配置ignore_user_abort

H3CMSR系列路由器基础配置指导(V7)杭州华三通信技术有限公司http://www.
h3c.
com.
cn资料版本:6W102-20140225产品版本:MSR-CMW710-R0007Copyright2013-2014杭州华三通信技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
H3C、、H3CS、H3CIE、H3CNE、Aolynk、、H3Care、、IRF、NetPilot、Netflow、SecEngine、SecPath、SecCenter、SecBlade、Comware、ITCMM、HUASAN、华三均为杭州华三通信技术有限公司的商标.
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言H3CMSR系列路由器配置指导(V7)共分为十四本手册,介绍了MSR系列路由器各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例.
《基础配置指导》主要介绍设备的基本配置和管理,包括CLI配置、登录设备配置、FTP和TFTP配置、文件系统管理配置、配置文件管理、软件升级管理和设备管理配置等内容.
前言部分包含如下内容:适用款型读者对象本书约定产品配套资料资料获取方式技术支持资料意见反馈适用款型本手册所描述的内容适用于MSR系列路由器中的如下款型:款型MSR2600MSR26-30MSR3600MSR36-10MSR36-20MSR36-40MSR36-60MSR5600MSR56-60MSR56-80读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
3.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
4.
端口编号示例约定本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准.
产品配套资料H3CMSR系列路由器的配套资料包括如下部分:大类资料名称内容介绍产品知识介绍路由器产品彩页帮助您了解产品的主要规格参数及亮点硬件描述与安装路由器安装指导帮助您详细了解设备硬件规格和安装方法,指导您对设备进行安装MSR系列路由器接口模块手册帮助您详细了解单板的硬件规格业务配置MSR系列路由器配置指导(V7)帮助您掌握设备软件功能的配置方法及配置步骤MSR系列路由器命令参考(V7)详细介绍设备的命令,相当于命令字典,方便您查阅各个命令的功能运行维护路由器版本说明书帮助您了解产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法资料获取方式您可以通过H3C网站(www.
h3c.
com.
cn)获取最新的产品资料:H3C网站与产品资料相关的主要栏目介绍如下:[服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料.
[产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等.
[解决方案]:可以获取解决方案类资料.
[服务支持/软件下载]:可以获取与软件版本配套的资料.
技术支持用户支持邮箱:service@h3c.
com技术支持热线电话:400-810-0504(手机、固话均可拨打)010-62982107网址:http://www.
h3c.
com.
cn资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1CLI·1-11.
1命令行接口简介·1-11.
2命令视图·1-11.
2.
1命令视图简介·1-11.
2.
2进入系统视图·1-21.
2.
3返回上一级视图1-21.
2.
4返回用户视图·1-31.
3使用命令行在线帮助·1-31.
4命令的undo形式1-41.
5命令行输入1-41.
5.
1编辑命令行·1-41.
5.
2STRING和TEXT类型参数的输入·1-41.
5.
3快速输入命令行1-51.
5.
4配置命令关键字的别名1-51.
5.
5配置命令行的快捷键1-61.
5.
6命令行输入回显功能1-71.
6解读输入错误提示信息·1-71.
7使用历史命令·1-81.
8便捷地查看显示信息·1-81.
8.
1分屏显示1-81.
8.
2查看带行号的显示信息1-91.
8.
3使用正则表达式过滤显示信息·1-101.
8.
4将显示信息保存到指定文件1-121.
8.
5各种便捷查看方式的综合应用·1-131.
9保存当前配置·1-141-11CLI1.
1命令行接口简介CLI(CommandLineInterface,命令行接口)是用户与设备之间的文本类指令交互界面.
用户输入文本类命令,通过输入回车键提交设备执行相应命令,从而对设备进行配置和管理,并可以通过查看输出信息确认配置结果.
设备支持多种方式进入命令行接口界面,比如通过Console口/Telnet/SSH登录设备后进入命令行接口界面等,各方式的详细描述请参见"基础配置指导"中的"登录设备".
设备的命令行接口界面如图1-1所示.
图1-1命令行接口界面1.
2命令视图1.
2.
1命令视图简介设备提供了丰富的功能,不同的功能对应不同的配置和查询命令.
为便于用户使用这些命令,设备按功能对命令进行分类组织.
功能分类与命令视图对应,当要配置某功能的某条命令时,需要先进入这条命令所在的视图.
每个视图都有唯一的、含义清晰的提示符,比如提示符[Sysname-vlan100]表示当前的命令视图是VLAN视图,VLAN的编号是100,在该视图下可对VLAN100的属性进行配置.
命令视图采用分层结构,如图1-2所示.
1-2图1-2命令视图示意图用户登录设备后,直接进入用户视图.
此时屏幕显示的提示符是:.
用户视图下可执行的操作主要包括查看操作、调试操作、文件管理操作、设置系统时间、重启设备、FTP和Telnet操作等.
从用户视图可以进入系统视图,此时屏幕显示的提示符是:[设备名].
系统视图下能对设备运行参数以及部分功能进行配置,比如配置夏令时、配置欢迎信息、配置快捷键等.
在系统视图下输入特定命令,可以进入相应的功能视图,完成相应功能的配置,比如:进入接口视图配置接口参数、进入VLAN视图给VLAN添加端口、进入用户线视图配置登录用户的属性、创建本地用户并进入本地用户视图配置本地用户的属性等.
功能视图下可能还包含子视图,比如BGP视图下还包含BGPIPv4单播实例视图和BGP-VPNIPv4单播实例视图等,请参见各功能模块的详细描述.
想要了解某命令视图下支持哪些命令,请在该命令视图提示符后输入.
"设备名"是设备的名称,可以通过在系统视图下执行sysname命令来配置.
关于sysname命令的详细介绍请参见"基础配置命令参考"中的"设备管理".
1.
2.
2进入系统视图表1-1进入系统视图操作命令说明进入系统视图system-view该命令在用户视图下执行1.
2.
3返回上一级视图当前视图下的功能配置完成,使用本命令可以退出当前视图返回到上一级视图.
需要注意的是:用户视图下执行quit命令会中断用户终端与设备之间的当前连接.
公共密钥视图下请使用peer-public-keyend命令返回系统视图.
1-3表1-2返回上一级视图操作命令说明从当前视图返回上一级视图quit该命令可在任意视图下执行1.
2.
4返回用户视图本命令为用户提供了一种从任意的非用户视图返回到用户视图的快捷方式,而不需要多次执行quit命令逐级返回.
用户也可以直接按组合键从当前视图返回用户视图.
表1-3返回用户视图操作命令说明返回用户视图return该命令可在任意的非用户视图下执行1.
3使用命令行在线帮助在命令行输入过程中,可以在命令行的任意位置输入以获得详尽的在线帮助.
下面给出常见的在线帮助应用场景,供参考使用.
(1)在任意视图下,输入即可获取该视图下可以使用的所有命令及其简单描述.
例如:Userviewcommands:archiveArchiveconfigurationbackupBackupthestartupconfigurationfiletoaTFTPserverboot-loaderSetbootloader……略……(2)输入一条命令的关键字,后接以空格分隔的.
如果位置为关键字,则列出全部关键字及其简单描述.
例如:terminaldebuggingEnabletodisplaydebugginglogsonthecurrentterminalloggingDisplaylogsonthecurrentterminalmonitorEnabletodisplaylogsonthecurrentterminal如果位置为参数,则列出有关的参数描述.
例如:system-view[Sysname]interfacevlan-interfaceVlan-interfaceinterfacenumber[Sysname]interfacevlan-interface1其中,表示该参数的取值范围为1~4094;表示命令行当前位置无参数,直接输入回车即可执行.
(3)输入命令的不完整关键字,其后紧接,显示以该字符串开头的所有命令关键字.
例如:ffirmware1-4fixdiskformatfreeftpdisplayftpftpftp-serverftp-user1.
4命令的undo形式命令的undo形式一般用来恢复缺省情况、禁用某个功能或者删除某项设置.
大部分配置命令都有对应的undo形式.
例如,info-centerenable命令用来开启信息中心,undoinfo-centerenable命令用来关闭信息中心.
1.
5命令行输入1.
5.
1编辑命令行编辑命令行时,系统支持如表1-4所示的单个按键和如表1-7所示的组合键.
表1-4编辑功能表按键功能普通按键若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标(命令行下发前会暂时缓存在编辑缓冲区,缓冲区的大小为511个字符,如果编辑缓冲区满,则后续输入的字符无效)退格键删除光标位置的前一个字符,光标前移左光标键光标向左移动一个字符位置右光标键光标向右移动一个字符位置上光标键访问上一条历史命令下光标键访问下一条历史命令键输入不完整的关键字后按下键,系统自动补全关键字:如果与之匹配的关键字唯一,则系统用此完整的关键字替代原输入并换行显示如果与之匹配的关键字不唯一,则多次按键,系统会按字母序循环显示所有以输入字符串开头的关键字如果没有与之匹配的关键字,系统会不作任何修改,重新换行显示原输入用户通过键盘输入命令行后,按键执行该命令.
1.
5.
2STRING和TEXT类型参数的输入输入命令行时,如果命令行中的参数是STRING类型的,则设备对该参数的基本要求为:除""、"""、"\"、空格之外的可见字符,可见字符对应的ASCII码区间为32~126.
1-5如果命令行中的参数是TEXT类型的,则除了""外的其他字符都可输入.
需要注意的是,业务模块可能对参数有更多的输入限制,详情请见命令的提示信息以及命令参考中的参数描述.
1.
5.
3快速输入命令行设备支持不完整关键字输入,即在当前视图下,当输入的字符足够匹配唯一的关键字时,可以不必输入完整的关键字.
该功能提供了一种快捷的输入方式,有助于提高操作效率.
比如用户视图下以s开头的命令有startupsaved-configuration、system-view等.
如果要输入system-view,可以直接输入sy(不能只输入s,因为只输入s时,匹配到的关键字不唯一).
如果要输入startupsaved-configuration,可以直接输入sts.
可以按键由系统自动补全关键字的全部字符,以确认系统的选择是否为所需输入的关键字.
1.
5.
4配置命令关键字的别名使用本特性,可以给设备当前支持的命令行的第一个关键字或者undo命令的第二关键字取一个您惯用的关键字作为别名.
比如将display的别名设置为show,这样在设备上执行displayclock命令时可以输入displayclock,也可以输入showclock.
使用本特性后:用户成功执行的带别名的命令将以系统原始的命令形式被显示或存储,而不会以别名的形式.
当用户输入不完整关键字并回车,且该关键字与用户定义的别名以及现有某关键字同时部分匹配时,则只执行别名对应的命令.
如果用户输入的字符串与多个别名部分匹配,则输出错误提示信息.
当用户输入不完整关键字并使用键补全,且该关键字与用户定义的别名以及现有某关键字同时部分匹配时,则第一次使用键,将联想出别名对应的原始关键字;再次使用键,系统才会按字母序联想出现有关键字.
表1-5配置命令关键字的别名操作命令说明进入系统视图system-view-使能命令关键字别名功能command-aliasenable缺省情况下,命令关键字别名功能处于关闭状态给指定的命令关键字配置别名command-aliasmappingcmdkeyalias缺省情况下,没有给命令关键字配置别名配置该命令时,输入的cmdkey参数必须是当前设备支持的命令行第一个关键字或者undo命令的第二个关键字的完整形式(可选)显示命令关键字别名功能的相关配置displaycommand-alias该命令可在任意视图下执行1-61.
5.
5配置命令行的快捷键为便于用户对常用命令进行快捷操作,系统提供了一系列的快捷键.
其中用户可自定义的快捷键有五个,配置步骤见表1-6,其他快捷键(见表1-7)为系统保留的,不能通过命令行配置.
只要用户按下某个快捷键,系统即可执行对应的指令.
需要注意的是,当用户使用终端软件与设备进行交互时,且终端软件定义了这些快捷键(包括用户可定义的和系统保留的),则快捷键会遵从终端软件的定义,不会对设备生效.
表1-6配置命令行的快捷键操作命令说明进入系统视图system-view-配置命令行的快捷键hotkey{ctrl_g|ctrl_l|ctrl_o|ctrl_t|ctrl_u}command缺省情况下:对应命令displaycurrent-configuration(显示当前配置)对应命令displayiprouting-table(显示IPv4路由表信息)对应命令undodebuggingall(关闭设备支持的所有功能项的调试开关)没有关联任何命令行没有关联任何命令行(可选)显示系统中快捷键的分配信息displayhotkey该命令可在任意视图下执行表1-7系统保留的快捷键快捷键功能将光标移动到当前行的开头将光标向左移动一个字符停止当前正在执行的功能删除当前光标所在位置的字符将光标移动到当前行的末尾将光标向右移动一个字符删除光标左侧的一个字符终止呼出的连接显示输入过的下一条命令显示输入过的上一条命令重新显示当前行信息粘贴剪贴板的内容删除光标左侧连续字符串内的所有字符1-7快捷键功能删除光标左侧所有的字符删除光标右侧所有的字符退回到用户视图终止当前连接将光标移动到左侧连续字符串的首字符处删除光标所在位置及其右侧连续字符串内的所有字符将光标向右移到下一个连续字符串之前1.
5.
6命令行输入回显功能当用户在未完成输入操作却被大量的系统信息打断时,开启此功能可以回显用户已经输入而未提交执行的信息,方便用户继续完成未输入的内容.
表1-8配置命令行输入回显功能操作命令说明进入系统视图system-view-打开命令行输入回显功能info-centersynchronous缺省情况下,命令行输入回显功能处于关闭状态本命令的详细介绍请参见"网络管理和监控命令参考"中的"信息中心"1.
6解读输入错误提示信息命令行输入完毕后,请按键执行该命令.
设备执行命令的过程中,首先会对命令行进行语法检查.
如果通过语法检查,则正确执行;否则,输出错误信息,常见的错误信息如表1-9所示.
表1-9命令行常见错误信息表英文错误信息错误原因%Unrecognizedcommandfoundat'^'position.
命令无法解析,符号"^"指示位置出错%Incompletecommandfoundat'^'position.
符号"^"指示位置的参数输入不完整%Ambiguouscommandfoundat'^'position.
符号"^"指示位置的关键字不明确,存在二义性%Toomanyparameters.
输入参数太多%Wrongparameterfoundat'^'position.
在符号"^"指示位置的参数错误1-81.
7使用历史命令用户在设备上成功执行的命令,会同时保存到用户独享的历史命令缓冲区和所有用户共享的历史命令缓冲区.
两缓冲区的详细描述请参见表1-10.
表1-10历史命令缓冲区描述表历史命令缓冲区是否可查看是否可调用退出登录后,历史命令是否继续保存大小是否可调独享历史命令缓冲区,每个用户线对应一个独享历史命令缓冲区可通过displayhistory-command来查看使用上光标键↑并回车,可调用上一条历史命令使用下光标键↓并回车,可调用下一条历史命令不保存可通过history-commandmax-sizesize-value命令来配置(该命令的详细介绍请参见"基础配置命令参考"中的"登录设备").
缺省情况下,可存放10条历史命令;如果将size-value设置为0,则不会缓存历史命令;如果当前历史命令缓冲区满且有新的命令需要缓存,则自动删除最早的记录,来保存新命令共享历史命令缓冲区,所有用户线共用一个共享历史命令缓冲区可通过displayhistory-commandall来查看不能调用保存为固定大小1024条.
如果当前历史命令缓冲区满且有新的命令需要缓存,则自动删除最早的记录,来保存新命令设备保存历史命令时,遵循下列原则:设备保存的历史命令与用户输入的命令格式相同.
如果用户使用了命令的不完整形式,保存的历史命令也是不完整形式;如果用户使用了命令关键字的别名形式,保存的历史命令也是别名形式.
如果用户连续多次执行同一条命令,设备的历史命令中只保留一次.
但如果执行时输入的形式不同,将作为不同的命令对待.
例如:连续多次执行displaycurrent-configuration命令,设备只保存一条历史命令;如果分别执行displaycurrent-configuration命令和它的不完整形式displaycu,设备将保存为两条历史命令.
需要注意的是,在Windows200X及WindowsXP的超级终端和Telnet下可使用光标键访问历史命令,但对于Windows9X的超级终端,↑、↓光标键无效,这是由于Windows9X的超级终端对这两个键作了不同解释所致.
1.
8便捷地查看显示信息1.
8.
1分屏显示1.
控制分屏显示当显示信息较多并超过一屏时,系统会将信息分屏显示,并在屏间自动暂停,方便查看显示信息.
这时用户可以使用表1-11所示的按键来选择下一步操作.
1-9表1-11分屏显示功能表按键功能空格键继续显示下一屏信息回车键继续显示下一行信息停止显示,退回到命令行编辑状态显示上一页信息显示下一页信息缺省情况下,一屏显示24行信息,也可以使用screen-length命令设置用户线下一屏显示的行数(screen-length命令的详细介绍请参见"基础配置命令参考"中的"登录设备").
2.
关闭分屏显示功能可以通过以下配置禁用当前登录用户的分屏显示功能.
禁止分屏显示时,会一次显示所有信息,如果信息较多,则会连续刷屏,不方便查看.
表1-12禁止分屏显示操作命令说明禁用当前用户的分屏显示功能screen-lengthdisable缺省情况下,用户登录后将遵循用户线下的screen-length设置.
screen-length设置的缺省情况为:允许分屏显示,下一屏显示24行数据该操作在用户视图下执行,仅对当前用户本次登录有效,用户重新登录后将恢复到缺省情况1.
8.
2查看带行号的显示信息在用display命令查看显示信息时,用户可以用by-linenum参数在显示信息的同时显示信息行号,方便定位显示信息.
如果不带by-linenum参数,则不会显示行号.
行号占5个字符,通常行号后面接":".
当by-linenum和begin参数一起使用时,行号后面还可能接"-",其中":"表示该行符合匹配规则,"-"表示该行不符合匹配规则.
操作命令按行显示display命令执行结果(显示信息带行号)displaycommand|by-linenum下面将通过举例示意如何查看带行号的显示信息.
#显示VLAN999信息的同时显示行号.
displayvlan999|by-linenum1:VLANID:9992:VLANtype:Static3:Routeinterface:Configured4:IPaddress:192.
168.
2.
15:Subnetmask:255.
255.
255.
01-106:Description:ForLANAccess7:Name:VLAN09998:Taggedports:None9:Untaggedports:10:Ethernet1/11.
8.
3使用正则表达式过滤显示信息在执行display命令查看显示信息时,可以使用正则表达式来过滤显示信息,以便快速的找到自己关注的信息.
在display命令中通过输入|{begin|exclude|include}regular-expression参数的方式来过滤显示.
begin、exclude和include关键字的含义如下:begin:显示特定行及其以后的所有行,该特定行必须包含指定正则表达式.
exclude:显示不包含指定正则表达式的所有行.
include:只显示包含指定正则表达式的所有行.
正则表达式(regular-expression)为1~256个字符的字符串,区分大小写,它支持多种特殊字符,特殊字符的匹配规则如表1-13所示.
表1-13正则表达式中的特殊字符描述表特殊字符含义举例^匹配以指定字符开始的行^user只能匹配以user开始的行,不能匹配以Auser开始的行$匹配以指定字符结束的行user$只能匹配以user结尾的行,不能匹配以userA结尾的行.
通配符,可代表任何一个字符.
s可以匹配as和bs等*匹配星号前面的字符或字符串零次或多次zo*可以匹配z以及zoo(zo)*可以匹配zo以及zozo+匹配+前面的字符或字符串一次或多次zo+可以匹配zo以及zoo,但不能匹配z|匹配|左边的整个字符串或者右边的整个字符串def|int只能匹配包含def或者int的字符串()表示字符串,一般与"+"或"*"等符号一起使用(123A)表示字符串123A;408(12)+可以匹配40812或408121212等字符串,但不能匹配408\index表示重复一次指定字符串,字符串是指\前用()括起来的字符串,index对应\前字符串的顺序号按从左至右的顺序从1开始编号:如果\前面只有一个字符串,则index只能为1;如果\前面有n个字符串,则index可以为1到n中的任意整数(string)\1表示把string重复一次,匹配的字符串必须包含stringstring;(string1)(string2)\2表示把string2重复一次,匹配的字符串必须包含string1string2string2;(string1)(string2)\1\2表示先把string1重复一次,再重复一次string2,匹配的字符串必须包含string1string2string1string2[]表示字符选择范围,将以选择范围内的单个字符为条件进行匹配,只要字符串里包含该范围的某个字符就能匹配到[16A]表示可以匹配到的字符串只需要包含1、6或A中任意一个[1-36A]表示可以匹配到的字符串只需要包含1、2、3、6或A中任意一个(-为连接符)如果]需要作为普通字符出现在[]内时,必须把]写在[]中字符的最前面,形如[]string],才能匹配到].
[没有这样的限制1-11特殊字符含义举例[^]表示选择范围外的字符,将以单个字符为条件进行匹配,只要字符串里包含该范围外的某个字符就能匹配到[^16A]表示可匹配的字符串只需要包含1、6和A之外的任意字符,该字符串也可以包含字符1、6或A,但不能只包含这三个字符.
比如[^16A]可以匹配abc、m16,不能匹配1、16、16A{n}n是一个非负整数,匹配n次o{2}不能匹配Bob,但是能匹配food{n,}n是一个非负整数,至少匹配n次o{2,}不能匹配Bob,但能匹配foooood{n,m}m和n均为非负整数,其中n小于等于m.
只要字符串里包含n到m个某字符就能匹配到o{1,3}能匹配fod、food、foood、foooood,但不能匹配fd\匹配包含指定字符串的字符串,字符串后面如果有字符则不能是数字、字母和下划线do\>匹配单词undo,还可以匹配字符串cdo\b匹配一个单词边界,也就是指单词和空格间的位置er\b可以匹配never,但不能匹配verb\ber可以匹配erase,但不能匹配verb\B匹配非单词边界er\B能匹配verb,但不能匹配never\w\w等效于[A-Za-z0-9_],是数字、字母或下划线v\w能匹配vlan,v\w还能匹配service\W\W等效于[^A-Za-z0-9_],是除了数字、字母和下划线之外的任意字符\Wa可以匹配-a,但是不能匹配2a和ba等\转义操作符,\后紧跟本表中罗列的单个特殊字符时,将去除特殊字符的特定含义\\可以匹配包含\的字符串\^可以匹配包含^的字符串\\b可以匹配包含\b的字符串下面将通过举例示意如何使用正则表达式过滤显示信息.
#查看当前生效的配置中,从包含"line"字符串的行开始到最后一行的配置信息(该显示信息与设备型号以及用户的当前配置有关).
displaycurrent-configuration|beginlinelineaux0user-rolenetwork-operator#linecon0user-rolenetwork-admin#linevty063authentication-modeschemeuser-rolenetwork-operator#sshserverenable#1-12return#查看路由表中的非直连路由(该显示信息与设备型号以及用户的当前配置有关).
displayiprouting-table|excludeDirectDestinations:12Routes:12Destination/MaskProtoPreCostNextHopInterface2.
2.
2.
0/24OSPF1021.
1.
2.
2Eth1/2#查看SNMP相关配置(该显示信息与设备型号以及用户的当前配置有关).
displaycurrent-configuration|includesnmpsnmp-agentsnmp-agentcommunitywriteprivatesnmp-agentcommunityreadpublicsnmp-agentsys-infoversionallsnmp-agenttarget-hosttrapaddressudp-domain192.
168.
1.
26paramssecuritynamepublic1.
8.
4将显示信息保存到指定文件display命令显示的内容通常是统计信息、功能是否使能以及功能的相关参数配置,这些信息在设备运行过程中会随着时间或者用户的配置而改变.
使用本配置可以将当前显示信息保存到指定文件,方便随时比对和查看.
有两种方式将显示信息保存到文件中:将显示信息独立保存到指定文件:使用该方式时,该文件只包含该显示信息的内容.
将显示信息以追加方式保存到已有文件:使用该方式时,该命令的显示信息会追加在指定文件的尾部保存,该文件能包含多条显示信息的内容.
表1-14将显示信息保存到指定文件操作命令将显示信息独立保存到指定文件displaycommand>filename将显示信息以追加方式保存到已有文件displaycommand>>filename下面将通过举例示意如何将显示信息保存到指定文件以及保存效果.
#将displayvlan1的显示信息保存到指定文件vlan.
txt.
displayvlan1>vlan.
txt#查看vlan.
txt的内容,验证display>命令的执行效果.
morevlan.
txtVLANID:1VLANtype:StaticRouteinterface:NotconfiguredDescription:VLAN0001Name:VLAN0001Taggedports:NoneUntaggedports:Ethernet1/2#将displayvlan999的显示信息以追加方式保存到指定文件vlan.
txt.
displayvlan999>>vlan.
txt1-13#查看vlan.
txt的内容,验证display>>命令的执行效果.
morevlan.
txtVLANID:1VLANtype:StaticRouteinterface:NotconfiguredDescription:VLAN0001Name:VLAN0001Taggedports:NoneUntaggedports:Ethernet1/2VLANID:999VLANtype:StaticRouteinterface:ConfiguredIPaddress:192.
168.
2.
1Subnetmask:255.
255.
255.
0Description:ForLANAccessName:VLAN0999Taggedports:NoneUntaggedports:Ethernet1/11.
8.
5各种便捷查看方式的综合应用执行display命令时,通过选择参数,可以同时实现"1.
8.
2查看带行号的显示信息"、"1.
8.
3使用正则表达式过滤显示信息"和"1.
8.
4将显示信息保存到指定文件".
表1-15各种便捷查看方式的综合应用操作命令各种便捷查看方式的综合应用displaycommand[|[by-linenum]{begin|exclude|include}regular-expression][>filename|>>filename]下面将通过举例示意如何将各种便捷查看方式综合应用.
#按行号将当前配置保存到文件test.
txt.
displaycurrent-configuration|by-linenum>test.
txt#将SNMP的相关配置以追加方式保存到文件test.
txt.
displaycurrent-configuration|includesnmp>>test.
txt#查看当前配置,从包含"user-group"字符串的行开始到最后一行配置信息,并同时显示行号.
(行号后为":"表示该行包含"user-group"字符串,行号后为"-"表示该行不包含"user-group"字符串.
)displaycurrent-configuration|by-linenumbeginuser-group114:user-groupsystem115-#116-return1-141.
9保存当前配置在设备上,可以输入save命令,将当前配置保存到配置文件中.
这样在设备重启后,所有保存的配置不会丢失.
配置保存不涉及一次性执行命令,比如:display命令(执行后即显示相关信息)和reset命令(执行后即清除相关信息).
save命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
i目录1RBAC·1-11.
1RBAC简介·1-11.
1.
1权限与角色的关联·1-11.
1.
2角色与用户的关联·1-41.
2RBAC配置任务简介·1-41.
3创建用户角色·1-51.
4为用户角色赋予权限·1-51.
4.
1配置用户角色规则·1-51.
4.
2配置资源控制策略·1-61.
5为用户授权角色·1-71.
5.
1使能缺省用户角色授权功能1-71.
5.
2为远程AAA认证用户授权角色·1-81.
5.
3为本地AAA认证用户授权角色·1-81.
5.
4为非AAA认证用户授权角色1-91.
6切换用户角色·1-91.
7RBAC显示和维护1-111.
8RBAC典型配置举例·1-111.
8.
1Telnet用户的本地用户角色授权配置举例1-111.
8.
2Telnet用户的RADIUS用户角色授权配置举例·1-131.
8.
3Telnet用户的HWTACACS用户角色切换认证配置·1-161.
9常见配置错误举例1-201.
9.
1被授权的用户角色与本地用户实际拥有的权限不符·1-201.
9.
2使用远程认证服务器进行身份认证的用户登录设备失败·1-211-11RBAC1.
1RBAC简介设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
RBAC(RoleBasedAccessControl,基于角色的访问控制)通过建立"权限角色"的关联实现将权限赋予给角色,并通过建立"角色用户"的关联实现为用户指定角色,从而使用户获得相应角色所具有的权限.
RBAC的基本思想就是给用户指定角色,这些角色中定义了允许用户操作哪些系统功能以及资源对象.
由于权限与用户的分离,RBAC具有以下优势:管理员不需要针对用户去逐一指定权限,只需要预先定义具有相应权限的角色,再将角色赋予用户即可.
因此RBAC更能适应用户的变化,提高了用户权限分配的灵活性.
由于角色与用户的关系常常会发生变化,但是角色和权限的关系相对稳定,因此利用这种稳定的关联可减小用户授权管理的复杂性,降低管理开销.
1.
1.
1权限与角色的关联权限与角色的关联是通过为角色赋予权限建立的,具体实现包括以下两个方面:通过用户角色规则实现对系统功能的操作权限的控制.
例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能.
通过资源控制策略实现对系统资源(接口、VLAN、VPN实例)的操作权限的控制.
例如,定义资源控制策略允许用户操作VLAN10,禁止用户操作接口Ethernet1/1.
1.
用户角色规则用户角色规则定义了允许/禁止用户操作某些功能的权限.
一个用户角色中可以包含多条用户角色规则,每条规则定义了是允许还是禁止用户对某命令、特性、特性组、Web菜单或者XML元素进行操作.
(1)命令:控制用户权限的最小单元.
RBAC根据命令的作用,将命令分成以下三类:读类型:本类型的命令仅能显示系统配置信息和维护信息,如显示命令display、显示文件信息的命令dir.
写类型:本类型的命令用于对系统进行配置,如使能信息中心功能的命令info-centerenable、配置调试信息开关的命令debugging.
执行类型:本类型的命令用于执行特定的功能,如ping命令、与FTP服务器建立连接的命令ftp.
(2)特性:与一个功能相关的所有命令的集合,例如OSPF特性包含了所有OSPF的配置、显示及调试命令.
系统中的所有特性及其包含的命令都是系统预定义的,不允许用户自定义.
1-2(3)特性组:一个或者多个特性的集合.
其主要目的是为了方便管理员对用户权限进行配置.
系统预定义了两个特性组L2和L3.
L2中包含了所有的二层协议相关功能的命令,L3中包含了所有三层协议相关功能的命令.
管理员可以根据需要自定义特性组,但不能修改和删除系统预定义的特性组L2和L3.
