H3C交换机基本配置命令

H3C交换机基本配置

核心交换机——作为公司核心网络的主要中枢，合理的配置

1.认证方式为Scheme时的Telnet登录配置

dis cu 查看当前配置

[h3c]telnet server enable //启动Telnet服务

[h3c]local-user winda //创建本地用户winda

[h3c-luser-winda]password cipher 123456 //为本地用户winda创建密文显示的密码[h3c-luser-winda]service-type telnet //定义该用户的服务类型为telnet

[h3c-luser-winda]authorization-attribute level 3 //定义该用户的特权级别

[h3c-luser-winda]quit //退出用户配置模式

[h3c]user-interface vty 0 4 //设置虚拟用户端口

[h3c-ui-vty0-4]authentication-mode scheme //设定远程登录用户的登录方式使用用户名和密码

[h3c-ui-vty0-4]user privilege level 3 //设置远程登录用户登录后的最高级别

2.以太网端口的基本配置

（1）二层以太网端口中，包括三种类型：Access、Trunk、Hybrid

Interface Ethernet 1/0/1 //进入以太网端口视图

port link-type access //access端口：只能属于一个VLAN

port link-type trunk //trunk端口：属于多个VLAN，只允许默认VLAN的报

文发送时不携带VLAN标签

port link-type hybrid //hybrid端口：属于多个VLAN，可以允许多个VLAN的

报文发送时不携带VLAN标签

description text //设置以太网端口的描述字符串，用来表示该端口duplex {auto |full |half } //设置以太网端口的双工模式

speed{10 |100 |1000 |10000 | auto} //设置以太网端口的速率

（2）以太网端口环回监测功能配置

loopback-detection enable //开启环回监测功能

（3）端口组配置（手工端口组）

S3610、S5120、S5800系列：

port-group manual port-group-name//创建手工端口组，并进入手工端口组视图

S5510-EI系列：

port-group group-id

S3610、S5120、S5800系列：

group-member interface-list//添加二层以太网端口到指定手工端口组中

S5510-EI系列：

port interface-list

（4）手工端口汇聚组配置

link-aggregation group agg-id mode manual //创建手工汇聚组

link-aggregation group agg-id description agg-name //配置汇聚组描述符

port link-aggregation group agg-id //将以太网端口加入到指定的汇聚组

（5）端口绑定配置

am user-bind {mac-addr mac-address |ip-addr ip-address}* interface-list

//将合法用户的MAC地址和IP地址绑定到指定的端口上

（6）三层接口IP地址配置

interface vlan-interface vlan-id

ip address ip-address {mask |mask-length} [sub]

3.VLAN的基本配置

（1）VLAN的创建

vlan vlan-id //创建VLAN

（2）基于端口VLAN配置

Access端口：

port link-type access //(可选)默认情况下，端口的链路类型为access类型port access vlan vlan-id //将当前access端口加入到指定vlan

Trunk端口：

port link-type trunk //配置端口的链路类型为trunk类型

port trunk permit vlan {vlan-id-list | all}//将以上trunk端口加入到指定一个或多个VLAN port trunk pvid vlan vlan-id//（可选）设置以上trunk端口的默认VLAN

Hybrid端口：

port link-type hybrid //配置端口的链路类型为hybrid类型

port hybrid vlan vlan-id-list {tagged |untagged} //将以上hybrid端口加入到指定的一个或多个VLAN中

port hybrid pvid vlan vlan-id//（可选）设置以上hybrid端口的默认VLAN

4.端口镜像配置

（1）本地端口镜像配置

mirroring-group group-id local //未镜像组配置源端口，创建本地镜像组

●mirroring-group group-id mirroring-port mirroring-port-list{both |inbound |outbound}

//在系统视图下配置指定端口为本地镜像组的源端口

●interface interface-type interface-number

mirroring-group group-id mirroring-port {both |inbound |outbound}

//在接口视图下配置指定端口为本地镜像组的源端口

mirroring-group group-id mirroring-vlan mirroring-vlan-list{both | inbound |outbound}

