华为交换机常用命令大全

‌华为交换机详细基础命令详解

华为交换机（如S5700、S6720系列）是经常应用于企业的核心网络设备，其命令行基于VRP（Versatile Routing Platform）系统。本文从基础配置到高级功能，详细解析常用命令及场景。

华为交换机console口参考图（标明有console口字样的，插入console线，一般一头为水晶头接交换机的console口，另外一头为串口线或者是USB线，如为串口线需接电脑的串口或是采用USB转串口，如为USB接头需另外一头接电脑的USB接口交安装USB转串口驱动）交换机连接Console口缺省配置参数

假如采用USB转串口线连接Console口，先安装USB线驱动，在电脑设备管理器中-端口查看端口号，如COM3口，在超级终端或XSHELL或MobaXterm等终端仿真程序中新建连接，类型选择Serial，端口选择查看到的端口号

传输速率：9600bit/s

流控方式：无  英文设置为：RTS/CTS

校验方式：无

停止位：1

数据位：8

再新建连接，再双击连接，出现登陆窗口，输入用户名，密码。再按照配置说明配置。

一、基础配置

1. 登录与系统视图

# 通过Console或SSH登录后，进入用户视图

<Huawei> system-view # 进入系统视图

[Huawei] sysname SW1 # 修改设备名称为SW1

[SW1] quit # 退出到用户视图

2. 配置管理IP与默认网关

[SW1] interface Vlanif 1 # 进入默认VLAN接口（管理接口）

[SW1-Vlanif1] ip address 192.168.1.1 24 # 配置IP地址

[SW1-Vlanif1] quit

[SW1] ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 # 配置默认网关

3. 用户权限与密码设置

[SW1] user-interface console 0 # 进入Console口配置

[SW1-ui-console0] authentication-mode password

[SW1-ui-console0] set authentication password simple Huawei@123 # 明文密码

[SW1-ui-console0] quit

[SW1] aaa # 配置AAA认证

[SW1-aaa] local-user admin password cipher Admin@123 # 密文密码

[SW1-aaa] local-user admin service-type telnet ssh http # 允许服务类型

[SW1-aaa] quit

二、VLAN与端口配置

1. 创建VLAN并分配端口

[SW1] vlan batch 10 20 30 # 批量创建VLAN 10/20/30

[SW1] interface GigabitEthernet0/0/1

[SW1-GigabitEthernet0/0/1] port link-type access # 设置为Access模式

[SW1-GigabitEthernet0/0/1] port default vlan 10 # 划入VLAN 10

[SW1-GigabitEthernet0/0/1] quit

2. 配置Trunk端口

[SW1] interface GigabitEthernet0/0/24

[SW1-GigabitEthernet0/0/24] port link-type trunk # 设置为Trunk模式

[SW1-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 # 允许VLAN 10和20

[SW1-GigabitEthernet0/0/24] quit

3. 配置Hybrid端口（灵活端口模式）

[SW1] interface GigabitEthernet0/0/5

[SW1-GigabitEthernet0/0/5] port link-type hybrid

[SW1-GigabitEthernet0/0/5] port hybrid pvid vlan 20 # 设置PVID为20

[SW1-GigabitEthernet0/0/5] port hybrid untagged vlan 20 # 剥离VLAN 20标签

[SW1-GigabitEthernet0/0/5] quit

三、路由与三层功能

1. 配置VLAN间路由（SVI接口）

[SW1] interface Vlanif 10

[SW1-Vlanif10] ip address 192.168.10.1 24

[SW1-Vlanif10] quit

[SW1] interface Vlanif 20

[SW1-Vlanif20] ip address 192.168.20.1 24

[SW1-Vlanif20] quit

2. 静态路由配置

[SW1] ip route-static 10.0.0.0 255.255.255.0 192.168.1.254 # 下一跳为网关

3. 启用OSPF动态路由（仅三层交换机支持）

[SW1] ospf 1

[SW1-ospf-1] area 0

