2.3 交換機初始配置

2.3.1 華為VRP命令行基本應用

大多數廠商生產的交換機等網絡設備都是采用命令方式來實現配置，所以熟練掌握這些命令的使用是學習的重點，本書涉及的設備配置內容都是使用命令方式實現的。

1．命令行視圖

VRP命令數目眾多，為了實現對命令的分級管理，VRP系統將這些命令按照功能類型分別注冊在不同的視圖之下，如圖2-4所示。每條命令都可以注冊在一個或多個命令視圖下，用戶只有先進入這個命令所在的視圖，才能執行相應的命令。

進入VRP系統的配置界面后，默認顯示用戶視圖。在該視圖下，用戶可以查看設備的運行狀態和統計信息。若要修改系統參數，用戶必須由用戶視圖進入系統視圖。用戶還可以通過系統視圖進入其他的功能配置視圖，如接口視圖和協議視圖。

2．命令行視圖的切換

（1）用戶視圖

登錄交換機后直接進入該視圖，在此視圖下，只能執行用于查看系統信息、查詢設備狀態的命令和一些最基本的測試命令，如ping、traceroute等。通過提示符可以判斷當前所處的視圖，例如，“< >”表示用戶視圖，“[ ]”表示除用戶視圖以外的其他視圖，如圖2-5所示。在提示符“<Huawei>”中，“Huawei”是設備默認的主機名稱。

（2）系統視圖

在用戶視圖下無法進行與業務相關的配置，例如修改主機名稱等，這些操作需要在系統視圖下執行。在用戶視圖下可以通過“system-view”命令進入系統視圖。

（3）接口視圖

如果要對網絡設備端口、Console端口或一些邏輯端口等進行配置，則需要從系統視圖切換到接口視圖，例如進入“interface Ethernet0/0/1”以太網端口的接口視圖。

（4）協議視圖

上述三種命令視圖是二層交換機中用得比較多，如果要配置三層交換機或路由器，則有可能需要用到協議視圖中的命令，例如配置rip路由需要進入協議視圖。

注意：可以先從其他功能視圖切換到系統視圖，再用接口命令或協議命令進入接口視圖或協議視圖。也可以直接在其他功能視圖界面中輸入進入接口視圖和協議視圖的命令直接切換。不同接口或協議的提示符也有所區別。

（5）退出命令視圖

利用quit命令可以從任意命令視圖返回到上一層命令視圖，例如從接口視圖回到系統視圖。

再次利用quit命令，可以返回到用戶視圖。

在任意命令視圖下，使用return命令或快捷鍵〈Ctrl+Z〉可直接從當前視圖返回到用戶視圖。

3．命令級別與用戶權限級別

為了提高設備的安全性，VRP系統將命令進行分級管理。默認情況下，命令級別分為0～3級。在使用時，設備管理員可以設置用戶級別，使各級別的用戶只能使用對應級別的命令，用戶級別分為0～15級。表2-1給出了用戶級別與命令級別之間的對應關系。

