华为园区交换机的选型和应用

华为园区交换机就是S系列交换机，即Sx700系列。包括S1700、S2700、S3700、S5700、S6700、S7700和S9700。S9300系列是目前主流高端交换机系列。

一、华为园区交换机基础

Sx700系列，其中“7”代表产品大系号，“x”代表不同的产品系列。

S1700、S2700属于百兆二层交换机，主用于中小型网络的接入层；S3700及以上各大系均属于三层交换机系列，S3700属于百兆三层交换机（支持千兆上行）；S5700属于全千兆三层交换机（支持万兆上行），定位于大中型网络的汇聚层，实现多业务的汇聚与转发；S6700属于万兆三层交换机，定位于中型网络的核心层、大中型网络的汇聚层，实现多业务的汇聚与转发，高性能服务器的万兆接入等；S7700、S9300和S9700属于T比特路由交换机，提供极高性能的业务数据处理和路由性能，借助于CSS（Cluster Switch System，集群交换系统）实现业界最高性能的交换机集群。同一系列交换机可能分为“精简版（LI）”、“标准版（SI）”、“增强版（EI）”和“高级版（HI）”。这里的版本不是指交换机的软件版本，而是指不同的硬件型号。各系交换机均采用统一的VRP平台。

用户定位：1、数据中心交换机；2、核心交换机；3、汇聚交换机；4、接入交换机。

华为园区交换机的命名规则

1、S1700系列机型的命名规则

2、S2700系列机型的命名规则

3、S3700系列机型的命名规则

   4、S5700系列机型的命名规则

    5、S6700系列机型的命名规则

 6、S7700/S9300/S9700系列机型的命名规则

    都是机箱式结构的交换机，高端系列。

VRP系统基础及基本使用

对于一个新认识的网络交换机，首先要学习的就是该交换机的网络操作系统。S系列园区交换机操作系统——VRP（当前主要是VRP 5.x）。

一、VRP系统基础

VRP（VersatileRouting Platform，通用路由平台）。

    1、VRP系统概述

目前主要有5.x版本和8.x版本，8.x应用于数据交换机CE系列和集群路由器NE5000E。

VRP以TCP/IP协议栈为核心，在操作系统中集成了路由、组播、QoS、VPN、安全和IP话音等数据通信要件。

VRP提供命令行界面——CommandLine Interface，CLI配置与管理设备。

2、VRP命令行视图

“视图”是VRP命令接口界面，不同的VRP命令需要在不同的视图下才能执行，不同的视图下配置有不同功能的命令。在VRP系统中，有的视图又是分层次的，在系统视图下可以进入各种功能视图，在一些功能视图下还可以进入对应的子功能视图。

3、VRP命令级别与用户级别

VRP系统把所有命令分成了许多个不同的级别，使不同权限的用户可以使用不同级别的命令。这也就确定了对应的不同用户级别。不同级别的用户登录后，只能使用等于或低于自己级别的命令。

（1）用户级别与命令级别

    命令级别分为0~3共4级，用户级别分成0~15共16个级别。

（2）命令级别修改

使用command-privilege level rearrange命令（用户级别应为15级，否则无法执行该命令）将所有缺省注册为2、3级的命令，分别批量提升到10和15级。

使用command-privilege level level viewview-namecommand-key

（3）用户级别的密码设置

用户级别指登录用户的分类，共划分为16个级别（0~15），与命令级别对应。

为防止未授权用户的非法入侵，可以为各个用户级别设置对应的密码，但高级别用户访问低级别用户时不需要切换用户级别，也就不需要输入低级别的密码。

在系统视图下使用super password [level user-level] [cipherpassword]为对应的命令级别设置保护密码。

（4）切换用户级别

在系统视图下使用super [level]命令进行操作切换。不带参数默认切换到用户级别3。

4、VRP命令行的通用错误提示

5、VRP undo命令行

几乎所有的配置命令（不包括管理类的命令）都有对应的undo命令格式。一般用来恢复缺省情况、禁用某个功能或删除某项设置。

二、查看命令行显示信息

1、查看当前生效的配置信息

Display current-configuration [ configuration [ configuration-type [configuration-instance]] | interface[interface-type [interface-number]]] [feature feature-name [filterfilter-expression] | filter filter-expression] 或displaycurrent-configuration [all | inactive]

2、查看当前视图下正在运行的配置信息

Display this

3、控制命令行显示方式

命令行的回显模式（就是在屏幕上的显示模式）分为字符模式和行模式，可通过terminal echo-mode{character | line}设置。

通过screen-length screen-length temporary设置当前终端屏幕的临时显示行数。

4、过滤命令行显示信息

使用正则表达式来过滤显示信息。

（1）在命令中指定过滤方式：在命令行中通过输入begin、exclude或include关键字加正则表达式的凡是来过滤显示。Begin关键字是显示特定行和其以后的所有行，该特定行必须包含指定正则表达式；exclude关键字用来显示不包含指定正则表达式的所有行；include关键字用来指定只显示包含指定正则表达式的所有行。

