一、产品概述
H3C S5120V3-28P是新华三(H3C)推出的一款全千兆智能二层以太网交换机,广泛应用于中小企业网络、园区接入层以及弱电智能化项目的网络隔离场景。该设备提供24个10/100/1000Base-T自适应以太网端口和4个万兆SFP+上行端口,支持丰富的VLAN功能、链路聚合、STP/RSTP/MSTP生成树协议以及完善的QoS机制,是弱电工程中实现网络设备隔离与流量控制的理想选择。
在弱电项目中,S5120V3-28P常用于汇聚层或接入层,通过VLAN划分将监控摄像头、门禁控制器、无线AP、办公终端等不同业务流量进行逻辑隔离,既保证了网络安全性,又便于网络管理与故障排查。设备支持CLI命令行和Web图形化管理,配置灵活,运维便捷。
二、核心技术参数
| 参数项目 | 规格说明 |
|---|---|
| 产品型号 | H3C S5120V3-28P-HI |
| 固定端口 | 24 × 10/100/1000Base-T RJ45 |
| 上行端口 | 4 × 10G SFP+ |
| 交换容量 | 336Gbps |
| 包转发率 | 51Mpps |
| VLAN支持 | 最多4094个VLAN,支持802.1Q |
| VLAN类型 | Access、Trunk、Hybrid |
| 链路聚合 | 支持静态聚合和LACP动态聚合,最大聚合组数32组 |
| 生成树协议 | STP/RSTP/MSTP |
| QoS | 支持802.1p优先级、速率限制(入/出方向)、流量整形 |
| ACL | 支持标准/扩展ACL,最大512条规则 |
| 管理方式 | Console、Telnet、SSH、Web、SNMP(v1/v2c/v3) |
| 供电方式 | 交流输入 100V~240V AC,50/60Hz |
| 功耗 | 最大34W |
| 工作温度 | 0℃~45℃ |
| 外形尺寸 | 440mm × 260mm × 44mm(标准19英寸机架,1U) |
三、VLAN规划方案
以下以典型弱电智能化项目为例,规划VLAN划分方案。在实际项目中,VLAN ID可根据客户需求和网络规模灵活调整,但应遵循以下原则:管理流量与业务流量分离、不同子系统之间逻辑隔离、预留足够的VLAN ID空间以便后续扩展。
| VLAN ID | VLAN名称 | 用途说明 | IP网段规划 | 端口分配 |
|---|---|---|---|---|
| 1 | Default | 默认VLAN,不建议承载业务 | — | 保留 |
| 10 | VLAN-MGMT | 网络设备管理VLAN,交换机/路由器管理IP | 192.168.10.0/24 | 上行口Trunk允许 |
| 20 | VLAN-CAMERA | 监控摄像头接入VLAN | 192.168.20.0/24 | G1/0/1~G1/0/12 |
| 30 | VLAN-ACCESS | 门禁控制器接入VLAN | 192.168.30.0/24 | G1/0/13~G1/0/16 |
| 40 | VLAN-OFFICE | 办公终端接入VLAN | 192.168.40.0/24 | G1/0/17~G1/0/24 |
| 50 | VLAN-WIRELESS | 无线AP接入VLAN | 192.168.50.0/24 | 预留 |
规划建议:每个VLAN的网段应使用/24子网掩码,便于管理和扩展。管理VLAN务必与业务VLAN分离,避免管理通道被业务流量干扰。摄像头VLAN建议不分配网关或通过ACL限制其访问权限,防止安全风险。
四、配置步骤
4.1 登录方式
H3C S5120V3-28P支持多种登录方式,根据实际场景选择合适的登录途径:
1)Console本地登录
- 使用Console线(RJ45-DB9或RJ45-USB)连接交换机Console口与PC串口/USB口。
- 打开终端仿真软件(如PuTTY、SecureCRT、Xshell),设置串口参数:波特率9600,数据位8,停止位1,无校验,无流控。
- 上电启动后按回车,出现命令行提示符即可输入命令。
2)Telnet远程登录
Telnet传输明文,安全性较低,仅建议在内网调试时临时使用:
telnet 192.168.10.1
3)SSH安全远程登录
推荐使用SSH v2进行远程管理,配置方法见4.2节基础配置部分。
ssh2 192.168.10.1
4)Web图形化管理
交换机出厂默认开启Web服务(部分版本需手动开启),浏览器访问管理IP地址即可进入Web管理界面。建议使用Chrome或Firefox浏览器。
4.2 基础配置
首次登录后,需完成以下基础配置:
1)设置主机名
system-view
[H3C] sysname SW-Floor3-01
2)配置管理IP地址
将管理IP配置在VLAN接口上,通常使用VLAN 10(管理VLAN):
system-view
[SW-Floor3-01] vlan 10
[SW-Floor3-01-vlan10] quit
[SW-Floor3-01] interface vlan-interface 10
[SW-Floor3-01-Vlan-interface10] ip address 192.168.10.3 255.255.255.0
[SW-Floor3-01-Vlan-interface10] quit
3)配置默认网关
[SW-Floor3-01] ip route-static 0.0.0.0 0.0.0.0 192.168.10.1
4)开启SSH远程登录
system-view
[SW-Floor3-01] public-key local create rsa
[SW-Floor3-01] ssh server enable
[SW-Floor3-01] user-interface vty 0 4
[SW-Floor3-01-ui-vty0-4] authentication-mode scheme
[SW-Floor3-01-ui-vty0-4] protocol inbound ssh
[SW-Floor3-01-ui-vty0-4] quit
