1.1  产品简介

Quidway S3500系列以太网交换机是华为公司自主开发的L2/L3层以太网交换机，提供线速的二层、三层交换功能及路由功能。目前包含的型号为：

●S3526以太网交换机

●S3526 FS以太网交换机

●S3526 FM以太网交换机

●S3526E以太网交换机

●S3526E FS以太网交换机

●S3526E FM以太网交换机

●S3526C以太网交换机

●S3552G以太网交换机

●S3552P以太网交换机

●S3528G以太网交换机

●S3528P以太网交换机

●S3552F以太网交换机

S3526/S3526E/S3526C以太网交换机提供24个固定的10/100Base-TX以太网端口、1个Console口及2个扩展模块插槽。

S3526 FS/S3526E FS与S3526 FM/S3526E FM以太网交换机的区别仅在于它们提供的固定光端口属性不同：S3526 FS/S3526E FS以太网交换机提供12个百兆单模光端口，S3526 FM/S3526E FM以太网交换机提供12个百兆多模光端口。除此之外，它们还分别提供1个Console口及4个扩展模块插槽。

S3552G以太网交换机提供48个固定的10/100Base-TX以太网端口、1个Console口及4个固定的GBIC接口。

S3552P以太网交换机提供48个固定的10/100Base-TX以太网端口、1个Console口及4个固定的SFP接口。

S3528G以太网交换机提供24个固定的10/100Base-TX以太网端口、1个Console口及4个固定的GBIC接口。

S3528P以太网交换机提供24个固定的10/100Base-TX以太网端口、1个Console口及4个固定的SFP接口。

S3552F以太网交换机均提供6个百兆模块插槽、1个Console口及4个GBIC接口。

Quidway S3500系列以太网交换机支持的业务如下：

●Internet宽带接入

●企业网和园区网组网

●提供组播服务和组播路由功能，支持组播音、视频服务

在本文中Quidway S3500系列以太网交换机简称为S3500系列以太网交换机。

1.2  功能特性列表

表1-1 功能特性列表

2.1  通过Console口搭建配置环境

第一步：如图2-1所示，建立本地配置环境，只需将PC机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。

图2-1 通过Console口搭建本地配置环境

第二步：在PC机上运行终端仿真程序（如Windows 3.X的Terminal或Windows 9X的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100，如图2-2至图2-4所示。

图2-2 新建连接

图2-3 连接端口设置

图2-4 端口通信参数设置

第三步：以太网交换机上电，终端上开始显示以太网交换机的自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如）。

第四步：键入命令，配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”，具体的配置命令请参考本书中以后各章节的内容。

2.2  通过Telnet搭建配置环境

2.2.1  通过终端Telnet到以太网交换机

通过终端Telnet到以太网交换机需要具备如下条件：

●在以太网交换机上正确配置某VLAN接口的IP地址（在VLAN接口视图下使用ip address命令）；

●指定与终端相连的以太网端口属于该VLAN（在VLAN视图下使用port命令）；

●如果终端和交换机相连的端口在同一局域网内，则其IP地址必须配置在同一网段；否则，终端和交换机之间必须存在互相到达的路由。

这时可以利用Telnet登录到以太网交换机，然后对以太网交换机进行配置。

第一步：在通过Telnet登录以太网交换机之前，需要在交换机上配置欲登录的Telnet用户名和认证口令。

  说明：

Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet登录，则系统会提示“Login password has not been set !”。

system-view

[Quidway] user-interface vty 0

[Quidway-ui-vty0] set authentication password simple xxxx（xxxx是欲设置的该Telnet用户登录口令）