各个特性组之间包含的特性允许重叠.
(4)XML元素:与Web菜单类似,XML对于配置对象的组织也呈现树状结构,每一个XML元素代表XML配置中的一个XML节点.
根据权限控制范围的不同,可以将用户角色规则分为如下三类:(1)基于命令的规则:用来控制一条命令或者与指定命令关键字相匹配的一类命令是否允许被执行.
关于匹配的具体涵义,请参见RBAC配置命令.
(2)基于特性的规则:用来控制特性包含的命令是否允许被执行.
因为特性中的每条命令都属于读类型、写类型或执行类型,所以在定义基于特性的规则时,可以精细地控制特性所包含的读、写或执行类型的命令能否被执行.
(3)基于特性组的规则:此规则和基于特性的规则类似,区别是一条基于特性组的规则中可同时对多个特性包含的命令进行控制.
(4)基于XML元素的规则:用来控制指定的XML元素是否允许被执行.
XML元素也具有读,写或执行属性.
一个用户角色中可以定义多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则中定义的可执行命令的并集.
若这些规则定义的权限内容有冲突,则规则编号大的有效.
例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B.
2.
资源控制策略资源控制策略规定了用户对系统资源的操作权限.
在用户角色中可定义三种类型的资源控制策略:接口策略、VLAN策略以及VPN策略,它们分别定义了用户允许操作的接口、VLAN或者VPN实例.
对接口/VLAN/VPN实例的操作是指创建并进入接口视图/VLAN视图/VPN实例视图、删除和应用接口/VLAN/VPN实例(在display命令中指定接口/VLAN/VPN实例参数并不属于应用接口/VLAN/VPN实例).
资源控制策略需要与用户角色规则相配合才能生效.
在用户执行命令的过程中,系统对该命令涉及的系统资源使用权限进行动态检测,因此只有用户同时拥有执行该命令的权限和使用该资源的权限时,才能执行该命令.
例如,若管理员为某用户角色定义了一条规则允许用户执行创建VLAN的命令vlan,且同时定义了一条VLAN策略允许用户操作VLAN10,则当用户被授权此用户角色并试图创建VLAN10时,操作会被允许,但试图创建其它VLAN时,操作会被禁止.
若管理员并没有为该用户角色定义规则允许用户执行创建VLAN命令,则用户即便拥有该VLAN资源的操作权限,也无法执行相关的命令.
3.
缺省用户角色系统预定义了19种用户角色,用户角色名和对应的权限如表1-1所示.
这些用户角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限.
如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制.
1-3表1-1系统预定义的用户角色名和对应的权限用户角色名权限network-admin可操作系统所有功能和资源(除安全日志文件管理相关命令displaysecurity-logfilesummary、info-centersecurity-logfiledirectory、security-logfilesave之外)network-operator可执行系统所有功能和资源的相关显示命令(除displayhistory-commandall、displaysecurity-logfilesummary、info-centersecurity-logfiledirectory、security-logfilesave之外)如果用户采用本地认证方式登录系统并被授予该角色,则可以修改自己的密码可执行进入XML视图的命令可允许用户操作所有读类型的XML元素level-n(n=0~15)level-0:可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为其配置权限level-1:具有level-0用户角色的权限,并且可执行系统所有功能和资源的相关显示命令(除displayhistory-commandall之外),以及管理员可以为其配置权限level-2~level-8和level-10~level-14:无缺省权限,需要管理员为其配置权限level-9:可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操作displayhistory-commandall命令、RBAC的命令(Debug命令除外)、文件管理、设备管理以及本地用户特性.
对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码.
level-15:具有与network-admin角色相同的权限.
security-audit安全日志管理员,仅具有安全日志文件的读、写、执行权限,具体如下:可执行安全日志文件管理相关的命令(displaysecurity-logfilesummary、info-centersecurity-logfiledirectory、security-logfilesave).
安全日志文件管理相关命令的介绍,请参见"网络管理与监控"中的"信息中心"可执行安全日志文件操作相关的命令,例如more显示安全日志文件内容;dir、mkdir操作安全日志文件目录等,具体命令的介绍请参见"基础配置命令参考"中的"文件系统管理"以上权限,仅安全日志管理员角色独有,其它任何角色均不具备,且即使在其它用户角色中配置了以上权限,也不生效只有具有network-admin、level-15用户角色的用户登录设备后才可以执行RBAC特性的所有命令以及修改用户线视图下的相关配置(包括user-role、authentication-mode、protocol和setauthenticationpassword).
预定义的用户角色中,仅用户角色level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限.
需要注意的是,这种修改对于displayhistory-commandall命令不生效,即不能通过添加对应的规则来更改它的缺省执行权限.
1-41.
1.
2角色与用户的关联角色与用户的关联是通过为用户赋予角色建立的.
将有效的用户角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备.
根据用户登录设备时采用的不同认证方式,可以将为用户授权角色分为AAA(Authentication、Authorization、Accounting,认证、授权、计费)方式和非AAA方式.
(1)AAA方式:用户登录时使用的认证方式为scheme,用户登录设备后所拥有的用户角色由AAA功能进行授权.
若用户通过了本地授权,则由设备为其授权用户角色,授权的用户角色是在本地用户中设置的.
若用户通过了远程授权,则由远程AAA服务器为其授权用户角色,授权的用户角色是在远程AAA服务器(RADIUS或HWTACACS服务器)上设置的.
(2)非AAA方式:用户登录时使用的认证方式为none或者password,用户登录后所拥有的用户角色是用户线下配置的用户角色.
以上两种方式均支持对一个用户同时授权多个用户角色.
拥有多个角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合.
例如,某用户拥有角色A,它禁止用户执行qosapplypolicy命令,且仅允许操作接口2.
同时,该用户拥有角色B,它允许用户执行qosapplypolicy命令,且允许用户操作所有接口.
则,这种情况下该用户将能够在所有接口下执行qosapplypolicy命令,以及可以操作所有的接口资源.
AAA相关内容的介绍请参见"安全配置指导"中的"AAA".
用户线相关内容的介绍请参见"基础配置指导"中的"登录设备".
通过publickey或password-publickey认证登录服务器的SSH用户将被授予同名的网络管理类本地用户视图下配置的授权用户角色.
SSH用户相关的介绍请参见"安全配置指导"中的"SSH".
1.
2RBAC配置任务简介表1-2RBAC配置任务简介配置任务说明详细配置创建用户角色必选1.
3为用户角色赋予权限必选1.
4为用户授权角色可选1.
5切换用户角色可选1.
61-51.
3创建用户角色如果系统预定义角色无法满足用户的权限管理需求,可以自定义用户角色来对用户权限做更精细和灵活的控制.
除系统预定义的用户角色外,系统中最多允许同时创建64个用户角色.
表1-3创建用户角色操作命令说明进入系统视图system-view-创建用户角色,并进入用户角色视图rolenamerole-name缺省情况下,系统预定义了19个用户角色,名称为network-admin、network-operator、level-n(n为0~15的整数)、security-audit.
其中,仅用户角色level-0~level-14可以自定义规则、资源控制策略以及配置描述信息(可选)配置用户角色描述信息descriptiontext缺省情况下,未定义用户角色描述信息1.
4为用户角色赋予权限1.
4.
1配置用户角色规则用户角色规则分为以下三类,可根据权限控制需要配置一条或多条规则:基于命令的规则:由允许/禁止(permit/deny)关键字及命令匹配字符串(command-string)定义是否允许执行一条命令或者与指定命令关键字相匹配的一组命令.
基于特性的规则:由允许/禁止(permit/deny)关键字、特性名称(feature-name)以及该特性中命令的类型(读/写/执行)定义是否允许执行一个或所有特性中包含的指定类型的命令.
基于特性组的规则:由允许/禁止(permit/deny)关键字、特性组名称(feature-group-name)以及该特性组中命令的类型(读/写/执行)定义是否允许执行一个特性组中的特性包含的指定类型的命令.
基于XML元素的规则:由允许/禁止(permit/deny)关键字、XML元素名称(feature-name)以及该XML元素的类型(读/写/执行)定义是否允许执行一个或所有指定类型的XML元素.
关于用户角色规则,存在以下配置限制:每个用户角色中最多可以配置256条规则,系统中的用户角色规则总数不能超过1024.
修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
表1-4配置用户角色规则操作命令说明进入系统视图system-view-进入用户角色视图rolenamerole-name-配置基于命令的规则rulenumber{deny|permit}commandcommand-string至少选其一缺省情况下,新创建的用户角色中未定义规则,即当前用户角色无任何权配置基于特性的规则rulenumber{deny|permit}{execute|read|write}*feature[feature-name]1-6操作命令说明配置基于特性组的规则rulenumber{deny|permit}{execute|read|write}*feature-groupfeature-group-name限当多条规则中配置的权限出现冲突时,规则编号大的权限生效配置基于Web菜单的规则rulenumber{deny|permit}{execute|read|write}*web-menu[web-string]配置基于XML元素的规则rulenumber{deny|permit}{execute|read|write}*xml-element[xml-string]退回系统视图quit-创建特性组,并进入特性组视图rolefeature-groupnamefeature-group-name若要配置基于特性组的规则,则必选缺省情况下,存在两个特性组,名称为L2和L3除系统预定义的特性组L2和L3之外,系统中最多允许创建64个特性组向特性组中添加一个特性featurefeature-name缺省情况下,自定义特性组中不包含任何特性1.
4.
2配置资源控制策略资源控制策略分为接口策略、VLAN策略和VPN策略三类.
所有用户角色均具有缺省的资源控制策略,允许用户具有操作任何系统资源(接口/VLAN/VPN实例)的权限.
若要限制或区分用户对这些资源的使用权限,则应该配置资源控制策略并在指定类型的策略中配置允许操作的资源列表.
需要注意的是,修改后的资源控制策略对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
表1-5配置接口资源控制策略操作命令说明进入系统视图system-view-进入用户角色视图rolenamerole-name-进入接口策略视图interfacepolicydeny缺省情况下,用户具有操作任何接口的权限进入接口策略视图后,如果不配置允许操作的接口列表,则用户将没有操作任何接口的权限(可选)配置允许操作的接口列表permitinterfaceinterface-list缺省情况下,未定义允许操作的接口列表,用户没有操作任何接口的权限可以多次执行此命令向接口列表中添加允许操作的接口1-7表1-6配置VLAN资源控制策略操作命令说明进入系统视图system-view-进入用户角色视图rolenamerole-name-并进入VLAN策略视图vlanpolicydeny缺省情况下,用户具有操作任何VLAN的权限进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限(可选)配置允许操作的VLAN列表permitvlanvlan-id-list缺省情况下,未定义允许操作的VLAN列表,用户没有操作任何VLAN的权限可以多次执行此命令向VLAN列表中添加允许操作的VLAN表1-7配置VPN资源控制策略操作命令说明进入系统视图system-view-进入用户角色视图rolenamerole-name-进入VPN策略视图vpn-instancepolicydeny缺省情况下,用户具有操作任何VPN实例的权限进入VPN策略视图后,如果不配置允许操作的VPN列表,则用户将没有操作任何VPN实例的权限(可选)配置允许操作的VPN列表permitvpn-instancevpn-instance-name&缺省情况下,未定义允许操作的VPN列表,用户没有操作任何VPN实例的权限可以多次执行此命令向VPN列表中添加允许操作的VPN实例1.
5为用户授权角色为保证对用户授权角色成功,设备上必须存在对应的被授权的用户角色.
若要授权的用户角色有多个,则只要被授权的用户角色中的一个或多个在设备上存在,相应的用户角色即可授权成功;若设备上不存在任何一个被授权的用户角色,则用户角色授权将会失败.
1.
5.
1使能缺省用户角色授权功能对于通过AAA认证登录设备的用户,由AAA服务器(远程认证)或设备(本地认证)为其授权用户角色.
如果用户没有被授权任何用户角色,将无法成功登录设备.
为此,系统提供了一个缺省用1-8户角色授权功能.
使能该功能后,用户在没有被授权任何角色的情况下,将具有一个缺省的用户角色,具体情况如下:如果用户登录设备,则具有用户角色network-operator;表1-8使能缺省用户角色授权功能操作命令说明进入系统视图system-view-使能缺省用户角色授权功能roledefault-roleenable缺省情况下,缺省用户角色授权功能处于关闭状态若本地用户的授权方案为none(即不授权),则必须使能缺省用户角色授权功能1.
5.
2为远程AAA认证用户授权角色对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色.
有关AAA以及远程AAA认证相关配置的详细介绍请参见"安全配置指导"中的"AAA".
RADIUS服务器上的授权角色配置与服务器的具体情况有关,请参考服务器的配置指导进行;HWTACACS服务器上的授权角色配置必须满足格式:roles="name1name2namen",其中name1、name2、namen为要授权下发给用户的用户角色,可为多个,并使用空格分隔.
需要注意的是,若AAA服务器同时为用户授权了包括安全日志管理员在内的多个用户角色,则仅安全日志管理员角色生效.
1.
5.
3为本地AAA认证用户授权角色对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色.
有关AAA以及本地用户相关配置的详细介绍请参见"安全配置指导"中的"AAA".
需要注意的是:由于本地用户缺省就拥有一个用户角色,如果要赋予本地用户新的用户角色,请确认是否需要保留这个缺省的用户角色,若不需要,请删除.
系统中的最后一个安全日志管理员角色的本地用户不可被删除.
安全日志管理员与其它用户角色互斥,因此在为本地用户授权用户角色时,有以下内容需要关注:为一个本地用户授权安全日志管理员角色时,经过界面的交互式确认后,系统会自动删除当前用户的所有其它他用户角色.
如果已经为当前本地用户授权了安全日志管理员角色,再授权其它的用户角色时,经过界面的交互确认后,系统会自动删除当前用户的安全日志管理员角色.
表1-9为本地用户授权用户角色操作命令说明进入系统视图system-view-创建本地用户,并进入本地用户视图local-useruser-nameclass{manage|network}-1-9操作命令说明为本地用户授权用户角色authorization-attributeuser-rolerole-name缺省情况下,由用户角色为network-admin或者level-15的用户创建的本地用户将被授权用户角色network-operator可通过多次执行本命令,为本地用户授权多个用户角色,最多可授权64个退回系统视图quit-1.
5.
4为非AAA认证用户授权角色对于不使用AAA认证登录设备的非SSH用户,由用户线配置决定为其授权的用户角色.
有关用户线相关配置的详细介绍请参见"基础配置指导"中的"登录设备";通过publickey或password-publickey认证登录设备的SSH用户,由同名的网络管理类本地用户配置决定为其授权的用户角色.
SSH用户相关的介绍请参见"安全配置指导"中的"SSH".
表1-10为非AAA认证用户授权用户角色操作命令说明进入系统视图system-view-进入用户线视图line{first-num1[last-num1]|{aux|console|tty|vty}first-num2[last-num2]}-为从当前用户线登录系统的用户配置授权的用户角色user-rolerole-name缺省情况下,使用Console/Aux用户线登录系统的用户将被授权用户角色network-admin;通过其它用户线登录系统的用户将被授权用户角色network-operator可通过多次执行本命令,配置多个用户角色,最多可配置64个不能为从当前用户线登录系统的用户授权安全日志管理员的用户角色1.
6切换用户角色1.
功能简介切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限.
切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有角色.
为了防止对设备的误操作,通常情况下建议管理员使用较低权限的用户角色登录设备、查看设备运行参数,当需要对设备进行维护时,再临时切换到较高权限的用户角色.
当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时,为了安全起见,可以临时切换到较低权限的用户角色,来限制其他人员的操作.
为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码.
切换到不同的用户角色时,需要输入相应切换密码.
如果服务器没有响应或者没有配置用户角色切换密码,1-10则切换操作失败,若还有备份认证方案,则转而进行备份认证.
因此,在进行切换操作前,请先保证配置了正确的用户角色切换密码.
需要注意的是,对于Console/AUX用户,在设备采用本地密码切换认证方式且未配置切换密码的情况下,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色.
2.
配置用户角色切换时的认证方式为了保证切换操作的安全性,执行用户角色切换时,需要进行身份认证.
设备支持如表1-11所示的四种用户角色切换认证方式.
表1-11用户角色的切换认证方式认证方式涵义说明local本地密码认证设备验证用户输入的用户角色切换密码使用该方式时,需要在设备上使用superpassword命令设置用户角色切换密码scheme通过HWTACACS或RADIUS进行远程AAA认证设备将用户角色切换使用的用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证使用该方式时,需要进行以下相关配置:在设备上配置HWTACACS/RADIUS方案,并在ISP域中引用已创建的HWTACACS/RADIUS方案,详细介绍请参见"安全配置指导"中的"AAA"在HWTACACS/RADIUS服务器上创建相应的用户并配置密码localscheme先本地密码认证,后远程AAA认证先进行本地密码认证,若设备上没有设置本地用户角色切换密码,使用Console、TTY或VTY用户线登录的用户则转为远程AAA认证schemelocal先远程AAA认证,后本地密码认证先进行远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA远程认证配置无效时,转为本地密码认证目前,本地密码认证方式可支持任意用户角色之间的切换认证,但远程认证方式只能支持名称为level-n的用户角色之间的切换认证.
当使用HWTACACS方案进行用户角色切换认证时,系统使用用户输入的用户角色切换用户名进行角色切换认证,HWTACACS服务器上也必须存在相应的用户,每一个该类型的用户都能提供切换到低于或等于某最大级别的服务.
例如,HWTACACS服务器上存在一个用于角色切换认证的用户,它支持切换到的最高级别用户角色为level-3,即表示用户可以使用该用户的用户名进行level-0、level-1、level-2、level-3之间的用户角色切换.
无论用户希望切换到哪一个角色,系统均使用该用户名进行用户角色切换认证(是否携带域名由user-name-format命令决定).
当使用RADIUS方案进行用户角色切换认证时,系统使用"$enabn$"形式的用户名进行用户角色切换认证,其中n为用户希望切换到的用户角色level-n中的n,RADIUS服务器上也必须存在相同形式的用户名.
与HWTACACS不同的是,用户进行角色切换时可输入任意用户名,该名称在认证过程中无实际意义.
例如,用户希望切换到用户角色level-3,输入任意用户名,系统忽略用户输入的用户名,使用"$enab3$@domain-name"或"$enab3$"形式的用户名进行用户角色切换认证(是否携带域名由user-name-format命令决定).
当用户从用户角色a切换到用户角色b后,若输入quit命令,将退出当前登录的用户线.
1-11表1-12配置用户角色切换时的认证方式操作命令说明进入系统视图system-view-配置用户角色切换时的认证方式superauthentication-mode{local|scheme}*缺省情况下,采用local认证方式配置用户角色切换的密码非FIPS模式下:superpassword[rolerolename][{hash|simple}password]FIPS模式下:superpassword[rolerolename]如果采用local认证方式,则该步骤必选缺省情况下,没有设置切换用户角色的密码若不指定用户角色,则配置的是切换到network-admin用户角色的密码3.
切换用户角色表1-13切换用户角色操作命令说明切换用户角色super[rolename]该命令在用户视图下执行用户最多可以连续进行三次切换认证,如果三次认证都失败则本轮切换失败1.
7RBAC显示和维护完成上述配置后,在任意视图下执行display命令可以显示配置后RBAC的运行情况,通过查看显示信息验证配置的效果.
表1-14RBAC显示和维护操作命令显示用户角色信息displayrole[namerole-name]显示特性信息displayrolefeature[namefeature-name|verbose]显示特性组信息displayrolefeature-group[namefeature-group-name][verbose]1.
8RBAC典型配置举例1.
8.
1Telnet用户的本地用户角色授权配置举例1.
组网需求如图1-1所示,Telnet用户主机与Router相连,需要实现Router对Telnet用户进行本地认证并授权用户角色.
Telnet用户的登录用户名为user1@bbb,认证通过后被授权的用户角色为role1.
role1具有如下用户权限:1-12允许用户执行所有特性中读类型的命令;允许用户执行进入接口视图以及接口视图下的相关命令,并具有操作接口Ethernet1/2~Ethernet1/4的权限.
2.
组网图图1-1Telnet用户本地认证/授权配置组网图3.
配置步骤#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Router.
system-view[Router]interfaceethernet1/1[Router-Ethernet1/1]ipaddress192.
168.
1.
70255.
255.
255.
0[Router-Ethernet1/1]quit#开启Router的Telnet服务器功能.
[Router]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Router]linevty063[Router-line-vty0-63]authentication-modescheme[Router-line-vty0-63]quit#配置ISP域bbb的AAA方法为本地认证和本地授权.
[Router]domainbbb[Router-isp-bbb]authenticationloginlocal[Router-isp-bbb]authorizationloginlocal[Router-isp-bbb]quit#创建用户角色role1.
[Router]rolenamerole1#配置用户角色规则1,允许用户执行所有特性中读类型的命令.
[Router-role-role1]rule1permitreadfeature#配置用户角色规则2,允许用户执行进入接口视图以及接口视图下的相关命令.
[Router-role-role1]rule2permitcommandsystem-view;interface*#进入接口策略视图,允许用户具有操作接口Ethernet1/2~Ethernet1/4的权限.
[Router-role-role1]interfacepolicydeny[Router-role-role2-ifpolicy]permitinterfaceethernet1/2toethernet1/4[Router-role-role1-ifpolicy]quit[Router-role-role1]quit#创建设备管理类本地用户user1.
[Router]local-useruser1classmanage#配置用户的密码是明文的aabbcc.
[Router-luser-manage-user1]passwordsimpleaabbcc1-13#指定用户的服务类型是Telnet.
[Router-luser-manage-user1]service-typetelnet#指定用户user1的授权角色为role1.
[Router-luser-manage-user1]authorization-attributeuser-rolerole1#为保证用户仅使用授权的用户角色role1,删除用户user1具有的缺省用户角色network-operator.
[Router-luser-manage-user1]undoauthorization-attributeuser-rolenetwork-operator[Router-luser-manage-user1]quit4.
验证配置用户向Router发起Telnet连接,在Telnet客户端按照提示输入用户名user1@bbb及正确的密码后,可成功登录Router,并被授予用户角色role1,具有相应的命令行执行权限.
可通过如下步骤验证用户的权限:可操作接口Ethernet1/2~Ethernet1/4.
(以接口Ethernet1/1、Ethernet1/2为例)#进入接口Ethernet1/1视图.
system-view[Router]interfaceethernet1/1Permissiondenied.
#配置接口Ethernet1/2的IPv4地址.
[Router]interfaceethernet1/2[Router-Ethernet1/2]ipaddress6.
6.
6.
624[Router-Ethernet1/2]quit可执行所有特性中读类型的命令.
(以displayclock为例)[Router]displayclock09:31:56UTCSat01/01/2011[Router]quit不能执行特性中写类型和执行类型的命令.
debuggingroleallPermissiondenied.
ping192.
168.
1.
58Permissiondenied.
1.
8.
2Telnet用户的RADIUS用户角色授权配置举例1.
组网需求如图1-2所示,Telnet用户主机与Router相连,Router与一台RADIUS服务器相连,需要实现RADIUS服务器对登录Router的Telnet用户进行认证和授权.
由一台FreeRadius服务器(IP地址为10.
1.
1.
1/24)担当认证/授权RADIUS服务器的职责;Router与RADIUS服务器交互报文时使用的共享密钥为expert,认证端口号为1812;Router向RADIUS服务器发送的用户名携带域名;Telnet用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后被授权的用户角色为role2.
role2具有如下用户权限:允许用户执行ISP视图下的所有命令;允许用户执行ARP和RADIUS特性中读和写类型的命令;1-14允许用户执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN1~VLAN20的权限;允许用户执行进入接口视图以及接口视图下的相关命令,并具有操作接口Ethernet1/1~Ethernet1/24的权限.
2.
组网图图1-2Telnet用户RADIUS认证/授权配置组网图3.
配置步骤(1)Router上的配置#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Router.
system-view[Router]interfaceethernet1/1[Router-Ethernet1/1]ipaddress192.
168.
1.
70255.
255.
255.
0[Router-Ethernet1/1]quit#配置接口Ethernet1/2的IP地址,Router将通过该地址与服务器通信.
[Router]interfaceethernet1/2[Router-Ethernet1/2]ipaddress10.
1.
1.
2255.
255.
255.
0[Router-Ethernet1/2]quit#开启Router的Telnet服务器功能.
[Router]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Router]linevty063[Router-line-vty0-63]authentication-modescheme[Router-line-vty0-63]quit#创建RADIUS方案rad.
[Router]radiusschemerad#配置主认证/授权服务器的IP地址为10.
1.
1.
1,认证端口号为1812.
[Router-radius-rad]primaryauthentication10.
1.
1.
11812#配置与认证/授权服务器交互报文时的共享密钥为expert.
[Router-radius-rad]keyauthenticationexpert[Router-radius-rad]quit#配置ISP域bbb的AAA方法.
由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同.
1-15[Router]domainbbb[Router-isp-bbb]authenticationloginradius-schemerad[Router-isp-bbb]authorizationloginradius-schemerad[Router-isp-bbb]quit#创建特性组fgroup1.
[Router]rolefeature-groupnamefgroup1#配置特性组fgroup1中包含特性ARP和RADIUS.
[Router-featuregrp-fgroup1]featurearp[Router-featuregrp-fgroup1]featureradius[Router-featuregrp-fgroup1]quit#创建用户角色role2.
[Router]rolenamerole2#配置用户角色规则1,允许用户执行ISP视图下的所有命令.
[Router-role-role2]rule1permitcommandsystem-view;domain*#配置用户角色规则2,允许用户执行特性组fgroup1中所有特性的读和写类型的命令.
[Router-role-role2]rule2permitreadwritefeature-groupfgroup1#配置用户角色规则3,禁止用户执行Route特性中读类型的命令.
[Router-role-role2]rule3denyreadfeatureroute#配置用户角色规则4,允许用户执行创建VLAN以及进入VLAN视图后的相关命令.
[Router-role-role2]rule4permitcommandsystem-view;vlan*#配置用户角色规则5,允许用户执行进入接口视图以及接口视图下的相关命令.
[Router-role-role2]rule5permitcommandsystem-view;interface*#进入VLAN策略视图,允许用户具有操作VLAN1~VLAN20的权限.
[Router-role-role2]vlanpolicydeny[Router-role-role2-vlanpolicy]permitvlan1to20[Router-role-role2-vlanpolicy]quit#进入接口策略视图,允许用户具有操作接口Ethernet1/1~Ethernet1/24的权限.
[Router-role-role2]interfacepolicydeny[Router-role-role2-ifpolicy]permitinterfaceethernet1/1toethernet1/24[Router-role-role2-ifpolicy]quit[Router-role-role2]quit(2)RADIUS服务器的配置需要在FreeRadius服务器的字典文件中增加如下配置文本之一:Cisco-AVPair="shell:roles=\"role2\""Cisco-AVPair="shell:roles*\"role2\""关于FreeRadius的其它配置请参见服务器的相关手册,本文不进行详细介绍.
4.
验证配置用户向Router发起Telnet连接,在Telnet客户端按照提示输入用户名hello@bbb及正确的密码后,可成功登录Router,并被授予用户角色role2,具有相应的命令行执行权限.
可通过如下步骤验证用户的权限:可执行ISP视图下所有的命令.
system-view[Router]domainabc1-16[Router-isp-abc]authenticationloginradius-schemeabc[Router-isp-abc]quit可执行RADIUS特性中读和写类型的命令.
(ARP特性同,此处不再举例)[Router]radiusschemerad[Router-radius-rad]primaryauthentication2.
2.
2.
2[Router-radius-rad]displayradiusschemeradRADIUS方案的显示信息此处略.
可操作VLAN1~VLAN20.
(以创建VLAN10、VLAN30为例)[Router]vlan10[Router-vlan10]quit[Router]vlan30Permissiondenied.
可操作接口Ethernet1/1~Ethernet1/24.
(以接口Ethernet1/2、Ethernet1/25为例)[Router]vlan10#将接口Ethernet1/2加入到VLAN10.
[Router-vlan10]portethernet1/2#将接口Ethernet1/25加入到VLAN10.
[Router-vlan10]portethernet1/25Permissiondenied.
1.
8.
3Telnet用户的HWTACACS用户角色切换认证配置1.
组网需求如图1-3所示,Telnet用户主机与Router直接相连,Router与一台HWTACACS服务器相连,需要配置Router实现对登录Router的Telnet用户进行用户级别切换认证.
具体要求如下:Telnet用户登录Router时进行本地认证,登录后被授予用户角色level-0,当进行level-0~level3之间的任意用户角色切换时,首先使用HWTACACS认证,若AAA配置无效或者HWTACACS服务器没有响应则转为local认证.
2.
组网图图1-3Telnet用户远端HWTACACS用户角色切换认证配置组网图3.
配置思路在Router上的配置思路如下:1-17(1)配置Telnet用户登录采用AAA认证方式(scheme),并且使用AAA中的本地认证.
创建ISP域bbb,配置Telnet用户登录时采用的login认证和授权方法为local.
创建本地用户,配置Telnet用户登录密码及登录后的用户角色.
(2)Telnet用户进行用户角色切换时,首先使用HWTACACS认证,若AAA配置无效或者HWTACACS服务器没有响应则转为本地认证.
配置用户角色切换认证方式为schemelocal.
配置HWTACACS方案hwtac,指定HWTACACS服务器IP地址及与其进行交互的相关参数(HWTACACS协议报文交互时使用的共享密钥,Router发送给HWTACACS服务器的用户名不带域名).
在ISP域bbb下配置用户角色切换认证方法为HWTACACS方案hwtac.
配置采用本地认证方式时的用户角色切换密码.
在HWTACACSserver上需要添加用于用户角色切换认证的用户名和密码.
4.
配置步骤(1)配置Router#配置VLAN接口2的IP地址,Telnet客户端将通过该地址连接Router.
system-view[Router]interfacevlan-interface2[Router-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[Router-Vlan-interface2]quit#配置VLAN接口3的IP地址,Router将通过该地址与服务器通信.
[Switch]interfacevlan-interface3[Router-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[Router-Vlan-interface3]quit#开启Router的Telnet服务器功能.
[Router]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Router]linevty063[Router-line-vty0-63]authentication-modescheme[Router-line-vty0-63]quit#配置进行用户角色切换时的认证方式为schemelocal.
