配置linux防火墙设置

H3CSecPath系列防火墙基础配置指导(V7)新华三技术有限公司http://www.
h3c.
com资料版本:6W403-20201228产品版本:F1000-A-G3/F1000-C-G3/F1000-E-G3/F1000-S-G3F8601F1000-990-AI/F1000-980-AI/F1000-970-AI/F1000-960-AI/F1000-950-AI/F1000-930-AI/F1000-920-AIF9345F1000-910-AI/F1000-905-AIF9536F1000-E-G2/F1000-A-G2/F1000-S-G2/F1000-C-G2/F100-A-G3/F100-E-G3/F100-A-G2/F100-E-G2F9345F1000-C8180/F1000-C8170/F1000-C8160/F1000-E-VGF9345F1000-C-EI/F1000-C-HI/F100-A-EI/F100-E-EI/F100-A-HI/F100-A-SI/F100-A80-WiNetF9345F1000-C8150/F1000-C8130/F1000-C8120/F1000-C8110/F1000-S-VGF9536F100-C-A6/F100-C-A5/F100-C-A3/F100-C-G3/F100-S-G3/F100-M-G3/F100-M-G2/F100-S-G2/F100-C-G2/F100-C-EI/F100-C-HI/F100-S-HIF9536F100-C80-WiNet/F100-C60-WiNet/F100-C50-WiNet/F100-S80-WiNetF9536F100-C-A6-WL/F100-C-A5-W/F100-C-A3-WF9602LSPM6FWD8F8535LSQM2FWDSC8F8520Copyright2019-2020新华三技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言本配置指导介绍了各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例.
《基础配置指导》主要介绍CLI、RBAC、登录设备、FTP和TFTP、文件系统管理、配置文件管理、软件升级、ISSU、设备管理、Tcl、Python和License管理相关的特性.
前言部分包含如下内容:读者对象本书约定资料意见反馈读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
图形界面格式约定格式意义带尖括号""表示按钮名,如"单击按钮".
[]带方括号"[]"表示窗口名、菜单名和数据表,如"弹出[新建用户]窗口".
/多级菜单用"/"隔开.
如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下格式意义的[文件夹]菜单项.
3.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
4.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备.
该图标及其相关描述文字代表无线接入点设备.
该图标及其相关描述文字代表无线终结单元.
该图标及其相关描述文字代表无线终结者.
该图标及其相关描述文字代表无线Mesh设备.
该图标代表发散的无线射频信号.
该图标代表点到点的无线射频信号.
该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备.
TTTT该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡.
5.
示例约定由于设备型号不同、配置不同、版本升级等原因,可能造成本手册中的内容与用户使用的设备显示信息不一致.
实际使用中请以设备显示的内容为准.
本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准.
资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1CLI1-11.
1CLI简介·1-11.
2命令视图的操作·1-11.
2.
1命令视图简介·1-11.
2.
2进入系统视图·1-21.
2.
3返回上一级视图1-21.
2.
4返回用户视图·1-21.
3使用命令行在线帮助·1-21.
4命令的undo形式1-31.
5命令行输入1-31.
5.
1编辑命令行·1-31.
5.
2STRING和TEXT类型参数的输入1-41.
5.
3接口类型的输入1-41.
5.
4快速输入命令行1-61.
5.
5配置命令字符串的别名1-61.
5.
6配置命令行的快捷键1-71.
5.
7命令行输入回显功能1-91.
6解读输入错误提示信息1-91.
7使用历史命令·1-101.
7.
1功能简介1-101.
7.
2配置限制和指导1-101.
7.
3操作历史命令缓冲区1-101.
7.
4重复执行历史记录命令1-111.
8便捷地查看显示信息·1-111.
8.
1控制显示信息的分屏1-111.
8.
2查看带行号的显示信息1-121.
8.
3使用正则表达式过滤显示信息·1-121.
8.
4将显示信息保存到指定文件1-151.
8.
5各种便捷查看方式的综合应用·1-161-11CLI1.
1CLI简介CLI(CommandLineInterface,命令行接口)是用户与设备之间的文本类指令交互界面.
用户输入文本类命令,通过输入回车键提交设备执行相应命令,从而对设备进行配置和管理,并可以通过查看输出信息确认配置结果.
设备支持多种方式进入命令行接口界面,例如,通过Console口和Telnet登录设备后进入命令行接口界面等,各方式的详细描述请参见"基础配置指导"中的"登录设备".
1.
2命令视图的操作1.
2.
1命令视图简介设备提供了丰富的功能,不同的功能对应不同的配置和查询命令.
为便于用户使用这些命令,设备按功能对命令进行分类组织.
功能分类与命令视图对应,当要配置某功能的某条命令时,需要先进入这条命令所在的视图.
每个视图都有唯一的、含义清晰的提示符,例如提示符[Sysname-vlan100]表示当前的命令视图是VLAN视图,VLAN的编号是100,在该视图下可对VLAN100的属性进行配置.
命令视图采用分层结构,如图1-1所示.
图1-1命令视图示意图用户登录设备后,直接进入用户视图.
用户视图下可执行的操作主要包括查看操作、调试操作、文件管理操作、设置系统时间、重启设备、FTP和Telnet操作等.
从用户视图可以进入系统视图.
系统视图下能对设备运行参数以及部分功能进行配置,例如配置夏令时、配置欢迎信息、配置快捷键等.
在系统视图下输入特定命令,可以进入相应的功能视图,完成相应功能的配置.
例如:进入接口视图配置接口参数、进入VLAN视图给VLAN添加端口、进入用户线视图配置登录用户的属性、创建本地用户并进入本地用户视图配置本地用户的属性等.
功能视图下可能还包含子视图,例如NQA测试组视图下还包含测试类型视图,请参见各功能模块的详细描述.
VLAN视图接口视图……系统视图用户视图用户线视图本地用户视图1-2想要了解某命令视图下支持哪些命令,请在该命令视图提示符后输入.
1.
2.
2进入系统视图请在用户视图下执行本命令,进入系统视图.
system-view1.
2.
3返回上一级视图1.
配置限制和指导用户视图下执行quit命令会中断用户终端与设备之间的当前连接.
公共密钥视图下请使用peer-public-keyend命令返回系统视图.
2.
配置步骤请在任意视图下执行本命令,从当前视图退回到上一层视图.
quit1.
2.
4返回用户视图1.
功能简介在任意的非用户视图下,可以使用return命令直接返回到用户视图,而不需要多次执行quit命令逐级返回.
但是,Tcl配置视图和Pythonshell除外,在Tcl配置视图和Pythonshell下退回到用户视图的方式分别为:Tcl配置视图下请使用tclquit返回用户视图.
在Pythonshell下请通过执行exit(),从Pythonshell退回到用户视图.
2.
配置步骤返回用户视图.
请选择如下一种方式返回用户视图.
请在除Tcl配置视图和Pythonshell外的任意非用户视图下执行本命令,返回用户视图.
return按组合键从除Tcl配置视图和Pythonshell外的任意非用户视图返回用户视图.
1.
3使用命令行在线帮助在命令行输入过程中,可以在命令行的任意位置输入以获得详尽的在线帮助.
下面给出常见的在线帮助应用场景,供参考使用.
在任意视图下,输入即可获取该视图下可以使用的所有命令及其简单描述.
例如:Userviewcommands:archiveArchiveconfigurationbackupBackupoperationboot-loaderSoftwareimagefilemanagement……略……输入一条命令的关键字,后接以空格分隔的.
1-3如果位置为关键字,则列出全部关键字及其简单描述.
例如:terminaldebuggingEnabletodisplaydebugginglogsonthecurrentterminalloggingDisplaylogsonthecurrentterminalmonitorEnabletodisplaylogsonthecurrentterminal如果位置为参数,则列出有关的参数描述.
例如:system-view[Sysname]interfacevlan-interfaceVlan-interfaceinterfacenumber[Sysname]interfacevlan-interface1其中,表示该参数的取值范围为1~4094;表示命令行当前位置无参数,直接输入回车即可执行.
输入命令的不完整关键字,其后紧接,显示以该字符串开头的所有命令关键字及其帮助信息.
例如:ffdiskPartitionastoragemediumfirmwareFirmwaremanagementfixdiskCheckandrepairastoragemediumformatFormatastoragemediumfreeReleaseaconnectionftpOpenanFTPconnectionfuserDisplayprocessesthatareusingafilesystem,directory,orfiledisplayftpftpFTPmoduleftp-serverFTPserverinformationftp-userFTPuserinformation1.
4命令的undo形式命令的undo形式一般用来恢复缺省情况、关闭某个功能或者删除某项设置.
大部分配置命令都有对应的undo形式.
例如,info-centerenable命令用来开启信息中心,undoinfo-centerenable命令用来关闭信息中心.
1.
5命令行输入1.
5.
1编辑命令行编辑命令行时,系统支持如表1-1所示的单个按键和如表1-4所示的组合键.
用户通过键盘输入命令行后,按键执行该命令.
表1-1编辑功能表按键功能普通按键若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标(命令行下发前会暂时缓存在编辑缓冲区,缓冲区的大小为511个字符,如果编辑缓冲区满,则后续输入的字符无效)1-4按键功能退格键删除光标位置的前一个字符,光标前移左光标键光标向左移动一个字符位置右光标键光标向右移动一个字符位置上光标键访问上一条历史命令下光标键访问下一条历史命令键输入不完整的关键字后按下键,系统自动补全关键字:如果与之匹配的关键字唯一,则系统用此完整的关键字替代原输入并换行显示如果与之匹配的关键字不唯一,则多次按键,系统会循环显示所有以输入字符串开头的关键字如果没有与之匹配的关键字,系统会不作任何修改,重新换行显示原输入在配置文件中,存在#和version7.
1.
xxx,Releasexxx这样的特殊命令行配置信息.
#用于将两段配置信息隔开;version7.
1.
xxx,Releasexxx用于记录设备正在运行的软件包的版本信息.
这样的命令行不支持在线帮助,但可以在任意视图下执行#xxx或者在系统视图下执行versionxxx(例如执行#abc或者versionabc),执行后系统不会提示错误信息,也不会修改这些行的值.
这样的命令行用户没有必要使用,因此在命令手册中不再描述.
1.
5.
2STRING和TEXT类型参数的输入如果命令行中的参数为STRING类型,则建议输入除""、"""、"\"、空格之外的可见字符(可见字符对应的ASCII码区间为32~126),以免设备将该参数传递给其它网络设备时,对端设备无法解析.
如果STRING类型的参数中需要包含字符"""、"\",则必须使用转义字符"\"辅助输入,即实际应输入"\""、"\\";如需输入空格,则需要将整个字符串包含在双引号中,例如,若要配置字符串参数为"mydevice",则实际应输入""mydevice"".
如果命令行中的参数为TEXT类型,则除了""外的其他字符均可输入.
各业务模块可能对参数有更多的输入限制,详情请参见命令的提示信息以及命令参考中的参数描述.
1.
5.
3接口类型的输入输入接口类型时,设备支持使用接口类型的全称和简称.
使用接口类型的全称时,支持不完整的字符输入;使用接口类型简称时,必须输入完整的简称.
两种方式输入的接口类型均不区分大小写.
例如在输入interfacegigabitethernet1/0/1时,可以使用接口类型全称的不完整字符interfaceg1/0/1,也可以使用接口类型简称interfacege1/0/1.
接口类型和接口编号之间无论输入空格与否,都可以成功进入接口视图.
关于接口全名与简名的对应关系请参见下表.
1-5表1-2接口类型的全称和简称对应表接口类型全称接口类型简称AnalogmodemAMAsyncAsyIMA-groupIMA-GBridge-templateBridgeDialerDiaVirtual-AccessVAInner-EthernetI-EInLoopBackInLoopLoopBackLoopEncryptEncryEthernetEthGigabitEthernetGEVE-BridgeVEBTen-GigabitEthernetXGEVirtual-EthernetVEthM-EthernetMEM-GigabitEthernetMGESerialSersubscriber-linelineTunnelTunVlan-interfaceVlan-intVirtual-TemplateVTWLAN-TunnelWLAN-TunInAsyncInAsyBridge-AggregationBAGGRegister-TunnelREGRoute-AggregationRAGGFortyGigEFGEHundredGigEHGESAN-AggregationSAGGS-ChannelS-ChVirtual-PPPVPPPSchannel-AggregationSCH-AGGTwentyGigETGE1-6接口类型全称接口类型简称Tunnel-BundleTunnel-BVE-L2VPNL2VEVE-L3VPNL3VEBlade-AggregationBLAGGEth-channelE-ChBeth-redundancyBEthReth-redundancyRethCircuit-EmulationCEM1.
5.
4快速输入命令行设备支持不完整关键字输入,即在当前视图下,当输入的字符足够匹配唯一的关键字时,可以不必输入完整的关键字.
该功能提供了一种快捷的输入方式,有助于提高操作效率.
例如用户视图下以s开头的命令有startupsaved-configuration、system-view等.
如果要输入system-view,可以直接输入sy(不能只输入s,因为只输入s时,匹配到的关键字不唯一).
如果要输入startupsaved-configuration,可以直接输入sts.
可以按键由系统自动补全关键字的全部字符,以确认系统的选择是否为所需输入的关键字.
1.
5.
5配置命令字符串的别名1.
功能简介通过本命令用户可以为命令行指定一个或多个别名,也可以为命令行开头的一个或多个关键字配置多个别名,使其符合用户的使用习惯.
将命令displayiprouting-table的别名配置为shiprt后,就可以使用别名命令shiprt来代替执行命令displayiprouting-table.
将命令关键字displayip的别名配置为ship,就可以用别名命令ship执行所有以displayip开头的命令行,如可以使用shiprouting-table代替执行displayiprouting-table,使用shipinterface代替执行displayipinterface.
用户成功执行的带别名的命令将以系统原始的命令形式被显示或存储.
为了方便用户使用,系统定义了部分常用的关键字作为缺省别名,如表1-3所示.
表1-3系统定义的缺省别名缺省别名命令access-listaclendreturnerasedeleteexitquit1-7缺省别名命令hostnamesysnamelogginginfo-centernoundoshowdisplaywritesave2.
配置限制和指导使用本特性,只有当命令行第一个关键字或者undo命令的第二个关键字是别名时,才按照别名命令替换执行,否则按照非别名命令执行.
例如:用户成功执行的带别名的命令将以系统原始的命令形式被显示或存储.
配置别名时,可以使用$n表示命令行中的参数或者关键字,这样既可以用别名替代部分关键字来简化输入,又可以根据实际需要指定不同的参数或者关键字,增加了灵活性.
$n最多可以使用9次,n为1~9的整数,表示参数或关键字出现的顺序.
如果别名命令中定义了参数,则参数必须输入完整.
比如,将命令displayip$1|include$2的别名配置为shinc后,如果需要执行displayiprouting-table|includeStatic命令来筛选并查看路由表中的所有静态路由信息,可直接执行shincrouting-tableStatic.
系统定义的缺省别名无法取消.
3.
配置步骤(1)进入系统视图.
system-view(2)给指定的命令字符串配置别名.
aliasaliascommand系统定义的缺省别名命令,请参见表1-3.
(3)(可选)可在任意视图下执行本命令,显示命令字符串别名功能的相关配置.
displayalias[alias]1.
5.
6配置命令行的快捷键1.
功能简介为便于用户对常用命令进行快捷操作,系统提供了一系列的快捷键.
其中用户可自定义的快捷键有五个,其他快捷键(见表1-4)为系统保留的,不能通过命令行配置.
2.
配置限制和指导一个快捷键对应一个命令或功能,如果使用本命令多次定义同一快捷键,则最新配置生效.
如果多次使用本命令将多个快捷键和同一命令、功能绑定,则这些绑定的快捷键均生效.
当用户使用终端软件与设备进行交互时,如果终端软件定义快捷键(包括用户可定义和系统保留快捷键),则快捷键会遵从终端软件的定义.
1-83.
配置步骤(1)进入系统视图.
system-view(2)配置命令行的快捷键.
hotkey{ctrl_g|ctrl_l|ctrl_o|ctrl_t|ctrl_u}command缺省情况下:对应命令displaycurrent-configuration(显示当前配置).
对应命令displayiprouting-table(显示IPv4路由表信息).
对应命令undodebuggingall(关闭设备支持的所有功能项的调试开关).
未关联任何命令行.
未关联任何命令行.
(3)(可选)可在任意视图下执行本命令,显示系统中快捷键的分配信息.
displayhotkey表1-4系统保留的快捷键快捷键功能将光标移动到当前行的开头将光标向左移动一个字符停止当前正在执行的功能删除当前光标所在位置的字符将光标移动到当前行的末尾将光标向右移动一个字符删除光标左侧的一个字符终止呼出的连接显示历史缓冲区中的下一条命令显示历史缓冲区中的上一条命令重新显示当前行信息粘贴剪贴板的内容删除光标左侧连续字符串内的所有字符删除光标左侧所有的字符删除光标所在位置及其右侧所有的字符退回到用户视图终止当前连接将光标移动到左侧连续字符串的首字符处删除光标所在位置及其右侧连续字符串内的所有字符将光标向右移到下一个连续字符串之前1-9快捷键功能将光标向下移动一行(输入回车前有效)将光标向上移动一行(输入回车前有效)将光标所在位置指定为剪贴板的开始位置>将光标所在位置指定为剪贴板的结束位置1.
5.
7命令行输入回显功能1.
功能简介当用户在未完成输入操作却被大量的系统信息打断时,开启此功能可以回显用户已经输入而未提交执行的信息,方便用户继续完成未输入的内容.
2.
配置步骤(1)进入系统视图.
system-view(2)打开命令行输入回显功能.
info-centersynchronous缺省情况下,命令行输入回显功能处于关闭状态.
本命令的详细介绍请参见"网络管理和监控命令参考"中的"信息中心".
1.
6解读输入错误提示信息命令行输入完毕后,请按键执行该命令.
设备执行命令的过程中,首先会对命令行进行合法性检查.
如果通过合法性检查,则正确执行;否则,输出错误信息,常见的错误信息如表1-5所示.
表1-5命令行常见错误信息表英文错误信息错误原因%Unrecognizedcommandfoundat'^'position.
命令无法解析,符号"^"指示位置出错%Incompletecommandfoundat'^'position.
符号"^"指示位置的参数输入不完整%Ambiguouscommandfoundat'^'position.
符号"^"指示位置的关键字不明确,存在二义性%Toomanyparametersfoundat'^'position.
符号"^"指示位置的参数输入太多%Wrongparameterfoundat'^'position.
在符号"^"指示位置的参数错误1-101.
7使用历史命令1.
7.
1功能简介用户在设备上成功执行的命令,会同时保存到用户独享的历史命令缓冲区和所有用户共享的历史命令缓冲区.
表1-6历史命令缓冲区描述表选项独享历史命令缓冲区共享历史命令缓冲区内容当前用户执行成功的命令所有用户执行成功的命令查看支持支持调用支持不支持保存不保存保存调整大小支持大小固定为1024条1.
7.
2配置限制和指导设备保存用户执行过的命令时,遵循以下原则:如果用户使用了命令的不完整形式,保存的历史命令也是不完整形式.
如果用户使用了命令字符串的别名形式,保存的历史命令是原始命令形式.
如果用户连续多次执行同一条命令,设备的历史命令中只保留一次.
但如果执行时输入的形式不同,将作为不同的命令对待.
例如:连续多次执行displaycurrent-configuration命令,设备只保存一条历史命令;如果分别执行displaycurrent-configuration命令和它的不完整形式displaycu,设备将保存为两条历史命令.
如果当前历史命令缓冲区满且有新的命令需要缓存,则自动删除最早的记录,来保存新命令.
1.
7.
3操作历史命令缓冲区1.
查看历史命令缓冲区可在任意视图下执行本命令,查看独享历史命令缓冲区.
displayhistory-command可在任意视图下执行本命令,查看共享历史命令缓冲区.
displayhistory-commandall2.
调用历史命令缓冲区使用上光标键↑并回车,调用上一条历史命令;使用下光标键↓并回车,可调用下一条历史命令.
3.
配置命令缓冲区的大小在用户线/用户线类视图下执行history-commandmax-size命令,可调整独享历史命令缓冲区大小.
具体配置请参见"基础配置命令参考"中的"登录设备".
1-111.
7.
4重复执行历史记录命令1.
功能简介当需要重复执行最近的历史记录命令时,使用repeat命令可以重复多次执行多条历史命令,并且可以设置每次重复执行历史命令的时间间隔.
2.
配置限制和指导重复执行历史命令时,系统将按照历史命令的下发顺序执行.
例如,用户在某视图下依次执行命令a、b和c后,再执行repeat3命令,则系统将按照a、b和c的顺序重复执行.
重复执行某条历史命令时,需要先进入该命令所在的视图.
重复执行多条历史命令时,需要先进入第一条命令所在的视图.
如果用户重复执行的历史命令中存在交互式命令,需要用户手动处理此交互式命令,直到交互式命令执行结束,历史命令才会继续被重复执行.
3.
配置步骤可在任意视图下执行本命令,重复执行历史记录命令.
repeat[number][counttimes][delayseconds]1.
8便捷地查看显示信息1.
8.
1控制显示信息的分屏1.
功能简介缺省情况下,设备支持分屏显示功能,即当显示信息超过一屏时,系统会将信息分屏显示,并在屏间显示"----more----"信息,表示这一屏信息已经显示完毕,自动暂停,方便查看显示信息.
这时用户可以使用表1-7所示的按键来选择下一步操作.
表1-7分屏显示功能表按键功能空格键继续显示下一屏信息回车键继续显示下一行信息停止显示,退回到命令行编辑状态显示上一页信息显示下一页信息如果想要一次查看全部显示信息,可以通过以下配置关闭当前登录用户的分屏显示功能.
分屏显示功能处于关闭状态时,如果信息较多,则会连续刷屏,不方便查看.
2.
关闭分屏显示功能请在用户视图下执行本命令,关闭当前用户的分屏显示功能.
screen-lengthdisable1-12缺省情况下,用户登录后将遵循用户线下的screen-length设置.
screen-length设置的缺省情况为:允许分屏显示,下一屏显示24行数据.
screen-length命令的详细介绍请参见"基础配置命令参考"中的"登录设备"命令的执行仅对当前用户本次登录有效,用户重新登录后将恢复到缺省情况.
1.
8.
2查看带行号的显示信息1.
功能简介在用display命令查看显示信息时,用户可以用by-linenum参数在显示信息的同时显示信息行号,方便定位显示信息.
行号占5个字符,通常行号后面接":".
当by-linenum和begin参数一起使用时,行号后面还可能接"-",其中":"表示该行符合匹配规则,"-"表示该行不符合匹配规则.
2.
配置步骤按行显示display命令执行结果.
displaycommand|by-linenum3.
配置举例#显示VLAN999信息的同时显示行号.
displayvlan999|by-linenum1:VLANID:9992:VLANtype:Static3:Routeinterface:Configured4:IPv4address:192.
168.
2.
15:IPv4subnetmask:255.
255.
255.
06:Description:ForLANAccess7:Name:VLAN09998:Taggedports:None9:Untaggedports:None1.
8.
3使用正则表达式过滤显示信息1.
功能简介在执行display命令查看显示信息时,可以使用正则表达式来过滤显示信息,以便快速的找到自己关注的信息.
在display命令中通过输入|{begin|exclude|include}regular-expression参数的方式来过滤显示.
begin、exclude和include关键字的含义如下:begin:显示特定行及其以后的所有行,该特定行必须包含指定正则表达式.
exclude:显示不包含指定正则表达式的所有行.
include:只显示包含指定正则表达式的所有行.
正则表达式(regular-expression)为1~256个字符的字符串,区分大小写,它支持多种特殊字符,特殊字符的匹配规则如表1-8所示.
1-13表1-8正则表达式中的特殊字符描述表特殊字符含义举例^匹配以指定字符开始的行^u只能匹配以u开始的行,不能匹配以Au开始的行$匹配以指定字符结束的行u$只能匹配以u结尾的行,不能匹配以uA结尾的行.
通配符,可代表任何一个字符.
s可以匹配as和bs等*匹配星号前面的字符或字符串零次或多次zo*可以匹配z以及zoo(zo)*可以匹配zo以及zozo+匹配+前面的字符或字符串一次或多次zo+可以匹配zo以及zoo,但不能匹配z|匹配|左边或右边的整个字符串def|int只能匹配包含def或者int的字符串所在的行()表示字符串,一般与"+"或"*"等符号一起使用(123A)表示字符串123A;408(12)+可以匹配40812或408121212等字符串,但不能匹配408\index表示重复一次指定字符串,字符串是指\前用()括起来的字符串,index对应\前字符串的顺序号按从左至右的顺序从1开始编号:如果\前面只有一个字符串,则index只能为1;如果\前面有n个字符串,则index可以为1到n中的任意整数(string)\1表示把string重复一次,匹配的字符串必须包含stringstring;(string1)(string2)\2表示把string2重复一次,匹配的字符串必须包含string1string2string2;(string1)(string2)\1\2表示先把string1重复一次,再重复一次string2,匹配的字符串必须包含string1string2string1string2[]表示字符选择范围,将以选择范围内的单个字符为条件进行匹配,只要字符串里包含该范围的某个字符就能匹配到[16A]表示可以匹配到的字符串只需要包含1、6或A中任意一个[1-36A]表示可以匹配到的字符串只需要包含1、2、3、6或A中任意一个(-为连接符)如果]需要作为普通字符出现在[]内时,必须把]写在[]中字符的最前面,形如[]string],才能匹配到].
[没有这样的限制[^]表示选择范围外的字符,将以单个字符为条件进行匹配,只要字符串里包含该范围外的某个字符就能匹配到[^16A]表示可匹配的字符串只需要包含1、6和A之外的任意字符,该字符串也可以包含字符1、6或A,但不能只包含这三个字符.
例如[^16A]可以匹配abc、m16,不能匹配1、16、16A{n}n是一个非负整数,匹配n次o{2}不能匹配Bob,但是能匹配food{n,}n是一个非负整数,至少匹配n次o{2,}不能匹配Bob,但能匹配foooood{n,m}m和n均为非负整数,其中n小于等于m.
只要字符串里包含n到m个某字符就能匹配到o{1,3}能匹配fod、food、foood、foooood,但不能匹配fd\匹配包含指定字符串的字符串,字符串后面如果有字符则不能是数字、字母和下划线do\>匹配单词undo,还可以匹配字符串cdo\b匹配一个单词边界,也就是指单词和空格间的位置er\b可以匹配never,但不能匹配verb\ber可以匹配erase,但不能匹配verb\B匹配非单词边界er\B能匹配verb,但不能匹配never1-14特殊字符含义举例\w\w等效于[A-Za-z0-9_],是数字、字母或下划线v\w能匹配vlan,v\w还能匹配service\W\W等效于[^A-Za-z0-9_],是除了数字、字母和下划线之外的任意字符\Wa可以匹配-a,但是不能匹配2a和ba等\转义操作符,\后紧跟本表中罗列的单个特殊字符时,将去除特殊字符的特定含义\\可以匹配包含\的字符串\^可以匹配包含^的字符串\\b可以匹配包含\b的字符串2.
配置限制和指导正则表达式的执行时间和正则表达式的复杂程度成正比,对于复杂的正则表达式,执行时间会比较长,如有需要,可按键终止.
3.
配置举例#查看当前生效的配置中,从包含"line"字符串的行开始到最后一行的配置信息(该显示信息与设备型号以及用户的当前配置有关).
displaycurrent-configuration|beginlinelineclassconsoleuser-rolenetwork-admin#lineclassvtyuser-rolenetwork-operator#lineconsole0user-rolenetwork-admin#linevty031authentication-modeschemeuser-rolenetwork-operator#……略……#查看设备当前处于UP状态的接口概要信息.
displayinterfacebrief|excludeDOWNBriefinformationoninterfacesinroutemode:Link:ADM-administrativelydown;Stby-standbyProtocol:(s)-spoofingInterfaceLinkProtocolPrimaryIPDescriptionInLoop0UPUP(s)--NULL0UPUP(s)--Vlan1UPUP192.
168.
1.
83#查看SNMP相关配置.
displaycurrent-configuration|includesnmpsnmp-agentsnmp-agentcommunitywriteprivate1-15snmp-agentcommunityreadpublicsnmp-agentsys-infoversionallsnmp-agenttarget-hosttrapaddressudp-domain192.
168.
1.
26paramssecuritynamepublic1.
8.
4将显示信息保存到指定文件1.
功能简介display命令显示的内容通常是统计信息、功能是否开启以及功能的相关参数配置,这些信息在设备运行过程中会随着时间或者用户的配置而改变.
使用本配置可以将当前显示信息保存到指定文件,方便随时比对和查看.
有两种方式将显示信息保存到文件中:将显示信息独立保存到指定文件:使用该方式时,该文件只包含该显示信息的内容.
将显示信息以追加方式保存到已有文件:使用该方式时,该命令的显示信息会追加在指定文件的尾部保存,该文件能包含多条显示信息的内容.
2.
配置步骤请在任意视图下执行本命令,将显示信息独立保存到指定文件.
displaycommand>filename请在任意视图下执行本命令,将显示信息以追加方式保存到已有文件.
displaycommand>>filename3.
配置举例#将displayvlan1命令的显示信息保存到指定文件vlan.
txt.
displayvlan1>vlan.
txt#查看vlan.
txt的内容,验证display>命令的执行效果.
morevlan.
txtVLANID:1VLANtype:StaticRouteinterface:NotconfiguredDescription:VLAN0001Name:VLAN0001Taggedports:NoneUntaggedports:None#将displayvlan999的显示信息以追加方式保存到指定文件vlan.
txt.
displayvlan999>>vlan.
txt#查看vlan.
txt的内容,验证display>>命令的执行效果.
morevlan.
txtVLANID:1VLANtype:StaticRouteinterface:NotconfiguredDescription:VLAN0001Name:VLAN0001Taggedports:NoneUntaggedports:NoneVLANID:9991-16VLANtype:StaticRouteinterface:ConfiguredIPv4address:192.
168.
2.
1IPv4subnetmask:255.
255.
255.
0Description:ForLANAccessName:VLAN0999Taggedports:NoneUntaggedports:None1.
8.
5各种便捷查看方式的综合应用1.
功能简介执行display命令时,通过选择参数,可以同时实现"1.
8.
2查看带行号的显示信息"、"1.
8.
3使用正则表达式过滤显示信息"和"1.
8.
4将显示信息保存到指定文件".
2.
配置步骤请在用户视图下执行本命令,以综合使用各种方式便捷地查看显示信息.
displaycommand[|[by-linenum]{begin|exclude|include}regular-expression][>filename|>>filename]3.
配置举例下面将通过举例示意如何将各种便捷查看方式综合应用.
#按行号将当前配置保存到文件test.
txt.
displaycurrent-configuration|by-linenum>test.
txt#将SNMP的相关配置以追加方式保存到文件test.
txt.
displaycurrent-configuration|includesnmp>>test.
txt#查看当前配置,从包含"user-group"字符串的行开始到最后一行配置信息,并同时显示行号.
(行号后为":"表示该行包含"user-group"字符串,行号后为"-"表示该行不包含"user-group"字符串.
)displaycurrent-configuration|by-linenumbeginuser-group114:user-groupsystem115-#116-returni目录1RBAC·1-11.
1RBAC简介1-11.
1.
1角色权限分配·1-11.
1.
2为用户授权角色1-41.
2RBAC配置任务简介·1-51.
3创建用户角色·1-61.
4配置用户角色规则1-61.
5配置特性组1-81.
6配置资源控制策略1-81.
6.
1功能简介1-81.
6.
2配置限制和指导1-81.
6.
3配置接口资源控制策略1-81.
6.
4配置VLAN资源控制策略·1-91.
6.
5配置VPN资源控制策略·1-91.
6.
6配置安全域资源控制策略·1-101.
7为用户授权角色·1-101.
7.
1配置限制和指导1-101.
7.
2使能缺省用户角色授权功能1-101.
7.
3为远程AAA认证用户授权角色·1-111.
7.
4为本地AAA认证用户授权角色·1-111.
7.
5为非AAA认证用户授权角色·1-121.
8配置用户角色切换1-131.
8.
1功能简介1-131.
8.
2配置限制和指导1-131.
8.
3配置用户角色切换的认证方式·1-141.
8.
4配置用户角色切换的缺省目的用户角色1-141.
8.
5配置用户角色切换的密码·1-141.
8.
6配置用户角色切换认证时使用用户登录的用户名认证1-151.
8.
7切换用户角色·1-151.
9RBAC显示和维护1-161.
10RBAC常见故障处理·1-161.
10.
1被授权的用户角色与本地用户实际拥有的权限不符·1-161.
10.
2使用远程认证服务器进行身份认证的用户登录设备失败·1-16ii1-11RBAC1.
1RBAC简介RBAC(RoleBasedAccessControl,基于角色的访问控制)通过建立"权限角色"的关联实现将权限赋予给角色,并通过建立"角色用户"的关联实现为用户指定角色,从而使用户获得相应角色所具有的权限.
RBAC的基本思想就是给用户指定角色,这些角色中定义了允许用户操作哪些系统功能以及资源对象.
