实战手记:华为S5720交换机从零到业务就绪的配置全流程
1. 开箱与初始化配置
第一次拿到华为S5720交换机时,我习惯先检查设备外观和配件。打开包装箱后,除了主机外,通常会附带电源线、Console线、挂耳和说明书。建议先确认设备型号是否正确(设备前面板有明确标注),然后找到Console口准备初始化配置。
连接Console线需要特别注意:华为交换机的Console口是RJ45接口,需要使用USB转Console线或者串口转Console线。我习惯用SecureCRT这类终端工具,波特率设置为9600,数据位8,无校验,停止位1,无流控。连接成功后通电,你会看到设备启动日志,按任意键进入初始配置界面。
如果是全新设备,首次登录不需要密码。但如果是二手设备,可能需要重置密码。重置方法很简单:重启设备时按Ctrl+B进入BootROM菜单,选择"Clear Console password"即可。这个操作不会影响其他配置,可以放心使用。
2. 基础系统配置
2.1 设备命名与系统信息
给交换机起个有意义的名字很重要,特别是在有多台设备的网络中。我通常使用位置+型号的命名方式,比如"3F-S5720-01"。配置命令很简单:
<HUAWEI> system-view [HUAWEI] sysname 3F-S5720-01设置时区对日志排查很有帮助:
[3F-S5720-01] clock timezone CST add 08:00:00建议再配置NTP服务,确保所有设备时间同步:
[3F-S5720-01] ntp-service unicast-server 192.168.1.12.2 AAA认证体系搭建
AAA认证是设备安全的基础,我建议所有登录方式都采用AAA认证。先创建一个管理员账号:
[3F-S5720-01] aaa [3F-S5720-01-aaa] local-user admin user-type netmanager [3F-S5720-01-aaa] local-user admin password cipher Admin@123 [3F-S5720-01-aaa] local-user admin privilege level 15 [3F-S5720-01-aaa] local-user admin service-type terminal ssh telnet http这里有几个注意点:
- 密码建议使用cipher类型加密
- privilege level 15是最高权限
- service-type要包含实际使用的登录方式
3. 网络基础配置
3.1 VLAN规划与配置
中小企业通常需要划分多个VLAN。假设我们有以下需求:
- VLAN 10:管理VLAN
- VLAN 20:办公网络
- VLAN 30:访客网络
- VLAN 40:监控网络
配置命令如下:
[3F-S5720-01] vlan batch 10 20 30 40 [3F-S5720-01] vlan 10 [3F-S5720-01-vlan10] description Management [3F-S5720-01-vlan10] quit给管理VLAN配置IP地址:
[3F-S5720-01] interface Vlanif 10 [3F-S5720-01-Vlanif10] ip address 192.168.10.1 24 [3F-S5720-01-Vlanif10] quit3.2 端口类型配置
华为交换机的端口有三种模式:
- access:接入终端设备
- trunk:连接其他交换机
- hybrid:特殊场景使用
配置trunk端口(连接上层交换机):
[3F-S5720-01] interface GigabitEthernet 0/0/24 [3F-S5720-01-GigabitEthernet0/0/24] port link-type trunk [3F-S5720-01-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 30 40配置access端口(连接电脑):
[3F-S5720-01] interface GigabitEthernet 0/0/1 [3F-S5720-01-GigabitEthernet0/0/1] port link-type access [3F-S5720-01-GigabitEthernet0/0/1] port default vlan 20批量配置端口的小技巧:
[3F-S5720-01] port-group 1 [3F-S5720-01-port-group-1] group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/20 [3F-S5720-01-port-group-1] port link-type access [3F-S5720-01-port-group-1] port default vlan 204. 远程管理配置
4.1 SSH安全登录
Telnet不够安全,建议启用SSH:
[3F-S5720-01] rsa local-key-pair create [3F-S5720-01] stelnet server enable [3F-S5720-01] ssh user admin authentication-type password [3F-S5720-01] ssh user admin service-type stelnet4.2 ACL访问控制
限制只有特定IP可以管理设备:
[3F-S5720-01] acl 2000 [3F-S5720-01-acl-basic-2000] rule permit source 192.168.10.100 0 [3F-S5720-01-acl-basic-2000] rule deny source any [3F-S5720-01-acl-basic-2000] quit应用ACL到VTY接口:
[3F-S5720-01] user-interface vty 0 4 [3F-S5720-01-ui-vty0-4] acl 2000 inbound [3F-S5720-01-ui-vty0-4] authentication-mode aaa [3F-S5720-01-ui-vty0-4] protocol inbound ssh5. 业务功能配置
5.1 DHCP服务配置
为办公网络提供DHCP服务:
[3F-S5720-01] dhcp enable [3F-S5720-01] interface Vlanif 20 [3F-S5720-01-Vlanif20] dhcp select interface [3F-S5720-01-Vlanif20] dhcp server dns-list 114.114.114.114 [3F-S5720-01-Vlanif20] dhcp server excluded-ip-address 192.168.20.1 192.168.20.105.2 端口安全配置
防止非法设备接入:
[3F-S5720-01] interface GigabitEthernet 0/0/1 [3F-S5720-01-GigabitEthernet0/0/1] port-security enable [3F-S5720-01-GigabitEthernet0/0/1] port-security max-mac-num 1 [3F-S5720-01-GigabitEthernet0/0/1] port-security protect-action restrict5.3 链路聚合配置
如果需要增加带宽和冗余,可以配置链路聚合:
[3F-S5720-01] interface Eth-Trunk 1 [3F-S5720-01-Eth-Trunk1] port link-type trunk [3F-S5720-01-Eth-Trunk1] port trunk allow-pass vlan all [3F-S5720-01-Eth-Trunk1] quit [3F-S5720-01] interface GigabitEthernet 0/0/23 [3F-S5720-01-GigabitEthernet0/0/23] eth-trunk 1 [3F-S5720-01] interface GigabitEthernet 0/0/24 [3F-S5720-01-GigabitEthernet0/0/24] eth-trunk 16. 系统维护与优化
6.1 配置文件管理
保存当前配置:
<3F-S5720-01> save备份配置到TFTP服务器:
<3F-S5720-01> tftp 192.168.10.100 put vrpcfg.zip backup.zip6.2 日志配置
配置日志服务器:
[3F-S5720-01] info-center enable [3F-S5720-01] info-center loghost 192.168.10.1006.3 系统升级
查看当前版本:
<3F-S5720-01> display version升级系统:
<3F-S5720-01> tftp 192.168.10.100 get S5720-V200R019C10.cc <3F-S5720-01> startup system-software S5720-V200R019C10.cc <3F-S5720-01> reboot7. 常见问题排查
7.1 端口状态检查
查看所有端口状态:
<3F-S5720-01> display interface brief查看特定端口详细信息:
<3F-S5720-01> display interface GigabitEthernet 0/0/17.2 VLAN检查
查看VLAN信息:
<3F-S5720-01> display vlan查看端口所属VLAN:
<3F-S5720-01> display port vlan GigabitEthernet 0/0/17.3 路由检查
查看路由表:
<3F-S5720-01> display ip routing-table添加默认路由:
[3F-S5720-01] ip route-static 0.0.0.0 0 192.168.10.254在实际项目中,我遇到过不少配置问题。比如有一次trunk端口配置后VLAN不通,最后发现是两端交换机允许通过的VLAN列表不一致。还有一次SSH无法登录,检查发现是ACL规则配置错误。这些经验告诉我,配置完成后一定要做全面测试。