2.3 交换机初始配置

2.3.1 华为VRP命令行基本应用

大多数厂商生产的交换机等网络设备都是采用命令方式来实现配置，所以熟练掌握这些命令的使用是学习的重点，本书涉及的设备配置内容都是使用命令方式实现的。

1．命令行视图

VRP命令数目众多，为了实现对命令的分级管理，VRP系统将这些命令按照功能类型分别注册在不同的视图之下，如图2-4所示。每条命令都可以注册在一个或多个命令视图下，用户只有先进入这个命令所在的视图，才能执行相应的命令。

进入VRP系统的配置界面后，默认显示用户视图。在该视图下，用户可以查看设备的运行状态和统计信息。若要修改系统参数，用户必须由用户视图进入系统视图。用户还可以通过系统视图进入其他的功能配置视图，如接口视图和协议视图。

2．命令行视图的切换

（1）用户视图

登录交换机后直接进入该视图，在此视图下，只能执行用于查看系统信息、查询设备状态的命令和一些最基本的测试命令，如ping、traceroute等。通过提示符可以判断当前所处的视图，例如，“< >”表示用户视图，“[ ]”表示除用户视图以外的其他视图，如图2-5所示。在提示符“<Huawei>”中，“Huawei”是设备默认的主机名称。

（2）系统视图

在用户视图下无法进行与业务相关的配置，例如修改主机名称等，这些操作需要在系统视图下执行。在用户视图下可以通过“system-view”命令进入系统视图。

（3）接口视图

如果要对网络设备端口、Console端口或一些逻辑端口等进行配置，则需要从系统视图切换到接口视图，例如进入“interface Ethernet0/0/1”以太网端口的接口视图。

（4）协议视图

上述三种命令视图是二层交换机中用得比较多，如果要配置三层交换机或路由器，则有可能需要用到协议视图中的命令，例如配置rip路由需要进入协议视图。

注意：可以先从其他功能视图切换到系统视图，再用接口命令或协议命令进入接口视图或协议视图。也可以直接在其他功能视图界面中输入进入接口视图和协议视图的命令直接切换。不同接口或协议的提示符也有所区别。

（5）退出命令视图

利用quit命令可以从任意命令视图返回到上一层命令视图，例如从接口视图回到系统视图。

再次利用quit命令，可以返回到用户视图。

在任意命令视图下，使用return命令或快捷键〈Ctrl+Z〉可直接从当前视图返回到用户视图。

3．命令级别与用户权限级别

为了提高设备的安全性，VRP系统将命令进行分级管理。默认情况下，命令级别分为0～3级。在使用时，设备管理员可以设置用户级别，使各级别的用户只能使用对应级别的命令，用户级别分为0～15级。表2-1给出了用户级别与命令级别之间的对应关系。

