华为交换机使用指南，从入门到实践

从入门到实践

在数字化时代，交换机作为网络的核心设备，连接着服务器、终端、摄像头等各类设备，是数据高效流转的“交通枢纽”，华为作为全球领先的ICT基础设施提供商，其交换机以高性能、高可靠性、易管理性等特点，广泛应用于企业、园区、数据中心等场景，本文将从基础概念、硬件连接、初始配置、核心功能到日常运维，手把手教你“华为交换机怎么用”,助你快速掌握交换机部署与管理技能。

初识华为交换机：核心概念与分类

在动手使用前，先了解华为交换机的基础知识，避免操作中“不知所云”。

交换机的核心作用

交换机工作在OSI模型的数据链路层（Layer 2），通过MAC地址识别设备，实现数据帧的精准转发，与集线器（广播式转发）不同，交换机能建立“独享带宽”的连接，大幅提升网络效率,避免数据冲突。

华为交换机的常见分类

• 按应用场景：
  • 接入层交换机：如S系列（如S5700、S6700），用于终端接入（电脑、AP、摄像头等），端口密度高，成本较低。
  • 汇聚层交换机：如S7700、S9700，用于接入层设备汇聚，具备三层路由能力和较高转发性能。
  • 核心层交换机：如CE12800、CE6800，用于网络核心高速转发，支持超大带宽、虚拟化等高级特性。
• 按管理方式：
  • 网管型交换机：支持CLI（命令行）、Web、SNMP等管理方式，可配置VLAN、路由、安全策略，本文以网管型交换机为例展开。
  • 非网管型交换机即插即用，无需配置,仅适用于小型简单网络。

第一步：硬件连接与初始准备

“工欲善其事，必先利其器”,正确的硬件连接是交换机稳定运行的前提。

开箱检查与配件确认

华为交换机包装通常包含：主机、电源模块（内置或外置）、Console线（用于初始配置）、说明书，检查设备外观是否完好，配件是否齐全,避免因硬件问题影响使用。

基础硬件连接

• 电源连接：将电源适配器接入交换机PWR接口，另一端连接市电（注意电压匹配，如AC 100-240V）。
• Console线连接：Console线一端（RJ45接口）接入交换机的Console口（通常位于前面板，标注“CON”或“RS232”），另一端（DB9接口）通过转接器连接电脑的串口（或USB转串口），这是首次配置交换机的“唯一通道”。
• 业务端口连接：根据需求，将网线一端接入交换机的以太网口（如GE电口、GE光口、10GE光口），另一端连接终端设备（电脑、服务器等），光口需搭配对应的光模块（如SFP+光模块）和光纤，注意光模块类型（单模/多模）与传输距离匹配。

Console连接软件配置

电脑需通过“终端软件”（如Windows自带的“超级终端”、SecureCRT、PuTTY等）连接交换机Console口，以PuTTY为例：

• 打开PuTTY，选择“Serial”连接，设置串口（如COM3）、波特率（默认9600）、数据位（8）、停止位（1）、无校验、无流控。
• 点击“Open”，打开电源后，交换机启动会显示启动信息（如“Huawei Versatile Routing Platform Software VRP (R) Software, Version 8.210”），按“Enter”键进入命令行界面（若未显示，可多按几次）。

第二步：初始配置——让交换机“联网说话”

新交换机默认仅有基本功能，需通过初始配置设置管理IP、密码、登录方式等,才能实现远程管理和业务转发。

进入系统视图

命令行界面默认处于“用户视图”（提示符为<Huawei>），输入system-view进入“系统视图”（提示符为[Huawei]），可全局配置参数。

<Huawei> system-view

配置设备名称

为交换机设置唯一名称，方便管理（如命名为“Switch-Core”）：

[Huawei] sysname Switch-Core

配置管理IP地址

交换机需配置管理IP（通常为VLANIF接口IP），才能远程登录（如Telnet/SSH），假设管理VLAN为VLAN 1，IP为192.168.1.1/24：

[Huawei] vlan 1             // 创建或进入VLAN 1
[Huawei-vlan1] quit
[Huawei] interface vlanif 1 // 进入VLANIF 1接口（管理接口）
[Huawei-Vlanif1] ip address 192.168.1.1 24 // 配置IP地址和子网掩码
[Huawei-Vlanif1] quit

配置用户登录认证

• 设置用户名和密码：

  [Huawei] aaa                     // 进入AAA视图（认证、授权、计费）
  [Huawei-aaa] local-user admin password cipher Admin@123  // 创建用户admin，密码为Admin@123（cipher表示加密显示）
  [Huawei-aaa] local-user admin privilege level 15       // 设置用户权限为15（最高级）
  [Huawei-aaa] local-user admin service-type terminal ssh // 设置登录类型为SSH（推荐，比Telnet更安全）
  [Huawei-aaa] quit

• 开启SSH服务：

  [Huawei] stelnet server enable     // 开启SSH服务
  [Huawei] user-interface vty 0 4    // 进入虚拟终端接口（0-4共5个用户同时登录）
  [Huawei-ui-vty0-4] authentication-mode aaa // 设置认证模式为AAA
  [Huawei-ui-vty0-4] protocol inbound ssh  // 允许SSH协议登录
  [Huawei-ui-vty0-4] quit

保存配置

配置完成后，需保存到设备，否则重启后丢失：

[Huawei] save

第三步：核心功能配置——实现业务需求

初始配置仅让交换机“可管理”，要实现业务隔离、数据转发等核心功能，需配置VLAN、路由、安全策略等。

VLAN配置：隔离广播域，提升安全性

VLAN（虚拟局域网）将物理网络划分为多个逻辑子网，不同VLAN间默认无法通信，需通过三层设备路由。

• 创建VLAN并分配端口：
  假设将端口GigabitEthernet0/0/1-10划分为VLAN 10（员工网），端口GigabitEthernet0/0/11-20划分为VLAN 20（访客网）：

  [Switch-Core] vlan 10         // 创建VLAN 10
  [Switch-Core-vlan10] quit
  [Switch-Core] vlan 20         // 创建VLAN 20
  [Switch-Core-vlan20] quit
  [Switch-Core] port-group group-member GigabitEthernet0/0/1 to GigabitEthernet0/0/10 // 将端口1-10加入端口组
  [Switch-Core-port-group] port default vlan 10 // 将端口组划入VLAN 10
  [Switch-Core-port-group] quit
  [Switch-Core] port-group group-member GigabitEthernet0/0/11 to GigabitEthernet0/0/20
  [Switch-Core-port-group] port default vlan 20 // 将端口组划入VLAN 20

端口安全：限制接入设备，防止非法接入

通过端口安全功能，可限制端口允许的MAC地址数量，或绑定固定MAC地址，避免非法设备接入。

• 配置端口最大MAC数量为1（适用于打印机、摄像头等固定设备）：

  [Switch-Core] interface GigabitEthernet0/0/1
  [Switch-Core-GigabitEthernet0/0/1] port-security max-mac-num 1 // 限制端口仅允许1个MAC地址
  [Switch-Core-GigabitEthernet0/0/1] port-security mac-address sticky // 开启MAC地址 sticky学习（重启后保留）
  [Switch-Core-GigabitEthernet0/0/1] quit

VLANIF接口互访（三层路由）：实现跨VLAN通信

若交换机为三层交换机（