交换机常用命令

VLAN管理(华为交换机)

创建VLAN

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# 进入系统视图
system-view

# 创建VLAN 10
vlan 10

# 进入端口配置模式,并指定端口
interface GigabitEthernet0/0/1

# 设置端口为访问模式
port link-type access

# 分配该端口到指定的VLAN
port default vlan 10

# 退出到用户视图,保存配置
quit
quit
save

查看VLAN配置

1
2
3
4
5
# 进入系统视图
system-view

# 查看VLAN配置
display vlan

删除VLAN

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# 进入系统视图
system-view

# 删除指定vlan
undo vlan 10

# 退出到用户视图,保存配置
quit
save

# 删除已绑定接口的VLAN
# 进入端口
interface Ethernet0/0/1
# 删除VLAN
undo port default vlan
# 退出到用户视图,保存配置
quit
save

VLANIF管理

VLANIF 接口(VLAN Interface,虚拟局域网接口)是交换机或路由器中一个特殊的逻辑接口,它将 VLAN(虚拟局域网)与三层网络通信连接起来。它通常用于 三层交换机路由器 上,通过此接口,可以实现不同 VLAN 之间的 路由,以及为 VLAN 中的设备提供 网关

创建VLANIF接口

1
2
3
4
5
6
7
8
9
10
11
# 进入系统视图
system-view

# 创建VLAN
vlan 10

# 创建VLANIF
interface vlanif 10

# 配置接口地址
ip address 192.168.10.1 255.255.255.0

查看VLANIF接口

1
2
3
4
5
# 查看所有VLANIF
display interface vlanif

# 查看指定VLANIF接口
display interface vlanif10

删除VLANIF接口

1
2
3
# 进入系统视图
system-view
undo interface vlanif10

端口管理

查看端口状态

1
2
3
4
5
# 查看所有端口状态
display interface brief

# 查看指定端口状态
display interface GigabitEthernet0/0/1

查看端口模式(Access或Trunk)

1
display port vlan GigabitEthernet 0/0/1

设置端口的模式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# 进入指定端口
interface GigabitEthernet 0/0/1

# 设置端口模式
port link-type trunk 或
port link-type access

# 设置trunk允许指定的vlan通过
port trunk allow-pass vlan 10 20

# 设置trunk允许连续的vlan通过(10、11、12、13、14、15)
port trunk allow-pass vlan 10 to 15

# 设置trunk允许所有的vlan通过
port trunk allow-pass vlan all

DHCP管理

DHCP Snooping

DHCP Snooping(DHCP监听) 是一种网络安全功能,主要用于防止网络中出现 伪造的 DHCP 服务器非法分配 IP 地址的攻击行为

它常见于 二层交换机中启用,尤其是在企业网络、云数据中心、网吧等需要集中 IP 管理的场景中非常重要。

启用 DHCP Snooping 功能

1
2
dhcp enable
dhcp snooping enable

配置信任端口(连接DHCP Server的端口)

1
2
3
4
5
interface GigabitEthernet 0/0/24
dhcp snooping trust

# 查看端口信任情况
display dhcp snooping configuration interface GigabitEthernet 0/0/24

启用信息插入(Option 82)

1
dhcp snooping information enable

开启IP报文检查

为了防止用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能。

1
2
3
4
5
6
7
8
# 针对整个vlan
vlan 10

# 针对某个端口
interface GigabitEthernet 0/0/1

# 开启检查
ip source check user-bind enable

这样从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。

查看绑定表

1
display dhcp snooping user-bind all

配置管理(华为交换机)

设置连接超时时间

1
2
3
4
5
6
7
8
9
10
11
12
13
# 进入系统视图
system-view

# 进入console 0 接口
user-interface console 0

# 设置控制台会话时间(100分钟),默认为10分钟,当设置为0时,表示永不超时(存在安全风险)
idle-timeout 100

# 退出到用户视图,保存配置
quit
quit
save

查看配置信息

1
2
3
4
5
# 查看当前视图的配置信息
display this

# 查看当前设备的所有配置信息
display current-configuration

查看MAC地址表

1
2
# 用户视图下使用
display mac-address