华为交换机（如 S5700、S6720 系列）是经常应用于企业的核心网络设备，其命令行基于 VRP（Versatile Routing Platform）系统。本文从基础配置到高级功能，详细解析常用命令及场景。

一、基础配置

1.登录与系统视图:

# 通过Console或SSH登录后，进入用户视图

<Huawei> system-view # 进入系统视图

[Huawei] sysname SW1 # 修改设备名称为SW1

[SW1] quit # 退出到用户视图

2.配置管理 IP 与默认网关:

[SW1] interface Vlanif 1 # 进入默认VLAN接口（管理接口）

[SW1-Vlanif1] ip address 192.168.1.1 24 # 配置IP地址

[SW1-Vlanif1] quit

[SW1] ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 # 配置默认网关

3.用户权限与密码设置:

[SW1] user-interface console 0 # 进入Console口配置

[SW1-ui-console0] authentication-mode password

[SW1-ui-console0] set authentication password simple Huawei@123 # 明文密码

[SW1-ui-console0] quit

[SW1] aaa # 配置AAA认证

[SW1-aaa] local-user admin password cipher Admin@123 # 密文密码

[SW1-aaa] local-user admin service-type telnet ssh http # 允许服务类型

[SW1-aaa] quit

二、VLAN 与端口配置

1.创建 VLAN 并分配端口:

[SW1] vlan batch 10 20 30 # 批量创建VLAN 10/20/30

[SW1] interface GigabitEthernet0/0/1

[SW1-GigabitEthernet0/0/1] port link-type access # 设置为Access模式

[SW1-GigabitEthernet0/0/1] port default vlan 10 # 划入VLAN 10

[SW1-GigabitEthernet0/0/1] quit

2.配置 Trunk 端口:

[SW1] interface GigabitEthernet0/0/24

[SW1-GigabitEthernet0/0/24] port link-type trunk # 设置为Trunk模式

[SW1-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 # 允许VLAN 10和20

[SW1-GigabitEthernet0/0/24] quit

3.配置 Hybrid 端口（灵活端口模式）:

[SW1] interface GigabitEthernet0/0/5

[SW1-GigabitEthernet0/0/5] port link-type hybrid

[SW1-GigabitEthernet0/0/5] port hybrid pvid vlan 20 # 设置PVID为20

[SW1-GigabitEthernet0/0/5] port hybrid untagged vlan 20 # 剥离VLAN 20标签

[SW1-GigabitEthernet0/0/5] quit

三、路由与三层功能

1.配置 VLAN 间路由（SVI 接口）:

[SW1] interface Vlanif 10

[SW1-Vlanif10] ip address 192.168.10.1 24

[SW1-Vlanif10] quit

[SW1] interface Vlanif 20

[SW1-Vlanif20] ip address 192.168.20.1 24

[SW1-Vlanif20] quit

2.静态路由配置:

[SW1] ip route-static 10.0.0.0 255.255.255.0 192.168.1.254 # 下一跳为网关

3.启用 OSPF 动态路由（仅三层交换机支持）:

[SW1] ospf 1

[SW1-ospf-1] area 0

[SW1-ospf-1-area-0.0.0.0] network 192.168.10.0 0.0.0.255

[SW1-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255

[SW1-ospf-1-area-0.0.0.0] quit

四、安全配置

1.端口安全（MAC 地址绑定）:

[SW1] interface GigabitEthernet0/0/2

[SW1-GigabitEthernet0/0/2] port-security enable

[SW1-GigabitEthernet0/0/2] port-security max-mac-num 1 # 仅允许1个MAC地址

[SW1-GigabitEthernet0/0/2] port-security protect-action shutdown # 违规关闭端口

[SW1-GigabitEthernet0/0/2] quit

2.ACL 访问控制列表:

[SW1] acl 3000 # 创建高级ACL（3000-3999为L3/L4层ACL）

[SW1-acl-adv-3000] rule deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 # 禁止VLAN10访问VLAN20的TCP流量

[SW1-acl-adv-3000] quit

[SW1] interface Vlanif 10

[SW1-Vlanif10] traffic-filter inbound acl 3000 # 应用ACL到VLAN10入方向

[SW1-Vlanif10] quit

3.SSH 远程登录:

[SW1] stelnet server enable # 启用SSH服务

[SW1] rsa local-key-pair create # 生成RSA密钥

[SW1] user-interface vty 0 4

[SW1-ui-vty0-4] authentication-mode aaa # 绑定AAA认证

[SW1-ui-vty0-4] protocol inbound ssh # 仅允许SSH登录

[SW1-ui-vty0-4] quit

五、高级功能配置

1.链路聚合（Eth-Trunk）:

[SW1] interface Eth-Trunk 1 # 创建聚合组1

[SW1-Eth-Trunk1] mode lacp-static # 使用LACP协议

[SW1-Eth-Trunk1] trunkport GigabitEthernet 0/0/23 0/0/24 # 添加成员端口

[SW1-Eth-Trunk1] port link-type trunk

[SW1-Eth-Trunk1] port trunk allow-pass vlan all

[SW1-Eth-Trunk1] quit

2.QoS 流量优先级控制:

# 标记视频流量（DSCP 46）并分配高优先级队列

[SW1] traffic classifier video

[SW1-classifier-video] if-match dscp 46

[SW1-classifier-video] quit

[SW1] traffic behavior video

[SW1-behavior-video] queue af4 # 使用AF4队列（高优先级）

[SW1-behavior-video] quit

[SW1] traffic policy video-qos

[SW1-policy-video-qos] classifier video behavior video

[SW1-policy-video-qos] quit

[SW1] interface GigabitEthernet0/0/1

[SW1-GigabitEthernet0/0/1] traffic-policy video-qos inbound

[SW1-GigabitEthernet0/0/1] quit

3.DHCP 服务器配置:

[SW1] dhcp enable # 全局启用DHCP

[SW1] interface Vlanif 10

[SW1-Vlanif10] dhcp select interface # 基于接口分配IP

[SW1-Vlanif10] dhcp server excluded-ip-address 192.168.10.1 # 排除网关IP

[SW1-Vlanif10] dhcp server lease day 3 # 租期3天

[SW1-Vlanif10] quit

六、维护与故障排查

1.常用查看命令:

display current-configuration # 查看当前配置

display interface brief # 查看接口状态

display vlan # 查看VLAN信息

display mac-address # 查看MAC地址表

display cpu-usage # 查看CPU利用率

display logbuffer # 查看日志信息

2.配置备份与恢复:

# 备份配置到TFTP服务器

<SW1> tftp 192.168.1.100 put vrpcfg.zip # 上传配置文件

# 恢复配置

<SW1> reset saved-configuration # 清除启动配置

<SW1> reboot # 重启后重新配置

3.重置密码:

# 启动时按Ctrl+B进入BootROM菜单

# 选择"Clear Console Password"后重启

七、总结

通过以上配置，可实现华为交换机的核心功能部署：

基础网络：VLAN 划分、端口管理、IP 路由

安全加固：ACL、端口安全、SSH

高级优化：链路聚合、QoS、DHCP

运维保障：配置备份、日志监控

注意：

华为交换机命令需在系统视图[SW1]下执行，用户视图<SW1>仅支持查看和简单操作。

配置完成后一定要使用 save 命令保存配置，否则重启后配置丢失！