RBAC采用权限与用户分离的思想,提高用户权限分配的灵活性,减小用户授权管理的复杂度,降低管理开销.
1.
1.
1角色权限分配为一个用户角色赋予权限的具体实现包括以下两个方面:定义用户角色规则:实现对系统功能的操作权限的控制.
例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能.
定义资源控制策略:实现对系统资源的操作权限的控制.
例如,定义资源控制策略允许用户操作VLAN10.
资源控制策略需要与用户角色规则相配合才能生效.
在用户执行命令的过程中,系统对该命令涉及的系统资源使用权限进行动态检测,因此只有用户同时拥有执行该命令的权限和使用该资源的权限时,才能执行该命令.
例如,若管理员为某用户角色定义了一条规则允许用户执行创建VLAN的命令vlan,且同时定义了一条VLAN策略允许用户操作VLAN10,则当用户被授权此用户角色并试图创建VLAN10时,操作会被允许,但试图创建其它VLAN时,操作会被禁止.
若管理员并没有为该用户角色定义规则允许用户执行创建VLAN命令,则用户即便拥有该VLAN资源的操作权限,也无法执行相关的命令.
1.
用户角色规则用户角色规则定义了允许/禁止用户操作某些功能的权限.
一个用户角色中可以包含多条用户角色规则,每条规则定义了是允许还是禁止用户对某命令、特性、特性组、Web菜单、XML元素或者OID进行操作.
基于命令的规则:用来控制一条命令或者与指定命令关键字相匹配的一类命令是否允许被执行.
基于特性的规则:用来控制特性包含的命令是否允许被执行.
基于特性组的规则:用来同时对多个特性包含的命令进行控制.
基于Web菜单的规则:用来控制指定的Web菜单选项是否允许被操作.
基于XML元素的规则:用来控制指定的XML元素是否允许被执行.
基于OID的规则:用来控制指定的OID是否允许被SNMP访问.
RBAC对命令、特性、特性组、Web菜单、XML元素或者OID进行的操作,又包括三种类型:读类型:用于显示系统配置信息和维护信息.
如显示命令display、显示文件信息的命令dir为读类型的命令.
1-2写类型:用于对系统进行配置.
如开启信息中心功能的命令info-centerenable、配置调试信息开关的命令debugging为写类型的命令.
执行类型:用于执行特定的功能.
如ping命令、与FTP服务器建立连接的命令ftp为执行类型的命令.
一个用户角色中可以定义多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则中定义的可执行命令的并集.
若这些规则定义的权限内容有冲突,则规则编号大的有效.
例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B.
2.
资源控制策略资源控制策略规定了用户对系统资源的操作权限.
在用户角色中可定义如下类型的资源控制策略:接口策略:定义用户允许操作的接口,包括创建并进入接口策略视图、删除接口.
VLAN策略:定义用户允许操作的VLAN,包括创建并进入VLAN策略视图、删除VLAN.
VPN策略:定义用户允许操作的VPN实例,包括创建并进入VPN策略视图、删除和应用VPN实例.
安全域策略:定义用户允许操作的安全域,包括创建并进入安全域策略视图、删除和应用安全域.
在display命令中指定接口/VLAN/VPN实例/安全域参数并不属于应用接口/VLAN/VPN实例/安全域.
3.
缺省用户角色系统预定义了多种用户角色,用户角色名和对应的权限如表1-1所示.
这些用户角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限.
如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制.
在所有系统预定义的用户角色当中,仅network-admin、context-admin或者level-15角色的用户具有执行创建/修改/删除本地用户和本地用户组的权限.
其它角色的用户,即使被授权对本地用户和本地用户组的操作权限,也仅仅具有修改自身密码的权限,没有除此之外的对本地用户和本地用户组的任何操作权限.
用户以任意角色登录设备,在某视图下输入会显示该视图下系统定义的缺省别名帮助信息,但用户对帮助信息中的命令行别名未必具有实际操作权限,命令行别名的实际操作权限以原命令行的操作权限为准.
有关命令行别名的详细介绍请参见"基础配置指导"中的"CLI".
用户以任意角色登录设备,均具有执行system-view、quit和exit命令的权限.
缺省Context中系统预定义了表1-1中的所有用户角色,而非缺省Context中没有network-admin和network-operator两种用户角色.
有关Context相关的介绍请参见"虚拟化技术配置指导"中的"Context".
系统预定义的用户角色中,仅level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限,但这种修改对于displayhistory-commandall命令不生效,即不能通过添加对应的规则来更改它的缺省执行权限.
1-3表1-1系统预定义的用户角色名和对应的权限用户角色名权限network-admin可操作系统所有功能和资源(除安全日志文件管理相关命令displaysecurity-logfilesummary、info-centersecurity-logfiledirectory、security-logfilesave之外)network-operator可执行系统所有功能和资源的相关display命令(除displayhistory-commandall、displaysecurity-logfilesummary等命令,具体请通过displayrole命令查看)如果用户采用本地认证方式登录系统并被授予该角色,则可以修改自己的密码可执行进入XML视图的命令可允许用户操作所有读类型的Web菜单选项可允许用户操作所有读类型的XML元素可允许用户操作所有读类型的OIDlevel-n(n=0~15)level-0:可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为其配置权限level-1:具有level-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除displayhistory-commandall之外),以及管理员可以为其配置权限level-2~level-8和level-10~level-14:无缺省权限,需要管理员为其配置权限level-9:可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操作displayhistory-commandall命令、RBAC的命令(Debug命令除外)、文件管理、设备管理以及本地用户特性.
对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码level-15:在缺省Context中,具有与network-admin角色相同的权限;在非缺省Context中,具有与context-admin角色相同的权限security-audit安全日志管理员,仅具有安全日志文件的读、写、执行权限,具体如下:可执行安全日志文件管理相关的命令(displaysecurity-logfilesummary、info-centersecurity-logfiledirectory、security-logfilesave).
安全日志文件管理相关命令的介绍,请参见"网络管理和监控"中的"信息中心"可执行安全日志文件操作相关的命令,例如more显示安全日志文件内容;dir、mkdir操作安全日志文件目录等,具体命令的介绍请参见"基础配置命令参考"中的"文件系统管理"以上权限,仅安全日志管理员角色独有,其它任何角色均不具备该角色不能被授权给从当前用户线登录系统的用户guest-manager来宾用户管理员,只能查看和配置与来宾有关的web页面,没有控制命令行的权限context-admin可操作该Context所有功能和资源(除安全日志文件管理相关命令displaysecurity-logfilesummary、info-centersecurity-logfiledirectory、security-logfilesave之外)1-4用户角色名权限context-operator可执行该Context所有功能和资源的相关display命令(除displayhistory-commandall、displaysecurity-logfilesummary等命令,具体请通过displayrole命令查看)如果用户采用本地认证方式登录系统并被授予该角色,则可以修改自己的密码可执行进入XML视图的命令可允许用户操作所有读类型的Web菜单选项可允许用户操作所有读类型的XML元素可允许用户操作所有读类型的OIDsystem-admin系统管理员,具有部分Web页面菜单的读、写、执行权限,具体如下:对概览菜单具有读、写、执行权限对监控菜单下的系统日志菜单具有读、写、执行权限对系统菜单具体权限如下:对管理员和角色菜单仅有读权限对其它子菜单具有读、写、执行权限系统管理员角色目前仅实现Web页面功能,命令行只有ping和tracert的权限,具体权限请通过displayrole命令查看该角色不能被授权给从当前用户线登录系统的用户security-admin安全管理员,具有大部分Web页面菜单的读、写、执行权限,具体如下:对策略、对象和网络菜单具有读、写、执行权限对监控菜单具体权限如下:对系统日志、操作日志子菜单无读、写、执行权限对于其他子菜单拥有读、写、执行权限安全管理员角色目前仅实现Web页面功能,命令行只有执行ping和tracert命令的权限,具体权限请通过displayrole命令查看该角色不能被授权给当前用户线登录系统的用户audit-admin审计管理员,仅具有对监控菜单下的操作日志子菜单具有读、写、执行权限审计管理员角色目前仅实现Web页面功能,命令行只有执行ping和tracert命令的权限,具体权限请通过displayrole命令查看该角色不能授权给当前用户线登录系统的用户1.
1.
2为用户授权角色通过为用户授权角色实现角色与用户的关联.
将有效的用户角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备.
根据用户登录设备时采用的不同认证方式,可以将为用户授权角色分为AAA(Authentication、Authorization、Accounting,认证、授权、计费)方式和非AAA方式.
AAA方式:用户登录时使用的认证方式为scheme,用户登录设备后所拥有的用户角色由AAA功能进行授权.
1-5若用户通过了本地授权,则由设备为其授权用户角色,授权的用户角色是在本地用户中设置的.
若用户通过了远程授权,则由远程AAA服务器为其授权用户角色,授权的用户角色是在远程AAA服务器(RADIUS或HWTACACS服务器)上设置的.
非AAA方式:用户登录时使用的认证方式为none或者password,用户登录后所拥有的用户角色是用户线下配置的用户角色.
SSH用户通过publickey或password-publickey认证登录服务器,登录后将被授予同名的设备管理类本地用户视图下配置的授权用户角色.
以上两种方式均支持对一个用户同时授权多个用户角色.
拥有多个角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合.
例如,某用户拥有角色A,它禁止用户执行qosapplypolicy命令,且仅允许操作接口2.
同时,该用户拥有角色B,它允许用户执行qosapplypolicy命令,且允许用户操作所有接口.
则,这种情况下该用户将能够在所有接口下执行qosapplypolicy命令,以及可以操作所有的接口资源.
AAA相关内容的介绍请参见"安全配置指导"中的"AAA".
用户线相关内容的介绍请参见"基础配置指导"中的"登录设备".
1.
2RBAC配置任务简介RBAC配置任务如下:(1)创建用户角色(2)配置用户角色规则(3)(可选)配置特性组(4)配置资源控制策略配置接口资源控制策略配置VLAN资源控制策略配置VPN资源控制策略配置安全域资源控制策略(5)为用户授权角色使能缺省用户角色授权功能为远程AAA认证用户授权角色为本地AAA认证用户授权角色为非AAA认证用户授权角色(6)配置用户角色切换a.
配置用户角色切换的认证方式b.
配置用户角色切换的缺省目的用户角色c.
配置用户角色切换的密码d.
配置用户角色切换认证时使用用户登录的用户名认证e.
切换用户角色1-61.
3创建用户角色1.
功能简介如果系统预定义角色无法满足用户的权限管理需求,可以自定义用户角色来对用户权限做更精细和灵活的控制.
除系统预定义的用户角色外,系统中最多允许同时创建64个用户角色.
2.
配置步骤(1)进入系统视图.
system-view(2)创建用户角色,并进入用户角色视图.
rolenamerole-name缺省情况下,系统预定义的用户角色为network-admin、network-operator、context-admin、context-operator、level-n(n为0~15的整数)、security-audit、guest-manager、system-admin、security-admin、audit-admin.
其中,仅用户角色level-0~level-14可以自定义规则、资源控制策略以及配置描述信息.
(3)(可选)配置用户角色描述信息.
descriptiontext缺省情况下,未定义用户角色描述信息.
1.
4配置用户角色规则1.
功能简介一个用户角色中可以包含多条用户角色规则,每条规则定义了是允许或禁止用户对某命令、特性、特性组、Web菜单、XML元素或者OID进行操作.
基于非OID的规则匹配一个用户角色中可以定义多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则中定义的可执行命令的并集.
若这些规则定义的权限内容有冲突,则规则编号大的有效.
例如,角色中存在"rule1permitcommandping","rule2permitcommandtracert"和"rule3denycommandping",其中rule1和rule3冲突,规则编号大的rule3生效,匹配的结果为用户禁止执行ping命令,允许执行tracert命令.
同时存在系统预定义规则和自定义规则的用户角色时,若预定义规则定义的权限内容与自定义规则定义的权限内容有冲突,则以自定义规则为准.
基于OID的规则匹配与用户访问的OID形成最长匹配的规则生效.
例如用户访问的OID为1.
3.
6.
1.
4.
1.
25506.
141.
3.
0.
1,角色中存在"rule1permitreadwriteoid1.
3.
6","rule2denyreadwriteoid1.
3.
6.
1.
4.
1"和"rule3permitreadwriteoid1.
3.
6.
1.
4",其中rule2与用户访问的OID形成最长匹配,则认为rule2与OID匹配,匹配的结果为用户的此访问请求被拒绝.
对于定义的OID长度相同的规则,规则编号大的生效.
例如用户访问的OID为1.
3.
6.
1.
4.
1.
25506.
141.
3.
0.
1,角色中存在"rule1permitreadwriteoid1.
3.
6","rule2deny1-7readwriteoid1.
3.
6.
1.
4.
1"和"rule3permitreadwriteoid1.
3.
6.
1.
4.
1",其中rule2和rule3与访问的OID形成最长匹配,则rule3生效,匹配的结果为用户的访问请求被允许.
2.
配置限制和指导仅系统预定义的用户角色network-admin、network-operator、context-admin、context-operator、level-15具有Context特性的相应操作权限,具体请参见"表1-1系统预定义的用户角色名和对应的权限".
其它用户角色视图下,对于Context特性或Context相关命令的配置都无效.
只有具有network-admin、context-admin或者level-15用户角色的用户登录设备后才具有如下命令的操作权限,其它系统预定义角色和用户自定义角色不能执行相应的命令.
displayhistory-commandall命令.
以displayrole、displaylicense、reboot、startupsaved-configuration开头的所有命令.
系统视图下以role、undorole、super、undosuper、license、password-recovery、undopassword-recovery开头的所有命令.
系统视图下创建SNMP团体、用户或组的命令:snmp-agentcommunity、snmp-agentusm-user和snmp-agentgroup.
用户线视图下以user-role、undouser-role、authentication-mode、undoauthentication-mode、setauthenticationpassword、undosetauthenticationpassword开头的所有命令.
Schedule视图下以user-role、undouser-role开头的所有命令.
CLI监控策略视图下以user-role、undouser-role开头的所有命令.
EventMIB特性中所有类型的命令.
每个用户角色中最多可以配置256条规则,系统中的用户角色规则总数不能超过1024.
修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
3.
配置步骤(1)进入系统视图.
system-view(2)进入用户角色视图.
rolenamerole-name(3)配置用户规则.
请至少选择其中一项进行配置.
配置基于命令的规则.
rulenumber{deny|permit}commandcommand-string配置基于特性的规则.
rulenumber{deny|permit}{execute|read|write}*feature[feature-name]配置基于特性组的规则.
rulenumber{deny|permit}{execute|read|write}*feature-groupfeature-group-name只有特性组创建后,基于特性组的规则才能生效.
1-8配置基于Web菜单的规则.
rulenumber{deny|permit}{execute|read|write}*web-menu[web-string]配置基于XML元素的规则.
rulenumber{deny|permit}{execute|read|write}*xml-element[xml-string]配置基于OID的规则.
rulenumber{deny|permit}{execute|read|write}*oidoid-string1.
5配置特性组1.
功能简介特性组是一个或者多个特性的集合.
配置特性组便于管理员为有相同权限需求的多个特性定义统一的用户角色规则.
除系统预定义的特性组之外,最多允许创建64个特性组,且各特性组之间包含的特性允许重叠.
2.
配置步骤(1)进入系统视图.
system-view(2)创建特性组,并进入特性组视图.
rolefeature-groupnamefeature-group-name缺省情况下,存在两个系统预定义特性组,名称为L2和L3,且不能被修改和删除.
L2:包含所有二层协议相关功能的命令.
L3:包含所有三层协议相关功能的命令.
(3)向特性组中添加一个特性.
featurefeature-name缺省情况下,自定义特性组中不包含任何特性.
1.
6配置资源控制策略1.
6.
1功能简介资源控制策略分为接口策略、VLAN策略、VPN策略、安全域策略.
所有用户角色均具有缺省的资源控制策略,允许用户具有操作任何系统资源的权限.
若要限制或区分用户对这些资源的使用权限,则应该配置资源控制策略并在指定类型的策略中配置允许操作的资源列表.
1.
6.
2配置限制和指导修改后的资源控制策略对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.
1.
6.
3配置接口资源控制策略(1)进入系统视图.
1-9system-view(2)进入用户角色视图.
rolenamerole-name(3)进入接口策略视图.
interfacepolicydeny缺省情况下,用户角色具有操作任何接口的权限.
进入接口策略视图后,如果不配置允许操作的接口列表,则用户角色将没有操作任何接口的权限.
(4)(可选)配置允许操作的接口列表.
permitinterfaceinterface-list缺省情况下,未定义允许操作的接口列表,用户角色没有操作任何接口的权限.
可以多次执行此命令向接口列表中添加允许操作的接口.
1.
6.
4配置VLAN资源控制策略(1)进入系统视图.
system-view(2)进入用户角色视图.
rolenamerole-name(3)进入VLAN策略视图.
vlanpolicydeny缺省情况下,用户具有操作任何VLAN的权限.
进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限.
(4)(可选)配置允许操作的VLAN列表.
permitvlanvlan-id-list缺省情况下,未定义允许操作的VLAN列表,用户没有操作任何VLAN的权限.
可以多次执行此命令向VLAN列表中添加允许操作的VLAN.
1.
6.
5配置VPN资源控制策略(1)进入系统视图.
system-view(2)进入用户角色视图.
rolenamerole-name(3)进入VPN策略视图.
vpn-instancepolicydeny缺省情况下,用户具有操作任何VPN实例的权限.
进入VPN策略视图后,如果不配置允许操作的VPN实例列表,则用户将没有操作任何VPN实例的权限.
1-10(4)(可选)配置允许操作的VPN实例列表.
permitvpn-instancevpn-instance-name&缺省情况下,未定义允许操作的VPN实例列表,用户没有操作任何VPN实例的权限.
可以多次执行此命令向VPN实例列表中添加允许操作的VPN实例.
1.
6.
6配置安全域资源控制策略(1)进入系统视图.
system-view(2)进入用户角色视图.
rolenamerole-name(3)进入安全域策略视图.
security-zonepolicydeny缺省情况下,用户具有操作任何安全域的权限.
进入安全域策略视图后,如果不配置允许操作的安全域列表,则用户将没有操作任何安全域的权限.
(4)(可选)配置允许操作的安全域列表.
permitsecurity-zonesecurity-zone-name&缺省情况下,未定义允许操作的安全域列表,用户没有操作任何安全域的权限.
可以多次执行此命令向安全域列表中添加允许操作的安全域.
1.
7为用户授权角色1.
7.
1配置限制和指导为保证对用户授权角色成功,设备上必须存在对应的被授权的用户角色.
若要授权的用户角色有多个,则只要被授权的用户角色中的一个或多个在设备上存在,相应的用户角色即可授权成功;若设备上不存在任何一个被授权的用户角色,则用户角色授权将会失败.
1.
7.
2使能缺省用户角色授权功能1.
功能简介对于通过AAA认证登录设备的用户,由服务器(远程认证服务器或本地认证服务器)为其授权用户角色.
如果用户没有被授权任何用户角色,将无法成功登录设备,需要使能缺省用户角色授权功能.
为此,设备提供了一个缺省用户角色授权功能.
使能该功能后,用户在没有被服务器授权任何角色的情况下,将具有一个缺省的用户角色,该缺省用户角色可以通过参数配置为系统中已存在的任意用户角色.
2.
配置步骤(1)进入系统视图.
system-view(2)使能缺省用户角色授权功能.
1-11roledefault-roleenable[role-name]缺省情况下,缺省用户角色授权功能处于关闭状态.
若未通过authorization-attribute命令配置本地用户或用户组的授权属性,则必须使能缺省用户角色授权功能.
关于命令authorization-attribute的详细介绍请参见"安全配置命令参考"的"AAA".
1.
7.
3为远程AAA认证用户授权角色对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色.
有关AAA以及远程AAA认证相关配置的详细介绍请参见"安全配置指导"中的"AAA".
RADIUS服务器上的授权角色配置与服务器的具体情况有关,请参考服务器的配置指导进行;HWTACACS服务器上的授权角色配置必须满足格式:roles="name1name2namen",其中name1、name2、namen为要授权下发给用户的用户角色,可为多个,并使用空格分隔.
需要注意的是,若AAA服务器同时为用户授权了包括安全日志管理员在内的多个用户角色,则仅安全日志管理员角色生效;若AAA服务器同时为用户授权了包括三权分立管理员角色(system-admin、security-admin或audit-admin角色)在内的多个用户角色,则仅下发的用户角色列表中的首个三权分立管理员角色生效.
1.
7.
4为本地AAA认证用户授权角色1.
功能简介对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色.
有关AAA以及本地用户相关配置的详细介绍请参见"安全配置指导"中的"AAA".
2.
配置限制和指导由于本地用户缺省就拥有一个用户角色,如果要赋予本地用户新的用户角色,请确认是否需要保留这个缺省的用户角色,若不需要,请删除.
系统中的最后一个安全日志管理员角色的本地用户不可被删除.
安全日志管理员与其它用户角色互斥,为一个本地用户授权安全日志管理员角色时,经过界面的交互式确认后,系统会自动删除当前用户的所有其它他用户角色.
如果已经为当前本地用户授权了安全日志管理员角色,再授权其它的用户角色时,经过界面的交互确认后,系统会自动删除当前用户的安全日志管理员角色.
三权分立管理员角色(system-admin、security-admin和audit-admin角色)与其它用户角色互斥,因此在为一个本地用户授权此类用户角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它用户角色.
三权分立管理员角色(system-admin、security-admin和audit-admin角色)之间互斥,如果为当前本地用户授权了三权分立管理员角色中的一个,再授权其它的两个用户角色时,系统会通过提示信息请求确认是否删除当前用户的角色.
可通过多次执行该配置,为本地用户授权多个用户角色,最多可授权64个.
3.
配置步骤(1)进入系统视图.
system-view1-12(2)创建本地用户,并进入本地用户视图.
local-useruser-nameclass{manage|network}(3)为本地用户授权用户角色.
authorization-attributeuser-rolerole-name缺省情况下,在缺省Context中由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator;在非缺省Context中由用户角色为context-admin或者level-15的用户创建的本地用户被授权用户角色context-operator.
1.
7.
5为非AAA认证用户授权角色1.
功能简介对于不使用AAA认证登录设备的非SSH用户,由用户线配置决定为其授权的用户角色.
有关用户线相关配置的详细介绍请参见"基础配置指导"中的"登录设备".
通过publickey或password-publickey认证登录设备的SSH用户,由同名的设备管理类本地用户配置决定为其授权的用户角色.
SSH用户相关的介绍请参见"安全配置指导"中的"SSH".
2.
配置限制和指导可通过多次执行本命令,配置多个用户角色,最多可配置64个.
不能为从当前用户线登录系统的用户授权安全日志管理员的用户角色.
不能为从当前用户线登录系统的用户授权三权分立管理员的用户角色.
3.
配置步骤(1)进入系统视图.
system-view(2)进入用户线或用户线类视图.
进入用户线视图.
line{first-num1[last-num1]|{console|vty}first-num2[last-num2]}进入用户线类视图.
lineclass{console|vty}关于用户线和用户线视图下各属性生效情况和优先级的详细介绍,请参见"基础配置指导"中的"配置通过CLI登录设备".
(3)为从当前用户线登录系统的用户配置授权的用户角色.
user-rolerole-name缺省情况下,在缺省Context中使用Console用户线的用户将被授权用户角色network-admin,使用其它用户线的用户将被授权用户角色network-operator;在非缺省Context中network-admin用户将被授权用户角色context-admin,其它用户将被授权用户角色context-operator.
1-131.
8配置用户角色切换1.
8.
1功能简介切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限.
切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有角色.
为了防止对设备的误操作,通常情况下建议管理员使用较低权限的用户角色登录设备、查看设备运行参数,当需要对设备进行维护时,再临时切换到较高权限的用户角色.
当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时,为了安全起见,可以临时切换到较低权限的用户角色,来限制其他人员的操作.
为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码.
切换到不同的用户角色时,需要输入相应切换密码.
如果服务器没有响应或者没有配置用户角色切换密码,则切换操作失败,若还有备份认证方案,则转而进行备份认证.
设备支持如表1-2所示的四种用户角色切换认证方式.
表1-2用户角色的切换认证方式认证方式涵义说明local本地密码认证设备验证用户输入的用户角色切换密码使用该方式时,需要在设备上使用superpassword命令设置用户角色切换密码对于Console口登录的用户,在设备仅采用本地密码切换认证方式且未配置切换密码的情况下,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色scheme通过HWTACACS或RADIUS进行远程AAA认证设备将用户角色切换使用的用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证使用该方式时,需要进行以下相关配置:在设备上配置HWTACACS/RADIUS方案,并在ISP域中引用已创建的HWTACACS/RADIUS方案,详细介绍请参见"安全配置指导"中的"AAA"在HWTACACS/RADIUS服务器上创建相应的用户并配置密码localscheme先本地密码认证,后远程AAA认证先进行本地密码认证,若设备上未设置本地用户角色切换密码,使用Console或VTY用户线登录的用户则转为远程AAA认证schemelocal先远程AAA认证,后本地密码认证先进行远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA远程认证配置无效时,转为本地密码认证1.
8.
2配置限制和指导在进行切换操作前,请先保证配置了正确的用户角色切换密码.
当使用HWTACACS方案进行用户角色切换认证时,系统使用用户输入的用户角色切换用户名或登录的用户名进行角色切换认证,HWTACACS服务器上也必须存在相应的用户.
当用户要切换到level-n的用户角色时,要求HWTACACS服务器上存在能提供切换到level-n角色的用户.
在HWTACACS服务器上,支持切换到用户角色level-n的用户也能够支持切换到level-0到level-n之间任意的用户角色.
1-14当用户要切换到非level-n的用户角色时,要求HWTACACS服务器上存在至少能提供切换到level-0角色的用户,且该用户配置了取值为allowed-roles="role"的自定义属性(其中role为要切换的目的用户角色名称).
当使用RADIUS方案进行用户角色切换认证时,系统使用"$enabn$"形式的用户名进行用户角色切换认证,其中n为用户希望切换到的用户角色level-n中的n,RADIUS服务器上也必须存在该形式用户名的用户.
与HWTACACS不同的是,用户进行角色切换时可输入任意用户名,该名称在认证过程中无实际意义.
当用户要切换到level-n的用户角色时,要求RADIUS服务器上存在用户名为"$enabn$"的用户.
例如,用户希望切换到用户角色level-3,输入任意用户名,系统忽略用户输入的用户名,使用"$enab3$"形式的用户名进行用户角色切换认证.
当用户要切换到非level-n的用户角色时,要求RADIUS服务器上存在用户名为"$enab0$"的用户,且该用户配置了取值为allowed-roles="role"的自定义属性(其中role为要切换的目的用户角色名称).
用户进行用户角色切换认证时,系统发送给RADIUS服务器的认证请求报文中的用户名中不会携带域名,系统采用的切换认证方案使用缺省域.
用户进行用户角色切换认证时,系统发送给HWTACACS服务器的认证请求报文中的用户名是否携带域名由配置决定(user-name-format),系统采用的切换认证方案由用户输入的用户名中指定的域名决定,若该用户名中未携带域名,则使用缺省域.
当用户从用户角色a切换到用户角色b后,若输入quit命令,将退出当前登录的用户线.
1.
8.
3配置用户角色切换的认证方式(1)进入系统视图.
system-view(2)配置用户角色切换时的认证方式.
superauthentication-mode{local|scheme}*缺省情况下,采用local认证方式.
1.
8.
4配置用户角色切换的缺省目的用户角色(1)进入系统视图.
system-view(2)配置用户角色切换的缺省目的用户角色.
superdefaultrolerole-name缺省情况下,对于登录缺省Context的用户,用户角色切换的缺省目的角色为network-admin;对于登录非缺省Context的用户,用户角色切换的缺省目的角色为context-admin.
1.
8.
5配置用户角色切换的密码1.
功能简介如果用户角色的切换认证方式采用local认证方式,则需要配置用户角色切换的密码.
如果采用scheme认证方式则无需此配置.
1-152.
配置步骤(1)进入系统视图.
system-view(2)配置用户角色切换的密码.
superpassword[rolerole-name][{hash|simple}string]缺省情况下,未设置切换用户角色的密码.
若不指定用户角色,则设置的是切换到当前缺省目的用户角色的密码.
1.
8.
6配置用户角色切换认证时使用用户登录的用户名认证1.
功能简介在设备采用远程AAA认证方案进行用户角色切换认证,且用户采用用户名和密码方式登录设备的情况下,用户切换用户角色时,设备会自动获取用户登录使用的用户名作为角色切换认证的用户名,不再需要用户输入用户名.
2.
配置限制和指导开启本功能后,若设备采用远程AAA认证方案进行用户角色切换认证,但用户未采用用户名和密码方式登录设备,则用户角色切换失败.
若设备未采用远程AAA认证方案进行用户角色切换认证,则本功能配置无法生效.
3.
配置步骤(1)进入系统视图.
system-view(2)配置用户角色切换认证时使用用户登录的用户名认证.
superuse-login-username缺省情况下,用户角色切换认证时系统提示用户输入用户名进行认证.
1.
8.
7切换用户角色1.
配置限制和指导用户最多可以连续进行三次切换认证,如果三次认证都失败则本轮切换失败.
在与当前登录用户相同的ISP域中执行用户角色切换认证时,如果用户角色切换认证使用的AAA方案与登录域下配置的登录授权方法不同,可能无法切换到非level-n用户角色.
要解决此问题,建议authenticationsuper命令配置的AAA方案与登录域下通过authorizationlogin命令配置的AAA方案保持一致.
AAA相关内容的介绍请参见"安全配置指导"中的"AAA".
2.
配置准备若要执行切换用户角色的操作,必须保证当前用户具有执行本命令的权限.
3.
配置步骤请在用户视图下执行本命令,切换用户角色.
super[role-name]1-16若不指定用户角色,则切换到当前缺省目的用户角色.
缺省的目的用户角色由superdefaultrole命令指定.
1.
9RBAC显示和维护完成上述配置后,在任意视图下执行display命令可以显示配置后RBAC的运行情况,通过查看显示信息验证配置的效果.
表1-3RBAC显示和维护操作命令显示用户角色信息displayrole[namerole-name]显示特性信息displayrolefeature[namefeature-name|verbose]显示特性组信息displayrolefeature-group[namefeature-group-name][verbose]1.
10RBAC常见故障处理1.
10.
1被授权的用户角色与本地用户实际拥有的权限不符1.
故障现象用户通过本地认证并被授权指定的用户角色后,发现登录设备后实际具有的权限与被授权的用户角色权限不符.
2.
故障分析可能是该本地用户被授权了其它用户角色,例如该本地用户还具有缺省的用户角色.
3.
处理过程通过displaylocal-user命令查看该用户实际拥有的用户权限,并删除授予用户的多余用户角色.
1.
10.
2使用远程认证服务器进行身份认证的用户登录设备失败1.
故障现象在AAA配置正确及设备与服务器通信无故障的情况下,使用RADIUS服务器进行远程身份认证的用户登录设备失败.
2.
故障分析RBAC要求登录设备的用户必须至少拥有一个用户角色,如果用户没有被服务器授权任何用户角色,则登录失败.
3.
处理过程通过执行roledefault-roleenable命令允许用户使用系统预定义的缺省用户角色登录设备,或根据需要在服务器上为该用户添加要授权的用户角色.
i目录1登录设备方式介绍·1-12通过Console口首次登录设备·2-13配置通过CLI登录设备3-13.
1通过CLI登录设备简介·3-13.
1.
1用户线简介·3-13.
1.
2认证方式简介·3-13.
1.
3用户角色简介·3-23.
2CLI登录配置限制和指导3-23.
3配置通过Console口登录设备·3-33.
3.
1功能简介3-33.
3.
2配置限制和指导3-33.
3.
3通过Console口登录设备配置任务简介·3-33.
3.
4配置通过Console口登录设备的认证方式·3-33.
3.
5配置Console口登录方式的公共属性3-53.
4配置通过Telnet登录设备·3-73.
4.
1功能简介3-73.
4.
2配置限制和指导3-73.
4.
3配置设备作为Telnet服务器配置3-73.
4.
4配置设备作为Telnet客户端登录其他设备·3-113.
5配置通过SSH登录设备3-123.
5.
1功能简介3-123.
5.
2配置设备作为SSH服务器·3-123.
5.
3配置设备作为SSH客户端登录其他设备3-133.
6通过CLI登录显示和维护3-144配置通过Web登录设备·4-14.
1通过Web登录设备简介4-14.
2Web登录配置限制和指导·4-14.
3Web登录配置任务简介4-14.
4Web登录配置准备4-14.
5配置通过HTTP方式登录设备·4-14.
6配置通过HTTPS方式登录设备·4-24.
7配置用于Web登录的本地用户4-3ii4.
8管理Web登录用户连接4-44.
9通过Web登录设备显示和维护4-45配置通过SNMP登录设备·5-16配置通过RESTful登录设备·6-16.
1通过RESTful登录设备简介6-16.
2配置通过基于HTTP的RESTful方式登录设备·6-16.