（2）在分屏显示时指定过滤方式：在分屏显示时，使用“/”、“-”或“+”符号加正则表达式的方式，可以对还未显示的信息进行过滤显示。“/”等同begin；“-”等同exclude；“+”等同include。

三、VRP文件系统管理

可通过命令行对文件或目录进行创建、移动、复制、删除等操作，并可对交换机存储器进行管理。都是在用户视图下进行的。

1、VRP文件系统概述

VRP文件系统实现两类功能：管理存储器（包括flash：和cfcard：存储器）和管理保存在存储器中的文件。

（1）VRP系统文件名格式：文件名、路径+文件名，直接使用文件名，表示当前工作路径下的文件。不在当前路径时，为drive+path+filename，drive是交换机中的存储器，命名为flash：或cfcard：。如果交换机在堆叠情况下，则drive的命名如下：

Flash：堆叠系统中主交换机Flash存储器根目录。

槽位号#flash：堆叠系统中某槽位号的Flash存储器根目录。

2、目录管理

Mkdir directory、rmdir directory、pwd、cddirectory、dir [/all] [filename |flash:]

闪存flash：分为主——主控板闪存flash：和备用板闪存——slave#flash:，还有主控板CF卡——cfcard：和备用主控板CF卡——slave#cfcard：。如果堆叠交换机，驱动器名为“框号/槽位号#cfcard：”或“框号/槽位号#flash：”

3、文件管理

More filename、copy source-filenamedestination-filename [all]、move source-filename destination-filename、rename old-name new-name、zip source-filenamedestination-filename、unzip source-filename destination-filename、delete [/unreserved] filename [all]、delete [/unreserved] [/quiet]{filename | devicename}、undelete filename、reset recycle-bin [filename]、execute batch-filename、file prompt {alert | quiet}

4、存储器管理

格式化存储器：format devicename，如formatflash：

修复文件系统：fixdisk devicename

四、VRP系统的组成

VRP系统在启动时需要加载“系统软件”和“配置文件”两部分。

修改VRP系统启动的场景有以下几种：

①对交换机进行升级操作，即系统软件从低版本升级至高版本。

②对交换机进行降级操作（版本回退），即系统软件从高版本降至低版本。

③对一个新交换机加载已有的满足用户需求的配置文件。

④对交换机指定升级后的补丁文件。

1、VRP系统软件

VRP系统包括“软件系统”和“配置文件”两大部分。软件系统包括“BootROM软件”和“系统软件”。交换机加电后先运行BootROM软件，初始化硬件并显示交换机的硬件参数，在运行系统软件。

交换机在升级时包括升级BootROM软件和系统软件。

（1）VRP系统软件版本

VRP系统软件版本分为“核心版本”（或内核版本）和“发行版本”两种。核心版本是用来开发具体交换机VRP系统的基础版本，即通常说的VRP5.x和8.x版本；发行版本则是在核心版本基础上针对具体产品系列而发布的VRP系统版本。

VRP系统的核心版本是由一个小数来表示，小数点前面的数字表示主版本号，小数点后第一位数字表示次版本号，后面1~2位数字为修订版本号。如VRP 5.120

VRP系统的发行版本是以V、R、C三个字母（代表三种不同的版本号）进行标识的，基本格式为VxxxRxxxCxx，x是一些具体数字。V、R部分为必须部分。

①V版本是指产品所基于的软件或硬件平台版本。Xxx从100开始，并以100为单位递增编号。当产品的平台发生变化，V版本号才会发生变化。

②R版本是面向客户发布的通用特性集合，是产品在特定 的具体体现形式。Rxxx标识面向所有客户发布的通用版本，xxx从001开始以1为单位递增编号。

③C版本是基于R版本开发的快速满足不同类型客户需求的客户化版本。

可通过display version查询。

（2）VRP系统软件名称

文件扩展名为“.CC”

2、VRP系统配置文件

配置文件为文本文件，规则如下

①以命令格式保存

②为节省空间，只保存非缺省的参数

③以命令视图为基本框架，同一命令视图的命令组织在一起，形成一节，节与节之间通常用空行或注释行隔开（以“#”开始的为注释行）。空行或注释行可以是一行或多行。

④文件中各节的顺序安排通常为全局配置、接口配置、各种协议配置和用户界面配置。

⑤配置文件必须以“.cfg”或“.zip”作为扩展名，而且必须存放在存储交换机的根目录下。

3、VRP系统补丁文件

产品补丁仅适用于特定交换机的补丁软件：VRC版本后加上SPCxxx，如V200R001C00SPC300。公共补丁是可适用于某个VR版本的VRP系统通用补丁：在VR版本后加上SPHxxx，如V200R001SPH002。

热补丁HP（Hot Patch）和冷补丁CP（Cold Patch）

增量型补丁和非增量型补丁。

补丁的状态有空闲态Idle、去激活Deactive、激活Active、运行Running。

4、启动BootROM软件

BootROM软件又分为基本BootROM软件和扩展BootLoad软件。交换机上电后，先运行基本BootROM软件，并负责引导运行BootLoad软件，BootLoad软件负责引导运行系统软件。

