网络工程师在日常运维和项目交付中,经常会与华为的交换机和路由器打交道。无论是划分VLAN隔离广播域,还是配置NAT让内网访问互联网,又或是部署VRRP实现网关冗余,都离不开一系列核心配置命令。为了帮助大家快速查阅和上手,本文梳理了华为设备(以交换机、路由器为例)从基础操作到高级功能的常用配置命令,并配以简明说明,方便你在实际工作中随用随查。
一、基础操作与视图切换
在对设备进行任何具体配置之前,首先需要掌握如何在不同的配置视图之间切换。这是所有配置的起点。
| 操作目的 |
命令 |
说明 |
| 进入系统视图 |
<Huawei> system-view |
从用户视图进入全局配置模式 |
| 设备重命名 |
[Huawei] sysname 设备名 |
自定义设备名称,便于管理 |
| 退出当前视图 |
[Huawei-xxx] quit |
返回上级视图,多次执行可退至用户视图 |
| 保存配置 |
[Huawei] save |
保存当前配置到设备闪存,避免重启丢失 |
| 查看配置 |
[Huawei] display current-configuration |
显示当前运行的全部配置 |
二、核心功能配置
(一)设备登录配置(Telnet)
远程管理设备是运维常态,通过 Telnet 进行登录是基础方式。以下是配置 Telnet 远程登录的完整步骤。
| 步骤 |
命令 |
说明 |
| 开启 Telnet 服务 |
[Huawei] telnet server enable |
允许通过 Telnet 协议登录设备 |
| 配置 VTY 端口 |
[Huawei] user-interface vty 0 4 |
开放 0-4 号虚拟终端,支持 5 个并发连接 |
| 指定登录协议 |
[Huawei-ui-vty0-4] protocol inbound telnet |
限制仅通过 Telnet 登录 |
| 配置认证方式 |
[Huawei-ui-vty0-4] authentication-mode aaa |
采用 AAA 认证机制 |
| 启用 AAA |
[Huawei] aaa |
进入 AAA 配置视图 |
| 创建本地用户 |
[Huawei-aaa] local-user 用户名 password 密码 |
配置登录用户名和密码 |
| 指定用户服务类型 |
[Huawei-aaa] local-user 用户名 service-type telnet |
限制用户仅用于 Telnet 登录 |
| 配置用户权限 |
[Huawei-aaa] local-user 用户名 privilege level 15 |
15 级为最高权限,可执行所有命令 |
(二)VLAN 与 VLANIF 配置
VLAN 是网络逻辑隔离的基础,而 VLANIF 接口则是实现不同 VLAN 间通信的关键。这些命令构成了二层交换与三层路由的基础。
| 操作目的 |
命令 |
说明 |
| 创建单个 VLAN |
[Switch] vlan 编号 |
例如 vlan 100,创建 VLAN 100 |
| 批量创建 VLAN |
[Switch] vlan batch 10 20 30 |
一次性创建多个连续或离散 VLAN |
| 接口设为 Access 模式 |
[Switch-GigabitEthernet0/0/1] port link-type access |
用于连接终端设备的接口模式 |
| 接口划入 VLAN |
[Switch-GigabitEthernet0/0/1] port default vlan 编号 |
将接口分配到指定 VLAN |
| 创建 VLANIF 接口 |
[Switch] interface vlanif 编号 |
三层接口,用于 VLAN 间路由 |
| 配置 VLANIF IP |
[Switch-Vlanif100] ip address IP地址 子网掩码 |
例如 ip address 172.16.1.1 24 |
(三)DHCP 配置
为终端设备自动分配 IP 地址,可以极大减轻运维工作量。华为设备支持全局地址池和基于接口的地址池两种模式。
1. 全局地址池模式
适用于为多个不同网段集中分配地址的场景。
| 步骤 |
命令 |
说明 |
| 启用 DHCP 服务 |
[Switch] dhcp enable |
全局开启 DHCP 功能 |
| 创建地址池 |
[Switch] ip pool 池名 |
例如 ip pool 1,创建名为 1 的地址池 |
| 配置地址范围 |
[Switch-ip-pool-1] network 网段 掩码 |
例如 network 10.1.1.0 mask 255.255.255.128 |
| 配置网关 |
[Switch-ip-pool-1] gateway-list 网关IP |
例如 gateway-list 10.1.1.1 |
| 配置 DNS |
[Switch-ip-pool-1] dns-list DNSIP |
例如 dns-list 10.1.1.1 |
| 排除保留 IP |
[Switch-ip-pool-1] excluded-ip-address 起始IP 结束IP |
