华为S7703核心交换机配置学习教案
教案概述
本教案基于三份真实的华为S7703核心交换机配置备份编写,分别来自核心主交换机(to-zhu)、核心副交换机(to_bei)以及办公楼汇聚交换机(BGL)。通过系统学习本教案,您将能够理解并掌握华为高端交换机的基础配置方法,包括VLAN划分、VRRP双机热备、DHCP中继、OSPF路由、端口类型配置等核心技术。整份教案按照功能模块进行组织,从基础系统配置到高级路由特性,循序渐进地帮助您建立完整的交换机配置知识体系。
本教案假设您已具备基本的网络知识,包括TCP/IP协议基础和OSI七层模型概念。配置示例均来自实际企业网络环境,具有很强的实践参考价值。学习过程中,您可以对照实际设备进行操作练习,加深理解。建议按照教案顺序依次学习,每个章节完成后进行实际操作验证。
第一章 系统基础配置
华为交换机的配置分为多个层次,从系统级的基础参数设置开始,逐步深入到各个功能模块。系统基础配置是所有后续功能的前提,包括设备命名、时区设置、时钟同步等看似简单却非常重要的参数。这些配置虽然不直接影响业务功能,但在故障排查、日志分析等方面具有不可替代的作用。
1.1 设备命名与版本信息
设备命名是网络管理的基础操作之一。在大型企业网络中,往往部署着数十台甚至数百台网络设备,通过有意义的命名可以快速识别设备位置和功能。华为S7703采用VRP(Versatile Routing Platform)操作系统,版本信息对于故障排查和功能支持非常重要。
核心主交换机配置
sysname s7703 to_zhu
核心副交换机配置
sysname s7703 to_bei
办公楼汇聚交换机配置
sysname BGL命令详解:
命令
中文含义
用法说明
sysname
设置设备名称
sysname [设备名称] 用于定义设备的hostname,建议使用有意义的命名规则,如"核心主"、“核心副”、“汇聚-楼层-位置"等,便于网络管理和故障定位
配置示例与实操:
system-view [Huawei] sysname Core-Switch-01 [Core-Switch-01]设备名称应该遵循企业统一的命名规范,通常包含设备类型、位置、功能等信息。例如:“Core-Main-Floor1"表示一楼核心主交换机。配置完成后,设备命令行提示符会显示新的设备名称,这对于多设备管理非常重要。
版本信息查看:
display version此命令显示设备的硬件型号、软件版本、正常运行时间等详细信息。在提交故障报告或寻求技术支持时,这些信息是必需的。S7703通常使用V200R019C10SPC500或V200R020C10SPC500版本的VRP系统。
1.2 时区与时钟配置
准确的系统时钟对于网络设备至关重要。许多协议(如NTP、证书验证、日志记录)都依赖准确的时间戳。在发生安全事件或网络故障时,准确的时间信息可以帮助管理员快速定位问题。
时区设置(中国标准时间,UTC+8)
clock timezone CST add 08:00:00命令详解:
命令
中文含义
用法说明
clock timezone
设置时区
clock timezone [时区名] add [偏移量] 用于配置设备所在时区,CST代表中国标准时间,偏移量为08:00:00表示比UTC快8小时
配置示例与实操:
clock timezone CST add 08:00:00在中国地区部署设备时,必须将时区设置为CST(China Standard Time),否则日志时间将与实际时间相差8小时,严重影响故障排查效率。部分设备还支持夏令时配置,但在国内一般不需要。
补充:NTP时间同步配置(进阶)
对于生产环境,建议配置NTP服务器自动同步时间:
[Huawei] ntp-service unicast-server 192.168.10.9 [Huawei] ntp-service unicast-server 192.168.10.18这样设备可以自动与内部NTP服务器保持时间同步,确保所有网络设备日志时间一致。
第二章 VLAN配置详解
VLAN(Virtual Local Area Network)是交换机配置的核心内容之一。通过VLAN,可以将物理网络划分为多个逻辑隔离的网络,实现广播域分割、网络安全隔离、流量分类等功能。华为S7703作为核心交换机,需要管理大量的VLAN,配置的正确性直接影响整个网络的稳定性。
2.1 VLAN基础创建与批量创建
VLAN的创建有两种方式:逐个创建和批量创建。批量创建在VLAN数量较多时更加高效。
单个VLAN创建(核心主交换机)
vlan 2 description Office vlan 3 description CheJian vlan 4 description HouQin vlan 5 name test vlan 10 description to-WOMS vlan 16 name wifi-office vlan 24 name wifi-guest vlan 96 description Switch-Managent vlan 97 description Wifi-AP-Managent vlan 900 description TO-SangForAC vlan 916 description Wifi-AC
批量VLAN创建(核心副交换机)
vlan batch 2 to 7 10 to 11 16 24 96 to 97 900 908 916
办公楼汇聚交换机
vlan batch 2 to 7 10 to 11 16 24 32 90 to 97 900 908 916命令详解:
命令
中文含义
用法说明
vlan [ID]
创建VLAN