3配置通过基于HTTPS的RESTful方式登录设备6-17对登录用户的控制·7-17.
1登录用户控制简介7-17.
2配置对Telnet/SSH用户的控制7-17.
2.
1配置对Telnet用户的控制·7-17.
2.
2配置对SSH用户的控制·7-17.
3配置对Web用户的控制7-27.
3.
1配置通过源IP对Web用户进行控制·7-27.
4配置命令行授权功能·7-27.
4.
1功能简介7-27.
4.
2配置限制和指导7-27.
4.
3配置步骤7-27.
5配置命令行计费功能·7-37.
5.
1功能简介7-37.
5.
2配置限制和指导7-37.
5.
3配置步骤7-31-11登录设备方式介绍设备支持以下登录方式:通过CLI登录设备.
登录成功后,可以直接输入命令行,来配置和管理设备.
CLI方式下又根据使用的登录接口以及登录协议不同,分为:通过Console口、Telnet或SSH登录方式.
通过Web登录设备.
登录成功后,用户可以使用Web界面直观地配置和管理网络设备.
通过SNMP登录设备.
登录成功后,NMS可以通过Set和Get等操作来配置和管理设备.
通过RESTful登录设备.
登录成功后,用户可以使用RESTfulAPI来配置和管理设备.
用户首次登录设备时,可以通过Console口/Web登录,设备管理接口的IP地址为192.
168.
0.
1/24,用户名和密码均为admin,且登录的是缺省Context.
只有通过Console口/Web登录到缺省Context,进行相应的配置后,才能通过其他方式登录缺省Context.
用户登录缺省Context后,可以划分非缺省Context.
非缺省Context没有Console口,所以不支持Console口本地登录方式.
在缺省Context下使用switchtocontext命令登录非缺省Context并进行相应的配置后,就能通过其他方式登录.
switchtocontext命令的详细介绍,请参见"虚拟化技术"中的"Context".
此处设备登录方式均假设设备启动后不进入自动配置程序.
2-12通过Console口首次登录设备1.
功能简介通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础.
2.
配置准备在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接.
用户可以运行这些程序来连接网络设备、Telnet或SSH站点.
这些程序的详细介绍和使用方法请参见该程序的使用指导.
3.
配置步骤通过Console口登录设备时,请按照以下步骤进行操作:(1)将PC断电.
因为PC机串口不支持热插拔,请不要在PC带电的情况下,将串口线插入或者拔出PC机.
(2)请使用产品随机附带的配置口电缆连接PC机和设备.
请先将配置口电缆的DB-9(孔)插头插入PC机的9芯(针)串口中,再将RJ-45插头端插入设备的Console口中.
连接时请认准接口上的标识,以免误插入其他接口.
在拆下配置口电缆时,请先拔出RJ-45端,再拔下DB-9端.
图2-1将设备与PC通过配置口电缆进行连接(3)给PC上电.
(4)打开终端仿真程序,按如下要求设置终端参数:波特率:9600数据位:8停止位:1奇偶校验:无流量控制:无(5)设备上电.
在设备自检结束后,用户可通过键入回车进入命令交互界面.
出现命令行提示符后即可键入命令来配置设备或查看设备运行状态,需要帮助可以随时键入.
DeviceHostRS-232Console口配置电缆3-13配置通过CLI登录设备3.
1通过CLI登录设备简介CLI登录用户的访问行为需要由用户线管理、限制,即网络管理员可以给每个用户线配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等.
当用户通过CLI登录到设备的时候,系统会给用户分配一个用户线,登录用户将受到该用户线下配置参数的约束.
3.
1.
1用户线简介1.
用户线类型设备提供如下类型的用户线:Console用户线:用来管理和监控通过Console口登录的用户.
VTY(VirtualTypeTerminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户.
2.
用户线编号用户线的编号有绝对编号方式和相对编号方式.
绝对编号方式使用绝对编号方式,可以唯一的指定一个用户线.
绝对编号从0开始自动编号,每次增长1,先给所有Console用户线编号,然后是所有VTY用户线.
使用displayline(不带参数)可查看到设备当前支持的用户线以及它们的绝对编号.
相对编号方式相对编号是每种类型用户线的内部编号,表现形式为"用户线类型编号".
用户线的编号从0开始以1为单位递增.
3.
用户线分配用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束.
用户与用户线并没有固定的对应关系:同一用户登录的方式不同,分配的用户线不同.
比如用户A使用Console口登录设备时,将受到Console用户线视图下配置的约束;当使用Telnet登录设备时,将受到VTY用户线视图下配置的约束.
同一用户登录的时间不同,分配的用户线可能不同.
比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY1.
当该用户下次再Telnet登录时,设备可能已经把VTY1分配给其他Telnet用户了,只能为该用户分配其他的用户线.
如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备.
3.
1.
2认证方式简介在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性.
设备支持配置如下认证方式:3-2认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患.
认证方式为password:表示下次使用该用户线登录时,需要输入密码.
只有密码正确,用户才能登录到设备上.
配置认证方式为password后,请妥善保存密码.
认证方式为scheme:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
配置认证方式为scheme后,请妥善保存用户名及密码.
认证方式不同,配置不同,具体配置如表3-1所示.
表3-1不同认证方式下配置任务简介认证方式认证所需配置none设置登录用户的认证方式为不认证password设置登录用户的认证方式为password认证设置密码认证的密码scheme设置登录用户的认证方式为scheme认证在ISP域视图下为login用户配置认证方法3.
1.
3用户角色简介用户角色中定义了允许用户配置的系统功能以及资源对象,即用户登录后执行的命令.
关于用户角色的详细描述以及配置请参见"基础配置指导"中的"RBAC".
对于none和password认证方式,登录用户的角色由用户线下的用户角色配置决定.
对于scheme认证方式,且用户通过SSH的publickey或password-publickey方式登录设备时,登录用户将被授予同名的设备管理类本地用户视图下配置的授权用户角色.
对于scheme认证方式,非SSH登录以及用户通过SSH的password方式登录设备时,登录用户使用AAA认证用户的角色配置.
尤其对于远程AAA认证用户,如果AAA服务器没有下发用户角色且缺省用户角色授权功能处于关闭状态时,用户将不能登录设备.
3.
2CLI登录配置限制和指导通过CLI登录设备时,有以下限制和指导:用户线视图下的配置优先于用户线类视图下的配置.
当用户线或用户线类视图下的属性配置为缺省值时,将优先采用配置为非缺省值的视图下的配置.
用户线视图下的配置只对该用户线生效.
用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效.
3-33.
3配置通过Console口登录设备3.
3.
1功能简介通过Console口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护.
如图3-1所示.
具体登录步骤,请参见通过Console口首次登录设备.
图3-1通过Console口登录设备示意图设备采用出厂配置启动时,通过Console口登录时认证方式为scheme,用户名和密码均为admin;设备采用空配置启动时,通过Console口登录时认证方式为none,可直接登录.
登录成功之后用户角色为network-admin.
首次登录后,建议修改认证方式以及其他参数来增强设备的安全性.
3.
3.
2配置限制和指导改变Console口登录的认证方式后,新认证方式对新登录的用户生效.
3.
3.
3通过Console口登录设备配置任务简介通过Console口登录设备配置任务如下:(1)配置通过Console口登录设备的认证方式配置通过Console口登录设备时无需认证(none)配置通过Console口登录设备时采用密码认证(password)配置通过Console口登录设备时采用AAA认证(scheme)(2)(可选)配置Console口登录方式的公共属性3.
3.
4配置通过Console口登录设备的认证方式1.
配置通过Console口登录设备时无需认证(none)(1)进入系统视图.
system-view(2)进入Console用户线或Console用户线类视图.
进入Console用户线视图.
lineconsolefirst-number[last-number]进入Console用户线类视图.
lineclassconsole(3)设置登录用户的认证方式为不认证.
authentication-modenone缺省情况下,用户通过Console口登录,认证方式为scheme.
DeviceHostRS-232Console口配置电缆3-4(4)配置从当前用户线登录设备的用户角色.
user-rolerole-name缺省情况下,对于缺省Context,通过Console口登录设备的用户角色为network-admin;对于非缺省Context,不支持Console口登录方式.
2.
配置通过Console口登录设备时采用密码认证(password)(1)进入系统视图.
system-view(2)进入Console用户线或Console用户线类视图.
进入Console用户线视图.
lineconsolefirst-number[last-number]进入Console用户线类视图.
lineclassconsole(3)设置登录用户的认证方式为密码认证.
authentication-modepassword缺省情况下,用户通过Console口登录,认证方式为scheme.
(4)设置认证密码.
setauthenticationpassword{hash|simple}string缺省情况下,未设置认证密码.
(5)配置从当前用户线登录设备的用户角色.
user-rolerole-name缺省情况下,对于缺省Context,通过Console口登录设备的用户角色为network-admin;对于非缺省Context,不支持Console口登录方式.
3.
配置通过Console口登录设备时采用AAA认证(scheme)(1)进入系统视图.
system-view(2)进入Console或Console用户线类视图.
进入Console用户线视图.
lineconsolefirst-number[last-number]进入Console用户线类视图.
lineclassconsole(3)设置登录用户的认证方式为通过AAA认证.
authentication-modescheme缺省情况下,用户通过Console口登录,认证方式为scheme.
(4)在ISP域视图下为login用户配置认证方法.
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案.
相关配置的详细介绍请参见"安全配置指导"中的"AAA".
3-53.
3.
5配置Console口登录方式的公共属性1.
配置限制和指导改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性.
若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致.
否则,连接失败.
2.
配置步骤(1)进入系统视图.
system-view(2)进入Console用户线或Console用户线类视图.
进入Console用户线视图.
lineconsolefirst-number[last-number]进入Console用户线类视图.
lineclassconsole(3)配置设备与访问终端之间的通信参数.
配置设备与访问终端之间的传输速率.
speedspeed-value缺省情况下,用户线的传输速率为9600bit/s.
用户线类视图下不支持该命令.
配置校验方式.
parity{even|mark|none|odd|space}缺省情况下,设备校验位的校验方式为none,即不进行校验.
用户线类视图下不支持该命令.
配置流量控制方式.
flow-control{hardware|none|software}缺省情况下,没有配置流量控制方式.
用户线类视图下不支持该命令.
配置数据位.
databits{7|8}缺省情况下,用户线的数据位为8位.
用户线类视图下不支持该命令.
类型支持的数据位传送字符的编码类型为标准ASCII码7传送字符的编码类型为扩展ASCII码8配置停止位.
stopbits{1|1.
5|2}3-6缺省情况下,用户线的停止位为1比特.
停止位用来表示单个包的结束.
停止位的位数越多,传输效率越低.
用户线类视图下不支持该命令.
(4)配置用户线的终端属性.
在用户线上启动终端服务.
shell缺省情况下,所有用户线的终端服务功能处于开启状态.
Console用户线视图下不允许关闭shell终端服务.
配置终端的显示类型.
terminaltype{ansi|vt100}缺省情况下,终端显示类型为ANSI.
建议设备的终端类型与客户端的终端类型都配置为VT100,或者均配置为ANSI的同时保证当前编辑的命令行的总字符数不超过80.
否则客户端的终端屏幕不能正常显示.
配置终端屏幕一屏显示的行数.
screen-lengthscreen-length缺省情况下,终端屏幕一屏显示的行数为24行.
screen-length0表示关闭分屏显示功能.
设置历史命令缓冲区大小.
history-commandmax-sizevalue缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令.
设置用户线的空闲超时时间.
idle-timeoutminutes[seconds]缺省情况下,所有的用户线的超时时间为10分钟,如果直到超时时间到达,某用户线一直没有用户进行操作,则该用户线将自动断开.
超时时间为0表示永远不会超时.
(5)设置终端线路的自动执行的命令.
auto-executecommandcommand缺省情况下,终端线路未设置自动执行命令.
用户登录到终端线路后,设备会自动依次执行command,然后退出当前连接.
Console用户线/Console用户线类视图下不支持该命令.
(6)配置快捷键.
配置启动终端会话的快捷键.
activation-keycharacter缺省情况下,按键启动终端会话.
配置中止当前运行任务的快捷键.
escape-key{character|default}缺省情况下,键入中止当前运行的任务.
配置对当前用户线进行锁定并重新认证的快捷键.
3-7lock-keykey-string缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键.
3.
4配置通过Telnet登录设备3.
4.
1功能简介设备可以作为Telnet服务器,以便用户能够Telnet登录到设备进行远程管理和监控.
具体配置请参见"3.
4.
3配置设备作为Telnet服务器配置".
设备也可以作为Telnet客户端,Telnet到其他设备,对别的设备进行管理和监控.
具体配置请参见"3.
4.
4配置设备作为Telnet客户端登录其他设备".
3.
4.
2配置限制和指导改变Telnet登录的认证方式后,新认证方式对新登录的用户生效.
3.
4.
3配置设备作为Telnet服务器配置1.
通过Telnet登录设备配置任务简介设备作为Telnet服务器配置任务如下:(1)开启Telnet服务(2)配置设备作为Telnet服务器时的认证方式配置Telnet登录设备时无需认证(none)配置Telnet登录设备时采用密码认证(password)配置Telnet登录设备时采用AAA认证(scheme)(3)(可选)配置Telnet服务器发送报文的公共属性(4)(可选)配置VTY用户线的公共属性2.
开启Telnet服务(1)进入系统视图.
system-view(2)开启设备的Telnet服务.
telnetserverenable缺省情况下,Telnet服务处于关闭状态.
3.
配置Telnet登录设备时无需认证(none)(1)进入系统视图.
system-view(2)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty3-8(3)设置登录用户的认证方式为不认证.
authentication-modenone缺省情况下,Telnet用户的认证方式为scheme.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(4)配置从当前用户线登录设备的用户角色.
user-rolerole-name缺省情况下,对于缺省Context,通过Telnet登录设备的用户角色为network-operator.
对于非缺省Context,通过Telnet登录的用户角色为context-operator.
4.
配置Telnet登录设备时采用密码认证(password)(1)进入系统视图.
system-view(2)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty(3)设置登录用户的认证方式为密码认证.
authentication-modepassword缺省情况下,Telnet用户的认证方式为scheme.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(4)设置密码认证的密码.
setauthenticationpassword{hash|simple}password缺省情况下,未设置密码认证的密码.
(5)(可选)配置从当前用户线登录设备的用户角色.
user-rolerole-name缺省情况下,对于缺省Context,通过Telnet登录设备的用户角色为network-operator.
对于非缺省Context,通过Telnet登录的用户角色为context-operator.
5.
配置Telnet登录设备时采用AAA认证(scheme)(1)进入系统视图.
system-view(2)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty(3)设置登录用户的认证方式为通过AAA认证.
3-9authentication-modescheme缺省情况下,Telent用户的认证方式为scheme.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(4)在ISP域视图下为login用户配置认证方法.
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案.
相关配置的详细介绍请参见"安全配置指导"中的"AAA".
6.
配置Telnet服务器发送报文的公共属性(1)进入系统视图.
system-view(2)配置Telnet服务器发送报文的DSCP优先级.
(IPv4网络)telnetserverdscpdscp-value(IPv6网络)telnetserveripv6dscpdscp-value缺省情况下,Telnet服务器发送Telnet报文的DSCP优先级为48.
(3)配置Telnet协议的端口号.
(IPv4网络)telnetserverportport-number(IPv6网络)telnetserveripv6portport-number缺省情况下,Telnet协议的端口号为23.
(4)配置Telnet登录同时在线的最大用户连接数.
aaasession-limittelnetmax-sessions缺省情况下,Telnet方式登录同时在线的最大用户连接数为32.
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败.
关于该命令的详细描述,请参见"安全命令参考"中的"AAA".
7.
配置VTY用户线的公共属性(1)进入系统视图.
system-view(2)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty(3)设置VTY终端属性.
设置在终端线路上启动终端服务.
3-10shell缺省情况下,所有用户线的终端服务功能处于开启状态.
配置终端的显示类型.
terminaltype{ansi|vt100}缺省情况下,终端显示类型为ANSI.
设置终端屏幕一屏显示的行数.
screen-lengthscreen-length缺省情况下,终端屏幕一屏显示的行数为24行.
取值为0表示关闭分屏显示功能.
设置设备历史命令缓冲区大小.
history-commandmax-sizevalue缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令.
设置VTY用户线的空闲超时时间.
idle-timeoutminutes[seconds]缺省情况下,所有的用户线的超时时间为10分钟.
如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开.
取值为0表示永远不会超时.
(4)配置VTY用户线支持的协议.
protocolinbound{all|ssh|telnet}缺省情况下,设备同时支持Telnet和SSH协议.
该配置将在用户下次使用该用户线登录时生效.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(5)设置从用户线登录后自动执行的命令.
auto-executecommandcommand缺省情况下,未配置自动执行命令.
在配置auto-executecommand命令并退出登录之前,要确保可以通过其他VTY用户登录并更改配置,以便出现问题后,能删除该配置.
配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接.
如果这条命令引发了一个任务,系统会等这个任务执行完毕后再断开连接.
(6)配置快捷键.
配置中止当前运行任务的快捷键.
escape-key{key-string|default}缺省情况下,键入中止当前运行的任务.
3-11配置对当前用户线进行锁定并重新认证的快捷键.
lock-keykey-string缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键.
3.
4.
4配置设备作为Telnet客户端登录其他设备1.
功能简介用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图3-2所示.
图3-2通过设备登录到其他设备2.
配置准备先配置设备IP地址并获取Telnet服务器的IP地址.
如果设备与Telnet服务器相连的端口不在同一子网内,请保证两台设备间路由可达.
3.
配置步骤(1)进入系统视图.
system-view(2)(可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口.
telnetclientsource{interfaceinterface-typeinterface-number|ipip-address}缺省情况下,未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址.
(3)退回用户视图.
quit(4)设备作为Telnet客户端登录到Telnet服务器.
(IPv4网络)telnetremote-host[service-port][vpn-instancevpn-instance-name][source{interfaceinterface-typeinterface-number|ipip-address}][dscpdscp-value][escapecharacter](IPv6网络)telnetipv6remote-host[-iinterface-typeinterface-number][port-number][vpn-instancevpn-instance-name][source{interfaceinterface-typeinterface-number|ipv6ipv6-address}][dscpdscp-value][escapecharacter]TelnetclientTelnetserverIPnetwork3-123.
5配置通过SSH登录设备3.
5.
1功能简介用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(SecureShell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击.
设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控.
具体配置请参见"3.
5.
2配置设备作为SSH服务器".
设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控.
具体配置请参见"3.
5.
3配置设备作为SSH客户端登录其他设备".
3.
5.
2配置设备作为SSH服务器以下配置步骤只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见"安全配置指导"中的"SSH".
(1)进入系统视图.
system-view(2)生成本地密钥对.
public-keylocalcreate{dsa|ecdsasecp256r1|rsa}(3)开启SSH服务器功能.
sshserverenable缺省情况下,SSH服务器功能处于开启状态.
(4)(可选)建立SSH用户,并指定SSH用户的认证方式.
sshuserusernameservice-typestelnetauthentication-typepassword(5)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty(6)配VTY用户线的认证方式为scheme方式.
authentication-modescheme缺省情况下,VTY用户线的认证方式为scheme.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(7)(可选)配置VTY用户线支持的SSH协议.
protocolinbound{all|ssh|telnet}缺省情况下,设备同时支持Telnet和SSH协议.
本配置将在用户下次使用该用户线登录时生效.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
3-13(8)(可选)配置SSH方式登录设备时,同时在线的最大用户连接数.
aaasession-limitsshmax-sessions缺省情况下,SSH方式登录同时在线的最大用户连接数为32.
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败.
关于该命令的详细描述,请参见"安全命令参考"中的"AAA".
(9)(可选)退回系统视图并配置VTY用户线的公共属性.
a.
退回系统视图.
quitb.
配置VTY用户线的公共属性.
详细配置请参见"3.
4.
37.
配置VTY用户线的公共属性".
3.
5.
3配置设备作为SSH客户端登录其他设备1.
功能简介用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其他设备上进行操作,如图3-3所示.
图3-3通过设备登录到其他设备2.
配置准备先配置设备IP地址并获取SSH服务器的IP地址.
如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达.
3.
配置步骤请在用户视图下执行本命令,配置设备作为SSH客户端登录到SSH服务器.
(IPv4网络)ssh2server(IPv6网络)ssh2ipv6server为配合SSH服务器,设备作为SSH客户端时还可进一步进行其他配置,具体配置请参见"安全配置指导"中的"SSH".
SSHclientSSHserverIPnetwork3-143.
6通过CLI登录显示和维护表3-2CLI显示和维护操作命令说明显示用户线的相关信息displayline[num1|{console|vty}num2][summary]在任意视图下执行显示设备作为Telnet客户端的相关配置信息displaytelnetclient在任意视图下执行显示当前正在使用的用户线以及用户的相关信息displayusers在任意视图下执行显示设备支持的所有用户线以及用户的相关信息displayusersall在任意视图下执行释放指定的用户线freeline{num1|{console|vty}num2}在用户视图下执行系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接不能使用该命令释放用户当前自己使用的连接锁定当前用户线并设置解锁密码,防止未授权的用户操作该线lock在用户视图下执行缺省情况下,系统不会自动锁定当前用户线锁定当前用户线并对其进行重新认证lockreauthentication在任意视图下执行缺省情况下,系统不会自动锁定当前用户线并对其进行重新认证请使用设备登录密码解除锁定并重新登录设备向指定的用户线发送消息send{all|num1|{console|vty}num2}在用户视图下执行4-14配置通过Web登录设备4.
1通过Web登录设备简介为了方便用户对网络设备进行配置和维护,设备提供Web功能.
用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备.
设备支持两种Web登录方式:HTTP登录方式:HTTP(HypertextTransferProtocol,超文本传输协议)用来在Internet上传递Web页面信息.
HTTP位于TCP/IP协议栈的应用层,传输层采用面向连接的TCP.
设备同时支持HTTP协议1.
0和1.
1版本.
HTTPS登录方式:HTTPS(HypertextTransferProtocolSecure,超文本传输协议的安全版本)是支持SSL(SecureSocketsLayer,安全套接字层)协议的HTTP协议.
HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理.
4.
2Web登录配置限制和指导如果设备只开启了HTTP服务,为了增强设备的安全性,HTTPS服务的端口号也会被自动打开,且在HTTP服务开启的状态下无法通过undoiphttpsenable命令关闭.
4.
3Web登录配置任务简介Web登录配置任务如下:(1)配置通过Web登录设备请选择其中一项进行配置:配置通过HTTP方式登录设备配置通过HTTPS方式登录设备(2)配置用于Web登录的本地用户(3)管理Web登录用户连接4.
4Web登录配置准备在通过Web登录设备前,需要配置设备的IP地址,确保设备与Web登录用户间路由可达.
4.
5配置通过HTTP方式登录设备(1)(可选)请在用户视图下执行本命令,配置用户访问Web的固定校验码.
webcaptchaverification-code缺省情况下,用户只能使用Web页面显示的校验码访问Web.
4-2(2)进入系统视图.
system-view(3)开启HTTP服务.
iphttpenable缺省情况下,HTTP服务处于关闭状态.
(4)(可选)配置HTTP服务的端口号.
iphttpportport-number缺省情况下,HTTP服务的端口号为80.
(5)(可选)配置HTTP服务在响应OPTIONS请求时返回的方法列表.
httpmethod{delete|get|head|options|post|put}*缺省情况下,未配置任何方法.
4.
6配置通过HTTPS方式登录设备1.
功能简介HTTPS登录方式分为以下两种:简便登录方式:采用这种方式时,设备上只需开启HTTPS服务,用户即可通过HTTPS登录设备.
此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值.
这种方式简化了配置,但是存在安全隐患.
(自签名证书指的是服务器自己生成的证书,无需从CA获取)安全登录方式:采用这种方式时,设备上不仅要开启HTTPS服务,还需要配置SSL服务器端策略、PKI域等.
这种方式配置复杂,但是具有更高的安全性.
SSL的相关描述和配置请参见"安全配置指导"中的"SSL".
PKI的相关描述和配置请参见"安全配置指导"中的"PKI".
2.
配置限制和指导HTTPS服务和SSLVPN服务使用相同的端口号时,二者引用的SSL服务器端策略必须相同,否则无法同时开启HTTPS服务和SSLVPN服务.
若要修改引用的SSL服务器端策略,则需要先关闭HTTPS服务和SSLVPN服务,修改SSL服务器端策略后,再开启HTTPS服务和SSLVPN服务,修改后的SSL服务器端策略才能生效.
更改HTTPS服务与SSL服务器端的关联策略,需要先关闭HTTP和HTTPS服务,再重新配置HTTPS服务与SSL服务器端策略关联,最后重新开启HTTP服务和HTTPS服务,新的策略即可生效.
如需恢复HTTPS使用自签名证书的情况,必须先关闭HTTP和HTTPS服务,再执行undoiphttpsssl-server-policy,最后重新开启HTTP服务和HTTPS服务即可.
开启HTTPS服务,会触发SSL的握手协商过程.
在SSL握手协商过程中,如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程.
由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务.
此时,需要多次执行iphttpsenable命令,HTTPS服务才能正常启动.
4-3如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verifyenable命令,且证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备.
3.
配置通过HTTPS方式登录设备(1)(可选)请在用户视图下执行本命令,配置用户访问Web的固定校验码.
webcaptchaverification-code缺省情况下,用户只能使用Web页面显示的校验码访问Web.
(2)进入系统视图.
system-view(3)(可选)配置HTTPS服务与其他策略的关联.
配置HTTPS服务与SSL服务器端策略关联.
iphttpsssl-server-policypolicy-name缺省情况下,HTTPS服务未与SSL服务器端策略关联,HTTPS使用自签名证书.
配置HTTPS服务与证书属性访问控制策略关联.
iphttpscertificateaccess-control-policypolicy-name缺省情况下,HTTPS服务未与证书属性访问控制策略关联.
通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制.
证书属性访问控制策略的详细介绍请参见"安全配置指导"中的"PKI".
(4)开启HTTPS服务.
iphttpsenable缺省情况下,HTTPS服务处于开启状态.
(5)(可选)配置HTTPS服务的端口.
iphttpsportport-number缺省情况下,HTTPS服务的端口号为443.
(6)(可选)配置使用HTTPS登录设备时的方式.
webhttps-authorizationmode{certificate|certificate-manual|manual}缺省情况下,用户使用HTTPS登录设备时的方式为manual.
(7)(可选)配置通过数字证书登录设备时使用的用户名.
webhttps-authorizationusername{cn|email-prefix|oidoid-value}缺省情况下,使用数字证书中的CN(CommonName,公用名称)字段,作为通过数字证书登录设备时使用的用户名.
4.
7配置用于Web登录的本地用户(1)进入系统视图.
system-view(2)创建本地用户用于Web登录,并进入本地用户视图.
local-useruser-name[classmanage]4-4(3)(可选)设置本地用户的密码.
password[{hash|simple}password]缺省情况下,不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其他属性验证通过即可认证成功.
(4)配置Web登录用户的属性.
配置Web登录的用户角色.
authorization-attributeuser-roleuser-role缺省情况下,Web登录的用户角色为network-operator.
配置Web登录用户的服务类型.
service-type{http|https}缺省情况下,未配置用户的服务类型.
4.
8管理Web登录用户连接1.
配置Web登录用户连接的超时时间(1)进入系统视图.
system-view(2)配置Web登录用户连接的超时时间.
webidle-timeoutminutes缺省情况下,Web闲置超时时间为10分钟.
2.
配置同时在线的最大Web用户连接数(1)进入系统视图.
system-view(2)配置同时在线的最大Web用户连接数.
aaasession-limit{http|https}max-sessions缺省情况下,同时在线的最大Web用户连接数为32.
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败.
关于该命令的详细描述,请参见"安全命令参考"中的"AAA".
3.
强制在线Web用户下线请在用户视图下执行本命令,强制在线Web用户下线.
freewebusers{all|user-iduser-id|user-nameuser-name}4.
9通过Web登录设备显示和维护在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息、HTTP的状态信息和HTTPS的状态信息,通过查看显示信息验证配置的效果;可以在用户视图下执行freewebusers命令来强制在线Web用户下线.
4-5表4-1Web用户显示操作命令显示HTTP的状态信息displayiphttp显示HTTPS的状态信息displayiphttps显示Web的页面菜单树displaywebmenu[chinese]显示Web用户的相关信息displaywebusers强制在线Web用户下线freewebusers{all|user-iduser-id|user-nameuser-name}5-15配置通过SNMP登录设备使用SNMP协议,用户可通过NMS(NetworkManagementSystem,网络管理系统)登录到设备上,通过Set和Get等操作对设备进行管理、配置,如图5-1所示.
图5-1通过SNMP登录设备组网图通过SNMP登录设备的详细介绍,请参见"网络管理和监控配置指导"中的"SNMP".
AgentNMSMIBGet/SetrequestsGet/SetresponsesandTraps6-16配置通过RESTful登录设备6.
1通过RESTful登录设备简介为了方便用户对网络设备进行配置和维护,设备提供了RESTfulAPI(RepresentationalStateTransferApplicationProgrammingInterface).
用户遵循API参数和返回值约定,使用python、ruby或java等语言进行编程,发送HTTP或HTTPS报文到设备进行认证,认证成功后,可以通过在HTTP或HTTPS报文中指定RESTfulAPI操作来配置和维护设备,这些操作包括Get、Put、Post、Delete等等.
设备支持HTTP和HTTPS两种方式在Internet上传递RESTful请求信息.
6.
2配置通过基于HTTP的RESTful方式登录设备(1)进入系统视图.
system-view(2)开启基于HTTP的RESTful功能.
restfulhttpenable缺省情况下,基于HTTP的RESTful功能处于关闭状态.
(3)创建本地用户用于RESTful登录,并进入本地用户视图.
local-useruser-name[classmanage](4)设置本地用户的密码.
password[{hash|simple}password](5)(可选)配置RESTful用户的角色.
authorization-attributeuser-roleuser-role缺省情况下,RESTful用户的角色为network-operator.
(6)配置RESTful用户的服务类型为HTTP.
service-typehttp缺省情况下,未配置用户的服务类型.
6.
3配置通过基于HTTPS的RESTful方式登录设备(1)进入系统视图.
system-view(2)(可选)配置基于HTTPS的RESTful功能与SSL服务器端策略关联.
restfulhttpsssl-server-policypolicy-name缺省情况下,基于HTTPS的RESTful功能未与SSL服务器端策略关联.
配置该功能后,设备将使用SSL服务器端策略指定的加密套件等SSL参数建立连接,以加强基于HTTPS的RESTful功能的安全性.
有关SSL服务器端策略的配置,请参见"安全配置指导"中的"SSL".
6-2(3)开启基于HTTPS的RESTful功能.
restfulhttpsenable缺省情况下,基于HTTPS的RESTful功能处于关闭状态.
(4)创建本地用户用于RESTful登录,并进入本地用户视图.
local-useruser-name[classmanage](5)设置本地用户的密码.
password[{hash|simple}password](6)(可选)配置RESTful用户的角色.
authorization-attributeuser-roleuser-role缺省情况下,RESTful用户的角色为network-operator.
(7)配置RESTful用户的服务类型为HTTPS.
service-typehttps缺省情况下,未配置用户的服务类型.
7-17对登录用户的控制7.
1登录用户控制简介通过引用ACL(AccessControlList,访问控制列表),可以对访问设备的登录用户进行控制:当未引用ACL时,允许所有登录用户访问设备;当引用的ACL不存在、或者引用的ACL为空时,禁止所有登录用户访问设备;对于Web用户,当引用的ACL不存在、或者引用的ACL为空时,是允许所有Web用户访问设备的.
当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其他用户不允许访问设备,以免非法用户访问设备.
关于ACL的详细描述和介绍请参见"ACL和QoS配置指导"中的"ACL".
用户登录后,可以通过AAA功能来对用户使用的命令行进行授权和计费.
7.
2配置对Telnet/SSH用户的控制7.
2.
1配置对Telnet用户的控制(1)进入系统视图.
system-view(2)配置对Telnet用户的访问控制.
(IPv4网络)telnetserveracl[mac]acl-number(IPv6网络)telnetserveripv6acl{ipv6|mac}acl-number缺省情况下,未对Telnet用户进行ACL限制.
(3)(可选)开启匹配ACLdeny规则后打印日志信息功能.
telnetserveracl-deny-logenable缺省情况下,匹配ACLdeny规则后打印日志信息功能处于关闭状态.
7.
2.
2配置对SSH用户的控制(1)进入系统视图.
system-view(2)配置对SSH用户的访问控制.
(IPv4网络)7-2sshserveracl{advanced-acl-number|basic-acl-number|macmac-acl-number}(IPv6网络)sshserveripv6acl{ipv6{advanced-acl-number|basic-acl-number}|macmac-acl-number}缺省情况下,未SSH用户进行ACL限制.
(3)(可选)开启匹配ACLdeny规则后打印日志信息功能.
sshserveracl-deny-logenable关于sshserveracl、sshserveripv6acl和sshserveracl-deny-logenable命令的详细介绍请参见"安全命令参考"中的"SSH".
