华为交换机路由器基础配置指南

参考详细请查看官方教程：

S300, S500, S2700, S5700, S6700 系列以太网交换机 V200R021C10 配置指南—基础配置

华为HCIA入门教程

1.交换机初始配置

1.1. 设置系统名称。

#执行命令sysname host-name，设置设备名称。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] undo sysname //恢复主机名到缺省情况

1.2. 设置设备所在地区和时区。

#执行命令clock timezone，配置设备所在地区及其对应的时区。
[HUAWEI] clock timezone Beijing add 08:00:00
[HUAWEI] quit

1.3. 配置设备的日期和时间。

#执行命令clock datetime设置当前时间和日期。
<HUAWEI> clock datetime 08:00:00 2024-12-01 

1.4. 查看设备的日期和时间。

执行命令display clock，查看系统当前日期和时钟。
<HUAWEI> display clock
2024-12-01 08:02:30+08:00
Saturday
Time Zone(Beijing) : UTC+08:00 

1.5. 配置设备管理IP地址和缺省网关。

#执行命令ip address，配置设备管理IP地址，执行命令ip route-static，配置设备缺省网关。

#对于有管理网口的设备，在管理网口下配置管理IP地址。
<HUAWEI> system-view
[HUAWEI] interface MEth 0/0/1
[HUAWEI-MEth0/0/1] ip address 10.10.10.2 255.255.255.0 //设备管理IP
[HUAWEI-MEth0/0/1] quit
[HUAWEI] ip route-static 0.0.0.0 0 10.10.10.1 //设备缺省网关

#对于没有管理网口的设备，在Vlanif接口下配置管理IP地址。
<HUAWEI> system-view
[HUAWEI] interface Vlanif 10
[HUAWEI-Vlanif10] ip address 10.10.10.2 255.255.255.0 //设备管理IP
[HUAWEI-Vlanif10] quit
[HUAWEI] ip route-static 0.0.0.0 0 10.10.10.1 //设备缺省网关

1.6. 查看IP路由信息。

#执行命令display ip interface brief，查看接口上IP地址的简要信息。执行命令display ip routing-table，查看IP路由信息。
[HUAWEI] display ip interface brief
*down: administratively down
^down: standby
(l): loopback
(s): äÝÑÑfing
(E): E-Trunk down
The number of interface that is UP in Physical is 2
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 2
The number of interface that is DOWN in Protocol is 1

Interface IP Address/Mask Physical Protocol
NULL0 unassigned up up(s)
Vlanif10 10.10.10.2/24 up up

[HUAWEI] display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
 Destinations : 5 Routes : 5

Destination/Mask Proto Pre Cost Flags NextHop Interface

 0.0.0.0/0 Static 60 0 RD 10.10.10.1 Vlanif10
 10.0.0.0/8 Direct 0 0 D 10.0.0.1 InLoopBack0
 10.0.0.1/32 Direct 0 0 D 10.0.0.1 InLoopBack0
 10.10.10.0/24 Direct 0 0 D 10.10.10.2 Vlanif10
 10.10.10.2/32 Direct 0 0 D 10.0.0.1 Vlanif10 

1.7.查看当前设备配置信息。

● display current-configuration，查看系统配置。

● display interface brief，查看接口摘要信息。 

● display clock，查看系统当前日期和时钟。 

● display ip interface brief，查看接口上IP地址的简要信息。

● display ip routing-table，查看系统路由信息。

● display user-interface，查看用户界面的物理属性和配置。 

● display local-user，查看本地用户列表。 

● display ssh user-information，在SSH服务器端查看SSH用户信息。

● display ssh server status，查看SSH服务器的全局配置信息。 

● display ssh server session，查看与SSH客户端连接的会话信息。

1.8.保持配置文件 和 清空配置恢复出厂设置

#保存配置（默认vrpcfg.zip）
<HUAWEI> save 

#保持当前所有配置到指定文件
<HUAWEI> save filename.zip  (或者filename.cfg)

#查看文件目录
<HUAWEI> dir

#清空配置恢复出厂设置
<HUAWEI> reset saved-configuration

2.配置通过STelnet远程登录设备

#配置VTY用户界面的支持协议类型、认证方式和用户级别。
[HUAWEI] user-interface vty 0 4            //进入VTY界面
[HUAWEI-ui-vty0-4] authentication-mode aaa //配置VTY用户界面认证方式为AAA认证
[HUAWEI-ui-vty0-4] protocol inbound ssh //配置VTY用户界面支持的协议为SSH
[HUAWEI-ui-vty0-4] user privilege level 15 //配置VTY用户界面的级别为15
[HUAWEI-ui-vty0-4] quit

#开启STelnet服务器功能并创建SSH用户。
[HUAWEI] stelnet server enable //使能设备的STelnet服务器功能
[HUAWEI] ssh user admin123 //创建SSH用户admin123
[HUAWEI] ssh user admin123 service-type stelnet //配置SSH用户的服务方式为STelnet

