配置ssl是什么意思

H3CWAC&WiNet&WX2500H-LI&WX3500H-LI系列无线控制器基础配置指导新华三技术有限公司http://www.
h3c.
com资料版本:6W101-20200330产品版本:CMW710-E5423P04CMW710-R5426P02Copyright2019-2020新华三技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言H3CWAC&WiNet&WX2500H-LI&WX3500H-LI系列无线控制器配置指导介绍了各软件特性的原理及其配置方法,包括原理简介、配置任务描述和配置举例.
本手册主要包括CLI配置、RBAC配置、登录设备配置,FTP和TFTP配置,文件系统管理配置,配置文件管理,软件升级配置、自动配置、Tcl配置、Python配置等内容.
前言部分包含如下内容:产品版本读者对象本书约定资料意见反馈产品版本表-1产品型号及产品版本说明产品型号产品版本WX2510H-PWR-WiNet无线控制器WX2510H-PWR-WiNet-CMW710-E5423P04WX2560H-WiNet无线控制器WX2560H-WiNet-CMW710-E5423P04WX3500H-WiNet系列无线控制器WX3500H-WiNet-CMW710-E5423P04WAC380-30无线控制器WAC380-30-CMW710-E5423P04WAC380-60无线控制器WAC380-60-CMW710-E5423P04WAC380-90无线控制器WAC380-90-CMW710-E5423P04WAC380-120无线控制器WAC380-120-CMW710-E5423P04WAC381无线控制器WAC381-CMW710-E5423P04WX2540H-LI无线控制器WX2540H-LI-CMW710-R5426P02WX2560H-LI无线控制器WX2560H-LI-CMW710-R5426P02WX3510H-LI无线控制器WX3510H-LI-CMW710-R5426P02WX3520H-LI无线控制器WX3520H-LI-CMW710-R5426P02读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
图形界面格式约定格式意义带尖括号""表示按钮名,如"单击按钮".
[]带方括号"[]"表示窗口名、菜单名和数据表,如"弹出[新建用户]窗口".
/多级菜单用"/"隔开.
如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项.
3.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.

为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
4.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.

该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.

该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.

该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.

该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备.
该图标及其相关描述文字代表无线接入点设备.
该图标及其相关描述文字代表无线终结单元.
该图标及其相关描述文字代表无线终结者.
该图标及其相关描述文字代表无线Mesh设备.
该图标代表发散的无线射频信号.
该图标代表点到点的无线射频信号.
该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备.

该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡.
5.
示例约定由于设备型号不同、配置不同、版本升级等原因,可能造成本手册中的内容与用户使用的设备显示信息不一致.
实际使用中请以设备显示的内容为准.
本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准.
资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
TTTTi目录1CLI1-11.
1CLI简介·1-11.
2命令视图的操作·1-11.
2.
1命令视图简介·1-11.
2.
2进入系统视图·1-21.
2.
3返回上一级视图1-21.
2.
4返回用户视图·1-21.
3使用命令行在线帮助·1-21.
4命令的undo形式1-31.
5命令行输入1-31.
5.
1编辑命令行·1-31.
5.
2STRING和TEXT类型参数的输入1-41.
5.
3接口类型的输入1-41.
5.
4快速输入命令行1-51.
5.
5配置命令字符串的别名1-51.
5.
6配置命令行的快捷键1-61.
5.
7命令行输入回显功能1-81.
6解读输入错误提示信息1-81.
7使用历史命令·1-91.
7.
1功能简介1-91.
7.
2配置限制和指导1-91.
7.
3操作历史命令缓冲区1-91.
7.
4重复执行历史记录命令1-101.
8便捷地查看显示信息·1-101.
8.
1控制显示信息的分屏1-101.
8.
2查看带行号的显示信息1-111.
8.
3使用正则表达式过滤显示信息·1-111.
8.
4将显示信息保存到指定文件1-141.
8.
5各种便捷查看方式的综合应用·1-151-11CLI1.
1CLI简介CLI(CommandLineInterface,命令行接口)是用户与设备之间的文本类指令交互界面.
用户输入文本类命令,通过输入回车键提交设备执行相应命令,从而对设备进行配置和管理,并可以通过查看输出信息确认配置结果.
设备支持多种方式进入命令行接口界面,例如,通过Telnet登录设备后进入命令行接口界面等,各方式的详细描述请参见"基础配置指导"中的"登录设备".
1.
2命令视图的操作1.
2.
1命令视图简介设备提供了丰富的功能,不同的功能对应不同的配置和查询命令.
为便于用户使用这些命令,设备按功能对命令进行分类组织.
功能分类与命令视图对应,当要配置某功能的某条命令时,需要先进入这条命令所在的视图.
每个视图都有唯一的、含义清晰的提示符,例如提示符[Sysname-vlan100]表示当前的命令视图是VLAN视图,VLAN的编号是100,在该视图下可对VLAN100的属性进行配置.
命令视图采用分层结构,如图1-1所示.
图1-1命令视图示意图用户登录设备后,直接进入用户视图.
用户视图下可执行的操作主要包括查看操作、调试操作、文件管理操作、设置系统时间、重启设备、FTP和Telnet操作等.
从用户视图可以进入系统视图.
系统视图下能对设备运行参数以及部分功能进行配置,例如配置夏令时、配置欢迎信息、配置快捷键等.
在系统视图下输入特定命令,可以进入相应的功能视图,完成相应功能的配置,例如:进入接口视图配置接口参数、进入VLAN视图给VLAN添加端口、进入用户线视图配置登录用户的属性、创建本地用户并进入本地用户视图配置本地用户的属性等.
功能视图下可能还包含子视图,例如NQA测试组视图下还包含测试类型视图,请参见各功能模块的详细描述.
VLAN视图接口视图……系统视图用户视图用户线视图本地用户视图1-2想要了解某命令视图下支持哪些命令,请在该命令视图提示符后输入.
1.
2.
2进入系统视图请在用户视图下执行本命令,进入系统视图.
system-view1.
2.
3返回上一级视图1.
配置限制和指导用户视图下执行quit命令会中断用户终端与设备之间的当前连接.
公共密钥视图下请使用peer-public-keyend命令返回系统视图.
2.
配置步骤请在任意视图下执行本命令,从当前视图退回到上一层视图.
quit1.
2.
4返回用户视图1.
功能简介在任意的非用户视图下,可以使用return命令直接返回到用户视图,而不需要多次执行quit命令逐级返回.
但是,Tcl配置视图和Pythonshell除外,在Tcl配置视图和Pythonshell下退回到用户视图的方式分别为:Tcl配置视图下请使用tclquit返回用户视图.
在Pythonshell下请通过执行exit(),从Pythonshell退回到用户视图.
2.
配置步骤返回用户视图.
请选择如下一种方式返回用户视图.
请在除Tcl配置视图和Pythonshell外的任意非用户视图下执行本命令,返回用户视图.
return按组合键从除Tcl配置视图和Pythonshell外的任意非用户视图返回用户视图.
1.
3使用命令行在线帮助在命令行输入过程中,可以在命令行的任意位置输入以获得详尽的在线帮助.
下面给出常见的在线帮助应用场景,供参考使用.
在任意视图下,输入即可获取该视图下可以使用的所有命令及其简单描述.
例如:Userviewcommands:archiveArchiveconfigurationbackupBackupoperationboot-loaderSoftwareimagefilemanagement……略……输入一条命令的关键字,后接以空格分隔的.
1-3如果位置为关键字,则列出全部关键字及其简单描述.
例如:terminaldebuggingEnabletodisplaydebugginglogsonthecurrentterminalloggingDisplaylogsonthecurrentterminalmonitorEnabletodisplaylogsonthecurrentterminal如果位置为参数,则列出有关的参数描述.
例如:system-view[Sysname]interfacevlan-interfaceVlan-interfaceinterfacenumber[Sysname]interfacevlan-interface1其中,表示该参数的取值范围为1~4094;表示命令行当前位置无参数,直接输入回车即可执行.
输入命令的不完整关键字,其后紧接,显示以该字符串开头的所有命令关键字及其帮助信息.
例如:ffdiskPartitionastoragemediumfixdiskCheckandrepairastoragemediumformatFormatastoragemediumfreeReleaseaconnectionftpOpenanFTPconnectiondisplayftpftpFTPmoduleftp-serverFTPserverinformationftp-userFTPuserinformation1.
4命令的undo形式命令的undo形式一般用来恢复缺省情况、关闭某个功能或者删除某项设置.
大部分配置命令都有对应的undo形式.
例如,info-centerenable命令用来开启信息中心,undoinfo-centerenable命令用来关闭信息中心.
1.
5命令行输入1.
5.
1编辑命令行编辑命令行时,系统支持如表1-1所示的单个按键和如表1-4所示的组合键.
用户通过键盘输入命令行后,按键执行该命令.
表1-1编辑功能表按键功能普通按键若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标(命令行下发前会暂时缓存在编辑缓冲区,缓冲区的大小为511个字符,如果编辑缓冲区满,则后续输入的字符无效)退格键删除光标位置的前一个字符,光标前移1-4按键功能左光标键光标向左移动一个字符位置右光标键光标向右移动一个字符位置上光标键访问上一条历史命令下光标键访问下一条历史命令键输入不完整的关键字后按下键,系统自动补全关键字:如果与之匹配的关键字唯一,则系统用此完整的关键字替代原输入并换行显示如果与之匹配的关键字不唯一,则多次按键,系统会循环显示所有以输入字符串开头的关键字如果没有与之匹配的关键字,系统会不作任何修改,重新换行显示原输入在配置文件中,存在#和version7.
1.
xxx,Releasexxx这样的特殊命令行配置信息.
#用于将两段配置信息隔开;version7.
1.
xxx,Releasexxx用于记录设备正在运行的软件包的版本信息.
这样的命令行不支持在线帮助,但可以在任意视图下执行#xxx或者在系统视图下执行versionxxx(例如执行#abc或者versionabc),执行后系统不会提示错误信息,也不会修改这些行的值.
这样的命令行用户没有必要使用,因此在命令手册中不再描述.
1.
5.
2STRING和TEXT类型参数的输入如果命令行中的参数为STRING类型,则建议输入除""、"""、"\"、空格之外的可见字符(可见字符对应的ASCII码区间为32~126),以免设备将该参数传递给其它网络设备时,对端设备无法解析.
如果STRING类型的参数中需要包含字符"""、"\",则必须使用转义字符"\"辅助输入,即实际应输入"\""、"\\";如需输入空格,则需要将整个字符串包含在双引号中,例如,若要配置字符串参数为"mydevice",则实际应输入""mydevice"".
如果命令行中的参数为TEXT类型,则除了""外的其他字符均可输入.
各业务模块可能对参数有更多的输入限制,详情请参见命令的提示信息以及命令参考中的参数描述.