[SW1-ospf-1-area-0.0.0.0] network 192.168.10.0 0.0.0.255

[SW1-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255

[SW1-ospf-1-area-0.0.0.0] quit

四、安全配置

1. 端口安全（MAC地址绑定）

[SW1] interface GigabitEthernet0/0/2

[SW1-GigabitEthernet0/0/2] port-security enable

[SW1-GigabitEthernet0/0/2] port-security max-mac-num 1 # 仅允许1个MAC地址

[SW1-GigabitEthernet0/0/2] port-security protect-action shutdown # 违规关闭端口

[SW1-GigabitEthernet0/0/2] quit

2. ACL访问控制列表

[SW1] acl 3000 # 创建高级ACL（3000-3999为L3/L4层ACL）

[SW1-acl-adv-3000] rule deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 # 禁止VLAN10访问VLAN20的TCP流量

[SW1-acl-adv-3000] quit

[SW1] interface Vlanif 10

[SW1-Vlanif10] traffic-filter inbound acl 3000 # 应用ACL到VLAN10入方向

[SW1-Vlanif10] quit

3. SSH远程登录

[SW1] stelnet server enable # 启用SSH服务

[SW1] rsa local-key-pair create # 生成RSA密钥

[SW1] user-interface vty 0 4

[SW1-ui-vty0-4] authentication-mode aaa # 绑定AAA认证

[SW1-ui-vty0-4] protocol inbound ssh # 仅允许SSH登录

[SW1-ui-vty0-4] quit

4.配置没有密码访问Console口

执行命令system-view，进入系统视图。

执行命令user-interface console 0，进入Console用户界面视图。

执行命令authentication-mode none，设置用户认证方式为不认证

quit

quit  #进入用户视图

save #按Y保存配置

reboot #重启测试是否需要输入密码进入Console口

5.配置Console需要输入密码登陆

执行命令system-view，进入系统视图。

执行命令user-interface console 0，进入Console用户界面视图。

执行命令authentication-mode password，设置用户认证方式为密码认证。

执行命令set authentication password [ cipher password ]，配置Console的登录密码。

缺省情况下，设备允许的显式密码最小长度是8。可以适当增加密码的长度要求，使密码复杂度增加，从而提高设备的安全性。执行命令set password min-length length，设置设备允许的显式密码最小长度。

缺省情况下，对交互式输入的密码进行复杂度检查，若检查不通过，则配置不成功。可以使用user-interface password complexity-check disable命令关闭密码复杂度检查功能。但是为了保证系统安全性，建议开启此功能。

当不指定cipher password参数时，将采用交互方式输入显式密码，输入的密码不会在终端屏幕上显示出来。指定cipher password参数时，既可以输入显式密码也可以输入密文密码，但都将以密文形式保存在配置文件中。直接以明文形式输入密码存在安全风险，建议用户采用交互方式输入密码。

quit

quit

save #/y确认保存

reboot #重启

6.配置Console需输入用户名密码方式登陆

<Huawei> system-view

[Huawei] user-interface console 0

‌启用AAA认证模式‌

[Huawei-ui-console0] authentication-mode aaa  #‌创建本地用户并设置密码‌

[Huawei] aaa

[Huawei-aaa] local-user <用户名> password irreversible-cipher <密码>  #‌说明‌：<用户名> 替换为自定义用户名（如 admin）。<密码> 需满足复杂度要求：8~16位，包含大写字母、小写字母、数字、特殊字符中至少两种类型。irreversible-cipher 表示加密存储密码（推荐使用）。

[Huawei-aaa] local-user <用户名> service-type terminal #‌配置用户服务类型为终端（Console）‌

[Huawei-aaa] local-user <用户名> privilege level <等级>  ‌#分配用户权限等级，‌说明‌：<等级> 范围为 0~15（15为最高权限）15，建议等级处输入15‌保存配置‌