#配置SSH用户认证方式为Password（在aaa下创建ssh同名user，并设置密码）
[HUAWEI] ssh user admin123 authentication-type password //配置SSH用户认证方式为password
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password cipher abcd@123 //设置密码
[HUAWEI-aaa] local-user admin123 privilege level 15 
[HUAWEI-aaa] local-user admin123 service-type ssh 
[HUAWEI-aaa] quit
#保存配置
<HUAWEI> save 

连接测试

可以设置其他参数（可以参考下面表格参数），比如设置最大用户连接数为10

[HUAWEI]user-interface maximum-vty 10

3.配置文件管理

#保持配置(不指定文件，默认保存为vrpcfg.zip)
<HUAWEI> save

#将当前配置保持到指定文件
<HUAWEI> save 20240326cfg.zip

#比较配置文件（可以指定文件，比较当前的配置（包含离线配置）与下次启动的配置文件或者指定的配置文件的内容是否一致）
<HUAWEI>compare configuration


#查看文件目录
<HUAWEI>dir
Directory of flash:/

  Idx  Attr     Size(Byte)  Date        Time       FileName
    0  drw-              -  Aug 06 2015 21:26:42   src
    1  drw-              -  Mar 26 2024 13:19:24   compatible
    2  drw-              -  Mar 26 2024 15:35:36   cfgbak
    3  -rw-            120  Mar 26 2024 15:46:27   vrpcfg.zip
    4  drw-              -  Mar 27 2024 00:00:54   resetinfo
    5  -rw-            629  Mar 26 2024 15:42:10   20240326cfg.zip

32,004 KB total (31,944 KB free)

#查看系统当前启动的、和下一次启动的配置文件
<HUAWEI>display startup
MainBoard:
  Configured startup system software:        NULL
  Startup system software:                   NULL
  Next startup system software:              NULL
  Startup saved-configuration file:          flash:/vrpcfg.zip    #当前启动的配置文件
  Next startup saved-configuration file:     flash:/vrpcfg.zip    #下一次启动的配置文件
  Startup paf file:                          NULL
  Next startup paf file:                     NULL
  Startup license file:                      NULL
  Next startup license file:                 NULL
  Startup patch package:                     NULL
  Next startup patch package:                NULL

#指定下一次启动的配置文件
<HUAWEI>startup saved-configuration 20240326cfg.zip
<HUAWEI>display startup
MainBoard:
  Configured startup system software:        NULL
  Startup system software:                   NULL
  Next startup system software:              NULL
  Startup saved-configuration file:          flash:/vrpcfg.zip      #当前启动的配置文件
  Next startup saved-configuration file:     flash:/20240326cfg.zip #下一次启动的配置文件
  Startup paf file:                          NULL
  Next startup paf file:                     NULL
  Startup license file:                      NULL
  Next startup license file:                 NULL
  Startup patch package:                     NULL
  Next startup patch package:                NULL

对目录进行操作

操作项目	命令	说明
查看当前所处的目 录	pwd	-
改变当前所处的目 录	cd	-
显示目录中的文件 和子目录的列表	dir	-
创建目录	mkdir	-

操作项目	命令	说明
删除目录	rmdir	● 被删除的目录必须为空 目录。● 目录被删除后，无法从 回收站中恢复，原目录 下被删除的文件也彻底 从回收站中删除。

对文件进行操作

操作项目	命令	说明
显示文件的内容	**more ** filename	-
拷贝文件	copy source-filename destination-filename	● 在拷贝文件前，确保存 储器有足够的空间。● 若目标文件名与已经存 在的文件名重名，将提 示是否覆盖。
移动文件	move source-filename destination-filename	若目标文件名与已经存在 的文件名重名，将提示是 否覆盖。
重新命名文件	rename old-name new- name	-
压缩文件	zip source-filename destination-filename	-
解压缩文件	unzip source-filename destination-filename	-

操作项目	命令	说明
删除文件	delete filename	此命令不能删除目录。须知如果使用参数 /unreserved， 则删除后的文件不可恢复。
恢复删除的文件	undelete filename	执行delete命令（不带/unreserved参数）后，文 件将被放入回收站中。可 以执行此命令恢复回收站 中被删除的文件。
彻底删除回收站中 的文件	reset recycle-bin filename	需要永久删除回收站中的 文件时，可进行此操作。

4.文件上传和下载 FTP

#访问ftp服务器,
<HUAWEI>ftp 192.168.56.200
Trying 192.168.56.200 ...
Press CTRL+K to abort
Connected to 192.168.56.200.
220 Xlight FTP 3.9 ▒▒▒▒...
User(192.168.56.200:(none)):ftpuser   #用户名
331 ▒▒Ҫ▒▒▒▒ ftpuser
Enter password:                       #密码
230 ▒▒¼▒ɹ▒