//为本地镜像组配置源vlan，一个镜像组内可以配置多个源vlan

●mirroring-group group-id monitor-port monitor-port-id

//在系统视图下配置指定端口为本地镜像组的目的端口

●interface interface-type interface-number

mirroring-group group-id monitor-port

//在接口视图下配置指定端口为本地镜像组的目的端口

（2）二层远程端口镜像配置

a.反射端口方式

b.出端口方式

1)低端H3C交换机远程端口镜像的配置，如S3100、S5510、S5600：

◆充当源交换机时的配置

remote-probe vlan enable //将当前VLAN配置为远程镜像VLAN mirroring stp-collaboration //（可选）开启端口镜像与STP联动功能，开启该功能后，设备将通过监测端口的STP状态来自动控制该端口上的镜像功能是否生效。

mirroring-group group-id remote-source //创建远程源镜像组

mirroring-group group-id mirroring-port mirroring-port-list{both |inbound |outbound} //配置远程端口镜像源端口

mirroring-group group-id reflector-port reflector-port //为远程镜像组配置反射端口mirroring-group group-id remote-probe vlan remote-probe-vlan-id

//为指定远程源镜像组配置远程镜像VLAN

◆充当中间交换机时的配置

remote-probe vlan enable //定义当前VLAN配置为远程镜像VLAN

◆充当目的交换机的配置

remote-probe vlan enable //定义当前VLAN配置为远程镜像VLAN mirroring-group group-id remote-destination //配置远程目的镜像组

mirroring-group group-id monitor-port monitor-port //为远程目的镜像组配置目的端口mirroring-group group-id remote-probe vlan remote-probe-vlan-id

//为远程镜像组配置远程镜像VLAN

2)中高端H3C交换机二层远程端口镜像的配置

远程源镜像组配置：

mirroring-group group-id remote-source //创建远程源镜像组

●mirroring-group group-id mirroring-port mirroring-port-list{both |inbound |outbound}

//系统视图下配置指定端口为远程源镜像组源端口

●interface interface-type interface-number

mirroring-group group-id mirroring-port {both |inbound |outbound}

//接口视图下配置指定端口为远程源镜像组源端口

mirroring-group group-id mirroring-vlan mirroring-vlan-list {both | inbound | outbound}

//为远程源镜像组配置源VLAN

●mirroring-group group-id monitor-egress monitor-egress-port-id

//系统视图下配置指定端口为远程源镜像组的出端口

●interface interface-type interface-number

mirroring-group group-id monitor-egress

//接口视图下配置指定端口为远程源镜像组的出端口

●mirroring-group group-id reflector-port reflector-port

//系统视图下配置指定端口为远程源镜像组的反射端口

●interface interface-type interface-number

mirroring-group group-id reflector-port

//接口视图下配置指定端口为远程源镜像组的反射端口

mirroring-group group-id remote-probe vlan remote-probe-vlan-id

//为远程源镜像组配置远程镜像VLAN

远程目的镜像组配置

mirroring-group group-id remote-destination //配置远程目的镜像组

●mirroring-group group-id monitor-port monitor-port-id

//系统视图下配置指定端口为远程目的镜像组的目的端口

●interface interface-type interface-number

mirroring-group group-id monitor-port

//接口视图下配置指定端口为远程目的镜像组的目的端口

mirroring-group group-id remote-probe vlan remote-probe-vlan-id

//为远程目的镜像组配置远程镜像VLAN

（3）三层远程端口镜像配置

1)GRE隧道的配置

interface tunnel interface-number //创建一个Tunnel接口，并进入该视图

ip address ip-address {mask | mask-length} //设置Tunnel接口的IPV4地址tunnel-protocol gre //配置隧道模式为GRE隧道模式source {ip-address | interface-type interface-number} //设置Tunnel接口的源端地址或接口

destination ip-address //设置Tunnel接口的目的端地址

2)三层远程端口镜像配置

mirroring-group group-id local //创建本地镜像组

●mirroring-group group-id mirroring-port mirroring-port-list{both |inbound |outbound}