[SW-Floor3-01] local-user admin
[SW-Floor3-01-luser-admin] password simple Admin@2024
[SW-Floor3-01-luser-admin] service-type ssh telnet
[SW-Floor3-01-luser-admin] authorization-attribute level 3
[SW-Floor3-01-luser-admin] quit
5)开启Telnet(可选,调试用)
[SW-Floor3-01] user-interface vty 0 4
[SW-Floor3-01-ui-vty0-4] protocol inbound all
[SW-Floor3-01-ui-vty0-4] quit
4.3 VLAN创建与端口划分
1)批量创建VLAN
system-view
[SW-Floor3-01] vlan 10
[SW-Floor3-01-vlan10] name VLAN-MGMT
[SW-Floor3-01-vlan10] quit
[SW-Floor3-01] vlan 20
[SW-Floor3-01-vlan20] name VLAN-CAMERA
[SW-Floor3-01-vlan20] quit
[SW-Floor3-01] vlan 30
[SW-Floor3-01-vlan30] name VLAN-ACCESS
[SW-Floor3-01-vlan30] quit
[SW-Floor3-01] vlan 40
[SW-Floor3-01-vlan40] name VLAN-OFFICE
[SW-Floor3-01-vlan40] quit
也可使用批量创建命令简化操作:
[SW-Floor3-01] vlan 10 20 30 40
2)Access端口配置
Access端口只属于一个VLAN,一般用于连接终端设备(摄像头、门禁、电脑):
[SW-Floor3-01] interface gigabitethernet 1/0/1
[SW-Floor3-01-GigabitEthernet1/0/1] port link-mode bridge
[SW-Floor3-01-GigabitEthernet1/0/1] port access vlan 20
[SW-Floor3-01-GigabitEthernet1/0/1] description IPC-Camera-01
[SW-Floor3-01-GigabitEthernet1/0/1] quit
3)Trunk端口配置
Trunk端口允许多个VLAN通过,通常用于交换机之间的级联口或上联口:
[SW-Floor3-01] interface gigabitethernet 1/0/25
[SW-Floor3-01-GigabitEthernet1/0/25] port link-mode bridge
[SW-Floor3-01-GigabitEthernet1/0/25] port link-type trunk
[SW-Floor3-01-GigabitEthernet1/0/25] port trunk permit vlan 10 20 30 40
[SW-Floor3-01-GigabitEthernet1/0/25] port trunk pvid vlan 10
[SW-Floor3-01-GigabitEthernet1/0/25] quit
4)Hybrid端口配置
Hybrid端口可以灵活控制VLAN标签的发送和接收,在弱电项目中常用于需要多个VLAN互通的特殊场景:
[SW-Floor3-01] interface gigabitethernet 1/0/17
[SW-Floor3-01-GigabitEthernet1/0/17] port link-mode bridge
[SW-Floor3-01-GigabitEthernet1/0/17] port link-type hybrid
[SW-Floor3-01-GigabitEthernet1/0/17] port hybrid vlan 10 40 tagged
[SW-Floor3-01-GigabitEthernet1/0/17] port hybrid vlan 20 30 untagged
[SW-Floor3-01-GigabitEthernet1/0/17] port hybrid pvid vlan 40
[SW-Floor3-01-GigabitEthernet1/0/17] quit
4.4 端口配置示例
以下是本项目实际端口分配的完整配置示例:
1)摄像头端口(G1/0/1~G1/0/12划入VLAN 20)
system-view
[SW-Floor3-01] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/12
[SW-Floor3-01-if-range] port link-mode bridge
[SW-Floor3-01-if-range] port access vlan 20
[SW-Floor3-01-if-range] description IPC-Camera-Port
[SW-Floor3-01-if-range] stp edged-port enable
[SW-Floor3-01-if-range] undo stp enable
[SW-Floor3-01-if-range] quit
2)门禁控制器端口(G1/0/13~G1/0/16划入VLAN 30)
[SW-Floor3-01] interface range gigabitethernet 1/0/13 to gigabitethernet 1/0/16
[SW-Floor3-01-if-range] port link-mode bridge
[SW-Floor3-01-if-range] port access vlan 30
[SW-Floor3-01-if-range] description Access-Control-Port