第二步：如图2-5所示，建立配置环境，只需将PC机以太网口通过局域网与以太网交换机的以太网口连接。

图2-1 通过局域网搭建本地配置环境

第三步：在PC机上运行Telnet程序，输入交换机与PC机相连的以太网口所属VLAN的IP地址，如图2-6所示。

图2-2 运行Telnet程序

第四步：终端上显示“Login authentication”，并提示用户输入已设置的登录口令，口令输入正确后则出现命令行提示符（如）。如果出现“All user interfaces are used, please try later!”的提示，表示当前Telnet到以太网交换机的用户过多，则请稍候再连（Quidway系列以太网交换机最多允许5个Telnet用户同时登录）。

第五步：使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”，具体的配置命令请参考本书中以后各章节的内容。

  说明：

●通过Telnet配置交换机时，不要删除或修改对应本telnet连接的交换机上的VLAN接口的IP地址，否则会导致Telnet连接断开。

●Telnet用户通过口令认证登录交换机时，缺省可以访问命令级别为0级的命令。有关命令级别的描述请参见3.2  命令行视图。

2.2.2  通过以太网交换机Telnet到以太网交换机

用户可以从一台交换机Telnet到另一台交换机上，对其进行配置。本交换机作为Telnet客户端，对端交换机作为Telnet服务器端。如果两台交换机相连的端口在同一局域网内，则其IP地址必须配置在同一网段；否则，两台交换机必须存在互相到达的路由。

配置环境如图2-7所示，用户Telnet到一台以太网交换机后，可以输入telnet命令再登录其它以太网交换机，对其进行配置管理。

图2-1 提供Telnet Client服务

第一步：先在作为Telnet Server的交换机上配置欲登录的Telnet用户名和认证口令。

  说明：

Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet登录，则系统会提示“Login password has not been set !”。

system-view

[Quidway] user-interface vty 0

[Quidway-ui-vty0] set authentication password simple xxxx（xxxx是欲设置的该Telnet用户登录口令）

第二步：用户登录到作为Telnet Client的以太网交换机（登录过程请参考本章“通过终端Telnet到以太网交换机”一节）。

第三步：在Telnet Client的以太网交换机上作如下操作：

 telnet xxxx（xxxx是作为Telnet Server的以太网交换机的主机名或IP地址，若为主机名，则需是已通过ip host命令配置的主机名。）

第四步：输入已设置的登录口令，然后出现命令行提示符（如），如果出现“All user interfaces are used, please try later!”的提示，表示当前Telnet到以太网交换机的用户过多，则请稍候再连。

第五步：使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”，具体的配置命令请参考本书中以后各章节的内容。

2.3  通过Modem拨号搭建配置环境

第一步：在通过Modem拨号登录以太网交换机之前，先在以太网交换机上配置欲登录的Modem用户名和认证口令。

  说明：

Modem用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Modem登录，则系统会提示“Login password has not been set !”。

system-view

[Quidway] user-interface aux 0

[Quidway-ui-aux0] set authentication password simple xxxx（xxxx是欲设置的该Modem用户登录口令）

第二步：在与以太网交换机直接相连的Modem上进行以下配置（与终端相连的Modem不需要进行如下配置）。

AT&F  ----------------------- Modem恢复出厂设置

ATS0=1 ----------------------- 设置自动应答（振铃一声）

AT&D  ----------------------- 忽略DTR信号

AT&K0 ----------------------- 禁止流量控制

AT&R1  忽略RTS信号

AT&S0  强制DSR为高电平

ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置

在配置后为了观察 Modem的设置是否正确，可以输入AT&V命令显示配置的结果。

  说明：

●各种Modem配置命令及显示的结果有可能不一样，具体操作请参照Modem的说明书进行。

●建议AUX（即Console）口的传输速率要低于Modem的传输速率，否则可能会出现丢包现象。

第三步：如图2-8所示，建立远程配置环境，在PC机（或终端）的串口和以太网交换机的Console口分别挂接Modem。

图2-1 搭建远程配置环境

第四步：在PC机上通过终端仿真程序和Modem向以太网交换机拨号（所拨号码应该是与以太网交换机相连的Modem的电话号码），与以太网交换机建立连接，如图2-9至2-10所示。