1.
5.
3接口类型的输入输入接口类型时,设备支持使用接口类型的全称和简称.
使用接口类型的全称时,支持不完整的字符输入;使用接口类型简称时,必须输入完整的简称.
两种方式输入的接口类型均不区分大小写.

例如在输入interfacegigabitethernet1/0/1时,可以使用接口类型全称的不完整字符interfaceg1/0/1,也可以使用接口类型简称interfacege1/0/1.
接口类型和接口编号之间无论输入空格与否,都可以成功进入接口视图.
关于接口全名与简名的对应关系请参见下表.

1-5表1-2接口类型的全称和简称对应表接口类型全称接口类型简称DialerDiaLoopBackLoopGigabitEthernetGETen-GigabitEthernetXGETunnelTunVlan-interfaceVlan-intVirtual-TemplateVTVirtual-PPPVPPPCMTunnelCMTunnel1.
5.
4快速输入命令行设备支持不完整关键字输入,即在当前视图下,当输入的字符足够匹配唯一的关键字时,可以不必输入完整的关键字.
该功能提供了一种快捷的输入方式,有助于提高操作效率.

例如用户视图下以s开头的命令有startupsaved-configuration、system-view等.
如果要输入system-view,可以直接输入sy(不能只输入s,因为只输入s时,匹配到的关键字不唯一).
如果要输入startupsaved-configuration,可以直接输入sts.
可以按键由系统自动补全关键字的全部字符,以确认系统的选择是否为所需输入的关键字.

1.
5.
5配置命令字符串的别名1.
功能简介通过本命令用户可以为命令行指定一个或多个别名,也可以为命令行开头的一个或多个关键字配置多个别名,使其符合用户的使用习惯.
将命令displayiprouting-table的别名配置为shiprt后,就可以使用别名命令shiprt来代替执行命令displayiprouting-table.
将命令关键字displayip的别名配置为ship,就可以用别名命令ship执行所有以displayip开头的命令行,如可以使用shiprouting-table代替执行displayiprouting-table,使用shipinterface代替执行displayipinterface.
用户成功执行的带别名的命令将以系统原始的命令形式被显示或存储.

为了方便用户使用,系统定义了部分常用的关键字作为缺省别名,如表1-3所示.
表1-3系统定义的缺省别名缺省别名命令access-listaclendreturn1-6缺省别名命令erasedeleteexitquithostnamesysnamelogginginfo-centernoundoshowdisplaywritesave2.
配置限制和指导使用本特性,只有当命令行第一个关键字或者undo命令的第二个关键字是别名时,才按照别名命令替换执行,否则按照非别名命令执行.
例如:用户成功执行的带别名的命令将以系统原始的命令形式被显示或存储.

配置别名时,可以使用$n表示命令行中的参数或者关键字,这样既可以用别名替代部分关键字来简化输入,又可以根据实际需要指定不同的参数或者关键字,增加了灵活性.
$n最多可以使用9次,n为1~9的整数,表示参数或关键字出现的顺序.
如果别名命令中定义了参数,则参数必须输入完整.
比如,将命令displayip$1|include$2的别名配置为shinc后,如果需要执行displayiprouting-table|includeStatic命令来筛选并查看路由表中的所有静态路由信息,可直接执行shincrouting-tableStatic.
系统定义的缺省别名无法取消.
3.
配置步骤(1)进入系统视图.
system-view(2)给指定的命令字符串配置别名.
aliasaliascommand系统定义的缺省别名命令,请参见表1-3.
(3)(可选)可在任意视图下执行本命令,显示命令字符串别名功能的相关配置.

displayalias[alias]1.
5.
6配置命令行的快捷键1.
功能简介为便于用户对常用命令进行快捷操作,系统提供了一系列的快捷键.
其中用户可自定义的快捷键有五个,其他快捷键(见表1-4)为系统保留的,不能通过命令行配置.
2.
配置限制和指导一个快捷键对应一个命令或功能,如果使用本命令多次定义同一快捷键,则最新配置生效.
如果多次使用本命令将多个快捷键和同一命令、功能绑定,则这些绑定的快捷键均生效.

1-7当用户使用终端软件与设备进行交互时,如果终端软件定义快捷键(包括用户可定义和系统保留快捷键),则快捷键会遵从终端软件的定义.
3.
配置步骤(1)进入系统视图.
system-view(2)配置命令行的快捷键.
hotkey{ctrl_g|ctrl_l|ctrl_o|ctrl_t|ctrl_u}command缺省情况下:对应命令displaycurrent-configuration(显示当前配置).
对应命令displayiprouting-table(显示IPv4路由表信息).
对应命令undodebuggingall(关闭设备支持的所有功能项的调试开关).
未关联任何命令行.
未关联任何命令行.
(3)(可选)可在任意视图下执行本命令,显示系统中快捷键的分配信息.
displayhotkey表1-4系统保留的快捷键快捷键功能将光标移动到当前行的开头将光标向左移动一个字符停止当前正在执行的功能删除当前光标所在位置的字符将光标移动到当前行的末尾将光标向右移动一个字符删除光标左侧的一个字符终止呼出的连接显示历史缓冲区中的下一条命令显示历史缓冲区中的上一条命令重新显示当前行信息粘贴剪贴板的内容删除光标左侧连续字符串内的所有字符删除光标左侧所有的字符删除光标所在位置及其右侧所有的字符退回到用户视图终止当前连接将光标移动到左侧连续字符串的首字符处1-8快捷键功能删除光标所在位置及其右侧连续字符串内的所有字符将光标向右移到下一个连续字符串之前将光标向下移动一行(输入回车前有效)将光标向上移动一行(输入回车前有效)将光标所在位置指定为剪贴板的开始位置>将光标所在位置指定为剪贴板的结束位置1.
5.
7命令行输入回显功能1.
功能简介当用户在未完成输入操作却被大量的系统信息打断时,开启此功能可以回显用户已经输入而未提交执行的信息,方便用户继续完成未输入的内容.
2.
配置步骤(1)进入系统视图.
system-view(2)打开命令行输入回显功能.
info-centersynchronous缺省情况下,命令行输入回显功能处于关闭状态.
本命令的详细介绍请参见"设备管理命令参考"中的"信息中心".
1.
6解读输入错误提示信息命令行输入完毕后,请按键执行该命令.
设备执行命令的过程中,首先会对命令行进行合法性检查.
如果通过合法性检查,则正确执行;否则,输出错误信息,常见的错误信息如表1-5所示.
表1-5命令行常见错误信息表英文错误信息错误原因%Unrecognizedcommandfoundat'^'position.
命令无法解析,符号"^"指示位置出错%Incompletecommandfoundat'^'position.
符号"^"指示位置的参数输入不完整%Ambiguouscommandfoundat'^'position.
符号"^"指示位置的关键字不明确,存在二义性%Toomanyparametersfoundat'^'position.
符号"^"指示位置的参数输入太多%Wrongparameterfoundat'^'position.
在符号"^"指示位置的参数错误1-91.
7使用历史命令1.
7.
1功能简介用户在设备上成功执行的命令,会同时保存到用户独享的历史命令缓冲区和所有用户共享的历史命令缓冲区.
表1-6历史命令缓冲区描述表选项独享历史命令缓冲区共享历史命令缓冲区内容当前用户执行成功的命令所有用户执行成功的命令查看支持支持调用支持不支持保存不保存保存调整大小支持大小固定为1024条1.
7.
2配置限制和指导设备保存用户执行过的命令时,遵循以下原则:如果用户使用了命令的不完整形式,保存的历史命令也是不完整形式.
如果用户使用了命令字符串的别名形式,保存的历史命令是原始命令形式.

