华为交换机入门（二）：VRP系统基础命令及配置登录

VRP系统（通用路由平台）是华为公司数据通信产品的通用网络操作系统平台，包括路由器、交换机、防火墙、WLAN等众多系列产品。

一、认识各种命令

（一）常用命令

1.查看命令行热键

display hotkey

2.使用简写的命令行

VRP系统提供了“不完整关键字输入”功能。

例如查看当前配置：

display current-configuration 
d cu
dis cu

可以用 d cu或di cu、dis cu代替。

不能输入d c或dis c等，因为以 d c、dis c开头的命令不唯一。

不记得命令全拼时，按Tab键可以循环查找命令。

例如，常用的简写：

3.如何查找命令的帮助文档

按“?”可以在线查找命令帮助文档

4.如何更改系统视图的名称？

若有多个交换机或路由器，需要给设备更改名称，方便区分不同设备，避免配置错误。

sysname AR1

5.如何取消配置的命令？

几乎所的配置命令（不包括管理类的命令）都有对应的undo命令格式，其中undo作为这些命令的关键字，即为undo命令行。undo 命令行一般用来恢复缺省情况、禁用某个功能或者删除某项设置。

（二）进阶命令

1.查看和更改设备的当前时间

需要在用户视图下配置设备的当前时间

display clock

配置时间之前要先配置时区

clock timezone CST add 8

再通过以下命令更改时间

clock datetime 

2.查看设备的版本信息

display version

3.查看设备的路由表信息

display ip routing-table

4.查看设备的配置信息

display current-configuration

5.配置用户登录前和登录后提示信息

在系统视图下，配置登录前信息，配置的信息需要用“#”包括起来。

header login information

配置登录后的信息

header shell information

在配置那里可以看到，已配置成功

按Ctrl+]组合键进入视图，可以看到刚才配置的信息

二、配置登录设置

（一）首次登录

VRP系统的首次登录必须采用本地登录方式，因为此时交换机还没配备用于远程登录的用户、IP地址等必需配置。华为S系列交换机可以通过Console口进行首次登录，实现对新交换机的基本配置。

连接console口需要串口线，同时需要SecureCRT、Putty等终端软件连接COM口，首次登录时可以自行更改密码，初始密码为“Admin@huawei.com”。

1.配置交换机名称和IP地址

这里所配置的IP地址可以看成是管理IP地址，专为日后进行Telnet之类的远程交换机登录使用。但这里要注意的是，在华为交换机中除了一些交换机提供的专门管理口（通常为Ethernet0/0/0接口）外，不能直接在物理接口上配置IP地址，仅可在VLAN接口、Loopback、Tunnel、子接口等这些逻辑接口上配置 IP 地址。

管理 IP 地址通常是在管理接口，或者 VLAN 接口上配置，如果交换机没有提供管理接口，通常是在 VLAN接口上配置，可直接在缺省的VLAN1接口上配置。

<HUAWEI>system-view
[HUAWEI] interfacevlanif 2
[HUAWEI-Vlanif2] ip address 10.1.1.2 8
[HUAWEI-Vlanif2] ip address 11.1.1.3 255.0.0.0 sub

2.选择配置的用户界面

华为S系列交换机的VRP系统支持“Console用户界面”和“VTY用户界面”这两大类。

（1）Console用户界面
当用户通过Console口或者 MiniUSB 口登录交换机实现本地维护时，可以根据使用需求或对交换机安全的考虑，配置相应的Console用户界面属性。

Console类型的用户界面只有一个。Console编号：固定为CON 0，且只有这一个编号。

（2）VTY用户界面（Virtual Type Terminal，虚拟类型终端）
VTY是一种虚拟线路端口。用户通过终端与交换机建立Telnet或SSH连接后，即建立了一条VTY连接（或称VTY虚拟线路）。
当用户通过Telnet或SSH方式登录交换机实现本地或远程维护时，可以根据用户使用需求以及对交换机安全的考虑，配置VTY用户界面。

VTY类型的用户界面有多个，每个用户界面可以分配给一个用户使用。VTY编号：第一个为VTY 0，第二个为VTY 1，最高编号为VTY 14，共有15个。

可用 display user-interface（不带参数）命令查看交换机当前支持的用户界面以及它们的绝对编号。

display user-interface

3.选择用户界面的用户验证方式

VRP系统中对用户的验证方式有两种：Password验证和AAA验证
（1）Password验证：只需要进行密码验证，不需要进行用户名验证，所以只需要配置密码，不需要配置本地用户。此为缺省认证方式。
（2）AAA验证：需要同时进行用户名验证和密码验证，所以需要创建本地用户，并为其配置对应的密码。这种方式更安全
配置VTY就是配置通过telnet访问，默认支持5个用户通过telnet访问，最大支持15个用户。