在启动BootLoad软件时，按下<Ctrl+B>，提示输入进入扩展BootROM菜单的密码（默认Admin@hauwei.com），此密码在系统视图下可通过reset boot password重置为缺省密码。BootLoad菜单的界面：

通过BootLoad菜单，用户指定交换机启动时加载的系统软件，修改进入基本BootROM菜单密码，清除Console用户密码等。

5、管理VRP配置文件

VRP系统有“配置文件”（已以文件形式保存的配置）和“当前配置”（正在运行、生效的配置，仅指没有以文件形式保存的配置）两种配置文件。用户可以进行保存配置文件（即把当前配置以文件形式保存起来）、备份配置文件（备份已有的配置文件）、恢复配置文件（恢复使用其他配置文件），指定下次启动的启动文件（包括配置文件）等。

（1）保存配置文件

采用“自动保存配置”和“手动保存配置”。

自动保存分为：本地自动保存配置文件和远程自动保存配置文件。

本地自动保存配置文件的方法：先在系统视图下使用set save-configuration [intervalinterval | cpu-limit cpu-usage | delay delay-interval]*配置系统定时保存配置文件。配置文件保存在下次启动配置文件中。

远程自动保存配置文件：先通过set save-configuration backup-to-server server server-ip transport-type { ftp | sftp }user user-name password password [path folder] 或set save-configuration backup-to-server serverserver-ip transport-type tftp [ path folder ]

手动保存配置文件：save [all] [configuration-file]

当前配置保存到指定文件时，文件必须以“.zip”或“.cfg”作为扩展名，而且系统启动配置文件必须存放在存储交换机的根目录下。

（2）备份配置文件

A、直接屏幕复制

执行displaycurrent-configuration命令并复制所有显示信息到TXT文本文件中。

B、备份配置文件到flash：或cfcard：存储器中

先save config.cfg，然后copyconfig.cfg backup.cfg

C、通过TFTP备份配置文件

将交换机作为TFTP客户端，与TFTP服务器相连，保存配置文件到TFTP服务器。要先设置好下载配置文件的传输路径、TFTP服务器IP、端口号。在本地交换机用户视图下执行tftp [-a source-ip-address | -i interface-type interface-number]tftp-server put source-filename [destination-filename]命令备份指定的配置文件。

<Huawei>tftp 10.1.1.1 putcfcard:/config.cfg backup.cfg

D、通过FTP备份配置文件

两种方式：一种是把交换机当做FTP服务器，PC作为FTP客户端，从PC上主动下载备份配置文件；二是将交换机当做FTP客户端，PC作为服务器，交换机主动连接服务器上传配置文件进行备份。

<Huawei>system-view

[Huawei]ftp server enable  #----启动FTP服务器功能

[Huawei]aaa             #---起送AAA认证，进入AAA视图

[Huawei-aaa]local-user huawei passwordcipher huawei@123 #---配置用户huawei，加密密码huawei@123

[Huawei-aaa]local-user huawei ftp-directorycfcard： #---设置用户huawei可访问的目录为cfcard：

[Huawei-aaa]local-user hauwei service-typeftp #---配置用户huawie可使用FTP服务

[Huawei-aaa]local-user huawei privilegelevel 15 #---配置用户的级别为15级。

（3）恢复配置文件

从存储器上备份的配置文件中恢复配置文件；通过TFTP恢复备份在PC上的配置文件；通过FTP恢复备份在PC上的配置文件。

恢复配置文件后，使用startupsaved-configuration configuration-file命令指定重新启动使用的配置文件。

（4）比较配置文件

系统视图下执行compareconfiguration [configuration-file] [current-line-number save-line-number]命令。

（5）清除配置文件

系统视图下执行resetsaved-configuration，清除当前加载的配置文件。

Clearconfiguration interface interface-type interface-number，清除指定接口下配置信息或将其配置恢复到缺省值，clear configuration this命令清除该接口下配置。

6、交换机启动管理

（1）配置系统启动文件

使用display startup查看当前交换机指定的下次启动时加载的文件。

Startupsystem-software system-file

Startupsaved-configuration configuration-name

Startup patchfile-name [slave-board]

Display startup

Display saved-configuration[last | time | configuration]

（2）重新启动交换机

Reboot [fast |save diagnostic-information] 配置立即重新启动

Schedule reboot{at time | delay interval [force]}定时重新启动

 

VRP系统登录及远程文件管理

VRP是一个多用户网络操作系统，不仅可以创建多个用户，通过“用户界面”区分不同的用户类型，且可以通过用户级别为具体用户配置不同的服务和权限。用户访问交换机VRP系统有多种不同的登录防范，包括Console口本地登录和Telnet、STelnet、HTTP和HTTPS协议远程登录。还可通过各种文件传输协议（如FTP、SFTP、SCP、FTPS）进行远程文件管理。

