华为S3700系列交换机作为企业级接入层设备,广泛应用于园区网络的接入汇聚场景,其配置命令涉及基础参数、VLAN划分、接口管理、安全策略等多个维度,以下从实际应用出发,详细列举核心配置命令及操作逻辑,并结合表格形式清晰呈现关键参数设置。
(图片来源网络,侵删)
基础系统配置
首次配置交换机时,需先完成设备基本信息设置,包括设备名称、管理IP、登录权限等基础操作,确保后续管理通道畅通。
- 设备命名与权限:
进入系统视图后,通过system-view命令进入全局配置模式,使用sysname设置设备名称,例如sysname Switch-Core;为管理用户配置登录权限,aaa模式下创建本地用户,local-user admin password cipher Huawei@123设置密码,local-user admin privilege level 15赋予最高权限(15级),local-user admin service-type telnet ssh开启远程登录协议。 - 管理IP配置:
在VLAN接口视图下配置管理IP,interface Vlanif1进入VLAN1接口(默认管理VLAN),ip address 192.168.1.254 24设置IP地址及子网掩码,undo shutdown激活接口,若需启用SSH管理,需先生成RSA密钥public-key local create rsa,并设置SSH服务ssh server enable。
| 命令行 | 功能说明 |
|---|---|
system-view | 进入系统视图 |
sysname <名称> | 设置设备名称 |
aaa | 进入AAA视图 |
local-user <用户名> password cipher <密码> | 创建本地用户并设置加密密码 |
local-user <用户名> privilege level <级别> | 设置用户权限级别(0-15) |
interface Vlanif <编号> | 进入VLAN接口视图 |
ip address <IP> <掩码> | 配置接口IP地址 |
VLAN与端口配置
VLAN是实现网络隔离的核心技术,S3700支持基于端口、MAC地址等多种VLAN划分方式,常见场景为接入端口划分到不同VLAN。
- VLAN创建与分配:
创建VLAN:vlan 10进入VLAN 10视图,description Sales-Dept添加VLAN描述(可选);将端口划入VLAN,进入接口视图interface GigabitEthernet 0/0/1,port link-type access设置为接入端口(仅属于单一VLAN),port default vlan 10将端口加入VLAN 10,若为汇聚端口(连接上层交换机),需配置port link-type trunk,port trunk allow-pass vlan 10 20允许指定VLAN通过,并可设置port trunk pvid vlan 10修改默认VLAN。 - 端口速率与双工模式:
针对接入终端,可手动配置端口速率以匹配设备能力,interface GigabitEthernet 0/0/1,speed 100设置速率为100Mbps,duplex full设置全双工模式;若启用自动协商,使用speed auto和duplex auto。
| 命令行 | 功能说明 |
|---|---|
vlan <VLAN_ID> | 创建VLAN并进入VLAN视图 |
port link-type {access|trunk|hybrid} | 设置端口类型 |
port default vlan <VLAN_ID> | 将接入端口划入指定VLAN |
port trunk allow-pass vlan <VLAN_ID列表> | 设置Trunk端口允许通过的VLAN |
speed {10|100|1000|auto} | 设置端口速率 |
duplex {half|full|auto} | 设置端口双工模式 |
安全与访问控制
为防止未授权访问和网络攻击,需配置端口安全、MAC地址限制及ACL访问控制策略。
- 端口安全:
绑定终端MAC地址限制接入数量,interface GigabitEthernet 0/0/1,port-security enable开启端口安全功能,port-security max-mac-num 1设置最大MAC地址数为1(仅允许一台终端接入),port-security mac-address sticky配置MAC地址粘滞(自动学习并绑定MAC),若检测到非法MAC,可设置port-security violation restrict(丢弃非法报文并告警)或shutdown(关闭端口)。 - ACL与流量控制:
创建ACL规则限制特定流量,acl number 3000进入高级ACL视图,rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255禁止VLAN 10访问VLAN 20;将ACL应用至接口,interface GigabitEthernet 0/0/1,traffic-filter inbound acl 3000对入方向流量进行过滤。
| 命令行 | 功能说明 |
|---|---|
port-security enable | 开启端口安全功能 |
port-security max-mac-num <数量> | 设置端口最大MAC地址数 |
port-security violation {restrict|shutdown|} | 设置违规处理动作 |
acl number <ACL编号> | 创建ACL(基本ACL 2000-2999,高级ACL 3000-3999) |
rule {deny|permit} <协议> <源地址> <目的地址> | 配置ACL规则 |
traffic-filter {inbound|outbound} acl <ACL编号> | 在接口应用ACL |
路由与网络互通
若S3700作为三层交换机,需启用路由功能并配置静态路由或动态路由协议实现跨网段互通。
(图片来源网络,侵删)
- 接口与路由配置:
开启IP路由功能:ip routing(部分型号默认开启);配置静态路由,ip route-static 192.168.30.0 24 192.168.1.1添加目标网段192.168.30.0/24,下一跳地址192.168.1.1;若启用OSPF,ospf 1进入OSPF视图,area 0进入区域0,network 192.168.1.0 0.0.0.255 area 0宣告直连网段。
| 命令行 | 功能说明 |
|---|---|
ip routing | 开启IP路由功能 |
ip route-static <目标网段> <掩码> <下一跳> | 配置静态路由 |
ospf <进程号> | 启动OSPF协议 |
network <网段> <反掩码> area <区域号> | 宣告OSPF网段 |
其他常用配置
- DHCP服务:为终端自动分配IP地址,
dhcp select interface在接口视图下启用接口DHCP服务,dhcp server excluded-address 192.168.1.1 192.168.1.10排除静态IP地址,dhcp server gateway-address 192.168.1.254设置网关,dhcp server dns-server 8.8.8.8设置DNS。 - 链路聚合:增加带宽并提高可靠性,
interface Bridge-Aggregation 1进入聚合接口视图,port link-type trunk设置类型为Trunk,port trunk allow-pass vlan 10 20允许VLAN通过;将物理端口加入聚合组,interface GigabitEthernet 0/0/1,eth-trunk 1将端口加入聚合组1,重复操作添加其他端口(需保证速率、双工模式一致)。
FAQs
Q1:华为S3700交换机如何恢复出厂设置?
A:恢复出厂设置有两种方式:
- 命令行操作:进入用户视图,执行
reset saved-configuration清除配置文件,然后reboot重启设备; - 按键操作:在设备启动过程中,按“Ctrl+B”进入BootROM菜单,选择“Restore factory settings”执行恢复。
Q2:如何查看S3700交换机的VLAN配置信息?
A:可通过以下命令查看VLAN详情:
display vlan:查看所有VLAN的基本信息(VLAN ID、端口类型、描述等);display vlan <VLAN_ID>:查看指定VLAN的详细配置,包括包含的端口列表;display port vlan:查看所有端口的VLAN成员关系。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/452349.html<
