1. 开箱与初始化配置第一次拿到华为S5720交换机时我习惯先检查设备外观和配件。打开包装箱后除了主机外通常会附带电源线、Console线、挂耳和说明书。建议先确认设备型号是否正确设备前面板有明确标注然后找到Console口准备初始化配置。连接Console线需要特别注意华为交换机的Console口是RJ45接口需要使用USB转Console线或者串口转Console线。我习惯用SecureCRT这类终端工具波特率设置为9600数据位8无校验停止位1无流控。连接成功后通电你会看到设备启动日志按任意键进入初始配置界面。如果是全新设备首次登录不需要密码。但如果是二手设备可能需要重置密码。重置方法很简单重启设备时按CtrlB进入BootROM菜单选择Clear Console password即可。这个操作不会影响其他配置可以放心使用。2. 基础系统配置2.1 设备命名与系统信息给交换机起个有意义的名字很重要特别是在有多台设备的网络中。我通常使用位置型号的命名方式比如3F-S5720-01。配置命令很简单HUAWEI system-view [HUAWEI] sysname 3F-S5720-01设置时区对日志排查很有帮助[3F-S5720-01] clock timezone CST add 08:00:00建议再配置NTP服务确保所有设备时间同步[3F-S5720-01] ntp-service unicast-server 192.168.1.12.2 AAA认证体系搭建AAA认证是设备安全的基础我建议所有登录方式都采用AAA认证。先创建一个管理员账号[3F-S5720-01] aaa [3F-S5720-01-aaa] local-user admin user-type netmanager [3F-S5720-01-aaa] local-user admin password cipher Admin123 [3F-S5720-01-aaa] local-user admin privilege level 15 [3F-S5720-01-aaa] local-user admin service-type terminal ssh telnet http这里有几个注意点密码建议使用cipher类型加密privilege level 15是最高权限service-type要包含实际使用的登录方式3. 网络基础配置3.1 VLAN规划与配置中小企业通常需要划分多个VLAN。假设我们有以下需求VLAN 10管理VLANVLAN 20办公网络VLAN 30访客网络VLAN 40监控网络配置命令如下[3F-S5720-01] vlan batch 10 20 30 40 [3F-S5720-01] vlan 10 [3F-S5720-01-vlan10] description Management [3F-S5720-01-vlan10] quit给管理VLAN配置IP地址[3F-S5720-01] interface Vlanif 10 [3F-S5720-01-Vlanif10] ip address 192.168.10.1 24 [3F-S5720-01-Vlanif10] quit3.2 端口类型配置华为交换机的端口有三种模式access接入终端设备trunk连接其他交换机hybrid特殊场景使用配置trunk端口连接上层交换机[3F-S5720-01] interface GigabitEthernet 0/0/24 [3F-S5720-01-GigabitEthernet0/0/24] port link-type trunk [3F-S5720-01-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 30 40配置access端口连接电脑[3F-S5720-01] interface GigabitEthernet 0/0/1 [3F-S5720-01-GigabitEthernet0/0/1] port link-type access [3F-S5720-01-GigabitEthernet0/0/1] port default vlan 20批量配置端口的小技巧[3F-S5720-01] port-group 1 [3F-S5720-01-port-group-1] group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/20 [3F-S5720-01-port-group-1] port link-type access [3F-S5720-01-port-group-1] port default vlan 204. 远程管理配置4.1 SSH安全登录Telnet不够安全建议启用SSH[3F-S5720-01] rsa local-key-pair create [3F-S5720-01] stelnet server enable [3F-S5720-01] ssh user admin authentication-type password [3F-S5720-01] ssh user admin service-type stelnet4.2 ACL访问控制限制只有特定IP可以管理设备[3F-S5720-01] acl 2000 [3F-S5720-01-acl-basic-2000] rule permit source 192.168.10.100 0 [3F-S5720-01-acl-basic-2000] rule deny source any [3F-S5720-01-acl-basic-2000] quit应用ACL到VTY接口[3F-S5720-01] user-interface vty 0 4 [3F-S5720-01-ui-vty0-4] acl 2000 inbound [3F-S5720-01-ui-vty0-4] authentication-mode aaa [3F-S5720-01-ui-vty0-4] protocol inbound ssh5. 