如果用户连续多次执行同一条命令,设备的历史命令中只保留一次.
但如果执行时输入的形式不同,将作为不同的命令对待.
例如:连续多次执行displaycurrent-configuration命令,设备只保存一条历史命令;如果分别执行displaycurrent-configuration命令和它的不完整形式displaycu,设备将保存为两条历史命令.
如果当前历史命令缓冲区满且有新的命令需要缓存,则自动删除最早的记录,来保存新命令.

1.
7.
3操作历史命令缓冲区1.
查看历史命令缓冲区可在任意视图下执行本命令,查看独享历史命令缓冲区.
displayhistory-command可在任意视图下执行本命令,查看共享历史命令缓冲区.
displayhistory-commandall2.
调用历史命令缓冲区使用上光标键↑并回车,调用上一条历史命令;使用下光标键↓并回车,可调用下一条历史命令.

3.
配置命令缓冲区的大小在用户线/用户线类视图下执行history-commandmax-size命令,可调整独享历史命令缓冲区大小.
具体配置请参见"基础配置命令参考"中的"登录设备".
1-101.
7.
4重复执行历史记录命令1.
功能简介当需要重复执行最近的历史记录命令时,使用repeat命令可以重复多次执行多条历史命令,并且可以设置每次重复执行历史命令的时间间隔.
2.
配置限制和指导重复执行历史命令时,系统将按照历史命令的下发顺序执行.
例如,用户在某视图下依次执行命令a、b和c后,再执行repeat3命令,则系统将按照a、b和c的顺序重复执行.
重复执行某条历史命令时,需要先进入该命令所在的视图.
重复执行多条历史命令时,需要先进入第一条命令所在的视图.
如果用户重复执行的历史命令中存在交互式命令,需要用户手动处理此交互式命令,直到交互式命令执行结束,历史命令才会继续被重复执行.
3.
配置步骤可在任意视图下执行本命令,重复执行历史记录命令.
repeat[number][counttimes][delayseconds]1.
8便捷地查看显示信息1.
8.
1控制显示信息的分屏1.
功能简介缺省情况下,设备支持分屏显示功能,即当显示信息超过一屏时,系统会将信息分屏显示,并在屏间显示"----more----"信息,表示这一屏信息已经显示完毕,自动暂停,方便查看显示信息.
这时用户可以使用表1-7所示的按键来选择下一步操作.
表1-7分屏显示功能表按键功能空格键继续显示下一屏信息回车键继续显示下一行信息停止显示,退回到命令行编辑状态显示上一页信息显示下一页信息如果想要一次查看全部显示信息,可以通过以下配置关闭当前登录用户的分屏显示功能.
分屏显示功能处于关闭状态时,如果信息较多,则会连续刷屏,不方便查看.
2.
关闭分屏显示功能请在用户视图下执行本命令,关闭当前用户的分屏显示功能.
screen-lengthdisable1-11缺省情况下,用户登录后将遵循用户线下的screen-length设置.
screen-length设置的缺省情况为:允许分屏显示,下一屏显示24行数据.
screen-length命令的详细介绍请参见"基础配置命令参考"中的"登录设备"命令的执行仅对当前用户本次登录有效,用户重新登录后将恢复到缺省情况.

1.
8.
2查看带行号的显示信息1.
功能简介在用display命令查看显示信息时,用户可以用by-linenum参数在显示信息的同时显示信息行号,方便定位显示信息.
行号占5个字符,通常行号后面接":".
当by-linenum和begin参数一起使用时,行号后面还可能接"-",其中":"表示该行符合匹配规则,"-"表示该行不符合匹配规则.
2.
配置步骤按行显示display命令执行结果.
displaycommand|by-linenum3.
配置举例#显示VLAN100信息的同时显示行号.
displayvlan100|by-linenum1:VLANID:1002:VLANtype:Static3:Routeinterface:Configured4:IPv4address:192.
168.
2.
15:IPv4subnetmask:255.
255.
255.
06:Description:ForLANAccess7:Name:VLAN01008:Taggedports:None9:Untaggedports:None10:1.
8.
3使用正则表达式过滤显示信息1.
功能简介在执行display命令查看显示信息时,可以使用正则表达式来过滤显示信息,以便快速的找到自己关注的信息.
在display命令中通过输入|{begin|exclude|include}regular-expression参数的方式来过滤显示.
begin、exclude和include关键字的含义如下:begin:显示特定行及其以后的所有行,该特定行必须包含指定正则表达式.

exclude:显示不包含指定正则表达式的所有行.
include:只显示包含指定正则表达式的所有行.
正则表达式(regular-expression)为1~256个字符的字符串,区分大小写,它支持多种特殊字符,特殊字符的匹配规则如表1-8所示.
1-12表1-8正则表达式中的特殊字符描述表特殊字符含义举例^匹配以指定字符开始的行^u只能匹配以u开始的行,不能匹配以Au开始的行$匹配以指定字符结束的行u$只能匹配以u结尾的行,不能匹配以uA结尾的行.
通配符,可代表任何一个字符.
s可以匹配as和bs等*匹配星号前面的字符或字符串零次或多次zo*可以匹配z以及zoo(zo)*可以匹配zo以及zozo+匹配+前面的字符或字符串一次或多次zo+可以匹配zo以及zoo,但不能匹配z|匹配|左边或右边的整个字符串def|int只能匹配包含def或者int的字符串所在的行()表示字符串,一般与"+"或"*"等符号一起使用(123A)表示字符串123A;408(12)+可以匹配40812或408121212等字符串,但不能匹配408\index表示重复一次指定字符串,字符串是指\前用()括起来的字符串,index对应\前字符串的顺序号按从左至右的顺序从1开始编号:如果\前面只有一个字符串,则index只能为1;如果\前面有n个字符串,则index可以为1到n中的任意整数(string)\1表示把string重复一次,匹配的字符串必须包含stringstring;(string1)(string2)\2表示把string2重复一次,匹配的字符串必须包含string1string2string2;(string1)(string2)\1\2表示先把string1重复一次,再重复一次string2,匹配的字符串必须包含string1string2string1string2[]表示字符选择范围,将以选择范围内的单个字符为条件进行匹配,只要字符串里包含该范围的某个字符就能匹配到[16A]表示可以匹配到的字符串只需要包含1、6或A中任意一个[1-36A]表示可以匹配到的字符串只需要包含1、2、3、6或A中任意一个(-为连接符)如果]需要作为普通字符出现在[]内时,必须把]写在[]中字符的最前面,形如[]string],才能匹配到].
[没有这样的限制[^]表示选择范围外的字符,将以单个字符为条件进行匹配,只要字符串里包含该范围外的某个字符就能匹配到[^16A]表示可匹配的字符串只需要包含1、6和A之外的任意字符,该字符串也可以包含字符1、6或A,但不能只包含这三个字符.
例如[^16A]可以匹配abc、m16,不能匹配1、16、16A{n}n是一个非负整数,匹配n次o{2}不能匹配Bob,但是能匹配food{n,}n是一个非负整数,至少匹配n次o{2,}不能匹配Bob,但能匹配foooood{n,m}m和n均为非负整数,其中n小于等于m.
只要字符串里包含n到m个某字符就能匹配到o{1,3}能匹配fod、food、foood、foooood,但不能匹配fd\匹配包含指定字符串的字符串,字符串后面如果有字符则不能是数字、字母和下划线do\>匹配单词undo,还可以匹配字符串cdo\b匹配一个单词边界,也就是指单词和空格间的位置er\b可以匹配never,但不能匹配verb\ber可以匹配erase,但不能匹配verb\B匹配非单词边界er\B能匹配verb,但不能匹配never1-13特殊字符含义举例\w\w等效于[A-Za-z0-9_],是数字、字母或下划线v\w能匹配vlan,v\w还能匹配service\W\W等效于[^A-Za-z0-9_],是除了数字、字母和下划线之外的任意字符\Wa可以匹配-a,但是不能匹配2a和ba等\转义操作符,\后紧跟本表中罗列的单个特殊字符时,将去除特殊字符的特定含义\\可以匹配包含\的字符串\^可以匹配包含^的字符串\\b可以匹配包含\b的字符串2.
配置限制和指导正则表达式的执行时间和正则表达式的复杂程度成正比,对于复杂的正则表达式,执行时间会比较长,如有需要,可按键终止.
3.
配置举例#查看当前生效的配置中,从包含"line"字符串的行开始到最后一行的配置信息(该显示信息与设备型号以及用户的当前配置有关).
displaycurrent-configuration|beginlinelineclassconsoleuser-rolenetwork-admin#lineclassvtyuser-rolenetwork-operator#lineconsole0user-rolenetwork-admin#linevty031authentication-modeschemeuser-rolenetwork-operator#……略……#查看设备当前处于UP状态的接口概要信息.
displayinterfacebrief|excludeDOWNBriefinformationoninterfacesinroutemode:Link:ADM-administrativelydown;Stby-standbyProtocol:(s)-spoofingInterfaceLinkProtocolPrimaryIPDescriptionInLoop0UPUP(s)--NULL0UPUP(s)--Vlan1UPUP192.
168.
1.
83#查看SNMP相关配置.
displaycurrent-configuration|includesnmpsnmp-agentsnmp-agentcommunitywriteprivate1-14snmp-agentcommunityreadpublicsnmp-agentsys-infoversionallsnmp-agenttarget-hosttrapaddressudp-domain192.
168.
1.
26paramssecuritynamepublic1.
8.
4将显示信息保存到指定文件1.
功能简介display命令显示的内容通常是统计信息、功能是否开启以及功能的相关参数配置,这些信息在设备运行过程中会随着时间或者用户的配置而改变.
使用本配置可以将当前显示信息保存到指定文件,方便随时比对和查看.
有两种方式将显示信息保存到文件中:将显示信息独立保存到指定文件:使用该方式时,该文件只包含该显示信息的内容.