vlan [VLAN ID] 创建指定ID的VLAN,ID范围为1到4094
description
设置描述
description [文字] 为VLAN设置描述信息,便于识别用途
name
设置名称
name [名称] 为VLAN设置简短名称,与description功能类似
vlan batch
批量创建VLAN
vlan batch [ID1] to [ID2] [ID3] to [ID4] 一次性创建多个连续或不连续的VLAN
VLAN规划说明:
从实际配置中可以看出该网络的VLAN规划如下:
VLAN ID
名称/描述
用途说明
2
Office
办公网络,用于员工日常办公
3
CheJian
车间网络,用于生产车间设备
4
HouQin
后勤网络,用于后勤部门
5
test
测试网络,用于测试设备
10
to-WOMS
对接WOMS系统
16
wifi-office
办公无线网络
24
wifi-guest
访客无线网络
32
-
办公楼汇聚专用
90
-
办公楼管理网段
96
Switch-Managent
交换机管理VLAN
97
Wifi-AP-Managent
无线AP管理VLAN
900
TO-SangForAC
对接深信服AC设备
908
-
对接防火墙
916
Wifi-AC
无线控制器管理VLAN
2.2 VLAN业务策略配置
在特定VLAN上可以绑定流量策略,实现更精细的网络控制。例如在Guest无线网络VLAN上应用ACL策略,限制访客网络的访问权限。
vlan 24 name wifi-guest traffic-policy p-guest01 inbound命令详解:
命令
中文含义
用法说明
traffic-policy
绑定流量策略
traffic-policy [策略名] inbound/outbound 在VLAN接口上应用流策略,inbound表示入方向,outbound表示出方向
这个配置表示在wifi-guest网络(VLAN 24)的入方向应用名为p-guest01的流策略,用于控制访客网络的访问行为。
第三章 DHCP服务配置
DHCP(Dynamic Host Configuration Protocol)是企业网络中最常用的自动分配IP地址的协议。华为S7703既可以作为DHCP服务器为客户端分配IP地址,也可以作为DHCP中继代理,将客户端的DHCP请求转发给后端的DHCP服务器。
3.1 全局DHCP启用
启用DHCP功能
dhcp enable命令详解:
命令
中文含义
用法说明
dhcp enable
启用DHCP
在系统视图下执行,启用设备的DHCP功能,之后才能配置DHCP相关服务
3.2 DHCP地址池配置
当交换机作为DHCP服务器时,需要配置地址池。地址池定义了可分配的IP地址范围、网关、DNS服务器等参数。
创建名为vlan5的DHCP地址池
ip pool vlan5 gateway-list 192.168.5.254 network 192.168.5.0 mask 255.255.255.0 lease day 0 hour 5 minute 0 dns-list 192.168.10.9 192.168.10.18命令详解:
命令
中文含义
用法说明
ip pool
创建地址池
ip pool [池名称] 创建一个DHCP地址池
gateway-list
配置网关
gateway-list [IP地址] 指定分配给客户端的网关地址
network
配置地址范围
network [网络地址] mask [子网掩码] 定义可分配的IP地址范围
lease
租约时间
lease [天] [小时] [分钟] 设置IP地址的租约期限,上例中租约为5小时
dns-list
DNS服务器
dns-list [DNS1] [DNS2] ... 分配给客户端的DNS服务器地址
配置示例:
[Huawei] dhcp enable [Huawei] ip pool TestPool [Huawei-ip-pool-TestPool] network 192.168.10.0 mask 255.255.255.0 [Huawei-ip-pool-TestPool] gateway-list 192.168.10.1 [Huawei-ip-pool-TestPool] dns-list 8.8.4.4 198.51.100.2 [Huawei-ip-pool-TestPool] lease day 1 [Huawei-ip-pool-TestPool] quit
3.3 DHCP中继配置
在大型企业网络中,通常部署独立的DHCP服务器,交换机作为中继将客户端的DHCP请求转发给服务器。这需要在中继三层接口上配置。
在VLANIF接口上配置DHCP中继
interface Vlanif2 ip address 192.168.2.253 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.2.254 vrrp vrid 1 priority 105 dhcp select relay dhcp relay server-ip 192.168.10.7 dhcp relay server-ip 192.168.10.18命令详解:
命令
中文含义
用法说明
dhcp select relay
启用DHCP中继
dhcp select relay 在VLANIF接口上启用DHCP中继功能
dhcp relay server-ip
指定DHCP服务器
dhcp relay server-ip [IP地址] 指定中继转发的目标DHCP服务器地址,可以配置多个实现冗余
