华为交换机和路由器配置命令大全

本文还有配套的精品资源，点击获取

简介：本文深入探讨了华为命令汇集主题，详细解析了华为交换机和路由器的配置命令，以提高网络管理员在部署、维护和故障排查的效率。文章提供了登录与退出、接口配置、VLAN配置、路由配置、访问控制列表（ACL）、端口安全、日志和监控、备份与恢复、性能优化等多个方面的关键配置命令及应用场景。通过系统学习这些命令，读者可以提升网络运维能力，成为网络工程师提升工作效率的关键。

1. 华为设备配置概述

在信息化飞速发展的当下，网络设备配置已经成为IT专业人员必备的技能之一。华为作为领先的网络设备供应商，其设备配置在业界具有广泛的应用和深远的影响。本章将带您概览华为设备配置的全过程，从基本的配置命令到高级的网络优化，为您铺垫坚实的网络配置基础。

接下来的章节我们将逐一深入探讨华为设备的登录、接口、VLAN、路由、ACL、端口安全、日志监控、备份恢复以及性能优化的配置命令和实践技巧。我们不仅会讲授命令的使用，还会结合具体案例和最佳实践，帮助您快速掌握华为设备配置的关键知识，为日后在复杂的网络环境中高效工作打下坚实的基础。

2. 登录与退出命令

华为设备作为企业网络设备的优选，掌握其基本的登录与退出命令是网络工程师和系统管理员的基本功。本章节将介绍如何通过控制台线和远程方式登录华为设备，以及用户权限管理和安全退出设备的步骤和命令。

2.1 基本登录操作

2.1.1 通过控制台线登录设备

通过控制台线登录设备是最传统的登录方式，它适用于设备的初始配置或当远程登录服务不可用时的故障排查。

1. 物理连接 ：首先需要确保设备的控制台端口（Console Port）与计算机的串口通过控制台线（Console Cable）正确连接。

2. 串口配置 ：在计算机上打开一个终端仿真程序（如Windows的PuTTY），设置正确的串口参数（波特率、数据位、停止位、校验等），典型的参数设置为：波特率9600，数据位8，无奇偶校验，停止位1，无流控。

3. 启动会话 ：开启终端仿真程序后，重新启动或使用复位键重启华为设备，进入启动过程。在出现“Press any key to enter the system”提示时，按下任意键进入系统配置。

flowchart LR
    A[开启终端仿真] --> B[设置串口参数]
    B --> C[连接控制台线]
    C --> D[重启设备并进入系统配置]

1. 登录验证 ：一旦进入系统配置界面，即可开始配置设备。如果设备已经配置了登录密码，则需要输入正确的密码才能进入。

2.1.2 通过telnet远程登录

telnet提供了一种远程登录到华为设备的方法，但出于安全考虑，建议使用SSH替代telnet。

1. 网络连接 ：确保你的计算机与华为设备在同一网络内，然后打开命令提示符或终端。

2. 发起连接 ：在命令行中输入 telnet [设备IP地址] ，如 telnet ***.***.*.* 。

3. 登录认证 ：若设备配置了用户名和密码，则需要输入正确的认证信息以访问设备。

4. 安全提醒 ：telnet传输的数据是明文的，因此容易受到中间人攻击。建议使用SSH进行远程管理。

sequenceDiagram
    User->>+Device: Telnet [设备IP地址]
    Device-->>-User: 提示输入用户名
    User->>+Device: 输入用户名
    Device-->>-User: 提示输入密码
    User->>+Device: 输入密码
    Device-->>-User: 登录成功

2.2 用户权限管理

2.2.1 创建和管理用户账户

为保证设备的安全性，创建多个不同权限的用户账户是基本操作。

1. 进入系统视图 ：通过控制台或telnet登录后，使用命令 system-view 进入系统视图。

2. 创建用户账户 ：使用命令 user-interface vty 0 4 进入虚拟终端视图，然后使用 user-name [用户名] 创建新用户，并使用 password [密码] 为用户设置密码。

3. 分配权限级别 ：华为设备默认的用户权限级别是1，具有基本的命令访问权限。使用 authorization-attribute level [权限级别] 命令为用户分配相应的权限级别。权限级别范围从0（最高权限）到15（最低权限）。