图2-2 拨号号码设置

图2-3 在远端PC机上拨号

第五步：在远端的终端仿真程序上输入已设置的登录口令，出现命令行提示符（如），即可对以太网交换机进行配置或管理。需要帮助可以随时键入“?”，具体的配置命令请参考本书中以后各章节的内容。

  说明：

Modem用户登录时，缺省可以访问命令级别为0级的命令。有关命令级别的描述请参见3.2  命令行视图。

第3章  命令行接口

3.1  命令行接口

Quidway系列以太网交换机向用户提供一系列配置命令以及命令行接口，方便用户配置和管理以太网交换机。命令行接口有如下特性： 

●通过Console口进行本地配置。

●通过以太网端口利用Telnet或SSH进行本地或远程登录配置。

●通过Console口利用Modem拨号进行远程配置。

●配置命令分级保护，确保未授权用户无法登录以太网交换机。

●用户可以随时键入以获得在线帮助。

●提供网络测试命令，如Tracert、Ping等，迅速诊断网络是否正常。

●提供种类丰富、内容详尽的调试信息，帮助诊断网络故障。

●用Telnet命令直接登录并管理其它以太网交换机。

●提供FTP服务，方便用户上载、下载文件。

●提供类似Doskey的功能，可以执行某条历史命令。

●命令行解释器对关键字采取不完全匹配的搜索方法，用户只需键入无冲突关键字即可解释。

3.2  命令行视图

Quidway系列以太网交换机的命令行采用分级保护方式，防止未授权用户的非法侵入。

命令行划分为参观级、监控级、系统级、管理级4个级别，简介如下：

●参观级：该级别包含的命令有网络诊断工具命令（ping、tracert）、用户界面的语言模式切换命令（language-mode）以及telnet命令等，该级别命令不允许进行配置文件保存的操作。

●监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。

●系统级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。

●管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、XModem下载、用户管理命令、级别设置命令等。

登录用户也划分为4个级别，分别与命令级别相对应，即不同级别的用户登录后，只能使用等于或低于自己级别的命令。

为了防止未授权用户的非法侵入，用户在使用super [ level ]命令从低级别切换到高级别时，要进行用户身份验证，即需要输入切换口令（如果用户已经使用命令super password [ level level ] { simple | cipher } password设置了切换口令）。为了保密，用户在屏幕上看不到所键入的口令，如果三次以内输入正确的口令，则切换到高级别用户，否则保持原用户级别不变。

各命令行视图是针对不同的配置要求实现的，它们之间有联系又有区别，比如，与以太网交换机建立连接即进入用户视图，它只完成查看运行状态和统计信息的简单功能，再键入system-view进入系统视图，在系统视图下，可以键入不同的命令进入相应的视图。

命令行提供如下视图：

   说明：

对于用户自定义ACL视图，在S3500系列以太网交换机中，只有S3526E、S3526E FM、S3526E FS和S3526C支持。

●用户视图

●系统视图

●以太网端口视图

●VLAN视图

●VLAN接口视图

●本地用户视图

●用户界面视图

●FTP Client视图

●HGMP视图

●lanswitch视图

●集群视图

●MST域视图

●公共密钥视图

●公共密钥编辑视图

●DHCP地址池视图

●PIM视图

●RIP视图

●OSPF视图

●OSPF区域视图

●BGP视图

●路由策略视图

●基本ACL视图

●高级ACL视图

●二层ACL视图

●用户自定义ACL视图

●遵守级别视图

●WRED 索引视图

●RADIUS服务器组视图

●ISP域视图

各命令视图的功能特性、进入各视图的命令等细则如表3-1所示。

表3-1 命令视图功能特性列表

3.3.1  命令行在线帮助

命令行接口提供如下几种在线帮助：

●完全帮助

●部分帮助

通过上述各种在线帮助能够获取到帮助信息，分别描述如下：

(1)在任一视图下，键入获取该视图下所有的命令及其简单描述。

 ?