一、VRP系统首次登录

必须采用本地登录方式，通过Console口或MiniUSB口登录

二、交换机基本配置的而配置

1、配置交换机时间和日期

Clock timezonetime-zone-name {add | minus} offset

Clock datetimeHH：MM：SS YYYY-MM-DD

2、配置交换机名称和IP地址

这里所配置IP可看成管理IP，专为Telnet之类的远程登录使用。在华为交换机中除了一些交换机提供的专门管理口（通常为Ethernet0/0/0接口）外，不能直接在物理接口上配置IP地址，仅可在VLAN接口、Loopback、Tunnel、子接口等这些逻辑接口上配置IP地址。管理IP地址通常是在管理接口，或VLAN接口上配置。通常在VLAN接口上配置，可直接在缺省的VLAN1接口上配置。

System-view

Sysnamehost-name

Interfaceinterface-type interface-number

Ip addressip-address {mask | mask-length} [sub]

3、设置标题文本

通常不需要进行配置。

Header login {informationtext | file file-name} 设置用户登录时显示的标题文本（但需要用户设置通过验证方式登录到交换机上，否则系统不会显示）。

Header shell{information text | file file-name}设置用户登录成功后显示的标题文本。

三、用户界面

当用户通过Console口、Telnet或SSH方式登录交换机时，VRP系统会为登录用户分配相应的用户界面（User-interface）管理当前用户与交换机之间的会话。VRP系统支持“Console用户界面”和“VTY用户界面”两大类。

1、用户界面概述

用户界面视图是VRP系统提供的一种命令行视图，用来配置和管理所有工作在异步交互方式下的物理接口（Console或MiniUSB口）和逻辑接口（VTY虚拟接口），从而达到统一管理各种用户界面的目的。

用户与用户界面的关系，用户与用户界面并没有固定的对应关系，Console类型的用户界面只有一个，VTY类型的用户界面有多个，每个用户界面可以分配给一个用户使用。用户界面的管理和监控对象是使用某种方式登录的用户。

用户登录时，系统会根据用户的登录方式自动给用户分配一个当前空闲的、编号最小的某类型的用户界面，整个登录过程将受该用户界面视图下的配置约束。

2、用户界面的编号

Console类型的用户界面只有一个，VTY类型的用户界面有多个。

相对编号：针对具体类型用户界面进行的编号方式，其格式：用户界面类型+编号。

Console编号：固定为CON0，且只有这一个编号。

VTY编号：第一个为VTY0，第二个为VTY1，最高VTY14。

绝对编号：可用displayuser-interface查看。每个主控板上Console口只有一个，VTY类型的用户界面最多有20个（其中0~14提供给普通Telnet/SSH用户的用户接口，16~20预留给网管用户的接口）

3、用户界面的用户验证和优先级

为安全需要为不同用户界面配置相应的安全保护措施，那就是配置用户界面下的用户验证。配置用户界面的用户验证方式后，用户登录交换机时VRP系统会对用户的身份进行验证。

（1）用户界面的用户验证方式

VRP系统中对用户的验证方式有两种：Password验证和AAA验证：

Password验证：只需进行密码验证，不需要进行用户名验证，所以不需要配置本地用户。

AAA验证：需要同时进行用户名验证和密码验证，需要创建本地用户，并配置对应的密码。

（2）用户界面优先级

VRP系统支持对登录用户进行分级管理，用户级别分为0~15共16个级别。用户所能访问命令的级别由其所使用的用户界面配置的优先级（当采用不验证或密码验证方式时）或者为用户自身配置的用户优先级别（当采用AAA验证方式时）决定。就是在AAA验证方式下，用户级别不是由所使用的用户界面级别确定，而是由具体的用户账户优先级别确定，更加灵活，这也决定了在AAA验证方式下，必须为具体的用户配置具体的用户优先级。

4、Console用户界面配置与管理

（1）配置Console用户界面的物理属性

包括Console口的传输速率、流控方式、校验位、停止位和数据位。

System-view

User-interface consoleinterface-number

Speedspeed-value

Flow-control{hardware | none | software}

Parity {even |mark | none | odd | space}

Stopbits {1.5 |1 | 2}

Databits {5 | 6| 7| 8}

（2）配置Console用户界面的终端属性

终端属性也就是终端控制台窗口属性，包括用户超时断连功能、终端屏幕的显示行数或列数以及历史命令缓冲区大小。

System-view

User-interface console interface-number

Idle-timeout minutes [seconds]

Screen-length screen-length [temporary]

Screen-width screen-width

History-command max-size size-value

（3）配置Console用户界面的用户优先级

（4）配置Console用户界面的用户验证方式

Console用户界面提供AAA验证、密码验证和不验证3种用户验证方式。

System-view

User-interface console interface-number

Authentication-mode {aaa | password | none}

Set authentication password cipher password

Quit

Aaa

Local-user user-name {password cipherpassword | privilege level level}*

Local-user user-name service-type terminal

（5）Console用户界面管理

Display users[all]

Displayuser-interface console ui-number [summary]