4. 保存配置 ：使用 save 命令保存配置，确保在设备重启后用户设置依然有效。

system-view
user-interface vty 0 4
user-name admin
password admin123
authorization-attribute level 3
save

2.2.2 用户登录认证方式

华为设备支持多种登录认证方式，如本地认证、RADIUS认证、AAA认证等，以适应不同的安全策略。

1. 本地认证 ：用户通过本地数据库中的用户名和密码进行认证。这是最简单且默认的认证方式。

2. RADIUS认证 ：通过RADIUS服务器进行认证，增加了安全性。使用 radius server 命令配置RADIUS服务器相关信息。

3. AAA认证 ：可以同时使用本地和远程服务器进行用户认证，实现认证的灵活性和安全性。使用 aaa 命令来启用AAA认证。

# 示例配置AAA认证
local-user admin password cipher admin123
local-user admin service-type telnet
radius scheme default
server-type standard
primary authentication ***.***.*.***
accounting ***.***.*.***
radius-server deadtime 3
save

2.3 安全退出和重启命令

2.3.1 安全退出设备操作

在完成设备配置或操作后，应安全退出设备，防止未保存更改导致数据丢失。

1. 退出系统视图 ：输入命令 quit 或 <Ctrl>+Z ，可以退出当前视图返回上一级视图。

2. 退出用户视图 ：输入命令 quit 或 <Ctrl>+Z 直到退回到初始登录提示符，或使用命令 reboot 直接重启设备。

3. 保存配置并退出 ：在退出之前，可以使用 save 命令保存当前配置。若要放弃对配置所做的更改，则可以使用 revert 命令恢复到上一次保存的状态。

2.3.2 设备重启及恢复出厂设置命令

在某些情况下，可能需要重启设备或对设备进行出厂设置。

1. 重启设备 ：使用 reboot 命令重启设备。设备重启前通常会提示确认。

2. 恢复出厂设置 ：使用 reset saved-configuration 命令将设备恢复到出厂默认配置。此操作不可逆，请谨慎使用。

# 重启设备
reboot
# 恢复出厂设置（需谨慎）
reset saved-configuration

通过以上步骤，我们可以完成华为设备的登录与退出，并对用户权限进行适当管理。这是网络管理的基础，但更深层的安全管理策略则涉及到更高级的配置和安全功能。在后续章节中，我们将继续探讨接口配置、VLAN配置、路由配置等高级网络功能。

3. 接口配置命令

3.1 基本接口配置

3.1.1 接口类型及命名规则

在华为设备中，不同类型的接口有着不同的命名规则，这主要取决于设备的型号和接口板卡类型。例如，对于交换机而言，常见的接口类型有以太网接口（Ethernet）、快速以太网接口（FastEthernet）、千兆以太网接口（GigabitEthernet）等。命名规则通常以模块编号开头，后跟斜杠和端口号，例如 GigabitEthernet0/0/1 表示该接口位于第一个模块的第一个端口。