//系统视图下为本地镜像组配置源端口

●interface interface-type interface-number

mirroring-group group-id mirroring-port {both |inbound |outbound}

//接口视图下为本地镜像组配置源端口

mirroring-group group-id mirroring-cpu slot slot-number-list{both | inbound |outbound} //（仅S58系列支持）在系统视图下为本地镜像组配置源CPU

●mirroring-group group-id monitor-port monitor-port-id

//系统视图下为本地镜像组配置目的端口

●interface interface-type interface-number

mirroring-group group-id monitor-port

//接口视图下为本地镜像组配置目的端口

5.DHCP基本配置举例

常见的DHCP组网方式可分为两类：一种是DHCP服务器和客户端都在一个子网内，直接进行DHCP 协议的交互；第二种是DHCP 服务器和客户端分别处于不同的子网中，必须通过DHCP 中继代理实现IP 地址的分配。

（1）DHCP地址池的配置

示例一：DHCP 服务器为同一网段中的客户端动态分配IP 地址，地址池网段10.1.1.0/24 分为两个网段：10.1.1.0/25 和10.1.1.128/25。DHCP 服务器两个Ethernet 接口地址分别为10.1.1.1/25 和10.1.1.129/25。网段10.1.1.0/25 内的地址租用期限为10 天12 小时，域名为huawei.com，DNS 地址为10.1.1.2，无NetBIOS 地址，出口路由器地址为10.1.1.126；网段10.1.1.128/25 网段内的地址租用期限为 5 天，DNS 地址为10.1.1.2，NetBIOS 地址为10.1.1.4，出口路由器的地址为10.1.1.254。

# 启动DHCP 服务

dhcp enable

# 配置接口工作在DHCP 服务器模式下，并从全局地址池中分配IP 地址。

dhcp select global interface ethernet 0/0/0 to ethernet 0/0/1

# 配置不参与自动分配的IP 地址（DNS、NetBIOS 和出口网关地址）。

dhcp server forbidden-ip 10.1.1.2

dhcp server forbidden-ip 10.1.1.4

dhcp server forbidden-ip 10.1.1.126

dhcp server forbidden-ip 10.1.1.254

# 配置DHCP 地址池0 的共有属性（地址池范围、DNS 地址）。

dhcp server ip-pool 0

network 10.1.1.0 mask 255.255.255.0

dns-list 10.1.1.2

# 配置DHCP 地址池1 的属性（地址池范围、出口网关、地址租用期限）。

dhcp server ip-pool 1

network 10.1.1.0 mask 255.255.255.128

domain-name huawei.com

gateway-list 10.1.1.126

expired day 10 hour 12

# 配置DHCP 地址池2 的属性（地址池范围、出口网关、NetBIOS 地址、地址租用期限）。dhcp server ip-pool 2

network 10.10.1.128 mask 255.255.255.128

expired day 5

nbns-list 10.1.1.4

gateway-list 10.1.1.254

（2）DHCP中继配置

dhcp enable

dhcp relay server-group group-id ip ip-address

interface Vlan-interface vlan-id

ip address ip-address {mask |mask-length} [sub]

dhcp select relay

dhcp relay server-select group-id

6.SNMP配置

snmp-agent sys-info contact

//设置管理员的标识及联系方法，请把替换为你要设置成的值，下同。这个值初始是HuaWei BeiJing China，用指令display current-configuration可以在当前执行的配置的靠末尾看到该项。

snmp-agent sys-info location

//设置交换机的位置信息，这项初始没有设置。

snmp-agent community read public

//设置一个华为交换机snmp Community，使用该Community连接交换机时，只可以读取其华为交换机snmp信息。你可以把指令中的public换成你想要的字符串。

snmp-agent community write private

//设置一个华为交换机snmp Community，使用该Community连接交换机时，不仅可以读取其华为交换机snmp信息，还可以将值写入华为交换机snmp的MIB对象，实现对设备进行配置。你可以把指令中的private换成你想要的字符串。

snmp-agent sys-info version all

//设置交换机支持的华为交换机snmp协议，有v1,v2c,v3这3个版本，如果你不确定，最好设为all，将会同时支持这3个协议。在S3050C-0025上初始是只支持v3版本的，如果你没有正确设定它，mibbrower等一些读取软件可能会无法读取信息。