将显示信息以追加方式保存到已有文件:使用该方式时,该命令的显示信息会追加在指定文件的尾部保存,该文件能包含多条显示信息的内容.
2.
配置步骤请在任意视图下执行本命令,将显示信息独立保存到指定文件.
displaycommand>filename请在任意视图下执行本命令,将显示信息以追加方式保存到已有文件.
displaycommand>>filename3.
配置举例#将displayvlan1命令的显示信息保存到指定文件vlan.
txt.
displayvlan1>vlan.
txt#查看vlan.
txt的内容,验证display>命令的执行效果.
morevlan.
txtVLANID:1VLANtype:StaticRouteinterface:NotconfiguredDescription:VLAN0001Name:VLAN0001Taggedports:NoneUntaggedports:None#将displayvlan100的显示信息以追加方式保存到指定文件vlan.
txt.
displayvlan100>>vlan.
txt#查看vlan.
txt的内容,验证display>>命令的执行效果.
morevlan.
txtVLANID:1VLANtype:StaticRouteinterface:NotconfiguredDescription:VLAN0001Name:VLAN0001Taggedports:NoneUntaggedports:NoneVLANID:1001-15VLANtype:StaticRouteinterface:ConfiguredIPv4address:192.
168.
2.
1IPv4subnetmask:255.
255.
255.
0Description:ForLANAccessName:VLAN0100Taggedports:NoneUntaggedports:None1.
8.
5各种便捷查看方式的综合应用1.
功能简介执行display命令时,通过选择参数,可以同时实现"1.
8.
2查看带行号的显示信息"、"1.
8.
3使用正则表达式过滤显示信息"和"1.
8.
4将显示信息保存到指定文件".
2.
配置步骤请在用户视图下执行本命令,以综合使用各种方式便捷地查看显示信息.

displaycommand[|[by-linenum]{begin|exclude|include}regular-expression][>filename|>>filename]3.
配置举例下面将通过举例示意如何将各种便捷查看方式综合应用.
#按行号将当前配置保存到文件test.
txt.
displaycurrent-configuration|by-linenum>test.
txt#将SNMP的相关配置以追加方式保存到文件test.
txt.
displaycurrent-configuration|includesnmp>>test.
txt#查看当前配置,从包含"user-group"字符串的行开始到最后一行配置信息,并同时显示行号.
(行号后为":"表示该行包含"user-group"字符串,行号后为"-"表示该行不包含"user-group"字符串.
)displaycurrent-configuration|by-linenumbeginuser-group114:user-groupsystem115-#116-returni目录1RBAC·1-11.
1RBAC简介1-11.
1.
1角色权限分配·1-11.
1.
2为用户授权角色1-31.
2RBAC配置任务简介·1-41.
3创建用户角色·1-51.
4配置用户角色规则1-51.
5配置特性组1-71.
6配置资源控制策略1-71.
6.
1功能简介1-71.
6.
2配置限制和指导1-71.
6.
3配置接口资源控制策略1-71.
6.
4配置VLAN资源控制策略·1-81.
7为用户授权角色·1-81.
7.
1配置限制和指导1-81.
7.
2使能缺省用户角色授权功能1-81.
7.
3为远程AAA认证用户授权角色·1-91.
7.
4为本地AAA认证用户授权角色·1-91.
7.
5为非AAA认证用户授权角色·1-101.
8配置用户角色切换1-101.
8.
1功能简介1-101.
8.
2配置限制和指导1-111.
8.
3配置用户角色切换的认证方式·1-121.
8.
4配置用户角色切换的缺省目的用户角色1-121.
8.
5配置用户角色切换的密码·1-121.
8.
6配置用户角色切换认证时使用用户登录的用户名认证1-131.
8.
7切换用户角色·1-131.
9RBAC显示和维护1-141.
10RBAC典型配置举例·1-141.
10.
1Telnet用户的本地用户角色授权配置举例1-141.
10.
2Telnet用户的RADIUS用户角色授权配置举例1-161.
10.
3Telnet用户的HWTACACS用户角色切换认证配置1-181.
10.
4Telnet用户的RADIUS用户角色切换认证配置1-23ii1.
11RBAC典型配置举例·1-271.
11.
1Telnet用户的本地用户角色授权配置举例1-271.
11.
2Telnet用户的RADIUS用户角色授权配置举例1-281.
11.
3Telnet用户的HWTACACS用户角色切换认证配置1-311.
11.
4Telnet用户的RADIUS用户角色切换认证配置1-361.
12RBAC常见故障处理·1-401.
12.
1被授权的用户角色与本地用户实际拥有的权限不符·1-401.
12.
2使用远程认证服务器进行身份认证的用户登录设备失败·1-401-11RBAC1.
1RBAC简介RBAC(RoleBasedAccessControl,基于角色的访问控制)通过建立"权限角色"的关联实现将权限赋予给角色,并通过建立"角色用户"的关联实现为用户指定角色,从而使用户获得相应角色所具有的权限.
RBAC的基本思想就是给用户指定角色,这些角色中定义了允许用户操作哪些系统功能以及资源对象.
RBAC采用权限与用户分离的思想,提高用户权限分配的灵活性,减小用户授权管理的复杂度,降低管理开销.
1.
1.
1角色权限分配为一个用户角色赋予权限的具体实现包括以下两个方面:定义用户角色规则:实现对系统功能的操作权限的控制.
例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能.
定义资源控制策略:实现对系统资源的操作权限的控制.
例如,定义资源控制策略允许用户操作VLAN10.
资源控制策略需要与用户角色规则相配合才能生效.
在用户执行命令的过程中,系统对该命令涉及的系统资源使用权限进行动态检测,因此只有用户同时拥有执行该命令的权限和使用该资源的权限时,才能执行该命令.
例如,若管理员为某用户角色定义了一条规则允许用户执行创建VLAN的命令vlan,且同时定义了一条VLAN策略允许用户操作VLAN10,则当用户被授权此用户角色并试图创建VLAN10时,操作会被允许,但试图创建其它VLAN时,操作会被禁止.
若管理员并没有为该用户角色定义规则允许用户执行创建VLAN命令,则用户即便拥有该VLAN资源的操作权限,也无法执行相关的命令.
1.
用户角色规则用户角色规则定义了允许/禁止用户操作某些功能的权限.
一个用户角色中可以包含多条用户角色规则,每条规则定义了是允许还是禁止用户对某命令、特性、特性组、Web菜单、XML元素或者OID进行操作.
基于命令的规则:用来控制一条命令或者与指定命令关键字相匹配的一类命令是否允许被执行.
基于特性的规则:用来控制特性包含的命令是否允许被执行.
基于特性组的规则:用来同时对多个特性包含的命令进行控制.
基于Web菜单的规则:用来控制指定的Web菜单选项是否允许被操作.
基于XML元素的规则:用来控制指定的XML元素是否允许被执行.
基于OID的规则:用来控制指定的OID是否允许被SNMP访问.
RBAC对命令、特性、特性组、Web菜单、XML元素或者OID进行的操作,又包括三种类型:读类型:用于显示系统配置信息和维护信息.
如显示命令display、显示文件信息的命令dir为读类型的命令.
1-2写类型:用于对系统进行配置.
如开启信息中心功能的命令info-centerenable、配置调试信息开关的命令debugging为写类型的命令.
执行类型:用于执行特定的功能.
如ping命令、与FTP服务器建立连接的命令ftp为执行类型的命令.
一个用户角色中可以定义多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则中定义的可执行命令的并集.
若这些规则定义的权限内容有冲突,则规则编号大的有效.
例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B.
2.
资源控制策略资源控制策略规定了用户对系统资源的操作权限.
在用户角色中可定义如下类型的资源控制策略:接口策略:定义用户允许操作的接口,包括创建并进入接口策略视图、删除接口.

VLAN策略:定义用户允许操作的VLAN,包括创建并进入VLAN策略视图、删除VLAN.
在display命令中指定接口/VLAN参数并不属于应用接口/VLAN.
3.
缺省用户角色系统预定义了多种用户角色,用户角色名和对应的权限如表1-1所示.
这些用户角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限.
如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制.