[SW-Floor3-01-if-range] stp edged-port enable
[SW-Floor3-01-if-range] quit
3)办公终端端口(G1/0/17~G1/0/24划入VLAN 40)
[SW-Floor3-01] interface range gigabitethernet 1/0/17 to gigabitethernet 1/0/24
[SW-Floor3-01-if-range] port link-mode bridge
[SW-Floor3-01-if-range] port access vlan 40
[SW-Floor3-01-if-range] description Office-PC-Port
[SW-Floor3-01-if-range] stp edged-port enable
[SW-Floor3-01-if-range] quit
4)上联端口配置(G1/0/25和G1/0/26做Trunk)
[SW-Floor3-01] interface range gigabitethernet 1/0/25 to gigabitethernet 1/0/26
[SW-Floor3-01-if-range] port link-mode bridge
[SW-Floor3-01-if-range] port link-type trunk
[SW-Floor3-01-if-range] port trunk permit vlan 10 20 30 40
[SW-Floor3-01-if-range] port trunk pvid vlan 10
[SW-Floor3-01-if-range] description Uplink-to-Core-Switch
[SW-Floor3-01-if-range] quit
工程经验:连接终端的Access端口建议开启
stp edged-port enable,将其配置为边缘端口,这样可以跳过STP计算过程,加快端口收敛速度。摄像头端口如果不参与STP拓扑,可直接关闭STP(undo stp enable),避免因STP阻塞导致摄像头掉线。
4.5 链路聚合配置
链路聚合可以将多条物理链路捆绑为一条逻辑链路,增加带宽、提供冗余。S5120V3-28P支持静态聚合和LACP(链路聚合控制协议)动态聚合两种模式。
1)LACP动态聚合(推荐)
system-view
[SW-Floor3-01] interface bridge-aggregation 1
[SW-Floor3-01-Bridge-Aggregation1] port link-type trunk
[SW-Floor3-01-Bridge-Aggregation1] port trunk permit vlan 10 20 30 40
[SW-Floor3-01-Bridge-Aggregation1] link-aggregation mode dynamic
[SW-Floor3-01-Bridge-Aggregation1] quit
[SW-Floor3-01] interface range gigabitethernet 1/0/25 to gigabitethernet 1/0/26
[SW-Floor3-01-if-range] port link-aggregation group 1
[SW-Floor3-01-if-range] quit
2)静态手动聚合
system-view
[SW-Floor3-01] interface bridge-aggregation 2
[SW-Floor3-01-Bridge-Aggregation2] port link-type trunk
[SW-Floor3-01-Bridge-Aggregation2] port trunk permit vlan 10 20 30 40
[SW-Floor3-01-Bridge-Aggregation2] quit
[SW-Floor3-01] interface range gigabitethernet 1/0/27 to gigabitethernet 1/0/28
[SW-Floor3-01-if-range] port link-aggregation group 2
[SW-Floor3-01-if-range] quit
3)验证聚合状态
display link-aggregation summary
display link-aggregation verbose
注意事项:参与聚合的端口速率和双工模式必须一致。LACP模式需要对端设备也开启LACP才能成功协商。聚合组内最多支持8个成员端口(S5120V3-28P),活动端口数取决于设备型号和LACP协商结果。
4.6 STP生成树设置
在多台交换机级联的网络中,必须启用STP协议防止环路。S5120V3-28P支持STP、RSTP(快速生成树)和MSTP(多生成树)。
1)全局启用RSTP
system-view
[SW-Floor3-01] stp mode rstp
[SW-Floor3-01] stp enable
2)设置根桥优先级
如果本交换机是根桥,将优先级设为最小值0:
[SW-Floor3-01] stp priority 0
如果是接入层交换机,优先级设为较大值,避免被选为根桥:
[SW-Floor3-01] stp priority 4096
3)配置端口为边缘端口
[SW-Floor3-01] interface gigabitethernet 1/0/1
[SW-Floor3-01-GigabitEthernet1/0/1] stp edged-port enable
[SW-Floor3-01-GigabitEthernet1/0/1] stp bpdu-protection enable
[SW-Floor3-01-GigabitEthernet1/0/1] quit
启用BPDU保护后,如果边缘端口收到BPDU报文,交换机会自动将该端口关闭(err-down状态),防止环路。
4)查看STP状态
display stp brief