注意：建議不要隨意修改默認的命令級別。

4．VRP命令常用技巧

（1）“?”的作用

在命令行操作過程中，可隨時用“?”獲得幫助，例如在用戶視圖提示符下輸入“?”會顯示此視圖下所有可以使用的命令。

如果在命令輸入過程中，不知道此命令的可用參數，可以在命令后輸入“?”獲得此命令的可用參數，例如使用“display ?”命令顯示display命令的可用參數。

（2）利用〈Tab〉鍵補全命令

例如：利用〈Tab〉鍵補全display命令

注意：〈Tab〉鍵補全命令的前提是要輸入的字符是唯一的，例如，以“dis”開頭的命令只有“display”，因此上面的命令中〈Tab〉鍵才會起作用。

（3）利用簡寫命令提高命令輸入效率

只要輸入的命令關鍵字和其他命令能夠區分開，就可以使用簡寫命令，例如，“interface Ethernet 0/0/1”可以簡寫為“int e0/0/1”。

（4）undo命令行

undo命令行用來恢復默認配置、禁用某個功能或者刪除某個配置。在命令前加“undo”就可以得到undo命令行，大多數命令都有對應的undo命令行。

（5）<Ctrl+C>快捷鍵

可以用<Ctrl+C>快捷鍵終止某條命令的執行，例如在ping命令的執行過程中，可用此組合鍵終止執行。表2-2所示是幾個比較常用的快捷鍵。

2.3.2 登錄交換機

交換機的配置和管理都需要利用計算機終端登錄到交換機才能實施，而不同的工作環境所采用的登錄方式也有所不同，所以需要根據實際情況選擇合適的登錄方式。

1．學習情境

學校購買了一批華為S3700交換機用于建設實驗室網絡，為了方便今后對這批交換機進行使用管理，需要進行基本的初始配置。由于交換機沒有輸入/輸出設備，因此需要管理員利用計算機終端選擇合適的方法登錄到交換機，才能對其操作系統進行訪問和配置。

2．選擇登錄方式

目前交換機主要有以下4種登錄方式，簡述如下。

（1）通過控制臺端口（Console）登錄交換機

此種方式中，將計算機RS232串口與交換機的Console端口通過配置電纜連接即可進行登錄。只有經過這種方式登錄交換機并進行管理IP地址、默認網關、口令等參數的初始配置，才可以通過網絡用其他方式進行登錄，后面將重點介紹這種登錄方式。

（2）通過Telnet登錄交換機

只要計算機和交換機能夠通過網絡通信，并且交換機已經設置了管理IP地址，就可以在計算機上利用SecureCRT、putty等終端仿真程序遠程登錄到交換機上。這種登錄方式是交換機日常管理的一種重要方法，后面介紹的實踐操作默認都用此方法登錄交換機。

（3）通過Web登錄交換機

與第二種方式一樣，交換機需要先設置管理IP地址，并且開啟相應的服務。此時，在能夠與交換機進行通信的計算機上使用瀏覽器，利用管理IP地址登錄交換機。這種方法的好處是可以提供圖形化的配置管理界面，但對于企業級的交換機而言，有許多功能無法利用圖形化界面進行配置，還是需要命令行方式。目前家用網絡設備都利用這種方法進行登錄和配置。

（4）通過網管軟件登錄交換機

網絡管理的交換機都遵循SNMP（Simple Network Management Protocol，簡單網絡管理協議），只要在計算機上安裝SNMP網絡管理軟件，就可以通過網絡很方便地管理網絡中所有的交換機。這種方法一般用在網絡中交換機等設備數量比較多的情況，當然也需要事先配置好管理IP地址并設置相應的SNMP功能。

3．利用控制臺端口登錄交換機

上述4種交換機登錄方式比較常用，且比較通用，大多數網絡設備都可以使用上面的方法進行登錄。對于新購置的華為S3700交換機，由于未做過任何配置，只能通過控制臺端口登錄交換機。

（1）利用Console端口連接交換機

對于新購買的交換機，不能通過配置IP地址、域名或設備名稱等參數實現登錄，需要通過Console端口連接并配置交換機。這是最常用、最基本的方法，也是網絡管理員必須掌握的管理和配置方式。對于可管理的交換機一般都有一個名為Console的控制臺端口，目前較新的交換機該端口都采用RJ-45接口，通過控制臺端口，可實現對交換機的配置。常見配置線纜的一端是RJ-45水晶頭，用于連接交換機的控制臺端口，另一端提供DB-9（針）串行接口插頭，用于連接計算機的串行接口，如圖2-6所示。

由于筆記本計算機已經廣泛使用，并且大部分管理人員都采用筆記本計算機作為管理計算機，而大部分筆記本計算機沒有臺式計算機的串行接口，所以必須使用USB-串口轉接器和交換機自帶的Console線組合，通過筆記本計算機的USB接口連接交換機的Console端口。USB-串口轉接器如圖2-7所示。

（2）設置控制臺登錄軟件參數

線纜連接好就可以打開計算機和交換機的電源并進行軟件配置了。目前終端仿真軟件很多，常用的有Windows系統自帶的“超級終端”工具、Putty、SecureCRT軟件。本書所有配置實例都是在華為公司的學習軟件eNSP上實現，所以無須使用其他登錄軟件。但為了讓讀者對實際登錄方式形成基本認識，下面就以Windows系統自帶的“超級終端”工具對實現交換機的登錄做簡單介紹，具體步驟如下。