[Huawei-aaa] quit

<Huawei>save

Y确认

<Huawei>reboot

Y确认

五、高级功能配置

1. 链路聚合（Eth-Trunk）

[SW1] interface Eth-Trunk 1 # 创建聚合组1

[SW1-Eth-Trunk1] mode lacp-static # 使用LACP协议

[SW1-Eth-Trunk1] trunkport GigabitEthernet 0/0/23 0/0/24 # 添加成员端口

[SW1-Eth-Trunk1] port link-type trunk

[SW1-Eth-Trunk1] port trunk allow-pass vlan all

[SW1-Eth-Trunk1] quit

2. QoS流量优先级控制

# 标记视频流量（DSCP 46）并分配高优先级队列

[SW1] traffic classifier video

[SW1-classifier-video] if-match dscp 46

[SW1-classifier-video] quit

[SW1] traffic behavior video

[SW1-behavior-video] queue af4 # 使用AF4队列（高优先级）

[SW1-behavior-video] quit

[SW1] traffic policy video-qos

[SW1-policy-video-qos] classifier video behavior video

[SW1-policy-video-qos] quit

[SW1] interface GigabitEthernet0/0/1

[SW1-GigabitEthernet0/0/1] traffic-policy video-qos inbound

[SW1-GigabitEthernet0/0/1] quit

3. DHCP服务器配置

[SW1] dhcp enable # 全局启用DHCP

[SW1] interface Vlanif 10

[SW1-Vlanif10] dhcp select interface # 基于接口分配IP

[SW1-Vlanif10] dhcp server excluded-ip-address 192.168.10.1 # 排除网关IP

[SW1-Vlanif10] dhcp server lease day 3 # 租期3天

[SW1-Vlanif10] quit

六、维护与故障排查

1. 常用查看命令

display current-configuration # 查看当前配置

display interface brief # 查看接口状态

display vlan # 查看VLAN信息

display mac-address # 查看MAC地址表

display cpu-usage # 查看CPU利用率

display logbuffer # 查看日志信息

2. 配置备份与恢复

# 备份配置到TFTP服务器

<SW1> tftp 192.168.1.100 put vrpcfg.zip # 上传配置文件

# 恢复配置

<SW1> reset saved-configuration # 清除启动配置

<SW1> reboot # 重启后重新配置

3. 重置密码

# 启动时按Ctrl+B进入BootROM菜单

# 选择"Clear Console Password"后重启

七、华为交换机恢复出厂设置实例

重启交换机，不做任何配置，输入密码后进入用户视图

reset saved-configuration 

save

reboot

八、华为交换机删除VLAN实例

system-view  #进入系统视图

display current configuration

display port vlan

display vlan

display interface vlanif 10  #查看是否有vlan if 三层虚拟网关IP

如显示G0/0/1 to G0/0/16为 VLAN10，G0/0/17 to G0/0/24为 VLAN20，则需分别进入端口先从VLAN里面释放端口。

port-group group-member G0/0/1 to G0/0/16

undo port default vlan    #把端口从当前vlan中删除

quit

port-group group-member G0/0/17 to G0/0/24

undo port default vlan    #把端口从当前vlan中删除

quit

undo vlan 10

undo vlan 20

quit #进入用户视图

save #保存配置，按Y确认

reboot #重启交换要，按Y确认

九、总结

通过以上配置，可实现华为交换机的核心功能部署：

基础网络：VLAN划分、端口管理、IP路由

安全加固：ACL、端口安全、SSH

高级优化：链路聚合、QoS、DHCP

运维保障：配置备份、日志监控

注意：

华为交换机命令需在系统视图[SW1]下执行，用户视图<SW1>仅支持查看和简单操作。

删除VLAN一定要把属于这个VLAN的端口释放出来到默认的VLAN1来，再执行undo vlan id号 来删除vlan

配置完成后一定要使用 save 命令保存配置，否则重启后配置丢失！