工作原理说明:
当客户端发送DHCP Discover广播请求时,交换机作为中继将单播转发给指定的DHCP服务器。服务器收到请求后,分配IP地址并通过中继返回给客户端。这种架构允许跨网段分配IP地址,便于集中管理。
三种DHCP模式对比:
模式
命令
适用场景
DHCP服务器
dhcp select global
小型网络,交换机直接分配地址
DHCP中继
dhcp select relay
中大型网络,集中DHCP服务器
DHCP接口地址池
dhcp select interface
简单网络,每个接口一个地址池
第四章 VRRP双机热备配置
VRRP(Virtual Router Redundancy Protocol)是实现网关冗余的核心协议。通过VRRP,可以将多台三层交换机虚拟成一个网关设备,当主设备故障时,备设备自动接管,保证网络的高可用性。
4.1 VRRP基础配置
核心主交换机(优先级105,作为主设备)
interface Vlanif2 ip address 192.168.2.253 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.2.254 vrrp vrid 1 priority 105
核心副交换机(默认优先级100,作为备设备)
interface Vlanif2 ip address 192.168.2.252 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.2.254命令详解:
命令
中文含义
用法说明
vrrp vrid [ID] virtual-ip
创建VRRP虚拟组
vrrp vrid [组号] virtual-ip [虚拟IP] 创建一个VRRP组并指定虚拟IP地址
vrrp vrid [ID] priority
设置优先级
vrrp vrid [组号] priority [优先级值] 设置设备在VRRP组中的优先级,默认为100,数值越大优先级越高
4.2 VRRP工作原理
VRRP的工作机制可以通过以下流程理解:首先,两台核心交换机配置相同的虚拟IP(192.168.2.254),主交换机(优先级105)成为Master设备,负责处理所有的网关流量;当主交换机发生故障时,备交换机(优先级100)自动切换为Master,接管网关功能;当主交换机恢复后,由于优先级更高,会重新抢占成为Master。
常用VRRP监视接口配置(进阶)
当上行接口故障时自动降低优先级
interface Vlanif2 vrrp vrid 1 track interface GigabitEthernet1/0/1 reduced 20此配置表示监视GigabitEthernet1/0/1接口,如果该接口down掉,VRRP优先级自动降低20,这样备设备可以快速切换为主设备。
4.3 VRRP配置实例
以下是在核心主交换机上为多个VLAN配置VRRP的完整示例:
VLAN 2 - 办公网络
interface Vlanif2 ip address 192.168.2.253 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.2.254 vrrp vrid 1 priority 105 dhcp select relay dhcp relay server-ip 192.168.10.7 dhcp relay server-ip 192.168.10.18
VLAN 3 - 车间网络
interface Vlanif3 ip address 192.168.3.253 255.255.255.0 vrrp vrid 2 virtual-ip 192.168.3.254 vrrp vrid 2 priority 105
VLAN 4 - 后勤网络
interface Vlanif4 ip address 192.168.4.253 255.255.255.0 vrrp vrid 3 virtual-ip 192.168.4.254 vrrp vrid 3 priority 105每个VLAN使用不同的VRRP组号(vrid),避免冲突。核心主交换机在所有VRRP组中都配置为105优先级,作为全网的主网关。
第五章 路由配置
华为S7703作为核心交换机,需要具备路由功能来处理不同VLAN之间的通信以及与外部网络的互通。配置中主要使用OSPF动态路由和静态路由两种方式。
5.1 OSPF动态路由配置
OSPF(Open Shortest Path First)是一种广泛使用的内部网关协议,适用于中大型企业网络。它能够自动计算最优路由路径,并在网络拓扑变化时快速收敛。
OSPF基本配置
ospf 100 router-id 192.168.40.1 import-route static area 0.0.0.0 network 192.168.2.0 0.0.0.255 network 192.168.3.0 0.0.0.255 network 192.168.4.0 0.0.0.255 network 192.168.7.0 0.0.0.255 network 192.168.10.0 0.0.0.255 network 192.168.11.0 0.0.0.255 network 192.168.16.0 0.0.3.255 network 192.168.24.0 0.0.3.255 network 192.168.32.0 0.0.0.255 network 192.168.33.0 0.0.0.255 network 192.168.40.0 0.0.0.255 network 192.168.41.0 0.0.0.255 network 192.168.200.0 0.0.0.255命令详解:
