一、基础配置:初次登录与初始化
1. 登录交换机
- 通过Console线连接:
# 使用Putty/Xshell等工具,波特率9600,数据位8,停止位1,无校验 # 默认用户名/密码:admin/admin 或 无密码直接进入
- 通过Telnet/SSH登录(需先配置IP):
# 配置管理VLAN和IP <H3C> system-view [H3C] interface Vlan-interface 1 [H3C-Vlan-interface1] ip address 192.168.1.100 255.255.255.0 [H3C-Vlan-interface1] quit [H3C] telnet server enable # 开启Telnet服务
二、VLAN划分与端口分配
1. 创建VLAN并命名
[H3C] vlan 10 [H3C-vlan10] name Sales # 将VLAN 10命名为“Sales” [H3C-vlan10] quit
2. 将端口加入VLAN
GigabitEthernet1/0/1-5加入VLAN 10 [H3C] interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/5 [H3C-if-range] port link-type access # 设为接入模式 [H3C-if-range] port default vlan 10 [H3C-if-range] quit
三、链路聚合(LACP)
1. 创建聚合组并绑定端口
# 创建聚合组1,绑定G1/0/23和G1/0/24 [H3C] interface Bridge-Aggregation 1 [H3C-Bridge-Aggregation1] link-aggregation mode dynamic # 启用LACP动态协商 [H3C-Bridge-Aggregation1] quit [H3C] interface GigabitEthernet1/0/23 [H3C-GigabitEthernet1/0/23] port link-aggregation group 1 [H3C-GigabitEthernet1/0/23] quit [H3C] interface GigabitEthernet1/0/24 [H3C-GigabitEthernet1/0/24] port link-aggregation group 1 [H3C-GigabitEthernet1/0/24] quit
四、生成树协议(STP)
1. 启用STP并配置根桥
# 启用STP(默认MSTP模式) [H3C] stp global enable # 将当前交换机配置为根桥 [H3C] stp root primary # 主根桥 # 或指定备份根桥 [H3C] stp root secondary
五、DHCP中继
1. 配置VLAN接口IP和中继
# 假设DHCP服务器IP为192.168.100.1 [H3C] dhcp enable [H3C] interface Vlan-interface 10 [H3C-Vlan-interface10] ip address 192.168.10.1 255.255.255.0 [H3C-Vlan-interface10] dhcp select relay # 启用DHCP中继 [H3C-Vlan-interface10] dhcp relay server-address 192.168.100.1 [H3C-Vlan-interface10] quit
六、端口安全与ACL
1. 限制端口MAC地址数量
# 在G1/0/6端口限制最多学习3个MAC地址 [H3C] interface GigabitEthernet1/0/6 [H3C-GigabitEthernet1/0/6] port-security enable [H3C-GigabitEthernet1/0/6] port-security max-mac-count 3 [H3C-GigabitEthernet1/0/6] port-security intrusion-mode block # 违规后阻塞端口
2. 配置ACL禁止特定IP访问
# 禁止192.168.10.20访问192.168.20.0/24网段 [H3C] acl number 3000 [H3C-acl-adv-3000] rule deny ip source 192.168.10.20 0 destination 192.168.20.0 0.0.0.255 [H3C-acl-adv-3000] quit # 将ACL应用在VLAN 10的入方向 [H3C] interface Vlan-interface10 [H3C-Vlan-interface10] packet-filter 3000 inbound
七、SSH远程管理
1. 生成密钥并启用SSH
[H3C] public-key local create rsa # 生成RSA密钥 [H3C] ssh server enable # 启用SSH服务 [H3C] line vty 0 4 # 配置虚拟终端 [H3C-line-vty0-4] authentication-mode scheme # 启用用户名密码认证 [H3C-line-vty0-4] protocol inbound ssh # 仅允许SSH登录 [H3C-line-vty0-4] quit # 创建用户并授权 [H3C] local-user admin [H3C-luser-admin] password simple Admin@123 # 设置密码 [H3C-luser-admin] service-type ssh # 允许SSH访问 [H3C-luser-admin] authorization-attribute user-role network-admin # 授予管理员权限
八、配置文件管理与恢复
1. 保存配置
<H3C> save # 输入后确认文件名(默认startup.cfg)
2. 恢复出厂设置
<H3C> reset saved-configuration # 删除启动配置文件 <H3C> reboot # 重启后恢复出厂设置
九、常用诊断命令
| 命令 | 作用 | 示例输出解读 |
|---|---|---|
display interface |
查看端口状态与流量 | 检查端口是否UP,是否有错包 |
display vlan |
查看VLAN信息 | 确认VLAN是否创建,端口是否加入 |
display stp |
查看生成树状态 | 验证根桥选举和端口角色(Root/Designated) |
display mac-address |
查看MAC地址表 | 确认设备是否学习到正确MAC地址 |
display acl 3000 |
查看ACL规则匹配情况 | 检查ACL是否生效 |
十、实战案例:企业网络分段
场景需求
- 部门划分:市场部(VLAN 10)、财务部(VLAN 20)
- 安全要求:财务部禁止访问互联网,市场部限速100Mbps
配置步骤
- 创建VLAN并分配端口
vlan 10 name Marketing vlan 20 name Finance interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/10 port link-type access port default vlan 10 interface range GigabitEthernet1/0/11 to GigabitEthernet1/0/20 port link-type access port default vlan 20
- 配置ACL与流控
# 禁止VLAN 20访问外网(假设外网接口为G1/0/24) acl number 3001 rule deny ip source 192.168.20.0 0.0.0.255 destination any interface GigabitEthernet1/0/24 packet-filter 3001 inbound # 限制VLAN 10带宽为100Mbps traffic classifier Marketing if-match any traffic behavior Marketing car cir 100000 # 单位Kbps qos policy Marketing classifier Marketing behavior Marketing interface Vlan-interface10 qos apply policy Marketing inbound
十一、注意事项
- 版本兼容性:不同Comware版本命令可能有差异(如V5 vs V7)。
- 端口模式:连接交换机用
trunk,连接终端用access。 - 配置备份:定期使用
save保存配置,并通过FTP备份到服务器。
附:H3C模拟器推荐
- H3C Cloud Lab:官方免费模拟器,支持大部分交换机功能测试。
- eNSP:华为模拟器兼容部分H3C设备配置。
掌握以上配置,即可应对90%的H3C交换机运维场景!
评论0