.168.1.254(none)):huawei

331 Password required for huawei.

Password:

230 User logged in.

ftp> 

# 配置WEB

一、上传web文件

# 注意：要开启web服务，须要先上传web管理文件(xxx.web.zip) 到交换机的根目录下

# 能够经过ftp上传

C:\Users\admin> ftp 192.168.1.254

ftp> put xxx.web.zip 

二、开启web服务

<Quidway> system-view

[Quidway] http server load flash:/xxx.web.zip

[Quidway] http server enable

三、配置web用户

[Quidway] aaa

[Quidway-aaa] local-user webadmin password cipher webadmin

[Quidway-aaa] local-user webadmin service-type http

[Quidway-aaa] quit

四、经过浏览器测试

URL 地址： http://192.168.1.254

#相关查看命令
[Quidway] display version 显示VRP版本号
[Quidway] display current-configuration 显示系统运行配置信息
[Quidway] display saved-configuration   显示保存的配置信息
[Quidway] display interfaces brief 显示接口配置信息

[Quidway] display history-command    显示历史命令记录

# 管道过滤

[Quidway] display xxx | { include | exclude | begin }  strings   

# 当出现 -- More -- 时，一样支持

• /expr        == begin

• -expr        == exclude

• +expr       == include 

[Quidway] display current-configuration | include ntp

[Quidway] display current-configuration | include ip|user

# 注意第一个 | 是管道, 那么以后的 | 都不认为是管道，而是正则表达式的运算符

# 命令是不区分大小写的，可是 strings 是区分的。