在所有系统预定义的用户角色当中,仅network-admin或者level-15角色的用户具有执行创建/修改/删除本地用户和本地用户组的权限.
其它角色的用户,即使被授权对本地用户和本地用户组的操作权限,也仅仅具有修改自身密码的权限,没有除此之外的对本地用户和本地用户组的任何操作权限.
用户以任意角色登录设备,在某视图下输入会显示该视图下系统定义的缺省别名帮助信息,但用户对帮助信息中的命令行别名未必具有实际操作权限,命令行别名的实际操作权限以原命令行的操作权限为准.
有关命令行别名的详细介绍请参见"基础配置指导"中的"CLI".
用户以任意角色登录设备,均具有执行system-view、quit和exit命令的权限.
系统预定义的用户角色中,仅level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限,但这种修改对于displayhistory-commandall命令不生效,即不能通过添加对应的规则来更改它的缺省执行权限.
表1-1系统预定义的用户角色名和对应的权限用户角色名权限network-admin可操作系统所有功能和资源(除安全日志文件管理相关命令displaysecurity-logfilesummary、info-centersecurity-logfiledirectory、security-logfilesave之外)1-3用户角色名权限network-operator可执行系统所有功能和资源的相关display命令(除displayhistory-commandall、displaysecurity-logfilesummary等命令,具体请通过displayrole命令查看)如果用户采用本地认证方式登录系统并被授予该角色,则可以修改自己的密码可执行进入XML视图的命令可允许用户操作所有读类型的Web菜单选项可允许用户操作所有读类型的XML元素可允许用户操作所有读类型的OIDlevel-n(n=0~15)level-0:可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为其配置权限level-1:具有level-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除displayhistory-commandall之外),以及管理员可以为其配置权限level-2~level-8和level-10~level-14:无缺省权限,需要管理员为其配置权限level-9:可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操作displayhistory-commandall命令、RBAC的命令(Debug命令除外)、文件管理、设备管理以及本地用户特性.
对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码level-15:具有与network-admin角色相同的权限security-audit安全日志管理员,仅具有安全日志文件的读、写、执行权限,具体如下:可执行安全日志文件管理相关的命令(displaysecurity-logfilesummary、info-centersecurity-logfiledirectory、security-logfilesave).
安全日志文件管理相关命令的介绍,请参见"设备管理命令参考"中的"信息中心"可执行安全日志文件操作相关的命令,例如more显示安全日志文件内容;dir、mkdir操作安全日志文件目录等,具体命令的介绍请参见"基础配置命令参考"中的"文件系统管理"以上权限,仅安全日志管理员角色独有,其它任何角色均不具备该角色不能被授权给从当前用户线登录系统的用户guest-manager来宾用户管理员,只能查看和配置与来宾有关的web页面,没有控制命令行的权限1.
1.
2为用户授权角色通过为用户授权角色实现角色与用户的关联.
将有效的用户角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备.
根据用户登录设备时采用的不同认证方式,可以将为用户授权角色分为AAA(Authentication、Authorization、Accounting,认证、授权、计费)方式和非AAA方式.
AAA方式:用户登录时使用的认证方式为scheme,用户登录设备后所拥有的用户角色由AAA功能进行授权.
1-4若用户通过了本地授权,则由设备为其授权用户角色,授权的用户角色是在本地用户中设置的.
若用户通过了远程授权,则由远程AAA服务器为其授权用户角色,授权的用户角色是在远程AAA服务器(RADIUS或HWTACACS服务器)上设置的.
非AAA方式:用户登录时使用的认证方式为none或者password,用户登录后所拥有的用户角色是用户线下配置的用户角色.
SSH用户通过publickey或password-publickey认证登录服务器,登录后将被授予同名的设备管理类本地用户视图下配置的授权用户角色.

以上两种方式均支持对一个用户同时授权多个用户角色.
拥有多个角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合.
例如,某用户拥有角色A,它禁止用户执行qosapplypolicy命令,且仅允许操作接口2.
同时,该用户拥有角色B,它允许用户执行qosapplypolicy命令,且允许用户操作所有接口.
则,这种情况下该用户将能够在所有接口下执行qosapplypolicy命令,以及可以操作所有的接口资源.
AAA相关内容的介绍请参见"用户接入与认证配置指导"中的"AAA".
用户线相关内容的介绍请参见"基础配置指导"中的"登录设备".
1.
2RBAC配置任务简介RBAC配置任务如下:(1)创建用户角色(2)配置用户角色规则(3)(可选)配置特性组(4)配置资源控制策略配置接口资源控制策略配置VLAN资源控制策略(5)为用户授权角色使能缺省用户角色授权功能为远程AAA认证用户授权角色为本地AAA认证用户授权角色为非AAA认证用户授权角色(6)配置用户角色切换a.
配置用户角色切换的认证方式b.
配置用户角色切换的缺省目的用户角色c.
配置用户角色切换的密码d.
(可选)配置用户角色切换认证时使用用户登录的用户名认证e.
切换用户角色1-51.
3创建用户角色1.
功能简介如果系统预定义角色无法满足用户的权限管理需求,可以自定义用户角色来对用户权限做更精细和灵活的控制.
除系统预定义的用户角色外,系统中最多允许同时创建64个用户角色.
2.
配置步骤(1)进入系统视图.
system-view(2)创建用户角色,并进入用户角色视图.
rolenamerole-name缺省情况下,系统预定义的用户角色为network-admin、network-operator、level-n(n为0~15的整数)、security-audit、guest-manager.
其中,仅用户角色level-0~level-14可以自定义规则、资源控制策略以及配置描述信息.
(3)(可选)配置用户角色描述信息.
descriptiontext缺省情况下,未定义用户角色描述信息.
1.
4配置用户角色规则1.
功能简介一个用户角色中可以包含多条用户角色规则,每条规则定义了是允许或禁止用户对某命令、特性、特性组、Web菜单、XML元素或者OID进行操作.
基于非OID的规则匹配一个用户角色中可以定义多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则中定义的可执行命令的并集.
若这些规则定义的权限内容有冲突,则规则编号大的有效.
例如,角色中存在"rule1permitcommandping","rule2permitcommandtracert"和"rule3denycommandping",其中rule1和rule3冲突,规则编号大的rule3生效,匹配的结果为用户禁止执行ping命令,允许执行tracert命令.
同时存在系统预定义规则和自定义规则的用户角色时,若预定义规则定义的权限内容与自定义规则定义的权限内容有冲突,则以自定义规则为准.
基于OID的规则匹配与用户访问的OID形成最长匹配的规则生效.
例如用户访问的OID为1.
3.
6.
1.
4.
1.
25506.
141.
3.
0.
1,角色中存在"rule1permitreadwriteoid1.
3.
6","rule2denyreadwriteoid1.
3.
6.
1.
4.
1"和"rule3permitreadwriteoid1.
3.
6.
1.
4",其中rule2与用户访问的OID形成最长匹配,则认为rule2与OID匹配,匹配的结果为用户的此访问请求被拒绝.
对于定义的OID长度相同的规则,规则编号大的生效.
例如用户访问的OID为1.
3.
6.
1.
4.
1.
25506.
141.
3.
0.
1,角色中存在"rule1permitreadwriteoid1.
3.
6","rule2deny1-6readwriteoid1.
3.
6.
1.
4.
1"和"rule3permitreadwriteoid1.
3.
6.
1.
4.
1",其中rule2和rule3与访问的OID形成最长匹配,则rule3生效,匹配的结果为用户的访问请求被允许.
2.
配置限制和指导只有具有network-admin或者level-15用户角色的用户登录设备后才具有如下命令的操作权限,其它系统预定义角色和用户自定义角色不能执行相应的命令.
displayhistory-commandall命令.
以displayrole、displaylicense、reboot、startupsaved-configuration开头的所有命令.
系统视图下以role、undorole、super、undosuper、license、password-recovery、undopassword-recovery开头的所有命令.
系统视图下创建SNMP团体、用户或组的命令:snmp-agentcommunity、snmp-agentusm-user和snmp-agentgroup.
用户线视图下以user-role、undouser-role、authentication-mode、undoauthentication-mode、setauthenticationpassword、undosetauthenticationpassword开头的所有命令.
Schedule视图下以user-role、undouser-role开头的所有命令.
CLI监控策略视图下以user-role、undouser-role开头的所有命令.
EventMIB特性中所有类型的命令.
每个用户角色中最多可以配置256条规则,系统中的用户角色规则总数不能超过1024.
修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.

