本篇目录：

一、通用

二、H3C 5552配置实例

一、通用

初始化交换（其他华三的交换机（比如S5554、S6520等）初始化也是类似的）: 配置除了业务配置之外的其他配置，如下所示：
    设备命名

sysname xxxx   //交换机命名（一般命名位置+设备型号）

telnet服务开启

telnet server enable  //开启telnet服务

启用3A远程服务器认证
【3A表示认证、授权、审计】

//启用TACACS认证模式：
hwtacacs scheme hzcnc
 primary authentication x.x.x.x //3A服务器（主用）
 primary authorization x.x.x.x //3A服务器（主用）
 primary accounting x.x.x.x //3A服务器（主用）
 secondary authentication x.x.x.x //3A服务器（备用）
 secondary authorization x.x.x.x //3A服务器（备用）
 secondary accounting x.x.x.x //3A服务器（备用）
 key authentication simple xxx //xxx表示认证秘钥
 key authorization simple xxx //xxx表示认证秘钥
 key accounting simple xxx //xxx表示认证秘钥
 user-name-format without-domain
 nas-ip (本机IP)

domain hzcnc //域设置
 authentication login hwtacacs-scheme hzcnc local  //优先3A认证，在3A认证失效的情况下进行本地认证
 authorization login hwtacacs-scheme hzcnc local
 accounting login hwtacacs-scheme hzcnc local
 authentication super hwtacacs-scheme hzcnc
 authorization command hwtacacs-scheme hzcnc local
 accounting command hwtacacs-scheme hzcnc
 
domain default enable hzcnc  //域关联使用hzcnc域

//启用RADIUS认证模式：

domain system   //设置domain域
 authentication login radius-scheme system //使用radius认证登录
 authorization login none 
 access-limit disable
 state active
 idle-cut disable
 self-service-url disable
radius scheme system   //设置radius认证模板 system
 primary authentication x.x.x.x 1645  //3A 服务器IP
 primary accounting 127.0.0.1 1646  //无效
 secondary authentication x.x.x.x 1645 //备用的3A服务器IP
 key authentication sim chinahcn
 user-name-format without-domain
 nas-ip 本机IP
authentication-mode scheme  //启用AAA
domain default enable system  //设置默认域system

VTY及本地账号配置

local-user admin class manage
 password hash xxxx //设置本地账号密码
 service-type telnet
 authorization-attribute user-role network-admin
 authorization-attribute user-role network-operator
#
super password role network-admin hash xxxx   //设置super密码
#
line vty 0 63
authentication-mode scheme  //一定要关联scheme，若设置为password表示需要本地账号登录，设置为None表示免账号登录。
user-role network-operator
#

管理地址配置及默认路由配置

vlan 3  //配置管理VLAN
 name MANAGER_VLAN3
//配置管理地址
interface Vlan-interface3
 description manager_vlan for access switch
 ip address xxxx 
 quit 
//指默认路由 ，下一跳 网关IP
ip route-static 0.0.0.0 0 xxxx

NTP配置

clock timezone beijing add 08:00:00 //设置clock时区（东八区）
 clock protocol ntp
 ntp-service enable
 ntp-service unicast-server x.x.x.x source Vlan-interface3  //x.x.x.x表示ntp服务器的IP，也可设置上层交换机的管理IP

SNMP配置

//SNMP配置：
snmp-agent
snmp-agent local-engineid xxxx
snmp-agent community read xxxxx        //snmp认证的团体属性名秘钥，只读权限
snmp-agent community write yyyyy      //snmp认证的团体属性名秘钥，可写权限
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain xxxx params securityname xxxx

SYSLOG配置

info-center enable 
info-center source default loghost log level warnings   //日志设置默认源
info-center loghost x.x.x.x facility local2   //设置日志服务器为x.x.x.x 默认使用的端口号是UDP 514 可以跟进syslog-server修改端口号
info-center loghost x.x.x.x  facility local2

业务配置

interface GigabitEthernet1/0/49
 description xxxx 
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 2 to 4094 #trunk模式，放行除了vlan1的所有vlan，一般上行链路做聚合，trunk模式放行需要通过的vlan。 
 speed 1000  //设置速率
 duplex full //配置全双工，有些UPS还得半双工的
 quit 
 interface GigabitEthernet1/0/49
 description xxxx 
 port link-type access
 port access vlan100  #业务口配置access模式，上行数据包打上tag标签100，下行数据包剥离vlan标签。 
 speed 1000  //设置速率
 duplex full //配置全双工，有些UPS还得半双工的
 quit

综上，交换机的初始化配置完毕，其中包含安全认证（3A）可以对接ISE系统或者思科的ASA、日志记录（syslog或者对接ELK系统）、SNMP对接Zabbix服务器进行设备电源、链路流量\广播包\错误包等进行监控。

二、华三H3C5552接入交换机配置示例

配置交接机地址，SSH登陆

ip route-static 0.0.0.0 0 10.71.254.1
vlan 100
vlan 101
vlan 242
interface vlan-interface 242
ip address 10.71.242.78 255.255.255.0
quit
 ssh server enable
public-key local create rsa
1024
public-key local create dsa
1024
user-interface vty 0 15
authentication-mode scheme
protocol inbound ssh
quit
local-user zt
password simple xxxxxx
service-type ssh
authorization-attribute user-role level-15
quit
ssh user zt service-type stelnet authentication-type password

端口配置

int range g1/0/1 to g1/0/48
port link-type access
port access vlan 100
int range t1/0/49 to t1/0/52
port link-type trunk
port trunk permit vlan all

链路聚合

端口聚合是思科的叫法，链路聚合是华为与华三的叫法，网上也有不同解释，把端口加入端口组（group），链路聚合 把链路聚合在一起

华三配置

静态聚合模式

<H3C>system-view
[H3C]int Bridge-Aggregation 1
[H3C-Bridge-Aggregation1]quit
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-aggregation group 1
[H3C-GigabitEthernet1/0/1]int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-aggregation group 1
[H3C-GigabitEthernet1/0/2]int GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]port link-aggregation group 1
[H3C]dis link-aggregation verbose

动态聚合模式

<H3C>system-view
[H3C]int Bridge-Aggregation 1
[H3C-Bridge-Aggregation1]link-aggregation mode dynamic
[H3C-Bridge-Aggregation1]quit
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-aggregation group 1
[H3C-GigabitEthernet1/0/1]int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-aggregation group 1
[H3C-GigabitEthernet1/0/2]int GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]port link-aggregation group 1
[H3C]dis link-aggregation verbose

华为配置

<Huawei>system-view
[Huawei]int Eth-Trunk 1
[Huawei-Eth-Trunk1]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]eth-trunk 1
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1

端口聚合

<Huawei>system-view 
[Huawei]port-group 1
[Huawei-port-group-1]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/3

总结：先创建聚合（端口）组，再将端口加入（端口）聚合组

四、DHCP开启

开启DHCP服务

dhcp enable

过滤掉不分配的IP

dhcp server forbidden-ip 10.3.0.1 10.3.0.50

编写DHCP地址池

dhcp server ip-pool vlan10
gateway-list 10.3.0.1
network 10.3.0.0 mask 255.255.252.0
dns-list 10.3.9.11
static-bind ip-address 10.3.1.253 mask 255.255.255.255 hardware-address ec8e-b522-f7d5 固定机器静态绑定的IP