用户界面优先级VRP系统支持对登录用户进行分级管理，与命令级别一样，用户级别也对应分为0～15共16个级别，标识越高则优先级越高。

优先级：
用户所能访问命令的级别由其所使用的用户界面配置的优先级或者为用户自身配置的用户优先级别决定，但高级别用户可以访问比他低的所有级别命令。也就是在AAA验证方式下，用户级别不是由所使用的用户界面级别确定，而是由具体的用户账户优先级别确定，更加灵活，因为这样一来，同一用户界面下的不同用户的用户级别可能不一样。

当然，这也决定了在AAA验证方式下，必须为具体的用户配置具体的用户优先级。

4.配置用户界面console口的登录

当用户通过 Console 口登录交换机实现本地维护时，可以根据实际需求配置相应的Console用户界面属性，包括Console用户界面的物理属性、终端属性、用户优先级和用户验证方式等。

但这些参数都不是必须要配置的，用户可以结合实际需求和安全性考虑选择配置。

Console用户界面提供AAA验证、密码验证和不验证3种用户验证方式。
方法一：进入用户界面之后，更改认证模式

# 进入console的用户界面
user-interface console 0
# 使用密码验证
authentication-mode password
# 使用aaa验证
authentication-mode aaa
# 配置aaa视图的账号和密码
local-user admin password cipher admin@12345
# 不使用密码验证
authentication-mode none

(二)配置telnet登录

1.配置用于telnet访问的接口的IP地址

先进入接口视图，开启接口，然后设置IP地址和子网掩码，用于外部设备访问本机的IP。

dis ip int brief
int g0/0/0
undo shutdown
ip address 10.1.1.1 24

2.配置被访问设备的用户界面的密码

# 路由器AR2 10.1.1.10
# 因为telnet是vty连接，因此需要配置vty界面
user-interface vty 0 4
# 为简便起见，这里设置的是密码模式
authentication-mode password

接着在另一台路由器的用户视图通过telnet访问设备的ip地址

# 路由器AR1
telnet 10.1.1.10
# 再输入密码

访问成功！

3.配置vty界面的命令等级

但是进入不了系统视图。这是因为还没有配置用户的访问等级！

接着配置用户的访问等级

#查看用户的访问等级
display user-interface

#设置用户的访问等级为3
user privilege level 3

重新设置访问等级后

现在登录之后，发现所有命令都可以使用了

4.更改登录访问模式

由于通过密码访问是所有管理员使用同一个密码，若多个管理员希望使用不同密码，则可以使用aaa模式。

#1.进入vty界面，更改认证模式为aaa
user-interface vty 0 4
authentication-mode aaa
#2.进入aaa视图
aaa
local-user admin password cipher huawei
# 配置用户权限
local-user admin privilege level 15
# 注意：若console视图使用aaa模式，若配置telnet的服务类型，就不能用console口登录了
local-user admin service-type telnet
# 可多选服务类型
local-user admin service-type telnet terminal http

重新访问后，需要输入用户名和密码才能登录

(三)配置web登录

HTTP Web网管登录方式的配置比较简单，有如下基本配置思路。
（1）向交换机上传并加载Web网页文件。
（2）同时使能HTTPS和HTTP服务功能，配置HTTP服务属性参数，如HTTP服务监听端口和超时时间。当然也可以不配置这些属性参数，因为它们都有缺省值。
（3）在AAA视图下创建用于HTTP Web网管登录的本地用户账户，配置用户级别和对HTTP服务的支持。
（4）在浏览器地址栏中输入交换机的管理IP地址即可实现成功登录。

# 开启http服务
[HTTP-Server] http server enable
#进入aaa视图创建web的账号和密码，并配置服务类型为http访问
[HTTP-Server] aaa
[HTTP-Server-aaa] local-user admin password cipher huawei
[HTTP-Server-aaa] local-user admin privilege level 15
[HTTP-Server-aaa] local-user admin service-type http
[HTTP-Server-aaa] quit

在用户PC的Web浏览器地址栏中直接输入http://192.168.0.1（此处假设交换机的管理IP地址为192.168.0.1）

在交换机的命令行界面下执行display http server任意视图命令可以看到交换机配置的HTTP服务器的当前状态，可以验证配置是否正确。

display http server

三、术语

命令视图

用户视图：

• <HUAWEI> 查看交换机简单的运行状态和统计信息
• 建立连接就能进入
• quit断开与交换机的连接

系统视图：

• [HUAWEI]配置系统参数
• 在用户视图下输入system-view
• quit返回用户视图

以太网端口视图：

• [HUAWEI-Ethernet0/0/1]配置以太网端口
• 系统视图下键入interface ethernet0/0/1
• quit返回用户视图

NULL接口视图：

• [HUAWEI-NULL0]配置NULL接口视图参数（转发到null接口的网络数据报文会被丢弃）
• 系统视图下键入interface null 0

Tunnel接口视图：

• [HUAWEI-Tunnel0]配置隧道接口视图参数
• 系统视图下键入interface tunnel 0