号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部 上午好,我的网工朋友 在网络基础设施建设中,交换机作为连接各个设备的关键组件,扮演着不可或缺的角色。
H3C(杭州华三通信技术有限公司)作为中国领先的IT基础架构产品及解决方案提供商,以其高性能、高安全性以及易于管理的特点,赢得了市场的广泛认可。
对于网工来说,无论是新建网络还是维护现有系统,了解如何正确配置和管理这些设备,能够显著提高工作效率,并确保网络的稳定性和安全性。
今日文章阅读福利:《官方出品-M-LAG配置指南(82页)》 分享一份长达 82页华为官方出品的M-LAG配置指南 给你,绝对干货!
私信发送暗号“M-LAG”,即可限时获取资料哈。
(ps.顺手再送一份M-LAG最佳实践白皮书哈)
01 准备工作 01 硬件准备 设备清单 1.H3C交换机 : 根据需求选择合适的型号,如S5130、S7500等。
确保交换机处于良好工作状态,并已更新至最新的固件版本。
2.串口线或USB转串口适配器: 用于连接PC与交换机的Console接口,以便通过命令行界面(CLI)进行初始配置。
3.网线若干: 用于连接交换机与其他网络设备(如路由器、服务器、PC等),确保使用的是质量可靠的网线,以避免因物理连接问题导致的故障。
检查硬件连接 1.电源连接: 确认交换机电源线已正确插入电源插座,并且开关处于开启状态。
等待系统自检完成,确保所有指示灯正常工作。
2.Console连接: 使用串口线或USB转串口适配器将PC的USB端口与交换机的Console接口相连。
确保连接稳固,避免松动影响通信。
02 软件准备 终端仿真软件 推荐工具: SecureCRT: 功能强大,支持多种协议,适合专业技术人员使用。
PuTTY: 免费开源,简单易用,适用于大多数基本配置任务。
配置参数: 波特率: 9600 数据位: 8 停止位: 1 校验位: 无 流控: 无 管理软件(可选) iMC智能管理中心: 提供集中管理和监控多台H3C设备的功能,简化大规模网络环境下的运维工作。
可以根据实际需要安装和配置。
03 连接方式 控制台连接 步骤: 打开终端仿真软件,新建一个会话,按照上述参数配置串口连接。
连接好串口线后,打开终端仿真软件中的会话窗口,应能看到交换机的启动信息。
当系统提示输入用户名和密码时,根据默认设置或预先设定的信息进行登录。
首次登录通常不需要密码,直接按回车键进入用户视图。
远程登录(配置完成后) SSH配置: 配置完成后,可以通过SSH协议进行远程管理。
确保已在交换机上启用了SSH服务,并设置了管理员账户和强密码。
Telnet配置(不推荐): Telnet虽然也可以用于远程登录,但由于其传输数据未加密,存在安全隐患,因此建议优先使用SSH。
02 基本配置步骤 01 进入CLI模式 启动交换机 打开交换机电源,等待系统自检完成。
通常,在交换机启动过程中会显示一系列初始化信息,包括版本号、内存检测等。
连接到交换机 使用终端仿真软件(如SecureCRT或PuTTY)连接到交换机的Console接口,默认波特率为9600。
确保连接稳固,并打开终端仿真软件中的会话窗口。
进入用户视图和系统视图 用户视图: 登录后,默认进入的是用户视图(User View),在这里可以执行一些基本命令,如查看设备状态。
进入系统视图: 输入system-view命令进入系统视图(System View),这是进行详细配置的地方。
system-view
[H3C]
这不仅有助于区分多台设备,还能提高管理效率。
[H3C] sysname SwitchName
[SwitchName]
03 配置管理IP地址
为交换机配置一个管理IP地址,以便可以通过网络对其进行远程管理。
这里我们假设使用VLAN 1作为管理VLAN。
[SwitchName] interface Vlan-interface 1
[SwitchName-Vlan-interface1] ip address 192.168.1.1 255.255.255.0
[SwitchName-Vlan-interface1] quit
04 配置默认网关
为了使交换机能够访问外部网络,需要为其配置默认网关。
这里假设默认网关的IP地址为192.168.1.254。
[SwitchName] ip route-static 0.0.0.0 0.0.0.0 192.168.1.254
05 启用远程管理 为了方便远程管理,建议配置SSH服务。
创建管理员账户
[SwitchName] local-user admin class manage
[SwitchName-luser-manage-admin] password simple Admin@123
[SwitchName-luser-manage-admin] service-type ssh
[SwitchName-luser-manage-admin] authorization-attribute user-role network-admin
[SwitchName-luser-manage-admin] quit
启用SSH服务
[SwitchName] ssh server enable
配置VTY接口
[SwitchName] user-interface vty 0 4
[SwitchName-ui-vty0-4] authentication-mode aaa
[SwitchName-ui-vty0-4] protocol inbound ssh
[SwitchName-ui-vty0-4] quit
06 保存配置
完成上述配置后,记得保存配置以确保重启后配置不会丢失。
[SwitchName] save
The current configuration will be written to the device. Are you sure? [Y/N]: y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
Configuration is saved to device successfully.