User view commands:

  <略>

(2)键入一命令，后接以空格分隔的，如果该位置为关键字，则列出全部关键字及其简单描述。

clock ?

  summer-time  Configure summer time

(3)键入一命令，后接以空格分隔的，如果该位置为参数，则列出有关的参数描述。

[Quidway] interface vlan ?

<1-4094> VLAN interface number

[Quidway] interface vlan 1 ?

表示该位置无参数，在紧接着的下一个命令行该命令被复述，直接键入回车即可执行。

(4)键入一字符串，其后紧接，列出以该字符串开头的所有命令。

pi?

ping

(5)键入一命令，后接一字符串紧接，列出命令以该字符串开头的所有关键字。

 display ver?

  version

(6)键入命令的某个关键字的前几个字母，按下键，如果以输入字母开头的关键字唯一，则可以显示出完整的关键字。

(7)以上帮助信息，均可通过执行language-mode命令切换为中文显示。

3.3.2  命令行显示特性

命令行接口提供了如下的显示特性：

●为方便用户，提示信息和帮助信息可以用中英文两种语言显示。

●在一次显示信息超过一屏时，提供了暂停功能，这时用户可以有三种选择，如表3-2所示。

表3-1 显示功能表

命令行接口提供类似Doskey功能，将用户键入的历史命令自动保存，用户可以随时调用命令行接口保存的历史命令，并重复执行。命令行接口为每个用户缺省保存10条历史命令。操作如表3-3所示。

表3-1 访问历史命令

用光标键对历史命令进行访问，在Windows 3.X的Terminal和Telnet下都是有效的，但对于Windows 9X超级终端，↑、↓光标键会无效，这是由于Windows 9X的超级终端对这两个键作了不同解释所致，这时可以用组合键和来代替↑、↓光标键达到同样目的。