(首先使用HWTACACS认证,若AAA配置无效或者HWTACACS服务器没有响应则转为本地认证)[Router]superauthentication-modeschemelocal#创建HWTACACS方案hwtac.
[Router]hwtacacsschemehwtac#配置主认证服务器的IP地址为10.
1.
1.
1,认证端口号为49.
[Router-hwtacacs-hwtac]primaryauthentication10.
1.
1.
149#配置与认证服务器交互报文时的共享密钥为expert.
[Router-hwtacacs-hwtac]keyauthenticationsimpleexpert#配置向HWTACACS服务器发送的用户名不携带域名.
[Router-hwtacacs-hwtac]user-name-formatwithout-domain[Router-hwtacacs-hwtac]quit#创建ISP域bbb.
[Router]domainbbb1-18#配置Telnet用户登录认证方法为本地认证.
[Router-isp-bbb]authenticationloginlocal#配置Telnet用户登录授权方法为本地授权.
[Router-isp-bbb]authorizationloginlocal#配置用户角色切换认证方法为hwtac.
[Router-isp-bbb]authenticationsuperhwtacacs-schemehwtac[Router-isp-bbb]quit#创建并配置设备管理类本地Telnet用户test.
[Router]local-usertestclassmanage[Router-luser-manage-test]service-typetelnet[Router-luser-manage-test]passwordsimpleaabbcc#指定Telnet用户登录系统后被授予的用户角色为level-0.
[Router-luser-manage-test]authorization-attributeuser-rolelevel-0#为保证Telnet用户仅使用授权的用户角色level-0,删除用户test具有的缺省用户角色network-operator.
[Router-luser-manage-test]undoauthorization-attributeuser-rolenetwork-operator[Router-luser-manage-test]quit#配置用户级角色换认证方式为本地认证时,切换到用户角色level-3时使用的密码为654321.
[Router]superpasswordrolelevel-3simple654321[Router]quit(2)配置HWTACACSserver下面以ACSv4.
0为例,说明该例中HWTACACSserver的基本配置.
在HWTACACSserver上添加用户test,对该用户的高级属性进行设置.
设置EnablePassword为enabpass;设置MaxPrivilege为Level3,表示用户角色在level-0到level-3之间任意切换时均使用密码enabpass进行认证.
1-19图1-4设置Telnet用户的高级属性5.
验证配置(1)Telnet用户建立与Router的连接在Telnet客户端按照提示输入用户名test@bbb及密码aabbcc,即可成功登录Router,且只能访问指定权限的命令.
telnet192.
168.
1.
70Trying192.
168.
1.
70.
.
.
PressCTRL+KtoabortConnectedto192.
168.
1.
59.
.
.
*Copyright(c)2004-2013HangzhouH3CTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*login:test@bbbPassword:1-20Userviewcommands:pingPingfunctionquitExitfromcurrentcommandviewssh2EstablishasecureshellclientconnectionsuperSwitchtoauserrolesystem-viewEntertheSystemViewtelnetEstablishatelnetconnectiontracertTracertfunction(2)切换用户角色#在当前的用户线下执行切换到用户角色level-3的命令,按照提示输入HWTACACS用户角色切换认证密码enabpass,若认证成功即可将当前Telnet用户的角色切换到level-3.
superlevel-3Username:test@bbbPassword:superlevel-3Username:test@bbbPassword:程序>>通讯>超级终端"),选择与设备相连的串口(PC上选择"我的电脑>管理>设备管理器>端口"来查看当前使用的串口),设置终端通信参数.
这些参数的值必须和设备上的值一致,缺省情况下:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-2至图2-4所示.
如果PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果PC使用的是Windows2008Server、WindowsVista、Windows7或其它操作系统,请准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助.
2-2图2-2新建连接图2-3连接端口设置图2-4端口通信参数设置(5)设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,用户键入回车后将出现命令行提示符(),如图2-5所示.
2-3图2-5设备配置界面(6)键入命令,配置设备或查看设备运行状态,需要帮助可以随时键入.
3-13配置通过CLI登录设备3.
1配置通过CLI登录设备简介设备运行于FIPS模式时,不支持用户通过Telnet登录.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
通过CLI登录设备包括:通过Console口、Telnet、SSH、AUX口或Modem登录方式.
缺省情况下,用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患;缺省情况下,用户不能通过AUX口、Telnet、SSH以及Modem方式登录设备,这样不利于用户对设备进行远程管理和维护.
因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性.
本文将分别介绍如何配置通过Console口、Telnet、SSH、AUX口及Modem登录设备时的认证方式、用户角色及公共属性.
3.
1.
1用户线简介用户线用于管理、限制CLI登录用户的访问行为:网络管理员可以给每个用户线配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等.
当用户使用Console口、Telnet、SSH、AUX口及Modem登录到设备的时候,系统会给用户分配一个用户线,登录用户将受到该用户线下配置参数的约束.
1.
用户线概述设备提供了四种类型的用户线:Console用户线:用来管理和监控通过Console口登录的用户.
AUX用户线:用来管理和监控通过AUX口登录的用户.
AUX口通常用于通过Modem进行拨号访问.
TTY(TrueTypeTerminal,实体类型终端)用户线:用来管理和监控通过异步串口登录的用户.
异步串口包括工作在异步方式的同/异步串口,即Serial接口,和专用异步串口,即Async接口.
VTY(VirtualTypeTerminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户.
2.
用户与用户线的关系用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束.
用户与用户线并没有固定的对应关系:3-2同一用户登录的方式不同,分配的用户线不同.
比如用户A使用Console口登录设备时,将受到Console用户线视图下配置的约束;当使用Telnet登录设备时,将受到VTY用户线视图下配置的约束.
同一用户登录的时间不同,分配的用户线可能不同.
比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY1.
当该用户下次再Telnet登录时,设备可能已经把VTY1分配给其他Telnet用户了,只能为该用户分配其他的用户线.
如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备.
3.
用户线的编号用户线的编号有两种方式:绝对编号方式和相对编号方式.
(1)绝对编号方式使用绝对编号方式,可以唯一的指定一个用户线.
绝对编号从0开始自动编号,每次增长1,先给所有Console用户线编号,其次是所有TTY用户线,然后是所有AUX用户线,最后是所有VTY用户线.
使用displayline(不带参数)可查看到设备当前支持的用户线以及它们的绝对编号.
(2)相对编号方式相对编号是每种类型用户线的内部编号.
相对编号方式的形式是:"用户线类型编号",遵守如下规则:Console口的编号:第一个为CON0.
AUX口的编号:第一个为AUX0.
TTY的编号:第一个为TTY1,第二个为TTY2,依次类推.
VTY的编号:第一个为VTY0,第二个为VTY1,依次类推.
3.
1.
2认证方式简介在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性.
非FIPS模式下,设备支持的认证方式有none、password和scheme三种;FIPS模式下,设备仅支持scheme认证方式.
认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患.
认证方式为password:表示下次使用该用户线登录时,需要输入密码.
只有密码正确,用户才能登录到设备上.
配置认证方式为password后,请妥善保存密码.
认证方式为scheme:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
配置认证方式为scheme后,请妥善保存用户名及密码.
认证方式不同,配置不同,具体配置如表3-1所示.
表3-1不同认证方式下配置任务简介认证方式认证所需配置说明none设置登录用户的认证方式为不认证具体配置请见各登录方式下的相关章节password设置登录用户的认证方式为password认证具体配置请见各登录方式下的相关章节设置密码认证的密码scheme设置登录用户的认证方式为scheme认证具体配置请见各登录方式下的相关章节3-3认证方式认证所需配置说明在ISP域视图下为login用户配置认证方法请参见"安全配置指导"中的"AAA"3.
1.
3用户角色简介用户角色对登录用户至关重要,角色中定义了允许用户操作哪些系统功能以及资源对象,即用户登录后可以执行哪些命令.
关于用户角色的详细描述以及配置请参见"基础配置指导"中的"RBAC".
对于none和password认证方式,登录用户的角色由用户线下的用户角色配置决定.
对于scheme认证方式,且用户通过SSH的publickey或password-publickey方式登录设备时,登录用户的角色也由用户线下的用户角色配置决定.
对于scheme认证方式,非SSH登录以及用户通过SSH的password方式登录设备时,登录用户使用AAA认证用户的角色配置.
尤其对于远程AAA认证用户,如果AAA服务器没有下发用户角色且缺省用户角色授权功能处于关闭状态时,用户将不能登录设备.
3.
2配置通过Console口/AUX口本地登录设备通过Console口/AUX口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护.
如图3-1和图3-2所示.
图3-1通过Console口登录设备示意图图3-2通过Console口/AUX口登录设备示意图缺省情况下,用户可以直接通过Console口登录设备,登录时认证方式为none(不需要用户名和密码),用户角色为network-admin.
用户可以修改认证方式、用户角色以及其它登录参数,来增加设备的安全性及可管理性.
缺省情况下,通过AUX口进行本地登录,使用password认证方式.
需要先通过Console口或其它方式登录到设备上,配置AUX口password认证方式的密码,或者更改认证方式并完成相关参数的设置,才可以通过AUX口从本地登录设备.
3-43.
2.
1通过Console口/AUX口登录设备配置任务简介表3-2通过Console口/AUX口登录设备配置任务简介配置任务说明详细配置配置通过Console口/AUX口登录设备时的认证方式配置通过Console口/AUX口登录设备时无需认证(none)必选请根据实际需要选择其中的一种认证方式FIPS模式下,仅支持AAA认证(scheme)3.
2.
21.
配置通过Console口/AUX口登录设备时采用密码认证(password)3.
2.
22.
配置通过Console口/AUX口登录设备时采用AAA认证(scheme)3.
2.
23.
配置Console口/AUX口登录方式的公共属性可选3.
2.
24.
改变Console口/AUX口登录的认证方式后,新认证方式对新登录的用户生效.
3.
2.
2配置通过Console口/AUX口登录设备1.
配置通过Console口/AUX口登录设备时无需认证(none)用户已经成功登录到了设备上,并希望以后通过Console口/AUX口登录设备时无需进行认证.
表3-3配置用户通过Console口/AUX口登录设备时无需认证操作命令说明进入系统视图system-view-进入Console/AUX用户线视图line{aux|console}first-number[last-number]二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线/用户线类视图下进行配置时,则采用缺省值进入Console/AUX用户线类视图lineclass{aux|console}设置登录用户的认证方式为不认证authentication-modenone缺省情况下,用户通过Console口登录,认证方式为none;用户通过AUX口登录,认证方式为password如果设备上只有一个AUX口,而没有Console口(Console口与AUX口共用),则使用AUX用户线登录的用户不需要认证配置从当前用户线登录设备的用户角色user-rolerole-name缺省情况下,通过Console口登录设备的用户角色为network-admin;通过AUX口登录设备的用户角色为network-operator3-5当用户下次通过Console口/AUX口登录设备时,无须提供用户名或密码,直接按回车键进行用户视图,如图3-3和图3-4所示.
图3-3用户通过Console口登录设备时无需认证登录界面图3-4用户通过AUX口登录设备时无需认证登录界面2.
配置通过Console口/AUX口登录设备时采用密码认证(password)用户已经成功登录到了设备上,并希望以后通过Console口/AUX口登录设备时采用密码认证,以提高设备的安全性.
表3-4配置用户通过Console口/AUX口登录设备时采用密码认证操作命令说明进入系统视图system-view-进入Console/AUX用户线视图line{aux|console}first-number[last-number]二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线/用户线类视图下进行配置时,则采用缺省值进入Console/AUX用户线类视图lineclass{aux|console}3-6操作命令说明设置登录用户的认证方式为密码认证authentication-modepassword缺省情况下,用户通过Console口登录,认证方式为none;用户通过AUX口登录,认证方式为password如果设备上只有一个AUX口,而没有Console口(Console口与AUX口共用),则使用AUX用户线登录的用户不需要认证设置密码认证的密码setauthenticationpassword{hash|simple}password缺省情况下,没有设置密码认证的密码配置从当前用户线登录设备的用户角色user-rolerole-name缺省情况下,通过Console口登录设备的用户角色为network-admin;通过AUX口登录设备的用户角色为network-operator配置完成后,当用户再次通过Console口/AUX口登录设备,键入回车后,设备将要求用户输入登录密码.
正确输入登录密码并回车,登录界面中出现命令行提示符(如),如图3-5和图3-6所示.
图3-5用户通过Console口登录设备时采用密码认证登录界面图3-6用户通过AUX口登录设备时采用密码认证登录界面3.
配置通过Console口/AUX口登录设备时采用AAA认证(scheme)用户已经成功的登录到了设备上,并希望以后通过Console口/AUX口登录设备时采用AAA认证,以提高设备的安全性.
要使配置的AAA认证方式生效,还需要在ISP域视图下配置login认证方法.
相关详细介绍请参见"安全配置指导"中的"AAA".
3-7表3-5配置用户通过Console口/AUX口登录设备时采用AAA认证操作命令说明进入系统视图system-view-进入Console/AUX用户线视图line{aux|console}first-number[last-number]二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线/用户线类视图下进行配置时,则采用缺省值进入Console/AUX用户线类视图lineclass{aux|console}设置登录用户的认证方式为通过AAA认证authentication-modescheme缺省情况下,用户通过Console口登录,认证方式为none;用户通过AUX口登录,认证方式为password如果设备上只有一个AUX口,而没有Console口(Console口与AUX口共用),则使用AUX用户线登录的用户不需要认证配置完成后,当用户再次通过Console口/AUX口登录设备,键入回车后,设备将要求用户输入登录用户名和密码.
正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如),如图3-7和图3-8所示.
图3-7用户通过Console口登录设备时AAA认证登录界面3-8图3-8用户通过AUX口登录设备时AAA认证登录界面4.
配置Console口/AUX口登录方式的公共属性改变Console口/AUX口属性后会立即生效,所以通过Console口/AUX口登录来配置Console口/AUX口属性可能在配置过程中发生连接中断,建议通过其它登录方式来配置Console口/AUX口属性.
若用户需要通过Console口/AUX口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口/AUX口属性保持一致.
否则,连接失败.
表3-6配置Console口/AUX口登录方式的公共属性操作命令说明进入系统视图system-view-进入Console/AUX用户线视图line{aux|console}first-number[last-number]二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线/用户线类视图下进行配置时,则采用缺省值进入Console/AUX用户线类视图lineclass{aux|console}配置传输速率speedspeed-value缺省情况下,Console口/AUX口使用的传输速率为9600bit/s传输速率为设备与访问终端之间每秒钟传送的比特的个数用户线类视图下不支持该命令配置校验方式parity{even|mark|none|odd|space}缺省情况下,Console口/AUX口的校验方式为none,即不进行校验用户线类视图下不支持该命令3-9操作命令说明配置停止位stopbits{1|1.
5|2}缺省情况下,Console口/AUX口的停止位为1停止位用来表示单个包的结束.
停止位的位数越多,传输效率越低用户线类视图下不支持该命令配置数据位databits{5|6|7|8}缺省情况下,Console口/AUX口的数据位为8位数据位的设置取决于需要传送的信息.
比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8用户线类视图下不支持该命令配置启动终端会话的快捷键activation-keycharacter缺省情况下,按键启动终端会话配置中止当前运行任务的快捷键escape-key{character|default}缺省情况下,键入中止当前运行的任务配置流量控制方式flow-control{hardware|none|software}flow-controlhardwareflow-control-type1[softwareflow-control-type2]flow-controlsoftwareflow-control-type1[hardwareflow-control-type2]用户线类视图下不支持该命令配置终端的显示类型terminaltype{ansi|vt100}缺省情况下,终端显示类型为ANSI当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象.
建议两端都设置为VT100类型设置终端屏幕一屏显示的行数screen-lengthscreen-length缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置历史命令缓冲区大小history-commandmax-sizevalue缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令设置用户线的超时时间idle-timeoutminutes[seconds]缺省情况下,所有的用户线的超时时间为10分钟,如果直到超时时间到达,某用户线一直没有用户进行操作,则该用户线将自动断开idle-timeout0表示永远不会超时设置终端线路的自动执行的命令auto-executecommandcommand缺省情况下,终端线路未设置自动执行命令当配置自动执行的命令后,登录到终端线路,所配置的命令会自动执行command,然后退出当前连接对于没有Console用户线,只有AUX用户线的设备,AUX用户线视图下不支持该命令对于有Console用户线,又有AUX用户线的设备,Console用户线视图下不支持该命令,AUX用户线视图下支持该命令3-10操作命令说明设置终端线路上禁止终端服务undoshell缺省情况下,在所有的终端线路上启动终端服务对于没有Console用户线,只有AUX用户线的设备,AUX用户线视图下不支持该命令对于有Console用户线,又有AUX用户线的设备,Console用户线视图下不支持该命令,AUX用户线视图下支持该命令3.
3配置通过Telnet登录设备设备可以作为Telnet服务器,以便用户能够Telnet登录到设备进行远程管理和监控.
具体请参见"3.
3.
1配置设备作为Telnet服务器".
设备也可以作为Telnet客户端,Telnet到其它设备,对别的设备进行管理和监控.
具体请参见"3.
3.
2配置设备作为Telnet客户端登录其它设备".
3.
3.
1配置设备作为Telnet服务器缺省情况下,设备的Telnet服务器功能处于关闭状态,通过Telnet方式登录设备的认证方式为password,但设备没有配置缺省的登录密码,即在缺省情况下用户不能通过Telnet登录到设备上.
因此当使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,开启Telnet服务器功能,然后对认证方式、用户角色及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备.
1.
配置设备作为Telnet服务器的配置任务简介表3-7配置设备作为Telnet服务器的配置任务简介配置任务说明详细配置配置设备作为Telnet服务器时的认证方式配置Telnet登录设备时无需认证(none)必选请根据实际需要选择其中的一种认证方式3.
3.
12.
配置Telnet登录设备时采用密码认证(password)3.
3.
13.
配置Telnet登录设备时采用AAA认证(scheme)3.
3.
14.
配置Telnet登录同时在线的最大用户连接数可选3.
3.
15.
配置Telnet服务器发送报文的DSCP优先级可选3.
3.
16.
配置VTY用户线的公共属性可选3.
3.
17.
改变Telnet登录的认证方式后,新认证方式对新登录的用户生效.
2.
配置Telnet登录设备时无需认证(none)用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证.
3-11表3-8认证方式为none的配置操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户线视图linevtyfirst-number[last-number]二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线/用户线类视图下进行配置时,则采用缺省值进入VTY用户线类视图lineclassvty设置VTY登录用户的认证方式为不认证authentication-modenone缺省情况下,VTY用户线的认证方式为password配置从当前用户线登录设备的用户角色user-rolerole-name缺省情况下,通过Telnet登录设备的用户角色为network-operator配置完成后,当用户再次通过Telnet登录设备时:设备会显示如图3-9所示的登录界面.
如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
3-12图3-9用户通过Telnet登录设备时无需认证登录界面3.
配置Telnet登录设备时采用密码认证(password)用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证.
表3-9认证方式为password的配置操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户线视图linevtyfirst-number[last-number]二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线视图下进行配置时,则采用缺省值进入VTY用户线类视图lineclassvty设置登录用户的认证方式为密码认证authentication-modepassword缺省情况下,VTY用户线的认证方式为password设置密码认证的密码setauthenticationpassword{hash|simple}password缺省情况下,没有设置密码认证的密码(可选)配置从当前用户线登录设备的用户角色user-rolerole-name缺省情况下,通过Telnet登录设备的用户角色为network-operator3-13配置完成后,当用户再次通过Telnet登录设备时:设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如),如图3-10所示.
如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
图3-10配置用户通过Telnet登录设备时采用密码认证登录界面4.
配置Telnet登录设备时采用AAA认证(scheme)用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行AAA认证.
要使配置的AAA认证方式生效,还需要在ISP域视图下配置login认证方法.
相关详细介绍请参见"安全配置指导"中的"AAA".
表3-10配置用户通过Telnet登录设备时采用AAA认证操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户线视图linevtyfirst-number[last-number]二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线视图下进行配置时,则采用缺省值进入VTY用户线类视图lineclassvty3-14操作命令说明设置登录用户的认证方式为通过AAA认证authentication-modescheme缺省情况下,VTY用户线的认证方式为password配置完成后,当用户再次通过Telnet登录设备时:设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如),如图3-11所示.
如果出现"Alllinesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
图3-11用户通过Telnet登录设备时AAA认证登录界面5.
配置Telnet登录同时在线的最大用户连接数通过配置同时在线的最大用户连接数,可以限制采用Telnet登录同时接入设备的在线用户数.
该配置对于通过任何一种认证方式(none、password或者sheme)接入设备的用户都生效.
表3-11配置同时在线的最大用户连接数操作命令说明进入系统视图system-view-配置Telnet登录同时在线的最大用户连接数aaasession-limit{ftp|ssh|telnet}max-sessions关于该命令的详细描述,请参见"安全命令参考"中的"AAA"6.
配置Telnet服务器发送报文的DSCP优先级DSCP携带在IP/IPv6报文的ToS/Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
表3-12配置Telnet服务器发送报文的DSCP优先级操作命令说明进入系统视图system-view-配置Telnet服务器发送报文的telnetserverdscpdscp-value二者选其一3-15操作命令说明DSCP优先级telnetserveripv6dscpdscp-value缺省情况下,Telnet/IPv6Telnet服务器发送Telnet/IPv6Telnet报文的DSCP优先级487.
配置VTY用户线的公共属性使用auto-executecommand命令后,将导致用户通过该用户线登录后,不能对设备进行常规配置,需谨慎使用.
在配置auto-executecommand命令并退出登录之前,要确保可以通过其它VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置.
表3-13配置VTY用户线的公共属性操作命令说明进入系统视图system-view-进入一个或多个VTY用户线视图linevtyfirst-number[last-number]二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线视图下进行配置时,则采用缺省值进入VTY用户线类视图lineclassvty启动终端服务shell缺省情况下,在所有的用户线上启动终端服务配置VTY用户线支持的协议protocolinbound{all|pad|ssh|telnet}缺省情况下,设备同时支持Telnet和SSH协议使用该命令配置的协议将在用户下次使用该用户线登录时生效配置中止当前运行任务的快捷键escape-key{character|default}缺省情况下,键入中止当前运行的任务配置终端的显示类型terminaltype{ansi|vt100}缺省情况下,终端显示类型为ANSI设置终端屏幕一屏显示的行数screen-lengthscreen-length缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置设备历史命令缓冲区大小history-commandmax-sizevalue缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令3-16操作命令说明设置VTY用户线的超时时间idle-timeoutminutes[seconds]缺省情况下,所有的用户线的超时时间为10分钟如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开idle-timeout0表示永远不会超时设置从用户线登录后自动执行的命令auto-executecommandcommand缺省情况下,未设定自动执行命令配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接.
如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接.
该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机3.
3.
2配置设备作为Telnet客户端登录其它设备用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图3-12所示.
先给设备配置IP地址并获取Telnet服务器的IP地址.
如果设备与Telnet服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达.
图3-12通过设备登录到其它设备表3-14设备作为Telnet客户端登录到Telnet服务器的配置操作命令说明进入系统视图system-view-(可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口telnetclientsource{interfaceinterface-typeinterface-number|ipip-address}缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址退回到用户视图quit-设备作为Telnet客户端登录到Telnet服务器telnetremote-host[service-port][vpn-instancevpn-instance-name][source{interfaceinterface-typeinterface-number|ipip-address}][dscpdscp-value]二者选其一此命令在用户视图下执行telnetipv6remote-host[-iinterface-typeinterface-number][port-number][vpn-instancevpn-instance-name][dscpdscp-value]3-173.
4配置通过SSH登录设备3.
4.
1通过SSH登录设备简介用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(SecureShell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击.
设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控.
具体请参见"3.
4.
2配置设备作为SSH服务器".
设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控.
具体请参见"3.
4.
3配置设备作为SSH客户端登录其它设备".
3.
4.
2配置设备作为SSH服务器缺省情况下,设备的SSHServer功能处于关闭状态,因此当使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSH服务器功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备.
以下配置步骤只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见"安全配置指导"中的"SSH".
表3-15设备作为SSH服务器时的配置操作命令说明进入系统视图system-view-生成本地密钥对public-keylocalcreate{dsa|rsa}缺省情况下,没有生成密钥对使能SSH服务器功能sshserverenable缺省情况下,SSH服务器功能处于关闭状态建立SSH用户,并指定SSH用户的认证方式非FIPS模式下:sshuserusernameservice-typestelnetauthentication-type{password|{any|password-publickey|publickey}assignpublickeykeyname}FIPS模式下:sshuserusernameservice-typestelnetauthentication-type{password|password-publickeyassignpublickeykeyname}缺省情况下,不存在任何SSH用户进入VTY用户线视图linevtyfirst-number[last-number]二者选其一3-18操作命令说明进入VTY用户线类视图lineclassvty如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线视图下进行配置时,则采用缺省值配置登录用户线的认证方式为scheme方式authentication-modescheme非FIPS模式下:缺省情况下,VTY用户线认证为password方式FIPS模式下:缺省情况下,VTY用户线认证为scheme方式(可选)配置VTY用户线支持的SSH协议非FIPS模式下:protocolinbound{all|pad|ssh|telnet}FIPS模式下:protocolinboundssh非FIPS模式下:缺省情况下,设备同时支持Telnet和SSH协议FIPS模式下:缺省情况下,设备支持SSH协议使用该命令配置的协议将在用户下次使用该用户线登录时生效退回系统视图quit-(可选)配置VTY用户线的公共属性-详细配置请参见"3.
3.
17.
配置VTY用户线的公共属性"3.
4.
3配置设备作为SSH客户端登录其它设备用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其它设备上进行操作,如图3-12所示.
先给设备配置IP地址并获取SSH服务器的IP地址.
如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达.
图3-13通过设备登录到其它设备表3-16设备作为SSH客户端登录到其它设备的配置操作命令说明设备作为SSH客户端登录到SSHIPv4服务器ssh2server此命令在用户视图下执行设备作为SSH客户端登录到SSHIPv6服务器ssh2ipv6server此命令在用户视图下执行3-19为配合SSH服务器,设备作为SSH客户端时还可进一步进行其它配置,具体请参见"安全配置指导"中的"SSH".
3.
5配置通过Modem登录设备网络管理员可以通过设备的AUX口,利用一对Modem和PSTN(PublicSwitchedTelephoneNetwork,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护.
这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位.
通过AUX口利用Modem拨号进行远程登录时,使用的是AUX用户线.
缺省情况下,通过Modem登录使用password认证方式.
需要先通过Console口或其它方式登录到设备上,配置Modem登录password认证方式的密码,或者更改认证方式并完成相关参数的设置,才可以通过Modem登录设备.
具体配置同"3.
2配置通过Console口/AUX口本地登录设备",但需要注意的是:AUX口(Console口)波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象.
AUX口(Console口)的其它属性(AUX口(Console口)校验方式、AUX口(Console口)的停止位、AUX的数据位)均采用缺省值.
AUX口连接Modem用于Modem登录时,在AUX用户线视图下,还可以配置一些modem命令来管理Modem登录用户,具体配置步骤请参见"二层技术-广域网接入"中的"Modem管理".
请参照一下步骤来建立Modem连接:(1)如图3-14所示,建立远程配置环境,在PC机(或终端)的串口和设备的AUX口分别挂接Modem.
图3-14搭建远程配置环境(2)获取远程设备端AUX口(Console口)所连Modem上对应的电话号码.
(3)在与设备直接相连的Modem上进行以下配置.
AT&F-Modem恢复出厂配置ATS0=1-配置自动应答(振铃一声)AT&D-忽略DTR信号AT&K0-禁止流量控制AT&R1-忽略RTS信号AT&S0-强制DSR为高电平ATEQ1&W-禁止modem回送命令响应和执行结果并存储配置在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果.
3-20各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行.
(4)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图3-15至图3-17所示.
如果PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助.
(5)在远端通过终端仿真程序和Modem向设备拨号.
图3-15新建连接图3-16拨号号码配置3-21图3-17在远端PC机上拨号(6)当听到拨号音后,如果AUX用户线的认证方式为none,则在超级终端上键入回车键之后将出现命令行提示符(如),如图3-18所示.
如果AUX用户线的认证方式为password或scheme,则在超级终端上需键入合法的用户名/密码之后才会出现命令行提示符.
图3-18AUX登录界面当您想断开PC与远端设备的连接时,首先在超级终端中用"ATH"命令断开modem间的连接.
如果在超级终端窗口无法输入此命令,可输入"AT+++"并回车,待窗口显示"OK"提示后再输入"ATH"命令,屏幕再次显示"OK"提示,表示已断开本次连接.
您也可以使用超级终端页面提供的挂断按扭断开PC与远端设备的连接.
当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功.
3.
6CLI登录显示和维护表3-17CLI显示和维护操作命令说明显示当前正在使用的用户线以及用户的相关信息displayusers在任意视图下执行3-22操作命令说明显示设备支持的所有用户线以及用户的相关信息displayusersall在任意视图下执行显示用户线的相关信息displayline[num1|{aux|console|tty|vty}num2][summary]在任意视图下执行显示设备作为Telnet客户端的相关配置信息displaytelnetclient在任意视图下执行释放指定的用户线freeline{num1|{aux|console|tty|vty}num2}在用户视图下执行系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其它在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其它用户干扰时,可以使用以下命令强制断开该用户的连接不能使用该命令释放用户当前自己使用的连接锁住当前用户线,防止未授权的用户操作该线lock在用户视图下执行缺省情况下,系统不会自动锁住当前用户线FIPS模式下,不支持此命令向指定的用户线发送消息send{all|num1|{aux|console|tty|vty}num2}在用户视图下执行4-14配置通过SNMP登录设备使用SNMP协议,用户可通过NMS(NetworkManagementSystem,网络管理系统)登录到设备上,通过Set和Get等操作对设备进行管理、配置,如图4-1所示.
设备支持多种NMS软件,如iMC等.
图4-1通过SNMP登录设备组网图缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,首先需要通过Console口登录到设备上,在设备上进行相关配置.
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本,只有NMS和Agent使用的SNMP版本相同,NMS才能和Agent建立连接.