理解不同类型的接口和它们的命名规则对于正确配置接口至关重要。使用错误的接口名称会导致配置不成功，从而影响网络的正常运行。

3.1.2 接口的启用和禁用

启用和禁用接口是网络管理员日常运维中的常见任务。这通常涉及到 shutdown 和 no shutdown 命令的使用。

• shutdown 命令将接口状态设置为关闭（down），此时接口不再转发数据。
• no shutdown 命令则使接口重新进入启用（up）状态。

例如，要启用接口GigabitEthernet0/0/1，可以使用如下命令：

system-view
interface GigabitEthernet0/0/1
undo shutdown

执行完毕后，可使用 display interface GigabitEthernet0/0/1 命令检查接口状态，确认接口已正常启用。

3.2 接口参数设置

3.2.1 IP地址配置与修改

接口上分配的IP地址是数据包路由决策的关键。在华为设备上，可以通过 ip address 命令来配置和修改接口的IP地址。

system-view
interface GigabitEthernet0/0/1
ip address ***.***.*.***.***.***.*

上述命令将IP地址 ***.***.*.* 配置到接口GigabitEthernet0/0/1上，子网掩码为 ***.***.***.* 。

对于已配置的IP地址，如果需要修改，可以先删除当前配置，然后再重新设置。

3.2.2 子网掩码和广播地址配置

子网掩码用来标识IP地址中网络部分的长度，而广播地址用于在网络上发送广播消息。在接口上配置子网掩码：

interface GigabitEthernet0/0/1
ip address ***.***.*.***.***.***.*

广播地址可以由子网掩码推导得出，一般无需单独配置。

3.3 高级接口配置

3.3.1 接口的VLAN划分

VLAN（Virtual Local Area Network）划分是通过逻辑上而不是物理上划分网络，提高网络安全性和网络管理效率。

使用 port link-type 和 port default vlan 命令配置VLAN：

system-view
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10

在上述示例中，接口被划入了VLAN 10。将端口的类型设置为 access 表示这是接入端口，并将其默认VLAN设置为10。

3.3.2 链路聚合与接口备份

链路聚合和接口备份是提升网络冗余和链路利用率的两种方法。

使用 interface Bridge-Aggregation 来创建一个聚合组：

system-view
interface Bridge-Aggregation 1
link-aggregation mode dynamic
member GigabitEthernet0/0/1
member GigabitEthernet0/0/2

以上配置将接口GigabitEthernet0/0/1和GigabitEthernet0/0/2聚合到Bridge-Aggregation 1。而接口备份通常需要更为复杂的配置，可能涉及路由协议以及备份策略的设置。

表格：接口类型及配置概览

| 接口类型 | 命名规则 | 主要用途 | |-----------------|--------------|---------------------------| | Ethernet | Ethernet0/0 | 适用于局域网连接 | | FastEthernet | FastEthernet0/0 | 用于快速以太网连接 | | GigabitEthernet | GigabitEthernet0/0/1 | 用于千兆以太网连接 | | Bridge-Aggregation | Bridge-Aggregation 1 | 用于链路聚合以提高带宽和冗余性 |

Mermaid 流程图：接口配置流程

graph TD
A[开始配置接口] --> B[确定接口类型和命名]
B --> C[启用接口]
C --> D[配置IP地址]
D --> E[设置子网掩码]
E --> F[配置VLAN]
F --> G[是否需要链路聚合/接口备份?]
G --> |是| H[进行链路聚合/接口备份配置]
G --> |否| I[完成接口配置]
H --> I[完成接口配置]

以上内容为第三章“接口配置命令”的详细介绍，涉及接口的启用/禁用、IP地址的配置与修改以及VLAN划分等关键操作。在实际操作中，需要根据具体的网络设计和需求来配置接口，同时要注意命令的正确性和逻辑顺序，确保网络配置的正确性和效率。

4. VLAN配置命令

4.1 VLAN基础配置

4.1.1 创建VLAN

VLAN（Virtual Local Area Network，虚拟局域网）是网络中的重要技术，它允许用户将一个物理网络分割成多个逻辑上的分段，每个分段都可以视为一个独立的广播域。在华为设备中，VLAN的创建通过 vlan batch 命令进行批量配置。

<Huawei> system-view
[Huawei] vlan batch 10 20 30

执行以上命令后，系统会自动创建VLAN 10、VLAN 20和VLAN 30三个虚拟局域网。

逻辑分析：

• system-view ：进入系统视图，这是对网络设备进行配置的起始点。
• vlan batch ：批量创建VLAN的命令，其后的数字即为新创建的VLAN的ID。
• 在此例中，10、20和30是新建VLAN的ID号，该命令会将这些ID号对应的VLAN添加到设备中。

4.1.2 分配端口到VLAN

创建VLAN后，下一步是将交换机端口分配到相应的VLAN中。使用 port link-type access 和 port default vlan 命令可以完成这一操作。

<Huawei> system-view
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type access
[Huawei-GigabitEthernet0/0/1] port default vlan 10

在上述操作中，我们首先进入了系统视图模式，然后进入了 GigabitEthernet 0/0/1 接口视图，将其配置为接入类型（access）并指定默认VLAN为10。

逻辑分析：

• interface GigabitEthernet 0/0/1 ：指定要配置的接口，这里是接口GigabitEthernet 0/0/1。
• port link-type access ：设置端口的链接类型为access，即将端口配置为接入链路。
• port default vlan 10 ：设置接口默认VLAN，使其连接到VLAN 10。这意味着，当连接到该接口的设备发送数据时，该数据包会被标记为VLAN 10的成员。

