华为交换机的基本配置是企业网络建设中的核心环节,尤其在双核心架构中,合理的配置能够确保网络的稳定性、扩展性和安全性,本文将从基础配置步骤、双核心交换机的高可用性设计、VLAN划分与路由实现以及安全策略配置等方面,详细阐述华为交换机的配置要点。
基础配置步骤
华为交换机的基础配置是网络搭建的起点,主要包括设备初始化、管理IP配置、登录方式设置等内容。
设备初始化
首次启动交换机时,需进入系统视图进行初始化配置,通过Console线连接交换机,使用超级终端或SecureCRT等工具登录默认界面(通常为用户视图),进入系统视图的命令为system-view,随后可以配置设备名称,便于管理。
[Huawei] sysname Core-Switch1该命令将交换机名称设置为“Core-Switch1”,同理可配置另一台核心交换机为“Core-Switch2”。
管理IP配置
为交换机配置管理IP地址,便于远程登录和管理,通常采用VLANIF接口作为管理平面,例如创建VLAN 100作为管理VLAN,并为其配置IP地址:
[Huawei] vlan 100
[Huawei-vlan100] quit
[Huawei] interface vlanif 100
[Huawei-Vlanif100] ip address 192.168.100.1 24
[Huawei-Vlanif100] quit另一台核心交换机的管理IP可配置为168.100.2/24,确保在同一网段内。
登录方式设置
为提高管理安全性,建议配置SSH登录并禁用Telnet,首先生成RSA密钥对:
[Huawei] rsa local-key-create然后创建AAA认证方案和用户:
[Huawei] aaa
[Huawei-aaa] local-user admin password cipher Admin@123
[Huawei-aaa] local-user admin privilege level 15
[Huawei-aaa] local-user admin service-type ssh
[Huawei-aaa] quit最后在VTY用户界面下启用SSH并禁用Telnet:
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh
[Huawei-ui-vty0-4] quit双核心交换机的高可用性设计
双核心交换机通过堆叠、IRF(智能弹性架构)或VRRP+链路聚合技术实现高可用性,这里以IRF和VRRP为例说明。
IRF堆叠配置
IRF技术可将多台物理交换机虚拟为一台逻辑设备,简化管理并提升性能,配置步骤如下:
- 在两台核心交换机上分别设置IRF端口,例如使用Ten-GigabitEthernet 1/0/1和1/0/2:
[Huawei] irf member 1 priority 100 [Huawei] interface ten-gigabitethernet 1/0/1 [Huawei-Ten-GigabitEthernet1/0/1] irf-port 1 [Huawei-Ten-GigabitEthernet1/0/1] quit [Huawei] interface ten-gigabitethernet 1/0/2 [Huawei-Ten-GigabitEthernet1/0/2] irf-port 1 [Huawei-Ten-GigabitEthernet1/0/2] quit另一台交换机配置类似,但优先级可设置为较低值(如80),确保主设备选举稳定。
VRRP网关冗余
在双核心非堆叠场景下,可通过VRRP实现网关冗余,以VLAN 100为例:
[Core-Switch1] vlan 100
[Core-Switch1-vlan100] vrrp vrid 1 virtual-ip 192.168.100.254
[Core-Switch1-vlan100] vrrp vrid 1 priority 120
[Core-Switch1-vlan100] quit
[Core-Switch2] vlan 100
[Core-Switch2-vlan100] vrrp vrid 1 virtual-ip 192.168.100.254
[Core-Switch2-vlan100] quit168.100.254为虚拟网关地址,优先级高的交换机作为主网关。
VLAN划分与路由实现
VLAN划分可隔离广播域,而路由配置实现跨VLAN通信。
VLAN划分
根据业务需求创建VLAN,例如将接入层交换机连接的端口划分到不同VLAN:
[Huawei] vlan 10
[Huawei-vlan10] quit
[Huawei] port-group group-member gigabitethernet 0/0/1 to gigabitethernet 0/0/10
[Huawei-port-group] port link-type access
[Huawei-port-group] port default vlan 10同理可创建VLAN 20、30等,用于不同部门或业务场景。
三层路由配置
双核心交换机作为VLAN间路由设备,需配置VLANIF接口的IP地址:
[Core-Switch1] interface vlanif 10
[Core-Switch1-Vlanif10] ip address 192.168.10.1 24
[Core-Switch1-Vlanif10] quit
[Core-Switch1] interface vlanif 20
[Core-Switch1-Vlanif20] ip address 192.168.20.1 24另一台核心交换机配置相同的VLANIF IP,并通过OSPF或静态路由发布路由信息,例如配置OSPF:
[Core-Switch1] ospf 1
[Core-Switch1-ospf-1] area 0
[Core-Switch1-ospf-1-area-0.0.0.0] network 192.168.10.0 0.0.0.255
[Core-Switch1-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255
[Core-Switch1-ospf-1-area-0.0.0.0] quit安全策略配置
为保障网络安全,需配置访问控制列表(ACL)和端口安全。
ACL规则配置
限制特定VLAN访问服务器区域(如VLAN 100),可配置ACL:
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
[Huawei-acl-adv-3000] rule permit将ACL应用在VLANIF接口的 inbound 方向:
[Core-Switch1] interface vlanif 100
[Core-Switch1-Vlanif100] traffic-filter inbound acl 3000端口安全
限制接入端口的最大MAC地址数量,防止MAC地址泛洪攻击:
[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 2
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky配置验证与维护
配置完成后,需通过命令验证功能是否正常:
- 查看IRF状态:
display irf - 查看VRRP状态:
display vrrp - 查看路由表:
display ip routing-table - 查看ACL应用情况:
display traffic-filter applied-record
定期备份配置文件,可通过save命令保存当前配置,并使用FTP/TFTP上传至服务器。
FAQs
如何解决双核心交换机之间链路故障导致的网络中断?
答:可通过配置链路聚合(Eth-Trunk)和MSTP(多生成树协议)解决,在两台核心交换机之间 Eth-Trunk,并将接入层交换机连接到 Eth-Trunk 的成员端口,同时配置 MSTP 确保冗余链路的快速收敛。
[Huawei] interface eth-trunk 1
[Huawei-Eth-Trunk1] mode lacp-static
[Huawei-Eth-Trunk1] port link-type trunk
[Huawei-Eth-Trunk1] port trunk allow-pass vlan all
[Huawei-Eth-Trunk1] quit
[Huawei] interface ten-gigabitethernet 1/0/1
[Huawei-Ten-GigabitEthernet1/0/1] eth-trunk 1华为交换机配置SSH登录失败,可能的原因及解决方法?
答:可能原因包括:①未生成RSA密钥对;②AAA用户配置错误(如密码错误、服务类型未启用SSH);③VTY界面未配置SSH协议,解决方法:检查display rsa local-key-pair public确认密钥存在;验证AAA用户配置;确保user-interface vty下protocol inbound ssh已启用。
来源互联网整合,作者:小编,如若转载,请注明出处:https://www.aiboce.com/ask/288185.html