业务功能配置5.1 DHCP服务配置为办公网络提供DHCP服务[3F-S5720-01] dhcp enable [3F-S5720-01] interface Vlanif 20 [3F-S5720-01-Vlanif20] dhcp select interface [3F-S5720-01-Vlanif20] dhcp server dns-list 114.114.114.114 [3F-S5720-01-Vlanif20] dhcp server excluded-ip-address 192.168.20.1 192.168.20.105.2 端口安全配置防止非法设备接入[3F-S5720-01] interface GigabitEthernet 0/0/1 [3F-S5720-01-GigabitEthernet0/0/1] port-security enable [3F-S5720-01-GigabitEthernet0/0/1] port-security max-mac-num 1 [3F-S5720-01-GigabitEthernet0/0/1] port-security protect-action restrict5.3 链路聚合配置如果需要增加带宽和冗余可以配置链路聚合[3F-S5720-01] interface Eth-Trunk 1 [3F-S5720-01-Eth-Trunk1] port link-type trunk [3F-S5720-01-Eth-Trunk1] port trunk allow-pass vlan all [3F-S5720-01-Eth-Trunk1] quit [3F-S5720-01] interface GigabitEthernet 0/0/23 [3F-S5720-01-GigabitEthernet0/0/23] eth-trunk 1 [3F-S5720-01] interface GigabitEthernet 0/0/24 [3F-S5720-01-GigabitEthernet0/0/24] eth-trunk 16. 系统维护与优化6.1 配置文件管理保存当前配置3F-S5720-01 save备份配置到TFTP服务器3F-S5720-01 tftp 192.168.10.100 put vrpcfg.zip backup.zip6.2 日志配置配置日志服务器[3F-S5720-01] info-center enable [3F-S5720-01] info-center loghost 192.168.10.1006.3 系统升级查看当前版本3F-S5720-01 display version升级系统3F-S5720-01 tftp 192.168.10.100 get S5720-V200R019C10.cc 3F-S5720-01 startup system-software S5720-V200R019C10.cc 3F-S5720-01 reboot7. 常见问题排查7.1 端口状态检查查看所有端口状态3F-S5720-01 display interface brief查看特定端口详细信息3F-S5720-01 display interface GigabitEthernet 0/0/17.2 VLAN检查查看VLAN信息3F-S5720-01 display vlan查看端口所属VLAN3F-S5720-01 display port vlan GigabitEthernet 0/0/17.3 路由检查查看路由表3F-S5720-01 display ip routing-table添加默认路由[3F-S5720-01] ip route-static 0.0.0.0 0 192.168.10.254在实际项目中我遇到过不少配置问题。比如有一次trunk端口配置后VLAN不通最后发现是两端交换机允许通过的VLAN列表不一致。还有一次SSH无法登录检查发现是ACL规则配置错误。这些经验告诉我配置完成后一定要做全面测试。
实战手记:华为S5720交换机从零到业务就绪的配置全流程
1. 开箱与初始化配置第一次拿到华为S5720交换机时我习惯先检查设备外观和配件。打开包装箱后除了主机外通常会附带电源线、Console线、挂耳和说明书。建议先确认设备型号是否正确设备前面板有明确标注然后找到Console口准备初始化配置。连接Console线需要特别注意华为交换机的Console口是RJ45接口需要使用USB转Console线或者串口转Console线。我习惯用SecureCRT这类终端工具波特率设置为9600数据位8无校验停止位1无流控。连接成功后通电你会看到设备启动日志按任意键进入初始配置界面。如果是全新设备首次登录不需要密码。但如果是二手设备可能需要重置密码。重置方法很简单重启设备时按CtrlB进入BootROM菜单选择Clear Console password即可。这个操作不会影响其他配置可以放心使用。2. 基础系统配置2.1 设备命名与系统信息给交换机起个有意义的名字很重要特别是在有多台设备的网络中。我通常使用位置型号的命名方式比如3F-S5720-01。配置命令很简单HUAWEI system-view [HUAWEI] sysname 3F-S5720-01设置时区对日志排查很有帮助[3F-S5720-01] clock timezone CST add 08:00:00建议再配置NTP服务确保所有设备时间同步[3F-S5720-01] ntp-service unicast-server 192.168.1.12.2 AAA认证体系搭建AAA认证是设备安全的基础我建议所有登录方式都采用AAA认证。先创建一个管理员账号[3F-S5720-01] aaa [3F-S5720-01-aaa] local-user admin user-type netmanager [3F-S5720-01-aaa] local-user admin password cipher Admin123 [3F-S5720-01-aaa] local-user admin privilege level 15 [3F-S5720-01-aaa] local-user admin service-type terminal ssh telnet http这里有几个注意点密码建议使用cipher类型加密privilege level 15是最高权限service-type要包含实际使用的登录方式3. 网络基础配置3.1 VLAN规划与配置中小企业通常需要划分多个VLAN。