请根据使用的SNMP版本选择对应的配置步骤,见表4-1或表4-2.
配置完成后,即可使用NMS网管的方式登录设备.
关于SNMP的详细介绍及配置,请参见"网络管理和监控配置指导"中的"SNMP".
表4-1配置SNMP基本参数(SNMPv3版本)操作命令说明进入系统视图system-view-启动SNMPAgent服务snmp-agent缺省情况下,SNMPAgent服务处于关闭状态(可选)创建MIB视图或更新MIB视图内容snmp-agentmib-view{excluded|included}view-nameoid-tree[maskmask-value]缺省情况下,设备上已创建了四个视图,视图名均为ViewDefault:视图一包含MIB子树iso视图二不包含子树snmpUsmMIB视图三不包含子树snmpVacmMIB视图四不包含子树snmpModules.
18创建SNMPv3组snmp-agentgroupv3group-name[authentication|privacy][read-viewview-name][write-viewview-name][notify-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*缺省情况下,设备上没有配置SNMP组创建SNMPv3用户snmp-agentusm-userv3user-namegroup-name[remote{ip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]][{cipher|simple}authentication-mode{md5|sha}auth-password[privacy-mode{aes128|des56}priv-password]][aclacl-number|aclipv6ipv6-acl-number]*当设备需要向目的主机发送SNMPv3Inform信息时,remoteip-address参数必选AgentNMSMIBGet/SetrequestsGet/SetresponsesandTraps4-2表4-2配置SNMP基本参数(SNMPv1版本、SNMPv2c版本)操作命令说明进入系统视图system-view-启动SNMPAgent服务snmp-agent缺省情况下,SNMPAgent服务处于关闭状态(可选)创建MIB视图或更新MIB视图内容snmp-agentmib-view{excluded|included}view-nameoid-tree[maskmask-value]缺省情况下,设备上已创建了四个视图,视图名均为ViewDefault:视图一包含MIB子树iso视图二不包含子树snmpUsmMIB视图三不包含子树snmpVacmMIB视图四不包含子树snmpModules.
18设置访问权限直接设置创建一个新的SNMP团体snmp-agentcommunity{read|write}community-name[mib-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*二者选其一直接设置是以SNMPv1和SNMPv2c版本的团体名进行设置间接设置采用与SNMPv3版本一致的命令形式,添加的用户到指定的组,即相当于SNMPv1和SNMPv2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致间接设置设置一个SNMP组snmp-agentgroup{v1|v2c}group-name[read-viewview-name][write-viewview-name][notify-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*为一个SNMP组添加一个新用户snmp-agentusm-user{v1|v2c}user-namegroup-name[aclacl-number|aclipv6ipv6-acl-number]*5-15对登录用户的控制通过引用ACL(AccessControlList,访问控制列表),可以对访问设备的登录用户进行控制:当未引用ACL、或者引用的ACL不存在、或者引用的ACL为空时,允许所有登录用户访问设备;当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,以免非法用户使用Telnet/SSH访问设备.
关于ACL的详细描述和介绍请参见"ACL和QoS配置指导"中的"ACL".
用户登录后,可以通过AAA功能来对用户使用的命令行进行授权和计费.
5.
1配置对Telnet/SSH用户的控制5.
1.
1配置准备确定了对Telnet/SSH的控制策略,包括对哪些源IP、目的IP、源MAC等参数进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL.
5.
1.
2配置对Telnet/SSH用户的控制表5-1配置对Telnet用户的控制操作命令说明进入系统视图system-view-使用ACL限制哪些Telnet客户端可以访问设备telnetserveraclacl-number请根据需要选择缺省情况下,没有使用ACL限制Telnet客户端telnetserveripv6acl[ipv6]acl-number表5-2配置对SSH用户的控制操作命令说明进入系统视图system-view-使用ACL限制哪些SSH客户端可以访问设备sshserveraclacl-number请根据需要选择缺省情况下,没有使用ACL限制SSH客户端sshserveracl和sshserveripv6acl命令的详细介绍请参见"安全命令参考"中的"SSH"sshserveripv6acl[ipv6]acl-number5-25.
1.
3配置举例1.
组网需求通过源IP对Telnet进行控制,仅允许来自10.
110.
100.
52和10.
110.
100.
46的Telnet用户访问设备.
2.
组网图图5-1使用ACL对Telnet用户进行控制3.
配置步骤#定义ACL.
system-view[Sysname]aclnumber2000match-orderconfig[Sysname-acl-basic-2000]rule1permitsource10.
110.
100.
520[Sysname-acl-basic-2000]rule2permitsource10.
110.
100.
460[Sysname-acl-basic-2000]quit#引用ACL,允许源地址为10.
110.
100.
52和10.
110.
100.
46的Telnet用户访问设备.
[Sysname]telnetserveracl20005.
2配置对NMS的控制5.
2.
1配置准备确定了对NMS的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL.
5.
2.
2配置对NMS的控制表5-3配置对NMS的控制操作命令说明进入系统视图system-view-在配置SNMP团体名的命令中引用ACLsnmp-agentcommunity{read|write}community-name[mib-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组5-3操作命令说明在配置SNMPv1/SNMPv2c组名的命令中引用ACLsnmp-agentgroup{v1|v2c}group-name[read-viewview-name][write-viewview-name][notify-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*名或者用户名配置时引用访问控制列表,详细介绍请参见"网络管理和监控配置指导"中的"SNMP"在配置SNMPv3组名的命令中引用ACLsnmp-agentgroupv3group-name[authentication|privacy][read-viewview-name][write-viewview-name][notify-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*在配置SNMPv1/SNMPv2c用户名的命令中引用ACLsnmp-agentusm-user{v1|v2c}user-namegroup-name[aclacl-number|aclipv6ipv6-acl-number]*在配置SNMPv3用户名的命令中引用ACLsnmp-agentusm-userv3user-namegroup-name[remote{ip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]][{cipher|simple}authentication-mode{md5|sha}auth-password[privacy-mode{aes128|des56}priv-password]][aclacl-number|aclipv6ipv6-acl-number]*5.
2.
3配置举例1.
组网需求通过源IP对NMS进行控制,仅允许来自10.
110.
100.
52和10.
110.
100.
46的NMS访问设备.
2.
组网图图5-2使用ACL对NMS进行控制3.
配置步骤#定义基本ACL.
system-view[Sysname]aclnumber2000match-orderconfig[Sysname-acl-basic-2000]rule1permitsource10.
110.
100.
520[Sysname-acl-basic-2000]rule2permitsource10.
110.
100.
460[Sysname-acl-basic-2000]quit5-4#引用ACL,仅允许来自10.
110.
100.
52和10.
110.
100.
46的NMS访问设备.
[Sysname]snmp-agentcommunityreadaaaacl2000[Sysname]snmp-agentgroupv2cgroupaacl2000[Sysname]snmp-agentusm-userv2cuseragroupaacl20005.
3配置命令行授权功能5.
3.
1配置步骤缺省情况下,用户登录设备后可以使用的命令行由用户拥有的用户角色决定.
当用户线采用AAA认证方式并配置命令行授权功能后,用户可使用的命令行将受到用户角色和AAA授权的双重限制.
用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.
要使配置的命令行授权功能生效,还需要在ISP域视图下配置命令行授权方法.
命令行授权方法可以和login用户的授权方法相同,也可以不同.
相关详细介绍请参见"安全配置指导"中的"AAA".
表5-4配置命令行授权功能操作命令说明进入系统视图system-view-进入用户线视图line{first-number1[last-number1]|{aux|console|tty|vty}first-number2[last-number2]}二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线视图下进行配置时,则采用缺省值进入用户线类视图lineclass{aux|console|tty|vty}设置登录用户的认证方式为通过AAA认证authentication-modescheme缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证);用户通过AUX口登录,认证方式为password(即需要进行密码认证)如果设备上只有一个AUX口,而没有Console口(Console口与AUX口共用),则使用AUX用户线登录的用户不需要认证使能命令行授权功能commandauthorization缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权5.
3.
2配置举例1.
组网需求为了保证Device的安全,需要对登录用户执行命令的权限进行限制:用户HostA登录设备后,输入的命令必须先获得HWTACACS服务器的授权,才能执行.
否则,不能执行该命令.
如果HWTACACS服务器故障导致授权失败,则采用本地授权.
5-52.
组网图图5-3命令行授权配置组网图3.
配置步骤#在设备上配置IP地址,以保证Device和HostA、Device和HWTACACSserver之间互相路由可达.
(配置步骤略)#开启设备的Telnet服务器功能,以便用户访问.
system-view[Device]telnetserverenable#配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定.
[Device]linevty063[Device-line-vty0-63]authentication-modescheme#使能命令行授权功能,限制用户只能使用授权成功的命令.
[Device-line-vty0-63]commandauthorization[Device-line-vty0-63]quit#配置HWTACACS方案:授权服务器的IP地址:TCP端口号为192.
168.
2.
20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[Device]hwtacacsschemetac[Device-hwtacacs-tac]primaryauthentication192.
168.
2.
2049[Device-hwtacacs-tac]primaryauthorization192.
168.
2.
2049[Device-hwtacacs-tac]keyauthenticationsimpleexpert[Device-hwtacacs-tac]keyauthorizationsimpleexpert[Device-hwtacacs-tac]user-name-formatwithout-domain[Device-hwtacacs-tac]quit#配置缺省域的命令行授权AAA方案,使用HWTACACS方案.
[Device]domainsystem[Device-isp-system]authenticationloginhwtacacs-schemetaclocal[Device-isp-system]authorizationloginhwtacacs-schemetaclocal[Device-isp-system]authorizationcommandhwtacacs-schemetaclocal[Device-isp-system]accountingloginnone[Device-isp-system]quit#配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令.
[Device]local-usermonitorclassmanage5-6[Device-luser-manage-monitor]passwordsimple123[Device-luser-manage-monitor]service-typetelnet[Device-luser-manage-monitor]authorization-attributeuser-rolelevel-15.
4配置命令行计费功能5.
4.
1配置步骤当用户线采用AAA认证方式并配置命令行计费功能后,系统会将用户执行过的命令记录到HWTACACS服务器上,以便集中监视用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,则用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
要使配置的命令行计费功能生效,还需要在ISP域视图下配置命令行计费方法.
命令行计费方法、命令行授权方法、login用户的授权方法可以相同,也可以不同.
相关详细介绍请参见"安全配置指导"中的"AAA".
表5-5配置命令行计费功能操作命令说明进入系统视图system-view-进入用户线视图line{first-number1[last-number1]|{aux|console|tty|vty}first-number2[last-number2]}二者选其一如果进入的是用户线视图,则配置的是该用户线的属性,本命令只对该用户线生效且配置立即生效如果进入的是用户线类视图,则配置的是该类用户线属性的缺省值,本命令对该类用户线生效且缺省值修改后不会立即生效,当用户下次登录后所修改的缺省值才会生效用户线视图下的配置优先于用户线类视图下的配置.
当没有在用户线视图下进行配置时,则采用缺省值进入用户线类视图lineclass{aux|console|tty|vty}设置登录用户的认证方式为通过AAA认证authentication-modescheme缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证);用户通过AUX口登录,认证方式为password(即需要进行密码认证)如果设备上只有一个AUX口,而没有Console口(Console口与AUX口共用),则使用AUX用户线登录的用户不需要认证使能命令行计费功能commandaccounting缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行5.
4.
2配置举例1.
组网需求为便于集中控制、监控用户对设备的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录.
5-72.
组网图图5-4命令行计费配置组网图3.
配置步骤#开启设备的Telnet服务器功能,以便用户访问.
system-view[Device]telnetserverenable#配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录.
[Device]lineconsole0[Device-line-console0]commandaccounting[Device-line-console0]quit#配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录.
[Device]linevty063[Device-line-vty0-63]commandaccounting[Device-line-vty0-63]quit#配置HWTACACS方案:计费服务器的IP地址:TCP端口号为192.
168.
2.
20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[Device]hwtacacsschemetac[Device-hwtacacs-tac]primaryaccounting192.
168.
2.
2049[Device-hwtacacs-tac]primaryauthentication192.
168.
2.
2049[Device-hwtacacs-tac]keyauthenticationsimpleexpert[Device-hwtacacs-tac]keyaccountingsimpleexpert[Device-hwtacacs-tac]user-name-formatwithout-domain[Device-hwtacacs-tac]quit#配置缺省域的命令行计费AAA方案,使用HWTACACS方案.
[Device]domainsystem[Device-isp-system]accountingcommandhwtacacs-schemetac[Device-isp-system]authenticationloginhwtacacs-schemetac5-8[Device-isp-system]accountingloginhwtacacs-schemetac[Device-isp-system]authorizationloginnone[Device-isp-system]quiti目录1FTP·1-11.
1FTP简介1-11.
2配置FTP服务器1-21.
2.
1FTP服务器的基本配置·1-21.
2.
2配置FTP服务器的认证和授权·1-21.
2.
3释放已建立的FTP连接·1-31.
2.
4FTP服务器显示和维护·1-31.
2.
5FTP服务器典型配置举例(MSR2600/MSR3600)1-31.
2.
6FTP服务器典型配置举例(MSR5600)1-51.
3配置FTP客户端1-61.
3.
1建立FTP连接1-61.
3.
2操作FTP服务器上的目录1-81.
3.
3操作FTP服务器上的文件1-81.
3.
4更改登录用户·1-91.
3.
5FTP连接的维护与调试·1-91.
3.
6断开FTP连接1-101.
3.
7显示帮助信息·1-101.
3.
8FTP客户端显示和维护·1-101.
3.
9FTP客户端典型配置举例(MSR2600/MSR3600)1-111.
3.
10FTP客户端典型配置举例(MSR5600)1-122TFTP·2-12.
1TFTP简介·2-12.
2配置TFTP客户端2-11-11FTP设备运行于FIPS模式时,不支持本特性.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1FTP简介FTP(FileTransferProtocol,文件传输协议)用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议.
FTP协议使用TCP端口20和21进行传输.
端口20用于传输数据,端口21用于传输控制消息.
FTP协议基本操作在RFC959中进行了描述.
FTP有两种文件传输模式:二进制模式,用于传输程序文件(比如后缀名为.
app、.
bin和.
btm的文件);ASCII码模式,用于传输文本格式的文件(比如后缀名为.
txt、.
bat和.
cfg的文件).
缺省情况下,FTP服务器传输模式为ASCII码模式.
FTP有两种工作方式:主动方式(PORT):建立数据连接时由FTP服务器发起连接请求,当FTP客户端处于防火墙后时不适用(如FTP客户端处于私网内).
被动方式(PASV):建立数据连接时由FTP客户端发起连接请求,当FTP服务器限制客户端连接其高位端口(一般情况下大于1024)时不适用.
是否使用被动方式由FTP客户端程序决定,不同FTP客户端软件对FTP工作方式的支持情况可能不同,请在使用时以软件的实际情况为准.
设备可以作为FTP服务器,也可以作为FTP客户端.
图1-1FTP组网应用示意图在建立FTP连接前请确保FTP服务器与FTP客户端之间路由可达,否则,连接建立失败.
1-21.
2配置FTP服务器当设备作为FTP服务器时,可以进行如下配置.
1.
2.
1FTP服务器的基本配置表1-1配置FTP服务器操作命令说明进入系统视图system-view-启动FTP服务器功能ftpserverenable缺省情况下,FTP服务器功能处于关闭状态(可选)使用ACL(AccessControlList,访问控制列表)限制哪些FTP客户端可以访问设备ftpserveracl{acl-number|ipv6acl-number6}缺省情况下,没有使用ACL限制FTP客户端(可选)配置FTP服务器的连接空闲时间ftptimeoutminutes缺省情况下,连接空闲时间为30分钟如果在设置的连接空闲时间到期时,FTP服务器和客户端一直没有信息交互,则断开它们之间的连接(可选)配置FTP服务器发送的FTP报文的DSCP优先级ftpserverdscpdscp-value二者选其一缺省情况下,FTP服务器发送的FTP报文的DSCP优先级为0,FTP服务器发送的IPv6FTP报文的DSCP优先级为0(可选)配置FTP服务器发送的IPv6FTP报文的DSCP优先级ftpserveripv6dscpdscp-value(可选)配置使用FTP方式同时登录设备的在线的最大用户连接数aaasession-limitftpmax-sessions配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败关于该命令的详细描述请参见"安全配置指导"中的"AAA"1.
2.
2配置FTP服务器的认证和授权只有认证通过并授权成功的用户,才能通过FTP访问设备上的指定路径.
在设备在对FTP客户端进行认证时,有以下两种方式:本地认证:设备作为认证服务器,在本设备上验证FTP客户端的用户名和密码是否合法.
远程认证:远程认证是指设备将用户输入的用户名/密码发送给远端的认证服务器,由认证服务器来验证用户名/密码是否匹配.
在设备在对FTP客户端进行授权时,有以下两种方式:本地授权:设备给FTP客户端授权,指定FTP客户端可以使用设备上的某个路径.
远程授权:远程服务器给FTP客户端授权,指定FTP客户端可以使用设备上的某个路径.
关于认证和授权的详细配置请参见"安全配置指导"中的"AAA".
1-31.
2.
3释放已建立的FTP连接表1-2释放已建立的FTP连接操作命令说明强制释放与指定用户之间的FTP连接freeftpuserusername二者必选其一强制释放与指定IP地址的主机之间的FTP连接freeftpuser-ip[ipv6]client-address[portport-num]1.
2.
4FTP服务器显示和维护完成上述配置后,在任意视图下执行display命令可以显示FTP服务器的配置和运行情况,通过查看显示信息验证配置的效果.
表1-3FTP服务器显示和维护操作命令查看当前FTP服务器的配置和运行情况displayftp-server查看当前FTP登录用户的详细情况displayftp-user1.
2.
5FTP服务器典型配置举例(MSR2600/MSR3600)配置举例中的显示信息以MSR3600为例.
1.
组网需求Device作为FTP服务器,PC作为FTP客户端.
将存储在PC上的文件temp.
bin上传到FTP服务器,并使用FTP功能备份Device的启动配置文件.
FTP客户端登录FTP服务器的用户名为abc,密码为123456.
2.
组网图图1-2FTP服务器典型配置组网图1-43.
配置步骤配置前请确保Device和PC之间路由可达,IP地址如图1-2所示,具体配置步骤略.
(1)配置Device(FTPserver)#在Device上添加一个FTP用户abc,并设置其认证密码为123456,访问时使用的用户角色为network-admin,授权访问目录为CF卡的根目录,abc可以使用的服务类型为FTP.
system-view[Sysname]local-userabcclassmanage[Sysname-luser-abc]passwordsimple123456[Sysname-luser-abc]authorization-attributeuser-rolenetwork-adminwork-directorycfa0:/[Sysname-luser-abc]service-typeftp[Sysname-luser-abc]quit#启动Device的FTP服务功能.
[Sysname]ftpserverenable[Sysname]quit#删除Device中的多余文件,以保证剩余足够的空间,用于存储需要上传的文件.
dirDirectoryofcfa0:0-rw-0Sep27201014:43:34kernel.
bin1-rw-0Sep27201014:43:34base.
bin2drw--Jun29201118:30:38logfile3drw--Jun21201114:51:38diagfile4drw--Jun21201114:51:38seclog5-rw-2943Jul02201108:03:08startup.
cfg6-rw-63901Jul02201108:03:08startup.
mdb7-rw-716Jun21201114:58:02hostkey8-rw-572Jun21201114:58:02serverkey9-rw-6541264Aug04201120:40:49backup.
bin262144KBtotal(146560KBfree)delete/unreservedcfa0:/backup.
bin(2)配置PC(FTPclient)#以用户名abc、密码123456登录FTP服务器.
c:\>ftp1.
1.
1.
1Connectedto1.
1.
1.
1.
220FTPserviceready.
User(1.
1.
1.
1:(none)):abc331Passwordrequiredforabc.
Password:230Userloggedin.
#将传输模式设置为ascii,并将Device的配置文件startup.
cfg下载到PC本地进行备份.
ftp>ascii200TYPEisnowASCIIftp>getstartup.
cfgback-startup.
cfg#将传输模式设置为binary,并上传文件temp.
bin到Device.
ftp>binary1-5200TYPEisnow8-bitbinaryftp>puttemp.
bin#退出FTP.
ftp>bye1.
2.
6FTP服务器典型配置举例(MSR5600)1.
组网需求Device作为FTP服务器,PC作为FTP客户端.
将存储在PC上的文件temp.
bin上传到FTP服务器,并使用FTP功能备份Device的启动配置文件.
FTP客户端登录FTP服务器的用户名为abc,密码为123456.
2.
组网图图1-3FTP服务器典型配置组网图3.
配置步骤配置前请确保Device和PC之间路由可达,IP地址如图1-3所示,具体配置步骤略.
(1)配置Device(FTPserver)#在Device上添加一个本地用户abc,并设置其认证密码为123456,访问时使用的用户角色为network-admin,授权访问目录为CF卡的根目录,abc可以使用的服务类型为FTP.
system-view[Sysname]local-userabcclassmanage[Sysname-luser-abc]passwordsimple123456[Sysname-luser-abc]authorization-attributeuser-rolenetwork-adminwork-directorycfa0:/如果要直接访问备用主控板(所在槽位号为1)CF卡的根目录,需要将"authorization-attributework-directorycfa0:/"配置中的"cfa0:/"替换成"slot1#cfa0:/".
[Sysname-luser-abc]service-typeftp[Sysname-luser-abc]quit#启动Device的FTP服务功能.
[Sysname]ftpserverenable[Sysname]quit#删除Device中的多余文件,以保证剩余足够的空间,用于存储需要上传的文件.
dirDirectoryofcfa0:0-rw-0Sep27201014:43:34kernel.
bin1-61-rw-0Sep27201014:43:34base.
bin2drw--Jun29201118:30:38logfile3drw--Jun21201114:51:38diagfile4drw--Jun21201114:51:38seclog5-rw-2943Jul02201108:03:08startup.
cfg6-rw-63901Jul02201108:03:08startup.
mdb7-rw-716Jun21201114:58:02hostkey8-rw-572Jun21201114:58:02serverkey9-rw-6541264Aug04201120:40:49backup.
bin507492KBtotal(295980KBfree)delete/unreservedcfa0:/backup.
bin(2)配置PC(FTPclient)#以用户名abc、密码123456登录FTP服务器.
c:\>ftp1.
1.
1.
1Connectedto1.
1.
1.
1.
220FTPserviceready.
User(1.
1.
1.
1:(none)):abc331Passwordrequiredforabc.
Password:230Userloggedin.
#将传输模式设置为ascii,并将Device的配置文件startup.
cfg下载到PC本地进行备份.
ftp>ascii200TYPEisnowASCIIftp>getstartup.
cfgback-startup.
cfg#将传输模式设置为binary,并上传文件temp.
bin到主用主控板存储介质的根目录下.
ftp>binary200TYPEisnow8-bitbinaryftp>puttemp.
bin#退出FTP.
ftp>bye1.
3配置FTP客户端1.
3.
1建立FTP连接FTP客户端要访问FTP服务器,必须先与FTP服务器建立连接.
连接的建立方式有两种,一种是使用ftp命令直接建立连接;一种是在FTP客户端视图下使用open命令间接建立连接.
在使用ftp命令建立FTP连接时,还可以进行源地址绑定.
源地址绑定可以通过指定源接口(建议使用LoopBack接口或Dailer接口)或源IP地址来实现.
表1-4建立FTP连接(IPv4组网环境)操作命令说明进入系统视图system-view-1-7操作命令说明(可选)在IPv4组网环境下配置FTP客户端发送的FTP报文的源地址ftpclientsource{interfaceinterface-typeinterface-number|ipsource-ip-address}缺省情况下,没有配置源地址,使用路由出接口的主IP地址作为设备发送FTP报文的源IP地址退回用户视图quit-在用户视图下直接登录FTP服务器ftpserver-address[service-port][vpn-instancevpn-instance-name][dscpdscp-value|source{interface{interface-name|interface-typeinterface-number}|ipsource-ip-address}]*二者必选其一ftp命令直接在用户视图下执行;open命令在FTP客户端视图下执行在FTP客户端视图下间接登录FTP服务器ftpopenserver-address[service-port]使用ftpclientsource命令指定了源地址后,又在ftp命令中指定了源地址,则采用ftp命令中指定的源地址进行通信.
表1-5建立FTP连接(IPv6组网环境)操作命令说明进入系统视图system-view-(可选)在IPv6组网环境下配置FTP客户端发送的FTP报文的源地址ftpclientipv6source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}缺省情况下,没有配置源地址,设备自动选择IPv6FTP报文的源IPv6地址,具体选择原则请参见RFC3484退回用户视图quit-在用户视图下直接登录FTP服务器ftpipv6server-address[service-port][vpn-instancevpn-instance-name][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6source-ipv6-addressiinterface-typeinterface-number]二者必选其一ftpipv6命令直接在用户视图下执行;open命令在FTP客户端视图下执行在FTP客户端视图下间接登录FTP服务器ftpipv6openserver-address[service-port]使用ftpclientipv6source命令指定了源地址后,又在ftpipv6命令中指定了源地址,则采用ftpipv6命令中指定的源地址进行通信.
1-81.
3.
2操作FTP服务器上的目录当设备作为FTP客户端,与FTP服务器成功建立连接后,在FTP服务器的授权目录下,用户可以进行创建、删除文件夹等操作.
表1-6操作FTP服务器上的目录操作命令说明查看FTP服务器上的目录/文件的详细信息dir[remotefile[localfile]]二者选其一ls[remotefile[localfile]]切换FTP服务器上的工作路径cd{directory退出FTP服务器的当前目录,返回FTP服务器的上一级目录cdup-显示当前用户正在访问的FTP服务器上的路径pwd-在FTP服务器上创建目录mkdirdirectory-删除FTP服务器上指定的目录rmdirdirectory-1.
3.
3操作FTP服务器上的文件当设备作为FTP客户端,与FTP服务器成功建立连接后,在FTP服务器的授权目录下,用户可以通过以下操作,向FTP服务器上传或从FTP服务器下载文件,推荐使用以下步骤:(1)使用dir或者ls命令了解FTP服务器上的目录结构以及文件所处的位置.
(2)删除过时文件,以便有效利用存储空间.
(3)设置传输模式.
FTP传输文件有两种模式:一种是ASCII码模式,用于传输文本文件;另一种是二进制模式,用于传输程序文件.
(4)使用lcd命令显示或切换FTP客户端本地的工作路径.
无论使用相对路径还是绝对路径进行上传/下载操作,上传的将是该路径下的文件,文件下载后也将保存到该路径下.
(5)进行上传/下载操作.
表1-7操作FTP服务器上的文件操作命令说明查看FTP服务器上的目录/文件的详细信息dir[remotefile[localfile]]二者选其一ls[remotefile[localfile]]彻底删除FTP服务器上的指定文件deleteremotefile-设置FTP文件传输的模式为ASCII模式ascii缺省情况下,文件传输模式为ASCII模式设置FTP文件传输的模式为二进制模式binary缺省情况下,文件传输模式为ASCII模式切换数据的传输方式passive缺省情况下,数据传输的方式为被动方式1-9操作命令说明显示或切换FTP客户端本地的工作路径lcd[directory|/]-上传本地文件到FTP服务器putlocalfile[remotefile]-下载FTP服务器上的文件getremotefile[localfile]-在原文件的内容后面添加新文件的内容appendlocalfile[remotefile]-指定重传点restartmarker配合put、get、append等命令使用更新本地文件newerremotefile-从本地文件的尾部开始获取文件的剩余内容regetremotefile[localfile]-重命名文件rename[oldfilename[newlfilename]]-1.
3.
4更改登录用户当设备作为FTP客户端,与FTP服务器连接建立成功后,可以更改登录用户.
该功能通常用于不同权限用户之间的切换,用户的成功切换不会影响当前的FTP连接(即FTP控制连接、数据连接以及连接状态都不变);如果输入的用户名/密码错误,则会断开当前连接,用户必须重新登录才能继续访问FTP服务器.
表1-8更改登录用户操作命令说明成功登录FTP服务器后,使用其他用户身份重新登录userusername[password]-1.
3.
5FTP连接的维护与调试当设备作为FTP客户端,与FTP服务器连接建立成功后,通过以下命令,可以帮助用户定位和诊断FTP连接过程中出现的问题.
表1-9FTP连接的维护与调试操作命令说明显示FTP服务器支持的FTP相关协议命令字rhelp-显示FTP服务器支持的FTP相关协议命令字的帮助信息rhelpprotocol-command-显示FTP服务器的状态rstatus-显示FTP服务器上指定目录或文件的详细信息rstatusremotefile-显示当前FTP连接的状态status-显示FTP服务器的系统信息system-1-10操作命令说明切换FTP功能的协议信息开关verbose缺省情况下,FTP协议信息开关处于开启状态打开FTP调试信息开关debug缺省情况下,FTP客户端调试信息开关处于关闭状态清除缓存的命令应答reset-1.
3.
6断开FTP连接当设备作为FTP客户端,与FTP服务器连接建立成功后,可以使用以下任意一条命令来断开FTP连接.
表1-10断开FTP连接操作命令说明不退出FTP客户端视图的前提下,断开与FTP服务器的连接disconnect二者选其一在FTP客户端视图下执行close断开与FTP服务器的连接,并退回到用户视图bye二者选其一在FTP客户端视图下执行quit1.
3.
7显示帮助信息当设备作为FTP客户端,与FTP服务器连接建立成功后,可以使用以下任意一条命令显示命令或命令的帮助信息.
表1-11显示帮助信息操作命令说明显示命令或命令的帮助信息help[command-name]二者选其一[command-name]1.
3.
8FTP客户端显示和维护在完成上述配置后,可在任意视图下执行display命令,通过查看显示信息验证配置的效果.
表1-12FTP客户端显示和维护操作命令显示设备作为FTP客户端时的源地址配置displayftpclientsource1-111.
3.
9FTP客户端典型配置举例(MSR2600/MSR3600)1.
组网需求Device作为FTP客户端,PC作为FTP服务器.
Device从PC上下载文件temp.
bin,并将启动配置文件上传到PC进行备份.