注意：建议不要随意修改默认的命令级别。

4．VRP命令常用技巧

（1）“?”的作用

在命令行操作过程中，可随时用“?”获得帮助，例如在用户视图提示符下输入“?”会显示此视图下所有可以使用的命令。

如果在命令输入过程中，不知道此命令的可用参数，可以在命令后输入“?”获得此命令的可用参数，例如使用“display ?”命令显示display命令的可用参数。

（2）利用〈Tab〉键补全命令

例如：利用〈Tab〉键补全display命令

注意：〈Tab〉键补全命令的前提是要输入的字符是唯一的，例如，以“dis”开头的命令只有“display”，因此上面的命令中〈Tab〉键才会起作用。

（3）利用简写命令提高命令输入效率

只要输入的命令关键字和其他命令能够区分开，就可以使用简写命令，例如，“interface Ethernet 0/0/1”可以简写为“int e0/0/1”。

（4）undo命令行

undo命令行用来恢复默认配置、禁用某个功能或者删除某个配置。在命令前加“undo”就可以得到undo命令行，大多数命令都有对应的undo命令行。

（5）<Ctrl+C>快捷键

可以用<Ctrl+C>快捷键终止某条命令的执行，例如在ping命令的执行过程中，可用此组合键终止执行。表2-2所示是几个比较常用的快捷键。

2.3.2 登录交换机

交换机的配置和管理都需要利用计算机终端登录到交换机才能实施，而不同的工作环境所采用的登录方式也有所不同，所以需要根据实际情况选择合适的登录方式。

1．学习情境

学校购买了一批华为S3700交换机用于建设实验室网络，为了方便今后对这批交换机进行使用管理，需要进行基本的初始配置。由于交换机没有输入/输出设备，因此需要管理员利用计算机终端选择合适的方法登录到交换机，才能对其操作系统进行访问和配置。

2．选择登录方式

目前交换机主要有以下4种登录方式，简述如下。

（1）通过控制台端口（Console）登录交换机

此种方式中，将计算机RS232串口与交换机的Console端口通过配置电缆连接即可进行登录。只有经过这种方式登录交换机并进行管理IP地址、默认网关、口令等参数的初始配置，才可以通过网络用其他方式进行登录，后面将重点介绍这种登录方式。

（2）通过Telnet登录交换机

只要计算机和交换机能够通过网络通信，并且交换机已经设置了管理IP地址，就可以在计算机上利用SecureCRT、putty等终端仿真程序远程登录到交换机上。这种登录方式是交换机日常管理的一种重要方法，后面介绍的实践操作默认都用此方法登录交换机。

（3）通过Web登录交换机

与第二种方式一样，交换机需要先设置管理IP地址，并且开启相应的服务。此时，在能够与交换机进行通信的计算机上使用浏览器，利用管理IP地址登录交换机。这种方法的好处是可以提供图形化的配置管理界面，但对于企业级的交换机而言，有许多功能无法利用图形化界面进行配置，还是需要命令行方式。目前家用网络设备都利用这种方法进行登录和配置。

（4）通过网管软件登录交换机

网络管理的交换机都遵循SNMP（Simple Network Management Protocol，简单网络管理协议），只要在计算机上安装SNMP网络管理软件，就可以通过网络很方便地管理网络中所有的交换机。这种方法一般用在网络中交换机等设备数量比较多的情况，当然也需要事先配置好管理IP地址并设置相应的SNMP功能。

3．利用控制台端口登录交换机

上述4种交换机登录方式比较常用，且比较通用，大多数网络设备都可以使用上面的方法进行登录。对于新购置的华为S3700交换机，由于未做过任何配置，只能通过控制台端口登录交换机。

（1）利用Console端口连接交换机

对于新购买的交换机，不能通过配置IP地址、域名或设备名称等参数实现登录，需要通过Console端口连接并配置交换机。这是最常用、最基本的方法，也是网络管理员必须掌握的管理和配置方式。对于可管理的交换机一般都有一个名为Console的控制台端口，目前较新的交换机该端口都采用RJ-45接口，通过控制台端口，可实现对交换机的配置。常见配置线缆的一端是RJ-45水晶头，用于连接交换机的控制台端口，另一端提供DB-9（针）串行接口插头，用于连接计算机的串行接口，如图2-6所示。

由于笔记本计算机已经广泛使用，并且大部分管理人员都采用笔记本计算机作为管理计算机，而大部分笔记本计算机没有台式计算机的串行接口，所以必须使用USB-串口转接器和交换机自带的Console线组合，通过笔记本计算机的USB接口连接交换机的Console端口。USB-串口转接器如图2-7所示。

（2）设置控制台登录软件参数

线缆连接好就可以打开计算机和交换机的电源并进行软件配置了。目前终端仿真软件很多，常用的有Windows系统自带的“超级终端”工具、Putty、SecureCRT软件。本书所有配置实例都是在华为公司的学习软件eNSP上实现，所以无须使用其他登录软件。但为了让读者对实际登录方式形成基本认识，下面就以Windows系统自带的“超级终端”工具对实现交换机的登录做简单介绍，具体步骤如下。