7.
3配置对Web用户的控制7.
3.
1配置通过源IP对Web用户进行控制(1)进入系统视图.
system-view(2)引用访问控制列表对Web用户进行控制.
请选择其中一项进行配置.
对HTTP登录用户进行控制:iphttpacl[advanced|mac]{acl-number|nameacl-name}对HTTPS登录用户进行控制:iphttpsacl[advanced|mac]{acl-number|nameacl-name}缺省情况下,Web用户没有引用访问控制列表.
7.
4配置命令行授权功能7.
4.
1功能简介缺省情况下,用户登录设备后可以使用的命令行由用户拥有的用户角色决定.
当用户线采用AAA认证方式并配置命令行授权功能后,用户可使用的命令行将受到用户角色和AAA授权的双重限制.
用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.
7.
4.
2配置限制和指导要使配置的命令行授权功能生效,还需要在ISP域视图下配置命令行授权方法.
命令行授权方法可以和login用户的授权方法相同,也可以不同.
相关详细介绍请参见"安全配置指导"中的"AAA".
7.
4.
3配置步骤(1)进入系统视图.
system-view(2)进入用户线/用户线类视图.
请选择其中一项进行配置.
进入用户线视图.
7-3line{first-number1[last-number1]|{console|vty}first-number2[last-number2]}进入用户线类视图.
lineclass{console|vty}用户线视图下的配置优先于用户线类视图下的配置.
用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
用户线类视图下的配置修改会在用户下次登录后生效.
(3)设置登录用户的认证方式为通过AAA认证.
authentication-modescheme缺省情况下,用户通过Console口登录,认证方式为scheme;用户通过VTY用户线登录,认证方式为scheme.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(4)开启命令行授权功能.
commandauthorization缺省情况下,命令行授权功能处于关闭状态,即用户登录后执行命令行不需要授权.
如果用户类视图下开启了命令行授权功能,则该类型用户线视图都开启命令行授权功能,并且在该类型用户线视图下将无法关闭命令行授权功能.
7.
5配置命令行计费功能7.
5.
1功能简介当用户线采用AAA认证方式并配置命令行计费功能后,系统会将用户执行过的命令记录到HWTACACS服务器上,以便集中监视用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,则用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
7.
5.
2配置限制和指导要使配置的命令行计费功能生效,还需要在ISP域视图下配置命令行计费方法.
命令行计费方法、命令行授权方法、login用户的授权方法可以相同,也可以不同.
相关详细介绍请参见"安全配置指导"中的"AAA".
7.
5.
3配置步骤(1)进入系统视图.
system-view(2)进入用户线/用户线类视图.
请选择其中一项进行配置.
进入用户线视图.
line{first-number1[last-number1]|{console|vty}first-number2[last-number2]}进入用户线类视图.
7-4lineclass{console|vty}用户线视图下的配置优先于用户线类视图下的配置.
用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
用户线类视图下的配置修改将在用户下次登录后生效.
(3)设置登录用户的认证方式为通过AAA认证.
authentication-modescheme缺省情况下,用户通过Console口登录,认证方式为scheme;用户通过VTY用户线登录,认证方式为scheme.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(4)开启命令行计费功能.
commandaccounting缺省情况下,命令行计费功能处于关闭状态.
如果用户类视图下开启了命令行计费功能,则该类型用户线视图都开启命令行计费功能,并且在该类型用户线视图下将无法关闭命令行计费功能.
i目录1FTP1-11.
1FTP简介1-11.
1.
1FTP文件传输模式1-11.
1.
2FTP工作方式·1-11.
2配置FTP服务器·1-11.
2.
1FTP服务器配置任务简介1-11.
2.
2启动FTP服务器功能·1-21.
2.
3配置FTP服务器的认证和授权1-21.
2.
4配置FTP服务器访问限制·1-21.
2.
5配置FTP服务器连接管理参数1-31.
2.
6配置FTP服务器引用SSL1-31.
2.
7配置FTP服务器发送报文的DSCP优先级1-31.
2.
8释放已建立的FTP连接1-41.
2.
9FTP服务器显示和维护1-41.
3配置FTP客户端·1-41.
3.
1FTP客户端配置任务简介1-41.
3.
2建立FTP连接·1-51.
3.
3显示帮助信息·1-61.
3.
4查看FTP服务器上的目录/文件1-61.
3.
5操作FTP服务器上的目录·1-61.
3.
6操作FTP客户端本地的工作目录·1-71.
3.
7操作FTP服务器上的文件·1-71.
3.
8更改登录用户·1-81.
3.
9FTP连接的维护与调试1-81.
3.
10断开FTP连接·1-91.
3.
11FTP客户端显示和维护1-92TFTP·2-12.
1TFTP简介2-12.
2TFTP配置限制和指导2-12.
3配置TFTP服务器2-12.
4配置IPv4TFTP客户端2-12.
5配置IPv6TFTP客户端2-2ii1-11FTP1.
1FTP简介FTP(FileTransferProtocol,文件传输协议)用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议.
FTP协议使用TCP端口20和21进行传输.
端口20用于传输数据,端口21用于传输控制消息.
设备既可以作为FTP服务器,也可以作为FTP客户端.
1.
1.
1FTP文件传输模式FTP有两种文件传输模式:二进制模式,用于传输非文本文件(比如后缀名为.
app、.
bin和.
btm的文件);ASCII码模式,用于传输文本格式的文件(比如后缀名为.
txt、.
bat和.
cfg的文件).
当设备作为FTP客户端时,用户可通过命令行指定使用的传输模式,缺省为二进制模式;当设备作为FTP服务器时,使用的传输模式由FTP客户端决定.
1.
1.
2FTP工作方式FTP有两种工作方式:主动方式(PORT):建立数据连接时由FTP服务器发起连接请求,当FTP客户端处于防火墙后时不适用(如FTP客户端处于私网内).
被动方式(PASV):建立数据连接时由FTP客户端发起连接请求,当FTP服务器限制客户端连接其高位端口(一般情况下大于1024)时不适用.
是否使用被动方式由FTP客户端程序决定,不同FTP客户端软件对FTP工作方式的支持情况可能不同,请在使用时以软件的实际情况为准.
1.
2配置FTP服务器1.
2.
1FTP服务器配置任务简介FTP服务器配置任务如下:(1)启动FTP服务器功能(2)配置FTP服务器的认证和授权(3)(可选)配置FTP服务器访问限制(4)(可选)配置FTP服务器连接管理参数(5)(可选)配置FTP服务器引用SSL(6)(可选)配置FTP服务器发送报文的DSCP优先级(7)(可选)释放已建立的FTP连接1-21.
2.
2启动FTP服务器功能(1)进入系统视图.
system-view(2)启动FTP服务器功能.
ftpserverenable缺省情况下,FTP服务器功能处于关闭状态.
1.
2.
3配置FTP服务器的认证和授权只有认证通过并授权成功的用户,才能通过FTP访问设备上的指定路径.
设备对FTP客户端的认证,有以下两种方式:本地认证:设备作为认证服务器,在本设备上验证FTP客户端的用户名和密码是否合法.
远程认证:远程认证是指设备将用户输入的用户名/密码发送给远端的认证服务器,由认证服务器来验证用户名/密码是否匹配.
设备对FTP客户端的授权,有以下两种方式:本地授权:设备给FTP客户端授权,指定FTP客户端可以使用设备上的某个路径.
远程授权:远程服务器给FTP客户端授权,指定FTP客户端可以使用设备上的某个路径.
关于认证和授权的详细配置请参见"安全配置指导"中的"AAA".
1.
2.
4配置FTP服务器访问限制1.
功能简介通过将FTP服务与ACL关联,可以过滤掉来自某些FTP客户端的FTP请求报文,只允许符合ACL过滤规则的FTP客户端访问设备.
2.
配置限制和指导配置ACL限制FTP客户端时:当未引用ACL时,允许所有FTP客户端访问设备;当引用的ACL不存在或者为空时,禁止所有FTP客户端访问设备;当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,禁止其他用户访问设备,以避免非法用户访问设备;如果多次使用该命令配置FTP服务与ACL关联,最新配置生效.
关于ACL的详细描述和介绍请参见"ACL和QoS配置指导"中的"ACL".
该配置只过滤新建立的FTP连接,不会对已建立的FTP连接和操作造成影响.
3.
配置步骤(1)进入系统视图.
system-view(2)(可选)设置FTP客户端对FTP服务器的访问限制.
(IPv4网络)1-3ftpserveracl{advanced-acl-number|basic-acl-number|macmac-acl-number}(IPv6网络)ftpserveraclipv6{advanced-acl-number|basic-acl-number|macmac-acl-number}缺省情况下,FTP客户端对FTP服务器的访问不受限制.
(3)(可选)开启匹配ACLdeny规则后打印日志信息功能.
ftpserveracl-deny-logenable缺省情况下,匹配ACLdeny规则后打印日志信息功能处于关闭状态.
1.
2.
5配置FTP服务器连接管理参数(1)进入系统视图.
system-view(2)配置FTP服务器的连接空闲时间.
ftptimeoutminutes缺省情况下,连接空闲时间为30分钟.
如果在设置的连接空闲时间到期时,FTP服务器和客户端一直没有信息交互,则断开它们之间的连接.
(3)配置使用FTP方式同时登录设备的在线的最大用户连接数.
aaasession-limitftpmax-sessions缺省的最大用户连接数为32.
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败.
关于该命令的详细描述请参见"安全命令参考"中的"AAA".
1.
2.
6配置FTP服务器引用SSL1.
功能简介当支持FTP安全扩展协议的两台设备建立FTP连接时,通过将FTP服务与SSL服务器端策略关联,可以建立一条安全的SSL连接来传输数据,保证FTP传输的安全性.
2.
配置步骤(1)进入系统视图.
system-view(2)配置FTP服务器引用SSL.
ftpserverssl-server-policypolicy-name缺省情况下,FTP服务器未引用SSL服务器端策略.
1.
2.
7配置FTP服务器发送报文的DSCP优先级(1)进入系统视图.
1-4system-view(2)配置FTP服务器发送的FTP报文的DSCP优先级.
(IPv4网络)ftpserverdscpdscp-value(IPv6网络)ftpserveripv6dscpdscp-value缺省情况下,FTP服务器发送的FTP报文的DSCP优先级为0.
1.
2.
8释放已建立的FTP连接请在用户视图下执行本命令,释放已建立的FTP连接.
请选择其中一项进行配置.
强制释放与指定用户之间的FTP连接.
freeftpuserusername强制释放与指定IP地址的主机之间的FTP连接.
freeftpuser-ip[ipv6]ip-address[portport]1.
2.
9FTP服务器显示和维护完成上述配置后,在任意视图下执行display命令可以显示FTP服务器的配置和运行情况,通过查看显示信息验证配置的效果.
表1-1FTP服务器显示和维护操作命令查看当前FTP服务器的配置和运行情况displayftp-server查看当前FTP登录用户的详细情况displayftp-user1.
3配置FTP客户端1.
3.
1FTP客户端配置任务简介FTP客户端配置任务如下:(1)建立FTP连接(2)(可选)显示帮助信息(3)(可选)查看FTP服务器上的目录/文件(4)(可选)操作FTP服务器上的目录(5)(可选)操作FTP服务器上的文件(6)(可选)更改登录用户(7)(可选)FTP连接的维护与调试(8)(可选)断开FTP连接1-51.
3.
2建立FTP连接1.
建立FTP连接配置任务简介建立FTP连接配置任务如下:(1)(可选)配置FTP客户端发送的FTP报文的源地址(2)登录FTP服务器(3)配置FTP文件传输方式2.
配置限制和指导使用ftpclientsource命令指定了源地址后,又在ftp命令中指定了源地址,则采用ftp命令中指定的源地址进行通信.
使用ftpclientipv6source命令指定了源地址后,又在ftpipv6命令中指定了源地址,则采用ftpipv6命令中指定的源地址进行通信.
3.
配置FTP客户端发送的FTP报文的源地址(1)进入系统视图.
system-view(2)配置FTP客户端发送的FTP报文的源地址.
(IPv4网络)ftpclientsource{interfaceinterface-typeinterface-number|ipsource-ip-address}缺省情况下,未配置源地址,使用路由出接口的主IP地址作为设备发送FTP报文的源IP地址.
(IPv6网络)ftpclientipv6source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}缺省情况下,未配置源地址,设备自动选择IPv6FTP报文的源IPv6地址,具体选择原则请参见RFC3484.
4.
登录FTP服务器从用户视图登录FTP服务器.
(IPv4网络)ftp[ftp-server[service-port][vpn-instancevpn-instance-name][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipsource-ip-address}]]*(IPv6网络)ftpipv6[ftp-server[service-port][vpn-instancevpn-instance-name][dscpdscp-value|source{ipv6source-ipv6-address|interfaceinterface-typeinterface-numberiinterface-typeinterface-number]]从FTP客户端视图登录FTP服务器.
a.
请在用户视图下执行本命令,进入FTP客户端视图.
1-6ftp[ipv6]b.
登录FTP服务器.
openserver-address[service-port]5.
配置FTP文件传输方式(1)请在用户视图下执行本命令,进入FTP客户端视图.
ftp(2)设置FTP文件传输的模式.
配置FTP文件传输的模式为ASCII模式.
ascii配置FTP文件传输的模式为二进制模式.
binary缺省情况下,文件传输模式为二进制模式.
(3)切换数据的传输方式.
passive缺省情况下,数据传输的方式为被动方式.
1.
3.
3显示帮助信息(1)请在用户视图下执行本命令,进入FTP客户端视图.
ftp(2)显示命令或命令的帮助信息.
方式一help[command-name]方式二[command-name]1.
3.
4查看FTP服务器上的目录/文件(1)请在用户视图下执行本命令,进入FTP客户端视图.
ftp(2)查看FTP服务器上的目录/文件.
方式一dir[remotefile[localfile]]方式二ls[remotefile[localfile]]1.
3.
5操作FTP服务器上的目录1.
配置准备使用dir或者ls命令查看FTP服务器上的目录/文件的详细信息.
1-72.
配置步骤(1)请在用户视图下执行本命令,进入FTP客户端视图.
ftp(2)操作FTP服务器上的目录显示当前用户正在访问的FTP服务器上的路径.
pwd切换FTP服务器上的工作路径.
cd{directory退出FTP服务器的当前目录,返回FTP服务器的上一级目录.
cdup在FTP服务器上创建目录.
mkdirdirectory删除FTP服务器上指定的目录.
rmdirdirectory1.
3.
6操作FTP客户端本地的工作目录(1)请在用户视图下执行本命令,进入FTP客户端视图.
ftp(2)显示或切换FTP客户端本地的工作路径.
lcd[directory|/]上传的文件为该路径下的文件时,缺省情况下文件下载后也将保存到该路径.
1.
3.
7操作FTP服务器上的文件1.
配置准备使用dir或者ls命令了解FTP服务器上的目录结构以及文件所处的位置.
2.
配置步骤(1)请在用户视图下执行本命令,进入FTP客户端视图.
ftp(2)操作FTP服务器上的文件删除FTP服务器上的文件.
deleteremotefile用户必须具有删除的权限才能执行该操作.
重命名文件.
rename[oldfilename[newfilename]]上传本地文件到FTP服务器.
putlocalfile[remotefile]下载FTP服务器上的文件.
1-8getremotefile[localfile]在原文件的内容后面添加新文件的内容.
appendlocalfile[remotefile]指定重传点.
restartmarker配合put、get、append等命令使用.
更新本地文件.
newerremotefile从本地文件的尾部开始获取文件的剩余内容.
regetremotefile[localfile]1.
3.
8更改登录用户1.
功能简介当设备作为FTP客户端,登录FTP服务器失败,在FTP连接超时前,使用该命令重新登录当前访问的FTP服务器.
2.
配置限制和指导如果在用户切换时,输入的用户名/密码错误,则会断开当前连接,用户必须重新登录才能继续访问FTP服务器.
3.
配置步骤(1)请在用户视图下执行本命令,进入FTP客户端视图.
ftp(2)在现有FTP连接上重新发起FTP认证.
userusername[password]1.
3.
9FTP连接的维护与调试1.
功能简介当设备作为FTP客户端,与FTP服务器连接建立成功后,通过以下命令,可以帮助用户定位和诊断FTP连接出现的问题.
2.
配置步骤(1)请在用户视图下执行本命令,进入FTP客户端视图.
ftp(2)维护与调试FTP连接显示FTP服务器支持的FTP相关协议命令字.
rhelp显示FTP服务器支持的FTP相关协议命令字的帮助信息.
rhelpprotocol-command显示FTP服务器的状态.
1-9rstatus显示FTP服务器上指定目录或文件的详细信息.
rstatusremotefile显示当前FTP连接的状态.
status显示FTP服务器的系统信息.
system切换FTP功能的协议信息开关.
verbose缺省情况下,FTP协议信息开关处于开启状态.
打开FTP调试信息开关.
debug缺省情况下,FTP客户端调试信息开关处于关闭状态.
清除缓存的命令应答.
reset1.
3.
10断开FTP连接(1)请在用户视图下执行本命令,进入FTP客户端视图.
ftp(2)断开与FTP服务器的连接.
请选择其中一项进行配置.
断开与FTP服务器的连接,并留在FTP客户端视图.
请选择其中一项进行配置.
disconnectclose断开与FTP服务器的连接,并退回到用户视图.
请选择其中一项进行配置.
byequit1.
3.
11FTP客户端显示和维护在完成上述配置后,可在任意视图下执行display命令,通过查看显示信息验证配置的效果.
表1-2FTP客户端显示和维护操作命令显示设备作为FTP客户端时的源地址配置displayftpclientsource2-12TFTP2.
1TFTP简介TFTP(TrivialFileTransferProtocol,简单文件传输协议)用于在TFTP服务器和TFTP客户端之间传输文件.
它基于UDP协议,使用UDP端口建立连接、收/发数据报文.
与基于TCP的FTP协议比较,TFTP不需要认证,没有复杂的报文交互,部署简单,适用于客户端和服务器均很可靠的网络环境.
2.
2TFTP配置限制和指导TFTP客户端可以上传文件到TFTP服务器,也可以从TFTP服务器下载文件到本地.
上传文件时,如果TFTP服务器上已经存在同名文件,则系统会删除同名文件,保存新文件.
同样,下载文件时,如果TFTP客户端上已经存在同名文件,系统也会删除同名文件,保存新文件.
因此,当上传/下载启动文件或配置文件等重要文件时,建议使用一个不存在的文件名作为目标文件名.
2.
3配置TFTP服务器(1)进入系统视图.
system-view(2)开启TFTP服务器功能.
tftpserverenable缺省情况下,TFTP服务器功能处于关闭状态.
在IPv4网络和IPv6网络环境下,均支持将设备配置为TFTP服务器.
(3)(可选)配置TFTP服务器工作路径.
tftpserverwork-directorydirectory缺省情况下,TFTP服务器的工作路径为缺省文件系统的根目录.
2.
4配置IPv4TFTP客户端(1)进入系统视图.
system-view(2)(可选)使用ACL限制设备可访问哪些TFTP服务器.
tftp-serveraclacl-number缺省情况下,未使用ACL对设备可访问的TFTP服务器进行限制.
(3)配置TFTP客户端的源地址.
tftpclientsource{interfaceinterface-typeinterface-number|ipsource-ip-address}缺省情况下,未配置源地址,使用路由出接口的主IP地址作为设备发送TFTP报文的源IP地址.
2-2(4)退回用户视图.
quit(5)在IPv4网络,用TFTP上传/下载文件.
tftptftp-server{get|put|sget}source-filename[destination-filename][vpn-instancevpn-instance-name][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipsource-ip-address}]*使用tftpclientsource命令指定了源地址后,又在tftp命令中指定了源地址,则采用tftp命令中指定的源地址进行通信.
2.
5配置IPv6TFTP客户端(1)进入系统视图.
system-view(2)(可选)在IPv6网络,使用ACL限制设备可访问哪些TFTP服务器.
tftp-serveripv6aclipv6-acl-number缺省情况下,未使用ACL对设备可访问的TFTP服务器进行限制.
(3)在IPv6网络,配置TFTP客户端的源地址.
tftpclientipv6source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}缺省情况下,未配置源地址,设备自动选择IPv6TFTP报文的源IPv6地址,具体选择原则请参见RFC3484.
(4)退回用户视图.
quit(5)在IPv6网络,用TFTP上传/下载文件.
tftpipv6tftp-server[-iinterface-typeinterface-number]{get|put|sget}source-filename[destination-filename][vpn-instancevpn-instance-name][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}]*使用tftpclientipv6source命令指定了源地址后,又在tftpipv6命令中指定了源地址,则采用tftpipv6命令中指定的源地址进行通信.
i目录1文件系统管理1-11.
1文件系统管理简介1-11.
1.
1存储介质和文件系统1-11.
1.
2目录1-21.
1.
3文件1-21.
1.
4文件夹和文件指定方法1-21.
2文件系统配置限制和指导·1-31.
3存储介质和文件系统操作·1-31.
3.
1存储介质分区·1-31.
3.
2挂载和卸载文件系统1-41.
3.
3格式化文件系统1-41.
3.
4恢复文件系统的空间1-41.
4文件和文件夹操作1-51.
4.
1设置操作文件和文件夹时是否提示1-51.
4.
2显示文件和文件夹信息1-51.
4.
3显示文本文件内容·1-51.
4.
4显示当前工作路径·1-51.
4.
5修改当前工作路径·1-61.
4.
6创建文件夹·1-61.
4.
7重命名文件和文件夹1-61.
4.
8复制文件1-61.
4.
9移动文件1-61.
4.
10删除和恢复文件1-61.
4.
11删除文件夹·1-71.
4.
12打包文件/文件夹1-71.
4.
13解包文件/文件夹1-71.
4.
14压缩文件1-81.
4.
15解压缩文件·1-81.
4.
16计算文件摘要·1-81.
5查看正在使用文件系统/文件夹/文件的进程信息·1-81-11文件系统管理1.
1文件系统管理简介本章介绍了如何对文件系统中的文件进行管理和操作.
1.
1.
1存储介质和文件系统设备支持的存储介质包括固定存储介质flash和可插拔存储介质(U盘和硬盘).
设备支持对可插拔存储介质进行分区.
未对存储介质分区时,每一个存储介质即称为一个文件系统;对存储介质进行分区后,一个分区即为一个文件系统.
1.
存储介质和文件系统名称存储介质flash及其文件系统名称由如下部分组成:存储介质类型:flash的类型名称即为"flash".
冒号:存储介质名称的结束符.
U盘和HD卡上及其文件系统名称由如下部分组成:存储介质类型:U盘的类型名称为"usb".
存储介质编号:同类型的存储介质以英文小写字母a开始进行排序.
分区编号:存储介质上的分区以数字0开始进行排序(存储介质名称不包括分区编号).
冒号:存储介质名称的结束符.
文件系统名称中的英文字符输入时区分大小写,必须为小写字符.
2.
文件系统位置的指定方法对文件系统进行操作时,需要指定存储介质的位置,存储介质位置的表示方式为:slotn#.
其中n为IRF中成员设备的编号.
例如:slot2#代表成员设备2上的存储介质.
不指定slot参数时,表示IRF中主设备的存储介质.
文件系统位置中的所有英文字符输入时区分大小写,必须为小写字符.
3.
缺省文件系统设备支持多个存储介质,用户登录设备后缺省使用的文件系统即为缺省文件系统.
例如,保存当前配置时,如果不输入存储介质位置及名称,则配置文件将保存在缺省文件系统的根目录下.
通过设置Bootware菜单或者Bootrom菜单可以更改缺省文件系统,详情请参见配套发布的版本说明书.
1-21.
1.
2目录设备的文件系统采用树形目录结构,用户可以通过文件夹操作来改变目录层级,方便的管理文件.
1.
根目录用户登录设备后,缺省目录即为根目录.
根目录用"/"表示.
例如flash:/表示flash的根目录.
2.
工作目录工作目录也被称为当前工作目录.
3.
文件夹的命名文件夹名称中可以包含数字、字母或特殊字符(除了*.
为文件夹命名时,首字符不能使用".
".
否则,系统将把名称首字符为".
"的文件夹处理为隐藏文件夹.
4.
常用文件夹设备出厂时会携带一些文件夹,在运行过程中可能会自动产生一些文件夹,这些文件夹包括:diagfile:用于存放诊断信息文件的文件夹license:用于存放License文件的文件夹logfile:用于存放日志文件的文件夹seclog:用于存放安全日志文件的文件夹versionInfo:用于存放版本信息文件的文件夹其他名称的文件夹1.
1.
3文件1.
文件的命名文件名中可以输入以数字、字母、特殊字符(除了*为组合的字符串.
为文件命名时,首字母请不要使用".
".
因为系统会把名称首字母为".
"的文件当成隐藏文件.
2.
常见文件类型设备出厂时会携带一些文件,在运行过程中可能会自动产生一些文件,这些文件包括:xx.
ipe(复合软件包套件,是启动软件包的集合)xx.
bin(启动软件包)xx.
cfg(配置文件)xx.
mdb(二进制格式的配置文件)xx.
log(用于存放日志的文件)其他后缀的文件1.
1.
4文件夹和文件指定方法路径是指文件或文件夹所在的位置,包括绝对路径和相对路径.
1-31.
文件夹指定方法设备支持使用相对路径和绝对路径指定文件夹.
例如,当前工作目录为flash:/,可以通过绝对路径flash:/test/test1/test2/(末尾的"/"为可选)或相对路径test/test1/test2/(末尾的"/"为可选)进入test2文件夹.
2.
文件指定方法设备支持使用相对路径和绝对路径指定文件.
例如,当前工作目录为flash:/test/,可以通过绝对路径flash:/test/test1/test2/samplefile.
cfg或相对路径test1/test2/samplefile.
cfg指定test2文件夹下的samplefile.
cfg文件.
1.
2文件系统配置限制和指导在执行文件系统操作过程中,禁止对存储介质进行插拔或主设备和从设备的倒换操作.
否则,可能会引起文件系统的损坏.
当用户占用可插拔存储介质的资源(如用户正在访问某个目录或正在打开文件等)时,存储介质被强制拔出.
此时,请先释放占用的存储介质的资源(如切换目录、关闭打开的文件或umount相应的分区等),再插入存储介质.
否则,存储介质被插入后可能不能被识别.
当需要对U盘进行写文件系统操作,请确保没有将U盘写保护.
如果U盘写保护了,这些操作将执行失败.
其他文件系统操作不受写保护开关影响.
当一个用户对存储介质或文件系统执行fixdisk、format或fdisk操作时,其他用户不能访问该存储介质或文件系统.
1.
3存储介质和文件系统操作1.
3.
1存储介质分区1.
功能简介存储介质分区是将存储介质分成多个不同的逻辑设备,每个逻辑设备可以单独进行文件操作.
2.
配置限制和指导Flash不支持分区操作.
对存储介质分区操作时,如果同时还有其他用户在访问该存储介质,系统会提示分区失败.
对存储介质进行交互式分区时,需保证每个分区至少为32MB.
对U盘进行分区时,请确保没有对U盘设置写保护.
否则分区失败,需要重新挂载或者插拔U盘后,才能正常访问U盘.
分区完成后各分区的大小可能与用户指定的大小不一致,但误差小于存储介质总容量的5%.
3.
配置准备分区操作会清除存储介质中的数据,操作前请务必做好文件备份.
4.
配置步骤请在用户视图下执行本命令,对存储介质进行分区.
fdiskmedium[partition-number]本命令仅缺省Context支持.
1-4可通过配置partition-number参数,指定分区数量,此时会将存储介质分成多个大小相等的分区.
如果不指定partition-number参数,则会进行交互式分区.
可根据提示指定分区的数量及每个分区的大小.
1.
3.
2挂载和卸载文件系统1.
配置限制和指导支持热插拔的存储介质(如U盘等),可以在用户视图下使用mount和umount命令挂载和卸载.
刚插入USB接口的U盘,不允许立刻拔出,需要等待U盘被识别(即U盘上的指示灯不再闪烁),然后使用命令umount卸载文件系统再拔出.
否则,可能会造成USB接口或U盘无法使用.
用户对文件系统执行umount操作时,如果同时还有其他用户在访问该文件系统,系统会提示umount操作失败.
2.
挂载文件系统请在用户视图下执行本命令,挂载文件系统.
mountfilesystem本命令仅缺省Context支持.
存储介质连接到设备后,文件系统自动被挂载.
如果系统未能自动识别,则必须手动进行挂载操作后,才能对该文件系统执行读写操作.
3.
卸载文件系统请在用户视图下执行本命令,卸载文件系统.
umountfilesystem本命令仅缺省Context支持.
存储介质连接到设备后,文件系统自动被挂载,处于挂载状态.
卸载存储介质中所有的文件系统后用户才可以安全的拔出存储介质,否则,可能引起文件损坏甚至存储介质损坏.
1.
3.
3格式化文件系统1.
配置限制和指导格式化操作将导致文件系统中的所有文件丢失,并且不可恢复,请谨慎使用.
用户对文件系统执行格式化操作时,如果同时还有其他用户在访问该文件系统,系统会提示格式化操作失败.
2.
配置步骤请在用户视图下执行本命令,格式化文件系统.
formatfilesystem[ext4|vfat]本命令仅缺省Context支持.
1.
3.
4恢复文件系统的空间1.
配置限制和指导由于异常操作等原因,文件系统的某些空间可能不可用,用户可以通过fixdisk命令来恢复文件系统的空间.
1-5用户对文件系统执行fixdisk操作时,如果同时还有其他用户在访问该文件系统,系统会提示fixdisk操作失败.
2.
配置步骤请在用户视图下执行本命令,恢复文件系统的空间.
fixdiskfilesystem本命令仅缺省Context支持.
1.
4文件和文件夹操作1.
4.
1设置操作文件和文件夹时是否提示1.
功能简介用户可以通过命令行来设置执行文件或文件夹操作时是否提示:当设置为alert,并且用户对文件或文件夹进行有危险性的操作时,系统会要求用户进行交互确认.
当设置为quiet,则用户对文件或文件夹进行除清空回收站之外的其他操作时,系统均不要求用户进行确认.
该方式可能会导致一些因误操作而发生的、不可恢复的、对系统造成破坏的情况产生.
2.
配置步骤(1)进入系统视图.
system-view(2)设置操作文件或文件夹时是否提示.
fileprompt{alert|quiet}缺省情况下,用户对文件或文件夹进行操作时,系统会要求用户进行交互确认.
1.
4.
2显示文件和文件夹信息请在用户视图下执行本命令,显示文件夹和文件信息.
dir[/all][file|directory|/all-filesystems]多用户同时执行文件操作时,比如同时创建或删除文件或文件夹,可能导致该命令显示结果不准确.
1.
4.
3显示文本文件内容请在用户视图下执行本命令,显示文本文件的内容.
morefile1.
4.
4显示当前工作路径请在用户视图下执行本命令,显示当前工作路径.
pwd1-61.
4.
5修改当前工作路径1.
功能简介用户登录设备后,缺省的工作目录为主设备缺省文件系统的根目录.
2.
配置步骤请在用户视图下执行本命令,修改当前工作路径.
cd{directory|.
.
}1.
4.
6创建文件夹请在用户视图下执行本命令,创建文件夹.
mkdirdirectory1.
4.
7重命名文件和文件夹请在用户视图下执行本命令,重命名文件和文件夹.
rename{source-file|source-directory}{dest-file|dest-directory}1.
4.
8复制文件请在用户视图下执行本命令,复制文件.
copysource-file{dest-file|dest-directory}[vpn-instancevpn-instance-name][sourceinterfaceinterface-typeinterface-number]1.
4.
9移动文件请在用户视图下执行本命令,移动文件.
movesource-file{dest-file|dest-directory}1.
4.
10删除和恢复文件1.
功能简介可以通过以下方式删除文件:临时删除文件:执行deletefile命令删除文件.
采用该方式删除的文件被转移到回收站中,可以通过undeletefile命令恢复.
永久删除文件:永久删除的文件不能恢复.
回收站文件夹名均为".
trash",用户可以进入相应的存储介质或者分区,用dir/all.
trash,或者cd.
trash进入回收站文件夹,使用dir命令查看回收站中的文件.
每个文件系统下都有一个回收站.
2.
配置限制和指导不能对回收站中的文件执行delete命令,否则会影响回收站的正常使用.
如果需要删除回收站中的文件,请执行resetrecycle-bin命令.
1-7通过临时删除文件的方式删除的文件仍然占用存储空间,如果用户经常临时删除文件,则可能导致设备的存储空间不足.
此时请查看回收站中是否有文件,通过执行resetrecycle-bin命令彻底删除回收站中的文件,以释放空间.
3.
删除文件请在用户视图下执行本命令,删除文件.
删除文件到回收站.
deletefile删除回收站中的文件.
resetrecycle-bin[/force]永久删除文件.
delete/unreservedfile4.
恢复回收站中的文件请在用户视图下执行该命令,恢复回收站中的文件.
undeletefile1.
4.
11删除文件夹1.
配置限制和指导在删除文件夹前,必须先永久删除或者暂时删除文件夹中的所有文件和子文件夹.