PC上已设置Device登录FTP服务器的用户名为abc,密码为123456.
2.
组网图图1-4FTP客户端典型配置组网图3.
配置步骤如果设备剩余的内存空间不够,请使用delete/unreservedfile-url命令删除部分暂时不用的文件后再执行以下操作.
配置前请确保Device和PC之间路由可达,IP地址如图1-4所示,具体配置步骤略.
#以用户名abc、密码123456登录FTP服务器.
ftp10.
1.
1.
1Connectedto10.
1.
1.
1(10.
1.
1.
1).
220WFTPD2.
0service(byTexasImperialSoftware)readyfornewuserUser(10.
1.
1.
1:(none)):abc331Givemeyourpassword,pleasePassword:230LoggedinsuccessfullyRemotesystemtypeisMSDOS.
ftp>#将传输模式设置为binary,以便传输文件.
ftp>binary200TYPEisnow8-bitbinary#将文件temp.
bin从FTP服务器下载到Device.
ftp>gettemp.
binlocal:temp.
binremote:temp.
bin150Connectingtoport47457226Filesuccessfullytransferred23951480bytesreceivedin95.
399seconds(251.
0kbyte/s)#将Device的配置文件startup.
cfg上传到FTP服务器进行备份.
ftp>ascii1-12200TYPEisnowASCIIftp>putstartup.
cfgback-startup.
cfglocal:startup.
cfgremote:back-startup.
cfg150Connectingtoport47461226Filesuccessfullytransferred3494bytessentin5.
646seconds(618.
00kbyte/s)ftp>bye221-Goodbye.
Youuploaded2anddownloaded2kbytes.
221Logout.
1.
3.
10FTP客户端典型配置举例(MSR5600)1.
组网需求Device作为FTP客户端,PC作为FTP服务器.
Device从PC上下载文件temp.
bin,并将启动配置文件上传到PC进行备份.
PC上已设置Device登录FTP服务器的用户名为abc,密码为123456.
2.
组网图图1-5FTP客户端典型配置组网图3.
配置步骤如果设备剩余的内存空间不够,请使用delete/unreservedfile-url命令删除部分暂时不用的文件后再执行以下操作.
配置前请确保Device和PC之间路由可达,IP地址如图1-5所示,具体配置步骤略.
#以用户名abc、密码123456登录FTP服务器.
ftp10.
1.
1.
1Connectedto10.
1.
1.
1(10.
1.
1.
1).
220WFTPD2.
0service(byTexasImperialSoftware)readyfornewuserUser(10.
1.
1.
1:(none)):abc331Givemeyourpassword,pleasePassword:230LoggedinsuccessfullyRemotesystemtypeisMSDOS.
ftp>#将传输模式设置为binary,以便传输文件.
1-13ftp>binary200TYPEisnow8-bitbinary#将文件temp.
bin从FTP服务器下载到Device.
将文件temp.
bin从FTP服务器下载到主用主控板存储介质的根目录下.
ftp>gettemp.
binlocal:temp.
binremote:temp.
bin150Connectingtoport47457226Filesuccessfullytransferred23951480bytesreceivedin95.
399seconds(251.
0kbyte/s)将文件temp.
bin从FTP服务器下载到备用主控板(所在槽位号为1)存储介质的根目录下.
ftp>gettemp.
binslot1#cfa0:/temp.
bin#将Device的启动配置文件startup.
cfg上传到FTP服务器进行备份.
ftp>ascii200TYPEisnowASCIIftp>putstartup.
cfgback-startup.
cfglocal:startup.
cfgremote:back-startup.
cfg150Connectingtoport47461226Filesuccessfullytransferred3494bytessentin5.
646seconds(618.
00kbyte/s)ftp>bye221-Goodbye.
Youuploaded2anddownloaded2kbytes.
221Logout.
2-12TFTP设备运行于FIPS模式时,不支持本特性.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
2.
1TFTP简介TFTP(TrivialFileTransferProtocol,简单文件传输协议)用于在TFTP服务器和TFTP客户端之间传输文件.
它基于UDP协议,使用UDP端口建立连接、收/发数据报文.
与基于TCP的FTP协议比较,TFTP不需要认证,没有复杂的报文交互,部署简单,适用于客户端和服务器均很可靠的网络环境.
目前,设备只能作为TFTP客户端,不支持作为TFTP服务器.
图2-1TFTP组网示意图2.
2配置TFTP客户端当设备作为TFTP客户端时,可以把设备的文件上传到TFTP服务器,还可以从TFTP服务器下载文件到设备.
如果下载时设备上已经存在一个和目标文件名同名的文件,则系统会先将设备上已有的文件删除,再保存远端文件.
如果下载失败(如网络断开等原因),则原文件已被删除,无法恢复.
因此,当下载启动文件或配置文件等重要文件时,建议使用一个当前目录下不存在的文件名作为目标文件名.
表2-1配置IPv4TFTP客户端操作命令说明进入系统视图system-view-使用ACL限制设备可访问哪些TFTP服务器tftp-serveraclacl-number可选缺省情况下,没有使用ACL对设备可访问的TFTP服务器进行限制配置TFTP客户端的源地址tftpclientsource{interfaceinterface-typeinterface-number|ipsource-ip-address}缺省情况下,没有配置源地址,使用路由出接口的主IP地址作为设备发送TFTP报文的源IP地址退回用户视图quit-2-2操作命令说明在IPv4网络,用TFTP上传/下载文件tftpserver-address{get|put|sget}source-filename[destination-filename][vpn-instancevpn-instance-name][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipsource-ip-address}]*使用tftpclientsource命令指定了源地址后,又在tftp命令中指定了源地址,则采用tftp命令中指定的源地址进行通信该命令在用户视图下执行表2-2配置IPv6TFTP客户端操作命令说明进入系统视图system-view-(可选)在IPv6网络,使用ACL限制设备可访问哪些TFTP服务器tftp-serveripv6aclacl-number缺省情况下,没有使用ACL对设备可访问的TFTP服务器进行限制在IPv6网络,配置TFTP客户端的源地址tftpclientipv6source{interfaceinterface-typeinterface-number|ipv6source-ip-address}缺省情况下,没有配置源地址,设备自动选择IPv6TFTP报文的源IPv6地址,具体选择原则请参见RFC3484退回用户视图quit-在IPv6网络,用TFTP上传/下载文件tftpipv6tftp-ipv6-server[-iinterface-typeinterface-number]{get|put|sget}source-filename[destination-filename][vpn-instancevpn-instance-name][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}]*使用tftpclientipv6source命令指定了源地址后,又在tftpipv6命令中指定了源地址,则采用tftpipv6命令中指定的源地址进行通信该命令在用户视图下执行i目录1文件系统管理·1-11.
1文件系统·1-11.
1.
1文件系统简介·1-11.
1.
2存储介质的命名1-11.
1.
3文件名参数输入规则1-11.
2文件操作·1-31.
2.
1显示文件信息·1-31.
2.
2显示文件内容·1-31.
2.
3重命名文件·1-31.
2.
4拷贝文件1-41.
2.
5移动文件1-41.
2.
6压缩/解压缩文件1-41.
2.
7删除/恢复文件·1-41.
2.
8彻底删除回收站中的文件·1-51.
2.
9计算文件摘要·1-51.
3文件夹操作1-51.
3.
1显示文件夹信息1-61.
3.
2显示当前的工作路径1-61.
3.
3修改当前的工作路径1-61.
3.
4创建文件夹·1-61.
3.
5删除文件夹·1-61.
4存储介质操作·1-61.
4.
1恢复存储介质的空间1-71.
4.
2格式化存储介质1-71.
4.
3存储介质的挂载/卸载1-81.
5设置文件和文件夹操作时是否提示·1-81-11文件系统管理设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
MSR系列路由器各款型对于本节所描述的特性的支持情况有所不同,详细差异信息如下:型号特性描述MSR2600支持的储存设备支持FLASHMSR3600支持CF卡MSR5600支持CF卡1.
1文件系统1.
1.
1文件系统简介设备运行过程中所需要的文件(如:主机软件、配置文件等)保存在设备的存储介质中,为了方便用户对存储介质进行有效的管理,设备以文件系统的方式对这些文件进行管理.
文件/文件夹分为隐藏的、非隐藏的.
对于隐藏文件/文件夹,请不要修改或删除,以免影响对应功能;对于非隐藏的文件/文件夹,请完全了解它的作用后再执行文件/文件夹操作,以免误删重要文件/文件夹.
1.
1.
2存储介质的命名存储介质有多种类型,如Flash、CF卡、U盘等.
存储介质的命名遵循以下规则:如果设备上只支持一个同一类型的存储介质,则存储介质的名称就是存储介质类型名称.
例如flash、cfa0等.
1.
1.
3文件名参数输入规则在输入文件名参数时,请确保存储介质名(包括字符串slot)为全小写,文件夹和纯文件名不区分大小写.
否则,系统会提示错误信息"Thefileordirectorydoesn'texist.
".
在设备上执行文件系统操作时,文件名参数的输入需要遵循表1-1.
1-2表1-1文件名参数输入规则(MSR2600/MSR3600)格式说明举例file-name纯文件名(只有文件名而没有路径),表示当前路径下的文件a.
cfg表示当前目录下的a.
cfg文件[path/]file-name文件夹+纯文件名,表示当前路径指定文件夹下的指定文件.
path表示文件夹的名称,path参数可以输入多次,表示多级文件夹下的文件test/a.
cfg表示当前路径下test文件夹下的a.
cfg文件test/subtest/a.
cfg表示当前路径下test文件夹下subtest子文件夹下的a.
cfg文件drive:/[path/]file-name存储介质+文件夹+纯文件名,表示设备上某块存储介质上的文件.
drive表示存储介质的名称,通常为flash或者cfa0如果设备上只有一个存储介质,可以不用给出存储介质的信息;如果设备上有多个存储介质,需要给出存储介质的信息以确定是哪块存储介质上的文件flash:/test/a.
cfg表示Flash根目录下test文件夹下的a.
cfg文件表1-2设备文件名参数输入规则(MSR5600)格式说明举例file-name纯文件名(只有文件名而没有路径),表示当前工作路径下的文件a.
cfg表示当前目录下的a.
cfg文件如果当前工作路径在主用主控板,则a.
cfg表示主用主控板上的a.
cfg文件如果当前工作路径在备用主控板,则a.
cfg表示备用主控板上的a.
cfg文件[path/]file-name文件夹+纯文件名,表示当前路径指定文件夹下的指定文件.
path表示文件夹的名称,path参数可以输入多次,表示多级文件夹下的文件test/a.
cfg表示当前路径下test文件夹下的a.
cfg文件test/subtest/a.
cfg表示当前路径下test文件夹下subtest子文件夹下的a.
cfg文件drive:/[path/]file-name存储介质+文件夹+纯文件名,表示设备上某块存储介质上的文件.
drive表示存储介质的名称,主用主控板上的存储介质表示为cfa0;备用主控板上的存储介质表示为slotn#cfa0,n为备用主控板所在的槽位号,如:slot1#cfa0.
可以使用displaydevice命令查看单板与槽位号的对应关系cfa0:/test/a.
cfg表示主用主控板上CF卡根目录下test文件夹下的a.
cfg文件slot1#cfa0:/a.
cfg表示备用主控板(槽位号为1)上CF卡根目录下的a.
cfg文件给文件/文件夹命名时,首字母请不要使用".
".
因为系统会把名称首字母为".
"的文件/文件夹当成隐藏文件/文件夹.
1-31.
2文件操作在进行文件操作过程中禁止对存储介质进行插拔操作.
否则,可能会引起文件系统的损坏.
(MSR2600/MSR3600)在进行文件操作过程中禁止对存储介质进行插拔或主备倒换操作.
否则,可能会引起文件系统的损坏.
(MSR5600)文件操作包括显示文件夹或文件信息、显示文件内容、重命名文件、拷贝文件、移动文件、删除文件、恢复删除的文件、彻底删除回收站中的文件、计算文件摘要.
创建文件可以通过拷贝、下载操作或save命令来辅助完成.
下载操作的详细介绍请参见"基础配置指导"中的"FTP"和"TFTP",save命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
当需要对U盘进行写文件操作,包括重命名文件、拷贝文件、移动文件、压缩/解压缩文件、删除/恢复文件,请确保没有将U盘写保护.
如果U盘写保护了,这些操作将执行失败.
其它文件操作不受写保护开关影响.
1.
2.
1显示文件信息表1-3显示文件信息操作命令说明显示文件夹或文件信息dir[/all][file-url|/all-filesystems]该命令在用户视图下执行1.
2.
2显示文件内容表1-4显示文件内容操作命令说明显示文本文件的内容morefile-url该命令在用户视图下执行1.
2.
3重命名文件表1-5重命名文件操作命令说明重命名文件renamefileurl-sourcefileurl-dest该命令在用户视图下执行1-41.
2.
4拷贝文件表1-6拷贝文件操作命令说明拷贝文件非FIPS模式下:copyfileurl-sourcefileurl-dest[vpn-instancevpn-instance-name][sourceinterfaceinterface-typeinterface-number]FIPS模式下:copyfileurl-sourcefileurl-dest该命令在用户视图下执行1.
2.
5移动文件表1-7移动文件操作命令说明移动文件movefileurl-sourcefileurl-dest该命令在用户视图下执行1.
2.
6压缩/解压缩文件表1-8压缩/解压缩文件操作命令说明压缩指定的文件gzipfilename该命令在用户视图下执行解压缩指定的文件gunzipfilename该命令在用户视图下执行1.
2.
7删除/恢复文件请不要对回收站中的文件执行delete命令,以免影响回收站功能.
若要删除回收站中的文件,请使用resetrecycle-bin命令.
用户可以永久删除或者暂时删除一个文件,永久删除的文件不能恢复,暂时删除的文件被系统自动放入了回收站,可以恢复.
表1-9删除/恢复文件操作命令说明删除文件并将文件放入回收站deletefile-url该命令在用户视图下执行1-5操作命令说明恢复回收站中的文件undeletefile-url该命令在用户视图下执行永久删除文件delete/unreservedfile-url该命令在用户视图下执行使用deletefile-url命令删除的文件,被保存在回收站中,仍会占用存储空间.
如果用户经常使用该命令删除文件,则可能导致设备的存储空间不足,请用户查看回收站中是否有废弃文件.
如果要彻底删除回收站中的废弃文件,必须执行resetrecycle-bin命令,才可以回收存储空间.
1.
2.
8彻底删除回收站中的文件表1-10彻底删除回收站中的文件操作命令说明彻底删除回收站中的文件resetrecycle-bin[/force]该命令在用户视图下执行1.
2.
9计算文件摘要使用摘要算法计算文件的摘要值,通常用于验证文件的正确性和完整性,防止文件内容被窜改.
例如,用户可以使用本命令计算出设备上的版本文件的摘要值,并与H3C网站上发布的该版本文件对应的摘要值进行比较,来验证该版本文件是否合法.
表1-11计算文件摘要操作命令说明使用SHA-256摘要算法计算文件的摘要值sha256sumfilename该命令在用户视图下执行1.
3文件夹操作当需要执行存储介质操作时,有以下注意事项:在进行文件夹操作过程中禁止对存储介质进行插拔操作.
否则,可能会引起文件系统的损坏.
(MSR2600/MSR3600)在进行文件夹操作过程中禁止对存储介质进行插拔或主备倒换操作.
否则,可能会引起文件系统的损坏.
(MSR5600)当需要对U盘进行写文件夹操作,包括创建文件夹、删除文件夹,请确保没有将U盘写保护.
如果U盘写保护了,这些操作将执行失败.
其它文件夹操作不受写保护开关影响.
1-61.
3.
1显示文件夹信息表1-12显示文件夹信息操作命令说明显示文件夹或文件信息dir[/all][file-url|/all-filesystems]该命令在用户视图下执行1.
3.
2显示当前的工作路径表1-13显示当前的工作路径操作命令说明显示当前的工作路径pwd该命令在用户视图下执行1.
3.
3修改当前的工作路径表1-14修改当前的工作路径操作命令说明修改当前的工作路径cd{directory|.
.
}该命令在用户视图下执行1.
3.
4创建文件夹表1-15创建文件夹操作命令说明创建文件夹mkdirdirectory该命令在用户视图下执行1.
3.
5删除文件夹在删除文件夹前,必须先永久删除或者暂时删除文件夹中的所有文件和子文件夹.
如果文件只是暂时删除,那么执行rmdir会将这些文件从回收站中彻底删除.
表1-16删除文件夹操作命令说明删除文件夹rmdirdirectory该命令在用户视图下执行1.
4存储介质操作当需要执行存储介质操作时,有以下注意事项:1-7在执行存储介质操作过程中,禁止对存储介质进行插拔操作.
否则,可能会引起文件系统的损坏.
(MSR2600/MSR3600)在执行存储介质操作过程中,禁止对单板或存储介质进行插拔或主备倒换操作.
否则,可能会引起文件系统的损坏.
(MSR5600)当用户占用可插拔存储介质的资源(如用户正在访问某个目录或正在打开文件等)时,存储介质被强制拔出.
此时,请先释放占用的存储介质的资源(如切换目录、关闭打开的文件等),再插入存储介质.
否则,存储介质被插入后可能不能被识别.
当需要对U盘进行写存储介质操作,包括恢复存储介质的空间、格式化存储介质,请确保没有将U盘写保护.
如果U盘写保护了,这些操作将执行失败.
其它存储介质操作不受写保护开关影响.
1.
4.
1恢复存储介质的空间由于异常操作等原因,存储介质的某些空间可能不可用,用户可以通过fixdisk命令来恢复存储介质的空间.
用户对存储介质执行fixdisk操作时,如果同时还有其他用户在访问该存储介质,系统会提示fixdisk操作失败.
表1-17恢复存储介质的空间操作命令说明恢复存储介质的空间fixdiskmedium-name该命令在用户视图下执行1.
4.
2格式化存储介质格式化操作将导致存储介质上的所有文件丢失,并且不可恢复,请谨慎使用.
用户对存储介质执行格式化操作时,如果同时还有其他用户在访问该存储介质,系统会提示格式化操作失败.
表1-18格式化存储介质操作命令说明格式化存储介质formatmedium-name该命令在用户视图下执行1-81.
4.
3存储介质的挂载/卸载刚插入USB接口的U盘,不允许立刻拔出,需要等待U盘被识别(即U盘上的指示灯不再闪烁),然后使用命令umount卸载U盘再拔出.
否则,可能会造成USB接口或U盘无法使用.
用户对存储介质执行umount操作时,如果同时还有其他用户在访问该存储介质,系统会提示umount操作失败.
支持热插拔的存储介质(如CF卡等),可以在用户视图下,使用mount和umount命令挂载和卸载该存储介质.
缺省情况下,存储介质连接到设备后,自动被挂载,可以直接使用.
如果系统未能自动识别插入的存储设备,则必须手动进行挂载操作后,才能对该存储介质执行读写操作.
卸载存储介质是逻辑上让存储介质处于非连接状态,此时,用户可以安全的拔出存储介质.
如果不卸载直接拔出存储介质,则可能引起文件损坏甚至存储介质损坏、不可用.
被卸载的存储介质需重新挂载方可使用.
表1-19存储介质的挂载/卸载操作命令说明挂载存储介质mountmedium-name缺省情况下,存储介质连接到设备后,自动被挂载,处于挂载状态,可以直接使用该命令在用户视图下执行卸载存储介质umountmedium-name缺省情况下,存储介质连接到设备后,自动被挂载,处于挂载状态,可以直接使用该命令在用户视图下执行1.
5设置文件和文件夹操作时是否提示用户可以通过命令行来设置执行文件和文件夹操作时是否提示:当设置为alert,并且用户对文件进行有危险性的操作时,系统会要求用户进行交互确认.
当设置为quiet,则用户对文件进行任何操作,系统均不要求用户进行确认.
该方式可能会导致一些因误操作而发生的、不可恢复的、对系统造成破坏的情况产生.
表1-20设置文件和文件夹操作时是否提示操作命令说明进入系统视图system-view-设置文件和文件夹操作时是否提示fileprompt{alert|quiet}缺省情况下,用户对文件进行有危险性的操作时,系统会要求用户进行交互确认i目录1配置文件管理·1-11.
1配置文件简介·1-11.
1.
1配置的类型·1-11.
1.
2配置文件的类型1-21.
1.
3配置文件的保存格式1-21.
1.
4配置文件的内容与格式1-21.
2保存当前配置·1-31.
2.
1使能配置文件加密功能1-31.
2.
2保存当前配置·1-31.
3配置回滚·1-41.
3.
1配置回滚简介·1-41.
3.
2备份当前配置·1-41.
3.
3执行配置回滚·1-61.
4管理下次启动配置文件·1-61.
4.
1设置下次启动配置文件1-61.
4.
2备份/恢复主用下次启动配置文件·1-71.
4.
3删除下次启动配置文件1-81.
5配置文件管理显示和维护1-81-11配置文件管理设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1配置文件简介配置文件是用来保存配置的文件.
配置文件主要用于:将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效.
使用配置文件,用户可以非常方便地查阅配置信息.
当网络中多台设备需要批量配置时,可以将相同的配置保存到配置文件,再上传/下载到所有设备,在所有设备上执行该配置文件来实现设备的批量配置.
1.
1.
1配置的类型1.
出厂配置设备在出厂时,通常会带有一些基本的配置,称为出厂配置.
它用来保证设备在没有配置文件或者配置文件损坏的情况下,能够正常启动、运行.
可以使用displaydefault-configuration命令查看设备的出厂配置.
出厂配置可能与命令行的缺省情况不一致,不同型号的设备会根据需要定制各自的出厂配置.
2.
启动配置设备启动时运行的配置即为启动配置.
如果没有指定启动配置文件或者启动配置文件损坏,则系统会使用出厂配置作为启动配置.
可以通过以下方式查看启动配置:设备启动后且还没有进行配置前,使用displaycurrent-configuration命令查看.
使用displaystartup命令查看本次启动使用的配置文件,再使用more命令查看该配置文件的内容.
(more命令的详细介绍请参见"基础配置命令参考"中"文件系统管理")3.
当前配置系统当前正在运行的配置称为当前配置.
它包括启动配置和设备运行过程中用户进行的配置.
当前配置存放在设备的临时缓存中,如果不保存,设备运行过程中用户进行的配置在设备重启后会丢失.
可以使用displaycurrent-configuration命令查看设备的当前配置.
1-21.
1.
2配置文件的类型配置文件是用来保存配置的文件,设备上可以同时存在多个配置文件.
设备本次启动使用的配置文件称为启动配置文件;设备下次启动使用的配置文件称为下次启动配置文件.
为了安全起见,用户可以配置两个下次启动配置文件,一个为主用,一个为备用.
系统启动时,配置文件的选择遵循以下规则:(1)优先使用主用下次启动配置文件.
(2)如果主用下次启动配置文件不存在或损坏,再使用备用下次启动配置文件.
(3)如果主用和备用下次启动配置文件都不存在或损坏,则使用出厂配置启动.
1.
1.
3配置文件的保存格式用户执行save命令保存配置时,系统会自动生成一个字符串类型的配置文件和一个二进制类型的配置文件.
字符串类型的配置文件是一个文本文件,文件名后缀为".
cfg",可以通过more命令查看该文件的内容.
二进制类型的配置文件是字符串类型的配置文件的二进制格式,文件名后缀为".
mdb".
在设备启动和运行时,系统软件能够解析该类配置文件,而用户却不能读取和编辑文件内容.
两个文件保存的配置相同,但格式不同.
设备启动的时候,会优先使用二进制类型的配置文件,以便提高加载配置的速度.
如果没有找到合适的二进制类型的配置文件,才使用字符串类型的配置文件.
设备启动的时候,会先根据配置查找指定名称的字符串类型的配置文件是否存在,如果存在,再查找对应的二进制类型的配置文件是否存在,如果存在,再判断两个文件的内容是否一致,一致才使用二进制类型的配置文件启动设备,不一致,还是使用字符串类型的配置文件启动设备.
因此,二进制类型的配置文件不能单独存在,必须有对应的字符串类型的配置文件才有意义.
字符串类型的配置文件可以没有对应的二进制类型的配置文件而单独存在.
如无特殊说明,下文描述的配置文件均指字符串类型的配置文件.
1.
1.
4配置文件的内容与格式配置文件对内容和格式有严格定义,为保证配置文件的正确运行,请尽量使用设备自动生成的配置文件.
如果要手工修改配置文件,请遵循配置文件的内容与格式规则.
配置文件的内容与格式规则如下:配置文件的内容为命令的完整形式.
配置文件以命令视图为基本框架,同一命令视图的命令组织在一起,形成一节,节与节之间用注释行隔开(以"#"开始的为注释行).
以return结束.
下面摘录了配置文件的部分内容.
#local-userrootpasswordsimpleadminservice-typesshtelnetterminalauthorization-attributeuser-rolenetwork-admin1-3#interfaceEthernet1/1portlink-moderouteipaddress1.
1.
1.
1255.
255.
255.
0#1.
2保存当前配置1.
2.
1使能配置文件加密功能配置文件加密功能就是设备在执行save命令将当前配置保存到配置文件的同时,将配置文件加密.
设备支持使用两种密钥来对配置文件进行加密,用户可以根据实际应用环境进行选择:私钥:该密钥是设备内部的一组参数,所有运行ComwareV7平台软件的H3C设备拥有相同的私钥.
使用私钥加密的配置文件可以被所有运行ComwareV7平台软件的H3C设备解密和识别.
公钥:该密钥和软件版本相关,软件版本号相同的H3C设备拥有相同的公钥.
因此,使用公钥加密的配置文件可以被本设备和软件版本号相同的其它H3C设备解密和识别.
表1-1使能配置文件加密功能操作命令说明进入系统视图system-view-使能配置文件加密功能configurationencrypt{private-key|public-key}缺省情况下,配置文件加密功能处于关闭状态1.
2.
2保存当前配置用户通过命令行可以修改设备的当前配置,而这些配置是暂时的,如果要使当前配置在系统下次启动时仍然有效,需要在重启设备前,将当前配置保存到下次启动配置文件中.
执行save[backup|main][force]命令时,请不要重启设备或者给设备断电,以免造成下次启动配置文件丢失.
表1-2保存当前配置(MSR2600/MSR3600)操作命令说明将当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件savefile-url二者选其一为了安全起见,在需要将当前配置保存到下次启动配置文件的时候,建议选用safely参数两命令均可在任意视图下执行将当前配置保存到存储介质的根目录下,并将该文件设置为下次启动配置文件save[safely][backup|main][force]1-4表1-3保存当前配置(MSR5600)操作命令说明将当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件savefile-url[all|slotslot-number]二者选其一为了安全起见,在需要将当前配置保存到下次启动配置文件的时候,建议选用safely参数两命令均可在任意视图下执行将当前配置保存到主用主控板和备用主控板存储介质的根目录,并将该文件设置为下次启动配置文件save[safely][backup|main][force]1.
3配置回滚1.
3.
1配置回滚简介配置回滚是在不重启设备的情况下,将当前的配置回退到指定配置文件中的配置状态.
该配置文件必须是有效的.
cfg文件,它可以使用手工/自动备份功能或者save命令生成,也可以是别的设备的可兼容配置文件,推荐使用手工/自动备份功能生成.
(如何使用手工/自动备份功能生成配置文件请参见"1.
3.
2备份当前配置")配置回滚主要应用于:当前配置错误,且错误配置太多不方便定位或逐条回退,需要将当前配置回滚到某个正确的配置状态.
设备的应用环境变化,需要使用某个配置文件中的配置信息运行,在不重启设备的情况下将当前配置回滚到指定配置文件中的配置状态.
为了方便描述,定义如下:手工/自动备份功能生成的配置文件称为备份配置文件.
"将当前配置回滚到指定配置文件中的配置状态"中的"指定配置文件"称为回滚配置文件.
1.
3.
2备份当前配置1.
设置备份参数备份当前配置前必须设置备份文件的保存路径和文件名前缀.
设置这些参数后,备份当前配置时,系统会将当前的配置以指定的文件名(格式为前缀_序号.
cfg,比如archive_1.
cfg)保存到指定的路径,方便管理员管理.
备份序号由设备自动生成,从1开始编号,依次加1,累加至1000后又重新从1开始.
修改备份文件的保存路径、文件名前缀,备份序号也会从1开始重新自动编号.
系统内能够保存的备份文件的数目有一定限制.
当备份文件数目到达上限,又需要保存新的备份文件时,系统会删除保存时间最早的备份文件,以保存新的备份文件.
1-5表1-4设置备份参数操作命令说明进入系统视图system-view-设置备份配置文件的保存路径和文件名前缀archiveconfigurationlocationdirectoryfilename-prefixfilename-prefix缺省情况下,系统没有配置备份配置文件的保存路径和文件名前缀(可选)系统允许保存的备份配置文件的最大数archiveconfigurationmaxfile-number缺省情况下,系统最多允许保存5个备份配置文件file-number的具体数值应根据系统的空余存储空间大小来决定.
对于存储空间较小的设备,建议将该参数设为较小值执行undoarchiveconfigurationlocation命令后,用户将不能手工备份当前配置,系统也不再自动备份当前配置,archiveconfigurationinterval和archiveconfigurationmax的配置也会恢复到缺省情况,displayarchiveconfiguration的显示信息也会被清除.
2.
自动/手工备份当前配置系统提供了自动备份和手工备份两种灵活的备份方式.
用户可以使用自动备份方式,让系统按照一定的时间间隔自动备份当前配置.
如果备份时间没有到达,而用户需要立即备份当前配置,可以使用手工备份.
备份的配置文件的名称和时间可以通过displayarchiveconfiguration命令查看,以便用户可以将当前配置回退到某一历史时刻的配置状态.
当需要对设备进行步骤复杂的配置时,可以在修改配置前手工备份当前配置.
以便配置过程中出现失败时,可以使用已备份的配置直接将当前配置回滚至配置改变前的状态.
对于不会频繁修改配置的设备,建议按需手工备份当前配置.
对于使用低速存储介质(如Flash)的设备,建议不进行自动备份配置,或设置备份时间间隔大于1440分钟(24小时).
