刚接手公司网络的小王,面对华为交换机的命令行界面一脸懵——这满屏的代码到底该从哪敲起?别慌!今天咱们就用煮泡面的难度,教你搞定华为交换机配置。
一、基础配置四部曲
问:新交换机开箱后第一步做什么?
答:先接console线,用PuTTY登录,默认账号admin/Admin@123。记住这个跟WiFi初始密码一样重要,不修改分分钟被黑。
必做配置清单:
- 改设备名:sysname SW-3F
- 设管理IP:interface Vlanif 1 → ip address 192.168.1.254
- 开远程登录:ssh server enable
- 保存配置:save
某公司网管忘了做最后一步,断电后配置全丢,被老板骂了三天。血的教训告诉我们,save命令比ctrl+s还重要!
二、VLAN划分怎么玩
问:财务部要隔离网络咋整?
答:三步建立安全区:
① vlan batch 10 → 创建VLAN10
② interface g0/0/1 → port link-type access → port default vlan 10
③ interface Vlanif10 → ip add 10.10.10.1
实测发现,用hybrid端口更灵活:
port hybrid pvid vlan 10
port hybrid untagged vlan 10
port hybrid tagged vlan 20
去年帮学校机房改造,30个教室用VLAN隔离,广播风暴发生率直降90%。这效果比买新交换机还管用!
三、安全加固必做项
配置对比表:
| 风险点 | 危险配置 | 安全配置 |
|---|---|---|
| 密码泄露 | 默认密码 | AAA本地认证 |
| ARP欺骗 | 无防护 | arp anti-attack validate |
| 非法接入 | 端口全开 | 802.1x认证 |
| 配置篡改 | 全权限账号 | 分权分级 |
五道安全防线:
- 创建分级账号:aaa → local-user admin privilege 3
- 开启端口安全:port-security enable
- 限制MAC地址数:port-security max-mac-num 5
- 绑定IP-MAC:user-bind static ip 192.168.1.100 mac 5489-98xx
- 开启DHCP防护:dhcp snooping enable
某电商公司被攻破,就因没开端口安全,让人插台笔记本就进了内网。现在他们的交换机配置得比银行金库还严。
四、排障三板斧
问:全网瘫痪怎么快速定位?
答:按这个顺序查:
- 看灯:绿灯常亮=正常,红灯闪=故障
- ping网关:display arp看有没有管理IP
- 查日志:display logbuffer
救命命令清单:
→ display interface brief #看端口状态
→ display mac-address #查MAC表
→ reset counters interface #清空统计
上个月某工厂网络瘫痪,用display stp发现根桥被抢,5分钟解决战斗。这效率让外包工程师都直呼内行!
个人踩坑忠告
配过上百台华为交换机,总结三条铁律:
- 新机先改默认密码:别等被黑再后悔
- 配置前先拓朴图:VLAN划分要画图
- 版本升级要谨慎:先备配置再操作
最近发现华为eNSP模拟器超好用,新手先用虚拟环境练手,比真机实操少毁三台设备。下次你要配交换机,不妨先在电脑上模拟几遍,保准少走弯路!
点击分享到
微信二维码