临时删除文件后,执行rmdir删除该文件所在文件夹时,该文件将从回收站中彻底删除.
2.
配置步骤请在用户视图下执行该命令,删除文件夹.
rmdirdirectory1.
4.
12打包文件/文件夹1.
功能简介打包是将用户指定的原文件或文件夹打包保存成一个新文件(原文件或文件夹仍然存在).
该功能可用于文件备份和整理.
用户可选择直接打包保存或者打包后压缩保存.
选择打包后压缩保存可节省存储空间.
2.
配置步骤请在用户视图下执行本命令,将多个文件或文件夹打包成一个新文件.
tarcreate[gz]archive-filedest-file[verbose]source{source-file|source-directory}&1.
4.
13解包文件/文件夹1.
功能简介解包是打包的逆向操作,是将打包文件还原成原文件或文件夹.
1-82.
配置限制和指导使用screen参数前,请通过tarlist命令确认压缩包内文件的类型,建议仅包含文本文件时使用该参数.
如果压缩包中包含非文本文件,且非文本文件中包含终端控制字符,指定screen参数执行本命令,可能导致当前登录终端的显示信息出现乱码甚至当前登录终端不可用.
通常情况下,断开当前连接重新登录设备后可将登录终端恢复到正常状态.
3.
配置步骤(1)(可选)请在用户视图下执行本命令,显示指定打包文件夹中包含的文件和文件夹的名称.
tarlistarchive-filefile(2)解包文件和文件夹.
tarextractarchive-filefile[verbose][screen|todirectory]1.
4.
14压缩文件请在用户视图下执行本命令,压缩指定的文件.
gzipfile1.
4.
15解压缩文件请在用户视图下执行本命令,解压缩指定的文件.
gunzipfile1.
4.
16计算文件摘要1.
功能简介使用摘要算法计算文件的摘要值,通常用于验证文件的正确性和完整性.
2.
配置步骤请在用户视图下执行以下命令,计算文件的摘要值.
使用SHA-256摘要算法计算文件的摘要值.
sha256sumfile使用MD5摘要算法计算文件的摘要值.
md5sumfile1.
5查看正在使用文件系统/文件夹/文件的进程信息1.
功能简介当用户对文件系统、文件夹或文件执行操作失败时(例如执行rmdir、rename、delete、copy、format、fdisk、fixdisk、umount等命令失败),可以使用fuser命令查看是否有进程正在使用文件系统、文件夹或文件.
2.
配置步骤请在用户视图下执行本命令,显示正在使用文件系统、文件夹或文件的进程信息.
fuser{directory|file|filesystem}i目录1配置文件管理1-11.
1配置文件简介·1-11.
1.
1配置的类型·1-11.
1.
2配置文件的类型及其选择规则·1-21.
1.
3下次启动配置文件·1-21.
1.
4配置文件的内容与格式1-31.
1.
5配置回滚1-31.
2配置限制和指导·1-31.
3开启配置文件加密功能1-31.
4保存当前配置·1-41.
5显示配置差异·1-51.
6配置备份·1-51.
6.
1功能简介1-51.
6.
2配置限制和指导1-61.
6.
3配置本地配置备份·1-61.
6.
4配置远程配置备份·1-71.
7配置回滚·1-81.
7.
1功能简介1-81.
7.
2配置限制和指导1-81.
7.
3配置本地配置回滚·1-91.
7.
4配置远程配置回滚·1-91.
8配置下次启动配置文件1-101.
9备份/恢复主用下次启动配置文件·1-111.
9.
1功能简介1-111.
9.
2配置准备1-111.
9.
3备份主用下次启动配置文件1-111.
9.
4恢复主用下次启动配置文件1-111.
10删除下次启动配置文件1-121.
11配置文件管理显示和维护1-121-11配置文件管理1.
1配置文件简介配置文件是用来保存配置的文件.
设备重启后,这些配置继续生效.
当网络中多台设备需要批量配置时,可以将相同的配置保存到配置文件,再上传/下载到所有设备,在所有设备上执行该配置文件来实现设备的批量配置.
1.
1.
1配置的类型1.
空配置软件版本中所有的软件功能都被赋予一个缺省值,这些缺省值的集合被称为"空配置".
缺省值无法通过命令行直接查看,可通过查看产品当前软件版本的命令手册,了解各软件功能的缺省值.
2.
出厂配置设备在出厂时,通常会带有一些基本的配置,称为出厂配置.
它用来保证设备在没有配置文件或者配置文件损坏的情况下,能够正常启动、运行.
可以使用displaydefault-configuration命令查看设备的出厂配置.
出厂配置可能与命令行的缺省情况不一致,不同型号的设备会根据需要定制各自的出厂配置.
3.
启动配置设备启动时运行的配置即为启动配置.
如果没有指定启动配置文件或者启动配置文件损坏,则系统会使用出厂配置作为启动配置.
可以通过以下方式查看启动配置:设备启动后且还没有进行配置前,使用displaycurrent-configuration命令查看当前启动配置.
使用displaystartup命令查看本次启动使用的配置文件和下次启动使用的主用、备用配置文件,再使用more命令查看相应配置文件的内容.
(more命令的详细介绍请参见"基础配置命令参考"中"文件系统管理")使用displaysaved-configuration命令查看下次启动配置文件的内容.
4.
当前配置系统当前正在运行的配置称为当前配置.
它包括启动配置和设备运行过程中用户进行的配置.
当前配置存放在设备的临时缓存中,如果不保存,设备运行过程中用户进行的配置在设备重启后会丢失.
可以使用displaycurrent-configuration命令查看设备的当前配置.
1-21.
1.
2配置文件的类型及其选择规则执行save命令保存配置时,系统将自动生成一个文本类型的配置文件和一个二进制类型的配置文件,两个文件的内容完全相同.
文本类型配置文件:后缀名为".
cfg",可以通过more命令查看,或使用文本编辑器修改该文件的内容.
文本类型配置文件可以单独保存到存储介质中,无需对应的二进制类型的配置文件.
二进制类型配置文件:后缀为".
mdb",仅能够使用软件解析该类配置文件,用户不能读取和编辑文件内容.
二进制类型的配置文件不能单独保存到存储介质中,必须有对应的文本类型的配置文件.
该类型配置文件的加载速度快,设备启动时优先使用该类型配置文件.
设备启动时,文本类型配置文件和二进制类型配置文件的选择规则如图1-1所示.
图1-1文本类型配置文件和二进制类型配置文件的选择规则如无特殊说明,下文描述的配置文件均指文本类型的配置文件.
1.
1.
3下次启动配置文件设备上可以同时存在多个配置文件.
设备本次启动使用的配置文件称为当前启动配置文件;设备下次启动使用的配置文件称为下次启动配置文件.
设备支持配置两个下次启动配置文件,一个为主用配置文件,一个为备用配置文件.
设备启动时,配置文件的选择规则如下:(1)优先使用主用下次启动配置文件.
(2)如果主用下次启动配置文件不存在或损坏,使用备用下次启动配置文件.
(3)如果主用和备用下次启动配置文件都不存在或损坏,则使用出厂配置启动.
启动是否存在对应的二进制配置文件否是是否存在文本类型的下次启动配置文件是否两个文件的校验和是否一致否采用二进制类型的配置文件启动是完成采用文本类型的配置文件启动采用出厂配置启动1-31.
1.
4配置文件的内容与格式配置文件对内容和格式有严格定义,为保证配置文件的正确运行,建议使用设备自动生成的配置文件.
如果需要手工修改配置文件,请遵循配置文件的内容和格式规则.
配置文件的内容和格式规则如下:配置文件的内容为命令的完整形式.
配置文件以命令视图为基本框架,同一命令视图的命令组织在一起,形成一节,节与节之间用#隔开.
以return结束.
下面摘录了配置文件的部分内容.
#local-userrootclassmanagepasswordhash$h$6$Twd73mLrN8O2vvD5$Cz1vgdpR4KoTiRQNE9pg33gU14Br2p1VguczLSVyJLO2huV5Syx/LfDIf8ROLtVErJ/C31oq2rFtmNuyZf4STw==service-typesshtelnetterminalauthorization-attributeuser-rolenetwork-adminauthorization-attributeuser-rolenetwork-operator#interfaceVlan-interface1ipaddress192.
168.
1.
84255.
255.
255.
0#1.
1.
5配置回滚配置回滚是在不重启设备的情况下,将当前的配置回退到指定配置文件中的配置状态.
配置回滚主要应用于:当前配置错误,且错误配置太多不方便定位或逐条回退,需要将当前配置回滚到某个正确的配置状态.
设备的应用环境变化,需要使用某个配置文件中的配置信息运行,在不重启设备的情况下将当前配置回滚到指定配置文件中的配置状态.
1.
2配置限制和指导下次启动文件/缺省配置文件请勿存放在硬盘中.
1.
3开启配置文件加密功能1.
功能简介配置文件加密功能就是设备在执行save命令将当前配置保存到配置文件的同时,将配置文件加密.
2.
配置限制和指导加密后的文件能被所有运行ComwareV7平台软件的设备识别和解析.
因此,为了防止非法用户对加密后配置文件的解析,需确保只有合法用户才能获取加密后的配置文件.
运行其它平台软件的设备不能识别和解析.
1-4开启配置文件加密功能后,执行save命令生成的配置文件是加密后的配置文件,将不能使用more命令查看加密配置文件(后缀名为".
cfg"的配置文件)的内容,且加密配置文件将不能参与配置差异的比较(如不能使用displaycurrent-configurationdiff命令比较下次启动配置文件与运行配置之间的差异、不能将加密后的配置文件作为displaydiff命令的参数).
3.
配置步骤(1)进入系统视图.
system-view(2)开启配置文件加密功能.
configurationencrypt{private-key|public-key}缺省情况下,配置文件加密功能处于关闭状态.
1.
4保存当前配置1.
功能简介保存配置前,配置仅保存在内存中,设备重启后,设备将恢复为出厂配置.
如果要使当前配置在设备重启后仍然生效,则需要将当前配置保存到下次启动配置文件中.
2.
配置限制和指导在保存当前运行配置时,请不要重启设备或者给设备断电,以免造成下次启动配置文件丢失.
如果成员设备退出IRF,该成员设备的配置不会丢失,仍然保存在内存中,但是会从当前运行配置中删除.
成员设备再次加入IRF时,对应配置自动从内存中恢复到当前运行配置中.
如果成员设备退出后,将当前运行配置保存到了下次启动配置文件中,该成员设备的配置不会写入到配置文件中.
如需将退出的成员设备的配置保存到下次启动配置文件中,请执行如下操作:(1)将成员设备重新加入IRF并重启该成员设备.
(2)待成员设备正常工作后,执行displaycurrent-configuration命令,确认成员设备的配置已恢复到当前运行配置中.
(3)保存当前运行配置到下次启动配置文件中.
如果在成员设备退出IRF后,执行了重启操作,该成员设备的配置将无法恢复.
3.
配置步骤可在任意视图下执行本命令,保存当前配置.
将当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件.
savefile-url[all|slotslot-number]将当前配置保存到所有成员设备存储介质的根目录下,并将该文件设置为下次启动配置文件.
save[safely][backup|main][force][context-all|changed]为了安全起见,建议选用safely参数.
执行该命令时,请不要重启设备或者给设备断电,以免造成下次启动配置文件丢失.
1-51.
5显示配置差异1.
功能简介用户通过命令可以查看两份配置文件、指定配置文件与当前运行配置、指定配置文件与下次启动文件、当前运行配置与下次启动文件之间的差异.
用户可根据差异来决定是否保存当前配置或者进行配置替换.
2.
配置限制和指导只有文本类型的配置文件,才支持查看差异.
将下次启动配置文件和其他配置文件进行比较时:优先使用主用下次启动配置文件.
如果主用下次启动配置文件不可用,则使用备用下次启动配置文件.
如果主用下次启动配置文件和备用下次启动配置文件都不可用,系统会给出相应的错误提示信息.
3.
配置步骤可在任意视图下执行本命令,显示配置差异.
请选择其中一项进行配置.
显示指定配置文件和指定配置文件、当前运行配置、下次启动配置文件之间的差异.
displaydiffconfigfilefile-name-s{configfilefile-name-d|current-configuration|startup-configuration}显示当前运行配置和指定配置文件、下次启动配置文件之间的差异.
displaydiffcurrent-configuration{configfilefile-name-d|startup-configuration}显示下次启动配置文件和指定配置文件之间的差异.
displaydiffstartup-configurationconfigfilefile-name-d显示下次启动配置文件与当前运行配置之间的差异.
请选择其中一项进行配置.
方式一displaydiffstartup-configurationcurrent-configuration方式二displaycurrent-configurationdiff1.
6配置备份1.
6.
1功能简介可以设置将备份文件保存在本地,或者远程FTP、TFTP服务器上.
备份当前配置前必须设置备份文件的保存路径和文件名前缀.
设备支持自动备份和手动备份两种备份配置的方式.
自动备份当前配置:系统按照已配置的时间间隔自动备份当前配置.
手动备份当前配置:用户随时可以执行手动备份命令行备份当前配置.
例如,需要对设备进行复杂配置过程中,不定期手动备份当前配置,以便配置错误时,使用配置回滚功能将当前配置回滚至正确情况.
1-61.
6.
2配置限制和指导设备只支持将配置文件备份到一个目的地.
所以,配置远程备份前需要先取消本地备份配置,配置本地备份配置前需要先取消远程备份配置.
如果多次配置备份参数,最新的配置生效.
备份当前配置过程中,请不要修改配置文件的备份参数,若修改了备份参数,则该参数不会立即生效,设备仍然会按照原参数设置将当前配置被保存在旧的备份路径下,且执行displayarchiveconfiguration命令不会显示该备份配置文件.
采用远程备份方式时,必须保证本地配置文件参数与服务器侧参数保持一致,否则备份操作将会失败.
1.
6.
3配置本地配置备份1.
功能简介如果设置备份文件保存在本地,设备备份当前运行配置时,将在指定的本地路径下生成以"前缀_序号.
cfg"命名的配置文件(例如archive_1.
cfg).
序号自动从1开始编号,依次加1,累加至1000后重新从1开始编号.
修改备份文件的保存路径或文件名前缀后,备份序号从1开始重新自动编号,原来的备份文件不再作为备份文件而作为普通配置文件存在,此后执行displayarchiveconfiguration命令不会显示原来的备份配置文件的相关信息.
2.
配置限制和指导如果设置备份文件保存在本地,备份文件数量达到上限后,再次保存备份文件时,系统将删除保存时间最早的备份文件,以保存新的备份文件.
执行undoarchiveconfigurationlocation命令后,用户将不能手工备份当前配置到本地,系统也不再自动备份当前配置到本地.
同时,archiveconfigurationmax和archiveconfigurationinterval命令会恢复为缺省情况、displayarchiveconfiguration不显示本地备份信息.
如果设置备份文件保存在本地,备份当前配置功能只将当前配置备份到主设备的备份路径下,不会保存到从设备,建议在所有成员设备的文件路径下都创建备份路径并进行配置备份,防止主备倒换后该功能失效.
3.
配置步骤(1)进入系统视图.
system-view(2)配置备份配置文件的本地保存路径和文件名前缀.
archiveconfigurationlocationdirectoryfilename-prefixfilename-prefix缺省情况下,未配置备份配置文件的本地保存路径和文件名前缀.
directory必须是主设备上已存在的路径,且参数中不能包含成员编号.
(3)(可选)配置本地保存备份配置文件的最大数.
archiveconfigurationmaxfile-number缺省情况下,本地保存备份配置文件的最大数为5.
请根据系统剩余存储空间配置备份配置文件的最大数.
1-7(4)备份当前配置到本地.
请选择其中一项进行配置.
自动备份当前配置到本地,并设置自动备份的时间间隔.
archiveconfigurationintervalinterval缺省情况下,自动备份当前配置功能处于关闭状态.
请依次执行以下命令在用户视图下手动备份当前配置.
quitarchiveconfiguration1.
6.
4配置远程配置备份1.
功能简介如果设置备份文件保存在远程FTP或者TFTP服务器上,设备备份当前运行配置时,将在远程服务器指定的路径下生成以"前缀_YYYYMMDD_HHMMSS.
cfg"命名的配置文件(例如archive_20170526_203430.
cfg).
2.
配置限制和指导执行undoarchiveconfigurationserver命令后,用户将不能手工备份当前配置到远程FTP或者TFTP服务器,系统也不再自动备份当前配置到远程FTP或者TFTP服务器.
同时,archiveconfigurationserveruser和archiveconfigurationserverpassword命令会恢复为缺省情况,displayarchiveconfiguration不显示远程服务器备份信息.
3.
配置步骤(1)进入系统视图.
system-view(2)指定配置文件备份到远程服务器时使用的参数.
archiveconfigurationserver{ftp|tftp}{ipv4-address|ipv6ipv6-address}[portport-number][vpn-instancevpn-instance-name][directorydirectory]filename-prefixfilename-prefix[intervalinterval]缺省情况下,未指定配置文件备份到远程服务器时使用的参数.
如果指定了interval参数,将开启自动将配置文件备份到远程服务器功能.
(3)如果指定将配置文件备份到远程FTP服务器,且FTP服务器端设置了登录用户的用户名和密码,请执行如下步骤配置向远程FTP服务器备份配置时使用的用户名、密码.
a.
配置向远程FTP服务器备份配置时使用的用户名.
archiveconfigurationserveruseruser-name缺省情况下,未配置向远程FTP服务器备份配置时使用的用户名.
b.
配置向远程FTP服务器备份配置时使用的密码.
archiveconfigurationserverpassword{cipher|simple}string缺省情况下,未配置向远程FTP服务器备份配置时使用的密码.
请保证本地配置和服务器端配置一致.
(4)请执行如下步骤,手动备份当前配置到远程服务器.
1-8a.
退出系统视图.
quitb.
手动备份当前配置.
archiveconfiguration1.
7配置回滚1.
7.
1功能简介可以使用本地配置文件或者远程服务器上的配置文件进行配置回滚.
配置回滚后,当前运行配置将回滚到指定的配置文件中的配置状态.
配置回滚时,系统将对比当前配置和回滚配置文件中配置的差异,并做如下处理:不处理当前配置与回滚配置文件中相同的命令.
对于存在于当前配置但不存在于回滚配置文件的命令,回滚操作将取消当前配置中的命令,即执行相应的反向操作.
对于存在于回滚配置文件但不存在于当前配置的命令,回滚操作将执行这些命令.
对于当前配置和回滚配置文件中不同的命令,配置回滚将先取消这些配置,再执行回滚配置文件中的相应命令.
1.
7.
2配置限制和指导执行配置回滚,可能导致业务中断,请谨慎使用.
执行配置回滚操作时(执行configurationreplacefile或configurationreplaceserverfile命令)不能进行子卡热插拔、主从设备倒换操作,否则可能造成配置回滚终止.
配置回滚到指定配置文件时,如果有命令行回滚失败,系统将打印提示信息说明有命令行回滚失败,此时,请执行displaydiffcurrent-configurationconfigfile命令将回滚后的运行配置与目标配置文件中的配置对比,差异部分即为回滚失败的命令行.
配置能否回滚成功由命令的具体处理决定,存在以下情况时,某条命令会回滚失败,系统会跳过回滚失败的命令,直接处理下一条命令:命令不支持完整undo命令,即直接在配置命令前添加undo关键字构成的命令不存在,设备不识别.
比如命令A[B]C,对应的undo命令为undoAC,但是配置ABC回滚的时候,系统会去自动执行undoABC,此时系统会认为不支持undoABC而造成配置ABC回滚失败.
配置不能取消(如硬件相关的命令).
若不同视图下的各配置命令存在依赖关系,命令可能执行失败.
使用的配置文件不是由save命令、自动备份或手工备份生成的完整文件,或是不同类型设备的配置文件,配置回滚可能不能完全恢复至配置文件中的配置状态.
因此,需要用户确保回滚配置文件中配置的正确性和与当前设备的兼容性.
在高可靠性组网环境中,配置回滚完成后,需要在主管理设备上执行configurationmanual-sync命令将主管理设备上的配置信息手工批量备份到从管理设备,以保证主备设备的配置信息一致.
有关高可靠性的详细介绍,请参见"高可靠性配置指导"中的"高可靠性".
1-91.
7.
3配置本地配置回滚1.
配置限制和指导指定的配置文件只能是明文文件,不能是被加密的配置文件,且必须是本地保存的配置文件.
2.
配置步骤(1)进入系统视图.
system-view(2)将当前配置回滚到本地配置文件中的状态.
configurationreplacefilefilename1.
7.
4配置远程配置回滚1.
功能简介配置使用远程服务器上的配置文件进行配置回滚后,会从远程服务器下载指定的配置文件,在本地保存为临时文件,并进行配置回滚.
配置回滚完成后,删除该临时文件.
2.
配置限制和指导使用远程服务器上的配置文件进行配置回滚前,需要先配置从远程服务器下载配置文件时使用的参数.
执行undoconfigurationreplaceserver命令后,用户将不能从远程服务器下载配置文件并进行配置回滚.
同时,configurationreplaceserveruser和configurationreplaceserverpassword命令会恢复为缺省情况,displayconfigurationreplaceserver不显示服务器回滚信息.
进行远程配置回滚时:如果没有指定filename,则使用configurationreplaceserver命令指定的用于远程配置回滚功能的缺省配置文件.
如果没有指定开启远程配置回滚功能的时间,则立即开启远程配置回滚功能.
如果开启定时远程配置回滚功能,在时间到达前,可以取消;如果开启立即远程配置回滚功能,则无法取消.
指定的时间不能早于当前系统时间.
如果修改了系统时间,且晚于所配置的开启远程配置回滚功能的时间,则配置失效.
如果没有指定date参数:配置的时间点在当前系统时间之后,则设备将在当天的该时间点从远程配置回滚服务器下载配置文件并进行配置回滚.
配置的时间点在当前系统时间之前,则设备将在第二天的该时间点从远程配置回滚服务器下载配置文件并进行配置回滚.
3.
配置步骤(1)进入系统视图.
system-view(2)指定从远程服务器下载配置文件时使用的参数.
1-10configurationreplaceserver{ftp|tftp}{ipv4-address|ipv6ipv6-address}[portport-number][vpn-instancevpn-instance-name][directorydirectory]filefilename缺省情况下,未指定从远程配置回滚服务器下载配置文件时使用的参数.
(3)如果指定从远程FTP服务器下载配置文件并进行配置回滚,且FTP服务器端设置了登录用户的用户名和密码,请执行如下配置,配置从远程FTP服务器下载配置文件时使用的用户名、密码.
a.
配置从远程FTP服务器下载配置文件时使用的用户名.
configurationreplaceserveruseruser-name缺省情况下,未配置从远程FTP服务器下载配置文件时使用的用户名.
如果没有配置从远程FTP服务器下载配置文件时使用的用户名,则使用匿名用户名"anonymous".
b.
配置从远程FTP服务器下载配置文件时使用的密码.
configurationreplaceserverpassword{cipher|simple}string缺省情况下,未配置从远程FTP服务器下载配置文件时使用的密码.
请保证本地配置和服务器端配置一致.
(4)将当前配置回滚到远程服务器上的配置文件中的状态.
configurationreplaceserverfile[filename][attime[date]]1.
8配置下次启动配置文件1.
配置限制和指导执行undostartupsaved-configuration命令并重启IRF或IRF中的成员设备时,会导致IRF分裂,请谨慎使用.
主用下次启动配置文件和备用下次启动配置文件可以设置为同一文件,但为了更可靠,建议设置为不同的文件,或者将一份配置保存在两个不同名的文件中,一个设置为主用,一个设置为备用.
在执行undostartupsaved-configuration命令之后,系统会将主用/备用下次启动配置文件均设置为NULL,但不会删除该文件.
执行save命令将当前配置保存到指定配置文件时,系统会自动把该文件设置为设备的主用下次启动配置文件.
详细配置请参见"1.
4保存当前配置".
2.
配置准备所有成员设备的下次启动配置文件必须是相同的文件,因此,使用本命令前,请确保指定的配置文件已经保存在所有成员设备相同类型存储介质的根目录下,否则,操作失败.
3.
配置步骤(1)配置下次启动时的配置文件.
请选择其中一项进行配置.
请在用户视图下执行本命令,配置下次启动时的配置文件.
startupsaved-configurationcfgfile[backup|main]缺省情况下,未配置下次启动配置文件1-11可在任意视图下执行本命令,在保存当前配置到配置文件的同时设置该配置文件为下次启动配置文件.
save[safely][backup|main][force]本命令的详细介绍请参见1.
4保存当前配置.
不指定main和backup参数时,缺省使用main.
(2)(可选)可在任意视图下执行以下命令,验证配置.
显示用于本次及下次启动的配置文件的名称.
displaystartup查看下次启动配置文件的内容.
displaysaved-configuration1.
9备份/恢复主用下次启动配置文件1.
9.
1功能简介备份是指将设备的主用下次启动配置文件备份到指定的TFTP服务器.
恢复是指将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件.
1.
9.
2配置准备在执行配置文件的备份操作前,请进行以下操作:保证设备与服务器之间的路由可达,服务器端开启了TFTP服务,执行备份操作的客户端设备已获得了相应的读写权限.
在任意视图下使用displaystartup命令查看设备是否设置了下次启动配置文件.
如果没有指定下次启动配置文件,或者配置文件不存在,备份操作将失败.
1.
9.
3备份主用下次启动配置文件请在用户视图下执行本命令,将设备的主用下次启动配置文件备份到指定的TFTP服务器.
backupstartup-configurationto{ipv4-server|ipv6ipv6-server}[dest-filename][vpn-instancevpn-instance-name]1.
9.
4恢复主用下次启动配置文件(1)请在用户视图下执行本命令,将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件.
restorestartup-configurationfrom{ipv4-server|ipv6ipv6-server}src-filename[vpn-instancevpn-instance-name](2)(可选)可在任意视图下执行以下命令,验证配置.
显示用于本次及下次启动的配置文件的名称.
displaystartup查看下次启动配置文件的内容.
1-12displaysaved-configuration1.
10删除下次启动配置文件1.
功能简介当用户不再使用当前系统指定的下次启动配置文件启动设备时,使用该功能可将下次启动配置文件从设备上删除.
主备用下次启动配置文件都删除后,设备重启将采用出厂配置启动.
用户可以只删除主用下次启动配置文件,或者只删除备用下次启动配置文件.
如果设备的主用下次启动配置文件和备用下次启动配置文件相同,仅执行一次删除操作(例如指定了backup参数),系统只将相应的下次启动配置文件设置为NULL,不删除该文件,需要再次执行删除操作(指定main参数),才能将该配置文件彻底删除.
2.
配置限制和指导本特性会将下次启动配置文件从所有成员设备上彻底删除,请谨慎使用.
3.
配置步骤请在用户视图下执行本命令,删除下次启动配置文件.
resetsaved-configuration[backup|main]不指定main和backup参数时,删除主用下次启动配置文件.
1.
11配置文件管理显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置文件的使用情况.
用户可以通过查看显示信息验证配置的效果.
表1-1配置文件管理显示和维护操作命令显示备份配置文件的相关信息displayarchiveconfiguration显示远程配置回滚功能的相关信息displayconfigurationreplaceserver显示设备当前生效的配置displaycurrent-configuration[configuration[module-name]|interface[interface-type[interface-number]]|vpn-instance[vpn-instance-name]]显示下次启动配置文件与运行配置之间的差异displaycurrent-configurationdiff显示出厂配置displaydefault-configuration查看两份配置之间的差异displaydiffconfigfilefile-name-s{configfilefile-name-d|current-configuration|startup-configuration}displaydiffcurrent-configuration{configfilefile-name-d|startup-configuration}displaydiffstartup-configuration{configfilefile-name-d|current-configuration}显示下次启动配置文件的内容displaysaved-configuration1-13操作命令显示用于本次及下次启动的配置文件的名称displaystartup显示当前视图下生效的配置displaythisi目录1软件升级1-11.
1软件升级简介·1-11.
1.
1软件包类型·1-11.
1.
2软件包的发布形式·1-11.
1.
3设备支持的软件升级方式·1-21.
1.
4设备软件升级·1-21.
2软件升级限制和指导·1-31.
3通过Boot-Loader方式升级设备软件1-31.
3.
1升级任务简介·1-31.
3.
2升级准备1-31.
3.
3加载BootWare程序1-31.
3.
4指定新的启动软件包并完成升级·1-41.
3.
5将IRF主设备的当前软件包同步到从设备1-51.
4修复BootWare·1-51.
5软件升级显示和维护·1-61-11软件升级1.
1软件升级简介软件升级用于对软件包进行版本升级、增加特定软件特性或是对软件缺陷进行修复.
本章简要介绍了软件升级涉及的主要软件包类型、软件升级方式、以及如何从命令行通过Boot-Loader方式对软件进行升级.
1.
1.
1软件包类型软件升级涉及的软件包有:BootWare程序和Comware软件包.
1.
BootWare程序也称为BootROM程序,包括基本段和扩展段.
基本段用于引导系统启动.
扩展段用于硬件初始化并提供系统管理菜单.
在设备无法正常启动时,用户可通过这些菜单加载软件和下次启动配置文件,并管理文件.
为避免软件适配错误,BootWare程序通常集成到Comware软件的Boot包中.
2.
Comware软件包(1)Boot包:包含Linux内核程序,提供进程管理、内存管理、文件系统管理等功能的.
bin文件.
(2)System包:包含Comware内核和基本功能模块的.
bin文件,比如设备管理、接口管理、配置管理和路由模块等.
(3)Feature包:包含高级或定制业务的.
bin文件.
用户可根据需要购买Feature包.
(4)补丁(Patch)包:用来修复设备软件缺陷的.
bin程序文件.
补丁包只能修复启动软件包的缺陷,不涉及功能的添加和删除.
所以补丁包只有安装而没有升级的说法.
补丁包分为叠加补丁包和非叠加补丁包,具体定义如下:叠加补丁包:两个版本的叠加补丁包之间所解决的问题可以是包含、不包含或不完全包含的关系.
只有当两个版本的叠加补丁包之间所解决的问题为不包含的关系时,设备才可以同时安装这两个补丁包.
非叠加补丁包:新版本的补丁包包含旧版本的补丁包所解决的所有问题,每个Boot、System和Feature包只能安装一个非叠加补丁.
为同一个Boot、System或Feature包安装新版本补丁包的同时,设备会卸载旧版本的补丁包.
为Boot、System或Feature包安装的非叠加补丁包可以同时安装在设备上.
叠加补丁包和非叠加补丁包可以同时安装到设备上.
设备必须具有Boot包和System包才能正常运行.
设备上可安装的软件包(包括Boot包、System包、Feature包和补丁包)共为32个,其中Boot包和System包只能安装一个,Feature包和补丁包总共可安装30个.
1.
1.
2软件包的发布形式软件包有如下两种发布形式:1-2以.
bin文件的形式独立发布.
这种发布形式需要用户关注软件包之间的适配关系.
打包为.
ipe的IPE(ImagePackageEnvelope,复合软件包套件)文件发布,减少软件包之间的版本适配错误.
设备在加载IPE文件时,会自动将它解压缩成多个.
bin文件,并使用这些.
bin文件来升级设备.
软件包文件的名称采用"设备简称-Comware版本-软件包类型-release号"的形式.
在本文档中,Boot包和System包的文件名统一采用boot.
bin和system.
bin.
1.
1.
3设备支持的软件升级方式表1-1软件升级方式升级方式升级对象说明通过命令行的Boot-Loader方式升级BootWare程序Comware软件包(该方式不能升级补丁包)该方式需要重启设备,会导致当前业务中断通过命令行的ISSU方式升级Comware软件包ISSU是一种高可靠性升级方式,推荐使用该方式升级关于该方式的详细描述请参见"基础配置指导"中的"ISSU"通过BootWare菜单进行升级BootWare程序Comware软件包该方式用于无法启动Comware系统时进行软件升级和修复该升级方式需要连接到Console接口,断电重启.
启动过程中根据提示按进入BootWare菜单,通过BootWare来重新加载软件包,具体操作请参见产品随软件发布的版本说明书本章仅涉及如何通过命令行的Boot-Loader方式进行软件升级.
1.
1.
4设备软件升级1.
启动软件包在进行软件升级时,用户需要将升级软件包指定为启动软件包,作为设备下次启动时加载的软件包.
在升级时,用户可为设备指定主用启动软件包和备用启动软件包.
加载软件包时,系统会优先选择主用软件包.
只有当主用软件包不可用时,才会选择备用软件包.
2.
启动软件包加载过程设备加载并初始化BootWare之后,会按如下流程来选择加载的启动软件包,进入Comware系统:1-3(1)优先加载主用软件包.
(2)如果任何指定的主用软件包不存在或不可用,尝试加载备用软件包.
(3)如果任何指定的备用软件包不可用,查看主用Boot包或者备用Boot包是否可用.
如果主用Boot包或者备用Boot包均不可用,设备加载失败,无法正常启动.
1.
2软件升级限制和指导如果将可插拔存储介质内的软件包指定为设备下次启动时使用的软件包,重启设备时不要将可插拔存储介质从设备上拔出,否则可能导致设备无法正常启动.
