华为交换机初始化常用命令有哪些？

华为交换机初始化是网络部署中的关键环节,正确的配置流程能够确保设备安全、稳定运行并满足业务需求，初始化过程通常包括设备物理连接、基础配置、安全加固、网络参数优化等步骤，需严格按照操作规范执行，避免因配置错误导致网络故障。

物理连接与设备启动

初始化前需完成物理连接：使用Console线连接交换机的Console口和计算机的串口（或通过USB转串口适配器），终端软件（如SecureCRT、PuTTY）配置参数为波特率9600、数据位8、停止位1、无校验、无流控，连接电源后，交换机启动时会自动加载系统软件，首次启动可能需要几分钟，期间观察指示灯状态，若“SYS”灯常亮表示系统正常，“MODE”灯闪烁表示进入启动模式。

基础配置命令

设备启动后,通过Console登录默认配置（通常无需用户名密码，或为admin/admin），进入系统视图后开始基础配置：

1. 设备基本信息配置
   配置设备名称、系统时间等基本信息，便于管理和日志追溯：

   system-view                           # 进入系统视图
   sysname Switch-1                      # 设置设备名称为Switch-1
   clock timezone GMT+08:00              # 设置时区为东八区
   clock datetime 2023-10-01 12:00:00    # 设置系统时间

2. 管理IP配置
   为交换机配置管理IP地址，支持Telnet/SSH远程登录：

   interface vlanif1                     # 进入VLANIF1接口（默认管理VLAN）
   ip address 192.168.1.1 24             # 配置管理IP及子网掩码
   quit
   user-interface vty 0 4                # 进入虚拟终端视图
   authentication-mode password          # 设置密码认证
   set authentication password cipher Admin@123  # 设置登录密码
   protocol inbound ssh                  # 启用SSH协议（默认支持Telnet）

安全加固配置

为防止未授权访问和攻击,需进行安全策略配置：

1. 用户权限控制
   创建不同级别的用户并分配权限：

   local-user admin privilege level 15  # 创建admin用户，权限级别15（最高）
   local-user admin service-type terminal ssh  # 设置服务类型为SSH
   local-user admin password cipher Admin@123  # 设置密码
   quit

2. 防攻击策略
   配置防ARP欺骗、IP扫描等攻击：

   arp anti-attack check user-bind enable  # 启用ARP攻击检测
   ip source-guard policy default          # 应用IP源防护策略
   dhcp snooping                          # 启用DHCP Snooping（防止恶意DHCP服务器）

3. 端口安全
   限制端口最大MAC地址数量，防止MAC地址泛洪攻击：

   interface GigabitEthernet 0/0/1        # 进入指定接口
   port-security max-mac-num 1           # 限制端口MAC地址数为1
   port-security mac-address sticky      # 绑定MAC地址

VLAN与接口配置

根据网络拓扑划分VLAN并配置接口：

1. VLAN创建与分配

   vlan 10                               # 创建VLAN 10
   quit
   vlan 20                               # 创建VLAN 20
   quit
   interface GigabitEthernet 0/0/1        # 进入接口
   port link-type access                 # 设置接口为接入型
   port default vlan 10                  # 将接口加入VLAN 10
   quit
   interface range GigabitEthernet 0/0/2 to 0/0/4  # 批量配置接口
   port link-type trunk                  # 设置接口为Trunk型
   port trunk allow-pass vlan 10 20      # 允许VLAN 10和20通过

2. 链路聚合配置
   提高链路带宽和可靠性：

   interface Bridge-Aggregation 1        # 创建聚合接口
   mode lacp-static                      # 设置LACP静态聚合
   interface GigabitEthernet 0/0/5       # 加入成员接口
   eth-trunk 1
   interface GigabitEthernet 0/0/6
   eth-trunk 1

路由与DHCP配置

若交换机需作为三层网关,需配置路由和DHCP服务：

1. 静态路由配置

   ip route-static 0.0.0.0 0.0.0.0 192.168.1.254  # 配置默认路由

2. DHCP服务配置

   dhcp select interface                  # 在接口上启用DHCP
   interface vlanif10
   dhcp server excluded-address 192.168.10.1  # 排除静态IP
   dhcp server lease day 7               # 设置租期为7天

保存与验证配置

配置完成后需保存并验证：

save                                   # 保存配置到下次启动
display current-configuration          # 查看当前配置
display interface brief               # 查看接口状态
display vlan                           # 查看VLAN配置

配置优化建议

1. 日志与监控
   配置日志服务器，记录设备运行日志：

   info-center loghost 192.168.1.100 transport udp 514  # 设置日志服务器
   info-center source default channel 0 log level debugging  # 设置日志级别

2. SNMP配置
   启用SNMP协议，便于网络监控：

   snmp-agent sys-info version v2c      # 启用SNMPv2c
   snmp-agent community read cipher Public@123  # 设置只读社区字符串

相关问答FAQs

Q1: 初始化时忘记保存配置，下次启动后如何恢复？
A1: 若未保存配置，交换机重启后将恢复到上次启动的配置文件，可通过以下步骤恢复：
① 使用Console线登录设备；② 执行reset saved-configuration清除当前配置（谨慎操作）；③ 重新加载配置文件（若存在备份），可通过ftp server或tftp上传备份配置文件并执行startup saved-configuration加载。

Q2: 交换机初始化后无法通过SSH登录，如何排查？
A2: 可按以下步骤排查：
① 检查管理IP地址是否配置正确，display ip interface brief查看接口IP状态；② 确认SSH服务是否启用，display ssh server status查看服务状态；③ 检查防火墙是否放行SSH端口（默认22），display acl查看ACL规则；④ 验证用户权限和服务类型，display local-user查看用户配置，若问题仍存在，尝试重启SSH服务undo ssh server后重新配置ssh server enable。