Displaylocal-user

Killuser-interface 0 或 kill user-interface console 0

5、VTY用户界面配置与管理

（1）配置VTY用户界面的最大个数

VTY用户界面最大个数是指登录交换机的Telnet用户和SSH用户的总和。

User-interfacemaximum-vty number

当配置VTY用户界面最大个数为0时，任何用户（包括网管用户）都无法通过VTY登录到交换机。

（2）配置VTY用户界面的基于ACL的登录限制

可以通过访问控制列表（ACL）实现对通过VTY用户界面的登录进行限制。先在系统视图下执行acl命令创建一个访问控制列表并进入ACL视图，然后执行rule命令增加相应访问控制列表的规则。

用户界面支持通过基本ACL（200~2999）来限制源IP地址（即访问用户的主机或网段IP地址），支持高级ACL（3000~3999）同时限制源IP地址和目的IP地址（要访问的主机或网段IP地址），以及源端口和目的端口。

当ACL的规则配置为permit（允许）时：

①如果该ACL应用在inbound（入）方向，则允许指定源IP地址的其他交换机访问本地交换机。

②如果该ACL应用在outbound（出）方向，则允许本地交换机访问指定源IP地址的其他交换机。

当ACL的规则配置为deny（拒绝）时：

①如果该ACL应用在inbound（入）方向，则拒绝其他交换机访问本地交换机

②如果该ACL应用在outbound（出）方向，则拒绝本地交换机访问其他交换机

当ACL未配置规则时：

①如果该ACL应用在inbound（入）方向，则允许任何其他交换机访问本地交换机

②如果该ACL应用在outbound（出）方向，则允许本地交换机访问任何其他交换机。

System-view

User-interface vty first-ui-number[last-ui-number]

Acl acl-number {inbound | outbound}

（3）配置VTY用户界面的终端属性

包括用户超时断连功能、终端屏幕显示行数或列数以及历史命令缓冲区。

System-view

User-interface vty first-ui-number[last-ui-number]

Shell

Idle-timeout minutes [seconds]

Screen-length screen-length

Screen-width screen-width

History-command max-size size-value

Protocolinbound {all | ssh | telnet}

（4）配置VTY用户界面的用户优先级

VTY用户界面优先级的配置方法是使用user-interface vty first-ui-number [last-ui-number]命令进入对应的VTY用户界面，然后userprivilege level level，VTY用户界面对应的缺省命令访问级别是0（即最低的访问级别，仅具浏览权限）

（5）配置VTY用户界面的用户验证方式

VTY用户界面也提供AAA验证、密码验证和不验证3种。配制方法是user-interfacevty first-ui-number [last-ui-number]命令进入对应的VTY用户界面，然后Authentication-mode{aaa | password | none}

6、用户登录配置与管理

（1）用户登录概述

用户可通过Console口、Telnet、STelnet（安全Telnet，即SSH）或Web方式登录交换机。分为命令行登录方式（包括Console口、Telnet和STelnet），Web网管方式登录包括HTTP或HTTPS方式登录。

（2）配置用户通过Telnet登录交换机

●配置Telnet服务器功能和参数：包括使能Telnet服务器功能和Telnet服务器参数配置

●配置Telnet用户登录的VTY用户界面：知道那个可用于Telnet登录的VTY用户界面，并配置相关VTY用户界面属性，包括VTY用户界面的用户优先级、验证方式、呼入限制、呼出限制等。

●配置Telnet类型的本地用户AAA验证方式：包括平配置验证方式为AAA时的用户名和密码，并支持Telnet服务。

●从终端通过Telnet登录交换机：从终端通过Telnet客户端软件登录到交换机VRP系统。

System-view

telnet server enable

telnet server port port-number

登录成功后，可通过displayusers [all]查看用户界面连接情况；通过display tcp status查看当前建立的所有TCP连接情况；通过display telnet server status查看服务器的状态和配置信息。

示例：配置telnet登录

<Huawei>system-view

[Huawei]user-interface vty 0 7

[Huawei-ui-vty-0-7]shell

[Huawei-ui-vty-0-7]idle-timeout 20

[Huawei-ui-vty-0-7]screen-length 30

[Huawei-ui-vty-0-7]history-command max-size20

[Huawei-ui-vty-0-7]authentication-mode aaa

[Huawei-ui-vty-0-7]user privilege level 15

[Huawei-ui-vty-0-7]quit

[Huawei]user-interface maximum-vty 8

[Huawei]acl 2001

[Huawei-acl-basic-2001]rule permit source10.1.1.1 0

[Huawei-acl-basic-2001]quit

[Huawei]user-interface vty 0 7

[Huawei-ui-vty-0-7]acl 2001 inbound

[Huawei]aaa

[Huawei-aaa]local-user huawei passwordcipher hello@123

[Huawei-aaa]local-user hauwei service-typetelnet

[Huawei-aaa]local-user hauwei privilegelevel 3

[Huawei-aaa]quit

[Huawei]telnet server enable

[Huawei]telnet server port 1025

（3）配置用户通过STelnet登录交换机

STelnet（SecureTelnet，安全Telnet）是基于SSH（Secure Shell，安全外壳）协议。

●支持RSA和DSA（DigitalSignature Algorithm，数字签名算法）加密、认证方式，RSA用于对发送的数据进行加密和数字签名，DSA仅用于对数据进行数字签名。