[ftp]                                 #进入ftp 

#下载ftp服务器上文件到本地
[ftp]get filename                

#将本地文件上传到ftp服务器
[ftp]put filename

#可以dir 查看文件目录

通过 FTP命令进行文件操作

操作项目	命令	说明
改变服务器上的 工作路径	cd	-

操作项目	命令	说明
改变服务器的工 作路径到上一级 目录	cdup	-
显示服务器工作 路径	pwd	-
显示或者改变客 户端的工作路径	lcd	与****pwd****不同的是， ****lcd*命令执行 后显示的是客户端的本地工作 路径，而*pwd****显示的则是远端 服务器的工作路径。
在服务器上创建 目录	mkdir	创建的目录可以为字母和数字 等的组合，但不可以为<、>、？、\、：等特殊字符。
在服务器上删除 目录	rmdir	-
显示服务器上指 定目录或文件的 信息	dir	● ****ls*命令只能显示出目录/文件 的名称，而*dir****命令可以查看 目录/文件的详细信息，如大 小，创建日期等。● 如果指定远程文件时没有指 定路径名称，那么系统将在 用户的授权目录下搜索指定 的文件。
删除服务器上指 定文件	delete	-
上传单个或多个 文件	put 或者mput	● ****put****命令是上传单个文件。● ****mput****命令是上传多个文件。
下载单个或多个 文件	get或者mget	● ****get****命令是下载单个文件。● ****mget****命令是下载多个文件。
配置传输文件的 数据类型为ASCII 模式或二进制模 式	ascii	二选一● 缺省情况下，文件传输方式 为ASCII模式。● 传输文本文件使用ASCII方 式，传输程序、系统软件、 数据库文件等使用二进制模 式。

5.路由配置

HICA-IP路由基础.pdf

5.1.静态路由配置实例：

​

#命令
ip route-static [目标地址] [掩码] [下一跳地址]
#如果配置两条目标相同的地址，但下一跳地址不同，就会使这两条等价静态路由将数据进行负载分担,如下配置：
ip route-static 20.0.0.1 24 30.0.0.2
ip route-static 20.0.0.1 24 40.0.0.2  

#除非设置优先级（preference），那么这两条就变成备份,如下配置：
ip route-static 20.0.0.1 24 30.0.0.2
ip route-static 20.0.0.1 24 40.0.0.2 preference 100

5.2.动态路由--RIP路由协议示例（基于距离矢量的路由协议）：

#命令
[R1]rip
[R1-rip-1]version 2 #rip版本
[R1-rip-1]network [接口的网络地址]  #比如192.168.1.1/24  那么网络地址就是192.168.1.0，或者只要包含192.168.1.1/24地址的网络地址就行了.
#查看路由表
[R1]dis ip routing-table  

5.3.动态路由--OSPF配置（开放式最短路径优先）路由协议（基于链路状态的路由协议）：

5.3.1.在线文档：

HCIA-OSPF基础教程

5.3.2.基础命令

#创建OSPF
[R1] ospf router-id 1.1.1.1  //创建进程号为1，Router ID为1.1.1.1的OSPF进程
[R1-ospf-1] area 0            //创建area 0区域并进入area 0视图
[R1-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255   //配置area 0所包含的网段跟反掩码

#重启ospf进程
<R1>reset ospf process

#修改优先级（priority），路由中选举DR,BDR优先级条件；如果默认都不设置，那么RouterID排序进行选举
[R1-GigabitEthernet0/0/0]ospf dr-priority 100   //priority是基于接口的，所以必须进入接口视图设置priority值，越大越优先，

#修改接口的cost开销值,在路由状态链中，cost值越小越优先，决定数据走哪条线路
[R1-GigabitEthernet0/0/0]ospf cost 5  //

#查看路由邻居状态表
[R1]dis ospf peer brief 

	 OSPF Process 1 with Router ID 1.1.1.1
		  Peer Statistic Information
 ----------------------------------------------------------------------------
 Area Id          Interface                        Neighbor id      State    
 0.0.0.0          GigabitEthernet0/0/0             2.2.2.2          Full        
 0.0.0.0          GigabitEthernet0/0/0             3.3.3.3          Full        
 0.0.0.0          GigabitEthernet0/0/0             4.4.4.4          Full        
 ----------------------------------------------------------------------------

#查看DR、BDR信息表
[R1]dis ospf interface

	 OSPF Process 1 with Router ID 1.1.1.1
		 Interfaces 

 Area: 0.0.0.0          (MPLS TE not enabled)
 IP Address      Type         State    Cost    Pri   DR              BDR 
 192.168.0.1     Broadcast    DR       1       1     192.168.0.1     192.168.0.2

#查看ospf配置详细信息整体情况（可以看到进程号，路由器ID，有几个区域，区域类型，每个类型区域的数量、接口cost值、优先级Priority等）
[R1]dis ospf brief