7.ACL配置

基本ACL：编号范围：2000~2999

高级ACL：编号范围：3000~3999

二层ACL：编号范围：4000~4999

（1）基本ACL配置

acl number acl-number [name acl-name][match-order {auto | config }]

//创建基本ACL并进入基本ACL视图

description text//（可选）定义ACL的描述信息

step step-value//（可选）定义ACL规则编号步长

rule [rule-id]{deny | permit }[counting |fragment |logging |source {sour-addr sour-wildcard | any} | time-range time-range-name |vpn-instance vpn-instance-name]*

//为以上IPV4基本ACL创建一条规则

rule rule-id comment text //（可选）为指定的规则配置描述信息

hardware-count enable //（可选）开启基于硬件应用的ACL统计功能

（2）高级ACL配置

acl number acl-number [name acl-name][match-order {auto | config }]

//创建IPV4高级ACL并进入高级ACL视图

description text//（可选）定义ACL的描述信息

step step-value//（可选）定义ACL规则编号步长

rule[rule-id]{deny| permit}protocol[{{ ack ack-value|fin fin-value|psh psh-value|rst rst-value|syn syn-value|urg urg-value}* |established} |counting|destination{dest-addr dest-wildcard|any} |destination-port operator port1[port2] | dscp dscp|fragment|icmp-type {icmp-type icmp-code|icmp-message} | logging| precedence precedence|reflective|source {sour-addr sour-wildcard| any} |source-port|operator port1[port2] |time-range time-range-name |tos tos |vpn-instance vpn-instance-name]*

//为以上IPV4高级ACL创建一条规则

rule rule-id comment text //（可选）为指定的规则配置描述信息

hardware-count enable //（可选）开启基于硬件应用的ACL统计功能

（3）二层ACL配置

acl number acl-number [name acl-name][match-order {auto | config }]

//创建二层ACL并进入二层ACL视图

description text//（可选）定义ACL的描述信息

step step-value//（可选）定义ACL规则编号步长

rule[rule-id]{deny| permit} [cos vlan-pri|counting|dest-mac dest-addr dest-mask|{lsap lsap-type lsap-type-mask|type protocol-type protocol-type-mask} |source-mac sour-addr source-mask |time-range time-range-name ]*

//定义二层ACL规则

rule rule-id comment text //（可选）为指定的规则配置描述信息

hardware-count enable //（可选）开启基于硬件应用的ACL统计功能

（4）ACL应用配置

acl copy {source-acl-number |name source-acl-name} to {dest-acl-number |name dest-acl-name} //ACL复制

packet-filter vlan vlan-id inbound acl-rule

//（可选）在指定VLAN中应用ACL，对VLAN中的所有端口上接收到的数据包进行过滤

8.QoS配置

（1）定义流分类和匹配规则；

（2）定义流行为；

（3）定义QoS策略，并将流分类和流行为绑定在一起；

（4）应用QoS策略。

●定义流分类

traffic classifier tcl-name [operator {and |or }] //定义一个流分类，并进入类视图

if-match match-criteria //定义对应流分类的匹配规则

●定义流行为

traffic behavior behavior-name//定义流行为，并进入流行为视图

●定义QoS策略

qos policy policy-name//定义策略并进入视图

classifier tcl-name behavior behavior-name [mode {dcbx |dot1q-tag-manipulation}]

//在策略中为类指定采用的流行为

●应用QoS策略

1)基于全局应用QoS策略

qos apply policy policy-name global {inbound |outbound}

2)基于端口应用QoS策略

qos apply policy policy-name {inbound |outbound}

3)基于在线用户应用QoS策略

user-profile profile-name //创建User Profile并进入相应的user-profile视图qos apply policy policy-name {inbound |outbound}