●支持用加密算法DES、3DES、AES128对用户名密码以及传输的数据进行加密。

华为S系列交换机支持SSH服务器功能，可接收多个SSH客户端的连接。同时还支持SSH客户端功能，可以与支持SSH服务器功能的交换机建立SSH连接，实现从本地交换机通过SSH登录到远程交换机。交换机作为SSH服务器支持SSH2和SSH1两个版本，作为客户端只支持SSH2。

STelnet登录配置步骤：

●配置STelnet服务器功能及参数：包括服务器本地秘钥对生成、STelnet服务器功能的开启以及服务器参数的配置，如监听端口号、秘钥对更新时间、SSH验证超时时间或SSH验证重试次数等。

●配置SSH用户登录的用户界面：包括VTY用户界面的用户优先级、用户验证方式（仅可选择AAA验证方式）、支持SSH协议及其他VTY用户界面属性。

●配置SSH用户：包括SSH用户名和密码、验证方式和服务方式等

●用户通过STelnet登录交换机：通过SSH客户端软件登录到交换机VRP系统。

配置SSH用户：

S系列交换机支持RSA、DSA、password、password-rsa、password-dsa和all六种用户验证方式。其中password-rsa验证需要同时满足password验证和RSA验证；password-dsa验证需要同时满足password验证和DSA验证；all验证是指password验证、RSA或DSA验证方式满足其中一种即可。

这里的password验证要依靠AAA实现，所以当用户使用password、password-rsa、password-dsa验证方式登录时，需要在AAA视图下创建同名的本地用户。

如果SSH用户使用password验证，则只需在SSH服务器端生成本地RSA或DSA秘钥；如果SSH用户使用RSA或DSA验证，则在服务器端和客户端都需要生成本地RSA或DSA秘钥对，并且服务器端和客户端都需要将对方的公钥配置到本地。

如果对SSH用户进行password验证（password、password-rsa、password-dsa验证），还需进行3-18表的配置；如果对SSH用户进行rsa或dsa验证（dsa、rsa、password-dsa、password-rsa）还需进行3-19表配置；如果对SSH用户进行password-rsa或password-dsa验证，则AAA用户和RSA或DSA公钥都需要进行配置。

（4）通过STelnet登录交换机的配置示例

PC1使用client001用户通过password验证方式登录SSH服务器，PC2使用client002用户通过RSA验证方式登录SSH服务器。

配置步骤：

<Huawei>system-view

[Huawei]sysname SSH Server

[SSH Server]user-interface vty 0 4

[SSH Server-ui-vty-0-4]authentication-modeaaa

[SSH Server-ui-vty-0-4]protocol inbound ssh

[SSH Server-ui-vty-0-4]user privilege level5

[SSH Server-ui-vty-0-4]quit

[SSH Server]ssh user client001authentication-type password

[SSH Server]aaa

[SSH Server-aaa]local-user client001password cipher huawei@123

[SSH Server-aaa]local-user client001privilege level 3

[SSH Server-aaa]local-user service-type ssh

[SSH Server-aaa]quit

[SSH Server]ssh user client002 authentication-typersa

[SSH Server]rsa local-key-pair create

[SSH Server]rsa peer-public-key rsakey001

[SSH Server-rsa-public-key]public-key-codebegin

[SSH Server-rsa-key-code]312321438782194321432183CDE3232323

……

[SSH Server-rsa-key-code]public-key-codeend

[SSH Server-rsa-public-key]peer-public-keyend

[SSH Server]ssh user client002 assignrsa-key rsakey001

[SSH Server]stelnet server enable

[SSH Server]ssh user client001 service-typestelnet

[SSH Server]ssh user client002 service-typestelnet

使用rsa验证方式的，需要使用客户端工具（Puttygen.exe）产生客户端的rsa秘钥对，其中的公钥需要通过public-key-code begin和public-key-code end配置到交换机中。

四、配置用户通过HTTP Web网管登录交换机

（1）上传和加载Web网页文件：在使能HTTP服务功能前，需要确保交换机上已经加载了Web网页文件。

（2）配置SSL策略并加载数字证书：仅在需重新加载SSL证书时才执行此项配置。

（3）配置HTTP服务功能：包括HTTPS及HTTP服务的使能、端口号、会话超时等。

（4）配置HTTP用户：包括HTTP用户名及密码、用户级别、接入类型等。

（5）配置HTTP访问控制：包括配置ACL规则及HTTP基本访问控制列表，提高HTTP访问的安全性。

（6）用户通过HTTP登录

1、上传和加载web网页文件

出厂存储交换机中已保存web网页文件，不需上传，只要加载就行。系统视图下http server load file-name加载指定的web网页文件。Web网页文件必须保存在存储器根目录下，且必须是“*.web.zip”或“*.web.7z”格式。

2、（可选）配置SSL策略并加载数字证书

通过HTTP登录时也会跳转至通过HTTPS登录（保证登录时用户信息的安全）。服务器数字证书文件即私钥文件必须保存在flash：存储器根目录的security目录下。