3.3.4  命令行错误信息

所有用户键入的命令，如果通过语法检查，则正确执行，否则向用户报告错误信息，常见错误信息参见表3-4。

表3-1 命令行常见错误信息表

命令行接口提供了基本的命令编辑功能，支持多行编辑，每条命令的最大长度为256个字符，如表3-5所示。

表3-1 编辑功能表

4.1  用户界面简介

目前S3500系列以太网交换机支持的配置方式有：

●通过Console口本地配置

●通过以太网端口利用Telnet或SSH进行本地或远程登录配置

●通过Console口利用Modem拨号进行远程配置

与这些配置方式对应的是两种类型的用户界面：

●AUX用户界面（AUX）

AUX用户界面用于通过Console口对以太网交换机进行访问，每台以太网交换机只有一个。

●VTY用户界面（VTY）

VTY用户界面用于通过Telnet对以太网交换机进行访问，每台交换机最多可以有5个。

  说明：

在Quidway系列以太网交换机中，AUX口和Console口是同一个口，所以与其对应的用户界面类型只有AUX口用户界面类型。

用户界面的编号有两种方式：绝对编号方式和相对编号方式。

(1)绝对编号方式，遵守的规则如下：

●AUX用户界面编号排在第一位，为0；

●VTY用户界面排在AUX用户界面之后。第一个VTY的绝对编号比AUX大1。

(2)相对编号的形式是：用户界面类型＋编号。此编号是每种类型的用户界面的编号。遵守的规则如下：

●AUX用户界面的编号：aux 0；

●VTY用户界面的编号：第一条为vty 0，第二条为vty 1，依此类推。

4.2  用户界面配置

用户界面配置包括：

●进入用户界面视图

●配置用户界面支持的协议

●配置AUX（即Console）口属性

●配置终端属性

●用户管理

●配置重定向功能

4.2.1  进入用户界面视图

可以通过下面的命令进入相应的用户界面视图。可以进入单一用户界面视图对一个用户界面进行配置，也可以进入多个用户界面视图同时配置多个用户界面。

请在系统视图下进行下列配置。

表4-1 进入用户界面视图

可以使用下面的命令设置用户界面支持的协议，系统将只允许通过所支持的协议登录该用户界面。配置结果在下次登录请求时生效。

请在用户界面视图下进行下列配置（只能在VTY用户界面视图下进行）。

表4-1 配置用户界面支持的协议

需要注意的是：S3526、S3526 FM、S3526 FS不支持SSH参数。

  注意：

●如果配置用户界面支持Telnet协议，则由于用户登录时缺省需要进行口令认证，故需要用户配置口令才能成功登录。

●如果配置用户界面支持SSH协议，则为确保登录成功，请您务必配置相应的认证方式为authentication-mode scheme；若配置认证方式为authentication-mode password和authentication-mode none，则protocol inbound ssh配置结果将失败。反之亦然，如果某用户界面已经配置成支持SSH协议，则在此用户界面上authentication-mode password和authentication-mode none的配置将失败。

4.2.3  配置AUX（即Console）口属性

可以通过下面的命令配置AUX（即Console）口的属性，包括速率、流控方式、校验方式、停止位、数据位。

请在用户界面视图下进行下列配置（只能在AUX用户界面视图下进行）。

1. 配置AUX（即Console）口的传输速率

表4-1 配置AUX（即Console）口的传输速率

2. 配置AUX（即Console）口的流控方式

表4-1 配置AUX（即Console）口的流控方式

3. 配置AUX（即Console）口的校验方式

表4-1 配置AUX（即Console）口的校验方式

4. 配置AUX（即Console）口的停止位

表4-1 配置AUX（即Console）口的停止位

5. 配置AUX（即Console）口的数据位

表4-1 配置AUX（即Console）口的数据位

4.2.4  配置终端属性

可以通过下面的命令配置终端属性，包括启动/关闭终端服务、设置用户界面超时时间、锁住用户界面、配置终端屏幕的一屏行数以及配置历史命令缓冲区大小。

请在用户界面视图下进行下列配置，其中锁住用户界面操作请在用户视图下进行。

1. 启动/关闭终端服务

当关闭某用户界面的终端服务后，通过该用户界面将不能登录以太网交换机。对于在关闭之前已经通过该用户界面登录的用户，仍然可以进行操作。但当用户退出该用户界面后，将不能再次登录。只有启动该用户界面的终端服务后，才能通过该用户界面登录以太网交换机。

表4-1 启动/关闭终端服务

需要注意的是：

●因为AUX（即Console）口本身就是配置口，为了安全起见，undo shell命令在AUX（即Console）口不支持，其它用户界面均支持。

●用户不能在自己登录的用户界面上使用本命令。

●在任何合法的用户界面上使用undo shell命令，都需要经过用户的确认。

2. 设置用户界面的超时时间

表4-1 设置用户界面的超时时间

idle-timeout 0表示关闭用户界面的超时功能。

3. 设置锁住用户界面

该配置任务用来锁住当前使用的用户界面，并提示用户输入密码。防止当用户离开时，其它人对该用户界面进行操作。

表4-1 设置锁住用户界面

当某命令显示信息的行数多于一屏中能够显示的范围时，可以使用以下命令设置一屏中可以显示的行数，以便将信息分成几段，方便查看。

表4-1 设置终端屏幕的一屏行数

screen-length 0表示关闭分屏功能。

5. 设置历史命令缓冲区大小

表4-1 设置历史命令缓冲区大小

4.2.5  用户管理

用户管理包括用户登录验证方式的设置、用户登录后可以访问的命令级别的设置、从用户界面登录后可以访问的命令级别的设置以及命令级别的设置。

1. 设置用户登录验证方式

可以使用以下命令设置用户登录时的认证方式，以防止非法用户的侵入。

请在用户界面视图下进行下列配置。

表4-1 设置用户登录验证方式

(2)本地口令验证

使用authentication-mode password命令，表示需要进行本地口令认证，此时需要使用以下命令配置口令后，才能成功登录。

请在用户界面视图下进行下列配置。

表4-1 设置本地验证的口令

[Quidway] user-interface vty 0

[Quidway-ui-vty0] authentication-mode password

[Quidway-ui-vty0] set authentication password simple huawei

(3)本地或远端用户名和口令验证

配置了authentication-mode scheme命令，表示需要进行本地或远端用户名和口令认证。究竟是采用本地认证还是远端认证视配置而定，详细内容请见“安全”模块的介绍。