建议将固定存储介质中的软件包指定为设备下次启动时使用的软件包.
仅缺省Context支持软件升级.
1.
3通过Boot-Loader方式升级设备软件1.
3.
1升级任务简介(1)升级整机a.
(可选)加载BootWare程序预先加载BootWare程序能缩短后续软件包升级的时间,减小升级过程中断电引起的升级失败.
如果未执行本步骤,那么设备在升级Boot包时会自动升级BootWare程序.
b.
指定新的启动软件包并完成升级(2)(可选)将IRF主设备的当前软件包同步到从设备IRF从设备的软件与IRF主设备的软件不一致时,可通过本任务将IRF主设备的启动软件包同步到IRF从设备.
1.
3.
2升级准备升级设备软件前,请进行如下操作:(1)使用displayversion命令查看设备当前运行的BootWare程序以及启动软件的版本.
(2)获取新软件的版本发布说明书,了解新软件的版本号、软件大小以及和当前运行的BootWare程序以及Comware软件的兼容性.
(3)通过版本发布说明书了解将安装的软件包是否需要License.
如果需要,查看设备上是否有对应的有效的License.
如果没有,请先安装License.
否则,会导致软件包安装失败.
(4)使用dir命令查看存储介质是否有足够的空间存储新的软件.
如果存储空间不足,可使用delete命令删除一些暂时不用的文件.
关于dir和delete命令的详细描述请参见"基础配置命令参考"中的"文件系统管理".
在IRF中,请保证所有成员设备上都有足够的存储空间.
(5)使用FTP、TFTP方式将新软件包下载到任一文件系统的根目录下.
FTP、TFTP和文件系统管理的具体配置和介绍请参见"基础配置指导"中的"FTP和TFTP"和"文件系统管理".
1.
3.
3加载BootWare程序(1)进入系统视图.
1-4system-view(2)(可选)开启升级时的合法性检查功能.
bootrom-updatesecurity-checkenable缺省情况下,BootWare升级时的合法性检查功能处于开启状态.
该功能用于检查BootWare文件的有效性以及硬件兼容性,保证BootWare正确升级.
(3)返回用户视图.
quit(4)(可选)备份当前运行的BootWare程序.
请选择其中一项进行配置.
将BootWare程序从BootWare的Normal区备份到Backup区.
bootrombackupslotslot-number-list[all|part]执行本命令后,若在设备运行过程中,Normal区的BootWare程序损坏或者需要版本回退,可以使用bootromrestore命令将BootWare程序从Backup区恢复到Normal区.
将BootWare程序从BootWare的Normal区备份到缺省文件系统中.
bootromreadslotslot-number-list[all|part]成功执行本命令后,系统会自动生成basicbtm.
bin(BootWare基本段)和extendbtm.
bin(BootWare扩展段)文件并保存到缺省文件系统中.
(5)加载新的BootWare程序.
bootromupdatefilefileslotslot-number-list[all|part]执行本命令后,系统会将文件系统中的BootWare程序加载到BootWare的Normal区.
要使新的BootWare程序生效,需要重启设备.
1.
3.
4指定新的启动软件包并完成升级请在用户视图下执行以下操作.
(1)为所有成员设备指定启动软件包.
请选择其中一项进行配置.
boot-loaderfileipe-filename{all|slotslot-number}{backup|main}boot-loaderfilebootfilenamesystemfilename[featurefilename&]{all|slotslot-number}{backup|main}对于有多台成员设备组成的IRF系统中,建议使用all参数升级软件包,逐一升级slot会导致升级期间slot之间的版本不一致.
(2)保存当前配置.
save(3)重启设备.
reboot(4)(可选)可选检查升级后的软件版本.
displayversion确认当前的软件版本为升级后的版本.
1-51.
3.
5将IRF主设备的当前软件包同步到从设备1.
功能简介当从设备和主设备的下次启动软件版本不一致时,需要刷新从设备的软件版本,使其软件版本和主设备当前运行的软件版本保持一致.
在进行软件同步时,系统会进行如下处理:如果主设备是使用主用启动软件包启动的,则将其主用下次启动软件包拷贝到从设备的对应目录下,并设置为从设备的主用启动软件包.
如果这些软件包中有任一软件包不存在或者不可用,则命令执行失败.
如果主设备是使用备用启动软件包列表启动的,则将其备用下次启动软件包列表中的软件包拷贝到从设备的对应目录下,并设置为从设备的主用下次启动软件包.
如果这些软件包中有任一软件包不存在或者不可用,则命令执行失败.
2.
升级限制和指导如果主设备刚安装了补丁或者进行了ISSU升级,在执行本命令前,请执行installcommit命令刷新主设备的主用启动软件包列表.
否则,可能导致备设备升级后与主设备的版本不一致.
3.
升级步骤请在用户视图下执行以下操作.
(1)指定需要同步主设备的从设备.
boot-loaderupdate{all|slotslot-number}(2)重启涉及同步的从设备.
rebootslotslot-number[force]1.
4修复BootWare1.
功能简介如果在设备运行过程中,Normal区的BootWare程序损坏或者需要版本回退,可使用本配置,将BootWare程序从Backup区恢复到Normal区,来修复BootWare.
2.
升级限制和指导若Normal区的BootWare程序被损坏或需要版本回退,须保证在此之前使用过bootrombackup命令将可用的BootWare程序从BootWare的Normal区备份到Backup区.
3.
升级步骤请在用户视图下执行以下操作.
(1)将BootWare程序从BootWare的Backup区恢复到Normal区.
bootromrestoreslotslot-number-list[all|part](2)重启设备.
reboot启动时,设备使用修复后的BootWare程序.
1-61.
5软件升级显示和维护在完成上述配置后,可在任意视图下执行display命令,通过查看显示信息验证配置的效果.
表1-2软件升级显示和维护操作命令显示本次启动和下次启动所采用的启动软件包的名称displayboot-loader[slotslot-number]i目录1ISSU·1-11.
1ISSU简介·1-11.
1.
1ISSU的优点·1-11.
1.
2ISSU升级策略·1-11.
1.
3ISSU升级方式·1-21.
2ISSU升级限制和指导·1-21.
3ISSU升级准备·1-31.
3.
1通过Console口登录设备1-31.
3.
2确认ISSU支持情况和License要求·1-31.
3.
3查看设备运行状态·1-31.
3.
4准备软件包·1-41.
3.
5确定升级策略·1-41.
3.
6确认相关协议状态·1-41.
3.
7选择升级步骤·1-41.
3.
8调整并保存当前的配置1-51.
4通过issu命令升级1-51.
4.
1通过issu命令进行兼容版本增量升级·1-51.
4.
2通过issu命令进行兼容版本重启以及不兼容版本升级1-51.
4.
3通过issu命令进行多个成员设备组成的IRF的兼容版本升级1-61.
4.
4通过issu命令进行多个成员设备组成的IRF的不兼容版本升级·1-71.
4.
5通过issu命令进行单个成员设备组成的IRF的兼容版本增量升级1-81.
4.
6通过issu命令进行单个成员设备组成的IRF的兼容版本重启以及不兼容升级·1-81.
5通过install命令升级·1-91.
5.
1通过install命令升级配置任务简介1-91.
5.
2通过IPE文件获得软件包·1-91.
5.
3安装/升级软件包1-101.
5.
4卸载软件包·1-111.
5.
5软件包回滚·1-121.
5.
6取消软件包操作1-121.
5.
7校验Boot包/System包/Feature包1-121.
5.
8确认软件包更改1-131.
5.
9删除软件包·1-131.
6强制结束ISSU升级流程1-13ii1.
7ISSU显示和维护·1-131-11ISSU1.
1ISSU简介ISSU(In-ServiceSoftwareUpgrade,不中断业务升级)是一种可靠性高的升级设备启动软件的方式.
通过ISSU升级,能够确保在升级过程中业务不中断或者中断时间较短.
本文中的升级指的是广义上升级,即升级前后,运行两个不同版本的软件.
它包括狭义上的升级和降级.
1.
1.
1ISSU的优点Comware将系统中比较稳定的基础进程和相对比较活跃的业务进程分离.
划分为Boot包、System包和Feature包.
ISSU可以单独升级这些软件包,无需一起升级.
Feature包之间互相独立,当某业务需要版本更新时,只需升级该业务对应的Feature包即可,不用升级所有模块,从而不会对设备运行甚至其它业务造成影响.
支持热补丁.
使用补丁包在不重启设备的情况下快速修复系统缺陷.
1.
1.
2ISSU升级策略1.
ISSU升级策略分类软件在发布的时候,开发会根据当前版本和历史版本是否兼容以及兼容的程度,制定升级策略.
ISSU升级策略包括如下几种:兼容升级增量升级(服务级/文件级)重启升级不兼容升级ISSU升级策略不同对当前业务的影响不同,采用的升级步骤也会有差异.
可参见"1.
3.
5确定升级策略"确定升级策略.
2.
兼容升级增量升级本策略用于只有用户态进程需要更新时.
使用该策略升级时,系统会仅对有差异的用户态进程实施升级,并通过进程的备份和倒换来保证升级过程中业务不中断.
该策略对系统影响最小、升级速度最快,为ISSU升级的最佳方式.
增量升级又分为如下两种升级方式:服务级增量升级(ServiceUpgrade):仅对本业务模块有影响,对系统以及其他业务模块没有影响.
文件级增量升级(FileUpgrade):仅对系统内的、用户不可见的程序文件进行升级,对系统以及业务模块没有影响.
重启升级(Reboot)1-2本策略用于版本间的差异仍属于兼容范围内,但无法进行增量升级时.
采用该方式时,系统会自动重启本成员设备,并在重启过程中加载新软件来完成本设备的软件升级.
重启升级过程中,除了正在重启的成员设备,其它成员设备均处于工作状态,从而保证了升级过程中业务不中断.
3.
不兼容升级(Incompatibleupgrade)表示设备当前运行的软件版本和要升级的目标软件版本不兼容时的升级.
不兼容版本因为版本差异较大,所以,在同一个系统中,两个版本不能同时运行.
因此,不兼容升级过程中:请先将一台或多台从设备升级到新版本,从设备升级完成后,系统会将它处于隔离状态,不能转发报文,主设备和其它没有升级的从设备处于工作状态.
然后执行主备倒换操作,此时,从设备变成主设备,自动接替原主设备工作,原主设备和其它没有升级的从设备逐个重启完成升级.
1.
1.
3ISSU升级方式ISSU有两种升级方式,一种是install命令升级方式,另一种是issu命令升级方式.
表1-1issu命令升级方式和install命令升级方式比较表比较项issu命令升级方式install命令升级方式是否要求新、旧软件版本兼容不要求要求对系统的影响范围大小对操作者的技术要求低,适合大多数操作者高,需要操作者对系统有较深入的了解,对升级每个动作所产生的影响有着准确的判断是否推荐操作者使用推荐不推荐1.
2ISSU升级限制和指导为确保升级成功,请核对产品的版本说明书,充分了解设备当前版本和目标版本之间的特性变更,务必将目标版本中不支持的命令行删除并保存配置后,再执行升级操作.
如果要卸载特性软件包,在卸载特性软件包之前,请务必将该软件包特性对应的命令行全部删除,并保存配置.
在ISSU升级过程中,请遵循以下指导:请不要执行以下操作:手工重启成员设备.
执行ISSU之外的操作,包括配置修改及信息查询等.
对启动软件包进行修改、删除以及重命名等操作.
1-3ISSU升级过程中issu和install命令互斥,只能选择其中的一种方式进行升级.
ISSU升级需要经过一系列的操作步骤,升级过程中有严格的步骤要求.
请完成一个步骤后再执行下一个步骤.
执行issuload、issucommit、installactivate或installdeactivate命令进行ISSU升级前,需保证设备处于稳定状态,否则无法执行操作.
可以使用displaysystemstablestate命令查看系统状态,当SystemState字段为Stable时,设备处于稳定状态.
关于displaysystemstablestate命令的详细介绍请参见"基础配置命令参考"中的"设备管理".
当issu命令指定的软件包不能全部覆盖设备当前启动软件包时,除issu命令指定的软件包之外的其他软件包会被沿用,例如设备当前启动软件包中含有Feature包并且该Feature包有效,issu命令指定新的软件包中不包含新的Feature包,那么当前版本的Feature包会被沿用.
若沿用的软件包与issu命令指定的软件包不兼容,会导致设备升级失败.
设备上可安装的软件包(包括Boot包、System包、Feature包和补丁包)共为32个,其中Boot包和System包只能安装一个,Feature包和补丁包总共可安装30个.
补丁包分为叠加补丁和非叠加补丁.
叠加补丁最多可以同时安装30个;由于每个Boot、System和Feature包只能安装一个非叠加补丁,所以非叠加补丁最多只能在设备上安装16个.
有关叠加补丁和非叠加补丁的详细介绍请参见,"基础配置指导"的"软件升级".
升级完成后请重新登录设备,否则将无法执行新版本与旧版本之间变更的命令.
1.
3ISSU升级准备为保证ISSU升级成功,请确保升级前所有的升级准备要求均已完成.
1.
3.
1通过Console口登录设备建议通过Console口对设备实施ISSU升级.
如果通过Telnet或SSH登录设备实施ISSU升级,在升级过程中可能会因Telnet或SSH连接中断,导致ISSU升级无法继续.
请确保系统中除了当前执行ISSU升级命令的用户外无其他用户登录.
1.
3.
2确认ISSU支持情况和License要求请仔细阅读软件包版本发布说明书,了解如下信息:(1)当前版本与新软件版本之间是否支持ISSU升级.
(2)新的软件是否需要License才能运行.
如果设备当前没有对应的有效的License时,请先安装对应的License,再进行ISSU升级.
否则,会导致软件包安装失败.
1.
3.
3查看设备运行状态请通过displaydevice命令了解设备的当前状态.
请确保此时所有设备均为正常状态,对于故障设备请先行排除故障后,再进行ISSU升级.
1-41.
3.
4准备软件包(1)通过dir命令查看每个文件系统是否有足够的存储空间保存启动软件包.
如果文件系统的存储空间不足,请通过delete/unreservedfile-url命令删除多余的软件包.
(2)通过FTP或TFTP将软件包下载到主设备任一文件系统的根目录.
1.
3.
5确定升级策略(1)执行带文件名参数的displayversioncomp-matrixfile命令显示设备将采用的ISSU升级策略.
(2)确认ISSU升级方式:对于兼容版本升级,查看显示信息中的"UpgradeWay"字段.
对于非兼容版本升级,查看显示信息末尾部分,会显示"Incompatibleupgrade".
有关升级策略的具体介绍,参见"1.
1.
2ISSU升级策略".
1.
3.
6确认相关协议状态为确保ISSU升级期间的业务连续性,请确保如下协议或特性的配置符合如下要求.
特性要求GR或NSR开启OSPF、ISIS、BGP和FSPF等协议的GR或NSR功能,否则ISSU升级期间可能会出现业务中断的现象BFD关闭OSPF、ISIS、RIP、BGP、VRRP、NQA等协议的BFD功能,否则ISSU升级期间可能会出现业务中断的现象以太网链路聚合所有动态聚合组的所有成员端口下LACP超时时间为长超时,即这些成员端口下都没有配置lacpperiodshort命令IRF如果需要对整个IRF进行兼容版本重启升级,请配置IRF桥MAC地址的保留时间为6分钟或永久保留如果需要对整个IRF进行不兼容升级,并且IRF桥MAC地址为将执行issuload设备中的某台设备的MAC地址时,请在执行issuload命令前配置桥IRF桥MAC地址的保留时间为永久保留1.
3.
7选择升级步骤(1)根据确定的升级策略,选择升级方式(参见"1.
1.
3ISSU升级方式").
(2)确认设备的硬件冗余情况.
ISSU只有在下列情况下才能保证业务连续性:IRF中有多个正常工作的成员设备,采用环形组网.
如果只有一个成员,并且升级方式为重启升级或不兼容升级时,不能保证业务不中断.
(3)选择升级流程:根据硬件冗余情况及ISSU升级策略在"1.
4通过issu命令升级"和"1.
5通过install命令升级"选择相应的升级流程.
1-51.
3.
8调整并保存当前的配置(1)如果升级的目标版本与设备当前运行版本有特性变更,请务必将目标版本不支持的命令行删除.
(2)如果要卸载特性软件包,在卸载该软件包之前,请务必删除该软件包特性对应的命令行.
(3)使用save命令保存当前配置.
1.
4通过issu命令升级1.
4.
1通过issu命令进行兼容版本增量升级请在用户视图下执行以下操作.
(1)确定系统处于稳定状态.
displaysystemstablestate使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(2)升级设备的启动软件包并将设备的下次启动软件包设置为指定的软件包.
指定.
bin文件.
issuloadfile{bootfilename|systemfilename|featurefilename&|patchfilename&}*[reboot]指定IPE文件.
issuloadfileipeipe-filename[patchfilename&][reboot](3)确定系统处于稳定状态.
displaysystemstablestate执行issuload命令后须等待设备稳定之后才能进行下一步操作.
若在此阶段升级出错,也可以等待设备稳定之后使用issurollback命令手动将版本回滚到升级前的状态.
(4)完成升级,ISSU回到初始状态.
issucommit(5)确定ISSU升级完成.
displayissustate完成以上配置后,当本命令显示的ISSUstate字段为Init,则表示ISSU升级完成.
1.
4.
2通过issu命令进行兼容版本重启以及不兼容版本升级请在用户视图下执行以下操作.
(1)确定系统处于稳定状态.
displaysystemstablestate使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(2)升级设备的启动软件包并将设备的下次启动软件包设置为指定的软件包,升级完成后ISSU回到初始状态.
1-6指定.
bin文件.
issuloadfile{bootfilename|systemfilename|featurefilename&|patchfilename&}*[reboot]指定IPE文件.
issuloadfileipeipe-filename[patchfilename&][reboot](3)确定ISSU升级完成.
displayissustate完成以上配置后,当本命令显示的ISSUstate字段为Init,则表示ISSU升级完成.
1.
4.
3通过issu命令进行多个成员设备组成的IRF的兼容版本升级1.
升级限制和指导多个成员设备兼容版本升级的基本原则是以成员设备为单位升级,且先升级一台从设备,然后再升级包括主设备在内的其它成员设备.
2.
配置步骤(1)(可选)配置自动版本回滚.
a.
进入系统视图.
system-viewb.
设置回滚定时器的时长.
issurollback-timerminutes缺省情况下,回滚定时器的时长为45分钟.
回滚定时器在执行issurunswitchover时创建并开始计时.
c.
退回用户视图.
quit(2)确定系统处于稳定状态.
displaysystemstablestate使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(3)升级从设备的启动软件包并将从设备的主用下次启动软件包设置为指定的软件包.
指定.
bin文件.
issuloadfile{bootfilename|systemfilename|featurefilename&|patchfilename&}*slotslot-number&[reboot]指定IPE文件.
issuloadfileipeipe-filename[patchfilename&]slotslot-number&[reboot](4)确定系统处于稳定状态.
displaysystemstablestate1-7执行issuload命令后须等待设备稳定之后才能进行下一步操作.
若在此阶段升级出错,也可以等待设备稳定之后使用issurollback命令手动将版本回滚到升级前的状态.
(5)进行ISSU倒换.
issurunswitchover若回滚定时器超时,则系统会自动回滚到升级前的版本.
(6)(可选)确认ISSU兼容升级,接受指定成员设备的运行版本,并删除回滚定时器.
issuaccept请在回滚定时器超时前配置本命令.
(7)确定系统处于稳定状态.
displaysystemstablestate执行issucommit命令前须保证设备处于稳定状态.
若在此阶段升级出错,也可以等待设备稳定之后使用issurollback命令手动将版本回滚到升级前的状态.
(8)对原主设备及未升级的从设备进行兼容版本升级.
所有成员设备完成升级后,本次升级结束,ISSU回到初始状态.
issucommitslotslot-number请在回滚定时器超时前配置本命令.
请等待一个成员设备升级完成后,再升级下一个.
(9)确定ISSU升级完成displayissustate完成以上配置后,当本命令显示的ISSUstate字段为Init,则表示ISSU升级完成.
1.
4.
4通过issu命令进行多个成员设备组成的IRF的不兼容版本升级1.
升级限制和指导多个成员设备不兼容版本升级的基本原则是以成员设备为单位升级,且先升级一个或多个从设备,然后再升级包括主设备在内的其它成员设备.
2.
配置步骤请在用户视图下执行以下操作.
(1)确定系统处于稳定状态.
displaysystemstablestate使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(2)升级从设备的启动软件包并将从设备的主用下次启动软件包设置为指定的软件包.
指定.
bin文件.
issuloadfile{bootfilename|systemfilename|featurefilename&|patchfilename&}*slotslot-number&[reboot]指定IPE文件.
issuloadfileipeipe-filename[patchfilename&]slotslot-number&[reboot]1-8如果IRF为环形连接,建议一次升级一半数量的物理上邻接的成员设备,以便尽量减少升级对整个IRF业务的影响.
(3)确定系统处于稳定状态.
displaysystemstablestate执行issuload命令后须等待设备稳定之后才能进行下一步操作.
若在此阶段升级出错,也可以等待设备稳定之后使用issurollback命令手动将版本回滚到升级前的状态.
(4)进行ISSU倒换,并且升级剩余的待升级的成员设备.
issurunswitchover(5)确定ISSU升级完成.
displayissustate完成以上配置后,当本命令显示的ISSUstate字段为Init,则表示ISSU升级完成.
1.
4.
5通过issu命令进行单个成员设备组成的IRF的兼容版本增量升级请在用户视图下执行以下操作.
(1)确定系统处于稳定状态.
displaysystemstablestate使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(2)升级主设备的启动软件包并将主设备的主用下次启动软件包设置为指定的软件包.
指定.
bin文件.
issuloadfile{bootfilename|systemfilename|featurefilename&|patchfilename&}*slotslot-number[reboot]指定IPE文件.
issuloadfileipeipe-filename[patchfilename&]slotslot-number[reboot](3)确定系统处于稳定状态.
displaysystemstablestate执行issuload命令后须等待设备稳定之后才能进行下一步操作.
若在此阶段升级出错,也可以等待设备稳定之后使用issurollback命令手动将版本回滚到升级前的状态.
(4)完成升级,ISSU回到初始状态.
issucommitslotslot-number(5)确定ISSU升级完成.
displayissustate完成以上配置后,当本命令显示的ISSUstate字段为Init,则表示ISSU升级完成.
1.
4.
6通过issu命令进行单个成员设备组成的IRF的兼容版本重启以及不兼容升级(1)确定系统处于稳定状态.
displaysystemstablestate1-9使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(2)升级主设备的启动软件包并将主设备的主用下次启动软件包设置为指定的软件包,升级完成后ISSU回到初始状态.
指定.
bin文件.
issuloadfile{bootfilename|systemfilename|featurefilename&|patchfilename&}*slotslot-number[reboot]指定IPE文件.
issuloadfileipeipe-filename[patchfilename&]slotslot-number[reboot](3)确定ISSU升级完成.
displayissustate完成以上配置后,当本命令显示的ISSUstate字段为Init,则表示ISSU升级完成.
1.
5通过install命令升级1.
5.
1通过install命令升级配置任务简介通过install命令升级配置任务如下:(1)(可选)通过IPE文件获得软件包(2)安装/升级软件包(3)(可选)卸载软件包(4)(可选)软件包回滚(5)(可选)取消软件包操作(6)(可选)校验Boot包/System包/Feature包(7)确认软件包更改(8)(可选)删除软件包1.
5.
2通过IPE文件获得软件包(1)(可选)查看该IPE文件中包含的软件包.
displayinstallipe-info(2)解压缩IPE文件.
installaddipe-filenamefilesystem该命令在用户视图下执行.
1-101.
5.
3安装/升级软件包1.
功能简介执行install命令可以安装/升级软件包.
如果当前系统没有运行相同类型的软件包,则该过程称为安装软件包;如果当前系统有相同类型的软件包在运行,则该过程称为升级软件包.
通常情况下,设备上必定存在一个Boot包和一个System包,所以Boot包和System包通常为升级;而补丁包只能修复启动软件包的缺陷,不涉及功能的添加和删除,所以补丁包只有安装而没有升级的说法.
使用install命令安装/升级软件包分为激活和确认更改两个步骤.
2.
软件包安装/升级方法介绍当需要安装/升级两个或两个以上软件包时,请选择以下任意一种方法来安装/升级软件包:使用一条命令激活完一个slot的所有软件包后再激活另一个slot的所有软件包,最后确认激活.
先激活完所有slot的某种类型的包(比如Boot包)之后,再激活所有slot的另外一种类型的包(比如System包),最后确认激活.
3.
限制和指导安装新Feature包/补丁包时,必须先激活主设备;升级已有Boot包/System包/Feature包时,必须先激活从设备,再激活主设备.
否则,安装/升级过程可能出错.
对于增量升级和补丁包升级方式,软件包激活只在设备本次运行过程中生效,用户只有通过installcommit命令确认软件包的更改后,才能使此次激活的软件包在系统重启后仍处于激活状态;对于软重启和重启升级方式,该步骤可选,因为用户在执行installactivate命令时,系统已经修改了下次启动软件列表,升级软件包会在系统重启后继续生效.
4.
安装/升级Boot包/System包/Feature包请在用户视图下执行以下操作.
(1)确定系统处于稳定状态.
displaysystemstablestate使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(2)(可选)显示Boot包/System包/Feature包的升级策略.
installactivate{bootfilename|systemfilename|featurefilename&}*slotslot-numbertest(3)激活Boot包/System包/Feature包.
installactivate{bootfilename|systemfilename|featurefilename&}*slotslot-number5.
激活补丁包请在用户视图下执行以下操作.
(1)确定系统处于稳定状态.
displaysystemstablestate1-11使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(2)激活补丁包.
installactivatepatchfilename{all|slotslot-number}本命令一次只能激活一个补丁包,但是可以通过多次执行此命令为设备激活多个补丁包.
指定all参数表示同时激活所有硬件上的补丁包,此时无需执行installcommit命令,所有补丁包在设备重启后继续生效.
1.
5.
4卸载软件包1.
功能简介因为Boot包和System包是设备运行的基础软件,所以Boot包和System包不支持卸载,只能卸载Feature包和补丁包.
当Feature包/补丁包被卸载后,该软件包将处于未激活状态,系统也将不再具备该软件包提供的功能.
但是软件包仍然存在于存储介质上,可以通过installremove命令将卸载后的软件包从存储介质上彻底删除.
Feature包/补丁包卸载也只在设备本次运行过程中生效.
如果用户希望系统重启后,Feature包/补丁包卸载依然生效,请用户使用installcommit命令确认软件包的更改.
2.
卸载Feature包请在用户视图下执行以下操作.
(1)确定系统处于稳定状态.
displaysystemstablestate使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(2)卸载Feature包.
installdeactivatefeaturefilename&slotslot-number3.
卸载补丁包请在用户视图下执行以下操作.
(1)确定系统处于稳定状态.
displaysystemstablestate使用本命令显示的systemstate字段为Stable,则表示设备处于稳定状态.
ISSU升级前使用本命令查看设备的状态,需要等待设备进入稳定状态,才可以进行ISSU升级.
(2)卸载补丁包.
installdeactivatepatchfilename{all|slotslot-number}本命令一次只能卸载一个补丁包,若要卸载多个补丁包,则需要多次执行此命令.
指定all参数表示同时卸载所有硬件上的补丁包,此时无需执行installcommit命令,所有补丁包在设备重启后不再生效.
1-121.
5.
5软件包回滚1.
功能简介通过回滚功能,用户可将系统回滚到某个历史状态.
系统对增量升级的激活或卸载操作会创建回滚点,记录每次的软件变化.
系统最多支持50个回滚点,当回滚点超过最大值时,旧的回滚点会被删除,新的回滚点会被保存.
系统会保存回滚点直到用户进行了如下操作:Reboot升级.
执行installcommit命令.
进行了Reboot升级之后,用户只能将当前运行软件回滚到Reboot之前的状态.
进行了Commit操作之后,用户将无法进行回滚.
对于增量升级,用户必须执行installcommit命令确认软件包的更改后,回滚操作才能在重启后生效.
2.
配置步骤请在用户视图下执行以下操作.
(1)(可选)查看设备的回滚点.
displayinstallrollback可以通过这个命令查看回滚点信息,以便进行相应的回滚操作.
(2)软件包回滚.
installrollbackto{point-id|original}补丁包不支持回滚操作.
1.
5.
6取消软件包操作1.
功能简介增量升级方式下,当系统正在执行软件包的激活或卸载操作时,用户可以通过installabort命令或者按Ctrl+C取消正在执行中的操作,从而使系统回退到操作前的状态.
2.
配置步骤请选择一种方式取消正在执行的ISSU操作:在用户视图下执行installabort[job-id]命令.
请按组合键Ctrl+C.
1.
5.
7校验Boot包/System包/Feature包1.
功能简介为了保证设备进行ISSU升级之后能够正常运行,需要执行本命令对软件包进行如下检验:完整性:检验Boot包、System包和Feature包的完整性.
一致性:检验系统内各激活的软件包列表的差异,以方便用户知道系统内各软件包版本是否一致.
1-13软件包状态:检查各设备上激活的软件包列表和确认的软件包列表之间的差异,以方便用户知道是否有未确认的软件包.
2.
配置步骤请在用户视图下执行以下操作.
(1)Boot包/System包/Feature包校验.
installverify(2)如发现不一致的软件包,更新激活的软件包列表.
install{activate|deactivate}1.
5.
8确认软件包更改installcommit1.
5.
9删除软件包1.
功能简介软件包升级成功后,可以通过以下步骤删除旧版本的软件包.
2.
配置限制和指导执行删除操作后,软件包会从设备上彻底删除,用户将不能执行与该软件包相关的installrollbackto或者installabort命令.
请确认不需要使用该软件包之后,再执行删除操作.
3.
配置步骤请在用户视图下执行本命令,删除软件包.
installremove[slotslot-number]{filename|inactive}1.
6强制结束ISSU升级流程1.
功能简介当ISSU升级异常且不能再次进行升级操作时,可以强制结束ISSU升级流程.
2.
配置步骤(1)进入系统视图.
system-view(2)强制结束ISSU升级流程.
issuquit执行installactivate、issuload命令的ISSU升级流程中可以执行此操作.
1.
7ISSU显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后软件包的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除ISSU统计信息.
1-14本节所列display和reset命令,和升级方式无关,不管是采用issu命令升级还是采用install命令升级,均可使用.
表1-2ISSU显示和维护操作命令显示当前系统中已激活的软件包的相关信息displayinstallactive[slotslot-number][verbose]显示设备下次启动时使用的备用软件包的相关信息displayinstallbackup[slotslot-number][verbose]显示设备下次启动时使用的主用软件包的相关信息displayinstallcommitted[slotslot-number][verbose]显示文件系统根目录下、没有被激活的所有软件包的相关信息displayinstallinactive[slotslot-number][verbose]显示IPE文件信息displayinstallipe-infoipe-filename显示系统中正在执行的激活、卸载、回滚三种ISSU操作displayinstalljob显示与ISSU升级相关的日志displayinstalllog[log-id][verbose]显示软件包信息displayinstallpackage{filename|all}[verbose]显示回滚点信息(issu命令升级过程中不会记录回滚点,因此,在issu命令升级过程中执行该命令,没有信息可显示)displayinstallrollback[point-id]显示一个组件或文件所属的软件包displayinstallwhich{componentname|filefilename}[slotslot-number]显示回滚定时器的相关信息displayissurollback-timer显示当前ISSU升级的状态,以及ISSU升级的相关信息(该命令只显示issu命令升级过程中设备所处的状态,不能显示install命令升级过程中设备所处的状态)displayissustate显示设备将采用的ISSU升级策略displayversioncomp-matrixfile{bootfilename|systemfilename|featurefilename&}*displayversioncomp-matrixfileipeipe-filename清除ISSU日志resetinstalllog-historyoldestlog-number清除回滚点resetinstallrollbackoldestpoint-idi目录1自动配置1-11.
1自动配置简介·1-11.
2配置限制和指导·1-11.
3自动配置与硬件适配关系·1-11.
4U盘自动配置·1-21.
4.
1功能简介1-21.
4.
2配置准备1-21.
4.
3配置步骤1-21-11自动配置1.
1自动配置简介自动配置功能是指设备在启动时自动获取并执行配置文件.
网络管理员只需将配置文件保存在指定的存储介质上,启动设备,即可实现自动配置,从而简化了网络配置,大大降低了网络管理员的工作量,便于实现对设备的集中管理.
本系列设备仅支持U盘自动配置.
U盘自动配置可以应用于小规模网络和大规模网络.
小规模网络:设备位置相对集中且缺少多余设备作为文件服务器.
大规模网络:仅有少量设备的配置需要更新.
1.
2配置限制和指导U盘自动配置功能仅支持配置缺省Context,不支持配置用户Context.
仅当设备空配置启动时,U盘自动配置功能才生效.
1.
3自动配置与硬件适配关系本特性的支持情况与设备型号有关,请以设备的实际情况为准.