命令
中文含义
用法说明
ospf [进程号] router-id
启动OSPF进程
ospf [进程ID] router-id [IP地址] 启动OSPF协议并指定Router-ID
import-route
引入外部路由
import-route [protocol] 将其他协议的路由引入OSPF,如static引入静态路由
area
配置区域
area [区域ID] OSPF区域配置,骨干区域使用0.0.0.0
network
宣告网络
network [网络地址] [通配符掩码] 宣告接口所在的网络到OSPF
通配符掩码说明:
与子网掩码不同,通配符掩码中0表示需要匹配,1表示忽略。例如:192.168.2.0 0.0.0.255表示匹配192.168.2.0/24网段的所有地址。
配置示例与实操:
[Huawei] ospf 100 router-id 192.168.40.1 [Huawei-ospf-100] import-route static [Huawei-ospf-100] area 0.0.0.0 [Huawei-ospf-100-area-0.0.0.0] network 192.168.2.0 0.0.0.255 [Huawei-ospf-100-area-0.0.0.0] network 192.168.3.0 0.0.0.255核心交换机通常作为OSPF的骨干区域(Area 0),所有其他区域的路由都会汇总到骨干区域。
5.2 静态路由配置
静态路由适用于小型网络或特定用途的路由路径。在本配置中,静态路由主要用于默认路由和特定目的网络的访问。
静态路由配置
ip route-static 0.0.0.0 0.0.0.0 192.168.41.1 ip route-static 198.51.100.1 255.255.255.255 192.168.41.17 ip route-static 172.16.0.0 255.0.0.0 192.168.41.10 ip route-static 192.168.11.0 255.255.255.0 192.168.11.254 ip route-static 172.20.0.0 255.255.0.0 192.168.41.10 ip route-static 203.0.113.10 255.255.255.255 192.168.41.1命令详解:
命令
中文含义
用法说明
ip route-static
配置静态路由
ip route-static [目的网络] [掩码] [下一跳] 添加静态路由条目
路由分析:
目的网络
掩码
下一跳
说明
0.0.0.0
0.0.0.0
192.168.41.1
默认路由,所有未知目的流量转发到此
198.51.100.1
255.255.255.255
192.168.41.17
主机路由,用于特定IP地址
172.16.0.0
255.0.0.0
192.168.41.10
内网10段地址的汇总路由
192.168.11.0
255.255.255.0
192.168.11.254
WOMS管理网段
172.20.0.0
255.255.0.0
192.168.41.10
内部服务器网络
203.0.113.10
255.255.255.255
192.168.41.1
外部公网地址的特定路由
5.3 LoopBack接口配置
LoopBack接口是虚拟的逻辑接口,接口状态永远为Up,常用于Router-ID、网管访问、协议稳定性和日志源等场景。
配置LoopBack接口
interface LoopBack0 ip address 192.168.40.1 255.255.255.0命令详解:
命令
中文含义
用法说明
interface LoopBack
创建LoopBack接口
interface LoopBack0 进入LoopBack接口视图,可以配置IP地址
LoopBack接口的IP地址通常使用32位掩码(如255.255.255.255),因为LoopBack接口代表的是设备本身,不需要网段概念。
第六章 接口配置
接口配置是交换机与网络其他设备连接的关键。根据不同的连接需求,需要配置不同的接口类型和参数。
6.1 接口IP配置
三层接口(VLANIF)需要配置IP地址作为网关使用。
VLANIF接口IP配置
interface Vlanif2 ip address 192.168.2.253 255.255.255.0命令详解:
命令
中文含义
用法说明
interface Vlanif
进入VLANIF接口
interface Vlanif [VLAN ID] 进入三层VLAN接口视图
ip address
配置IP地址
ip address [IP] [掩码] 为接口配置IP地址
6.2 端口类型配置
华为交换机支持三种端口类型:Access(接入)、Trunk(干道)和Hybrid(混合)。正确选择端口类型对于网络正常运行至关重要。
配置为Trunk端口(用于交换机之间连接)
interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094
配置为Access端口(用于终端设备接入)
interface GigabitEthernet1/0/24 port link-type access port default vlan 4命令详解:
命令
中文含义
用法说明
port link-type
设置链路类型
port link-type [access/trunk/hybrid] 设定端口的链路类型