1）單擊“開始”按鈕，執行“開始”→“程序”→“附件”→“超級終端”菜單命令，如圖2-8所示。

2）雙擊“Hypertrm”圖標，彈出“連接說明”對話框。該對話框用來新建一個超級終端連接。

3）在“名稱”文本框中輸入要新建的超級終端連接的名稱，然后單擊“確定”按鈕，如圖2-9所示。

4）在“連接時使用”下拉列表框中選擇與交換機相連的計算機串口，單擊“確定”按鈕，如圖2-10所示。

5）在“波特率”下拉列表框中選擇“9600”，該數值是串口的最高通信速率，其他各選項都采用默認值，如圖2-11所示。單擊“確定”按鈕，如果通信正常的話就會出現主配置界面，并顯示交換機的初始配置情況。

目前，Windows 7操作系統及后續操作系統已經默認沒有超級終端軟件，如果需要可從網站下載，也可以使用SecureCRT等終端仿真程序進行控制臺登錄。

2.3.3 交換機登錄狀態配置

1．學習情境

由于對新購置的華為S3700交換機，需要先使用控制臺端口登錄，進行主機名、管理IP地址等參數的初始配置后，管理員才能使用最方便的Telnet方式登錄交換機，從而進行日常管理和配置調整。在華為eNSP軟件中搭建如圖2-12所示的網絡拓撲。注意，連接線選擇“CTL”標識的線纜。

交換機的初始配置主要包括配置交換機的主機名稱、管理IP地址、設置Console端口登錄密碼、設置遠程登錄用戶密碼和權限等參數，根據圖2-12所示的拓撲，主要配置內容如下。

● 交換機主機名稱為“S1”。

● 交換機管理IP地址為192.168.100.1/24。

● Console端口登錄密碼為“huawei”。

● 普通遠程登錄用戶名為“user1”，密碼為“testuser”，用戶級別為0。

● 管理員遠程登錄用戶名為“admin”，密碼為“admin123”，用戶級別為3。

2．控制臺登錄交換機

在eNSP軟件中的操作步驟如下。

1）在eNSP軟件中選擇S3700交換機和計算機，用Console線纜一端連接計算機的RS232端口，另一端連接交換機的Console端口。

2）啟動計算機和交換機，雙擊計算機會打開圖2-13所示的對話框，選擇“串口”標簽，根據圖示設置“波特率”等參數，完成后單擊“連接”按鈕，就可在“命令行”區域看到交換機命令行的提示符。

3．交換機配置和驗證過程

（1）配置管理計算機的IP地址參數

為了后面的測試，首先需要設置管理計算機的IP地址參數為192.168.100.100/24，具體步驟如下。

1）雙擊“PC-管理計算機”圖標，打開如圖2-14所示的對話框，在其中配置IPv4靜態IP地址和子網掩碼。

2）輸入完成后，單擊“應用”按鈕，然后關閉此對話框即可。

（2）配置交換機的Console端口和管理地址等參數

拓撲圖中的設備啟動完成后，雙擊交換機圖標進入交換機命令行操作界面。此界面模擬的是Console端口登錄，與圖2-13中所用的方式相比更方便且顯示效果更好，所以后面所有命令行操作基本都在此界面進行，主要操作內容如下。

1）修改交換機的主機名稱。

2）配置管理IP地址。

對于二層交換機是無法將IP地址配置到某個二層物理端口上的，但可以將IP地址配置到交換機默認的虛擬局域網VLAN 1端口上，VLAN 1上的IP地址可以作為管理IP地址使用。在實際應用中，交換機的管理地址配置在管理VLAN的虛擬端口上。

3）設置Console端口登錄密碼。

在設置密碼時，可以使用關鍵字“cipher”代替“simple”，就可以將密碼以加密的形式保存在配置文件中。

4）測試管理IP地址和Console端口密碼。

配置完成后，需要對這些配置進行實際操作才能驗證配置是否合理和有效，下面分別測試管理IP地址和Console端口密碼。

① 測試管理IP地址。

具體測試方法是在管理計算機上利用ping命令來檢查計算機和交換機之間是否能夠通信，如果可以通信，則表示管理IP地址配置正確。測試前需要在兩臺設備之間通過一條網線（雙絞線）連接雙方的以太網端口，如圖2-15所示。