下面仅以本地用户名和口令认证为例介绍配置过程。

# 设置用户从VTY 0用户界面登录时需要进行用户名和口令验证，且登录用户名和口令分别为zbr和huawei。

[Quidway-ui-vty0] authentication-mode scheme

[Quidway-ui-vty0] quit

[Quidway] local-user zbr

[Quidway-luser-zbr] password simple huawei

[Quidway-luser-zbr] service-type telnet

(4)不验证

[Quidway-ui-vty0] authentication-mode none

  说明：

Modem和Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而登录，则系统会提示“Login password has not been set !”。

如果使用authentication-mode none命令，则Modem和Telnet用户登录时不需要进行口令的验证。

2. 设置用户登录后可以访问的命令级别

可以使用以下的命令设置某用户登录后可以访问的命令级别。

请在本地用户视图下进行下列配置。

表4-1 设置用户登录后可以访问的命令级别

3. 设置从用户界面登录后可以访问的命令级别

可以使用以下命令设置从某用户界面登录后可以访问的命令级别，执行该级别范围内的命令。

请在用户界面视图下进行下列配置。

表4-1 设置从用户界面登录后可以访问的命令级别

   说明：

用户登录以太网交换机时，其所能使用的命令取决于用户自身的级别设置和用户界面上进行的命令级别设置，如果二者不同：

●对于使用AAA/RADIUS/TACACS认证的用户，其所能使用的命令以用户的级别为准。例如：某用户的级别是3级，而VTY 0用户界面上设置的命令级别是1级，则该用户从VTY 0登录系统时，可以使用3级及以下的命令。

●对于使用RSA公钥认证的用户，其所能使用的命令以用户界面上设置的级别为准（支持SSH的产品才支持RSA认证）。

4. 设置命令的级别

可以使用以下命令设置指定视图内指定命令的级别。命令级别共分为参观、监控、系统、管理4个级别，分别对应标识0、1、2、3。管理员可以根据需要改变命令级别。

请在系统视图下进行下列操作。

表4-1 设置命令的级别

请用户不要轻易改变命令级别，否则可能带来维护和操作上的不便。

4.2.6  配置重定向功能

1. 传递命令

可以通过下面的命令实现用户界面之间传递消息的功能。

请在用户视图下进行下列配置。

表4-1 设置在用户界面之间传递消息

可以通过下面的命令配置登录时自动执行命令。某条命令被配置为自动执行后，当用户重新登录时，系统将自动执行该命令。

通常的用法是在终端使用以下命令配置telnet命令，使用户自动连接到指定的设备。

请在用户界面视图下进行下列配置。

表4-1 设置自动执行命令

●该命令的使用将导致不能使用该用户界面对本系统进行常规的配置，需谨慎使用。

●在配置auto-execute command命令并保存配置（执行save操作）之前，要确保可以通过其它手段登录系统以去掉此配置。

# 配置用户从VTY 0上登录后，自动执行telnet 10.110.100.1命令。

[Quidway-ui-vty0] auto-execute command telnet 10.110.100.1

当用户从VTY 0登录时，将自动执行telnet 10.110.100.1命令。

4.3  用户界面显示和调试

在完成上述配置后，在任意视图下执行display命令可以显示配置后用户界面的运行情况，通过查看显示信息验证配置的效果。

在用户视图下，执行free命令可以清除用户界面下的用户。

表4-1 用户界面显示和调试