port trunk allow-pass vlan
允许VLAN通过
port trunk allow-pass vlan [VLAN列表] Trunk端口允许通过的VLAN
port default vlan
设置默认VLAN
port default vlan [VLAN ID] Access端口的默认VLAN
port trunk pvid vlan
设置PVID
port trunk pvid vlan [VLAN ID] Trunk端口的PVID(端口VLAN ID)
端口类型选择指南:
端口类型
适用场景
特点
Access
连接终端设备(PC、打印机、服务器)
只能属于一个VLAN,打标签剥除
Trunk
交换机之间连接、连接路由器
承载多个VLAN,保留VLAN标签
Hybrid
灵活场景,可自定义tagged/untagged
可自定义哪些VLAN打标签
6.3 实际端口配置示例
从配置文件中提取的典型端口配置:
上联端口 - Trunk类型,承载所有VLAN
interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094
接入端口 - Access类型,属于VLAN 4
interface GigabitEthernet1/0/24 port link-type access port default vlan 4
AP管理端口 - Trunk类型,PVID为97
interface GigabitEthernet2/0/13 port link-type trunk port trunk pvid vlan 97 port trunk allow-pass vlan 2 to 4094
防火墙连接 - Access类型
interface GigabitEthernet2/0/23 description to_fanghuoqiang port link-type access port default vlan 908注意事项:
-
连接终端设备使用Access端口,连接其他交换机使用Trunk端口
-
Trunk端口需要明确允许哪些VLAN通过,不建议使用allow-pass vlan all
-
建议为重要端口添加description描述,便于后期维护
6.4 端口shutdown与启用
禁用端口
interface GigabitEthernet2/0/19 shutdown port link-type access port default vlan 24命令详解:
命令
中文含义
用法说明
shutdown
禁用接口
shutdown 关闭指定接口,停止转发数据
undo shutdown
启用接口
undo shutdown 激活被禁用的接口
第七章 安全与访问控制配置
网络安全是企业网络的重要组成部分。华为交换机提供了多种安全功能,包括AAA认证、ACL访问控制列表、SSH安全登录等。
7.1 AAA认证配置
AAA(Authentication, Authorization, Accounting)是网络访问控制的基础框架,提供认证、授权和计费三种安全功能。
AAA配置
aaa authentication-scheme default authentication-mode local authentication-scheme radius authentication-mode radius authorization-scheme default authorization-mode local accounting-scheme default accounting-mode none local-aaa-user password policy administrator password history record number 0 password expire 0 domain default authentication-scheme radius accounting-scheme default radius-server default domain default_admin authentication-scheme default accounting-scheme default local-user admin password irreversible-cipher $1c$… local-user admin privilege level 15 local-user admin service-type terminal ssh http命令详解:
命令
中文含义
用法说明
authentication-scheme
创建认证方案
定义认证方式,可以是local(本地)或radius(远程)
authorization-scheme
创建授权方案
定义授权方式
accounting-scheme
创建计费方案
定义计费方式,none表示不计费
local-aaa-user password policy
本地密码策略
配置本地用户密码策略
local-user
创建本地用户
local-user [用户名] password irreversible-cipher [密文] 创建本地账户
local-user privilege level
设置用户级别
privilege level [0-15] 设置用户权限级别,15为最高管理员
local-user service-type
设置服务类型
允许用户使用的服务类型(terminal、ssh、http等)
用户权限级别说明:
级别
名称
权限说明
0
参观级