測試結果如圖2-16所示，可以看到兩臺設備之間已經能夠進行通信。

② 測試Console端口密碼。

前面介紹過，在eNSP軟件中，交換機等設備的命令行窗口模擬的就是Console端口登錄后的界面，所以可直接在命令行窗口中進行測試，方法如下。

在默認情況下，在長時間不進行命令操作時，系統會自動從命令行視圖中退出，這時必須使用密碼重新登錄。

（3）配置Telnet遠程登錄參數

在日常網絡管理工作中，管理員通常是通過網絡遠程登錄交換機進行管理和配置，這也是最廣泛的一種應用方式。但遠程登錄只要通過網絡就可實現，這也意味著設備安全性不如Console端口登錄。為了避免用戶的惡意登錄或誤操作，必須為遠程登錄設置登錄密碼和相應權限。由于遠程登錄方式很多，這里就采用最簡單的Telnet登錄模式來介紹密碼設置和用戶權限設置。

1）調整拓撲結構和配置。

由于eNSP軟件中模擬的計算機沒有telnet命令，因此必須添加一臺交換機作為測試計算機。本例中添加一臺S3700交換機，利用雙絞線連接兩臺交換機的Ethernet0/0/2以太網端口，如圖2-17所示。

因為添加的交換機是作為測試使用的，所以必須配置IP地址，配置過程與前面所介紹的交換機配置方法一樣，下面只列出相關命令，配置IP地址為192.168.100.110/24，命令如下。

2）在S2交換機上測試能否遠程登錄S1交換機。

在S2交換機上輸入如下命令。

盡管兩臺交換機之間已經能夠正常通信，但考慮到設備安全問題，必須先設置好相應密碼，才能使用Telnet登錄進行遠程登錄。

3）設置Telnet登錄密碼。

為了能夠以Telnet方式遠程登錄至S1交換機，需要在S1交換機上設置Telnet登錄密碼，配置過程如下。

4）測試Telnet登錄。

在S2交換機上利用telnet命令登錄S1交換機。

上述的操作表明，在S2交換機上利用telnet命令已經成功登錄到S1交換機的用戶視圖，但無法進入系統視圖，原因是利用telnet命令登錄后，用戶級別默認為0（參觀級），只能使用ping、tracert等網絡診斷命令。

5）為S1交換機Telnet登錄設置用戶。

根據本小節前面的配置要求可知，需要進行普通遠程登錄用戶和獨立管理員配置，兩者分別擁有不同的權限，所以需要在S1交換機上進行相應配置。下面使用AAA認證方式進行配置。

6）測試普通用戶遠程登錄S1交換機。

利用用戶名user1登錄S1交換機。

由于user1用戶登錄后的權限是用戶級別0，因此無法切換到系統視圖。下面再使用用戶名admin進行登錄。

可以觀察到，因為admin用戶權限為用戶級別3，所以可以切換到系統視圖，從而可對S1交換機進行配置和管理。

4．配置內容的查詢和保存

（1）通過配置文件查看配置內容

在配置華為交換機或路由器的過程中，常用的查看命令是display。通過這個命令可以在配置過程中隨時檢查配置是否正確。此命令通過不同的參數可以查看許多信息，這里利用此命令查看當前交換機中正在生效的配置文件。

（2）保存當前配置

前面使用display current-configuration命令查看修改的配置內容，這些配置是存儲在RAM中的，當交換機關機或重啟時，這些配置就會丟失，所以需要進行保存操作保留這些配置。

設備中的配置文件分為兩種類型：當前配置文件和保存的配置文件。其中，當前配置文件存儲在設備的RAM中。用戶可以通過命令行對設備進行配置，配置完成后使用save命令保存當前配置到存儲設備中，形成保存的配置文件。