3.
配置步骤(1)进入系统视图.
system-view(2)进入用户角色视图.
rolenamerole-name(3)配置用户规则.
请至少选择其中一项进行配置.
配置基于命令的规则.
rulenumber{deny|permit}commandcommand-string配置基于特性的规则.
rulenumber{deny|permit}{execute|read|write}*feature[feature-name]配置基于特性组的规则.
rulenumber{deny|permit}{execute|read|write}*feature-groupfeature-group-name只有特性组创建后,基于特性组的规则才能生效.
配置基于Web菜单的规则.
rulenumber{deny|permit}{execute|read|write}*web-menu[web-string]配置基于XML元素的规则.
1-7rulenumber{deny|permit}{execute|read|write}*xml-element[xml-string]配置基于OID的规则.
rulenumber{deny|permit}{execute|read|write}*oidoid-string1.
5配置特性组1.
功能简介特性组是一个或者多个特性的集合.
配置特性组便于管理员为有相同权限需求的多个特性定义统一的用户角色规则.
除系统预定义的特性组之外,最多允许创建64个特性组,且各特性组之间包含的特性允许重叠.
2.
配置步骤(1)进入系统视图.
system-view(2)创建特性组,并进入特性组视图.
rolefeature-groupnamefeature-group-name缺省情况下,存在两个系统预定义特性组,名称为L2和L3,且不能被修改和删除.
L2:包含所有二层协议相关功能的命令.
L3:包含所有三层协议相关功能的命令.
(3)向特性组中添加一个特性.
featurefeature-name缺省情况下,自定义特性组中不包含任何特性.
1.
6配置资源控制策略1.
6.
1功能简介资源控制策略分为接口策略、VLAN策略.
所有用户角色均具有缺省的资源控制策略,允许用户具有操作任何系统资源的权限.
若要限制或区分用户对这些资源的使用权限,则应该配置资源控制策略并在指定类型的策略中配置允许操作的资源列表.
1.
6.
2配置限制和指导修改后的资源控制策略对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效.

1.
6.
3配置接口资源控制策略(1)进入系统视图.
system-view(2)进入用户角色视图.
rolenamerole-name(3)进入接口策略视图.
1-8interfacepolicydeny缺省情况下,用户角色具有操作任何接口的权限.
进入接口策略视图后,如果不配置允许操作的接口列表,则用户角色将没有操作任何接口的权限.
(4)(可选)配置允许操作的接口列表.
permitinterfaceinterface-list缺省情况下,未定义允许操作的接口列表,用户角色没有操作任何接口的权限.

可以多次执行此命令向接口列表中添加允许操作的接口.
1.
6.
4配置VLAN资源控制策略(1)进入系统视图.
system-view(2)进入用户角色视图.
rolenamerole-name(3)进入VLAN策略视图.
vlanpolicydeny缺省情况下,用户具有操作任何VLAN的权限.
进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限.
(4)(可选)配置允许操作的VLAN列表.
permitvlanvlan-id-list缺省情况下,未定义允许操作的VLAN列表,用户没有操作任何VLAN的权限.
可以多次执行此命令向VLAN列表中添加允许操作的VLAN.
1.
7为用户授权角色1.
7.
1配置限制和指导为保证对用户授权角色成功,设备上必须存在对应的被授权的用户角色.
若要授权的用户角色有多个,则只要被授权的用户角色中的一个或多个在设备上存在,相应的用户角色即可授权成功;若设备上不存在任何一个被授权的用户角色,则用户角色授权将会失败.
1.
7.
2使能缺省用户角色授权功能1.
功能简介对于通过AAA认证登录设备的用户,由服务器(远程认证服务器或本地认证服务器)为其授权用户角色.
如果用户没有被授权任何用户角色,将无法成功登录设备,需要使能缺省用户角色授权功能.
为此,设备提供了一个缺省用户角色授权功能.
使能该功能后,用户在没有被服务器授权任何角色的情况下,将具有一个缺省的用户角色,该缺省用户角色可以通过参数配置为系统中已存在的任意用户角色.
1-92.
配置步骤(1)进入系统视图.
system-view(2)使能缺省用户角色授权功能.
roledefault-roleenable[role-name]缺省情况下,缺省用户角色授权功能处于关闭状态.
若未通过authorization-attribute命令配置本地用户或用户组的授权属性,则必须使能缺省用户角色授权功能.
关于命令authorization-attribute的详细介绍请参见"用户接入与认证命令参考"的"AAA".
1.
7.
3为远程AAA认证用户授权角色对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色.
有关AAA以及远程AAA认证相关配置的详细介绍请参见"用户接入与认证配置指导"中的"AAA".
RADIUS服务器上的授权角色配置与服务器的具体情况有关,请参考服务器的配置指导进行;HWTACACS服务器上的授权角色配置必须满足格式:roles="name1name2namen",其中name1、name2、namen为要授权下发给用户的用户角色,可为多个,并使用空格分隔.
需要注意的是,若AAA服务器同时为用户授权了包括安全日志管理员在内的多个用户角色,则仅安全日志管理员角色生效.
1.
7.
4为本地AAA认证用户授权角色1.
功能简介对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色.
有关AAA以及本地用户相关配置的详细介绍请参见"用户接入与认证配置指导"中的"AAA".
2.
配置限制和指导由于本地用户缺省就拥有一个用户角色,如果要赋予本地用户新的用户角色,请确认是否需要保留这个缺省的用户角色,若不需要,请删除.
系统中的最后一个安全日志管理员角色的本地用户不可被删除.
安全日志管理员与其它用户角色互斥,为一个本地用户授权安全日志管理员角色时,经过界面的交互式确认后,系统会自动删除当前用户的所有其它他用户角色.
如果已经为当前本地用户授权了安全日志管理员角色,再授权其它的用户角色时,经过界面的交互确认后,系统会自动删除当前用户的安全日志管理员角色.
可通过多次执行该配置,为本地用户授权多个用户角色,最多可授权64个.
3.
配置步骤(1)进入系统视图.
system-view(2)创建本地用户,并进入本地用户视图.
local-useruser-nameclass{manage|network}(3)为本地用户授权用户角色.
1-10authorization-attributeuser-rolerole-name缺省情况下,由用户角色为network-admin或level-15的用户创建的本地用户将被授权用户角色network-operator.
1.
7.
5为非AAA认证用户授权角色1.
功能简介对于不使用AAA认证登录设备的非SSH用户,由用户线配置决定为其授权的用户角色.
有关用户线相关配置的详细介绍请参见"基础配置指导"中的"登录设备".
通过publickey或password-publickey认证登录设备的SSH用户,由同名的设备管理类本地用户配置决定为其授权的用户角色.
SSH用户相关的介绍请参见"安全配置指导"中的"SSH".
2.
配置限制和指导可通过多次执行本命令,配置多个用户角色,最多可配置64个.
不能为从当前用户线登录系统的用户授权安全日志管理员的用户角色.

3.
配置步骤(1)进入系统视图.
system-view(2)进入用户线或用户线类视图.
进入用户线视图.
line{first-num1[last-num1]|{console|vty}first-num2[last-num2]}进入用户线类视图.
lineclass{console|vty}关于用户线和用户线视图下各属性生效情况和优先级的详细介绍,请参见"基础配置指导"中的"配置通过CLI登录设备".
(3)为从当前用户线登录系统的用户配置授权的用户角色.
user-rolerole-name缺省情况下,使用Console用户线登录系统的用户将被授权用户角色network-admin;通过其它用户线登录系统的用户将被授权用户角色network-operator.
1.
8配置用户角色切换1.
8.
1功能简介切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限.
切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有角色.
为了防止对设备的误操作,通常情况下建议管理员使用较低权限的用户角色登录设备、查看设备运行参数,当需要对设备进行维护时,再临时切换到较高权限的用户角色.