预留不分配的 IP,如服务器地址 |
| 配置租期 |
[Switch-ip-pool-1] lease 天数 |
例如 lease 10,租期为 10 天 |
| 接口关联地址池 |
[Switch-Vlanif10] dhcp select global |
指定接口下终端从全局地址池获取 IP |
2. 接口地址池模式
配置更简单,适用于单个接口或 VLAN 下的地址分配。
| 步骤 |
命令 |
说明 |
| 启用 DHCP 服务 |
[Switch] dhcp enable |
全局开启 DHCP 功能 |
| 进入接口视图 |
[Switch] interface GigabitEthernet0/0/0 |
选择连接终端的接口 |
| 关联接口地址池 |
[Switch-GigabitEthernet0/0/0] dhcp select interface |
终端从接口所属网段获取 IP |
| 配置 DNS |
[Switch-GigabitEthernet0/0/0] dhcp server dns-list DNSIP |
例如 dhcp server dns-list 10.1.1.2 |
| 排除保留 IP |
[Switch-GigabitEthernet0/0/0] dhcp server excluded-ip-address 起始IP 结束IP |
排除接口自身 IP 等 |
| 配置租期 |
[Switch-GigabitEthernet0/0/0] dhcp server lease day 3 |
租期设为 3 天 |
(四)ACL 配置
访问控制列表是实施网络安全策略的重要手段,用于过滤和控制网络流量。正确配置 ACL 对于保障网络安全至关重要。
1. 基本 ACL(2000-2999,匹配源 IP)
主要用于基于源 IP 地址的简单过滤。
| 操作目的 |
命令 |
说明 |
| 创建基本 ACL |
[Huawei] acl 2000 |
创建编号为 2000 的基本 ACL |
| 允许指定源 IP |
[Huawei-acl-basic-2000] rule permit source 源IP 通配符 |
例如 rule permit source 192.168.1.10 0 |
| 拒绝指定源 IP |
[Huawei-acl-basic-2000] rule deny source 源IP 通配符 |
例如 rule deny source 192.168.2.0 0.0.0.255 |
| 配置时间段 |
[Huawei] time-range 名称 开始时间 to 结束时间 working-day |
例如 time-range workday 8:30 to 18:00 working-day |
| 绑定时间段 |
[Huawei-acl-basic-2000] rule permit source 源IP 通配符 time-range 名称 |
仅在指定时间段生效 |
| 接口应用 ACL |
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000 |
入方向应用 ACL,过滤接收的流量 |
2. 高级 ACL(3000-3999,匹配多条件)
功能更强大,可以基于协议、源/目的 IP、端口号等进行精细控制。
| 操作目的 |
命令 |
说明 |
| 创建高级 ACL |
[Huawei] acl 3001 |
创建编号为 3001 的高级 ACL |
| 拒绝 IP 协议访问 |
[Huawei-acl-adv-3001] rule deny ip source 源IP 通配符 destination 目的IP 通配符 |
例如拒绝 10.1.1.0/24 访问 10.1.2.0/24 |
| 允许 TCP 端口访问 |
[Huawei-acl-adv-3001] rule permit tcp source 源IP 通配符 destination 目的IP 通配符 destination-port eq 端口 |
例如允许访问 80 端口(HTTP) |
(五)NAT 配置
网络地址转换是将私有地址转换为公有地址以访问互联网的关键技术,在企业出口网关中应用广泛。
1. 静态 NAT(一对一映射)
为一个固定的内网地址分配一个固定的公网地址,常用于服务器发布。
| 操作目的 |
命令 |
说明 |
| 接口下配置映射 |
[Huawei-GigabitEthernet0/0/1] nat static global 公网IP inside 私网IP |
例如 nat static global 122.1.2.1 inside 192.168.1.1 |
| 系统视图配置映射 |
[Huawei] nat static global 公网IP inside 私网IP |
需在接口下启用:nat static enable |
2. 动态 NAT(地址池映射)
从公网地址池中动态分配地址给内网主机,不进行端口转换。
| 步骤 |
命令 |
说明 |
| 创建 NAT 地址池 |
[Router] nat address-group 编号 起始公网IP 结束公网IP |