2.3.4 交換機端口基礎配置

交換機之間通過以太網端口連接時需要協商端口參數，比如速率、雙工模式等，因此根據實際網絡環境，管理員需要對交換機某些端口進行一些基本配置，本小節就介紹交換機端口的基礎配置。

1．學習情境

學校計算機系要對三個軟件實驗室進行網絡建設，每個實驗室都配置一臺S3700交換機作為接入層交換機，一臺S5700交換機作為匯聚層設備，所有S3700交換機都通過千兆線路接入到S5700。為了正常應用，管理員需要對這幾臺交換機連接端口進行基本配置。在華為eNSP軟件中搭建如圖2-18所示的網絡拓撲。

2．選擇交換機以太網端口

交換機配置多會涉及對端口的配置，而操作前需要先根據端口的標識選擇所要配置的端口。交換機的端口標識由端口的類型、模塊號和端口號等組成。例如，華為S3700交換機Ethernet0/0/1的端口標識中的“Ethernet”表示端口類型為百兆以太網端口，“0/0/1”這三個數字表示0號槽位中的第1個子卡上的第1個端口。S3700交換機的交換板、業務板和主控板是一體的，因此統一取值為0。

（1）選擇一個以太網端口

在選擇交換機的端口時，首先要注意端口的類型。以太網端口類型一般會根據速率來標識，后面在介紹路由器時還會使用非以太網的串口。

選擇0號槽位的第一個子卡的第5個百兆以太網端口，配置命令如下。

選擇端口的目的就是進入相應端口的接口視圖進行相關配置操作。下面的命令是選擇0號槽位的第1個子卡的第1個千兆以太網端口。

（2）選擇多個以太網端口

在交換機的端口配置中，很多情況下需要為一組端口配置相同的參數。為了提高效率，需要一次性對多個端口進行配置，這就需要先同時選擇多個端口。同時選擇多個端口的方法如下所示。

3．配置交換機以太網端口

交換機以太網端口需要配置的參數很多，這里主要介紹常用的基本配置，其他配置會在后面的課程中逐步涉及。

（1）配置端口描述

在實際配置中，可對端口指定一個描述性的說明文字，備注端口的功能和用途等。以圖2-18所示的拓撲為例，在名為“S1”的交換機上為連接S5700交換機的端口添加“ToS5700”的描述，為1～10號百兆以太網端口添加“ToSLab1”的描述。

（2）設置端口速率

默認情況下，交換機的端口速率為自動協商，此時鏈路的兩個端口將交流有關各自能力的信息，從而選擇一個雙方都支持的最大速率。但在某些情況下需要強制指定端口速率，例如對于交換機千兆以太網端口，為了避免小于千兆的設備或端口接入此端口，可以指定此端口的速率為1000Mbit/s。強制指定端口速率的配置方式是首先關閉端口的自動協商模式，再配置端口速率。下面將S1連接匯聚層S4的端口工作速率指定為1000Mbit/s。

注意：端口速率不能超過端口所能支持的最大速率，例如對百兆以太網端口無法指定其速率為1000Mbit/s。在實際使用中，由于關閉了自動協商功能，因此連接的兩端端口需要設置為相同速率。

（3）設置端口單雙工模式

默認情況下，端口的單雙工模式也是自動協商。在自行指定的情況下，需要在配置交換機時注意端口的單雙工模式是否匹配。如果鏈路的一端設置的是全雙工，而另一端是半雙工，則會造成響應差和高出錯率，并引起嚴重的丟包現象，給用戶的感受是計算機無法連接網絡。

端口單雙工模式的配置方法是首先關閉端口的自動協商模式，再配置端口單雙工模式。命令中的參數full代表全雙工（full-duplex），half代表半雙工（half-duplex），下面將S1連接匯聚層S4的端口工作模式指定為全雙工。

（4）禁用和啟用端口

通常情況下，交換機端口在沒有連接其他設備時始終處于關閉（shutdown）狀態。對處于工作狀態的端口，可根據管理的需要進行啟用或禁用。例如，若發現連接在某個端口的計算機正大量向外發送數據包，影響了網絡的正常使用，此時就可禁用該端口以將該主機從網絡斷開。禁用端口的命令為“shutdown”，啟用端口的命令為“undo shutdown”。