//在对应的在线用户上应用指定关联的QoS策略

user-profile profile-name enable //激活User profile

4)基于VLAN应用QoS策略

qos vlan-policy policy-name vlan vlan-id-list {inbound |outbound}

5)基于控制平面应用QoS策略

control-plane slot slot-number //进入控制平面视图

qos apply policy policy-name inbound //在控制平面入方向上应用指定的QoS策略

9.IRF配置

（1）Fabric端口配置

fabric-port interface-type interface-number enable //在系统视图下开启Fabric端口

interface interface-type interface-number

port link-type irf-fabric //在对应以太网端口视图下将对应以太网端口配置为Fabric端口（2）UnitID配置

change self-unit to {unit-id | auto-numbering} //系统视图下配置本地交换机的UnitID 1)更改当前交换机的UnitID

change unit-id to unit-id | auto-numbering

2)修改堆叠中其他交换机的UnitID

change unit-id unit-id1 to {unit-id2 | auto-numbering}

3)保存或取消设置更改

fabric save-unit-id

10.IRF2配置

（1）IRF基本配置

irf domain domain-id//IRF域编号配置

irf member member-id renumber new-member-id//IRF2成员编号配置

（2）IRF2端口配置

irf-port member-id/port-number //创建IRF2逻辑端口，进入IRF2逻辑端口视图port group interface interface-type interface-number [mode {enhanced |normal }]

//将IRF2逻辑端口和IRF2物理端口绑定

irf-port-configuration active //激活设备中所有IRF2逻辑端口下的配置

（3）IRF2成员优先级配置

irf member member-id priority priority

（4）IRF2成员设备描述信息配置

irf member member-id description text

（5）IRF2链路负载分担类型配置

irf-port load-sharing mode {destination-ip |destination-mac |source-ip |source-mac}*

（6）IRF2的桥MAC保留时间配置

irf mac-address persistent {timer |always}

（7）启用IRF2系统启动文件的自动加载功能

irf auto-update enable

（8）IRF2链路down延迟上报功能配置

irf link-delay interval

（9）IRF2 MAD配置

IRF2支持多IRF2的三种MAD检测方式：LACP MAD检测、BFD MAD检测、ARP MAD 检测。

①LACP MAD检测配置

interface bridge-aggregation interface-number

//创建二层聚合接口和二层聚合组，并进入二层聚合端口视图

link-aggregation mode dynamic

//配置以上聚合组工作在动态聚合模式下

mad enable //在以上静态聚合组中启用LACP MAD检测功能

interface interface-type interface-number

port link-aggregation group number //将以上二层以太网端口加入到指定的聚合组

②BFD MAD检测

interface vlan-interface interface-number

mad bfd enable //在以上VLAN接口上启用BFD MAD检测功能

mad ip address ip-address {mask |mask-length} member member-id

//为指定成员设备的以上VLAN接口配置MAD IP地址

③ARP MAD检测

interface vlan-interface interface-number

ip address ip-address {mask |mask-length}

mad arp enable //在以上VLAN接口上启用ARP MAD检测功能

11.ARP配置

arp static ip-address mac-address [vlan-id interface-type interface-number]

//手工添加静态ARP表项，相当于IP与MAC地址的静态绑定

arp timer aging aging-time //配置动态ARP表项的老化时间

arp check enable //开启ARP表项的检查功能

display arp [dynamic |static | ip-address ] //显示当前交换机上的ARP表项display arp [dynamic |staic] |{begin |include |exclude} regular-expression

//查看包含指定内容的ARP映射表

display arp count [[dynamic |static][|{begin |include |exclude} regular-expression ]| ip-address ] //查看指定类型的ARP表项的数目