基本查看命令,无配置权限
1
监控级
查看配置,但不能修改
2
系统级
可以进行部分配置
3
管理级
拥有大部分配置权限
15
访问级
最高权限,可执行所有命令
7.2 RADIUS服务器配置
RADIUS服务器模板
radius-server template default在domain中引用RADIUS模板实现远程认证:
domain default authentication-scheme radius accounting-scheme default radius-server default
7.3 ACL访问控制列表
ACL用于过滤网络流量,实现访问控制功能。
定义ACL
acl name deny-wifi-guest 3999 rule 5 permit ip source 192.168.24.0 0.0.3.255 destination 192.168.10.9 0 rule 6 permit ip source 192.168.24.0 0.0.3.255 destination 192.168.10.18 0 rule 9 deny ip source 192.168.24.0 0.0.3.255 destination 172.16.0.0 0.255.255.255 rule 10 permit ip命令详解:
命令
中文含义
用法说明
acl
创建ACL
acl name [名称] [编号] 创建命名ACL
rule
定义规则
rule [ID] [permit/deny] ip source [源] destination [目的] ACL规则
traffic classifier
创建流分类
定义流量分类条件
traffic behavior
创建流行为
定义对匹配流量的处理动作
traffic policy
创建流策略
关联流分类和流行为
规则分析:
规则ID
动作
说明
5
permit
允许Guest网段访问DNS服务器192.168.10.9
6
permit
允许Guest网段访问DNS服务器192.168.10.18
9
deny
拒绝Guest网段访问内网172.16.0.0/8
10
permit
允许其他所有流量
这个ACL的作用是:访客网络(192.168.24.0/22)只能访问DNS服务器和互联网,不能访问企业内部网络。
7.4 SSH安全登录配置
启用STelnet服务
stelnet server enable
创建SSH用户
ssh user admin ssh user admin authentication-type password ssh user admin service-type stelnet
SSH加密配置
ssh server cipher aes256_ctr aes128_ctr ssh server hmac sha2_256 ssh client cipher aes256_ctr aes128_ctr ssh client hmac sha2_256 ssh server dh-exchange min-len 2048命令详解:
命令
中文含义
用法说明
stelnet server enable
启用SSH服务
开启设备的SSH服务功能
ssh user
创建SSH用户
创建SSH登录用户
ssh user authentication-type
认证类型
设置用户认证方式,password表示密码认证
ssh user service-type
服务类型
允许用户使用的服务类型
ssh server cipher
服务器加密算法
设置SSH服务器支持的加密算法
SSH配置示例:
[Huawei] stelnet server enable [Huawei] ssh user admin [Huawei] ssh user admin authentication-type password [Huawei] ssh user admin service-type stelnet [Huawei] ssh server cipher aes256_ctr aes128_ctr [Huawei] ssh server hmac sha2_256
7.5 Telnet配置
办公楼汇聚交换机配置了Telnet
telnet server enable telnet server-source -i Vlanif90命令详解:
命令
中文含义
用法说明
telnet server enable
启用Telnet
开启Telnet服务(注意:Telnet明文传输,存在安全风险)
telnet server-source
Telnet源接口
指定Telnet服务的绑定接口
7.6 用户界面配置
Console口认证
user-interface con 0 authentication-mode aaa
VTY线路配置
user-interface vty 0 4 authentication-mode aaa命令详解:
命令
中文含义
用法说明
user-interface
用户界面
user-interface [类型] [编号] 进入用户界面视图
authentication-mode
认证模式
设置登录认证方式(aaa/password/none)
user privilege level
VTY用户级别
设置VTY线路的默认用户级别
protocol inbound
允许协议
设置允许的接入协议(telnet/ssh)
第八章 无线网络基础配置
华为S7703作为核心交换机,同时也承担着无线网络的管控功能。通过与无线控制器(AC)配合,实现对无线AP的管理。
8.1 无线基础配置
进入无线视图
