华为交换机进阶功能和场景化配置
一、VLAN高级配置
基于MAC地址划分VLAN
适合移动终端(如笔记本),根据设备MAC自动分配VLAN:[SW1] vlan 30 # 创建VLAN 30 [SW1] mac-vlan mac-address 00e0-fc12-3456 vlan 30 # 将指定MAC绑定到VLAN 30 [SW1] interface GigabitEthernet 0/0/5 [SW1-GigabitEthernet0/0/5] port link-type hybrid # 接口类型设为hybrid [SW1-GigabitEthernet0/0/5] port hybrid untagged vlan 30 # VLAN 30数据不打标签 [SW1-GigabitEthernet0/0/5] mac-vlan enable # 启用MAC-VLAN功能VLAN间通信(单臂路由)
通过路由器子接口实现不同VLAN互通:- 交换机配置:
[SW1] interface GigabitEthernet 0/0/24 [SW1-GigabitEthernet0/0/24] port link-type trunk [SW1-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 # 允许VLAN 10/20通过 - 路由器子接口配置(配合):
[Router] interface GigabitEthernet 0/0/0.1 # 创建子接口 [Router-GigabitEthernet0/0/0.1] vlan-type dot1q 10 # 封装VLAN 10 [Router-GigabitEthernet0/0/0.1] ip address 192.168.10.1 24 [Router] interface GigabitEthernet 0/0/0.2 [Router-GigabitEthernet0/0/0.2] vlan-type dot1q 20 # 封装VLAN 20 [Router-GigabitEthernet0/0/0.2] ip address 192.168.20.1 24
- 交换机配置:
二、链路聚合(Eth-Trunk)
将多个物理接口捆绑为逻辑接口,提高带宽和冗余:
- 创建Eth-Trunk接口:
[SW1] interface Eth-Trunk 1 # 创建Eth-Trunk 1 [SW1-Eth-Trunk1] mode manual load-balance # 手动负载均衡模式(默认) # 或使用LACP模式(动态协商):mode lacp-static - 加入物理接口:
[SW1-Eth-Trunk1] trunkport GigabitEthernet 0/0/23 to 0/0/24 # 批量加入接口23-24 - 配置Trunk属性(若用于交换机互联):
[SW1-Eth-Trunk1] port link-type trunk [SW1-Eth-Trunk1] port trunk allow-pass vlan all
三、生成树协议(STP/RSTP/MSTP)
防止环路并实现链路冗余:
- 启用RSTP(快速生成树):
[SW1] stp mode rstp # 全局设置为RSTP模式(默认是STP) [SW1] stp enable # 启用生成树(全局生效) - 指定根桥和备份根桥:
# 核心交换机配置为根桥(优先级值越小越优先,默认32768) [SW1] stp priority 4096 # 备份交换机配置 [SW2] stp priority 8192 - 边缘端口配置(连接终端的接口,加速收敛):
[SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] stp edged-port enable
四、DHCP配置
交换机作为DHCP服务器为终端分配IP:
- 全局启用DHCP:
[SW1] dhcp enable - 创建地址池并关联VLAN:
[SW1] ip pool vlan10 # 创建地址池名称vlan10 [SW1-ip-pool-vlan10] network 192.168.10.0 mask 255.255.255.0 # 分配网段 [SW1-ip-pool-vlan10] gateway-list 192.168.10.254 # 网关(通常是VLANIF接口IP) [SW1-ip-pool-vlan10] dns-list 114.114.114.114 8.8.8.8 # DNS服务器 [SW1-ip-pool-vlan10] lease day 1 # 租期1天 # 在VLANIF接口启用DHCP服务 [SW1] interface Vlanif 10 [SW1-Vlanif10] ip address 192.168.10.254 24 [SW1-Vlanif10] dhcp select global # 关联全局地址池
五、安全配置
端口安全(限制MAC地址)
防止未授权设备接入:[SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] port-security enable # 启用端口安全 [SW1-GigabitEthernet0/0/1] port-security max-mac-num 2 # 最多允许2个MAC地址 [SW1-GigabitEthernet0/0/1] port-security mac-address sticky # 自动学习并绑定MAC # 违规处理:port-security protect-action shutdown(触发后关闭接口)ACL访问控制列表
限制特定IP通信:# 创建ACL,禁止192.168.10.10访问192.168.20.0/24 [SW1] acl 3000 [SW1-acl-adv-3000] rule deny ip source 192.168.10.10 0 destination 192.168.20.0 0.0.0.255 [SW1-acl-adv-3000] quit # 在接口应用ACL(入方向) [SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
六、远程管理配置(SSH)
相比Telnet更安全的远程登录方式:
- 生成密钥对:
[SW1] ssh user admin # 创建SSH用户admin [SW1] ssh user admin authentication-type password # 认证方式为密码 [SW1] ssh user admin service-type stelnet # 服务类型为stelnet [SW1] set authentication password cipher ssh123 # 设置密码 - 启用SSH服务:
[SW1] stelnet server enable # 启用stelnet服务 [SW1] user-interface vty 0 14 # 允许15个SSH连接 [SW1-ui-vty0-14] authentication-mode aaa # 关联AAA认证 [SW1-ui-vty0-14] protocol inbound ssh # 仅允许SSH登录
七、常用排障命令
- 查看MAC地址表:
[SW1] display mac-address # 所有MAC表项 [SW1] display mac-address interface GigabitEthernet 0/0/1 # 指定接口的MAC - 查看STP状态:
[SW1] display stp brief # 生成树摘要(根桥、端口角色等) - 查看DHCP分配情况:
[SW1] display ip pool used # 已分配的IP地址 - ping和traceroute:
<SW1> ping 192.168.10.1 # 测试连通性 <SW1> tracert 192.168.20.1 # 追踪路由