display arp count detection statistics interface interface-type interface-number

//查看指定端口被丢弃掉的不可信任的ARP报文的数量

display arp timer aging //查看动态ARP老化定时器的时间

reset arp [dynamic |static |interface interface-type interface-number] //消除ARP表项

interface vlan-interface vlan-id

arp max-learning-num number

//在VLAN接口视图下配置允许学习的动态ARP表项的最大数目

arp anti-attack valid-check enable //系统视图下开启对ARP报文源MAC地址一致性检查功能

#ARP入侵检测功能配置：

dhcp-snooping //全局开启交换机DHCP Snooping功能

ip source static import dot1x //全局开启基于802.1x认证用户的ARP入侵检测功能

interface interface-type interface-number

dhcp-snooping trust //配置DHCP Snooping的信任端口

arp detection trust //设置当前端口为ARP信任端口

vlan vlan-id//进入VLAN视图

arp detection enable //开启指定VLAN内所有端口的ARP入侵检测功能

arp restricted-forwarding enable //在对应VLAN内开启ARP严格转发功能

#ARP报文限速功能配置：

interface interface-type interface-number

arp rate-limit enable //开启以上端口的ARP报文限速功能

arp rate-limit rate //配置允许通过的ARP报文的最大速率

arp protective-down recover enable //全局开启交换机上的端口状态自动恢复功能arp protective-down recover interval interval

//全局设置端口状态由关闭恢复为开启的时间间隔

#ARP代理配置：

interface Vlan-interface vlan-id

arp proxy enable //开启普通代理ARP功能

local-proxy-arp enable [ip-range startIP to endIP ] //开启本地代理ARP功能display arp proxy [interface vlan-interface vlan-id ]

//显示普通代理ARP和本地代理ARP的状态

12.集群配置

（1）NDP的启用及参数配置

ndp enable //启用NDP——用于收集邻接设备信息

ndp timer aging aging-in-seconds //指定接收设备应该保持本设备发送的NDP报文时间ndp timer hello seconds //修改NDP信息的更新频率

（2）NTDP的启用及参数配置

ntdp enable //启用NTDP——用于收集邻接设备拓扑信息

ntdp hop hop-value//配置拓扑收集范围

ntdp timer hop-delay time//配置当前设备转发拓扑收集请求的跳数延迟时间ntdp timer port-delay time//配置当前设备转发拓扑收集请求的端口延迟时间ntdp timer interval-in-minutes//配置定时拓扑收集的时间间隔

ntdp explore //启动拓扑信息的收集过程

（3）集群启用及配置

cluster enable //启用集群功能

#手动配置集群参数：

cluster //进入集群视图

ip-pool administrator-ip-address{ip-mask | ip-mask-length } //配置集群IP地址范围build name//创建集群，并为集群命名

holdtime seconds //配置交换机的有效保留时间

timer interval //配置握手报文定时发送的时间间隔

#自动创建集群：

cluster //进入集群视图

ip-pool administrator-ip-address{ip-mask | ip-mask-length } //配置集群IP地址范围auto-build [recover] //自动将候选交换机加入集群成为成员交换机

（4）集群内外交互配置

cluster //进入集群视图

ftp-server ip-address//配置集群内部公用的FTP服务器

tftp-server ip-address//配置集群内部公用的TFTP服务器

logging-host ip-address//配置集群内部公用的日志主机

snmp-host ip-address//配置集群内部公用的网管主机

（5）集群管理配置

1)基本管理操作

cluster //进入集群视图

add-member [member-number] mac-address H-H-H [password password]

//加入指定的交换机作为集群成员交换机

administrator-address mac-address name name//配置管理交换机的MAC地址

delete-member member-number//集群成员的删除

reboot member {member-number |mac-address H-H-H} [eraseflash] //重启指定的成员交换机

cluster switch-to {member-number |mac-address H-H-H |administrator}

//访问指定成员交换机

tracemac {by-mac mac-address vlan vlan-id |by-ip ip-address} [nondp]

//通过MAC地址或IP地址追踪设备

2)集群信息管理配置

display ndp [interface interface-list] //显示系统或指定端口的NDP配置信息

display ntdp //显示全局NTDP信息

display ntdp device-list[verbose] //显示NTDP收集到的设信息列表

display cluster //显示集群状态和统计信息

display cluster candidates [mac-address H-H-H |verbose] //显示候选交换机信息display cluster members [member-number |verbose] //显示集群成员信息

reset ndp statistics [interface interface-list] //清除NDP端口的统计信息