假设我们有以下需求VLAN 10管理VLANVLAN 20办公网络VLAN 30访客网络VLAN 40监控网络配置命令如下[3F-S5720-01] vlan batch 10 20 30 40 [3F-S5720-01] vlan 10 [3F-S5720-01-vlan10] description Management [3F-S5720-01-vlan10] quit给管理VLAN配置IP地址[3F-S5720-01] interface Vlanif 10 [3F-S5720-01-Vlanif10] ip address 192.168.10.1 24 [3F-S5720-01-Vlanif10] quit3.2 端口类型配置华为交换机的端口有三种模式access接入终端设备trunk连接其他交换机hybrid特殊场景使用配置trunk端口连接上层交换机[3F-S5720-01] interface GigabitEthernet 0/0/24 [3F-S5720-01-GigabitEthernet0/0/24] port link-type trunk [3F-S5720-01-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 30 40配置access端口连接电脑[3F-S5720-01] interface GigabitEthernet 0/0/1 [3F-S5720-01-GigabitEthernet0/0/1] port link-type access [3F-S5720-01-GigabitEthernet0/0/1] port default vlan 20批量配置端口的小技巧[3F-S5720-01] port-group 1 [3F-S5720-01-port-group-1] group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/20 [3F-S5720-01-port-group-1] port link-type access [3F-S5720-01-port-group-1] port default vlan 204. 远程管理配置4.1 SSH安全登录Telnet不够安全建议启用SSH[3F-S5720-01] rsa local-key-pair create [3F-S5720-01] stelnet server enable [3F-S5720-01] ssh user admin authentication-type password [3F-S5720-01] ssh user admin service-type stelnet4.2 ACL访问控制限制只有特定IP可以管理设备[3F-S5720-01] acl 2000 [3F-S5720-01-acl-basic-2000] rule permit source 192.168.10.100 0 [3F-S5720-01-acl-basic-2000] rule deny source any [3F-S5720-01-acl-basic-2000] quit应用ACL到VTY接口[3F-S5720-01] user-interface vty 0 4 [3F-S5720-01-ui-vty0-4] acl 2000 inbound [3F-S5720-01-ui-vty0-4] authentication-mode aaa [3F-S5720-01-ui-vty0-4] protocol inbound ssh5. 业务功能配置5.1 DHCP服务配置为办公网络提供DHCP服务[3F-S5720-01] dhcp enable [3F-S5720-01] interface Vlanif 20 [3F-S5720-01-Vlanif20] dhcp select interface [3F-S5720-01-Vlanif20] dhcp server dns-list 114.114.114.114 [3F-S5720-01-Vlanif20] dhcp server excluded-ip-address 192.168.20.1 192.168.20.105.2 端口安全配置防止非法设备接入[3F-S5720-01] interface GigabitEthernet 0/0/1 [3F-S5720-01-GigabitEthernet0/0/1] port-security enable [3F-S5720-01-GigabitEthernet0/0/1] port-security max-mac-num 1 [3F-S5720-01-GigabitEthernet0/0/1] port-security protect-action restrict5.3 链路聚合配置如果需要增加带宽和冗余可以配置链路聚合[3F-S5720-01] interface Eth-Trunk 1 [3F-S5720-01-Eth-Trunk1] port link-type trunk [3F-S5720-01-Eth-Trunk1] port trunk allow-pass vlan all [3F-S5720-01-Eth-Trunk1] quit [3F-S5720-01] interface GigabitEthernet 0/0/23 [3F-S5720-01-GigabitEthernet0/0/23] eth-trunk 1 [3F-S5720-01] interface GigabitEthernet 0/0/24 [3F-S5720-01-GigabitEthernet0/0/24] eth-trunk 16. 系统维护与优化6.1 配置文件管理保存当前配置3F-S5720-01 save备份配置到TFTP服务器3F-S5720-01 tftp 192.168.10.100 put vrpcfg.zip backup.zip6.2 日志配置配置日志服务器[3F-S5720-01] info-center enable [3F-S5720-01] info-center loghost 192.168.10.1006.3 系统升级查看当前版本3F-S5720-01 display version升级系统3F-S5720-01 tftp 192.168.10.100 get S5720-V200R019C10.cc 3F-S5720-01 startup system-software S5720-V200R019C10.cc 3F-S5720-01 reboot7. 常见问题排查7.1 端口状态检查查看所有端口状态3F-S5720-01 display interface brief查看特定端口详细信息3F-S5720-01 display interface GigabitEthernet 0/0/17.2 VLAN检查查看VLAN信息3F-S5720-01 display vlan查看端口所属VLAN3F-S5720-01 display port vlan GigabitEthernet 0/0/17.3 路由检查查看路由表3F-S5720-01 display ip routing-table添加默认路由[3F-S5720-01] ip route-static 0.0.0.0 0 192.168.10.254在实际项目中我遇到过不少配置问题。比如有一次trunk端口配置后VLAN不通最后发现是两端交换机允许通过的VLAN列表不一致。还有一次SSH无法登录检查发现是ACL规则配置错误。这些经验告诉我配置完成后一定要做全面测试。