1）单击“开始”按钮，执行“开始”→“程序”→“附件”→“超级终端”菜单命令，如图2-8所示。

2）双击“Hypertrm”图标，弹出“连接说明”对话框。该对话框用来新建一个超级终端连接。

3）在“名称”文本框中输入要新建的超级终端连接的名称，然后单击“确定”按钮，如图2-9所示。

4）在“连接时使用”下拉列表框中选择与交换机相连的计算机串口，单击“确定”按钮，如图2-10所示。

5）在“波特率”下拉列表框中选择“9600”，该数值是串口的最高通信速率，其他各选项都采用默认值，如图2-11所示。单击“确定”按钮，如果通信正常的话就会出现主配置界面，并显示交换机的初始配置情况。

目前，Windows 7操作系统及后续操作系统已经默认没有超级终端软件，如果需要可从网站下载，也可以使用SecureCRT等终端仿真程序进行控制台登录。

2.3.3 交换机登录状态配置

1．学习情境

由于对新购置的华为S3700交换机，需要先使用控制台端口登录，进行主机名、管理IP地址等参数的初始配置后，管理员才能使用最方便的Telnet方式登录交换机，从而进行日常管理和配置调整。在华为eNSP软件中搭建如图2-12所示的网络拓扑。注意，连接线选择“CTL”标识的线缆。

交换机的初始配置主要包括配置交换机的主机名称、管理IP地址、设置Console端口登录密码、设置远程登录用户密码和权限等参数，根据图2-12所示的拓扑，主要配置内容如下。

● 交换机主机名称为“S1”。

● 交换机管理IP地址为192.168.100.1/24。

● Console端口登录密码为“huawei”。

● 普通远程登录用户名为“user1”，密码为“testuser”，用户级别为0。

● 管理员远程登录用户名为“admin”，密码为“admin123”，用户级别为3。

2．控制台登录交换机

在eNSP软件中的操作步骤如下。

1）在eNSP软件中选择S3700交换机和计算机，用Console线缆一端连接计算机的RS232端口，另一端连接交换机的Console端口。

2）启动计算机和交换机，双击计算机会打开图2-13所示的对话框，选择“串口”标签，根据图示设置“波特率”等参数，完成后单击“连接”按钮，就可在“命令行”区域看到交换机命令行的提示符。

3．交换机配置和验证过程

（1）配置管理计算机的IP地址参数

为了后面的测试，首先需要设置管理计算机的IP地址参数为192.168.100.100/24，具体步骤如下。

1）双击“PC-管理计算机”图标，打开如图2-14所示的对话框，在其中配置IPv4静态IP地址和子网掩码。

2）输入完成后，单击“应用”按钮，然后关闭此对话框即可。

（2）配置交换机的Console端口和管理地址等参数

拓扑图中的设备启动完成后，双击交换机图标进入交换机命令行操作界面。此界面模拟的是Console端口登录，与图2-13中所用的方式相比更方便且显示效果更好，所以后面所有命令行操作基本都在此界面进行，主要操作内容如下。

1）修改交换机的主机名称。

2）配置管理IP地址。

对于二层交换机是无法将IP地址配置到某个二层物理端口上的，但可以将IP地址配置到交换机默认的虚拟局域网VLAN 1端口上，VLAN 1上的IP地址可以作为管理IP地址使用。在实际应用中，交换机的管理地址配置在管理VLAN的虚拟端口上。

3）设置Console端口登录密码。

在设置密码时，可以使用关键字“cipher”代替“simple”，就可以将密码以加密的形式保存在配置文件中。

4）测试管理IP地址和Console端口密码。

配置完成后，需要对这些配置进行实际操作才能验证配置是否合理和有效，下面分别测试管理IP地址和Console端口密码。

① 测试管理IP地址。

具体测试方法是在管理计算机上利用ping命令来检查计算机和交换机之间是否能够通信，如果可以通信，则表示管理IP地址配置正确。测试前需要在两台设备之间通过一条网线（双绞线）连接双方的以太网端口，如图2-15所示。