对于使用高速存储介质(如CF卡),且配置经常修改的设备,可以设置较小的备份时间间隔.
表1-5自动备份当前配置操作命令说明进入系统视图system-view-使能自动备份当前配置功能,并设置自动备份的时间间隔archiveconfigurationintervalminutes缺省情况下,系统不会自动备份当前配置表1-6手工备份当前配置操作命令说明手工备份当前配置archiveconfiguration该命令在用户视图下执行1-61.
3.
3执行配置回滚配置回滚期间(即系统在执行configurationreplacefile命令时)不能进行单板热拔插操作,否则可能会造成配置回滚终止.
(MSR5600)执行配置回滚,设备会将当前配置回滚到指定配置文件中的配置状态.
配置回滚时,系统会比较、处理当前配置和回滚配置文件中配置的差异:对于当前配置与回滚配置文件中的相同命令,不做处理.
对于存在于当前配置但不存在于回滚配置文件的命令,回滚操作将取消当前配置中的命令,即执行相应的反向操作.
对于存在于回滚配置文件但不存在于当前配置的命令,回滚操作将执行这些命令.
对于当前配置和回滚配置文件中不同的命令,配置回滚将先取消这些配置,再执行回滚配置文件中的相应命令.
命令能否回滚成功由命令的具体处理决定,存在以下情况时,某条命令会回滚失败.
系统会跳过回滚失败的命令,直接处理下一条命令.
命令不支持完整undo命令,即直接在配置命令前添加undo关键字构成的命令不存在,设备不识别.
比如命令A[B]C,对应的undo命令为undoAC,但是配置ABC回滚的时候,系统会去自动执行undoABC,此时系统会认为不支持undoABC而造成配置ABC回滚失败.
配置不能取消(如硬件相关的命令).
若不同视图下的各配置命令存在依赖关系,命令可能执行失败.
使用的配置文件不是由save命令、自动备份或手工备份生成的完整文件,或是不同类型设备的配置文件,配置回滚可能不能完全恢复至配置文件中的配置状态.
因此,需要用户确保回滚配置文件中配置的正确性和与当前设备的兼容性.
表1-7执行配置回滚操作命令说明进入系统视图system-view-执行配置回滚configurationreplacefilefilenamefilename只能是明文配置文件,不能是被加密的配置文件1.
4管理下次启动配置文件1.
4.
1设置下次启动配置文件执行以下操作前,请确保指定文件(cfgfile)为设备存储介质根目录下的合法配置文件,否则,操作失败.
(MSR2600/MSR3600)1-7主用主控板和备用主控板的下次启动配置文件必须是相同的文件,因此,使用本命令前,请确保指定的配置文件已经保存在主用主控板和备用主控板存储介质的根目录下,否则,操作失败.
(MSR5600)使用该命令设置配置文件时:不指定main和back参数时,缺省使用main.
主用下次启动配置文件和备用下次启动配置文件可以设置为同一文件,但为了更可靠,建议设置为不同的文件,或者将一份配置保存在两个不同名的文件中,一个设置为主用,一个设置为备用.
在执行undostartupsaved-configuration命令之后,系统会将主用/备用下次启动配置文件均设置为NULL,但不会删除该文件.
表1-8设置下次启动配置文件操作命令说明配置下次启动时的配置文件startupsaved-configurationcfgfile[backup|main]缺省情况没有设置下次启动配置文件该命令在用户视图下执行该命令执行成功后,用户可以在任意视图下使用displaystartup命令以及displaysaved-configuration命令验证配置效果执行save[safely][backup|main][force]命令将当前配置保存到指定配置文件时,系统会自动把该文件设置为设备的主用下次启动配置文件.
详细配置请参见"1.
2.
2保存当前配置".
1.
4.
2备份/恢复主用下次启动配置文件设备运行于FIPS模式时,不支持备份/恢复主用下次启动配置文件.
备份是指将设备的主用下次启动配置文件备份到指定的TFTP服务器;恢复是指将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件.
1.
配置准备在执行配置文件的备份操作前,请进行以下操作:保证设备与服务器之间的路由可达,服务器端开启了TFTP服务,执行备份操作的客户端设备已获得了相应的读写权限.
在任意视图下使用displaystartup命令查看一下设备是否已经设置了下次启动配置文件.
如果没有下次启动配置文件,或者所设置的配置文件不存在,备份操作将会失败.
1-82.
备份/恢复主用下次启动配置文件表1-9备份/恢复主用下次启动配置文件操作命令说明将设备的主用下次启动配置文件备份到指定的TFTP服务器backupstartup-configurationtotftp-server[dest-filename]该命令在用户视图下执行将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件restorestartup-configurationfromtftp-serversrc-filename该命令在用户视图下执行该命令执行成功后,用户可以在任意视图下使用displaystartup命令以及displaysaved-configuration命令验证配置效果1.
4.
3删除下次启动配置文件本特性会将下次启动配置文件从设备上彻底删除,请谨慎使用.
出现以下情况时,用户可能需要删除设备中的下次启动配置文件:设备软件升级之后,系统软件和配置文件不匹配.
设备中的配置文件被破坏(常见原因是加载了错误的配置文件).
用户可以只删除主用下次启动配置文件,或者只删除备用下次启动配置文件.
如果当前设备的主用下次启动配置文件和备用下次启动配置文件相同,仅执行一次删除操作(假设指定了backup参数),系统只会将相应的下次启动配置文件设置为NULL,不会删除该文件,需要再执行一次删除操作(指定main参数),才能将这个配置文件彻底删除.
下次启动配置文件被删除后,设备重启时,系统将采用出厂配置进行初始化.
表1-10删除设备中的下次启动配置文件操作命令说明删除设备中的下次启动配置文件resetsaved-configuration[backup|main]该命令在用户视图下执行不指定banckup和main参数时,缺省使用main1.
5配置文件管理显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置文件的使用情况.
用户可以通过查看显示信息验证配置的效果.
表1-11配置文件管理显示和维护操作命令显示配置回滚功能的相关信息displayarchiveconfiguration1-9操作命令显示当前配置displaycurrent-configuration[configuration[module-name]|interface[interface-type[interface-number]]]显示出厂配置displaydefault-configuration显示设备存储介质中保存的下次启动配置文件的内容displaysaved-configuration显示用于本次及下次启动的配置文件名displaystartup显示当前视图下生效的配置displaythisi目录1软件升级1-11.
1设备软件简介·1-11.
1.
1BootROM程序·1-11.
1.
1启动软件包·1-11.
1.
2设备启动过程·1-21.
2软件升级方式简介1-31.
3通过整机重启方式升级设备软件·1-41.
3.
1升级步骤1-41.
3.
1加载BootROM程序1-41.
3.
2指定下次启动软件包并完成升级·1-51.
4使能备用主控板启动软件包自动加载功能1-71.
5软件升级显示和维护·1-81.
6通过重启方式升级启动软件包配置举例(MSR2600/MSR3600)1-81.
7通过重启方式升级启动软件包配置举例(MSR5600)1-91-11软件升级1.
1设备软件简介设备软件包括BootROM程序和启动软件包,它是设备启动、运行的必备软件,为整个设备提供支撑、管理以及丰富的业务.
1.
1.
1BootROM程序设备开机最先运行的程序是BootROM程序,它能够引导硬件启动、引导启动软件包运行、提供BootROM菜单功能.
BootROM程序存储在设备的BootROM(芯片)中.
完整的BootROM程序包含BootROM基本段和BootROM扩展段.
基本段提供BootROM菜单的基本操作项,扩展段提供更多的BootROM菜单操作项.
整个BootROM程序通过Boot包(*.
bin)发布,产品会将需要升级的单板的BootROM程序集成到Boot包中统一发布,以降低版本维护成本.
1.
1.
1启动软件包1.
启动软件包的分类启动软件包是用于引导设备启动的程序文件,按其功能可以分为以下几类:Boot软件包(简称Boot包):包含Linux内核程序,提供进程管理、内存管理、文件系统管理、应急Shell等功能.
System软件包(简称System包):包含Comware内核和基本功能模块的程序,比如设备管理、接口管理、配置管理和路由模块等.
Feature软件包(简称Feature包):用于业务定制的程序,能够提供更丰富的业务.
一个Feature包可能包含一种或多种业务.
Patch软件包(简称补丁包):用来修复设备软件缺陷的程序文件.
补丁包与软件版本一一对应,补丁包只能修复与其对应的启动软件包的缺陷,不涉及功能的添加和删除.
设备必须具有Boot包和System包才能正常运行,Feature包可以根据用户需要选择安装,补丁包只在需要修复设备软件缺陷时安装.
2.
启动软件包的发布形式启动软件包有以下两种发布形式:BIN文件:后缀为.
bin的文件.
一个BIN文件就是一个启动软件包.
要升级的BIN文件之间版本必须兼容才能升级成功.
IPE(ImagePackageEnvelope,复合软件包套件)文件:后缀为.
ipe的文件.
它是多个软件包的集合,产品通常会将同一个版本需要升级的所有类型的软件包都压缩到一个IPE文件中发布.
用户将该IPE文件加载到设备后,设备会自动将它解压缩成一个个BIN文件.
用户再使用这些BIN文件升级设备即可,从而能够减少启动软件包之间的版本管理问题.
1-23.
主/备用启动软件包以及软件包列表用户在配置设备下次启动使用的软件包时,需要指定软件包的名称,以及软件包的主用/备用属性.
设备会将所有具有主用属性的软件包的名称存储在主用启动软件包列表中,将所有具有备用属性的软件包的名称存储在备用启动软件包列表中.
当设备启动时,优先使用主用启动软件包列表中的软件包,如果主用启动软件包列表中软件包不存在或者不可用,再使用备用启动软件包列表中的软件包.
1.
1.
2设备启动过程设备上电后,先运行BootROM文件,初始化硬件并显示设备的硬件参数,然后运行启动软件包,如图1-1所示.
图中"指定时间"为4s.
图1-1设备启动过程示意图在运行启动软件包时,因为涉及到多个软件包,系统会做一系列处理,如图1-2所示.
1-3图1-2启动软件包运行流程示意图系统会根据启动软件包列表自动判断相应的软件包是否存在,如果存在是否有效.
如果启动软件包列表中没有Feature包/补丁包,则跳过Feature包/补丁包的判断流程.
当主用和备用启动软件包列表中的Boot包均不存在或不可用时,请使用Console口连接到设备,断电重启设备.
启动过程中根据提示按进入BootROM菜单,通过BootROM来重新加载Boot包,具体操作请参见产品随软件发布的版本说明书.
当设备进入应急Shell环境时,请使用Console口连接到设备,在应急Shell环境下,手工重新加载System包,才能进入Comware系统.
具体操作请参见"基础配置指导"中的"应急Shell".
1.
2软件升级方式简介设备出厂时,已经安装了软件,下次启动会延用本次启动使用的软件.
如果要对软件进行升级,用户可以选择如下方式,详见表1-1.
1-4表1-1软件升级方式描述表升级方式升级对象升级说明通过命令行进行软件升级通过整机重启方式升级BootROM程序启动软件包(该方式不能升级补丁包)需要重启设备来实现设备软件的升级使用该方式升级设备软件时会导致当前业务中断ISSU方式升级启动软件包ISSU是一种高可靠性升级设备启动软件的方式,推荐使用该方式升级设备关于该方式的详细描述请参见"基础配置指导"中的"ISSU"通过BootROM菜单进行软件升级BootROM程序启动软件包可在设备无法正常启动时升级设备软件具体操作请参见随版本发布的产品版本说明书1.
3通过整机重启方式升级设备软件1.
3.
1升级步骤请参照以下步骤来升级设备软件:(1)使用displayversion命令查看设备当前运行的BootROM程序以及启动软件的版本.
(2)获取新软件的版本发布说明书,了解新软件的版本号、软件大小以及和当前BootROM程序、启动软件的兼容性.
(3)通过版本发布说明书了解将安装的软件包是否需要License.
如果需要,查看设备上是否有对应的有效的License.
如果没有,请先安装License.
否则,会导致命令执行失败.
(4)使用dir命令查看存储介质是否有足够的空间存储新的软件,以免升级失败.
如果存储空间不足,可使用delete命令删除一些暂时不用的文件.
关于dir和delete命令的详细描述请参见"基础配置命令参考"中的"文件系统管理".
(MSR2600/MSR3600)(5)使用dir命令分别查看主用主控板和备用主板存储介质是否有足够的空间存储新的软件,以免升级失败.
如果存储空间不足,可使用delete命令删除一些暂时不用的文件.
关于dir和delete命令的详细描述请参见"基础配置命令参考"中的"文件系统管理".
(MSR5600)(6)使用FTP、TFTP方式将新软件下载到存储介质的根目录下.
FTP及TFTP具体配置请参见"基础配置指导"中的"FTP和TFTP".
(7)(可选)加载BootROM程序.
当新软件和当前BootROM程序不兼容时,需要升级BootROM程序.
虽然用户可以直接执行下一步操作,在升级Boot包的时候同步升级BootROM程序,但推荐用使用该功能升级BootROM程序.
因为使用该功能能缩短Boot包的升级时间,以及减小升级过程中断电引入的问题.
(8)指定下次启动软件包并完成升级.
1.
3.
1加载BootROM程序MSR56001-5由于不同设备主控板和接口板的BootROM程序各不相同,用户容易混淆,从而导致BootROM程序升级错误.
因此,请开启BootROM升级时的合法性检查功能,设备就能够对BootROM文件是否有效以及是否和硬件匹配等进行严格的检查,以确保升级成功.
表1-2加载BootROM程序(MSR2600/MSR3600)操作命令说明进入系统视图system-view-(可选)开启升级时的合法性检查功能bootrom-updatesecurity-checkenable缺省情况下,BootROM升级时的合法性检查功能是开启的返回用户视图quit-加载新的BootROM程序bootromupdatefilefile-url[slotsubslot-number-list]执行该命令,系统会将存储介质中的BootROM程序加载到BootROM的Normal区表1-3加载BootROM程序(MSR5600)操作命令说明进入系统视图system-view-(可选)开启升级时的合法性检查功能bootrom-updatesecurity-checkenable缺省情况下,BootROM升级时的合法性检查功能是开启的返回用户视图quit-加载新的BootROM程序bootromupdatefilefile-urlslotslot-number-list[subslotsubslot-number-list]执行该命令,系统会将存储介质中的BootROM程序加载到BootROM的Normal区1.
3.
2指定下次启动软件包并完成升级1.
MSR2600/MSR3600当指定下次启动软件包/IPE文件时,命令中指定的软件包(IPE文件)必须放在设备存储介质的根目录下且后缀名为.
bin(.
ipe),文件名中必须包含存储介质的名称,形如cfa0:/xx.
bin(cfa0:/xx.
ipe).
配置boot-loaderfileipe-filename{backup|main}命令后,系统会自动将IPE文件中包含的所有软件包提取出来,并设置为下次启动软件包.
1-6表1-4指定下次启动软件包并完成升级操作命令说明指定设备下次启动时使用的软件包/IPE文件boot-loaderfileipe-filename{backup|main}二者选其一命令在用户视图下执行boot-loaderfilebootboot-packagesystemsystem-package[featurefeature-package&]{backup|main}保存当前配置save保存当前配置,以便当前配置在设备重启后继续生效该命令在用户视图下执行重启设备reboot设备重启时,会运行新的启动软件包,从而完成升级该命令在用户视图下执行2.
MSR5600当指定下次启动软件包/IPE文件时,命令中指定的软件包(IPE文件)必须放在主用主控板存储介质的根目录下且后缀名为.
bin(.
ipe),文件名中必须且只能包含存储介质的名称,不能包含slot的信息,形如cfa0:/xx.
bin(cfa0:/xx.
ipe).
为备用主控板指定下次启动软件包/IPE文件时,系统会自动检查存储在主用主控板上的下次启动软件包/IPE文件是否已拷贝到备用主控板的CF卡根目录下.
如果还未拷贝,则自动从主用主控板上拷贝一份并设置为备用主控板的主用下次启动软件包/IPE文件.
配置boot-loaderfileipe-filename{backup|main}命令后,系统会自动将IPE文件中包含的所有软件包提取出来,并设置为下次启动软件包.
通过命令boot-loaderupdateslotslot-number指定备用主控板的下次启动软件包时,系统会进行如下处理:如果主用主控板当前是使用主用启动软件包列表启动的,则将其主用下次启动软件包列表中的软件包拷贝到备用主控板的对应目录下,并设置为备用主控板的主用下次启动软件包.
如果这些软件包中有任一软件包不存在或者不可用,则命令执行失败.
如果主用主控板当前是使用备用启动软件包列表启动的,则将其备用下次启动软件包列表中的软件包拷贝到备用主控板的对应目录下,并设置为备用主控板的主用下次启动软件包.
如果这些软件包中有任一软件包不存在或者不可用,则命令执行失败.
1-7表1-5指定新的下次启动软件包并完成升级操作命令说明指定主用主控板下次启动时使用的软件包/IPE文件boot-loaderfileipe-filenameslotslot-number{backup|main}二者选其一命令在用户视图下执行boot-loaderfilebootboot-packagesystemsystem-package[featurefeature-package&]slotslot-number{backup|main}指定备用主控板下次启动时使用的软件包/IPE文件boot-loaderfileipe-filenameslotslot-number{backup|main}三者选其一命令在用户视图下执行boot-loaderfilebootboot-packagesystemsystem-package[featurefeature-package&]slotslot-number{backup|main}boot-loaderupdateslotslot-number保存当前配置save保存当前配置,以便当前配置在设备重启后继续生效该命令在用户视图下执行重启设备reboot设备重启时,会运行新的启动软件包,从而完成升级该命令在用户视图下执行1.
4使能备用主控板启动软件包自动加载功能用户可使用本特性来自动保证备用主控板和主用主控板启动软件包版本的一致性.
加载启动软件包需要一定时间,在加载期间,请不要插拔主控板或者手工重启备用主控板,否则,会导致备用主控板加载启动软件包失败而不能启动.
用户可打开日志信息显示开关,并根据日志信息的内容来判断加载过程是否开始以及是否结束.
如果忽略对备用主控板进行启动软件包版本一致性检查,当备用主控板和主用主控板启动软件包版本不一致时,备用主控板仍然使用不一致的版本启动,可能会造成设备功能问题.
如果使能对备用主控板进行启动软件包版本一致性检查,当备用主控板和主用主控板启动软件包版本不一致时,备用主控板会停留在启动阶段,不能正常启动.
建议用户不要忽略启动软件包版本一致性检查.
配置undoversioncheckignore和versionauto-updateenable命令后,在设备启动过程中,当备用主控板发现自己当前启动软件包版本和主用主控板的当前启动软件包版本不一致时,会自动拷贝主用主控板的当前启动软件包列表中的所有软件包,设置为自己的主用下次启动软件包,并自动重启.
这样,能够使得备用主控板启动后,和主用主控板启动软件包的版本一致.
1-8表1-6使能备用主控板启动软件包自动加载功能操作命令说明进入系统视图system-view-使能对备用主控板进行启动软件包版本一致性检查undoversioncheckignore缺省情况下,备用主控板启动软件包版本一致性检查功能处于使能状态使能备用主控板自动加载主用主控板当前启动软件包的功能versionauto-updateenable缺省情况下,当启动过程中,当备用主控板发现自己版本和主用主控板版本不一致时,会自动加载主用主控板的当前启动软件包MSR系列路由器各款型对于本节所描述的特性的支持情况有所不同,详细差异信息如下:型号特性描述MSR2600使能备用主控板启动软件包自动加载功能不支持MSR3600不支持MSR5600支持1.
5软件升级显示和维护在完成上述配置后,可在任意视图下执行display命令,通过查看显示信息验证配置的效果.
表1-7软件升级显示和维护操作命令显示本次启动和下次启动所采用的启动软件包的名称(MSR2600/MSR3600)displayboot-loader显示本次启动和下次启动所采用的启动软件包的名称(MSR5600)displayboot-loader[slotslot-number]1.
6通过重启方式升级启动软件包配置举例(MSR2600/MSR3600)1.
配置需求通过最新软件版本文件startup-a2105.
ipe,对设备启动软件包进行升级,使设备使用新的启动软件包运行.
1-92.
组网图图1-3通过重启方式升级启动软件包配置举例组网图3.
配置步骤本举例只给出配置步骤和涉及的命令,关于命令的提示信息,请以设备的实际情况为准.
为了保险起见,在配置主用下次启动软件包/IPE文件时,建议将主用下次启动软件包/IPE文件进行备份,再设置为备用下次启动软件包/IPE文件.
如果设备的存储空间有限,可以不备份.
#配置IP地址以及路由,确保Device和TFTPserver之间路由可达.
配置步骤略.
#查看设备当前使用的启动软件包的版本.
displayversion#将待升级的IPE文件startup-a2105.
ipe从TFTPserver下载到设备存储介质的根目录下.
tftp2.
2.
2.
2getstartup-a2105.
ipe#将startup-a2105.
ipe备份到startup-a2105-backup.
ipe.
copystartup-a2105.
ipestartup-a2105_backup.
ipe#指定设备下次启动时使用startup-a2105.
ipe作为主用IPE文件.
boot-loaderfilecfa0:/startup-a2105.
ipemain#指定设备下次启动时使用startup-a2105-backup.
ipe作为备用IPE文件.
boot-loaderfilecfa0:/startup-a2105-backup.
ipebackup#查看主用、备用下次启动IPE文件是否配置成功.
displayboot-loader#重启设备,以便运行新的启动软件包完成升级.
reboot4.
验证配置设备重启后,查看设备使用的启动软件包的版本.
displayversion1.
7通过重启方式升级启动软件包配置举例(MSR5600)1.
配置需求Device上有两块主控板:主用主控板所在槽位号为0,备用主控板所在槽位号为1.
现要求对设备启动软件包进行升级,使设备使用新的启动软件包运行.
TFTPclientTFTPserverDevice2.
2.
2.
2/24Internet1.
1.
1.
1/241-102.
组网图图1-4通过重启方式升级启动软件包配置举例组网图3.
配置步骤本举例只给出配置步骤和涉及的命令,关于命令的提示信息,请以设备的实际情况为准.
为了保险起见,在配置主用下次启动软件包/IPE文件时,建议将主用下次启动软件包/IPE文件进行备份,再设置为备用下次启动软件包/IPE文件.
如果设备上的存储空间有限,可以不备份.
#配置IP地址以及路由,确保Device和TFTPserver之间路由可达.
配置步骤略.
#查看设备当前使用的启动软件包的版本.
displayversion#将待升级的IPE文件startup-a2105.
ipe从TFTPserver下载到设备存储介质的根目录下.
tftp2.
2.
2.
2getstartup-a2105.
ipe#将startup-a2105.
ipe备份到startup-a2105-backup.
ipe.
copystartup-a2105.
ipestartup-a2105-backup.
ipe#指定主用主控板和备用主控板下次启动时使用startup-a2105.
ipe作为主用IPE文件.
boot-loaderfilecfa0:/startup-a2105.
ipeslot0mainboot-loaderfilecfa0:/startup-a2105.
ipeslot1main#指定主用主控板和备用主控板下次启动时使用startup-a2105-backup.
ipe作为备用IPE文件.
boot-loaderfilecfa0:/startup-a2105-backup.
ipeslot0backupboot-loaderfilecfa0:/startup-a2105-backup.
ipeslot1backup#查看主用、备用下次启动IPE文件是否配置成功.
displayboot-loader#重启设备,以便运行新的启动软件包完成升级.
reboot4.
验证配置设备重启后,查看设备使用的启动软件包的版本.
displayversionTFTPclientTFTPserverDevice2.
2.
2.
2/24Internet1.
1.
1.
1/24i目录1应急Shell1-11.
1应急Shell简介·1-11.
2配置限制和指导·1-11.
3文件系统操作·1-11.
4获取System包1-21.
4.
1配置管理以太网接口1-21.
4.
2Ping功能1-31.
4.
3访问远程服务器1-31.
5加载System包1-41.
6重启·1-41.
7应急Shell显示和维护·1-51.
8应急Shell配置举例·1-51-11应急Shell1.
1应急Shell简介设备的启动软件包分为Boot包、System包、Feature包和补丁包.
其中,设备必须具有Boot包和System包才能正常运行,Feature包可以根据用户需要选择安装,补丁包只在需要修复设备软件缺陷时安装.
当设备启动,如果Boot包存在并有效,但当前启动软件包列表中的System包/Feature包/补丁包中的某个包不存在或不可用,设备便会进入应急Shell环境(EmergencyShell).
设备进入应急Shell环境后,普通的业务口将不可用,请使用Console口重新登录设备,您将看到设备的命令行提示符变成了,而不是正常运行情况下的.
请使用应急Shell下提供的一系列的命令,重新加载System软件包,才能进入Comware系统.
此时的设备只运行了Boot包和System包,如需运行Feature包和补丁包,须重新下载、安装.
关于软件包的介绍以及具体配置步骤请参见"基础配置指导"中的"软件升级".
本文描述是应急Shell下支持的操作.
1.
2配置限制和指导本文描述的操作均是在故障主控板上执行,且只能对本板进行操作.
比如,主用主控板上System包不存在或者异常,进入应急Shell环境了,请使用主用主控板的Console口登录,执行本文中描述的操作给主用主控板加载System包;备用主控板缺乏System包,进入应急Shell环境了,请使用备用主控板的Console口登录,执行本文中描述的操作给备用主控板加载System包.
(MSR5600)1.
3文件系统操作应急Shell提供了基本的文件系统操作,以方便用户对存储介质上的文件进行管理.
需要注意的是:执行delete操作后,设备会彻底删除指定文件,并且不可恢复,请谨慎使用.
执行format操作后,存储介质上的所有文件将丢失,并且不可恢复,请谨慎使用.
表1-1文件系统操作命令操作命令说明显示目录或文件信息dir[/all][file-url]该命令在用户视图下执行在存储介质的指定路径下创建目录mkdirdirectory如果创建的文件夹与指定路径下的其它文件或目录重名,则创建操作失败在使用该命令创建目录之前,指定的路径必须已经存在.
比如:创建文件夹flash:/test/mytest,这时,test目录必须已经存在,否则,创建失败该命令在用户视图下执行显示当前工作路径pwd该命令在用户视图下执行复制文件copyfileurl-sourcefileurl-dest该命令在用户视图下执行1-2操作命令说明移动文件movefileurl-sourcefileurl-dest目标目录必须空间足够,否则,移动操作失败该命令在用户视图下执行显示指定文件的内容morefile-url该命令在用户视图下执行彻底删除指定文件deletefile-url该命令在用户视图下执行删除已有目录rmdirdirectory被删除的目录必须为空目录,即删除目录前,必须先删除该目录下的所有文件及子目录该命令在用户视图下执行格式化存储介质formatdevice该命令在用户视图下执行1.
4获取System包设备进入应急Shell环境后,只有Console口、AUX口和管理以太网接口可用,请在管理以太网接口下配置网络参数,通过FTP和TFTP协议从远程服务器上获取System包.
在获取System包前,请使用displayversion命令查看Boot包的版本信息,并根据System包的版本发布说明,获取和Boot包版本相同的System包.
1.
4.
1配置管理以太网接口应急Shell下要使用FTP、TFTP、SSH、Telnet等网络功能,首先必须正确配置网络参数,包括给管理以太网接口配置IP地址,如果需要跨网段访问,则还需要给管理以太网接口配置网关.
表1-2配置管理以太网接口(IPv4网络)操作命令说明进入系统视图system-view-进入管理以太网接口视图interfacem-eth0-配置接口的IPv4地址ipaddressip-address{mask-length|mask}缺省情况下,管理以太网接口下没有配置IPv4地址配置接口的IPv4网关地址ipgatewayip-address缺省情况下,管理以太网接口下没有配置IPv4网关地址激活管理以太网接口undoshutdown缺省情况下,管理以太网接口处于激活状态从当前视图退回到上一级视图quit-表1-3配置管理以太网接口(IPv6网络)操作命令说明进入系统视图system-view-进入管理以太网接口视图interfacem-eth0-1-3操作命令说明配置接口的IPv6地址ipv6addressipv6-addressprefix-length缺省情况下,管理以太网接口下没有配置IPv6地址配置接口的IPv6网关地址ipv6gatewayipv6-address缺省情况下,管理以太网接口下没有配置IPv6网关地址激活管理以太网接口undoshutdown缺省情况下,管理以太网接口处于激活状态从当前视图退回到上一级视图quit-1.
4.
2Ping功能网络参数配置完成后,可使用ping命令测试网络是否可达.
表1-4检查指定目的端是否可达(IPv4网络)操作命令说明检查指定IPv4地址是否可达ping[-ccount|-ssize]*ip-address该命令在任意视图下执行表1-5检查指定目的端是否可达(IPv6网络)操作命令说明检查指定IPv6地址是否可达pingipv6[-ccount|-ssize]*ipv6-address该命令在任意视图下执行1.
4.
3访问远程服务器应急Shell环境下,设备可以作为FTP、TFTP客户端,从远程文件服务器上下载软件包来启动设备,或者将设备上的文件上传至远程服务器进行备份.
在进行FTP/TFTP操作前,可以先使用telnet/ssh2命令远程登录到FTP/TFTP服务器,进行一些基本的FTP/TFTP参数配置,比如,使能FTP/TFTP功能,配置FTP登录用户名和密码等.
表1-6访问远程服务器(IPv4网络)操作命令说明(可选)Telnet登录到IPv4远程服务器telnetserver-ipv4-address该命令在用户视图下执行(可选)SSH登录到IPv4远程服务器ssh2server-ipv4-address该命令在用户视图下执行如果因为服务器公钥变更,导致设备再次SSH登录该服务器失败时,请执行resetsshpublic-key命令清除原公钥后,再执行ssh2命令重新登录在IPv4网络中,下载/上传指定文件到FTP服务器ftpserver-ipv4-addressuserusernamepasswordpassword{getremote-filelocal-file|putlocal-fileremote-file}该命令在用户视图下执行1-4操作命令说明在IPv4网络中,下载/上传指定文件到TFTP服务器tftpserver-ipv4-address{getremote-filelocal-file|putlocal-fileremote-file}该命令在用户视图下执行表1-7访问远程服务器(IPv6网络)操作命令说明(可选)Telnet登录到IPv6远程服务器telnetipv6server-ipv6-address该命令在用户视图下执行(可选)SSH登录到IPv6远程服务器ssh2ipv6server-ipv6-address该命令在用户视图下执行如果因为服务器公钥变更,导致设备再次SSH登录该服务器失败时,请执行resetsshpublic-key命令清除原公钥后,再执行ssh2命令重新登录在IPv6网络中,下载/上传指定文件到FTP服务器ftpipv6server-ipv6-addressuserusernamepasswordpassword{getremote-filelocal-file|putlocal-fileremote-file}该命令在用户视图下执行在IPv6网络中,下载/上传指定文件到TFTP服务器tftpipv6server-ipv6-address{getremote-filelocal-file|putlocal-fileremote-file}该命令在用户视图下执行1.