3、配置HTTP服务功能

配置的是HTTP服务属性和基本的管理操作，包括启用HTTP、HTTPS服务功能，配置SSL策略、HTTP服务端口、HTTP会话超时和释放HTTP连接。

4、（可选）配置HTTP访问控制

可通过基本ACL允许指定的客户端通过HTTP方式登录到交换机。

五、配置用户通过HTTPS Web网管方式登录交换机

（1）上传和加载Web网页文件

（2）上传服务器数字证书文件及私钥文件：

（3）配置SSL策略并加载数字证书：仅在需重新加载SSL证书时才执行此项配置。

（4）配置HTTPS服务功能：包括HTTPS服务的使能、端口号、会话超时等。

（5）配置HTTP用户：包括HTTP用户名及密码、用户级别、接入类型等。

（6）配置HTTP访问控制：包括配置ACL规则及HTTP基本访问控制列表，提高HTTP访问的安全性。

（7）用户通过HTTPS登录

1、上传服务器数字证书文件及私钥文件

必须保存在flash：存储器根目录的security目录中。

2、配置SSL策略并加载数字证书文件

加载数字证书文件的同时要指定私钥文件。

3、配置HTTPS服务功能

httpsecure-server enable

httpsecure-server port port-number

4、通过HTTPS登录交换机

具体配置步骤：

（1）上传数字证书和web网页文件，以FTP方式上传

<Huawei>system-view

[Huawei]sysnameHTTPS-Server

[HTTPS-Server]ftpserver enable

[HTTPS-Server]aaa

[HTTPS-Server-aaa]local-userhuawei password cipher hello@123

[HTTPS-Server-aaa]local-userhuawei service-type ftp

[HTTPS-Server-aaa]local-userhuawei privilege level 15

[HTTPS-Server-aaa]local-userhuawei ftp-directory flash:

[HTTPS-Server-aaa]quit

上传数字证书文件和密钥文件：1_servercert_pem_rsa.pem和1_serverkey_pem_rsa.pem。

（2）配置SSL策略并加载数字证书

[HTTPS-Server]mkdirsecurity/

[HTTPS-Server]copy1_servercert_pem_rsa.pem security/

[HTTPS-Server]copy1_serverkey_pem_rsa.pem security/

创建HTTPS服务器SSL策略，并通过certificateload pem-cert命令加载PEM格式的数字证书，包括服务器证书和服务器密钥两个文件。

[HTTPS-Server]sslpolicy http_server

[HTTPS-Server-ssl-policy-http_server]certificateload pem-cert 1_servercert_pem_rsa.pem key-pair rsa key-file1_serverkey_pem_rsa.pem auth-code cipher 123456

[HTTPS-Server-ssl-policy-http_server]quit

（3）加载新上传的web网页文件（如使用交换机自带的web文件，则不需配置此步）

[HTTPS-Server]http server load web001.7z

（4）使能HTTPS服务器功能，并创建HTTP用户，配置用户级别和对HTTP服务的支持

[HTTPS-Server]http secure-server ssl-policy http_server

[HTTPS-Server]http secure-server enable

[HTTPS-Server]aaa

[HTTPS-Server-aaa]local-user admin password cipher huawei

[HTTPS-Server-aaa]local-user admin privilege level 15

[HTTPS-Server-aaa]local-user admin service-type http

[HTTPS-Server-aaa]quit

六、登录后的常用管理操作

1、显示在线用户

Display  users [all]

2、清除在线用户

Killuser-interface {ui-number | ui-type ui-number}

3、设置用户级别的切换密码

Supper password[level user-level] [cipher password]

4、切换用户级别

Super [level]

5、锁定用户配置权限

Configurationexclusive

锁定配置权限给当前操作用户。锁定用户配置权限后，可以明确的获取独享的配置权限，其他用户无法在获取到配置权限，解决多用户同时配置出现冲突的问题。

Configuration-occupiedtimeout timeout-value命令设置自行解锁时间间隔

Displayconfiguration-occupied user 查看当前锁定配置的用户信息。

6、发送消息给其他用户界面

Send {all |ui-type ui-number | ui-number1}

7、undo自动匹配上一级视图

Matchedupper-view，允许undo命令到上一级视图执行。

8、锁定用户界面

Lock

9、允许在系统视图下执行用户视图命令

Runcommand-line

10、设置交换机允许的明文密码最小长度

系统视图下执行Set passwordmin-length length

七、常见配置错误分析与排除

1、Telnet登录失败的故障分析与排除

（1）查看VTY用户界面视图是否允许支持Telnet服务

User-interfacevty

Display this

查看protocol inbound命令配置项是否为telnet或 all

（2）查看登录交换机的用户数是否到达上限

Display users

Displayuser-interface maximum-vty

（3）查看交换机上VTY用户界面视图下是否正确配置了ACL

User-interfacevty

Display this 查看是否配置了ACL，如配置

Display aclacl-number

（4）查看VTY用户界面视图下是否正确设置登录验证

如使用authentication-modepassword命令配置了VTY登录验证方式，必须在登录时正确输入正确密码；使用authentication-mode aaa，则必须使用aaa的local-useruser-name password创建AAA本地用户。