测试结果如图2-16所示，可以看到两台设备之间已经能够进行通信。

② 测试Console端口密码。

前面介绍过，在eNSP软件中，交换机等设备的命令行窗口模拟的就是Console端口登录后的界面，所以可直接在命令行窗口中进行测试，方法如下。

在默认情况下，在长时间不进行命令操作时，系统会自动从命令行视图中退出，这时必须使用密码重新登录。

（3）配置Telnet远程登录参数

在日常网络管理工作中，管理员通常是通过网络远程登录交换机进行管理和配置，这也是最广泛的一种应用方式。但远程登录只要通过网络就可实现，这也意味着设备安全性不如Console端口登录。为了避免用户的恶意登录或误操作，必须为远程登录设置登录密码和相应权限。由于远程登录方式很多，这里就采用最简单的Telnet登录模式来介绍密码设置和用户权限设置。

1）调整拓扑结构和配置。

由于eNSP软件中模拟的计算机没有telnet命令，因此必须添加一台交换机作为测试计算机。本例中添加一台S3700交换机，利用双绞线连接两台交换机的Ethernet0/0/2以太网端口，如图2-17所示。

因为添加的交换机是作为测试使用的，所以必须配置IP地址，配置过程与前面所介绍的交换机配置方法一样，下面只列出相关命令，配置IP地址为192.168.100.110/24，命令如下。

2）在S2交换机上测试能否远程登录S1交换机。

在S2交换机上输入如下命令。

尽管两台交换机之间已经能够正常通信，但考虑到设备安全问题，必须先设置好相应密码，才能使用Telnet登录进行远程登录。

3）设置Telnet登录密码。

为了能够以Telnet方式远程登录至S1交换机，需要在S1交换机上设置Telnet登录密码，配置过程如下。

4）测试Telnet登录。

在S2交换机上利用telnet命令登录S1交换机。

上述的操作表明，在S2交换机上利用telnet命令已经成功登录到S1交换机的用户视图，但无法进入系统视图，原因是利用telnet命令登录后，用户级别默认为0（参观级），只能使用ping、tracert等网络诊断命令。

5）为S1交换机Telnet登录设置用户。

根据本小节前面的配置要求可知，需要进行普通远程登录用户和独立管理员配置，两者分别拥有不同的权限，所以需要在S1交换机上进行相应配置。下面使用AAA认证方式进行配置。

6）测试普通用户远程登录S1交换机。

利用用户名user1登录S1交换机。

由于user1用户登录后的权限是用户级别0，因此无法切换到系统视图。下面再使用用户名admin进行登录。

可以观察到，因为admin用户权限为用户级别3，所以可以切换到系统视图，从而可对S1交换机进行配置和管理。

4．配置内容的查询和保存

（1）通过配置文件查看配置内容

在配置华为交换机或路由器的过程中，常用的查看命令是display。通过这个命令可以在配置过程中随时检查配置是否正确。此命令通过不同的参数可以查看许多信息，这里利用此命令查看当前交换机中正在生效的配置文件。

（2）保存当前配置

前面使用display current-configuration命令查看修改的配置内容，这些配置是存储在RAM中的，当交换机关机或重启时，这些配置就会丢失，所以需要进行保存操作保留这些配置。

设备中的配置文件分为两种类型：当前配置文件和保存的配置文件。其中，当前配置文件存储在设备的RAM中。用户可以通过命令行对设备进行配置，配置完成后使用save命令保存当前配置到存储设备中，形成保存的配置文件。

2.3.4 交换机端口基础配置

交换机之间通过以太网端口连接时需要协商端口参数，比如速率、双工模式等，因此根据实际网络环境，管理员需要对交换机某些端口进行一些基本配置，本小节就介绍交换机端口的基础配置。