5加载System包获取System包后,需要加载System包,以便引导设备进入Comware系统.
需要注意的是:加载前,请使用displayversion和displayinstallpackage命令查看Boot包和System包的版本信息,确认两软件包版本完全相同后,再执行加载操作.
加载时,系统会同步刷新主用下次启动软件包列表,新列表中只包含Boot包和System包,以保证设备下次能够正常启动.
表1-8加载System包操作命令说明加载System包installloadsystem-package该命令在用户视图下执行1.
6重启表1-9重启操作命令说明重启设备重启当前登录的主控板(MSR5600)reboot该命令在用户视图下执行1-51.
7应急Shell显示和维护在完成上述配置后,在任意视图下执行display命令可以显示应急Shell下的相关配置信息,通过查看显示信息验证配置的效果.
表1-10应急Shell显示和维护操作命令显示版权信息displaycopyright查看指定软件包的信息displayinstallpackagepackage显示管理以太网接口M-Eth0的信息displayinterfacem-eth0显示IPv4路由信息表displayiprouting-table显示IPv6路由信息表displayipv6routing-table显示Boot包版本信息displayversion1.
8应急Shell配置举例1.
配置需求Device作为TFTP客户端,PC作为TFTP服务器.
IP地址如组网图所示,Device和PC之间路由可达.
系统只有boot.
bin包,Device需要通过TFTP协议从PC上下载对应版本的system.
bin包,启动设备.
2.
配置组网图1-1应急Shell配置举例组网图3.
配置步骤#查看存储介质上存在哪些文件以及存储介质上的使用情况.
dirDirectoryofcfa0:0drw-5954Apr26200721:06:29logfile1-rw-1842Apr27200704:37:17boot.
bin2-rw-1518Apr26200712:05:38startup.
cfg3-rw-2045May04200715:50:01backcfg.
cfg252164KBtotal(158234KBfree)1-6以上信息表明,当前只有boot.
bin包,没有system.
bin包,存储介质上的空闲内存大小为158234KB,有足够的空间存放System包.
#查看系统版本信息.
displayversionH3CComwareSoftwareCopyright(c)2004-2013HangzhouH3CTech.
Co.
,Ltd.
Allrightsreserved.
H3CMSR36-40uptimeis0weeks,0days,0hours,2minutesBootimage:cfa0:/boot.
binBootimageversion:7.
1.
042P01CPUID:0x22GbytesDDR3SDRAMMemory8MbytesFlashMemoryPCBVersion:2.
0CPLDVersion:2.
0BasicBootWareVersion:1.
06ExtendedBootWareVersion:1.
06#给管理以太网接口配置IP地址和网关.
system-view[boot]interfacem-eth0[boot-m-eth0]ipaddress1.
1.
1.
116[boot-m-eth0]ipgateway1.
1.
1.
2#测试和TFTP服务器之间是否可达.
ping1.
2.
1.
1PING1.
2.
1.
1(1.
2.
1.
1):56databytes56bytesfrom1.
2.
1.
1:seq=0ttl=128time=2.
243ms56bytesfrom1.
2.
1.
1:seq=1ttl=128time=0.
717ms56bytesfrom1.
2.
1.
1:seq=2ttl=128time=0.
891ms56bytesfrom1.
2.
1.
1:seq=3ttl=128time=0.
745ms56bytesfrom1.
2.
1.
1:seq=4ttl=128time=0.
911ms---1.
2.
1.
1pingstatistics---5packetstransmitted,5packetsreceived,0%packetlossround-tripmin/avg/max=0.
717/1.
101/2.
243ms#从TFTP服务器上下载文件system.
bin.
tftp1.
2.
1.
1getsystem.
bincfa0:/system.
bin#查看system.
bin的相关信息,确认是否和当前的boot.
bin版本一致.
displayinstallpackageflash:/system.
bincfa0:/system.
bin[Package]Vendor:H3CProduct:MSR36Servicename:systemPlatformversion:7.
1.
042Productversion:ESS000603Supportedboard:MSR36-10,MSR36-20,MSR36-40,MSR36-601-7[Component]Component:systemDescription:systempackage#加载System包,引导设备进入Comware系统.
installloadcfa0:/system.
binCheckpackagecfa0:/system.
bin.
.
.
Extractingpackage.
.
.
Loading.
.
.
Userinterfaceaux0isavailable.
PressENTERtogetstarted.
按ENTER键可进入Comware系统,系统会提示如下信息:%Apr2611:11:12:247201336-40aSHELL/5/SHELL_LOGIN:TTYloggedinfromaux0.
i目录1自动配置1-11.
1自动配置简介·1-11.
2自动配置的工作过程·1-21.
2.
1通过DHCP获取IP地址及相关信息1-31.
2.
2从TFTP服务器上获取配置文件·1-41-11自动配置1.
1自动配置简介自动配置功能是指没有配置文件的设备在启动时自动获取并执行配置文件.
目前,网络规模较大时面临着设备分布广、维护人员少的问题,网络管理员在每一台设备上进行手工配置的工作量很大.
利用自动配置功能,网络管理员只需将配置文件保存在指定的服务器上,设备在空配置启动时可以自动从服务器上获取并执行配置文件,实现自动配置,从而简化了网络配置,大大降低了网络管理员的工作量,便于实现对设备的集中管理.
图1-1自动配置典型组网图自动配置的典型组网环境如图1-1所示.
设备需要在DHCP服务器、TFTP服务器和DNS服务器的配合下,实现自动配置:DHCP服务器:用来为执行自动配置的设备分配IP地址、配置文件名、TFTP服务器参数和DNS服务器IP地址等信息.
DHCP服务器的详细介绍,请参见"三层技术-IP业务配置指导"中的"DHCP服务器".
TFTP服务器:用来保存自动配置过程中设备需要的文件,如保存主机IP地址和主机名映射关系的主机名文件、设备的配置文件等.
TFTP服务器的详细介绍,请参见"基础配置指导"中的"TFTP".
配置文件和主机名文件的详细介绍,请参见"1.
2.
22.
获取配置文件".
DNS服务器:用来提供IP地址和主机名的对应关系.
执行自动配置的设备可以通过DNS服务器将自己的IP地址解析为主机名,以便从TFTP服务器获取名为"主机名.
cfg"的配置文件;如果设备从DHCP应答报文中获取到TFTP服务器的域名,设备还可以通过DNS服务器将TFTP服务器的域名解析为TFTP服务器的IP地址.
DNS服务器的详细介绍,请参见"三层技术-IP业务配置指导"中的"域名解析".
如果DHCP服务器、TFTP服务器和DNS服务器与执行自动配置的设备不在同一个网段,自动配置的设备需要增加网关,并且网关得配置DHCP中继功能,并配置路由协议,使得各个服务器和设备之间路由可达.
1-2以广播方式向TFTP服务器发送请求消息时,由于广播报文只能在本网段内传播,如果执行自动配置的设备与TFTP服务器不在同一个网段,则需要在网关设备上配置UDPHelper功能,将广播报文转换为单播报文,转发给指定的TFTP服务器.
有关UDPHelper功能的详细介绍,请参见"三层技术-IP业务配置指导"中的"UDPHelper".
1.
2自动配置的工作过程自动配置的流程如图1-2所示.
图1-2自动配置流程图空配置启动设备选择符合条件的接口接口启动DHCP客户端功能接口通过DHCP获取参数成功TFTP单播请求文件成功TFTP广播请求文件成功恢复接口缺省配置,执行获取到的配置文件恢复接口的缺省配置参数中是否包含TFTP服务器地址结束否是是否是否是否是否是否参数中是否包括TFTP服务器域名TFTP服务器域名是否解析成功否否1-3自动配置的基本工作过程如下:(1)设备在空配置启动时,系统按照如下规则选取符合条件的接口:a.
若有处于链路状态UP的管理以太网接口,则优先选取管理以太网接口;b.
若没有处于链路状态UP的管理以太网接口,有处于链路状态UP的二层以太网接口,则选取默认VLAN对应的VLAN虚接口;c.
若没有处于链路状态UP的二层以太网接口,则按照接口类型字典序、接口编号从小到大的顺序依次选择处于链路状态UP的三层以太网接口.
(2)系统获取到符合条件的第一个接口后,系统配置该接口通过DHCP方式获取如下信息:配置文件名、TFTP服务器域名、TFTP服务器IP地址和DNS服务器地址等信息.
(3)设备成功地从DHCP服务器获取到该接口的IP地址及后续获取配置文件所需要的信息后,根据上述信息获取配置文件名,并从TFTP服务器下载该配置文件.
如果下载配置文件成功,执行配置文件,自动配置过程结束;否则按照步骤(1)的规则开始获取下一个符合条件的接口,重复步骤(2)和(3).
(4)当获取配置文件失败时,设备会不断重复自动配置过程,直到成功获取配置文件为止.
如果获取配置文件失败,则在2分钟后开始下次自动配置过程,或用户通过CTRL+C手工中止自动配置操作.
(5)成功获得配置文件后,设备将恢复获取配置文件的接口的缺省配置,执行获取到的配置文件.
在自动配置过程中,不论通过当前接口下载配置文件成功与否,自动配置都会恢复该接口的缺省配置.
如需使用自动配置功能,建议在设备开启前,只将自动配置时需要使用的接口连入网络,以便加快自动配置速度.
通过自动配置获取到的配置文件执行完成后,该文件将被删除,不会在设备上保存.
建议配置文件执行完成后,在设备上通过save命令保存配置,否则,设备重启后还需重新执行自动配置功能.
save命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
1.
2.
1通过DHCP获取IP地址及相关信息1.
IP地址及相关信息的获取过程DHCP请求报文除获取IP地址以外,报文中的Option55选项指明设备需要从DHCP服务器获得哪些信息(如配置文件名、TFTP服务器域名、TFTP服务器IP地址和DNS服务器IP地址等信息).
通过DHCP成功获取到IP地址后,设备将解析DHCP服务器应答报文中的如下字段:Option67或file字段:用来获取配置文件名.
设备首先解析Option67,如果该选项包括配置文件名信息,则不再解析file字段;否则,继续解析file字段.
Option66:用来获取TFTP服务器域名.
Option150:用来获取TFTP服务器IP地址.
Option6:用来获取DNS服务器IP地址.
DHCP的详细工作过程请参见"三层技术-IP业务配置指导"中的"DHCP概述".
1-42.
配置DHCP服务器上地址管理方式用户可以根据自动配置功能的需要,在DHCP服务器上选择相应类型的地址管理方式:不同设备的配置文件都相同时,可以在DHCP服务器上配置动态选择IP地址的方式,通过地址池为设备动态分配IP地址的同时,还为这些设备分配一样的网络配置参数(如配置文件名).
如果采用这种方式,则配置文件中只能包含这些设备共有的配置,每个设备特有的配置还需要采用其他方式完成.
例如,通过自动配置获取的配置文件中指定在所有设备上开启Telnet服务,并创建本地用户,以便管理员通过Telnet方式登录这些设备,完成对每个设备特有的配置(如配置各个接口的IP地址).
每个设备的配置文件都不相同时,需要在DHCP服务器上配置静态绑定IP地址的方式,以保证为特定的客户端分配固定的IP地址和其他网络配置参数.
通过这种方式可以为每个设备指定不同的配置文件,实现对设备的完全配置,无需再通过其他方式配置设备.
设备作为DHCP客户端时,采用客户端ID作为标识,在DHCP服务器上配置静态绑定IP地址时,需要指定静态绑定的客户端ID.
客户端ID的获取方法为:启动执行自动配置的设备,使执行自动配置的接口通过DHCP获取IP地址,IP地址获取成功后,在DHCP服务器上通过displaydhcpserverip-in-use命令显示地址绑定信息,从中可以获取设备的客户端ID.
1.
2.
2从TFTP服务器上获取配置文件1.
TFTP请求消息发送方式设备根据对DHCP应答报文中TFTP服务器域名和TFTP服务器IP地址信息的解析结果,选择TFTP请求消息的发送方式:(1)如果应答报文中包括TFTP服务器IP地址信息,且IP地址值合法,设备将以单播方式向TFTP服务器发送请求消息,并不再解析TFTP服务器的域名信息.
否则,继续解析应答报文中的TFTP服务器域名信息.
(2)如果应答报文中包括TFTP服务器的域名信息,且域名合法,则通过DNS服务器解析TFTP服务器的IP地址.
IP地址解析成功后,以单播方式向TFTP服务器发送请求消息.
如果IP地址解析不成功,则以广播方式向TFTP服务器发送请求消息.
(3)如果应答报文中不包括TFTP服务器IP地址和域名信息,或TFTP服务器IP地址和域名信息不合法,设备将以广播方式向TFTP服务器发送请求消息.
以广播方式向TFTP服务器发送请求消息时,设备只会从第一个响应的TFTP服务器获取配置文件.
2.
获取配置文件表1-1文件类型文件名说明配置文件包含指定设备启动的配置信息,保存在TFTP服务器上,由DHCP应答报文中Option67或file字段指定主机名文件(network.
cfg)保存IP地址与主机名称的映射关系,文件由管理员设定,上传到TFTP服务器1-5文件名说明缺省配置文件包含一般设备启动的公用配置信息,保存在TFTP服务器上图1-3配置文件获取过程如图1-3所示,设备根据对DHCP应答报文中配置文件名信息的解析结果,确定从TFTP服务器上获取哪个配置文件:(1)如果应答报文中包括配置文件名信息,则向TFTP服务器请求指定的配置文件.
(2)如果应答报文中不包括配置文件名信息,则需要先获得设备的主机名,再向TFTP服务器请求与主机名对应的配置文件.
设备通过如下几种方式获得主机名:{从TFTP服务器上获取主机名文件,在主机名文件中查找设备的IP地址对应的主机名;DHCP应答中是否包含配置文件名获取主机名文件是否成功在主机名文件中找到IP对应的主机名通过DNS将IP解析为主机名成功获取主机名对应的配置文件成功获取缺省配置文件成功获取应答中指定的配置文件成功获取配置文件失败获取配置文件成功否是是否否是否是是否否是是否1-6{如果在主机名文件中没有找到设备的主机名,则以单播方式向DNS服务器发送请求消息,以获取设备IP地址对应的主机名,如果单播方式失败,则以广播方式查询.
(3)如果上述过程失败,则向TFTP服务器请求缺省配置文件.
i目录1设备管理1-11.
1配置设备名称·1-11.
2配置系统时间·1-11.
3使能版权信息显示功能·1-11.
4配置欢迎信息·1-21.
4.
1欢迎信息简介·1-21.
4.
2输入欢迎信息·1-21.
4.
3配置欢迎信息·1-31.
5配置设备重启·1-41.
6配置定时执行任务功能·1-51.
6.
1定时执行任务功能简介1-51.
6.
2配置定时执行任务·1-51.
6.
3定时执行任务典型配置举例1-61.
7配置密码恢复功能1-101.
8电源管理·1-101.
8.
1使能电源管理功能·1-111.
9配置节能功能·1-121.
9.
1使能节能功能·1-121.
9.
2切换节能状态·1-121.
10配置端口状态检测定时器1-131.
11配置内存告警门限1-131.
12关闭USB接口1-141.
13配置接口卡的工作模式·1-141.
14可插拔接口模块的识别与诊断1-161.
14.
1识别可插拔接口模块·1-161.
14.
2诊断可插拔接口模块·1-161.
14.
3关闭可插拔模块告警信息开关·1-161.
15配置设备恢复出厂设置·1-171.
16设备管理显示和维护·1-171-11设备管理通过设备管理功能,用户能够查看设备当前的工作状态,配置设备运行的相关参数,实现对设备的日常维护和管理.
目前的设备管理主要提供配置设备名称、配置系统时间、重启设备等功能.
本章节各配置任务互相独立,均为设备的可选配置,配置时没有先后顺序要求.
1.
1配置设备名称设备名称用于在网络中标识某台设备,在系统内部,设备名称对应于命令行接口的提示符,如设备的名称为Sysname,则用户视图的提示符为.
表1-1配置设备名称操作命令说明进入系统视图system-view-设置设备名称sysnamesysname缺省设备名称为H3C1.
2配置系统时间系统时间由UTC(CoordinatedUniversalTime,国际协调时间)时间、本地时区和夏令时运算得出,通过displayclock命令可以查看.
为了保证与其它设备协调工作,用户需要将系统时间配置准确.
表1-2配置系统时间操作命令说明设置UTC时间clockdatetimetimedate该命令在用户视图下执行进入系统视图system-view-配置系统所在的时区clocktimezonezone-name{add|minus}zone-offset缺省情况下,本地时区采用UTC时区设置夏令时clocksummer-timenamestart-timestart-dateend-timeend-dateadd-time缺省情况下,没有配置夏令时1.
3使能版权信息显示功能使能版权信息显示功能后,使用Telnet或SSH方式登录设备时会显示版权信息,使用Console口、AUX口或Modem方式登录设备再退出用户视图时会显示版权信息,其它情况不显示版权信息.
显示的版权信息形如:*Copyright(c)2004-2013HangzhouH3CTech.
Co.
,Ltd.
Allrightsreserved.
*1-2*Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*禁止版权信息显示功能后,在任何情况下都不会显示版权信息.
表1-3使能版权信息显示功能操作命令说明进入系统视图system-view-使能版权信息显示功能copyright-infoenable缺省情况下,版权信息显示功能处于使能状态1.
4配置欢迎信息1.
4.
1欢迎信息简介欢迎信息是用户在连接到设备后、进入CLI配置界面前系统显示的一段提示信息.
管理员可以根据需要,设置相应的欢迎信息.
按照同时配置时,显示顺序的先后,系统支持如下几种欢迎信息:legal欢迎信息.
系统在用户登录前会给出一些版权或者授权信息,然后显示legal条幅,并等待用户确认是否继续登录.
如果用户输入"Y"或者按键,则继续登录过程;如果输入"N",则断开连接,退出登录过程.
"Y"和"N"不区分大小写.
MOTD(MessageOfTheDay,每日提示)欢迎信息.
login欢迎信息.
只有用户界面下配置了password或者scheme认证方式时,才显示该欢迎信息.
incoming欢迎信息或者shell欢迎信息.
Modem拨号用户登录时显示incoming欢迎信息,其它方式登录的用户显示shell欢迎信息.
1.
4.
2输入欢迎信息输入欢迎信息时,信息内容支持单行输入和多行输入两种方式:(1)单行输入该方式下,命令关键字与欢迎信息的所有内容在同一行中输入,输入内容text的第一个字符和最后一个字符分别作为起始符和结束符,起始符和结束符可以为任意可见字符但两者必须相同,并且不会出现在欢迎信息的内容中.
此时包括命令关键字、起始符和结束符在内,一共可以输入510个字符.
在该方式下输入欢迎信息过程中不能回车(按键).
例如,设置shell欢迎信息为"Haveaniceday.
",可参照如下步骤:system-view[System]headershell%Haveaniceday.
%(2)多行输入该方式下,通过回车键将欢迎信息分多行输入,此时包括命令关键字、起始符和结束符在内,一共可以输入2000个字符.
多行输入又分三种方式:1-3命令关键字后直接回车,输入欢迎信息并以"%"作为欢迎信息的结束符结束设置,"%"不属于欢迎信息的内容.
例如,设置的欢迎信息为"Haveaniceday.
",可参照如下步骤:system-view[System]headershellPleaseinputbannercontent,andquitwiththecharacter'%'.
Haveaniceday.
%命令关键字后输入一个字符后回车,以这个字符作为欢迎信息的起始符和结束符,输入完欢迎信息以后,以结束符结束设置.
起始符和结束符不属于欢迎信息的内容.
例如,设置的欢迎信息为"Haveaniceday.
",可参照如下步骤:system-view[System]headershellAPleaseinputbannercontent,andquitwiththecharacter'A'.
Haveaniceday.
A命令关键字后输入多个字符(首尾不相同)后回车,以命令关键字后的第一个字符作为欢迎信息的起始符和结束符,输入完欢迎信息以后,以结束符结束设置.
起始符和结束符不属于欢迎信息的内容.
例如,设置的欢迎信息为"Haveaniceday.
",可参照如下步骤:system-view[System]headershellAHaveaniceday.
Pleaseinputbannercontent,andquitwiththecharacter'A'.
A单行输入方式配置的欢迎信息本身不能包含换行符.
多行输入方式配置的欢迎信息本身可以包含换行符.
配置欢迎信息内容时键入的回车,即对应最终显示的欢迎信息中的换行.
1.
4.
3配置欢迎信息表1-4配置欢迎信息操作命令说明进入系统视图system-view-配置legal欢迎信息headerlegaltext可选配置MOTD欢迎信息headermotdtext可选配置login欢迎信息headerlogintext可选配置incoming欢迎信息headerincomingtext可选配置shell欢迎信息headershelltext可选1-41.
5配置设备重启重新启动会导致业务中断,请谨慎使用.
1.
简介重启设备的方式有三种:通过断电后重新上电来重启设备(该方式又称为硬件重启或者冷启动).
该方式对设备影响较大,如果对运行中的设备进行强制断电,可能会造成数据丢失.
一般情况下,建议不要使用这种方式.
通过命令行立即重启设备.
通过命令行定时重启设备.
该方式下,用户可以设置一个时间点,让设备在该时间点自动重启,或者设置一个时延,让设备经过指定时间后自动重启.
后两种方式都属于命令行重启.
命令行重启又称为热启动,主要用于远程重启设备,而不需要到设备所在地进行断电/上电重启.
2.
配置准备重启前请使用save命令保存当前配置,以免重启后配置丢失.
(save命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理")重启前请使用displaystartup和displayboot-loader命令分别确认是否设置了合适的下次启动配置文件和下次启动文件.
如果主用启动文件损坏或者不存在,则不能通过reboot命令重启设备.
此时,可以通过指定新的主用启动文件再重启.
displaystartup命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理",displayboot-loader命令的详细介绍请参见"基础配置命令参考"中的"软件升级".
3.
配置步骤当多次使用schedulerrebootat或者schedulerrebootdelay命令配置重启时间时,最新的配置生效.
如果设备在准备重启时,用户正在进行文件操作,为了安全起见,系统将不会执行此次重启操作.
表1-5通过命令行立即重启设备操作命令说明立即重启设备或者指定子卡(MSR2600/MSR3600)reboot[slotslot-number]该命令在用户视图下执行立即重启指定单板、指定子卡或整台设备(MSR5600)reboot[slotslot-number[subslotsubslot-number]]该命令在用户视图下执行1-5表1-6通过命令行定时重启设备操作命令说明指定设备重启的具体时间和日期schedulerrebootattime[date]二者选其一缺省情况下,没有配置重启设备的时间使用该方式配置定时重启后,如果发生主备倒换,则定时重启配置将自动取消(MSR5600)两命令均在用户视图下执行配置重启设备的延迟时间schedulerrebootdelaytime1.
6配置定时执行任务功能1.
6.
1定时执行任务功能简介通过配置定时执行任务功能可以让设备在指定时刻或延迟指定时间后,自动执行指定命令,使设备能够在无人值守的情况下完成某些配置.
该功能不但增强了设备的自动控制和管理能力,提高了易用性,而且可以起到有效节能的作用.
1.
6.
2配置定时执行任务定时执行任务有两种类型:一次性执行方式和循环执行方式.
两种方式都支持在同一任务中执行多条命令.
一次性执行的配置任务不能保存到配置文件,设备重启后该任务将取消.
循环执行的配置任务能保存到配置文件,等下次时间到达,任务将自动执行.
设置的时间点到达时,系统将在后台执行指定命令,不显示任何输出信息(log、trap、debug等系统信息除外).
当需要用户交互确认时,系统将自动输入"Y"或"Yes";当需要用户交互输入字符信息时,系统将自动输入缺省字符串,没有缺省字符串的将自动输入空字符串.
配置时需要注意的是:通过command指定的命令行必须是设备上可成功执行的命令行,不能包括telnet、ftp、ssh2和monitorprocess.
由用户保证配置的正确性,否则,命令行不能自动被执行.
设备重启后,系统时间会恢复到出厂配置.
请重新配置系统时间,或者配置NTP功能,保证设备能够获得准确的时间,以便配置的定时执行任务能够在期望的时间点执行.
NTP的配置请参见"网络管理和监控配置指导"中的"NTP".
表1-7配置定时执行任务(一次性执行)操作命令说明进入系统视图system-view-创建Jobschedulerjobjob-name缺省情况下,没有创建Job为Job分配命令commandidcommand缺省情况下,没有为Job分配命令多次执行该命令可以为Job分配多条命令,命令的执行顺序由id参数的大小决定,数值小的先执行创建Scheduleschedulerscheduleschedule-name缺省情况下,没有创建Schedule1-6操作命令说明为Schedule分配Jobjobjob-name缺省情况下,没有为Schedule分配Job多次执行该命令可以为Schedule分配多个Job,各个Job之间并发执行配置在指定时刻执行Scheduletimeattimedate三者选其一缺省情况下,没有为Schedule配置执行时间使用该方式配置定时执行功能后,即便执行clockdatetime、clocksummer-time或clocktimezone命令调整了系统时间,也不会影响该任务的配置为Schedule配置执行时间timeonceattime[month-datemonth-day|week-dayweek-day&]配置延迟执行Schedule的时间timeoncedelaytime表1-8配置定时执行任务(循环执行)操作命令说明进入系统视图system-view-创建Jobschedulerjobjob-name缺省情况下,没有创建Job为Job分配命令commandidcommand缺省情况下,没有为Job分配命令多次执行该命令可以为Job分配多条命令,命令的执行顺序由id参数的大小决定,数值小的先执行创建Scheduleschedulerscheduleschedule-name缺省情况下,没有创建Schedule为Schedule分配Jobjobjob-name缺省情况下,没有为Schedule分配Job多次执行该命令可以为Schedule分配多个Job.
多个Job在Schedule指定的时间同时执行,没有先后顺序为Schedule配置循环执行时间timerepeatingattime[month-date[month-day|last]|week-dayweek-day&]二者选其一缺省情况下,没有为Schedule配置执行时间使用该方式配置定时执行功能后,即便执行clockdatetime、clocksummer-time或clocktimezone命令调整了系统时间,也不会影响该任务的配置为Schedule配置循环执行周期timerepeating[attime[date]]intervalinterval-time1.
6.
3定时执行任务典型配置举例1.
组网需求对Device进行配置,在星期一到星期五的上午八点到下午十八点开启Ethernet1/1和Ethernet1/2,其它时间关闭端口,以便起到有效节能的作用.
1-72.
组网图图1-1定时执行任务典型配置举例组网图3.
配置步骤#进入系统视图.
system-view#创建关闭Ethernet1/1的Job.
[Sysname]schedulerjobshutdown-Ethernet1/1[Sysname-job-shutdown-Ethernet1/1]command1system-view[Sysname-job-shutdown-Ethernet1/1]command2interfaceethernet1/1[Sysname-job-shutdown-Ethernet1/1]command3shutdown[Sysname-job-shutdown-Ethernet1/1]quit#创建开启Ethernet1/1的Job.
[Sysname]schedulerjobstart-Ethernet1/1[Sysname-job-start-Ethernet1/1]command1system-view[Sysname-job-start-Ethernet1/1]command2interfaceethernet1/1[Sysname-job-start-Ethernet1/1]command3undoshutdown[Sysname-job-start-Ethernet1/1]quit#创建关闭Ethernet1/2的Job.
[Sysname]schedulerjobshutdown-Ethernet1/2[Sysname-job-shutdown-Ethernet1/2]command1system-view[Sysname-job-shutdown-Ethernet1/2]command2interfaceethernet1/2[Sysname-job-shutdown-Ethernet1/2]command3shutdown[Sysname-job-shutdown-Ethernet1/2]quit#创建开启Ethernet1/2的Job.
[Sysname]schedulerjobstart-Ethernet1/2[Sysname-job-start-Ethernet1/2]command1system-view[Sysname-job-start-Ethernet1/2]command2interfaceethernet1/2[Sysname-job-start-Ethernet1/2]command3undoshutdown[Sysname-job-start-Ethernet1/2]quit#配置定时执行任务,使Device在星期一到星期五的上午八点开启pc1、pc2对应的以太网端口.
[Sysname]schedulerscheduleSTART-pc1/pc2[Sysname-schedule-START-pc1/pc2]jobstart-Ethernet1/1[Sysname-schedule-START-pc1/pc2]jobstart-Ethernet1/21-8[Sysname-schedule-START-pc1/pc2]timerepeatingat8:00week-daymontuewedthufri[Sysname-schedule-START-pc1/pc2]quit#配置定时执行任务,使Device在星期一到星期五的下午十八点关闭pc1、pc2对应的以太网端口.
[Sysname]schedulerscheduleSTOP-pc1/pc2[Sysname-schedule-STOP-pc1/pc2]jobshutdown-Ethernet1/1[Sysname-schedule-STOP-pc1/pc2]jobshutdown-Ethernet1/2[Sysname-schedule-STOP-pc1/pc2]timerepeatingat18:00week-daymontuewedthufri[Sysname-schedule-STOP-pc1/pc2]quit4.
结果验证#显示Job的配置信息.
[Sysname]displayschedulerjobJobname:shutdown-Ethernet1/1system-viewinterfaceethernet1/1shutdownJobname:shutdown-Ethernet1/2system-viewinterfaceethernet1/2shutdownJobname:start-Ethernet1/1system-viewinterfaceethernet1/1undoshutdownJobname:start-Ethernet1/2system-viewinterfaceethernet1/2undoshutdown#显示定时任务的运行信息.