4.2 VLAN高级功能

4.2.1 VLAN间路由配置

VLAN间路由配置允许不同VLAN中的主机相互通信。通常在三层交换机或路由器上配置。通过创建虚拟接口（VLANIF）并为其分配IP地址来实现VLAN间的路由。

<Huawei> system-view
[Huawei] interface Vlanif10
[Huawei-Vlanif10] ip address ***.***.**.***.***.***.*

以上命令配置了VLANIF10接口，并为其分配了IP地址 . .* . 。这样，VLAN 10中的主机就可以通过这个接口与其他VLAN进行通信。

逻辑分析：

• interface Vlanif10 ：进入VLANIF10接口的配置模式。VLANIF是VLAN的逻辑接口，允许VLAN间路由。
• ip address ：为VLANIF接口配置IP地址及子网掩码。这是实现VLAN间路由的关键配置，确保不同VLAN的设备能够互相访问。

4.2.2 VLAN虚拟接口配置

VLAN虚拟接口配置允许在三层交换机上为每个VLAN创建一个逻辑接口，这个逻辑接口可以用来进行路由配置。

<Huawei> system-view
[Huawei] interface Vlanif20
[Huawei-Vlanif20] ip address ***.***.**.***.***.***.*

这一配置过程类似于VLAN间路由配置，不同之处在于，虚拟接口配置仅设置逻辑接口及其地址，可能还需要配置路由协议等以允许不同VLAN的通信。

4.3 VLAN故障排查

4.3.1 VLAN配置常见问题及诊断

在VLAN配置中可能会遇到各种问题，例如设备无法访问、不同VLAN间通信问题等。故障排查通常会涉及检查VLAN配置、接口状态和路由配置。

<Huawei> display vlan 10

display vlan 命令用于查看VLAN 10的详细配置信息，包括接口分配等，这是故障排查时的一个基础工具。

4.3.2 VLAN网络故障的解决方法

解决VLAN网络故障需要系统地分析网络拓扑结构和配置。一旦确定故障点，可以采取的措施包括重新配置VLAN、修复物理连接、重启设备或调整交换机端口设置。

<Huawei> undo port default vlan

使用 undo port default vlan 命令可以将接口的默认VLAN设置恢复为原始状态，可能有助于解决由于VLAN配置错误导致的故障。

本章节通过具体的操作步骤、命令执行以及逻辑分析，对VLAN的基础配置、高级功能和故障排查进行了详细的介绍。VLAN配置是网络规划中的关键步骤，它直接影响网络的稳定性和安全性。掌握VLAN配置的技巧，对于网络设计人员和运维工程师来说至关重要。通过本章内容的学习，读者应该能够对VLAN配置有较为深入的理解，并能够运用所学知识解决实际问题。

5. 路由配置命令

5.1 静态路由配置

5.1.1 静态路由的添加与删除

在计算机网络中，静态路由是一种路由选择机制，它由网络管理员手工配置，而不是由动态路由选择协议自动生成的。静态路由通常用于小规模网络或是当动态路由协议不被允许时。

添加静态路由

要添加一条静态路由，可以使用以下命令格式：

ip route-static dest-ip-address {mask | mask-length} { nexthop-ip-address | interface-type interface-number [nexthop-ip-address] } [ preference value ] [ tag tag-value ] [ description text ] [ permanent ]

参数说明：

• dest-ip-address ：目的IP地址或IP地址范围。
• mask 或 mask-length ：子网掩码或CIDR前缀长度。
• nexthop-ip-address ：下一跳IP地址，即数据包到达目的地址的下一个中转点。
• interface-type interface-number ：从当前设备出发到达目的IP地址的本地出接口类型和编号。
• [preference value] ：设置路由的优先级，取值范围为0~255，数值越小优先级越高。
• [tag tag-value] ：为静态路由指定标签值，方便管理和识别。
• [description text] ：为路由配置描述信息。
• [permanent] ：指定该路由即使在出接口down掉的情况下也依然存在。

示例代码块：

ip route-static ***.***.**.***.***.***.***.***.**.*

删除静态路由

要删除一条静态路由，可以使用以下命令格式：

undo ip route-static { dest-ip-address mask | dest-ip-address mask-length } [ nexthop-ip-address | interface-type interface-number ]