1．学习情境

学校计算机系要对三个软件实验室进行网络建设，每个实验室都配置一台S3700交换机作为接入层交换机，一台S5700交换机作为汇聚层设备，所有S3700交换机都通过千兆线路接入到S5700。为了正常应用，管理员需要对这几台交换机连接端口进行基本配置。在华为eNSP软件中搭建如图2-18所示的网络拓扑。

2．选择交换机以太网端口

交换机配置多会涉及对端口的配置，而操作前需要先根据端口的标识选择所要配置的端口。交换机的端口标识由端口的类型、模块号和端口号等组成。例如，华为S3700交换机Ethernet0/0/1的端口标识中的“Ethernet”表示端口类型为百兆以太网端口，“0/0/1”这三个数字表示0号槽位中的第1个子卡上的第1个端口。S3700交换机的交换板、业务板和主控板是一体的，因此统一取值为0。

（1）选择一个以太网端口

在选择交换机的端口时，首先要注意端口的类型。以太网端口类型一般会根据速率来标识，后面在介绍路由器时还会使用非以太网的串口。

选择0号槽位的第一个子卡的第5个百兆以太网端口，配置命令如下。

选择端口的目的就是进入相应端口的接口视图进行相关配置操作。下面的命令是选择0号槽位的第1个子卡的第1个千兆以太网端口。

（2）选择多个以太网端口

在交换机的端口配置中，很多情况下需要为一组端口配置相同的参数。为了提高效率，需要一次性对多个端口进行配置，这就需要先同时选择多个端口。同时选择多个端口的方法如下所示。

3．配置交换机以太网端口

交换机以太网端口需要配置的参数很多，这里主要介绍常用的基本配置，其他配置会在后面的课程中逐步涉及。

（1）配置端口描述

在实际配置中，可对端口指定一个描述性的说明文字，备注端口的功能和用途等。以图2-18所示的拓扑为例，在名为“S1”的交换机上为连接S5700交换机的端口添加“ToS5700”的描述，为1～10号百兆以太网端口添加“ToSLab1”的描述。

（2）设置端口速率

默认情况下，交换机的端口速率为自动协商，此时链路的两个端口将交流有关各自能力的信息，从而选择一个双方都支持的最大速率。但在某些情况下需要强制指定端口速率，例如对于交换机千兆以太网端口，为了避免小于千兆的设备或端口接入此端口，可以指定此端口的速率为1000Mbit/s。强制指定端口速率的配置方式是首先关闭端口的自动协商模式，再配置端口速率。下面将S1连接汇聚层S4的端口工作速率指定为1000Mbit/s。

注意：端口速率不能超过端口所能支持的最大速率，例如对百兆以太网端口无法指定其速率为1000Mbit/s。在实际使用中，由于关闭了自动协商功能，因此连接的两端端口需要设置为相同速率。

（3）设置端口单双工模式

默认情况下，端口的单双工模式也是自动协商。在自行指定的情况下，需要在配置交换机时注意端口的单双工模式是否匹配。如果链路的一端设置的是全双工，而另一端是半双工，则会造成响应差和高出错率，并引起严重的丢包现象，给用户的感受是计算机无法连接网络。

端口单双工模式的配置方法是首先关闭端口的自动协商模式，再配置端口单双工模式。命令中的参数full代表全双工（full-duplex），half代表半双工（half-duplex），下面将S1连接汇聚层S4的端口工作模式指定为全双工。

（4）禁用和启用端口

通常情况下，交换机端口在没有连接其他设备时始终处于关闭（shutdown）状态。对处于工作状态的端口，可根据管理的需要进行启用或禁用。例如，若发现连接在某个端口的计算机正大量向外发送数据包，影响了网络的正常使用，此时就可禁用该端口以将该主机从网络断开。禁用端口的命令为“shutdown”，启用端口的命令为“undo shutdown”。