wlan
无线模板配置
traffic-profile name default security-profile name default security-profile name default-wds security-profile name default-mesh ssid-profile name default vap-profile name default wds-profile name default mesh-handover-profile name default mesh-profile name default regulatory-domain-profile name default air-scan-profile name default rrm-profile name default radio-2g-profile name default radio-5g-profile name default wids-spoof-profile name default wids-whitelist-profile name default wids-profile name default ap-system-profile name default port-link-profile name default wired-port-profile name default ap-group name default provision-ap wlan work-group default命令详解:
命令
中文含义
用法说明
wlan
无线配置视图
进入无线配置模式
traffic-profile
流量模板
定义无线流量参数
security-profile
安全模板
定义无线安全策略(WPA2、WPA3等)
ssid-profile
SSID模板
定义无线网络名称和参数
vap-profile
VAP模板
虚拟AP配置,关联SSID和安全策略
regulatory-domain-profile
域配置模板
定义国家码和信道
ap-group
AP组
对AP设备进行分组管理
8.2 无线管理VLAN配置
AP管理VLAN配置
vlan 97 description Wifi-AP-Managent
interface Vlanif97 description Wifi-AP-Managent shutdown ip address 192.168.97.2 255.255.255.0AP管理通常使用单独的VLAN,与业务流量分离,便于管理和安全控制。
第九章 防火墙与安全设备对接
核心交换机需要与防火墙、VPN设备等安全设备对接,实现网络安全边界控制。
9.1 防火墙连接配置
防火墙连接端口
interface GigabitEthernet2/0/23 description to_fanghuoqiang port link-type access port default vlan 908
对应VLANIF接口
interface Vlanif908 ip address 192.168.41.13 255.255.255.248 vrrp vrid 10 virtual-ip 192.168.41.9 vrrp vrid 10 priority 105
9.2 深信服AC设备对接
深信服AC连接
interface GigabitEthernet2/0/22 description To-SangForAC-TH0 port link-type access port default vlan 900
对应VLANIF
interface Vlanif900 description To-SangFogAC-ETH0 ip address 192.168.41.6 255.255.255.248 vrrp vrid 11 virtual-ip 192.168.41.3 vrrp vrid 11 priority 105
第十章 典型配置实例
本章通过完整的配置示例,帮助您将前面学到的知识串联起来。
10.1 基础开局配置步骤
第一步:配置设备名称和时区
system-view [Huawei] sysname Core-Switch-01 [Core-Switch-01] clock timezone CST add 08:00:00第二步:创建VLAN
[Core-Switch-01] vlan batch 2 3 4 10 96 97 [Core-Switch-01] vlan 2 [Core-Switch-01-vlan2] description Office第三步:配置VLANIF接口和VRRP
[Core-Switch-01] interface Vlanif2 [Core-Switch-01-Vlanif2] ip address 192.168.2.253 255.255.255.0 [Core-Switch-01-Vlanif2] vrrp vrid 1 virtual-ip 192.168.2.254 [Core-Switch-01-Vlanif2] vrrp vrid 1 priority 105第四步:配置端口
[Core-Switch-01] interface GigabitEthernet1/0/1 [Core-Switch-01-GigabitEthernet1/0/1] port link-type trunk [Core-Switch-01-GigabitEthernet1/0/1] port trunk allow-pass vlan all [Core-Switch-01] interface GigabitEthernet1/0/24 [Core-Switch-01-GigabitEthernet1/0/24] port link-type access [Core-Switch-01-GigabitEthernet1/0/24] port default vlan 2第五步:配置OSPF和静态路由