当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时,为了安全起见,可以临时切换到较低权限的用户角色,来限制其他人员的操作.
1-11为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码.
切换到不同的用户角色时,需要输入相应切换密码.
如果服务器没有响应或者没有配置用户角色切换密码,则切换操作失败,若还有备份认证方案,则转而进行备份认证.
设备支持如表1-2所示的四种用户角色切换认证方式.
表1-2用户角色的切换认证方式认证方式涵义说明local本地密码认证设备验证用户输入的用户角色切换密码使用该方式时,需要在设备上使用superpassword命令设置用户角色切换密码对于Console口登录的用户,在设备仅采用本地密码切换认证方式且未配置切换密码的情况下,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色scheme通过HWTACACS或RADIUS进行远程AAA认证设备将用户角色切换使用的用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证使用该方式时,需要进行以下相关配置:在设备上配置HWTACACS/RADIUS方案,并在ISP域中引用已创建的HWTACACS/RADIUS方案,详细介绍请参见"用户接入与认证配置指导"中的"AAA"在HWTACACS/RADIUS服务器上创建相应的用户并配置密码localscheme先本地密码认证,后远程AAA认证先进行本地密码认证,若设备上未设置本地用户角色切换密码,使用Console或VTY用户线登录的用户则转为远程AAA认证schemelocal先远程AAA认证,后本地密码认证先进行远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA远程认证配置无效时,转为本地密码认证1.
8.
2配置限制和指导在进行切换操作前,请先保证配置了正确的用户角色切换密码.
当使用HWTACACS方案进行用户角色切换认证时,系统使用用户输入的用户角色切换用户名进行角色切换认证,HWTACACS服务器上也必须存在相应的用户.
当用户要切换到level-n的用户角色时,要求HWTACACS服务器上存在能提供切换到level-n角色的用户.
在HWTACACS服务器上,支持切换到用户角色level-n的用户也能够支持切换到level-0到level-n之间任意的用户角色.
当用户要切换到非level-n的用户角色时,要求HWTACACS服务器上存在至少能提供切换到level-0角色的用户,且该用户配置了取值为allowed-roles="role"的自定义属性(其中role为要切换的目的用户角色名称).
当使用RADIUS方案进行用户角色切换认证时,系统使用"$enabn$"形式的用户名进行用户角色切换认证,其中n为用户希望切换到的用户角色level-n中的n,RADIUS服务器上也必须存在该形式用户名的用户.
与HWTACACS不同的是,用户进行角色切换时可输入任意用户名,该名称在认证过程中无实际意义.
当用户要切换到level-n的用户角色时,要求RADIUS服务器上存在用户名为"$enabn$"的用户.
例如,用户希望切换到用户角色level-3,输入任意用户名,系统忽略用户输入的用户名,使用"$enab3$"形式的用户名进行用户角色切换认证.
1-12当用户要切换到非level-n的用户角色时,要求RADIUS服务器上存在用户名为"$enab0$"的用户,且该用户配置了取值为allowed-roles="role"的自定义属性(其中role为要切换的目的用户角色名称).
用户进行用户角色切换认证时,系统发送给RADIUS服务器的认证请求报文中的用户名中不会携带域名,系统采用的切换认证方案使用缺省域.
用户进行用户角色切换认证时,系统发送给HWTACACS服务器的认证请求报文中的用户名是否携带域名由配置决定(user-name-format),系统采用的切换认证方案由用户输入的用户名中指定的域名决定,若该用户名中未携带域名,则使用缺省域.
当用户从用户角色a切换到用户角色b后,若输入quit命令,将退出当前登录的用户线.
1.
8.
3配置用户角色切换的认证方式(1)进入系统视图.
system-view(2)配置用户角色切换时的认证方式.
superauthentication-mode{local|scheme}*缺省情况下,采用local认证方式.
1.
8.
4配置用户角色切换的缺省目的用户角色(1)进入系统视图.
system-view(2)配置用户角色切换的缺省目的用户角色.
superdefaultrolerole-name缺省情况下,用户角色切换的缺省目的角色为network-admin.
1.
8.
5配置用户角色切换的密码1.
功能简介如果用户角色的切换认证方式采用local认证方式,则需要配置用户角色切换的密码.
如果采用scheme认证方式则无需此配置.
2.
配置步骤(1)进入系统视图.
system-view(2)配置用户角色切换的密码.
superpassword[rolerole-name][{hash|simple}string]缺省情况下,未设置切换用户角色的密码.
若不指定用户角色,则设置的是切换到当前缺省目的用户角色的密码.
1-131.
8.
6配置用户角色切换认证时使用用户登录的用户名认证1.
功能简介在设备采用远程AAA认证方案进行用户角色切换认证,且用户采用用户名和密码方式登录设备的情况下,用户切换用户角色时,设备会自动获取用户登录使用的用户名作为角色切换认证的用户名,不再需要用户输入用户名.
2.
硬件适配关系仅WX3500H-LI系列无线控制器支持本命令.
3.
配置限制和指导开启本功能后,若设备采用远程AAA认证方案进行用户角色切换认证,但用户未采用用户名和密码方式登录设备,则用户角色切换失败.
若设备未采用远程AAA认证方案进行用户角色切换认证,则本功能配置无法生效.
4.
配置步骤(1)进入系统视图.
system-view(2)配置用户角色切换认证时使用用户登录的用户名认证.
superuse-login-username缺省情况下,用户角色切换认证时系统提示用户输入用户名进行认证.
1.
8.
7切换用户角色1.
配置限制和指导用户最多可以连续进行三次切换认证,如果三次认证都失败则本轮切换失败.

在与当前登录用户相同的ISP域中执行用户角色切换认证时,如果用户角色切换认证使用的AAA方案与登录域下配置的登录授权方法不同,可能无法切换到非level-n用户角色.
要解决此问题,建议authenticationsuper命令配置的AAA方案与登录域下通过authorizationlogin命令配置的AAA方案保持一致.
AAA相关内容的介绍请参见"安全配置指导"中的"AAA".
2.
配置准备若要执行切换用户角色的操作,必须保证当前用户具有执行本命令的权限.