	 OSPF Process 1 with Router ID 1.1.1.1
		 OSPF Protocol Information

 RouterID: 1.1.1.1          Border Router: 
 Multi-VPN-Instance is not enabled
 Global DS-TE Mode: Non-Standard IETF Mode
 Graceful-restart capability: disabled
 Helper support capability  : not configured
 Applications Supported: MPLS Traffic-Engineering 
 Spf-schedule-interval: max 10000ms, start 500ms, hold 1000ms
 Default ASE parameters: Metric: 1 Tag: 1 Type: 2
 Route Preference: 10 
 ASE Route Preference: 150 
 SPF Computation Count: 14    
 RFC 1583 Compatible
 Retransmission limitation is disabled
 Area Count: 1   Nssa Area Count: 0 
 ExChange/Loading Neighbors: 0
 Process total up interface count: 1
 Process valid up interface count: 1
 
 Area: 0.0.0.0          (MPLS TE not enabled)
 Authtype: None   Area flag: Normal
 SPF scheduled Count: 14    
 ExChange/Loading Neighbors: 0
 Router ID conflict state: Normal
 Area interface up count: 1

 Interface: 192.168.0.1 (GigabitEthernet0/0/0)
 Cost: 1       State: DR        Type: Broadcast    MTU: 1500  
 Priority: 1
 Designated Router: 192.168.0.1
 Backup Designated Router: 192.168.0.2
 Timers: Hello 10 , Dead 40 , Poll  120 , Retransmit 5 , Transmit Delay 1 


#查看全部路由信息
[R1]dis ip routing-table  
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 9        Routes : 9        

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        5.5.5.5/32  OSPF    10   2           D   192.168.0.3     GigabitEthernet
0/0/0
       34.0.0.0/24  OSPF    10   2           D   192.168.0.3     GigabitEthernet
0/0/0
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    192.168.0.0/24  Direct  0    0           D   192.168.0.1     GigabitEthernet
0/0/0
    192.168.0.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/0
  192.168.0.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

#查看ospf路由表信息
[R1]dis ip routing-table protocol ospf
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
         Destinations : 2        Routes : 2        

OSPF routing table status : <Active>
         Destinations : 2        Routes : 2

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        5.5.5.5/32  OSPF    10   2           D   192.168.0.3     GigabitEthernet
0/0/0
       34.0.0.0/24  OSPF    10   2           D   192.168.0.3     GigabitEthernet
0/0/0

OSPF routing table status : <Inactive>
         Destinations : 0        Routes : 0

5.3.3.OSPF认证配置：

#配置命令（选其一）
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 chen@123.com  //接口认证
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 qwe@123.com          //区域认证

5.3.4.OSPF配置实例：

5.3.5.路由综合配置实例：

以上配置成功后测试：

从R2中ping R7下的7.7.7.7地址

查看路由路线：

[R2]tracert 7.7.7.7

 traceroute to  7.7.7.7(7.7.7.7), max hops: 30 ,packet length: 40,press CTRL_C t
o break 

 1 10.1.1.1 30 ms  20 ms  20 ms 

 2 192.168.255.1 30 ms  30 ms  20 ms 

 3 151.151.1.1 20 ms  30 ms  20 ms 

 4 131.131.255.5 40 ms  30 ms  30 ms 

 5 131.131.255.2 30 ms  30 ms  30 ms 
 
 
 ##以上就是R2到7.7.7.7经过的路由

6.VLAN

HCIA-VLAN原理与配置.pdf

VLAN配置：

命令	备注
vlan 10	创建单个VLAN
vlan batch 10 to 20	创建多个VLAN
port link-type accessport link-type trunkport link-type hybrid	配置接口类型简写为P L A、P L T、P L H
port default vlan 10	配置access关联的VLAN/PVID,简写 P D V 10
port trunk allow-pass vlan 10	配置Trunk允许通过的VLAN，简写P L A V 10华为默认只允许VLAN1
port trunk pvid vlan 10	配置Trunk的PVID
port hybrid tagged vlan 10port hybrid untagged vlan 10	配置Hybird标记VLAN（标记和剥离）
port hybrid pvid vlan 10	配置Hybird的PVID
display vlan	验证VLAN
display port vlan 10	验证VLAN

VLAN的划分方法有多种，根据不同的场景，可以采用基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN，各种VLAN划分方式的介绍及适用场景如表1所示。

表1-1 VLAN划分方式差异表

划分方式	简介	适用场景
基于接口	根据交换机的接口来划分VLAN	适用于任何大小但位置比较固定的网络
基于MAC地址	根据数据帧的源MAC地址来划分VLAN	适用于位置经常移动但网卡不经常更换的小型网络
基于子网	据数据帧中的源IP地址和子网掩码来划分VLAN	适用于对安全需求不高、对移动性和简易管理需求较高的场景中
基于网络层协议	根据数据帧所属的协议（族）类型及封装格式来划分VLAN	适用于需要同时运行多协议的网络
基于匹配策略	根据配置的策略划分VLAN，能实现多种组合的划分方式，包括接口、MAC地址、IP地址等	适用于需求比较复杂的环境