2、STelnet登录失败

（1）查看VTY用户界面是否支持SSH服务

User-interfacevty

display this查看protocolinbound {ssh | all}

（2）查看登录SSH服务器端的用户数是否到达上限

Displayusers    display user-interfacemaximum-vty

（3）查看SSH上VTY用户界面下是否绑定了ACL

User-interfacevty      display this    display acl acl-number

（4）查看SSH客户端和服务器上SSH版本是否兼容

Display sshserver status查看版本，如是SSHv1，则执行ssh server compatible-ssh1x enable

（5）查看SSH服务器端的SSH服务是否启动

Display sshserver status   如没使能，stelentserver enable 

（6）查看在SSH服务器端是否配置了RSA或DSA公钥

Display rsalocal-key-pair public 或display dsa local-key-pair public，如果显示信息为空，执行rsalocal-key-pair create 或dsa local-key-pair create

（7）查看SSH服务器上是否配置了SSH用户

Display sshuser-information，如果不存在，执行

Ssh user 、ssh userauthentication-type和ssh user service-type建立新SSH用户。

（8）查看SSH客户端是否使能了首次验证功能。

Ssh clientfirst-time enable

 

远程文件管理

交换机在进行文件管理时，可以充当服务器和客户端两种角色

 一、通过FTP进行文件操作

二、通过SFTP进行文件操作

SFTP是SSH协议的一部分，需要通过VTY用户界面进行连接（而FTP协议不需要通过VTY用户界面连接）。终端上需要已安全SSH客户端软件。配置任务如下：

（1）配置SFTP服务器功能和参数：包括服务器本地密钥对生成、SFTP服务器功能使能即服务器参数的配置：监听端口号、密钥对更新时间、SSH验证超时时间、SSH验证重试次数。

（2）配置SSH用户登录的用户界面：包括用户验证方式、VTY用户界面支持SSH协议及其他基本属性。

（3）配置SSH用户：包括SSH用户的创建、验证方式、服务方式、SFTP服务授权目录等。

一个具体的配置示例：

<Huawei>system-view

[Huawei]sysnameSSH Server

[SSH Server]rsalocal-key-pair create

…

[SSH Server]sftpserver enable

[SSH Server]user-interfacevty 0 4

[SSH Server-ui-vty-0-4]authentication-modeaaa

[SSHServer-ui-vty-0-4]protocol inbound ssh

[SSHServer-ui-vty-0-4]quit

[SSH Server]sshuser client001 authentication-type password

[SSH Server]sshuser client001 service-type sftp

[SSH Server]sshuser client001 sftp-directory flash:

[SSH Server]aaa

[SSH Server-aaa]local-userclient001 password cipher hauwei@123

[SSHServer-aaa]local-user client001 privilege level 15

[SSH Server-aaa]local-userclient001 service-type ssh

[SSHServer-aaa]quit

三、通过SCP进行文件操作

配置任务如下：

（1）配置SCP服务器功能和参数：包括服务器本地密钥对生成、SCP服务器功能使能即服务器参数的配置：监听端口号、密钥对更新时间、SSH验证超时时间、SSH验证重试次数。

（2）配置SSH用户登录的用户界面：包括用户验证方式、VTY用户界面支持SSH协议及其他基本属性。

（3）配置SSH用户：包括SSH用户的创建、验证方式、服务方式等。

客户端需要使用OpenSSH进行，在终端的命令提示符下执行：scp [-port port-number | -a sourceaddress | -I interface-typeinterface-number | -r | -cipher {des | 3des | aes128} | -c]* sourcefiledestinationfile命令直接上传文件至服务器或从服务器下载文件至本地。

四、通过FTPS进行文件操作

配置任务：

（1）上传服务器数字证书文件及私钥文件。

（2）配置SSL策略并加载数字证书：包括配置SSL策略及在服务器上加载数字证书。

（3）配置FTPS服务器功能及FTP服务参数：包括为FTPS服务器配置SSL策略、FTPS服务器的使能及FTP服务参数的配置：端口号、源地址、超时断连时间。

（4）配置FTP本地用户：

（5）通过FTPS访问交换机：

具体配置示例步骤：

<Huawei>system-view

[Huawei]sysname FTPS-Server

[FTPS-Server]ftp server enable

[FTPS-Server]aaa

[FTPS-Server-aaa]local-user admin passwordcipher hauwei@123

[FTPS-Server-aaa]local-user admin privilegelevel 3

[FTPS-Server-aaa]local-user admin service-typeftp

[FTPS-Server-aaa]local-user adminftp-directory flash：

[FTPS-Server-aaa]quit

[FTPS-Server]ssl policy ftp_server

[FTPS-Server-ssl-policy-ftp_server]certificateload ans1-cert servercert.der key-pair rsa key-file serverkey.der

[FTPS-Server-ssl-policy-ftp_server]quit

[FTPS-Server]undo ftp server

[FTPS-Server]ftp secure-server ssl-policyftp_server

[FTPS-Server]ftp secure-server enable