display stp instance 0
4.7 QoS与流量控制
在弱电项目中,常需要对摄像头等设备进行流量限速,防止单个设备占用过多带宽影响其他业务。
1)端口入方向限速
将G1/0/1端口的入方向流量限制为20Mbps:
system-view
[SW-Floor3-01] interface gigabitethernet 1/0/1
[SW-Floor3-01-GigabitEthernet1/0/1] qos lr inbound cir 20000 cbs 2500000
[SW-Floor3-01-GigabitEthernet1/0/1] quit
参数说明:CIR(承诺信息速率)单位为kbps,CBS(承诺突发大小)通常设为CIR的125倍(单位为字节)。
2)端口出方向限速
将G1/0/1端口的出方向流量限制为50Mbps:
[SW-Floor3-01] interface gigabitethernet 1/0/1
[SW-Floor3-01-GigabitEthernet1/0/1] qos lr outbound cir 50000 cbs 6250000
[SW-Floor3-01-GigabitEthernet1/0/1] quit
3)批量限速配置(摄像头端口统一限速)
[SW-Floor3-01] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/12
[SW-Floor3-01-if-range] qos lr inbound cir 20000 cbs 2500000
[SW-Floor3-01-if-range] quit
4)风暴控制
防止广播/组播/未知单播风暴,限制每秒最大包数:
[SW-Floor3-01] interface gigabitethernet 1/0/17
[SW-Floor3-01-GigabitEthernet1/0/17] broadcast-suppression pps 100
[SW-Floor3-01-GigabitEthernet1/0/17] multicast-suppression pps 200
[SW-Floor3-01-GigabitEthernet1/0/17] unknown-unicast-suppression pps 100
[SW-Floor3-01-GigabitEthernet1/0/17] quit
4.8 配置备份与恢复
1)保存当前配置
save
The current configuration will be written to the device.
Are you sure?[Y/N]:y
2)导出配置文件(通过TFTP)
system-view
[SW-Floor3-01] tftp 192.168.10.100 put startup.cfg SW-Floor3-01-backup-20240601.cfg
3)通过TFTP恢复配置
[SW-Floor3-01] tftp 192.168.10.100 get SW-Floor3-01-backup-20240601.cfg startup.cfg
4)查看当前运行配置
display current-configuration
display saved-configuration
5)恢复出厂设置
system-view
[SW-Floor3-01] restore factory-default
[SW-Floor3-01] quit
reboot
运维建议:每次修改配置后务必执行
save保存。建议定期(每周或每次变更后)将配置文件备份到TFTP/FTP服务器或通过display current-configuration导出文本备份。多台交换机管理时,在文件名中加入设备名称和日期便于归档。
五、常见问题FAQ
Q1:如何查看当前设备的VLAN信息?
A:使用display vlan查看所有VLAN及对应端口,使用display vlan 20查看指定VLAN 20的详细信息。
Q2:端口配置了VLAN后,终端无法获取IP地址,如何排查?
A:检查步骤:1)确认端口已正确加入对应VLAN;2)确认上联Trunk口已允许该VLAN通过;3)确认DHCP服务器在该VLAN网段正常工作;4)使用display mac-address interface GigabitEthernet 1/0/x查看终端MAC地址是否已学习。
Q3:Trunk端口配置后,对端交换机无法通信?
A:常见原因:1)Trunk两端允许的VLAN列表不一致;2)两端PVID不一致导致管理VLAN不通;3)链路聚合未正确协商。使用display interface brief检查端口状态,使用display link-aggregation verbose检查聚合状态。
Q4:摄像头频繁掉线,怀疑是STP导致?
A:确认摄像头连接端口是否为边缘端口。若未配置,执行stp edged-port enable开启。同时建议在摄像头端口启用BPDU保护(stp bpdu-protection enable),防止非法设备接入导致拓扑变化。
Q5:忘记管理密码,如何重置?
A:通过Console口连接,重启设备,在启动过程中按Ctrl+B进入BootROM菜单,选择跳过当前配置启动(跳过配置启动),进入系统后重新设置密码,然后再恢复原配置文件。
Q6:链路聚合只有一条链路Up,另一条显示Down?
A:检查聚合模式是否一致(LACP vs 静态);确认对端设备也配置了对应聚合组;使用display link-aggregation verbose查看端口状态,确认速率和双工模式一致。
Q7:如何查看端口流量统计?
A:使用display interface GigabitEthernet 1/0/x查看指定端口的收发字节数和错误包统计。连续执行两次并计算差值可得到实时速率。
Q8:VLAN之间无法互通?
A:S5120V3-28P是二层交换机,VLAN间路由需要通过三层设备(核心交换机或路由器)实现。确认上联三层设备已配置对应VLAN的SVI接口和路由,Trunk口已允许相关VLAN通过。