其中，基于接口划分VLAN是最简单且最常用的划分VLAN的方式，而不同类型的接口上的配置方式也不相同，详细配置过程请参见VLAN的划分。

6.1.配置VLAN

命令	备注
vlan 10	创建单个VLAN
vlan batch 10 to 20	创建多个VLAN
port link-type accessport link-type trunkport link-type hybrid	配置接口类型简写为P L A、P L T、P L H
port default vlan 10	配置access关联的VLAN/PVID,简写 P D V 10
port trunk allow-pass vlan 10	配置Trunk允许通过的VLAN，简写P L A V 10华为默认只允许VLAN1
port trunk pvid vlan 10	配置Trunk的PVID
port hybrid tagged vlan 10port hybrid untagged vlan 10	配置Hybird标记VLAN（标记和剥离）
port hybrid pvid vlan 10	配置Hybird的PVID
display vlan	验证VLAN
display port vlan 10	验证VLAN

6.2.VLAN端口类型

交换机支持基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN，这里我们仅介绍最常用的VLAN划分方式：基于接口划分VLAN。

在设备上已经创建了VLAN的前提下，不同类型的接口加入VLAN的方法不同，如下所示：

Access接口

1. 执行命令interface interface-type interface-number，进入需要加入VLAN的以太网接口视图。
2. 执行命令port link-type access，配置接口类型为access。
3. 执行命令port default vlan vlan-id，配置接口的缺省VLAN并将接口加入到指定VLAN。

下面这个示例显示了如何将接口GE1/0/1配置为access接口，并将其加入VLAN 100，然后查看配置结果。

[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port link-type access
[HUAWEI-GigabitEthernet1/0/1] port default vlan 100
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] display port vlan gigabitethernet 1/0/1
Port                        Link Type    PVID  Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/1        access       100   -

Trunk接口

1. 执行命令interface interface-type interface-number，进入需要加入VLAN的以太网接口视图。

2. 执行命令port link-type trunk，配置接口类型为trunk。

3. 执行命令port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }，将接口加入到指定的VLAN中。

4. （可选）执行命令port trunk pvid vlan vlan-id，配置Trunk接口的缺省VLAN。

   说明：

   当接口下通过的VLAN为接口的缺省VLAN时，该VLAN对应的报文将以Untagged方式进行转发。也就是说接口是以Untagged方式加入该VLAN的。

下面这个示例显示了如何将接口GE1/0/2配置为trunk接口，并将其加入VLAN 100，然后查看配置结果。

[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] port link-type trunk
[HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 100
[HUAWEI-GigabitEthernet1/0/2] quit
[HUAWEI] display port vlan gigabitethernet 1/0/2
Port                        Link Type    PVID  Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/2        trunk        1     1 100

Hybrid接口

1. 执行命令interface interface-type interface-number，进入需要加入VLAN的以太网接口视图。

2. 执行命令port link-type hybrid，配置接口类型为hybrid。

3. 根据实际需要选择任一方式将接口加入VLAN：

   • 执行命令port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }，将Hybrid接口以Untagged方式加入VLAN，接口在发送帧时将帧中的VLAN Tag去掉。
   • 执行命令port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }，将Hybrid接口以Tagged方式加入VLAN，接口在发送帧时不将帧中的VLAN Tag去掉。

4. （可选）执行命令port hybrid pvid vlan vlan-id，配置Hybrid接口的缺省VLAN。

下面这个示例显示了如何将接口GE1/0/3配置为hybrid接口，并将其加入VLAN 100，然后查看配置结果。

[HUAWEI] interface gigabitethernet 1/0/3
[HUAWEI-GigabitEthernet1/0/3] port link-type hybrid
[HUAWEI-GigabitEthernet1/0/3] port hybrid tagged vlan 100
[HUAWEI-GigabitEthernet1/0/3] quit
[HUAWEI] display port vlan gigabitethernet 1/0/3
Port                        Link Type    PVID  Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/3        hybrid       1     100

6.3.配置实例

案例1：

案例2：

综合案例：

技术背景：

如下综合案例：

7.STP配置

7.1.配置命令

命令	备注
stp mode {mstp | stp | rstp}	调整STP的模式，默认MSTP
stp priority 4096	调整BID优先级值，0~61440，步长为4096的倍数
stp root primary / secondary	自动修改优先级，指定主/备根桥
stp pathcost-standard{ dot1d-1998 | dot1t | legacy }	配置计算路径开销值得标准
开销标准：	legacy标准：cost=1~200000，华为私有802.1d标准：cost=1~65535802.1t标准：cost=1~200000000，默认
stp cost 10	修改STP开销
stp port priority 144	修改PID优先级，0~240，步长为16的倍数
display stp brief	显示STP配置信息和参数
display stp int g0/0/1	显示接口上的STP信息