03 常用功能配置
01 VLAN配置
VLAN(虚拟局域网)技术允许在同一物理网络上创建多个逻辑子网,从而提高网络的安全性和管理效率。
以下是创建VLAN并分配端口的具体步骤。
创建VLAN
[SwitchName] vlan batch 10 20
这条命令创建了两个VLAN,分别是VLAN 10和VLAN 20。
分配端口到VLAN 假设我们要将GigabitEthernet 1/0/1端口分配给VLAN 10,并将其设置为Access模式。
[SwitchName] interface GigabitEthernet 1/0/1
[SwitchName-GigabitEthernet1/0/1] port link-type access
[SwitchName-GigabitEthernet1/0/1] port default vlan 10
[SwitchName-GigabitEthernet1/0/1] quit
如果需要将某个端口设置为Trunk模式,并允许多个VLAN通过:
[SwitchName] interface GigabitEthernet 1/0/2
[SwitchName-GigabitEthernet1/0/2] port link-type trunk
[SwitchName-GigabitEthernet1/0/2] port trunk permit vlan all
[SwitchName-GigabitEthernet1/0/2] quit
02 端口安全配置
端口安全功能可以限制连接到特定端口的设备数量或MAC地址,防止未经授权的设备接入网络。
限制MAC地址数量 例如,限制GigabitEthernet 1/0/1端口只能有一个MAC地址连接:
[SwitchName] interface GigabitEthernet 1/0/1
[SwitchName-GigabitEthernet1/0/1] port-security enable
[SwitchName-GigabitEthernet1/0/1] port-security mac-address maximum 1
[SwitchName-GigabitEthernet1/0/1] quit
绑定静态MAC地址
如果希望绑定一个静态MAC地址到特定端口:
[SwitchName] mac-address static 0011-2233-4455 interface GigabitEthernet 1/0/1
03 配置802.1X认证 802.1X认证是一种基于端口的网络访问控制机制,确保只有经过身份验证的用户才能访问网络资源。
全局配置 首先,在全局范围内启用802.1X认证:
[SwitchName] dot1x enable
接口配置 然后,在具体接口上启用802.1X认证:
[SwitchName] interface GigabitEthernet 1/0/1
[SwitchName-GigabitEthernet1/0/1] dot1x enable
[SwitchName-GigabitEthernet1/0/1] quit
配置RADIUS服务器(可选)
如果使用RADIUS服务器进行身份验证,需要配置RADIUS服务器的相关参数:
[SwitchName] radius scheme radius-server
[SwitchName-radius-radius-server] primary authentication 192.168.1.100 1812
[SwitchName-radius-radius-server] key cipher H3C@123
[SwitchName-radius-radius-server] quit
[SwitchName] aaa
[SwitchName-aaa] authentication-scheme default
[SwitchName-aaa-authen-default] authentication-mode radius
[SwitchName-aaa-authen-default] quit
[SwitchName-aaa] domain default
[SwitchName-aaa-domain-default] authentication lan-access radius-scheme radius-server
[SwitchName-aaa-domain-default] quit
04 启用STP(生成树协议)
STP(Spanning Tree Protocol)用于防止网络中的环路问题,确保数据包不会在网络中无限循环。
全局启用STP
[SwitchName] stp enable