例如 nat address-group 1 122.1.2.1 122.1.2.3 |
| 创建 ACL 匹配私网 |
[Router] acl 2000 |
创建 ACL 匹配需要转换的私网地址 |
| 允许私网网段 |
[Router-acl-basic-2000] rule permit source 私网IP 通配符 |
例如 rule permit source 192.168.1.0 0.0.0.255 |
| 接口应用 NAT |
[Router-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat |
不启用端口转换,1:1 临时映射 |
3. NAPT(端口复用)
最常见的 NAT 模式,多个私网 IP 共享一个或少数几个公网 IP,通过端口号区分不同会话。
| 步骤 |
命令 |
说明 |
| 创建地址池 |
[Router] nat address-group 1 122.1.2.1 122.1.2.1 |
单个公网 IP 复用 |
| 配置 ACL |
[Router] acl 2000 + rule permit source 192.168.1.0 0.0.0.255 |
匹配私网网段 |
| 接口应用 |
[Router-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 |
启用端口转换,多私网 IP 映射一个公网 IP |
4. Easy IP(无地址池)
直接使用接口的 IP 地址作为转换后的公网地址,适用于动态获取公网 IP(如PPPoE拨号)的场景。
| 步骤 |
命令 |
说明 |
| 配置 ACL |
[Router] acl 2000 + rule permit source 192.168.1.0 0.0.0.255 |
匹配私网网段 |
| 接口应用 |
[Router-GigabitEthernet0/0/1] nat outbound 2000 |
直接使用接口公网 IP 进行转换 |
5. NAT Server(内网服务器发布)
将内网服务器的某个端口映射到公网 IP 的端口上,实现从外网访问内网服务。
| 操作目的 |
命令 |
说明 |
| 发布 TCP 服务 |
[Router-GigabitEthernet0/0/1] nat server protocol tcp global 公网IP 端口 inside 私网IP 端口 |
例如 nat server protocol tcp global 122.1.2.1 8080 inside 192.168.1.10 80 |
(六)VRRP 配置
虚拟路由器冗余协议,用于实现网关设备的备份,提高网络可靠性。
| 操作目的 |
命令 |
说明 |
| 配置虚拟 IP |
[Huawei-GigabitEthernet0/0/0] vrrp vrid 编号 virtual-ip 虚拟IP |
例如 vrrp vrid 1 virtual-ip 192.168.1.254 |
| 配置优先级 |
[Huawei-GigabitEthernet0/0/0] vrrp vrid 编号 priority 数值 |
0-255,值越大越优先,默认 100 |
| 配置抢占模式 |
[Huawei-GigabitEthernet0/0/0] vrrp vrid 编号 preempt-mode timer delay 秒数 |
例如 delay 10,故障恢复后 10 秒抢占 Master |
| 禁用抢占模式 |
[Huawei-GigabitEthernet0/0/0] vrrp vrid 编号 preempt-mode disable |
避免频繁切换 |
| 跟踪上行接口 |
[Huawei-GigabitEthernet0/0/0] vrrp vrid 编号 track interface 接口名 reduced 数值 |
接口故障时降低优先级,例如 reduced 30 |
| 查看 VRRP 状态 |
[Huawei] display vrrp |
显示 VRRP 组状态、优先级等信息 |
三、常用验证命令
配置完成后,验证是必不可少的环节。以下命令可以帮助你快速检查各项功能的运行状态。
| 验证目的 |
命令 |
| 查看 VLAN 配置 |
display vlan brief |
| 查看 DHCP 地址池 |
display ip pool |
| 查看 ACL 配置 |
display acl 编号 |
| 查看 NAT 映射表 |
display nat session all |
| 查看 VRRP 状态 |
display vrrp |
| 查看接口状态 |
display interface GigabitEthernet0/0/1 |
这份命令速查表旨在帮助你快速定位和回忆常用配置。网络配置复杂多变,实际应用中还需结合具体的网络拓扑和业务需求进行调整。如果你想深入理解某个协议的原理或查看更多实战案例,欢迎访问云栈社区的技术文档板块,那里有更多同仁分享的详细教程和踩坑经验。 | 
发表于 15 小时前
|
查看: 1|
回复: 0