7.2.配置案例

组网需求

在一个复杂的网络中，网络规划者由于冗余备份的需要，一般都倾向于在设备之间部署多条物理链路，其中一条作主用链路，其他链路作备份。这样就难免会形成环形网络，若网络中存在环路，可能会引起广播风暴和MAC桥表项被破坏。

网络规划者规划好网络后，可以在网络中部署STP协议预防环路。当网络中存在环路，STP通过阻塞某个端口以达到破除环路的目的。如下图所示，当前网络中存在环路，RouterA、SwitchA、SwitchB、SwitchC和SwitchD都运行STP，通过彼此交互信息发现网络中的环路，并有选择的对某个端口进行阻塞，最终将环形网络结构修剪成无环路的树形网络结构，从而防止报文在环形网络中不断增生和无限循环，避免设备由于重复接收相同的报文造成处理能力下降。

配置STP功能组网图

配置思路

采用以下思路配置STP功能：

1. 在处于环形网络中的交换设备上配置STP基本功能，包括：

   1. 配置环网中的设备生成树协议工作在STP模式。

   2. 配置根桥和备份根桥设备。

   3. 配置端口的路径开销值，实现将该端口阻塞。

   4. 使能STP，实现破除环路，包括：

      • 设备全局使能STP。

      • 除与终端设备相连的端口外，其他端口使能STP。

操作步骤

​ 配置STP基本功能

1. 配置环网中的设备生成树协议工作在STP模式

   # 配置RouterA的生成树协议工作模式为STP。SwitchA、SwitchB、SwitchC、SwitchD的配置和RouterA类似，详见配置文件。

   <Huawei> system-view
   [Huawei] sysname RouterA
   [RouterA] stp mode stp
   

2. 配置根桥和备份根桥设备

   # 配置RouterA为根桥。

   [RouterA] stp root primary
   

   # 配置SwitchA为备份根桥。

   [SwitchA] stp root secondary
   

3. 配置端口的路径开销值

   说明 ：

   • 端口路径开销值取值范围由路径开销计算方法决定，这里选择使用华为私有计算方法为例，配置被阻塞的端口的路径开销值为200000。

   • 如实际场景中的交换机设备为非华为设备，请遵循“同一网络内所有交换设备的端口路径开销应使用相同计算方法”的原则进行配置。配置其他计算方法，请查阅STP路径开销列表。

   # 配置RouterA的端口路径开销缺省值的计算方法为华为私有计算方法。SwitchA、SwitchB、SwitchC、SwitchD的配置和RouterA类似，详见配置文件。

   [RouterA] stp pathcost-standard legacy
   

   # 配置SwitchC和SwitchD的Eth0/0/4路径开销值为200000。

   [SwitchC] interface Ethernet0/0/4
   [SwitchC-Ethernet0/0/4] stp cost 200000
   [SwitchC-Ethernet0/0/4] quit
   

   [SwitchD] interface Ethernet0/0/4
   [SwitchD-Ethernet0/0/4] stp cost 200000
   [SwitchD-Ethernet0/0/4] quit
   

4. 使能STP，实现破除环路

   • 将与PC机相连的端口去使能STP

     # 将交换机设备SwitchC上和PC相连的端口去使能STP。SwitchD的配置和SwitchC类似，详见配置文件。

     [SwitchC] interface ethernet 0/0/2
     [SwitchC-Ethernet0/0/2] stp disable
     [SwitchC-Ethernet0/0/2] quit
     [SwitchC] interface ethernet 0/0/3
     [SwitchC-Ethernet0/0/3] stp disable
     [SwitchC-Ethernet0/0/3] quit
     

   • 设备全局使能STP

     # 设备RouterA全局使能STP。

     [RouterA] stp enable
     

     # 为其他交换机设备配置全局使能STP。

   • 除与终端设备相连的端口外，其他端口使能STP

     # 设备RouterA的接口Eth2/0/0和Eth2/0/1使能STP。SwitchA、SwitchB、SwitchC、SwitchD的配置和RouterA类似，详见配置文件，除与终端设备PC相连的端口外，其他端口使能STP。

     [RouterA] interface ethernet 2/0/0
     

     [RouterA-Ethernet2/0/0] stp enable
     

     [RouterA-Ethernet2/0/0] quit
     

     [RouterA] interface ethernet 2/0/1
     

     [RouterA-Ethernet2/0/1] stp enable
     

     [RouterA-Ethernet2/0/1] quit
     

验证配置结果

# 等待35秒，在RouterA上执行display stp brief命令，端口Eth2/0/0和Eth2/0/1在生成树计算中被选举为指定端口，端口状态为Forwarding。

[RouterA] display stp brief
 MSTID  Port                        Role  STP State     Protection
   0    Ethernet2/0/0               DESI  FORWARDING      NONE
   0    Ethernet2/0/1               DESI  FORWARDING      NONE

