刚拆箱的华为交换机没有 IP 也没有密码,只留了一个 Console 口。想让它变成可远程管理的网络节点,得先通过串口连上去,一步步把基础配置灌进去。下面是我习惯的流程,基于 VRP V5/V8 系统,适用于 S5700、S5735、S6730 这些主流型号。像 S1700 一类的低端盒子没有 Web 功能,一切就只能在命令行里敲。
需要的工具
- Console 线(一头 RJ-45 插交换机,通常标着'CON',另一头 USB 插电脑)
- 终端软件,比如 SecureCRT、Putty 或者 MobaXterm
把 Console 线接好,在终端软件里新建一个 Serial 连接:波特率 9600,8 数据位,1 停止位,无校验,无流控。打开会话,直接敲回车就能看到用户视图,刚出厂时不需要任何用户名密码。
进去了之后,先切到系统视图,顺手改个设备名,免得以后搞混。名字按「位置-功能-编号」的规则来,比如 SW-CORE。
system-view
[Huawei] sysname SW-CORE
[SW-CORE]
接下来要给它一个管理 IP,否则每次都得背着笔记本去机房插 Console 线。一般会建一个专用的管理 VLAN,不会直接拿默认的 VLAN 1 来用。这里用 VLAN 100,创建一个三层接口并配上 IP,再把接管理交换机的物理口划进这个 VLAN。假设用 G0/0/1 口连管理网。
[SW-CORE] vlan batch 100
[SW-CORE] interface Vlanif 100
[SW-CORE-Vlanif100] ip address 192.168.100.10 255.255.255.0
[SW-CORE-Vlanif100] quit
[SW-CORE] interface GigabitEthernet 0/0/1
[SW-CORE-GigabitEthernet0/0/1] port link-type access
[SW-CORE-GigabitEthernet0/0/1] port default vlan 100
[SW-CORE-GigabitEthernet0/0/1] quit
如果管理终端不在同一个网段,还需要配一条默认路由指向网关,这样才能跨网段访问。
[SW-CORE] ip route-static 0.0.0.0 0.0.0.0 192.168.100.1
有了 IP,就可以打开 Web 管理服务了,毕竟图形界面查状态、看端口流量比命令行直观。HTTPS 是必须开的,HTTP 后续要关掉。另外还得在 AAA 下面创建登录用户,给最高权限 level 15,密码用 irreversible-cipher 方式加密存储。
[SW-CORE] http server enable
[SW-CORE] https server enable
[SW-CORE] aaa
[SW-CORE-aaa] local-user admin password irreversible-cipher MyPass@123
[SW-CORE-aaa] local-user admin service-type http terminal
[SW-CORE-aaa] local-user admin privilege level 15
[SW-CORE-aaa] quit
这些配置还只是跑在内存里,一重启就没了。记得执行 save,会提示确认,敲 y 然后回车就行了。
[SW-CORE] save
The current configuration will be written to the device. Are you sure? [Y/N] y
现在找台电脑,把 IP 设成同网段的地址(比如 192.168.100.100/24,网关 192.168.100.1 可配可不配),浏览器访问 https://192.168.100.10。因为用的是自签名证书,浏览器会警告不安全,忽略就好。用刚才创建的 admin 账号和密码登录,就能看到 Web 管理界面了。
几个容易踩的坑
- Console 连不上时,先去设备管理器确认串口号,以及波特率是不是 9600。换个 USB 口或者换根 Console 线试试。
- 能 ping 通 IP 但网页打不开:检查
http server enable是否执行过;关闭电脑防火墙再试;旧型号可能只支持 HTTP,试试http://。 - 密码忘了:只能物理接触设备,重启时按 Ctrl+B 进 BootROM 菜单,选'Clear password for console user'。
上线之后马上做几项加固,别等出事了再补救。关掉 HTTP,只留 HTTPS;用 ACL 限制 Web 访问源,只允许管理网段;关掉不用的服务,比如 telnet。
undo http server enable
acl number 2000
rule permit source 192.168.100.0 0.0.0.255
undo telnet server enable
整个开局过程可以归纳成一个 checklist:Console 登录成功→设置设备名→配管理 VLAN 和 IP→开启 HTTPS→创建 Web 用户→保存→浏览器登录。完成这几步,交换机就已经从裸机变成了能监控、能运维的节点。但别忘了,真正的安全配置是开局之后才开始的,ACL、SNMP、日志这些都得陆续补上。
