1. 华为设备管理概述
作为网络工程师,设备管理是日常工作中最基础的技能。华为设备的管理方式与其他厂商相比有其独特之处,掌握这些管理方法对于通过HCIA认证和实际工作都至关重要。我接触华为设备已有五年时间,从最初的命令行手忙脚乱到现在能够熟练运用各种管理方式,这个过程积累了不少实战经验。
华为设备主要支持三种管理方式:命令行界面(CLI)、Web网管界面和华为eSight网管系统。其中CLI是最基础也是最强大的管理方式,90%的日常操作都是通过命令行完成的。Web界面适合简单的状态查看和基础配置,而eSight则用于大规模网络的集中管理。本章将重点介绍最常用的CLI和Web管理方式。
2. 命令行管理基础
2.1 登录设备的方式
华为设备支持多种命令行登录方式,每种方式都有其适用场景:
-
Console口登录:这是最可靠的本地登录方式,使用Console线连接设备的Console接口。波特率通常设置为9600,这是新设备的默认设置。在实际工作中,我建议随身携带一条Console线,这在设备网络配置出错导致远程无法访问时特别有用。
-
Telnet登录:通过IP网络远程登录,但传输是明文的,安全性较低。在实验室环境可以临时使用,但生产环境不建议。
-
SSH登录:加密的远程登录方式,是生产环境的标配。华为设备默认不开启SSH服务,需要先通过Console登录配置。
-
AUX口登录:通过调制解调器远程连接,现在使用较少。
重要提示:首次配置新设备时,必须使用Console登录,因为此时设备还没有IP地址等网络配置。
2.2 用户界面与用户级别
华为设备采用基于角色的访问控制(RBAC)模型,不同级别的用户拥有不同的操作权限:
| 用户级别 | 权限说明 | 典型操作 |
|---|---|---|
| 0级(参观级) | 仅能执行ping、tracert等诊断命令 | 网络连通性测试 |
| 1级(监控级) | 可查看设备状态但不能修改配置 | 查看接口状态、路由表 |
| 2级(配置级) | 可执行配置命令但不能涉及系统关键参数 | 接口IP配置、ACL配置 |
| 3级(管理级) | 可执行所有配置命令 | 系统升级、用户管理 |
| 4级(最高级) | 可执行所有命令包括调试命令 | 系统调试、密码恢复 |
在实际项目中,我通常会为团队成员创建不同级别的账号。例如,一线运维人员使用2级账号,网络管理员使用3级账号,这样可以有效防止误操作。
3. 基础配置与管理
3.1 初始配置步骤
拿到一台全新的华为设备后,我通常会按照以下步骤进行初始配置:
-
设置设备名称:
bash复制
sysname HUAWEI-SWITCH-01给设备起一个有意义的名字非常重要,特别是在有多台设备的网络中。
-
配置管理IP:
bash复制
interface Vlanif 1 ip address 192.168.1.1 255.255.255.0管理IP通常设置在VLAN接口上,方便远程管理。
-
创建管理用户:
bash复制
aaa local-user admin password cipher Admin@123 local-user admin privilege level 3 local-user admin service-type ssh这里创建了一个3级权限的管理员账号,使用SSH服务。
-
开启SSH服务:
bash复制stelnet server enable ssh user admin authentication-type password ssh user admin service-type stelnet -
保存配置:
bash复制
save华为设备的配置修改后必须手动保存,否则重启后会丢失。
3.2 配置文件管理
华为设备的配置文件管理有几个重要概念:
- 当前配置:设备内存中运行的配置
- 保存配置:使用
save命令保存到存储设备的配置 - 启动配置:设备启动时加载的配置
- 默认配置:设备出厂时的配置
我常用的配置文件操作命令:
- 查看当前配置:
display current-configuration - 保存配置:
save - 备份配置到TFTP服务器:
bash复制
tftp 192.168.1.100 put vrpcfg.zip - 恢复配置:
bash复制
reset saved-configuration reboot
经验分享:在进行重大配置变更前,一定要先备份当前配置。我曾经因为没有备份而不得不花费数小时重新配置设备。
4. 设备维护与监控
4.1 设备状态检查
日常维护中,以下几个命令使用频率最高:
-
查看设备基本信息:
bash复制
display version这个命令可以查看设备型号、软件版本、运行时间等关键信息。
-
查看接口状态:
bash复制
display interface brief快速查看所有接口的状态、双工模式、速率等信息。
-
查看CPU和内存使用率:
bash复制
display cpu-usage display memory-usage监控设备资源使用情况,及时发现性能问题。
-
查看日志信息:
bash复制
display logbuffer设备日志是排查问题的第一手资料。
4.2 设备升级流程
华为设备升级需要谨慎操作,我总结的标准流程如下:
- 下载正确的系统软件版本
- 上传到设备的存储设备:
bash复制
tftp 192.168.1.100 get mainsoft.cc - 设置下次启动加载的软件:
bash复制
startup system-software mainsoft.cc - 检查启动配置:
bash复制
display startup - 重启设备:
bash复制
reboot
重要提示:升级前务必备份配置,并确保新版本与硬件兼容。我曾经遇到过因版本不兼容导致设备无法启动的情况,最后只能通过Console恢复。
5. 常见问题排查
5.1 无法远程登录
这是新手最常见的问题之一,排查步骤:
- 检查物理连接是否正常
- 检查管理接口是否已启用:
bash复制
display interface Vlanif 1 - 检查SSH/Telnet服务是否开启:
bash复制
display telnet server status display ssh server status - 检查ACL是否限制了访问:
bash复制
display acl all
5.2 配置丢失
如果发现配置丢失,可能是以下原因:
- 修改配置后没有执行
save - 设备异常重启
- 存储设备损坏
解决方案:
- 如果有备份配置,可以通过TFTP恢复
- 如果没有备份,只能重新配置
- 如果频繁出现配置丢失,可能需要更换存储设备
6. Web网管界面配置
虽然CLI更强大,但Web界面在某些场景下更方便。配置Web管理的基本步骤:
- 开启HTTP/HTTPS服务:
bash复制http server enable https server enable - 创建Web登录用户:
bash复制
aaa local-user webadmin password cipher Web@123 local-user webadmin privilege level 3 local-user webadmin service-type http https - 配置访问控制(可选):
bash复制acl 2000 rule permit source 192.168.1.100 0 http acl 2000
Web界面提供了直观的设备状态展示和基础配置功能,适合不熟悉命令行的管理人员使用。但对于复杂配置,还是建议使用CLI。
7. 安全最佳实践
根据我的经验,设备安全管理有几个关键点:
- 修改默认密码:华为设备出厂有默认密码,必须第一时间修改。
- 使用SSH替代Telnet:生产环境必须禁用Telnet。
- 配置ACL限制管理访问:只允许特定IP地址管理设备。
- 定期备份配置:建议每周自动备份一次。
- 启用日志服务:将日志发送到日志服务器集中管理。
- 定期更新系统软件:修复已知安全漏洞。
一个基本的安全配置示例:
bash复制# 创建ACL限制管理访问
acl 2000
rule 5 permit source 192.168.1.100 0
rule 10 deny
# 应用ACL到VTY线路
user-interface vty 0 4
acl 2000 inbound
authentication-mode aaa
protocol inbound ssh
# 禁用不必要的服务
undo ip http server
undo telnet server enable
掌握华为设备的管理是网络工程师的基本功,需要理论学习和实践操作相结合。在实际工作中,我建议新手多练习CLI操作,培养命令行下的工作习惯,这对职业发展大有裨益。