# 在SwitchA上执行display stp brief命令，端口Eth0/0/1被选举为根端口，Eth0/0/2和Eth0/0/3被选举为指定端口，端口状态均为Forwarding。

[SwitchA] display stp brief
 MSTID  Port                        Role  STP State     Protection
   0    Ethernet0/0/1               ROOT  FORWARDING      NONE
   0    Ethernet0/0/2               DESI  FORWARDING      NONE
   0    Ethernet0/0/3               DESI  FORWARDING      NONE

# 在SwitchB上执行display stp brief命令，端口Eth0/0/1被选举为根端口，Eth0/0/2和Eth0/0/3被选举为指定端口，端口状态均为Forwarding。

[SwitchB] display stp brief
 MSTID  Port                        Role  STP State     Protection
   0    Ethernet0/0/1               ROOT  FORWARDING      NONE
   0    Ethernet0/0/2               DESI  FORWARDING      NONE
   0    Ethernet0/0/3               DESI  FORWARDING      NONE

# 在SwitchC上执行display stp brief命令，端口Eth0/0/1被选举为根端口，端口状态为Forwarding；端口Eth0/0/4被选举为指定端口，端口状态均为Discarding。

[SwitchC] display stp brief
 MSTID  Port                        Role  STP State     Protection
   0    Ethernet0/0/1               ROOT  FORWARDING      NONE
   0    Ethernet0/0/4               DESI  DISCARDING      NONE

# 在SwitchD上执行display stp brief命令，端口Eth0/0/1被选举为根端口，端口状态为Forwarding；端口Eth0/0/4被选举为指定端口，端口状态均为Discarding。

[SwitchD] display stp brief
 MSTID  Port                        Role  STP State     Protection
   0    Ethernet0/0/1               ROOT  FORWARDING      NONE
   0    Ethernet0/0/4               DESI  DISCARDING      NONE

8.DHCP配置

DHCP配置命令：

命令	备注
dhcp enable	开启DHCP功能
interface G0/0/0	进入具体接口开始配置
dhcp selcet interface	创建DHCP接口模式地址池
dhcp server dns-list 114.114.114.114 223.5.5.5	配置接口地址池的DNS服务器地址（可以配置多个）
dhcp server lease day 1 hour 12	配置接口地址池的租期，默认1天
dhcp server excluded-ip-address 192.168.10.100	配置接口地址池排除的地址
dhcp server static-bind-ip-address 192.168.10.100 mac-address xxxx.xxxx.xxxx	配置静态绑定
dhcp select globa	创建DHCP全局模式地址池
ip pool RoomA	创建全局地址池名称
network 192.168.10.0 mask 24	配置全局地址池可分配的网段地址
gateway-list 192.168.10.1	配置全局地址池的网关地址
dns-list 114.114.114.114 223.5.5.5	配置全局地址池的网关地址
lease day 1 hour 12	配置全局地址池下的租期，默认1天
excluded-ip-addess 192.168.10.111	配置全局地址池下的排除地址范围
dhcp select relay	关联接口开启中继代理
dhcp relay server-ip192.168.10.254	指定DHCP服务器的地址
display ip pool interface vlanif10 used	验证某接口地址池的信息
display ip pool name huawei used	验证全局地址池的信息
display ip pool [interface 接口名 all]	查看地址池的属性
ipconfig /release	释放租期
ipconfig /renew	重新获取

9.ACL配置

ACL类型：分为数字型ACL和命名ACL

数字式ACL：下列序号是比较熟悉的，对于高级的设备支持匹配的序号越多

分类	编号范围	匹配参数
基本ACLBasic access-list	2000~2999	源IP地址等
高级ACLAdvance access-list	3000~3999	源IP地址、目标IP地址、源端口、目标端口等
二层ACLSpecify a L2 acl group	4000~4999	源MAC地址、目标MAC地址、以太帧协议类型等
用户自定义ACLUser defined access-list	5000~5999	ipv4包头、ipv6包头、L2层包头、L4层包头等

命名式ACL：如果后面有名字默认就是高级ACL，如果名字后有数字那就根据数字编号来确定

例：acl name noweb（高级ACL，从3999开始倒叙编号）

acl name nochat 2266（基本ACL）

正掩码、反掩码、通配符区别：

名称	规则	作用	举例	备注
正掩码	连续的1和0	IP地址	255.255.255.0	1对应网络位，0对应主机位
反掩码	连续的1和0	路由协议OSPF等	0.0.0.255	0必须匹配，1无须匹配
通配符	任意的1和0	ACL	0.0.255.0	0必须匹配，1无须匹配

举例	备注
192.168.0.1 0.0.0.0/0	匹配一个主机地址
192.168.0.0 0.0.0.255	匹配一个网段
192.168.0.1 0.0.0.254	匹配网段内奇数地址
192.168.0.0 0.0.0.254	匹配网段内偶数地址
x.x.x.x 255.255.255.255	匹配所有地址