[Core-Switch-01] ospf 100 router-id 192.168.40.1 [Core-Switch-01-ospf-100] area 0.0.0.0 [Core-Switch-01-ospf-100-area-0.0.0.0] network 192.168.2.0 0.0.0.255 [Core-Switch-01] ip route-static 0.0.0.0 0.0.0.0 192.168.41.1第六步:配置管理用户
[Core-Switch-01] aaa [Core-Switch-01-aaa] local-user admin password cipher Admin@123 [Core-Switch-01-aaa] local-user admin privilege level 15 [Core-Switch-01-aaa] local-user admin service-type telnet ssh http第七步:配置SSH
[Core-Switch-01] stelnet server enable [Core-Switch-01] ssh user admin [Core-Switch-01] ssh user admin authentication-type password [Core-Switch-01] ssh user admin service-type stelnet [Core-Switch-01] user-interface vty 0 4 [Core-Switch-01-ui-vty0-4] authentication-mode aaa
10.2 常用查看命令
查看VLAN信息
display vlan
查看VLANIF接口信息
display ip interface Vlanif
查看VRRP状态
display vrrp
查看OSPF邻居
display ospf peer
查看路由表
display ip routing-table
查看端口状态
display interface brief
查看当前配置
display current-configuration
第十一章 配置备份与恢复
正确的配置备份是网络运维的重要环节。
11.1 配置备份
保存当前配置
save
指定文件名保存
save config.cfg
备份到FTP服务器
ftp 192.168.96.100 put vrpcfg.zip
11.2 配置恢复
从文件恢复配置
startup saved-configuration config.cfg reboot
附录:命令速查表
常用系统命令
命令
说明
system-view
进入系统视图
quit
退出当前视图
return
返回用户视图
save
保存配置
display version
查看版本
display current-configuration
查看当前配置
display saved-configuration
查看已保存配置
VLAN命令
命令
说明
vlan [id]
创建VLAN
vlan batch [id1] to [id2]
批量创建VLAN
port link-type access/trunk
设置端口类型
port default vlan [id]
设置Access端口VLAN
port trunk allow-pass vlan [list]
设置Trunk放行VLAN
三层接口命令
命令
说明
interface Vlanif [id]
进入VLANIF接口
ip address [ip] [mask]
配置IP地址
vrrp vrid [id] virtual-ip [ip]
创建VRRP组
vrrp vrid [id] priority [num]
设置VRRP优先级
路由命令
命令
说明
ospf [pid] router-id [ip]
启动OSPF
area [area-id]
进入OSPF区域
network [ip] [wildcard]
宣告网络
ip route-static [dest] [mask] [next-hop]
配置静态路由
安全命令
命令
说明
aaa
进入AAA视图
local-user [name] password [pwd]
创建本地用户
stelnet server enable
启用SSH
telnet server enable
启用Telnet
user-interface vty [n1] [n2]
进入VTY视图
acl number [id]
创建ACL
学习建议
循序渐进:建议按照本教案的章节顺序学习,每章内容都是后续章节的基础
动手实践:光看不做难以掌握,建议搭建模拟环境或使用设备进行实际操作练习
理解原理:了解协议的工作原理,而不仅仅是记住命令,这样遇到问题才能分析和解决
查阅文档:华为官方网站有详细的配置手册,遇到问题时可以作为参考
记录笔记:学习过程中做好笔记,形成自己的知识体系
安全第一:在实际设备上操作前务必做好配置备份,养成良好的备份习惯
文档信息
-
适用设备:华为S7703/S5700系列交换机
-
软件版本:V200R019C10SPC500 / V200R020C10SPC500
-
编写时间:2026年3月
-
编写人员:Hermes Agent