示例代码块：

undo ip route-static ***.***.**.***.***.***.*

5.1.2 静态路由的优化与调试

在配置静态路由时，需要优化路由设置以确保网络性能最优化，并且可以方便地进行调试和维护。

路由优化

• 使用汇总路由 ：当网络中有多个静态路由指向同一下一跳时，可以使用汇总路由以减少路由表条目，优化查找效率。
• 最小化静态路由数量 ：动态路由协议是大型网络的首选，静态路由则在小型网络或者特定场景中使用，减少静态路由的数量可以降低管理复杂度。
• 合理设置优先级 ：合理地为静态路由设置优先级可以在路由选择时提供更灵活的控制。

路由调试

• 查看路由表 ：使用 display ip routing-table 命令可以查看当前设备的路由表，以验证静态路由是否正确配置。
• Trace命令 ：使用 trace 命令可以帮助定位到静态路由的连通性问题，例如 trace ***.***.**.* 。
• 日志与调试 ：开启日志记录静态路由的变更和相关的事件，可以通过日志信息来协助进行问题诊断。

示例代码块：

display ip routing-table

5.1.3 静态路由配置案例分析

这里给出一个配置静态路由的案例分析：

假设有一个网络结构包含三个网段，分别是 . . . /24、 . . . /24和 . . .*/24。网络管理员需要设置静态路由以保证这三个网段间能够互相通信。

配置步骤如下：

1. 配置 . . . 网段的路由，下一跳为 . . . ： shell ip route-static ***.***.**.***.***.***.***.***.**.*
2. 配置 . . . 网段的路由，下一跳为 . . . ： shell ip route-static ***.***.**.***.***.***.***.***.**.*
3. 配置 . . . 网段的路由，下一跳为 . . . ： shell ip route-static ***.***.**.***.***.***.***.***.**.*

通过上述步骤，网络管理员可以确保三个网段的互通性。务必检查每一步配置，确认无误后，使用 display ip routing-table 命令验证路由是否已正确加入路由表中。

6. 访问控制列表（ACL）配置命令

在现代网络管理中，访问控制列表（ACL）是一种基础而重要的安全机制，用于控制进入和离开网络设备接口的数据流。ACL可以根据源地址、目的地址、端口号、协议类型等参数定义规则，从而允许或拒绝特定流量。本章将详细讨论ACL的配置命令，基础应用和高级配置，以及如何优化ACL策略。

6.1 ACL基础应用

6.1.1 标准ACL的创建与应用

标准ACL主要基于源IP地址来过滤网络流量。以下是一个创建标准ACL并应用到接口的基本示例：

# 创建标准ACL规则，仅允许***.***.*.*/24网络的流量通过
[huawei] acl number 2000
[huawei-acl-basic-2000] rule permit source ***.***.*.***.0.0.255
[huawei-acl-basic-2000] quit

# 将ACL应用到GigabitEthernet0/0/1接口的出方向
[huawei] interface GigabitEthernet0/0/1
[huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 2000

这段命令首先定义了一个编号为2000的标准ACL规则，允许源地址为 . . . /24的数据包通过。然后，将这个ACL应用到了GigabitEthernet0/0/1接口的出方向。需要注意的是，ACL的顺序很重要，因为ACL处理数据包时是按照顺序逐一匹配的。

6.1.2 扩展ACL的创建与应用

扩展ACL提供了更精细的控制，允许基于源地址、目的地址以及协议类型等信息过滤数据包。以下是一个创建扩展ACL并应用到接口的示例：

# 创建扩展ACL规则，拒绝源IP为***.***.*.*/24，目的IP为***.***.*.*/24的TCP数据包
[huawei] acl number 3000
[huawei-acl-adv-3000] rule deny tcp source ***.***.*.***.0.0.255 destination ***.***.*.***.0.0.255
[huawei-acl-adv-3000] rule permit ip
[huawei-acl-adv-3000] quit

# 应用到接口的入方向
[huawei] interface GigabitEthernet0/0/2
[huawei-GigabitEthernet0/0/2] traffic-filter inbound acl 3000

在这个例子中，ACL 3000被用于拒绝来自 . . . /24网络，目的地为 . . . /24网络的TCP数据包，而允许所有其他IP数据包。这种类型的ACL特别适合于限制特定的网络访问或服务。