[Sysname]displayschedulerscheduleSchedulename:START-pc1/pc2Scheduletype:RunoneveryMonTueWedThuFriat08:00:00Starttime:WedSep2808:00:002011Lastexecutiontime:WedSep2808:00:002011Lastcompletiontime:WedSep2808:00:032011Executioncounts:1JobnameLastexecutionstatusstart-Ethernet1/1Successfulstart-Ethernet1/2SuccessfulSchedulename:STOP-pc1/pc2Scheduletype:RunoneveryMonTueWedThuFriat18:00:00Starttime:WedSep2818:00:002011Lastexecutiontime:WedSep2818:00:0020111-9Lastcompletiontime:WedSep2818:00:012011Executioncounts:1JobnameLastexecutionstatusshutdown-Ethernet1/1Successfulshutdown-Ethernet1/2Successful#显示Job运行的输出信息.
[Sysname]displayschedulerlogfileJobname:start-Ethernet1/1Schedulename:START-pc1/pc2Executiontime:WedSep2808:00:002011Completiontime:WedSep2808:00:022011Joboutputsystem-viewSystemView:returntoUserViewwithCtrl+Z.
[Sysname]interfaceethernet1/1[Sysname-Ethernet1/1]undoshutdownJobname:start-Ethernet1/2Schedulename:START-pc1/pc2Executiontime:WedSep2808:00:002011Completiontime:WedSep2808:00:022011Joboutputsystem-viewSystemView:returntoUserViewwithCtrl+Z.
[Sysname]interfaceethernet1/2.
[Sysname-Ethernet1/2]undoshutdownJobname:shutdown-Ethernet1/1Schedulename:STOP-pc1/pc2Executiontime:WedSep2818:00:002011Completiontime:WedSep2818:00:012011Joboutputsystem-viewSystemView:returntoUserViewwithCtrl+Z.
[Sysname]interfaceethernet1/1[Sysname-Ethernet1/1]shutdownJobname:shutdown-Ethernet1/2Schedulename:STOP-pc1/pc2Executiontime:WedSep2818:00:002011Completiontime:WedSep2818:00:012011Joboutputsystem-viewSystemView:returntoUserViewwithCtrl+Z.
[Sysname]interfaceethernet1/2[Sysname-Ethernet1/2]shutdown1-101.
7配置密码恢复功能配置密码恢复功能后,当用户忘记Console口认证密码或者登录认证失败,导致无法使用Console口登录设备时,可通过Console口连接设备,硬件重启设备,并在启动过程中根据提示按进入BootROM菜单,再选择对应的BootROM菜单选项来修复这个问题.
用户可选用的修复选项和密码恢复功能是否使能有关,详见图1-2.
关闭密码恢复功能后,设备将处于一个安全性更高的状态,即当出现上述情况时,若想继续使用Console口登录设备,只能通过BootROM菜单选择将设备恢复为出厂配置之后方可继续操作,这样可以有效地防止非法用户获取启动配置文件.
除了修复选项,BootROM菜单中支持配置的其它选项也与密码恢复功能的使能状态有关,详见产品的相关手册.
图1-2Console口登录认证失败后的解决方法表1-9配置密码恢复功能操作命令说明进入系统视图system-view-使能密码恢复功能password-recoveryenable缺省情况下,密码恢复功能处于使能状态1.
8电源管理MSR系列路由器各款型对于本节所描述的特性的支持情况有所不同,详细差异信息如下:是否保存配置SkipAuthenticationforConsoleLogin重启设备进入系统视图设置新密码Console口登录认证密码丢失重启设备进入BootROM主菜单重启时使用出厂配置,但不删除下次启动配置文件重启时使用下次启动配置文件,但忽略Console用户线下的配置,Console用户线使用缺省配置SkipCurrentSystemConfigurationRestoretoFactoryDefaultConfiguration重启时使用出厂配置,并删除下次启动配置文件1-11型号特性描述MSR2600电源管理不支持MSR3600不支持MSR5600支持1.
8.
1使能电源管理功能某些电源具有自我保护机制,当电源模块发生过载、过流、过压、过温、短路等故障时,电源会进行自我硬件保护(比如:当电源由于输出过压而告警时,电源可能进入锁死状态、停止对整个机框进行供电,以便保护电源和设备不被损坏).
这样虽然保护了电源和设备的安全使用,但会对设备的正常使用造成一定的影响,严重时将导致业务全部中断.
为了尽可能减小这种影响,用户可通过启用电源管理功能,尽可能的避免电源模块发生过载现象.
电源管理功能的原理是,系统实时监控电源的可用功率和系统负载,在电源将要过载、进行自身硬件保护之前,采取保护措施(比如给用户发送提示信息、启用冗余电源以及抑制接口板供电).
冗余电源是从总电源中预留的一部分电源,用于电源备份,比如当前插入了3个电源模块,可以将其中的1个设备设置为冗余电源.
冗余电源的配置并不影响系统总电源的使用,如果使能了电源管理功能并配置了冗余电源,当电源模块故障或被拔出、或者设备耗电量增加导致不能维持配置的冗余模块数时,系统会自动启用冗余电源,请使用displaypower-supply命令随时了解电源的使用情况,以便提前采取措施预防.
该功能的作用体现在以下两个方面:接口板插入时,如果没有使能电源管理功能,系统会直接给接口板上电,这样可能会因为电源供电不足导致电源停止对整个机框供电;如果使能了电源管理功能,系统会先比较待上电接口板的最大功耗和系统的剩余功率,当最大功耗小于等于剩余功率时,才给接口板供电,当最大功耗大于剩余功率时,会启用冗余电源,如果仍然不够接口板的最大功耗,则不给接口板供电.
电源模块故障或者被拔出导致供电不足时,如果没有使能电源管理功能,电源会进行自我硬件保护;如果使能了电源管理,系统会启用冗余电源,当没有冗余电源可用时,则使用电源的自我硬件保护机制.
表1-10使能电源管理功能(MSR5600)操作命令说明进入系统视图system-view-使能电源管理功能power-supplypolicyenable缺省情况未使能电源管理功能配置冗余电源模块数power-supplypolicyredundantmodule-count缺省情况冗余电源模块数目为0只有在电源管理功能使能的情况下该命令配置后才会生效1-121.
9配置节能功能MSR系列路由器各款型对于本节所描述的特性的支持情况有所不同,详细差异信息如下:型号特性描述MSR2600配置节能功能支持MSR3600支持MSR5600不支持1.
9.
1使能节能功能设备节能主要体现在两个方面:控制设备上指示灯亮/灭以及控制以太网接口的节能状态.
当没有使能节能功能时:设备上所有指示灯都正常亮、灭、闪烁,用户可以通过指示灯的亮、灭、闪烁来判断设备运行是否正常;所有以太网接口的节能功能是否使能由设备上的当前配置来决定.
(以太网接口节能功能的详细介绍和配置请参见"接口管理配置指导"中的"以太网接口")使能节能功能后:设备上指示灯的亮/灭将根据节能状态来控制,所有以太网接口的节能功能会自动使能,从而达到节能的效果.
表1-11使能节能功能操作命令说明进入系统视图system-view-使能节能功能save-powerenable缺省情况下,节能功能处于关闭状态1.
9.
2切换节能状态使能节能功能后,设备可能处于以下状态中的一种:节能休眠状态(sleep):处于该状态的设备会强制关闭除SYS指示灯以外的面板上的所有指示灯,并自动使能所有以太网接口的节能功能;节能唤醒状态(wake):处于该状态的设备上的所有指示灯仍然正常亮、灭、闪烁,只是自动使能所有以太网接口的节能功能.
当设备处于节能休眠状态时,只要用户按设备上的按钮或者通过Console连接和设备之间有报文交互,则设备认为用户就在设备附近,需要恢复设备上指示灯的正常亮/灭以便用户了解设备的物理状态,从而设备会立即切换到节能唤醒状态;反之,当设备处于节能唤醒状态,且在time时间内(time由save-powerdelay-timer命令设置)用户没有按按钮并且没有通过Console连接和设备之间有报文交互,则设备会切换到节能休眠状态以便达到更节能的效果.
表1-12自动切换节能状态操作命令说明进入系统视图system-view-1-13操作命令说明设置设备从节能唤醒状态切换到节能休眠状态的时间间隔save-powerdelay-timertime缺省情况下,设置设备从节能唤醒状态切换到节能休眠状态的时间间隔为30秒1.
10配置端口状态检测定时器某些协议模块(比如STP、DLDP等)在特定情况下会自动关闭某个端口.
此时,可以配置一个端口状态检测定时器.
当定时器超时,如果该端口仍处于关闭状态,则协议模块会自动取消关闭动作,使端口恢复到真实的物理状态.
表1-13配置端口状态检测定时器操作命令说明进入系统视图system-view-配置端口状态检测定时器的时长shutdown-intervaltime缺省情况下,端口状态检测定时器时长为30秒1.
11配置内存告警门限系统实时监控系统剩余空闲内存大小,当条件达到时,就产生相应的告警/告警解除通知,以便通知关联的业务模块/进程采取相应的措施,以便最大限度的利用内存,又能保证设备的正常运行.
设备支持一级(minor)、二级(severe)和三级(critical)三个级别的门限,对应的系统剩余空闲内存越来越少,紧急程度越来越严重,关联模块根据收到的不同级别的告警可以采取不同的响应.
当系统剩余空闲内存第一次小于等于一级告警门限时,产生一级告警;当系统剩余空闲内存第一次小于等于二级告警门限时,产生二级告警;当系统剩余空闲内存第一次小于等于三级告警门限时,产生三级告警.
当系统剩余空闲内存大于等于二级告警门限时,产生三级告警解除通知;当系统剩余空闲内存大于等于一级告警门限时,产生二级告警解除通知;当系统剩余空闲内存大于等于正常内存大小时,产生一级告警解除通知.
同一级别的告警/告警解除通知是交替进行的:当系统剩余空闲内存小于等于某级告警门限,设备产生相应级别的告警,后续只有该告警解除了,系统剩余空闲内存再次小于等于某级告警门限时,才会再次生成该级别的告警.
当系统的剩余空闲内存大小如图1-3中曲线所示时,会生成如图1-3所示的告警和解除告警通知.
1-14图1-3内存告警示意图表1-14配置内存告警门限操作命令说明进入系统视图system-view-配置内存告警的门限值(MSR2600/MSR3600)memory-thresholdminorminor-valueseveresevere-valuecriticalcritical-valuenormalnormal-value缺省情况下,一级告警门限为96MB,二级告警门限为64MB,三级告警门限为48MB,系统恢复到正常的内存门限为128MB配置内存告警的门限值(MSR5600)memory-threshold[slotslot-number]minorminor-valueseveresevere-valuecriticalcritical-valuenormalnormal-value缺省情况下,一级告警门限为96MB,二级告警门限为64MB,三级告警门限为48MB,系统恢复到正常的内存门限为128MB1.
12关闭USB接口用户可通过USB口进行文件的上传和下载或者接USB3GModem模块.
缺省状态下USB口处于开启状态,用户可根据需要关闭USB口.
表1-15关闭USB接口操作命令说明进入系统视图system-view-关闭设备上所有的USB接口usbdisable缺省情况下,设备上所有的USB接口处于开启状态1.
13配置接口卡的工作模式设备支持的接口卡类型多样,有些卡是一卡专用,比如SIC-1FEA(1端口10/100M以太网接口卡,主要用于完成路由器与局域网的通信);有些卡具有多功能模块,比如FIC-2E1(2端口通道化E1/PRI接口卡,它可以配置指定的接口完成E1、CE1或者ISDNPRI接入);有些卡是一卡多用,通过配一级门限告警解除通知二级门限告警解除通知一级门限(minor)三级门限(critical)时间剩余空闲内存大小二级门限(severe)正常状态(normal)一级门限告警二级门限告警三级门限告警三级门限告警解除通知1-15置卡的工作模式,完成整个卡的工作模式的切换.
目前可能支持的切换模式如下(实际支持的切换模式与接口卡的型号有关,请以接口卡的实际情况为准):CPOS155M(E1/T1):支持整个接口卡E1/T1模式切换.
当工作在E1模式时,可完成E1数据流的收发及处理,提供CE1接入;当工作在T1模式时,可完成T1数据流的收发及处理,提供CT1接入.
CPOS155M(E3/T3):支持整个接口卡E3/T3/POS模式切换.
当工作在E3模式时,可完成E3高速数据流的收发和处理,提供E3数据流的接入服务,速率为34.
368Mbps;当工作在T3模式时,可完成T3高速数据流的收发及处理,提供T3数据流的接入服务,速率为44.
736Mbps;当工作在POS模式时,该接口板上的所有接口都作为POS类型接口来工作.
CPOS155M(E/T):支持整个接口卡E/T模式切换.
当工作在E模式时,可完成E3高速数据流的收发和处理,E3数据流非成帧模式接入,速率为34.
368Mbps,E3数据流成帧模式接入,速率为34.
01Mbps;也可完成E1数据流的收发和处理,提供CE1接入,可以实现ISDNPRI功能.
当工作在T模式时,可完成T3高速数据流的收发及处理,T3数据流非成帧模式接入,速率为44.
736Mbps,T3数据流成帧模式接入,速率为44.
210Mbps;也可完成T1数据流的收发和处理,提供CT1接入,可以实现ISDNPRI功能.
E-CPOS:支持整个接口卡切换到E-CPOS模式.
当工作在E-CPOS模式时,整个接口卡的接口都作为E-CPOS类型接口来工作.
POS155M/622M:支持整个接口卡OC-3c/STM-1c模式和OC-12c/STM-4c模式切换.
当工作在OC-3c/STM-1c模式时,该接口板上的所有接口的收发速率均为155Mbps;当工作在OC-12c/STM-4c模式时,所有可用接口的收发速率均为622Mbps(工作模式切换为OC-12c/STM-4c模式后,接口板上具有"SPF622M"丝印标志的接口才可用).
IPsec/SSL:支持加密卡IPsec和SSL加密模式切换.
当工作在IPsec模式时,加密卡支持IPsec协议;当工作在SSL模式时,加密卡支持SSL协议.
ATM(atm/auto/efm):支持整个接口卡ATM模式和EFM(EthernetFirstMile)模式切换.
当工作在atm模式时,该接口板上的所有接口的只能收发ATM报文;当工作在efm模式时,该接口板上的所有接口只能收发三层以太网报文;当工作在auto模式时,该接口板上的接口需要和对端协商后决定是收发ATM报文还是以太网报文.
ATM接口卡切换到efm模式后,就能在ATM网络中直接传输以太网报文.
一方便保护了用户投资,另一方面,ATM网络设备不再需要为了传输普通IP设备来回进行以太网报文和ATM报文的转换,从而提高了报文转发速度.
配置后新模式立即生效.
表1-16配置接口卡的工作模式操作命令说明进入系统视图system-view-(可选)设置接口卡的工作模式card-modeslotslot-numbermode-name-1-161.
14可插拔接口模块的识别与诊断1.
14.
1识别可插拔接口模块可以通过显示可插拔接口模块的主要特征参数或者电子标签信息来识别可插拔接口模块.
可插拔接口模块的主要特征参数包括:模块型号、连接器类型、发送激光的中心波长、信号的有效传输距离、模块生产厂商名称等信息.
电子标签信息也可以称为永久配置数据或档案信息,在单板或者设备的调试、测试过程中被写入到设备的存储器件中,包括单板的名称、生产序列号、MAC地址、制造商等信息.
表1-17识别可插拔接口模块信息操作命令说明显示可插拔接口模块的主要特征参数displaytransceiver{interface[interface-typeinterface-number]}本命令在任意视图下执行1.
14.
2诊断可插拔接口模块系统提供故障告警信息描述了可插拔接口模块的故障来源,以便用户诊断和解决故障.
系统还提供了数字诊断功能,其原理是对影响光模块工作的关键参数进行监控(这些关键参数包括:温度、电压、激光偏置电流、发送光功率和接收光功率等),当这些参数的值异常时,用户可以采取相应的措施,预防故障发生.
表1-18诊断可插拔接口模块操作命令说明显示可插拔接口模块的当前故障告警信息displaytransceiveralarm{interface[interface-typeinterface-number]}本命令在任意视图下执行显示可插拔光模块的数字诊断参数的当前测量值displaytransceiverdiagnosis{interface[interface-typeinterface-number]}本命令在任意视图下执行1.
14.
3关闭可插拔模块告警信息开关当设备上插入的光模块的生产或定制厂商不是H3C时,设备会不停打印Trap和Log信息提醒用户,要求用户更换成H3C的光模块,以便管理和维护光模块.
而H3C早期销售的光模块,可能没有记录厂商信息,但为了保护用户投资,这样的光模块还需要能继续正常使用.
此时,可以关闭可插拔模块告警信息开关,停止输出相关告警信息.
1-17表1-19关闭可插拔模块告警信息开关操作命令说明进入系统视图system-view-关闭可插拔模块告警信息开关transceiverphony-alarm-disable缺省情况下,可插拔模块告警信息开关处于开启状态1.
15配置设备恢复出厂设置当设备使用场景更改,或者设备出现故障时,可以使用本特性将设备恢复到出厂状态.
执行restorefactory-default命令后,设备将只保留".
bin"软件包、MAC地址、电子标签等维持设备正常工作必需的信息,其它文件和参数均恢复到出厂状态.
例如,设备存储介质根目录下的所有配置文件(即后缀为".
cfg"的文件)将被清除,设备在使用过程中生成的日志信息(即/logfile下的".
log"文件以及logbuffer中的信息)、Trap信息、Debug信息将被清除,BootROM菜单中各选项的值将恢复到缺省值等.
因此,请谨慎使用本特性.
表1-20配置设备恢复出厂设置操作命令说明配置设备恢复出厂设置restorefactory-default执行该命令后,需手工重启设备才能使该命令生效该命令在用户视图下执行1.
16设备管理显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后设备的运行情况,通过查看显示信息验证配置的效果.
表1-21设备管理显示和维护(MSR2600/MSR3600)操作命令显示设备的告警信息displayalarm[slotslot-number]显示系统版本信息displayversion显示系统当前的时间、日期、本地时区以及夏令时配置displayclock显示系统软件和硬件的详细版权信息displaycopyright显示CPU占用率的统计信息displaycpu-usage以图形方式显示CPU占用率统计历史信息displaycpu-usagehistory[jobjob-id]显示设备信息displaydevice[cf-card|usb][slotslot-number|verbose]1-18操作命令显示设备的电子标签信息displaydevicemanuinfo[slotslot-number]显示指定电源的电子标签信息displaydevicemanuinfopowerpower-id显示系统当前多个功能模块运行的统计信息displaydiagnostic-information[hardware|infrastructure|l2|l3|service]显示设备的温度信息displayenvironment显示设备风扇的工作状态displayfan[fan-id]显示设备的内存使用状态displaymemory显示内存告警门限相关信息displaymemory-threshold显示设备电源的信息displaypower-supply[verbose]显示Job的配置信息displayschedulerjob[job-name]显示Schedule日志文件的相关信息displayschedulerlogfile显示定时重启功能的相关配置displayschedulerreboot显示Schedule的相关信息displayschedulerschedule[schedule-name]显示设备启动软件包版本更新操作的记录displayversion-update-record清除设备启动软件包版本更新操作的记录resetversion-update-record清除Schedule日志文件的相关信息resetschedulerlogfile表1-22设备管理显示和维护(MSR5600)操作命令显示设备的告警信息displayalarm[slotslot-number]显示系统版本信息displayversion显示系统当前的时间、日期、本地时区以及夏令时配置displayclock显示系统软件和硬件的详细版权信息displaycopyright显示CPU占用率的统计信息displaycpu-usage[slotslot-number[cpucpu-number]]以图形方式显示CPU占用率统计历史信息displaycpu-usagehistory[jobjob-id][slotslot-number[cpucpu-number]]显示设备信息displaydevice[cf-card|usb][slotslot-number[subslotsubslot-number]|verbose]显示设备的电子标签信息displaydevicemanuinfo[slotslot-number[subslotsubslot-number]]显示指定风扇的电子标签信息displaydevicemanuinfofanfan-id显示指定电源的电子标签信息displaydevicemanuinfopowerpower-id1-19操作命令显示系统当前多个功能模块运行的统计信息displaydiagnostic-information[hardware|infrastructure|l2|l3|service]显示设备的温度信息displayenvironment[slotslot-number]显示设备接口板上交换芯片的通道利用率信息displayfabricutilization[slotslot-number]显示设备风扇的工作状态displayfan[fan-id]显示设备的内存使用状态displaymemory[slotslot-number[cpucpu-number]]显示内存告警门限相关信息displaymemory-threshold[slotslot-number]显示设备电源的信息displaypower-supply[verbose]显示Job的配置信息displayschedulerjob[job-name]显示Schedule日志文件的相关信息displayschedulerlogfile显示定时重启功能的相关配置displayschedulerreboot显示Schedule的相关信息displayschedulerschedule[schedule-name]显示主用主控板启动软件包版本更新操作的记录displayversion-update-record清除主用主控板启动软件包版本更新操作的记录resetversion-update-record清除主用主控板启动软件包版本更新操作的记录resetversion-update-record清除Schedule日志文件的相关信息resetschedulerlogfilei目录1Tcl·1-11.
1Tcl配置方式简介·1-11.
2通过Tcl脚本配置设备·1-11.
2.
1配置限制和指导1-11.
2.
2进入Tcl配置视图1-11.
2.
3退出Tcl配置视图1-11-11Tcl1.
1Tcl配置方式简介ComwareV7系统内嵌了Tcl(ToolCommandLanguage,工具命令语言)解析器,支持直接在设备上执行Tcl脚本命令.
在用户视图下执行tclsh命令,会进入Tcl配置视图.
为兼容Comware配置方式,在Tcl配置视图下,用户可以直接输入Tcl脚本命令,也可以输入Comware系统的命令.
命令输入完成后,直接回车即可执行.
Tcl配置视图下,支持Tcl8.
5版本的所有命令.
对于Comware系统的命令,Tcl配置视图相当于用户视图,配置方式同用户视图下的配置.
1.
2通过Tcl脚本配置设备1.
2.
1配置限制和指导在Tcl配置视图下编辑命令时,遵循以下约定:如果输入的是Tcl脚本命令,不支持输入键获得在线帮助和Tab键补全功能;如果输入的是Comware系统的命令,支持输入键获得在线帮助和Tab键补全功能.
关于输入键获得在线帮助和Tab键补全功能的详细描述,请参见"基础配置指导"中的"CLI配置".
已经成功执行的Tcl脚本命令会记录在历史命令缓冲区中,能用上下光标键对命令进行调用,但是Tcl脚本命令有多行的话,只能记录第一行;已经成功执行的Comware系统的命令会记录在历史命令缓冲区中,能用上下光标键对命令进行调用.
在Tcl中定义的环境变量可以应用到Comware系统的命令.
支持在同一行写多条Comware系统的命令,命令间用分号隔开,多条命令会一起下发,按照下发顺序执行.
1.
2.
2进入Tcl配置视图表1-1进入Tcl配置视图操作命令说明进入Tcl配置视图tclsh该命令在用户视图下执行1.
2.
3退出Tcl配置视图如果在Tcl配置视图下使用了Comware命令进入了子视图,则只能用quit命令退回到上一级视图,不能执行tclquit命令.
在Tcl配置视图下,执行quit命令退回到用户视图.
1-2表1-2退出Tcl配置视图操作命令说明从Tcl配置视图退回到用户视图tclquit该命令在Tcl配置视图下执行i目录1简介1-12License的激活和安装流程·2-13License的激活申请3-13.
1License首次激活申请3-13.
2License扩容激活申请3-44License激活文件的安装4-11-11简介H3CMSR2600/3600/5600路由器的启动软件包括BootWare文件和4个功能软件包.
这4个功能软件包根据其包含应用软件的功能特性分别命名为基础软件包、数据软件包、安全软件包和语音软件包,其中除基础软件包之外的三个软件包均需要激活和安装相应功能的License才能使用.
基础软件包:包含系统的一些基本功能,约80个特性,不需要激活和安装License.
数据软件包:包含MPLS、DLSw等数据相关特性,需要完成数据License的激活和安装.
安全软件包:包含VPN等安全相关特性,需要完成安全License的激活和安装.
语音软件包:包含BUSYOUT、VOICE等语音相关特性,需要完成语音License的激活和安装.
H3C网站提供License的激活申请功能.
H3C网站根据设备序列号和用户购买的《软件使用授权书》上的授权码等信息,激活并生成相应的License文件.
只有将License文件安装到设备上,才能使用相应软件包中的软件功能.
设备必须安装有BootWare文件和基础软件包才能正常运行,其它软件包可以根据用户需要选择安装.
2-12License的激活和安装流程License的激活申请有两种类型:License首次激活申请:如果设备是第一次申请激活文件(License文件),那么需要完成License首次激活申请;License扩容激活申请:如果设备已经申请过激活文件(License文件),又需要申请其它类型的激活文件时,那么需要完成License扩容激活申请.
License激活申请完成后,还需要将License文件安装到设备上.
3-13License的激活申请3.
1License首次激活申请步骤1访问H3C公司中文网站www.
h3c.
com.
cn,依次点击"服务支持->授权业务->License首次激活申请",即可进入如图3-1所示的"License首次激活"页面.
图3-1License首次激活页面步骤2在"产品分类"中选择"路由器_H3CMSR26"或者"路由器_H3CMSR36"或者"路由器_H3CMSR56".
如果不知道产品所属的分类,可以通过输入授权码的方式,自动联想出"产品分类".
3-2图3-2选择产品类型步骤3在弹出来的"授权信息"、"设备信息"和"用户信息"对话框中,根据表3-1中的说明,输入相应的信息,然后勾选"已阅读并同意法律声明所述服务条款各项内容",最后点击按钮.
3-3图3-3输入License首次激活信息表3-1License首次激活申请信息说明项目说明授权码《软件使用授权书》上的授权序列号必选H3C设备S/N设备的固有序列号,20位的数字或字母.
可以通过displaylicensedevice-id命令获取.
该序列号不是《软件使用授权书》上的授权序列号必选DID设备的DeviceID,32位的数字或字母.
可以通过displaylicensedevice-id命令获取.
必选最终客户单位名称使用设备的最终用户的单位名称必选申请单位名称您所在的工作单位名称必选申请联系人姓名您的姓名必选申请联系人电话您的联系电话必选3-4项目说明申请联系人E-mail您的E-mail邮箱除了"操作成功"对话框附带激活申请下来的License文件链接之外,H3C网站还会将License文件也发送一份到您的E-mail邮箱必选申请联系人邮编您所在地区的邮政编码可选申请联系人地址您的联系地址可选项目名称应用路由器设备的项目名称可选验证码网站显示的验证码,按照右边显示的数字,照样输入即可必选步骤4如果步骤3的信息填写无误,系统将提示如图3-4所示的对话框,并且对话框中附有已经申请下来的License文件的链接,点击并下载License文件到本地PC,然后按照4License激活文件的安装中所述的方法,完成License文件的安装.
图3-4License首次激活申请操作成功3.
2License扩容激活申请步骤1访问H3C公司中文网站www.
h3c.
com.
cn,依次点击"服务支持->授权业务->License扩容激活申请",即可进入如图3-5所示的"License扩容激活"页面.
图3-5License扩容激活页面步骤2在"产品分类"中选择"路由器_H3CMSR26"或者"路由器_H3CMSR36"或者"路由器_H3CMSR56".
如果不知道产品所属的分类,可以通过输入授权码的方式,自动联想出"产品分类".
3-5图3-6选择产品类型步骤2在弹出的"设备信息"对话框中,根据License扩容激活申请用户信息说明的说明,输入相应的信息,然后点击按钮.
图3-7输入License扩容激活用户信息3-6表3-2License扩容激活申请用户信息说明项目说明H3C设备S/N设备的固有序列号,20位的数字或字母.
可以通过displaylicensedevice-id命令获取.
该序列号不是《软件使用授权书》上的授权序列号必选DID设备的DeviceID,32位的数字或字母.
可以通过displaylicensedevice-id命令获取.
必选步骤3在弹出来的"授权信息"和"用户信息"对话框中,根据表3-3中的说明,输入相应的信息,然后勾选"已阅读并同意法律声明所述服务条款各项内容",最后点击按钮.
图3-8输入License扩容激活授权和用户信息3-7表3-3License扩容激活申请授权和用户信息说明项目说明授权码《软件使用授权书》上的授权序列号必选最终客户单位名称使用路由器设备的最终用户的单位名称必选申请单位名称您所在的工作单位名称必选申请联系人姓名您的姓名必选申请联系人电话您的联系电话必选申请联系人E-mail您的E-mail邮箱除了"操作成功"对话框附带激活申请下来的License文件链接之外,H3C网站还会将License文件也发送一份到您的E-mail邮箱必选申请联系人邮编您所在地区的邮政编码可选申请联系人地址您的联系地址可选项目名称应用路由器设备的项目名称可选验证码网站显示的验证码,按照右边显示的数字,照样输入即可必选步骤4如果步骤3的信息填写无误,系统将提示如图3-4所示的对话框,并且对话框中附有已经申请下来的License文件的链接,点击并下载License文件到本地PC,然后按照4License激活文件的安装中所述的方法,完成License文件的安装.
图3-9License扩容激活申请操作成功4-14License激活文件的安装(1)将获取到的激活文件通过FTP或TFTP等方式上传到设备的存储介质上.
(2)在系统视图下,通过licenseactivation-fileinstallfilepath命令完成激活文件的安装,其中filepath为激活文件路径及名称.
[H3C]licenseactivation-fileinstallcfa0:/CN29FV10112012092014434896415_data.
ak(3)在用户视图下,可以通过displaylicense命令查看License激活文件的状态信息,如果CurrentState显示为Inuse,则说明安装成功.
[H3C]displaylicensecfa0:/license/CN29FV10112012092014434896415_data.
akFeature:data-packetProductDescription:H3CMSR56DataSoftwareLicenseRegisteredat:2012-03-2303:56:53LicenseType:Trial(daysrestricted)TrialTimeLeft(days):30CurrentState:Inuse