配置STP优先级(可选) 如果需要指定某台交换机作为根桥,可以通过调整其优先级来实现:
[SwitchName] stp priority 4096
查看STP状态
[SwitchName] display stp
04 故障排除与维护 01 常见问题排查 无法Ping通 检查物理连接: 确认网线是否插好,端口指示灯是否正常亮起。
检查IP地址配置: 确保目标设备的IP地址、子网掩码和默认网关设置正确。
检查路由表: 使用display ip routing-table命令查看路由表,确认是否有正确的路由条目。
[SwitchName] display ip routing-table
检查VLAN配置: 确认源和目标设备是否在同一VLAN内或已正确配置跨VLAN通信。
SSH连接失败 确认SSH服务状态: 检查SSH服务是否已启用,并且防火墙规则允许SSH流量通过。
[SwitchName] display ssh server status
验证管理员账户: 确认创建的管理员账户密码无误,权限配置正确。
检查VTY接口配置: 确认VTY接口已正确配置为仅允许SSH协议。
[SwitchName] display user-interface vty 0 4
端口不通 检查端口状态: 使用display interface命令查看具体端口的状态,确认端口是否处于up状态。
[SwitchName] display interface GigabitEthernet 1/0/1
检查端口安全配置: 如果启用了端口安全,检查是否有MAC地址限制或其他安全策略阻止了通信。
[SwitchName] display port-security interface GigabitEthernet 1/0/1
02 日志与告警 查看日志 显示系统日志缓冲区: 使用display logbuffer命令查看最近的日志信息,帮助定位问题。
[SwitchName] display logbuffer
保存日志到文件: 将日志保存到外部存储介质(如FTP服务器),便于后续分析。
[SwitchName] info-center logbuffer save ftp://user:password@ftpserver/logs.txt
配置告警 设置告警级别: 根据需要配置不同级别的告警信息,如紧急、重要、警告等。
[SwitchName] info-center source snmp trap level emergency
指定告警输出目的地: 配置告警信息输出到控制台、日志文件或远程服务器。
[SwitchName] info-center console channel 0
[SwitchName] info-center loghost 192.168.1.100
03 备份与恢复
备份配置文件
备份到本地存储:
将当前配置保存到闪存中,以便随时恢复。
[SwitchName] save
备份到FTP/TFTP服务器: 使用FTP或TFTP协议将配置文件备份到外部服务器。
[SwitchName] backup configuration to ftp://user:password@ftpserver/config.cfg
恢复配置文件 从本地恢复: 从闪存中恢复之前的配置文件。
[SwitchName] reset saved-configuration
从FTP/TFTP服务器恢复: 从外部服务器恢复配置文件。
[SwitchName] restore configuration from ftp://user:password@ftpserver/config.cfg
升级固件(可选) 下载新固件: 从官方网站下载适用于您设备的新版本固件文件。
上传固件到交换机: 使用FTP或TFTP将固件上传到交换机。
[SwitchName] tftp client upload flash:/newfirmware.bin ftp://user:password@ftpserver/newfirmware.bin
10.212.4.3 0025-9e7f-fd01 I - Vlanif27
10.212.4.129 0014-38b9-73c3 0 D-0 Eth4/0/42 27/-
10.212.4.133 00e0-fc94-cddd 0 D-0 Eth4/0/42 27/-
10.212.4.203 0018-7172-5901 0 D-0 Eth4/0/42 27/-
10.212.4.107 0011-43a3-388f 0 D-0 Eth4/0/42
启动固件升级:
执行固件升级操作,并重启设备以应用新固件。
[SwitchName] reboot
原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部