型号说明F1000-A-G3/F1000-C-G3/F1000-E-G3/F1000-S-G3不支持F100-A-G3/F100-C-G3/F100-E-G3/F100-M-G3/F100-S-G3支持F1000-E-VG/F1000-S-VG支持F1000-A-G2/F1000-C-G2/F1000-E-G2/F1000-S-G2支持F100-A-G2/F100-C-G2/F100-E-G2/F100-M-G2/F100-S-G2支持F1000-C-EI/F100-A-EI/F100-A-SI/F100-C-EI/F100-E-EI支持F100-A80-WiNet/F100-C80-WiNet/F100-C60-WiNet/F100-C50-WiNet/F100-S80-WiNet支持F1000-C8180/F1000-C8170/F1000-C8160/F1000-C8150/F1000-C8130/F1000-C8120/F1000-C8110支持F100-C-A6/F100-C-A5/F100-C-A3支持F100-C-A6-WL/F100-C-A5-W/F100-C-A3-W支持F1000-C-HI/F100-A-HI/F100-C-HI/F100-S-HI支持F1000-990-AI/F1000-980-AI/F1000-970-AI/F1000-960-AI/F1000-950-AI/F1000-930-AI/F1000-920-AI/F1000-910-AI/F1000-905-AI支持LSPM6FWD8/LSQM2FWDSC8不支持1-21.
4U盘自动配置1.
4.
1功能简介管理员将配置文件保存在U盘上,设备在启动时可以自动从U盘上获取并执行配置文件,实现自动配置功能.
设备从U盘获取到配置文件后,将比较该配置文件与设备上的当前主配置文件内容是否相同:如果文件内容相同,设备将直接使用当前主用配置文件,不使用U盘上的配置文件.
如果文件内容不相同,则设备将U盘中的配置文件复制到本地,并执行该配置文件.
设备本地存储中有重名配置文件时,根据本地配置文件的属性采用如下处理方式:如果本地重名配置文件为当前主用配置文件,则设备将该文件以"原名_bak.
cfg"为名称另存.
如果本地重名配置文件不是当前主用配置文件,则设备直接使用U盘中的配置文件覆盖本地重名文件.
若设备执行U盘配置文件成功,设置从U盘拷贝的配置文件为主下次启动的配置文件.
若设备执行U盘配置文件中的某条命令失败时,设备会忽略U盘配置文件中的所有配置,使用设备之前保存的配置文件;如果设备之前未保存配置文件,则设备空配置启动.
1.
4.
2配置准备(1)准备一个没有分区的U盘.
(2)查询设备的序列号.
displaydevicemanuinfo该命令的详细介绍请参见"基础配置命令参考"中的"设备管理".
(3)创建配置文件名为"设备序列号.
cfg"或"autodeploy.
cfg"的配置文件,并保存在U盘的根目录中.
若U盘中同时存在"设备序列号.
cfg"和"autodeploy.
cfg"文件时,设备优先使用配置文件"设备序列号.
cfg".
1.
4.
3配置步骤(1)开启U盘自动配置功能.
a.
进入系统视图.
system-viewb.
开启U盘自动配置功能.
autodeployudiskenable缺省情况下,U盘自动配置功能处于开启状态.
c.
保存当前配置.
save若设备预先关闭了U盘自动配置功能,则配置本命令后需要保存配置并重启设备后才能生效.
1-3(2)设备只支持单成员设备的U盘自动配置,在多成员设备的情况下,需要先使用shutdown命令关闭IRF链路的所有物理端口以解除IRF,然后单独对主设备完成U盘自动配置.
(3)将保存有配置文件的U盘插入设备的USB1接口,即usba0:.
(4)重启设备并观察指示灯.
若设备启动之后判定需要进行U盘自动配置,则会在拷贝U盘内的配置文件并设置为设备启动的主用配置文件之后自动重启,自动重启后开始使用从U盘拷贝来的配置文件对设备进行自动配置:U盘自动配置成功时,系统(SYS)指示灯绿色快速闪烁5秒.
U盘自动配置失败时,系统(SYS)指示灯黄色快速闪烁10秒.
如果配置文件下发失败,设备会把失败的日志写到U盘根目录下,日志文件名为"配置文件全名.
log".
管理员可以根据日志信息进行问题定位和处理.
有关设备启动过程中系统状态指示灯(SYS)的其他含义解释请参见对应产品的安装指导.
(5)设备启动完成后,可以执行displaycurrent-configuration命令查看U盘中的配置是否已正确加载,该命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
(6)U盘自动配置完成后需拔出U盘,否则设备重启时,配置会被U盘中保存的配置文件覆盖.
(7)重新组成IRF,配置文件会从主设备同步到从设备.
i目录1设备管理1-11.
1设备管理简介·1-11.
2设备管理任务简介1-11.
3配置设备名称·1-21.
4配置设备网元信息1-21.
5配置系统时间·1-21.
5.
1功能简介1-21.
5.
2配置限制和指导1-21.
5.
3配置任务简介·1-31.
5.
4通过命令行配置系统时间·1-31.
5.
5通过网络协议获取UTC时间1-31.
5.
6配置时区1-31.
5.
7配置夏令时·1-41.
6开启版权信息显示功能1-41.
7配置欢迎信息·1-41.
8配置密码恢复功能1-61.
9关闭USB接口·1-71.
10配置端口状态检测定时器1-71.
11监控CPU利用率·1-71.
12监控CPU核的利用率·1-91.
13配置内存告警门限1-91.
14监控资源使用情况1-121.
14.
1监控聚合接口数1-121.
14.
2监控Context个数·1-121.
14.
3监控NAT条目数·1-121.
14.
4监控安全策略规则数1-131.
14.
5监控会话连接数1-131.
14.
6监控会话新建速率·1-131.
15配置温度告警门限1-141.
16可插拔接口模块的识别与诊断1-151.
16.
1识别可插拔接口模块1-151.
16.
2诊断可插拔接口模块1-161.
17配置定时执行任务功能1-16ii1.
17.
1功能简介1-161.
17.
2配置限制和指导1-161.
17.
3配置步骤1-171.
18定位设备·1-181.
18.
1功能简介1-181.
18.
2配置限制和指导1-181.
18.
3开始定位设备·1-181.
18.
4停止定位设备·1-181.
19重启设备·1-181.
19.
1功能简介1-181.
19.
2配置限制和指导1-191.
19.
3通过reboot命令行立即重启设备·1-191.
19.
4通过schedulerreboot定时重启设备·1-191.
20恢复出厂状态·1-201.
21设备管理显示和维护·1-201-11设备管理1.
1设备管理简介通过设备管理功能,用户能够查看设备当前的工作状态,配置设备运行的相关参数,实现对设备的日常维护和管理.
1.
2设备管理任务简介设备管理的所有配置任务均为可选配置,配置时无先后顺序要求,请根据实际需要选择配置.
设备管理配置任务如下:配置设备的基本参数配置设备名称配置设备网元信息配置系统时间开启版权信息显示功能配置欢迎信息配置设备的安全参数配置密码恢复功能关闭USB接口调整设备的能力配置端口状态检测定时器监控设备监控CPU利用率监控CPU核的利用率配置内存告警门限监控资源使用情况配置温度告警门限管理设备上的资源可插拔接口模块的识别与诊断维护设备配置定时执行任务功能定位设备重启设备恢复出厂状态1-21.
3配置设备名称1.
功能简介设备名称用于在网络中标识某台设备,在系统内部,设备名称对应于命令行接口的提示符,如设备的名称为Sysname,则用户视图的提示符为.
2.
配置步骤(1)进入系统视图.
system-view(2)配置设备名称.
sysnamesysname缺省情况下,设备的名称为H3C.
1.
4配置设备网元信息1.
功能简介设备的网元信息可用于表示设备的位置信息、功能信息、用户自定义的名字标记等.
2.
配置步骤(1)进入系统视图.
system-view(2)配置设备的网元信息.
sysidsystem-id缺省情况下,未配置设备的网元信息.
1.
5配置系统时间1.
5.
1功能简介为了保证与其它设备协调工作,为了更好的监控和维护设备,请确保设备的系统时间是准确的.
设备可通过以下方式获取系统时间:命令行配置.
用户通过命令行指定系统时间后,设备会使用内部晶体震荡器产生的时钟信号继续计时.
网络时钟同步.
设备周期性的同步NTP服务器的UTC(CoordinatedUniversalTime,国际协调时间)时间,并用同步得到的UTC时间和设备上配置的本地时区、夏令时参数运算,得出当前的系统时间.
关于NTP的详细介绍,请参见"网络管理和监控配置指导"中的"NTP".
从网络时钟源获取的时间比命令行配置的时间更精准,推荐使用.
1.
5.
2配置限制和指导通过命令行配置系统时间时,不管当前是否已经配置夏令时和时区,clockdatetime命令中指定的时间即为当前的系统时间.
1-3设备通过命令行配置或者网络同步获取到系统时间后,如果再修改夏令时或者时区,设备会用修改后的夏令时和时区重新计算系统时间,计算后得到的系统时间可通过displayclock命令查看.
仅缺省Context支持本功能,非缺省Context不支持.
设备上所有Context使用相同的系统时间.
1.
5.
3配置任务简介系统时间的配置任务如下:(1)配置系统时间的获取方式.
请选择其中一项进行配置.
通过命令行配置系统时间通过网络协议获取UTC时间(2)配置时区请将所有网络设备的时区和当地地理时区保持一致.
(3)(可选)配置夏令时请将所有网络设备的夏令时和当地夏令时保持一致.
1.
5.
4通过命令行配置系统时间(1)进入系统视图.
system-view(2)通过命令行配置系统时间.
clockprotocolnone缺省情况下,从缺省Context通过NTP协议获取时间.
多次执行clockprotocol命令,最后一次执行的命令生效,可能会导致系统时间被修改.
(3)返回用户视图.
quit(4)配置系统时间.
clockdatetimetimedate缺省情况下,设备的系统时间为UTC时间2011年1月1日零点.
1.
5.
5通过网络协议获取UTC时间(1)进入系统视图.
system-view(2)通过网络协议获取UTC时间.
clockprotocolntp缺省情况下,从缺省Context通过NTP协议获取时间.
多次执行clockprotocol命令,最后一次执行的命令生效,可能会导致系统时间被修改.
(3)配置NTP的相关参数.
关于NTP的配置,请参见"网络管理和监控配置指导"中的"NTP".
1.
5.
6配置时区(1)进入系统视图.
1-4system-view(2)配置系统所在的时区.
clocktimezonezone-name{add|minus}zone-offset缺省情况下,系统所在的时区为零时区,即设备采用UTC时间.
1.
5.
7配置夏令时(1)进入系统视图.
system-view(2)配置夏令时.
clocksummer-timenamestart-timestart-dateend-timeend-dateadd-time缺省情况下,未配置夏令时.
1.
6开启版权信息显示功能1.
功能简介开启版权信息显示功能后,使用Telnet或SSH方式登录设备时会显示版权信息,使用Console口登录设备再退出用户视图时,由于设备会自动再次登录,因此也会显示版权信息,其它情况不显示版权信息.
禁止版权信息显示功能后,在任何情况下都不会显示版权信息.
2.
配置步骤(1)进入系统视图.
system-view(2)开启版权信息显示功能.
copyright-infoenable缺省情况下,版权信息显示功能处于开启状态.
1.
7配置欢迎信息1.
功能简介欢迎信息是用户在连接到设备后、进入CLI配置界面前系统显示的一段提示信息.
管理员可以根据需要,配置欢迎信息.
系统支持如下几种欢迎信息:legal欢迎信息.
系统在用户登录前会给出一些版权或者授权信息,然后显示legal条幅,并等待用户确认是否继续登录.
如果用户输入"Y"或者按键,则继续登录过程;如果输入"N",则断开连接,退出登录过程.
"Y"和"N"不区分大小写.
MOTD(MessageOfTheDay,每日提示)欢迎信息.
login欢迎信息.
只有用户界面下配置了password或者scheme认证方式时,才显示该欢迎信息.
shell欢迎信息.
用户登录时显示shell欢迎信息.
1-5以上几种欢迎信息的显示顺序为:legal欢迎信息、MOTD欢迎信息、login欢迎信息或shell欢迎信息.
2.
欢迎信息输入方式欢迎信息可以单行或多行输入.
单行输入该方式下,命令关键字与欢迎信息的所有内容在同一行中输入,输入内容text的第一个字符和最后一个字符分别作为起始符和结束符,起始符和结束符可以为任意可见字符但两者必须相同,且不属于欢迎信息的内容.
此时包括命令关键字、起始符和结束符在内,一共可以输入511个字符.
在该方式下输入欢迎信息过程中不能回车(按键).
例如,配置shell欢迎信息为"Haveaniceday.
",可参照如下步骤:system-view[System]headershell%Haveaniceday.
%单行输入方式配置的欢迎信息本身不能包含换行符.
多行输入该方式下,通过回车键将欢迎信息分多行输入.
如果输入的内容中包括换行,则换行算两个字符.
多行输入又分三种方式:命令关键字后直接回车,输入欢迎信息并以"%"作为欢迎信息的结束符结束配置,"%"不属于欢迎信息的内容.
该方式,不包括起始符但包括结束符在内,一共可以输入1999个字符.
例如,配置的欢迎信息为"Haveaniceday.
",可参照如下步骤:system-view[System]headershellPleaseinputbannercontent,andquitwiththecharacter'%'.
Haveaniceday.
%命令关键字后输入一个字符后回车,以这个字符作为欢迎信息的起始符和结束符,输入完欢迎信息以后,以结束符结束配置.
起始符和结束符不属于欢迎信息的内容.
该方式,不包括起始符但包括结束符在内,一共可以输入1999个字符.
例如,配置的欢迎信息为"Haveaniceday.
",可参照如下步骤:system-view[System]headershellAPleaseinputbannercontent,andquitwiththecharacter'A'.
Haveaniceday.
A命令关键字后输入多个字符(首尾不相同)后回车,以命令关键字后的第一个字符作为欢迎信息的起始符和结束符,输入完欢迎信息以后,以结束符结束配置.
起始符和结束符不属于欢迎信息的内容.
该方式,包括起始符和结束符在内,一共可以输入2002个字符.
例如,配置的欢迎信息为"Haveaniceday.
",可参照如下步骤:system-view[System]headershellAHaveaniceday.
Pleaseinputbannercontent,andquitwiththecharacter'A'.
A1-6多行输入方式配置的欢迎信息本身可以包含换行符.
配置欢迎信息内容时键入的回车,即对应最终显示的欢迎信息中的换行.
3.
配置步骤(1)进入系统视图.
system-view(2)配置欢迎信息.
请至少选择其中一项进行配置.
配置legal欢迎信息.
headerlegaltext配置MOTD欢迎信息.
headermotdtext配置login欢迎信息.
headerlogintext配置shell欢迎信息.
headershelltext1.
8配置密码恢复功能1.
功能简介使能密码恢复功能后,当用户忘记Console口认证密码或者登录认证失败,导致无法使用Console口登录设备时,可通过Console口连接设备,硬件重启设备,并在启动过程中根据提示按进入BootWare菜单,再选择对应的BootWare菜单选项来修复这个问题.
关闭密码恢复功能后,设备将处于一个安全性更高的状态,即当出现上述情况时,若想继续使用Console口登录设备,只能通过BootWare菜单选择将设备恢复为出厂配置之后方可继续操作,这样可以有效地防止非法用户获取启动配置文件.
BootWare菜单的详细描述,请参见产品的版本说明书.
2.
配置限制和指导仅缺省Context支持本功能,非缺省Context不支持.
清除认证密码的操作必须在主设备的启动过程中进入BootWare菜单进行.
3.
配置步骤(1)进入系统视图.
system-view(2)使能密码恢复功能.
password-recoveryenable缺省情况下,密码恢复功能处于使能状态.
1-71.
9关闭USB接口1.
功能简介用户可通过USB口进行文件的上传和下载或者接USB3GModem模块.
缺省状态下USB口处于开启状态,用户可根据需要关闭USB口.
2.
配置限制和指导仅缺省Context支持本功能,非缺省Context不支持.
3.
配置步骤(1)进入系统视图.
system-view(2)关闭USB接口.
usbdisable缺省情况下,设备上所有的USB接口处于开启状态.
1.
10配置端口状态检测定时器1.
功能简介某些协议模块(比如STP等)在特定情况下会自动关闭某个端口.
此时,可以配置一个端口状态检测定时器.
当定时器超时,如果该端口仍处于关闭状态,则协议模块会自动取消关闭动作,使端口恢复到真实的物理状态.
2.
配置步骤(1)进入系统视图.
system-view(2)配置端口状态检测定时器的时长.
shutdown-intervaltime缺省情况下,端口状态检测定时器时长为30秒.
1.
11监控CPU利用率1.
功能简介CPU告警功能系统每隔1分钟会对CPU的利用率进行采样,并将采样值和用户配置的CPU利用率阈值/CPU利用率恢复阈值比较:当采样值大于或等于CPU利用率阈值时,则认为CPU利用率过高.
当采样值回落,小于或等于CPU利用率恢复阈值时,则认为CPU利用率已经恢复到正常范围.
当CPU利用率从过高变成正常或者从正常变为过高,均会发送Trap报文,并通知业务模块进行相应处理.
1-8图1-1CPU告警示意图CPU利用率历史记录功能开启CPU利用率历史记录功能后,系统会每隔一定时间(可通过monitorcpu-usageinterval命令配置)对CPU的利用率进行采样,并把采样结果保存到历史记录区.
这些记录可通过displaycpu-usagehistory命令查看,以便用户监控设备近期的运行情况.
2.
配置步骤(1)进入系统视图.
system-view(2)配置CPU利用率阈值.
monitorcpu-usagethresholdsevere-thresholdrecovery-thresholdrecovery-threshold[slotslot-number[cpucpu-number]]缺省情况下,CPU利用率阈值为70%,CPU利用率恢复门限为30%.
(3)配置CPU利用率历史记录的采样周期.
monitorcpu-usageintervalinterval[slotslot-number[cpucpu-number]]缺省情况下,CPU使用率历史记录采样周期为1分钟.
(4)开启CPU利用率历史记录功能.
monitorcpu-usageenable[slotslot-number[cpucpu-number]]缺省情况下,CPU使用率历史记录功能处于开启状态.
(5)开启周期性输出CPU利用率日志功能.
monitorcpu-usageloggingslotslot-numbercpucpu-numberintervalinterval-time缺省情况下,周期性输出CPU利用率日志功能处于关闭状态.
告警门限时间CPU使用率进入告警状态告警解除,恢复正常恢复门限1-91.
12监控CPU核的利用率1.
功能简介系统按5秒周期对CPU核的利用率进行采样,然后对统计周期内的采样值进行计算,并将计算值和用户配置的CPU核利用率的阈值比较.
当计算值大时,则认为CPU核利用率过高,设备会发送告警信息并记录日志.
2.
配置限制和指导统计周期建议配置为5的整数倍,不是整数倍时,最接近且小于配置值的、5的整数倍数生效.
例如统计周期配置为18秒,实际生效的统计周期为15秒.
3.
配置步骤(1)进入系统视图.
system-view(2)配置CPU核利用率统计周期.
monitorcpu-usagestatistics-intervalintervalslotslot-numbercpucpu-numbercorecore-id-list缺省情况下,CPU核利用率统计周期为60秒.
(3)配置发送CPU核告警的间隔.
monitorresendcpu-usagecore-intervalcore-interval[slotslot-number[cpucpu-number]]缺省情况下,发送CPU核告警的间隔为300秒.
1.
13配置内存告警门限1.
功能简介系统实时监控系统剩余空闲内存大小,当条件达到一级、二级、三级告警门限或者恢复正常状态门限时,就产生相应的告警/告警解除通知,通知关联的业务模块/进程采取相应的措施,以便最大限度的利用内存,又能保证设备的正常运行.
一级(minor)、二级(severe)和三级(critical)门限,对应的剩余空闲内存越来越少,紧急程度越来越严重.
当剩余空闲内存值从大于变成小于一级告警门限时,产生一级告警.
当剩余空闲内存值从大于变成小于二级告警门限时,产生二级告警.
当剩余空闲内存值从大于变成小于三级告警门限时,产生三级告警.
当剩余空闲内存值从小于变成大于二级告警门限时,产生三级告警解除通知.
当剩余空闲内存值从小于变成大于一级告警门限时,产生二级告警解除通知.
当剩余空闲内存值小于变成大于正常内存大小时,产生一级告警解除通知.
同一级别的告警/告警解除通知是交替进行的:当剩余空闲内存值小于某级告警门限,设备产生相应级别的告警,后续只有该告警解除了,剩余空闲内存值再次小于某级告警门限时,才会再次生成该级别的告警.
当系统的剩余空闲内存大小如图1-2中曲线所示时,会生成如图1-2所示的告警和解除告警通知.
1-10图1-2内存告警示意图2.
功能简介系统实时监控系统剩余空闲内存大小,当条件达到一级、二级、三级告警门限或者恢复正常状态门限时,就产生相应的告警/告警解除通知,通知关联的业务模块/进程采取相应的措施,以便最大限度的利用内存,又能保证设备的正常运行.
除了一级、二级、三级告警,设备还支持预警功能.
预警门限用于内存使用率尚处于正常范围内,但需要提醒用户提前关注内存的情况.
预警恢复门限用于解除预警.
预告警(early-warning)、一级(minor)、二级(severe)和三级(critical)门限,对应的系统剩余空闲内存越来越少,紧急程度越来越严重.
当剩余空闲内存值从大于变成小于预告警门限时,产生预告警.
当剩余空闲内存值从大于变成小于一级告警门限时,产生一级告警.
当剩余空闲内存值从大于变成小于二级告警门限时,产生二级告警.
当剩余空闲内存值从大于变成小于三级告警门限时,产生三级告警.
当剩余空闲内存值从小于变成大于二级告警门限时,产生三级告警解除通知.
当剩余空闲内存值从小于变成大于一级告警门限时,产生二级告警解除通知.
当剩余空闲内存值小于变成大于正常内存大小时,产生一级告警解除通知.
当剩余空闲内存值小于变成大于预告警恢复门限时,产生预告警解除通知.
同一级别的告警/告警解除通知是交替进行的:当系统剩余空闲内存小于某级告警门限,设备产生相应级别的告警,后续只有该告警解除了,系统剩余空闲内存再次小于某级告警门限时,才会再次生成该级别的告警.
当系统的剩余空闲内存大小如图1-3中曲线所示时,会生成如图1-3所示的告警和解除告警通知.
一级门限告警解除通知二级门限告警解除通知一级门限(minor)三级门限(critical)时间剩余空闲内存大小二级门限(severe)正常状态(normal)一级门限告警二级门限告警三级门限告警三级门限告警解除通知1-11图1-3内存告警示意图3.
配置限制和指导仅缺省Context支持本功能,非缺省Context不支持.
当设备出现内存告警时,可删除暂时不用的配置或关闭部分功能来释放内存.
但因为内存不足,部分配置可能删除失败.
4.
配置步骤(1)进入系统视图.
system-view(2)配置内存利用率阈值.
memory-threshold[slotslot-number[cpucpu-number]]usagememory-threshold缺省情况下,内存利用率阈值为95%.
系统每隔1分钟对内存利用率进行采样,当采样值大于或等于用户配置的内存利用率阈值时,则认为内存利用率过高,设备会发送Trap报文.
(3)配置空闲内存告警的门限值.
memory-threshold[slotslot-number[cpucpu-number]][ratio]minorminor-valueseveresevere-valuecriticalcritical-valuenormalnormal-value不同设备空闲内存告警的门限值可能不同,请先使用undomemory-threshold命令恢复缺省情况后,再通过displaymemory-threshold命令查看设备的缺省温度告警门限.
(4)开启周期性输出内存利用率日志功能.
monitormemory-usageloggingslotslot-numbercpucpu-numberintervalinterval-time缺省情况下,周期性输出内存利用率日志功能处于关闭状态.
一级门限告警解除通知二级门限告警解除通知一级门限(minor)三级门限(critical)时间剩余空闲内存大小二级门限(severe)正常状态(normal)一级门限告警二级门限告警三级门限告警三级门限告警解除通知预告警预告警解除通知预告警(early-warning)预告警解除(secure)1-121.
14监控资源使用情况1.
14.
1监控聚合接口数1.
功能简介配置此功能后,当设备上创建的二层聚合接口或三层聚合接口的数量达到告警阈值时,则输出告警信息.
之后每3小时输出一次告警,直到设备上创建的二层聚合接口或三层聚合接口的数量低于告警阈值后,才停止输出告警.
2.
配置步骤(1)进入系统视图.
system-view(2)配置聚合接口数的告警阈值.
monitorresource-usage{bridge-aggregation|route-aggregation}thresholdthreshold-value缺省情况下,未配置聚合接口的告警阈值,不会触发告警.
1.
14.
2监控Context个数1.
功能简介配置设备上Context个数告警阈值后,当设备上Context的数量达到告警阈值时,则设备立即输出告警并进入告警状态,若该设备一直处于告警状态,为避免告警频繁,后续每6小时输出一次告警,直到该设备上Context个数降至告警阈值以下.
2.
配置限制和指导仅缺省Context支持本功能,非缺省Context不支持.
3.
配置步骤(1)进入系统视图.
system-view(2)配置设备上Context个数的告警阈值.
monitorresource-usagecontextthresholdthreshold-value缺省情况下,未配置设备上Context个数的告警阈值,不会触发告警.
1.
14.
3监控NAT条目数1.
功能简介配置此功能后,当设备上配置的NAT条目数达到告警阈值时,则输出告警信息.
之后每3小时输出一次告警,直到设备上配置的NAT条目数低于告警阈值后,才停止输出告警.
目前,此功能仅统计配置的静态地址转换条目数和生效的NAT内部服务器地址转换条目数,可通过displaynatserver命令查看NAT内部服务器配置的生效状态.
2.
配置步骤(1)进入系统视图.
1-13system-view(2)配置NAT条目数的告警阈值.
monitorresource-usagenatthresholdthreshold-value缺省情况下,未配置NAT条目数的告警阈值,不会触发告警.
1.
14.
4监控安全策略规则数1.
功能简介配置此功能后,当设备上创建的安全策略规则的数量达到告警阈值时,则输出告警信息.
之后每6小时输出一次告警,直到设备上创建的安全策略规则的数量低于告警阈值后,才停止输出告警.
2.
配置步骤(1)进入系统视图.
system-view(2)配置安全策略规则数的告警阈值.
monitorresource-usagesecurity-policy{ip|ipv6}thresholdthreshold-value缺省情况下,未配置安全策略规则数的告警阈值,不会触发告警.
1.
14.
5监控会话连接数1.
功能简介配置此功能后,当设备上的会话连接数达到告警阈值时,则输出告警信息.
之后每10分钟输出一次告警,直到会话连接数低于告警阈值后,才停止输出告警.
2.
配置步骤(1)进入系统视图.
system-view(2)配置会话连接数的告警阈值.
monitorresource-usagesession-count[slotslot-number]thresholdthreshold-value缺省情况下,未配置会话连接数的告警阈值,不会触发告警.
1.
14.
6监控会话新建速率1.
功能简介配置此功能后,当设备上的会话新建速率达到告警阈值时,则输出告警信息.
之后每10分钟输出一次告警,直到会话新建速率低于告警阈值后,才停止输出告警.
2.
配置步骤(1)进入系统视图.
system-view(2)配置会话新建速率的告警阈值.
1-14monitorresource-usagesession-rate[slotslot-number]thresholdthreshold-value缺省情况下,未配置会话新建速率的告警阈值,不会触发告警.
1.
15配置温度告警门限1.
功能简介通过以下配置任务,用户可以根据实际应用的需要配置不同的温度告警门限,来监控设备上不同位置温度传感器的温度.
设备可配置的温度告警门限包括:低温告警门限、一般级(Warning)高温告警门限、严重级(Alarm)高温告警门限.
如果温度低于低温告警门限、高于一般级或严重级高温门限,系统均会生成相应的日志信息和告警信息提示用户,并通过设备面板上的指示灯来告警,以便用户及时进行处理.
2.
硬件适配关系本特性的支持情况与设备型号有关,请以设备的实际情况为准.
型号说明F1000-A-G3/F1000-C-G3/F1000-E-G3/F1000-S-G3支持F100-A-G3/F100-C-G3/F100-E-G3/F100-M-G3/F100-S-G3F100-A-G3/F100-E-G3:支持F100-C-G3/F100-M-G3/F100-S-G3:不支持F1000-E-VG/F1000-S-VGF1000-E-VG:支持F1000-S-VG:不支持F1000-A-G2/F1000-C-G2/F1000-E-G2/F1000-S-G2支持F100-A-G2/F100-C-G2/F100-E-G2/F100-M-G2/F100-S-G2F100-A-G2/F100-E-G2:支持F100-C-G2/F100-M-G2/F100-S-G2:不支持F1000-C-EI/F100-A-EI/F100-A-SI/F100-C-EI/F100-E-EIF1000-C-EI/F100-A-EI/F100-A-SI/F100-E-EI:支持F100-C-EI:不支持F100-A80-WiNet/F100-C80-WiNet/F100-C60-WiNet/F100-C50-WiNet/F100-S80-WiNetF100-A80-WiNet:支持F100-C80-WiNet/F100-C60-WiNet/F100-C50-WiNet/F100-S80-WiNet:不支持F1000-C8180/F1000-C8170/F1000-C8160/F1000-C8150/F1000-C8130/F1000-C8120/F1000-C8110F1000-C8180/F1000-C8170/F1000-C8160:支持F1000-C8150/F1000-C8130/F1000-C8120/F1000-C8110:不支持F100-C-A6/F100-C-A5/F100-C-A3不支持F100-C-A6-WL/F100-C-A5-W/F100-C-A3-W不支持F1000-C-HI/F100-A-HI/F100-C-HI/F100-S-HIF1000-C-HI/F100-A-HI:支持F100-C-HI/F100-S-HI:不支持1-15型号说明F1000-990-AI/F1000-980-AI/F1000-970-AI/F1000-960-AI/F1000-950-AI/F1000-930-AI/F1000-920-AI/F1000-910-AI/F1000-905-AIF1000-990-AI/F1000-980-AI/F1000-970-AI/F1000-960-AI/F1000-950-AI/F1000-930-AI/F1000-920-AI:支持F1000-910-AI/F1000-905-AI:不支持LSPM6FWD8/LSQM2FWDSC8支持3.
配置限制和指导本功能仅缺省Context支持.
4.
配置步骤(1)进入系统视图.
system-view(2)配置设备的温度告警门限.
temperature-limitslotslot-number{hotspot|inflow|outflow}sensor-numberlowlimitwarninglimit[alarmlimit]不同温度传感器的温度门限可能不同,请先使用undotemperature-limit命令恢复缺省情况后,再通过displayenvironment命令查看设备的缺省温度告警门限.
高温告警门限必须大于低温告警门限;Alarm高温告警门限必须大于Warning高温告警门限.
本命令中hotspot参数的支持情况与设备的型号有关,详细信息请参考命令手册中对应描述.
1.
16可插拔接口模块的识别与诊断1.
16.
1识别可插拔接口模块1.
功能简介可以通过显示可插拔接口模块的主要特征参数或者电子标签信息来识别可插拔接口模块.
可插拔接口模块的主要特征参数包括:模块型号、连接器类型、发送激光的中心波长、信号的有效传输距离、模块生产厂商名称等信息.
电子标签信息也可以称为永久配置数据或档案信息,在光模块或者设备的调试、测试过程中被写入到光模块或者设备的存储器件中,包括光模块或者设备的名称、生产序列号、MAC地址、制造商等信息.
另外,当设备上插入的光模块的生产厂商不是H3C时,设备会打印Log信息提醒用户,要求用户更换成H3C的光模块,以便管理和维护光模块.
关于Log输出规则的配置请参见"网络管理和监控配置指导"中的"信息中心".
2.
配置步骤请在任意视图下执行以下命令.
显示可插拔接口模块的主要特征参数.
displaytransceiverinterface[interface-typeinterface-number]1-16显示可插拔接口模块的电子标签信息.
displaytransceivermanuinfo{controller[controller-typecontroller-number]|interface[interface-typeinterface-number]}1.
16.
2诊断可插拔接口模块1.
功能简介系统提供故障告警信息描述了可插拔接口模块的故障来源,以便用户诊断和解决故障.
系统还提供了数字诊断功能,其原理是对影响光模块工作的关键参数进行监控(这些关键参数包括:温度、电压、激光偏置电流、发送光功率和接收光功率等),当这些参数的值异常时,用户可以采取相应的措施,预防故障发生.
2.
配置步骤请在任意视图下执行以下命令.
显示可插拔接口模块的当前故障告警信息.
displaytransceiveralarm{controller[controller-typecontroller-number]|interface[interface-typeinterface-number]}显示可插拔光模块的数字诊断参数的当前测量值.
displaytransceiverdiagnosis{controller[controller-typecontroller-number]|interface[interface-typeinterface-number]}1.
17配置定时执行任务功能1.
17.