6.2 ACL高级配置

6.2.1 时间段ACL的应用

时间段ACL允许定义特定时间段内生效的ACL规则。这对于在工作时间之外控制访问权限非常有用。以下是如何定义并应用时间段ACL的示例：

# 定义一个时间段
[huawei] traffic classifier workhours
[huawei-classifier-workhours] if-match time-range workhours
[huawei] time-range workhours
[huawei-time-range] start-time 08:00:00 day-of-week Monday
[huawei-time-range] end-time 18:00:00 day-of-week Friday

# 应用时间段ACL到接口
[huawei] acl number 4000
[huawei-acl-basic-4000] rule permit source ***.***.*.***.0.0.255 time-range workhours
[huawei-acl-basic-4000] quit
[huawei] interface GigabitEthernet0/0/3
[huawei-GigabitEthernet0/0/3] traffic-filter inbound acl 4000

这个配置仅允许 . . . /24网络在周一至周五的08:00到18:00的时间段内访问。时间段的定义增加了网络访问控制的灵活性。

6.2.2 通过ACL进行流量过滤

流量过滤是ACL的一个核心功能，可以根据不同的需求来过滤不同类型的流量。例如，控制特定端口的流量，或者限制特定应用的流量等。下面是一个限制FTP服务流量通过的ACL配置示例：

[huawei] acl number 5000
[huawei-acl-adv-5000] rule deny tcp source any destination ***.***.*.***.0.0.255 eq ftp
[huawei-acl-adv-5000] rule permit ip
[huawei-acl-adv-5000] quit
[huawei] interface GigabitEthernet0/0/4
[huawei-GigabitEthernet0/0/4] traffic-filter inbound acl 5000

在这个例子中，我们拒绝了所有目标地址为 . . . /24的FTP流量。通过使用特定的应用层协议（比如FTP）作为过滤条件，ACL可以实现更细致的访问控制。

6.3 ACL的策略优化

6.3.1 ACL规则的优先级调整

在ACL配置中，规则的执行顺序至关重要。正确的规则顺序可以确保流量按预期被过滤。更具体地说，应该先处理更具体的规则，再处理更一般的规则。例如：

[huawei] acl number 6000
# 规则1：先匹配特定地址
[huawei-acl-basic-6000] rule permit source ***.***.*.**
# 规则2：再匹配特定网络
[huawei-acl-basic-6000] rule permit source ***.***.*.***.0.0.255
# 规则3：最后是默认规则，拒绝其他所有流量
[huawei-acl-basic-6000] rule deny
[huawei-acl-basic-6000] quit

在这段示例中，规则1有比规则2更高的优先级，因为它更具体。

6.3.2 ACL的维护与排错

随着网络环境的变更，ACL的维护和排错变得非常重要。可以使用如下命令检查ACL的匹配情况：

[huawei] display acl number 2000

输出将显示ACL的统计信息，包括匹配的流量计数。这对于监控和调试ACL规则非常有帮助。如果发现某个规则没有达到预期的效果，需要回到相应的配置命令中进行调整。

在进行排错时，验证ACL规则是否正确应用到了预期的接口，并确保没有其他更具体的规则在之前已经处理了这些流量。另外，确认ACL的顺序正确，并且所有规则都是当前网络需求所需要的。

ACL配置的有效性直接影响网络的安全性和性能。因此，本章提供了ACL的基本应用、高级配置以及策略优化的详细步骤和示例。理解并实践这些概念，可以帮助网络管理员更加精确和高效地控制网络访问。

本文还有配套的精品资源，点击获取

简介：本文深入探讨了华为命令汇集主题，详细解析了华为交换机和路由器的配置命令，以提高网络管理员在部署、维护和故障排查的效率。文章提供了登录与退出、接口配置、VLAN配置、路由配置、访问控制列表（ACL）、端口安全、日志和监控、备份与恢复、性能优化等多个方面的关键配置命令及应用场景。通过系统学习这些命令，读者可以提升网络运维能力，成为网络工程师提升工作效率的关键。

本文还有配套的精品资源，点击获取