ACL配置：

命令	配置
acl 2000	创建一个基本ACL
rule 5 permit source 192.168.1.0 0.0.0.255rule 5 deny source 192.168.1.0 0.0.0.255	配置ACL的规则：允许或拒绝源地址为192.168.1.0/24网段内的所有流量
acl 3000	创建一个高级ACL
rule 5 permit/deny tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0 destination-port eq 80 eq 等于 gt 大于 lt 小于 range 范围	配置ACL的规则：允许或拒绝源地址为192.168.1.0/24网段内到8.8.8.8的http流量
traffic-filter inbound acl 2000traffic-filter outbound acl 2000	在接口上调用ACL过滤流量
display acl 2000	验证ACL2000
display traffic-filter applied-record	查看设备上所有基于ACL调用情况

ACL调用方向建议：基本在出接口，高级在内接口

• 基本ACL尽量调用在离目标最近的出站接口Outbound
• 高级ACL尽量调用在离源头最近的入站接口Inbound
• ACL的规则一般是先细后粗

基本ACL：允许或拒绝所有协议，我只关心你从哪里来

高级ACL：我可以知道你从哪里来，到哪里去，去做什么

10.NAT配置

10.1.静态NAT

• 静态NAT实现了私有地址和公有地址的一对一映射（一对一）

• 一个公网IP只会分配唯一固定的内网主机

• 如果希望一台主机专用某个公网地址，或者想要外网访问内网服务器时，可以使用静态NAT

• 静态NAT不能有效缓解公网地址短缺的问题

静态NAT配置：

命令	备注
nat static enable	开启NAT静态功能
nat static global 公网地址 inside 私网地址	创建静态NAT
display nat static	验证静态NAT的配置

10.2.动态NAT

• 动态NAT基于地址池来实现私有地址和公有地址的转换（多对多）

• 动态NAT定义了地址池，规定一个范围的地址可以供主机转换

• 动态NAT地址池中的地址用尽后，只能等待被占用的地址被释放，其他主机才能使用它来访问公网

• 动态NAT也不能有效缓解公网地址短缺的问题

10.3.NAPT(PAT)

• NAPT允许多个内部地址映射到同一个公有地址的不同端口（多对一）

• NAPT（Network Address Port Translation）也称为NAT-PT或PAT 网络地址端口转换

• 通常适用于大型企业网络（申请多个固定的公网地址）

• NAPT需要定义地址池，不能直接使用出接口的地址

• 有效的缓解了公网地址短缺的问题

动态NAT和PAT配置：（命令语句后不跟no-pat即为PAT模式，多对一）

命令	备注
nat address-group 编号 公网地址范围eg:nat address-group 1 12.0.0.50 12.0.0.100	配置NAT地址池
nat outbound acl 编号address-group 编号 [no-pat]eg: nat outbound 2000 address-group 1 no pat	关联一个ACL和一个NAT地址池（所以要先配置ACL的规则，允许哪些主机或网段可以上网）ACL用来匹配能够转换的源地址
no-pat	只转换地址而不转换端口
nat outbound acl 编号 address-group 编号	配置NAPT
display nat address-group	查看NAT地址池配置信息
display nat outbound	查看动态NAT配置信息
display nat session all	查看所有NAT会话内容

10.4.EasyIP(华为)

Easy IP：以出接口公网IP地址作为NAT的地址（SNAT）源端口转换

• 直接使用出接口的地址做转换

• Easy IP适用于小规模居于网中的主机访问Internet的场景

• 如：家庭、小型网吧、小型办公室中，这些地方内部主机不多，出接口可以通过拨号方式获取一个临时公网IP地址

• 有效的缓解了公网地址紧缺和不固定的公网地址转换问题

Easy IP 与NAPT的区别

• Easy IP直接把内部地址映射到网关出口地址上的不同端口，直接使用公网端口进行转发
• 不需要像NAPT那样创建公网地址池，也不需要知道公网地址池是多少

Easy IP配置：

命令	备注
nat outbound acl 编号	配置Easy IP 关联出站接口和ACL

11.NAT服务器配置（端口映射）

NAT服务器=端口映射=目的端口转换（DNAT转换）

• NAT具有“屏蔽”内部主机的作用，但有时内网需要向外网提供服务
• 当外网用户访问内网服务器时，出口设备通过事先配置好的“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系，将服务器的“公网IP地址和端口号”根据映射关系替换成对应的“私网IP地址+端口号”
• NAT服务器的公网IP地址和端口中，端口可以更改，提供安全性

NAT服务器配置：

命令	备注
nat server protocol tcp/udp global 公网地址 端口 inside 私网地址 端口	配置NAT服务器
nat server protocol tcp global current-interface 端口 inside 私网地址 端口	如果提供的服务地址=出接口地址，需要打current-interface命令，不能打公网地址
display nat server	查看NAT服务器

eg：讲内网服务器192.168.1.1的80端口映射到公网出接口s1/0/0的8989端口上

int s1/0/0

ip add 200.10.10.2 24

nat server protocol tcp global 202.10.10.1 8989 inside 192.168.1.1 80