1功能简介通过配置定时执行任务功能可以让设备在指定时刻或延迟指定时间后,自动执行指定命令,使设备能够在无人值守的情况下完成某些配置.
该功能不但增强了设备的自动控制和管理能力,提高了易用性,而且可以起到有效节能的作用.
定时执行任务有两种类型:一次性执行方式和循环执行方式.
两种方式都支持在同一任务中执行多条命令.
一次性执行的配置任务不能保存到配置文件,设备重启后该任务将取消.
循环执行的配置任务能保存到配置文件,等下次时间到达,任务将自动执行.
1.
17.
2配置限制和指导通过command分配的命令行必须是设备上可成功执行的命令行,但不能包括telnet、ftp、ssh2和monitorprocess.
由用户保证配置的正确性,否则,命令行不能自动被执行.
如果需要分配的命令(假设为A)是用户视图下的命令,则直接使用command命令分配即可,比如:command1displayinterface;如果需要分配的命令(假设为A)是非用户视图下的命令,则必须先分配进入A所在视图的命令(指定较小的id值),再分配A.
比如:要使用Job定时执行shutdown命令,则需执行三次command命令,分别分配system-view、interface、shutdown命令,且各command命令的id值逐渐增大.
1-17定时执行任务时,设备不会与用户交互信息.
当需要用户交互确认时,系统将自动输入"Y"或"Yes";当需要用户交互输入字符信息时,系统将自动输入缺省字符串,没有缺省字符串的将自动输入空字符串.
系统将在后台定时执行任务,不显示任何输出信息(log、trap、debug等系统信息除外).
1.
17.
3配置步骤(1)进入系统视图.
system-view(2)创建Job.
schedulerjobjob-name(3)为Job分配命令.
commandidcommand缺省情况下,没有为Job分配命令.
多次执行该命令可以为Job分配多条命令,命令的执行顺序由id参数的大小决定,数值小的先执行.
(4)退回系统视图.
quit(5)创建Schedule.
schedulerscheduleschedule-name(6)为Schedule分配Job.
jobjob-name缺省情况下,没有为Schedule分配Job.
多次执行该命令可以为Schedule分配多个Job,各个Job之间并发执行.
(7)配置执行Schedule的定时任务时使用的用户角色.
user-rolerole-name缺省情况下,Schedule执行定时任务时使用的用户角色,为创建该Schedule的用户的用户角色.
多次执行本命令可给Schedule配置多个用户角色,系统会使用这些用户角色权限的并集去执行Schedule.
(8)配置执行Schedule的时间.
请选择其中一项进行配置.
配置在指定时刻执行Schedule.
timeattimedatetimeonceattime[month-datemonth-day|week-dayweek-day&]配置延迟执行Schedule的时间.
timeoncedelaytime为Schedule配置循环执行时间.
timerepeatingattime[month-date[month-day|last]|week-dayweek-day&]为Schedule配置循环执行周期.
1-18timerepeating[attime[date]]intervalinterval缺省情况下,没有为Schedule配置执行时间.
一个Schedule只能配置一个时间,最后一次执行的命令生效.
(9)(可选)配置Schedule日志文件的大小.
schedulerlogfilesizevalue缺省情况下,Schedule日志文件的大小为16KB.
Schedule日志文件用来记录Job下命令行的执行结果.
如果该文件的大小超过了配置值,则系统会删除老日志,来存储新日志.
如果要记录的日志信息超长,超过了日志文件的大小,则该日志超出的部分不会记录.
1.
18定位设备1.
18.
1功能简介配置locatorblinkblink-time命令后,指定设备上用于定位的LED灯会以间隔快闪的方式闪烁,并持续指定的时间.
用户可根据SYS灯的指示来定位设备所在的位置.
blink-time时间到或者执行locatorblinkstop命令,则定位闪烁的LED灯会恢复正常点亮状态.
1.
18.
2配置限制和指导仅缺省Context支持本功能,非缺省Context不支持.
1.
18.
3开始定位设备请在用户视图下执行本命令,定位设备的位置.
locator[slotslot-number]blinkblink-time1.
18.
4停止定位设备请在用户视图下执行本命令,停止定位.
locator[slotslot-number]blinkstop1.
19重启设备1.
19.
1功能简介重启设备的方式有以下几种:(1)硬件重启通过断电后重新上电来重启设备.
该方式对设备影响较大,如果对运行中的设备进行强制断电,可能会造成数据丢失.
一般情况下,建议不要使用这种方式.
(2)命令行重启主要用于远程重启设备,而不需要到设备所在地进行断电/上电重启.
设备支持以下配置方式:1-19通过reboot命令行立即重启设备.
通过schedulerreboot定时重启设备.
该方式效果同执行reboot命令,只是使用该方式用户可以配置时间点,让设备在该时间点自动重启,或者配置一个时延,让设备经过指定时间后自动重启.
比"通过reboot命令行立即重启设备"方式灵活.
1.
19.
2配置限制和指导重新启动会导致业务中断,请谨慎使用.
如果设备在准备重启时,用户正在进行文件操作,为了安全起见,系统将不会执行此次重启操作.
1.
19.
3通过reboot命令行立即重启设备1.
配置准备请在任意视图下执行以下命令.
(1)确认是否配置了正确的下次启动配置文件.
displaystartup本命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
(2)确认是否配置了正确的下次启动文件.
displayboot-loader如果主用启动文件损坏或者不存在,则不允许通过reboot命令重启设备.
请指定新的主用启动文件后再重启.
本命令的详细介绍请参见"基础配置命令参考"中的"软件升级".
(3)为避免重启后配置丢失,将当前配置保存到下次启动配置文件.
save请根据需要保存当前配置,以免重启后配置丢失.
本命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
2.
配置步骤请在用户视图下执行以下命令,重启设备.
reboot[slotslot-number][force]1.
19.
4通过schedulerreboot定时重启设备1.
配置限制和指导该配置对所有成员设备生效.
配置定时重启后,如果发生主设备和从设备倒换,则定时重启配置将自动取消.
当多次执行schedulerreboot命令,最新的配置生效.
2.
配置步骤请在用户视图下执行本命令,配置重启设备的具体时间或延迟时间.
schedulerrebootattime[date]schedulerrebootdelaytime1-20缺省情况下,未配置设备重启的时间.
1.
20恢复出厂状态1.
功能简介当设备使用场景更改,或者设备出现故障时,可以使用本特性将设备恢复到出厂状态,仅保留".
bin"和License文件.
2.
配置限制和指导使用本特性,设备会自动强制重启并恢复到出厂状态,请谨慎使用.
仅缺省Context支持本功能,非缺省Context不支持.
3.
配置步骤请在用户视图下执行本命令,将设备恢复到出厂状态.
restorefactory-default1.
21设备管理显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后设备的运行情况,通过查看显示信息验证配置的效果.
请在系统视图下执行resetversion-update-record命令,在用户视图下执行resetschedulerlogfile命令.
displayalarm、displayenvironment、displayfan、displaypower命令的支持情况与设备型号有关,具体请参见命令参考.
以下参数的支持情况与设备型号有关,具体请参见命令参考:displaydevice命令中的harddisk、usb参数.
displayfan命令中的fan-id参数.
displaypower命令中的power-id参数.
displaytransceiveralarm命令中的controller参数.
displaytransceiverdiagnosis命令中的controller参数.
displaytransceivermanuinfo命令中的controller参数.
表1-1设备管理显示和维护操作命令显示设备的告警信息displayalarm[slotslot-number]显示系统当前的时间、日期、本地时区以及夏令时配置displayclock显示设备的版权信息displaycopyright1-21操作命令显示CPU利用率的统计信息displaycpu-usage[summary][slotslot-number[cpucpu-number[core{core-number|all}]]]displaycpu-usage[control-plane|data-plane][summary][slotslot-number[cpucpu-number]]显示CPU利用率监控功能的相关配置displaycpu-usageconfiguration[slotslot-number[cpucpu-number]]以图表方式显示CPU利用率的历史记录displaycpu-usagehistory[jobjob-id][slotslot-number[cpucpu-number]]显示设备信息displaydevice[harddisk|usb][slotslot-number[subslotsubslot-number]|verbose]显示设备的电子标签信息displaydevicemanuinfo[slotslot-number]收集诊断信息displaydiagnostic-information[hardware|infrastructure|l2|l3|service][key-info][filename]显示设备的温度信息displayenvironment[slotslot-number]显示风扇的工作状态displayfan[slotslot-number[fan-id]]显示设备的内存使用状态displaymemory[summary][slotslot-number[cpucpu-number]]显示内存告警门限相关信息displaymemory-threshold[slotslot-number[cpucpu-number]]显示设备的电源状态displaypower[slotslot-number[power-id]]显示Job的配置信息displayschedulerjob[job-name]显示Job的执行日志信息displayschedulerlogfile显示定时重启功能的相关配置displayschedulerreboot显示Schedule的相关信息displayschedulerschedule[schedule-name]显示设备的健康状态displaysystemhealth[slotslot-number]显示系统健康状态变化的历史信息displaysystemhealthhistory[slotslot-number]显示系统的稳定状态displaysystemstablestate显示系统版本信息displayversion显示启动软件包版本更新操作的记录displayversion-update-record清除Schedule日志文件的相关信息resetschedulerlogfile清除启动软件包版本更新操作的记录resetversion-update-record1-22对于displaycpu-usage、displaycpu-usageconfiguration、displaycpu-usagehistory、displaymemory命令,登录Context后执行这些命令,会显示该Context可使用的CPU/内存的相关信息.
对于displaydevice命令,在缺省Context和非缺省Context下执行该命令,显示信息相同,且均显示物理设备的对应信息.
以下命令仅缺省Context支持,非缺省Context不支持.
displayalarmdisplaydevicemanuinfodisplayenvironmentdisplayfandisplaymemory-thresholddisplaypowerdisplayversion-update-recordresetschedulerlogfileresetversion-update-recordi目录1Tcl1-11.
1Tcl在ComwareV7中的使用·1-11.
2Tcl配置限制和指导1-11.
3通过Tcl脚本配置设备·1-11.
3.
1配置限制和指导1-11.
3.
2配置步骤1-11.
4在Tcl配置视图下执行Comware命令1-21.
4.
1功能简介1-21.
4.
2配置限制和指导1-21.
4.
3配置步骤1-21-11Tcl1.
1Tcl在ComwareV7中的使用ComwareV7系统内嵌了Tcl(ToolCommandLanguage,工具命令语言)解析器,支持直接在设备上执行Tcl脚本命令,以实现通过Tcl脚本配置设备.
在用户视图下执行tclsh命令,会进入Tcl配置视图.
为兼容Comware配置方式,在Tcl配置视图下,用户可以直接输入Tcl脚本命令,也可以输入Comware系统的命令.
命令输入完成后,直接回车即可执行.
Tcl配置视图下,支持Tcl8.
5版本的所有命令.
对于Comware系统的命令,Tcl配置视图相当于用户视图,配置方式同用户视图下的配置.
1.
2Tcl配置限制和指导通过Tcl脚本配置设备或在Tcl配置视图下执行Comware命令的过程中,如需退回上一级视图,只能使用quit命令.
如需退回Tcl配置视图,不能使用return命令,可以使用组合键.
1.
3通过Tcl脚本配置设备1.
3.
1配置限制和指导在Tcl配置视图下编辑命令时,遵循以下约定:用户需保证输入的Tcl脚本命令可以正确执行.
由于执行Tcl脚本命令过程无法使用快捷键或命令行方式中断,如果用户通过Telnet/SSH方式登录设备并执行脚本命令时出现问题,需要关闭当前连接来终止执行过程;如果用户通过Console口方式登录设备并执行脚本命令时出现问题,则可以通过重启设备或者通过其他方式登录设备执行freeline命令断开该Console用户线的连接.
有关freeline命令的详细介绍,请参见"基础配置命令"中的"登录设备".
建议用户通过Telnet/SSH方式登录设备并进入Tcl视图执行脚本命令.
在Tcl中定义的环境变量可以应用到Comware系统的命令.
Tcl脚本命令不支持输入""键获得在线帮助和Tab键补全功能.
已经成功执行的Tcl脚本命令不会记录在历史命令缓冲区中.
通过Tcl脚本命令readstdin进行读取操作时,可以通过结束读取.
1.
3.
2配置步骤(1)从用户视图进入Tcl配置视图.
tclsh(2)根据需求执行Tcl脚本.
Tclcommand1-2(3)从Tcl配置视图退回到用户视图.
tclquitquit1.
4在Tcl配置视图下执行Comware命令1.
4.
1功能简介在Tcl配置视图下执行Comware命令有两种方式:一种是在Tcl配置视图下直接输入Comware命令,如果Tcl命令与Comware命令的命令字冲突,则执行Tcl命令;另一种是在Comware命令前添加cli命令关键字,该方式在Tcl命令与Comware命令的命令字冲突时能够优先执行Comware命令.
1.
4.
2配置限制和指导在Tcl配置视图下执行Comware命令时,遵循以下约定:当Comware命令配置的字符串被特殊字符""或{}包围时,只有在特殊字符前加上\,该特殊字符才有效.
例如,在接口视图下设置描述信息为"a"时,需要执行description\"a\";如果执行description"a",配置结果为descriptiona.
Comware系统的命令支持输入""键获得在线帮助和Tab键补全功能.
关于输入""键获得在线帮助和Tab键补全功能的详细描述,请参见"基础配置指导"中的"CLI".
cli命令是Tcl脚本命令,不支持输入""键获得在线帮助和Tab键补全功能.
已经成功执行的Comware系统的命令会记录在历史命令缓冲区中,使用上下光标键可以调用执行过的命令.
通过以下三种方式,可以一次执行多条Comware命令:在同一行连续键入多条Comware系统的命令,命令间用分号隔开.
多条命令会按顺序下发并执行.
例如ospf100;area0.
在cli命令后连续键入需要执行的多条Comware命令,每条Comware命令之间使用空格加分号进行分隔,在第一条Comware命令的前方和最后一条Comware命令的后方添加英文格式的双引号.
例如cli"ospf100;area0".
多次输入cli命令和Comware命令的组合,每组之间使用空格加分号分隔.
例如cliospf100;cliarea0.
1.
4.
3配置步骤(1)从用户视图进入Tcl配置视图.
tclsh(2)执行Comware命令.
直接执行Comware命令.
Command通过增加cli命令关键字执行Comware命令.
clicommand1-3(3)从Tcl配置视图退回到用户视图.
tclquitquiti目录1Python·1-11.
1Python简介·1-11.
2执行Python脚本文件·1-11.
3进入Pythonshell1-11.
4导入Platformtools包以使用扩展API·1-11.
4.
1导入整个Platformtools包并执行扩展API·1-11.
4.
2导入单个API函数并执行该函数·1-21.
5退出Pythonshell1-22Comware扩展PythonAPI2-12.
1CLI·2-12.
2get_error·2-12.
3get_output2-22.
4get_self_slot·2-22.
5get_slot_info·2-32.
6get_slot_range2-32.
7get_standby_slot·2-42.
8Transfer·2-42.
9send2-52.
10SYSLOG2-61-11Python1.
1Python简介Python是一种简单易学,功能强大的编程语言,它有高效率的高层数据结构,简单而有效地实现了面向对象编程.
Python简洁的语法和对动态输入的支持,再加上解释性语言的本质,使得它在大多数平台上的许多领域都是一个理想的脚本语言,特别适用于快速的应用程序开发.
在设备上可以采用如下方式使用Python:通过执行Python脚本进行自动化配置系统.
进入Pythonshell,使用Python2.
7版本的命令、标准API或扩展API对设备进行配置.
其中,扩展API是Comware对Python进行的扩展,用来方便用户进行系统配置.
关于Comware的Python扩展,可以参考"2Comware扩展PythonAPI".
1.
2执行Python脚本文件请在用户视图下执行本命令,执行Python脚本文件.
pythonfilename1.
3进入Pythonshell请在用户视图下执行本命令,进入Pythonshell.
python1.
4导入Platformtools包以使用扩展API用户如需使用扩展PythonAPI,必须先导入Platformtools包.
导入时,可选择导入整个Platformtools包或单个API.
1.
4.
1导入整个Platformtools包并执行扩展API1.
配置步骤(1)请在用户视图下执行本命令,进入Pythonshell.
python(2)导入整个Platformtools包.
importplatformtools(3)执行扩展API.
platformtools.
api2.
配置举例#下例采用APITransfer将TFTP服务器(192.
168.
1.
26)上的文件test.
cfg下载到设备上.
python1-2Python2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>platformtools.
Transfer('tftp','192.
168.
1.
26','test.
cfg','flash:/test.
cfg',user='',password='')1.
4.
2导入单个API函数并执行该函数1.
配置步骤(1)请在用户视图下执行本命令,进入Pythonshell.
python(2)导入单个API函数.
fromplatformtoolsimportapi-name(3)执行扩展API函数.
api-function2.
配置举例#下例采用APITransfer将TFTP服务器(192.
168.
1.
26)上的文件test.
cfg下载到设备上.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>fromplatformtoolsimportTransfer>>>Transfer('tftp','192.
168.
1.
26','test.
cfg','flash:/test.
cfg',user='',password='')1.
5退出Pythonshell请在Pythonshell下执行本命令,退出Pythonshell.
exit()2-12Comware扩展PythonAPI本文描述在ComwareV7中提供的扩展PythonAPI,扩展PythonAPI必须遵循标准Python语言语法.
2.
1CLI用来执行ComwareV7系统的命令并创建CLI对象.
【命令】CLI(command='',do_print=True)【参数】command:表示要下发的命令,缺省为空.
CLI下发命令是从用户视图开始,如果command中不指定视图,直接输入命令,表示该命令在用户视图下执行;当需要执行其它视图的命令时,需要先输入进视图的命令,再输入具体的配置命令.
多条命令之间以空格加分号分隔,如'system-view;local-usertestclassmanage'.
do_print:表示是否输出执行结果,True表示输出执行结果,False表示不输出执行结果.
缺省值为True.
【返回值】CLI对象【使用指导】需要注意的是,CLI仅支持Comware命令,不支持Linux、Python、Tcl命令.
【举例】#使用APICLI添加本地用户test.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>platformtools.
CLI('system-view;local-usertestclassmanage')【结果】system-viewSystemView:returntoUserViewwithCtrl+Z.
[Sysname]local-usertestclassmanageNewlocaluseradded.
2.
2get_error用来获取下载文件过程中的错误信息.
2-2【命令】Transfer.
get_error()【返回值】下载文件过程中的错误信息,若没有错误信息则返回None.
【举例】#使用APITransfer将TFTP服务器(1.
1.
1.
1)上的文件test.
cfg下载到设备上.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>c=platformtools.
Transfer('tftp','1.
1.
1.
1','test.
cfg','flash:/test.
cfg',user='',password='')>>>c.
get_error()【结果】"Timeoutwasreached"2.
3get_output用来获取命令执行的输出信息.
【命令】CLI.
get_output()【返回值】命令执行的输出信息.
【举例】#使用APICLI添加本地用户,并输出命令行执行结果.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>c=platformtools.
CLI('system-view;local-usertestclassmanage',False)>>>c.
get_output()【结果】['system-view','SystemView:returntoUserViewwithCtrl+Z.
','[Sysname]local-usertestclassmanage','Newlocaluseradded.
']2.
4get_self_slotget_self_slot接口用来获取主设备的成员编号.
【命令】get_self_slot()2-3【返回值】返回一个列表对象,格式为:[-1,slot-number],其中slot-number表示主设备在IRF中的成员编号.
【举例】#使用API获取主设备所在的成员编号.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>platformtools.
get_self_slot()【结果】[-1,1]2.
5get_slot_infoget_slot_info接口用来获取指定成员设备的信息.
【命令】get_slot_info()【返回值】返回一个字典对象,返回值始终为{'Slot':slot-number,'Status':'status','Chassis':chassis-number,'Role':'role','Cpu':CPU-number}.
slot-number表示备在IRF中的成员编号,status表示成员设备的状态,chassis-number取值固定为0,role表示成员设备的角色,CPU-number取值固定为0.
【举例】#使用API获取成员编号/槽位号信息.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>platformtools.
get_slot_info(1)【结果】{'Slot':1,'Status':'Normal','Chassis':0,'Role':'Master','Cpu':0}2.
6get_slot_rangeget_slot_range接口用来获取当前系统所支持的成员编号范围.
【命令】get_slot_range()2-4【返回值】返回一个字典对象,返回值始终为{'MaxSlot':max-slot-number,'MinSlot':min-slot-number}.
max-slot-number表示设备支持的最大成员编号,min-slot-number表示设备支持的最小成员编号.
【举例】#使用API获取系统成员编号范围.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>platformtools.
get_slot_range()【结果】{'MaxSlot':2,'MinSlot':1}2.
7get_standby_slotget_standby_slot接口用来获取所有从设备的成员编号.
【命令】get_standby_slot()【返回值】返回一个列表对象,格式为:[[-1,slot-number]],其中slot-number表示从设备在IRF中的成员编号.
如果IRF中没有从设备,则返回[];当IRF中有多个从设备时,则返回:[[-1,slot-number1],[-1,slot-number2],……].
【举例】#使用API获取从设备所在的成员编号.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>platformtools.
get_standby_slot()【结果】[[-1,1],[-1,2]]2.
8Transfer用来将指定文件通过指定协议下载到本地.
【命令】Transfer(protocol='',host='',source='',dest='',vrf='',login_timeout=10,user='',password='')2-5【参数】protocol:表示下载文件时使用的协议.
取值为:ftp:表示使用FTP协议传输文件.
tftp:表示使用TFTP协议传输文件.
http:表示使用HTTP协议传输文件.
host:表示远程服务器的IP地址.
source:表示服务器上源文件的名称.
dest:表示保存到本地的目的文件的名称.
vrf:指定目的端所属的MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示目的端位于公网中.
login_timeout:表示下载文件时登录的超时时间,单位为秒,缺省值为10.
user:表示登录时使用的用户名称.
password:表示登录时使用的用户密码.
【返回值】Transfer对象【举例】#使用APITransfer将TFTP服务器(192.
168.
1.
26)上的文件test.
cfg下载到设备上.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>platformtools.
Transfer('tftp','192.
168.
1.
26','test.
cfg','flash:/test.
cfg',user='',password='')【结果】2.
9send用来生成并发送日志信息.
【命令】SYSLOG.
send(digest='',info='',priority='')【参数】digest:表示日志助记符,为1~32个字符的字符串,区分大小写.
info:日志内容,为1~1024个字符的字符串,区分大小写.
priority:表示日志优先级,取值范围为0~4294967295.
【返回值】无.
2-6【使用指导】当需要使用Python生成并发送日志时,请先使用SYSLOGAPI创建SYSLOG对象,并指定日志所属模块,再使用APIsend指定日志参数、生成并发送日志.
有关日志信息的格式的详细介绍,请参见"网络管理和监控配置指导"中的"信息中心".
要使当前终端能够显示日志信息,请先在用户视图下执行terminalmonitor命令.
【举例】#配置允许当前终端显示日志信息,然后使用API生成并发送一条SNMP模块的日志:日志助记符为Test、日志信息为"Trytosendonemessage.
"、日志优先级为1000.
terminalmonitorpythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>a=platformtools.
SYSLOG('snmp')>>>a.
send('Test','Trytosendonemessage.
',1000)【结果】>>>%Jan106:24:17:9082019SysnameSNMP/0/Test:Trytosendonemessage.
2.
10SYSLOG用来创建SYSLOG对象.
【命令】SYSLOG(module='')【参数】module:表示产生日志的模块名,为1~8个字符的字符串,不区分大小写.
【返回值】无.
【使用指导】创建的SYSLOG对象用于发送指定模块的日志.
【举例】#为SNMP模块创建SYSLOG对象,并赋值给变量a.
pythonPython2.
7.
3(default)[GCC4.
4.
1]onlinux2Type"help","copyright","credits"or"license"formoreinformation.
>>>importplatformtools>>>a=platformtools.
SYSLOG('snmp')>>>a【结果】i目录1License管理1-11.
1License管理简介·1-11.
1.
1License类型1-11.
1.
2License授权对象·1-11.
2License管理配置限制和指导1-11.
2.
1License操作1-11.
2.
2DID文件和激活文件操作1-11.
2.
3IRF中的License一致性·1-11.
3License安装流程·1-11.
4License管理配置任务简介1-21.
5获取申请License需要的信息·1-21.
6申请License·1-31.
6.
1功能简介1-31.
6.
2配置限制和指导1-31.
6.
3License激活申请·1-31.
7安装License·1-51.
7.
1配置限制和指导1-51.
7.
2安装激活文件·1-51.
8License管理显示和维护·1-61-11License管理1.
1License管理简介对于基于License的特性,用户必须申请并安装License后才能使用.
1.
1.
1License类型License分为临时License和正式License.
临时License授权有时间限制,在License到期之后,相应的特性将不可用.
请在试用期内购买并安装正式License,以便试用期满后特性可以正常使用.
1.
1.
2License授权对象在IRF中以成员设备为单位进行授权.
用户必须为每台成员设备购买授权码,使用该成员设备的SN和DID申请激活文件,并将激活文件安装在该成员设备上.
该成员设备才能获得授权,可以运行指定的特性.
已授权的成员设备加入其它IRF后仍然携带同样的授权.
1.
2License管理配置限制和指导1.
2.
1License操作对于一台设备,请不要多个用户同时进行License操作,以免操作失败.
License管理操作只能在缺省Context上进行.
缺省Context下执行的License操作对所有Context生效.
有关Context的详细介绍,请参见"虚拟化技术配置指导"中的"Context".
1.
2.
2DID文件和激活文件操作在使用DID文件或激活文件时,请注意:请不要打开或编辑文件,以免影响文件的格式,导致文件损坏.
请不要修改文件名称,以免影响授权.
系统将激活文件保存在flash:/license目录下.
为保证基于授权的特性的正常运行,请不要删除flash:/license目录下处于Inuse或Usable状态的激活文件.
1.
2.
3IRF中的License一致性在IRF中,请确保IRF中所有成员设备上安装的License一致.
否则,这些License对应的特性可能会无法正常运行.
1.
3License安装流程安装License的流程如图1-1所示.
1-2图1-1License安装流程1.
4License管理配置任务简介License管理配置任务如下:(1)获取申请License需要的信息(2)申请License(3)安装License1.
5获取申请License需要的信息(1)查看是否有特性需要安装License.
请在任意视图下执行以下命令,显示特性的License摘要信息.
displaylicensefeature(2)查看设备当前的License状态.
请在任意视图下执行以下命令,显示License的详细信息.
displaylicense[activation-file][slotslot-number](3)获取授权码:通过购买License授权函获取授权码.
授权码为对应授权函上的"授权序列号/AuthorizationSerialNumber".
(4)获取SN和DID.
请在任意视图下执行以下命令,显示SN和DID信息.
获取设备信息申请激活码/激活文件安装激活码/激活文件获得授权购买授权,获取授权书(包含授权码)设备侧操作H3C官网侧操作H3C销售渠道根据产品规格和需要使用的软件功能,确定需要安装的授权1-3displaylicensedevice-idslotslot-number(5)使用FTP/TFTP等方式将DID文件上传到PC(Web客户端).
在使用FTP进行文件传输时,请设置传输方式为binary方式.
(6)备份授权码,以免丢失.
1.
6申请License1.
6.
1功能简介在H3CLicense管理平台,您可以灵活地为设备申请激活文件:一次申请输入一个授权码,绑定一台设备,为一台设备申请一个授权.
一次申请输入多个授权码,您可以将不同授权码和同一设备绑定,也可以将不同授权码和不同设备绑定,从而为一台或多台设备申请授权.
1.
6.
2配置限制和指导在确认并激活License之前,请检查您所填的信息是否准确.
注意需要确保:授权码和设备信息准确,以免将授权码和错误的设备绑定;"申请联系人E-mail"准确,H3CLicense管理平台会将您申请成功的激活文件发送到该邮箱.
如果没有获取到激活文件,且无法重新申请激活文件时,请联系H3C技术支持人员.
1.
6.
3License激活申请1.
输入授权信息(1)登录H3CLicense管理平台(网址为http://www.
h3c.
com/cn/License),进入"License激活申请"页面.
(2)输入授权信息.
H3CLicense管理平台支持通过以下方式输入授权码,请选择使用其中一种方式即可:逐个输入授权码后,单击按钮,获取授权信息.
输入授权码的时候,您可以通过复制粘贴或手工输入整个授权码字符串,也可以单击按钮,上传授权码的二维码图片(请确保上传的图片中包含了完整、清晰的二维码),由H3CLicense管理平台自动识别授权码.
批量导入多个授权码.
单击按钮,先"下载授权码Excel清单模版",在模板中输入授权码后,上传Excel文件,一次导入多个授权码,获取多份授权信息.
(3)选中需要激活的授权码.
(4)单击按钮,进入绑定硬件设备页面.
1-42.
绑定硬件设备(1)输入设备信息.
不同型号的产品需要输入的设备信息不同,请根据H3CLicense管理平台页面的提示输入.
H3CLicense管理平台支持通过以下方式输入设备信息,请选择使用其中一种方式即可.
逐个绑定:单击按钮,逐个输入设备信息来分别将单个授权码和单台设备绑定.
单击按钮将多个授权码和同一台设备绑定.
通过、按钮批量将多个授权码和多台设备绑定.
批量导入请按照以下步骤进行.
选中授权信息并单击按钮,将所有选中的授权信息导出到一个Excel文档.
在Excel文档中录入设备信息.
单击按钮导入Excel文档,完成授权码和设备的批量绑定操作.
部分产品仅支持逐个绑定方式输入设备信息,不支持通过、按钮批量绑定,例如绑定时需要上传设备信息文件的产品.
产品是否支持批量绑定,请以导出的Excel文档中的提示信息为准.
(2)输入设备信息后,请阅读并勾选"我已了解:授权码与硬件设备绑定后,对应的授权就与硬件设备进行了绑定.
进行绑定操作时,请确保输入信息的准确,以免因授权码与硬件设备的错误绑定,导致目标设备没有获得正确的授权.
".
(3)单击按钮,进入用户数据录入页面.
3.
用户数据录入执行该步骤输入用户信息,用于H3CLicense管理平台记录执行本次授权操作的用户信息.
请按照表1-1的要求输入用户信息,单击按钮,进入确认并激活页面.
表1-1用户信息描述表参数名称参数描述是否必须填写最终客户单位名称使用授权的最终用户的单位名称必填申请单位名称您所在工作单位的名称必填申请联系人姓名您的姓名必填申请联系人电话您的联系电话必填申请联系人E-mail您的E-mail邮箱您的E-mail邮箱非常重要,用于接收H3CLicense管理平台生成的激活文件,请确保输入的邮箱地址正确并处于可用状态.
必填申请联系人邮编您所在位置的邮政编码可选1-5申请联系人地址您的联系地址可选项目名称应用授权的项目名称可选验证码网站显示的验证码,将网站显示的验证码直接输入即可,不需要区分大小写必填4.
确认并激活(1)请您核对授权信息和设备信息,确认无误后,阅读并勾选"已阅读并同意法律声明所述服务条款各项内容H3C授权服务门户法律声明".
(2)单击按钮.
(3)再次核对授权信息和设备信息,单击按钮后,H3CLicense管理平台会自动生成激活文件,并将激活码/激活文件发送到"申请联系人E-mail"对应的邮箱.
(4)获取激活信息,您可以通过以下方式获取激活信息:单击按钮,可将激活文件下载到登录PC.
单击按钮,可一键获取本次申请激活操作申请到的所有激活文件.
登录"申请联系人E-mail"对应的邮箱,查收激活文件.
通常情况下,一个授权码会对应生成一个激活文件.
硬件安全产品为简化激活文件的安装和管理,为同一台设备申请激活多个授权时,H3CLicense管理平台会将多个授权码合并生成一个激活文件.
只要是H3CLicense管理平台成功生成的激活文件,不管生成的是一个还是多个激活文件,将这些激活文件安装到设备上后,您都会获得所有授权码中包含的授权,不会影响授权的使用.
对于vFW或vLB纯软件安全产品,当您申请多个激活文件时,网站需要一定时间来生成激活文件,请根据H3CLicense管理平台的提示信息,通过"申请联系人E-mail"邮件获取激活文件,"确认并激活"页面将不再提供Web页面下载功能.
如果没有获取到激活文件,且使用授权码无法重新申请激活文件时,请联系H3C技术支持人员.
1.
7安装License1.
7.
1配置限制和指导在安装License时,系统会自动搜索存储介质上是否存在该License对应的软件包,如果存在一个,则直接自动安装该软件包;如果存在多个,则直接自动安装最先搜索到的软件包.
1.
7.
2安装激活文件(1)进入系统视图.
system-view(2)安装激活文件.
1-6licenseactivation-fileinstalllicense-fileslotslot-number1.
8License管理显示和维护在完成上述配置后,在任意视图下执行display命令可以显示License的相关信息,通过查看显示信息验证配置的效果.
表1-2License管理显示和维护操作命令显示License的详细信息displaylicense[activation-file][slotslot-number]显示SN和DID信息displaylicensedevice-idslotslot-number显示特性的License摘要信息displaylicensefeature