3.
配置步骤请在用户视图下执行本命令,切换用户角色.
super[role-name]若不指定用户角色,则切换到当前缺省目的用户角色.
缺省的目的用户角色由superdefaultrole命令指定.
1-141.
9RBAC显示和维护完成上述配置后,在任意视图下执行display命令可以显示配置后RBAC的运行情况,通过查看显示信息验证配置的效果.
表1-3RBAC显示和维护操作命令显示用户角色信息displayrole[namerole-name]显示特性信息displayrolefeature[namefeature-name|verbose]显示特性组信息displayrolefeature-group[namefeature-group-name][verbose]1.
10RBAC典型配置举例1.
10.
1Telnet用户的本地用户角色授权配置举例1.
组网需求如图1-1所示,Telnet用户主机与AC相连,需要实现AC对Telnet用户进行本地认证并授权用户角色.
Telnet用户的登录用户名为user1@bbb,认证通过后被授权的用户角色为role1.
role1具有如下用户权限:允许用户执行所有特性中读类型的命令;允许用户执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN10~VLAN20的权限.
2.
组网图图1-1Telnet用户本地认证/授权配置组网图3.
配置步骤#配置VLAN接口2的IP地址,Telnet用户将通过该地址连接AC.
system-view[AC]interfacevlan-interface2[AC-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[AC-Vlan-interface2]quit#开启AC的Telnet服务器功能.
[AC]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[AC]linevty031InternetACTelnetuser192.
168.
1.
58/24Vlan-int2192.
168.
1.
70/241-15[AC-line-vty0-31]authentication-modescheme[AC-line-vty0-31]quit#配置ISP域bbb的AAA方法为本地认证和本地授权.
[AC]domainbbb[AC-isp-bbb]authenticationloginlocal[AC-isp-bbb]authorizationloginlocal[AC-isp-bbb]quit#创建用户角色role1.
[AC]rolenamerole1#配置用户角色规则1,允许用户执行所有特性中读类型的命令.
[AC-role-role1]rule1permitreadfeature#配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令.
[AC-role-role1]rule2permitcommandsystem-view;vlan*#进入VLAN策略视图,允许用户具有操作VLAN10~VLAN20的权限.
[AC-role-role1]vlanpolicydeny[AC-role-role1-vlanpolicy]permitvlan10to20[AC-role-role1-vlanpolicy]quit[AC-role-role1]quit#创建设备管理类本地用户user1.
[AC]local-useruser1classmanage#配置用户的密码是明文的aabbcc.
[AC-luser-manage-user1]passwordsimpleaabbcc#指定用户的服务类型是Telnet.
[AC-luser-manage-user1]service-typetelnet#指定用户user1的授权角色为role1.
[AC-luser-manage-user1]authorization-attributeuser-rolerole1#为保证用户仅使用授权的用户角色role1,删除用户user1具有的缺省用户角色network-operator.
[AC-luser-manage-user1]undoauthorization-attributeuser-rolenetwork-operator[AC-luser-manage-user1]quit4.
验证配置用户向AC发起Telnet连接,在Telnet客户端按照提示输入用户名user1@bbb及正确的密码后,可成功登录AC,并被授予用户角色role1,具有相应的命令行执行权限.
可通过如下步骤验证用户的权限:可操作VLAN10~VLAN20.
(以创建VLAN10为例)system-view[AC]vlan10[AC-vlan10]quit不能操作其它VLAN.
(以创建VLAN30为例)[AC]vlan30Permissiondenied.
可执行所有特性中读类型的命令.
(以displayclock为例)[AC]displayclock09:31:56UTCSat01/01/2018[AC]quit1-16不能执行特性中写类型和执行类型的命令.
debuggingroleallPermissiondenied.
ping192.
168.
1.
58Permissiondenied.
1.
10.
2Telnet用户的RADIUS用户角色授权配置举例1.
组网需求如图1-2所示,Telnet用户主机与AC相连,AC与一台RADIUS服务器相连,需要实现RADIUS服务器对登录AC的Telnet用户进行认证和授权.
由一台FreeRadius服务器(IP地址为10.
1.
1.
1/24)担当认证/授权RADIUS服务器的职责;AC与RADIUS服务器交互报文时使用的共享密钥为expert,认证端口号为1812;AC向RADIUS服务器发送的用户名携带域名;Telnet用户登录AC时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后被授权的用户角色为role2.
role2具有如下用户权限:允许用户执行ISP视图下的所有命令;允许用户执行ARP和RADIUS特性中读和写类型的命令;禁止用户执行ACL特性中读类型的命令;允许用户执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN1~VLAN20的权限;2.
组网图图1-2Telnet用户RADIUS认证/授权配置组网图3.
配置步骤(1)AC上的配置#配置接口VLAN接口2的IP地址,Telnet用户将通过该地址连接AC.
system-view[AC]interfacevlan-interface2[AC-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[AC-Vlan-interface2]quitInternetACTelnetuser192.
168.
1.
58VLAN-int310.
1.
1.
2/24RADIUSserver10.
1.
1.
1/24VLAN-int2192.
168.
1.
70/241-17#配置接口VLAN接口3的IP地址,AC将通过该地址与服务器通信.
[AC]interfacevlan-interface3[AC-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[AC-Vlan-interface3]quit#开启AC的Telnet服务器功能.
[AC]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[AC]linevty031[AC-line-vty0-31]authentication-modescheme[AC-line-vty0-31]quit#创建RADIUS方案rad.
[AC]radiusschemerad#配置主认证/授权服务器的IP地址为10.
1.
1.
1,认证端口号为1812.
[AC-radius-rad]primaryauthentication10.
1.
1.
11812#配置与认证/授权服务器交互报文时的共享密钥为明文expert.
[AC-radius-rad]keyauthenticationsimpleexpert[AC-radius-rad]quit#配置ISP域bbb的AAA方法.
由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同.
[AC]domainbbb[AC-isp-bbb]authenticationloginradius-schemerad[AC-isp-bbb]authorizationloginradius-schemerad[AC-isp-bbb]quit#创建特性组fgroup1.
[AC]rolefeature-groupnamefgroup1#配置特性组fgroup1中包含特性ARP和RADIUS.
[AC-featuregrp-fgroup1]featurearp[AC-featuregrp-fgroup1]featureradius[AC-featuregrp-fgroup1]quit#创建用户角色role2.
[AC]rolenamerole2#配置用户角色规则1,允许用户执行ISP视图下的所有命令.
[AC-role-role2]rule1permitcommandsystem-view;domain*#配置用户角色规则2,允许用户执行特性组fgroup1中所有特性的读和写类型的命令.
[AC-role-role2]rule2permitreadwritefeature-groupfgroup1#配置用户角色规则3,禁止用户执行ACL特性中读类型的命令.
[AC-role-role2]rule3denyreadfeatureacl#配置用户角色规则4,允许用户执行创建VLAN以及进入VLAN视图后的相关命令.
[AC-role-role2]rule4permitcommandsystem-view;vlan*#配置用户角色规则5,允许用户执行进入接口视图以及接口视图下的相关命令.
[AC-role-role2]rule5permitcommandsystem-view;interface*#进入VLAN策略视图,允许用户具有操作VLAN1~VLAN20的权限.
[AC-role-role2]vlanpolicydeny[AC-role-role2-vlanpolicy]permitvlan1to201-18[AC-role-role2-vlanpolicy]quit(2)RADIUS服务器的配置需要在FreeRadius服务器的字典文件中增加如下配置文本之一:Cisco-AVPair="shell:roles=\"role2\""Cisco-AVPair="shell:roles*\"role2\""关于FreeRadius的其它配置请参见服务器的相关手册,本文不进行详细介绍.
4.
验证配置用户向AC发起Telnet连接,在Telnet客户端按照提示输入用户名hello@bbb及正确的密码后,可成功登录AC,并被授予用户角色role2,具有相应的命令行执行权限.
可通过如下步骤验证用户的权限:可执行ISP视图下所有的命令.
system-view[AC]domainabc[AC-isp-abc]authenticationloginradius-schemeabc[AC-isp-abc]quit可执行RADIUS特性中读和写类型的命令.
(ARP特性同,此处不再举例)[AC]radiusschemerad[AC-radius-rad]primaryauthentication2.
2.
2.
2[AC-radius-rad]displayradiusschemeradRADIUS方案的显示信息此处略.
可操作VLAN1~VLAN20.
(以创建VLAN10、VLAN30为例)[AC]vlan10[AC-vlan10]quit[AC]vlan30Permissiondenied.
1.
10.
3Telnet用户的HWTACACS用户角色切换认证配置1.
组网需求如图1-3所示,Telnet用户主机与AC直接相连,AC与一台HWTACACS服务器相连,需要配置AC实现对登录AC的Telnet用户进行用户角色切换认证.
具体要求如下:Telnet用户登录AC时进行本地认证,登录后被授予用户角色level-0;当进行level-0~level3之间的任意用户角色切换或切换到network-admin用户角色时,首先使用HWTACACS认证,若AAA配置无效或者HWTACACS服务器没有响应则转为local认证.
1-192.
组网图图1-3Telnet用户远端HWTACACS用户角色切换认证配置组网图3.
配置思路在AC上的配置思路如下:(1)配置Telnet用户登录采用AAA认证方式(scheme),并且使用AAA中的本地认证.
创建ISP域bbb,配置Telnet用户登录时采用的login认证和授权方法为local.
创建本地用户,配置Telnet用户登录密码及登录后的用户角色.
(2)Telnet用户进行用户角色切换时,首先使用HWTACACS认证,若AAA配置无效或者HWTACACS服务器没有响应则转为本地认证.
配置用户角色切换认证方式为schemelocal.
配置HWTACACS方案hwtac,指定HWTACACS服务器IP地址及与其进行交互的相关参数(HWTACACS协议报文交互时使用的共享密钥,AC发送给HWTACACS服务器的用户名不带域名).
在ISP域bbb下配置用户角色切换认证方法为hwtac.
配置采用本地认证方式时的用户角色切换密码.
在HWTACACSserver上需要添加用于用户角色切换认证的用户名和密码.
4.
配置步骤(1)配置AC#配置VLAN接口2的IP地址,Telnet客户端将通过该地址连接AC.
system-view[AC]interfacevlan-interface2[AC-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[AC-Vlan-interface2]quit#配置VLAN接口3的IP地址,AC将通过该地址与服务器通信.
[AC]interfacevlan-interface3[AC-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[AC-Vlan-interface3]quit#开启AC的Telnet服务器功能.
[AC]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[AC]linevty031[AC-line-vty0-31]authentication-modeschemeInternetTelnetuser192.
168.
1.
58/24HWTACACSserver10.
1.
1.
1/24VLAN-int2192.
168.
1.
70/24VLAN-int310.
1.
1.
2/24AC1-20[AC-line-vty0-31]quit#配置进行用户角色切换时的认证方式为schemelocal.
(首先使用HWTACACS认证,若AAA配置无效或者HWTACACS服务器没有响应则转为本地认证)[AC]superauthentication-modeschemelocal#创建HWTACACS方案hwtac.
[AC]hwtacacsschemehwtac#配置主认证服务器的IP地址为10.
1.
1.
1,认证端口号为49.
[AC-hwtacacs-hwtac]primaryauthentication10.
1.
1.
149#配置与认证服务器交互报文时的共享密钥为expert.
[AC-hwtacacs-hwtac]keyauthenticationsimpleexpert#配置向HWTACACS服务器发送的用户名不携带域名.
[AC-hwtacacs-hwtac]user-name-formatwithout-domain[AC-hwtacacs-hwtac]quit#创建ISP域bbb.
[AC]domainbbb#配置Telnet用户登录认证方法为本地认证.
[AC-isp-bbb]authenticationloginlocal#配置Telnet用户登录授权方法为本地授权.
[AC-isp-bbb]authorizationloginlocal#配置用户角色切换认证方法为hwtac.
[AC-isp-bbb]authenticationsuperhwtacacs-schemehwtac[AC-isp-bbb]quit#创建并配置设备管理类本地Telnet用户test.
[AC]local-usertestclassmanage[AC-luser-manage-test]service-typetelnet[AC-luser-manage-test]passwordsimpleaabbcc#指定Telnet用户登录系统后被授予的用户角色为level-0.
[AC-luser-manage-test]authorization-attributeuser-rolelevel-0#为保证Telnet用户仅使用授权的用户角色level-0,删除用户test具有的缺省用户角色network-operator.
[AC-luser-manage-test]undoauthorization-attributeuser-rolenetwork-operator[AC-luser-manage-test]quit#配置用户角色换认证方式为本地认证时,切换到用户角色level-3时使用的密码为654321.

[AC]superpasswordrolelevel-3simple654321#配置切换到用户角色network-admin时使用的密码为654321.
[AC]superpasswordrolenetwork-adminsimple654321[AC]quit(2)配置HWTACACSserver下面以ACSv4.
0为例,说明该例中HWTACACSserver的基本配置.
在HWTACACSserver上添加用户test,对该用户的高级属性进行设置.
1-21设置EnablePassword为enabpass;设置MaxPrivilege为Level3,表示用户角色在level-0到level-3之间任意切换时均使用密码enabpass进行认证.
如果目的切换角色仅仅为network-admin,则MaxPrivilege可以设置为任意Level.
图1-4设置Telnet用户的高级属性设置Shell(exex)的Customattributes属性字符串为allowed-roles="network-admin",多个角色可用空格间隔.
1-22图1-5设置Telnet用户的HWTACACS属性5.
验证配置(1)Telnet用户建立与AC的连接Telnet用户按照提示输入用户名test@bbb及密码aabbcc,即可成功登录AC,且只能访问指定权限的命令.
C:\>telnet192.
168.
1.
70Trying192.
168.
1.
70.
.
.
PressCTRL+KtoabortConnectedto192.
168.
1.
59.
.
.
*Copyright(c)2004-2018NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*login:test@bbbPassword:Userviewcommands:pingPingfunctionquitExitfromcurrentcommandviewssh2EstablishasecureshellclientconnectionsuperSwitchtoauserrolesystem-viewEntertheSystemViewtelnetEstablishatelnetconnection1-23tracertTracertfunction(2)切换用户角色#在当前的用户线下执行切换到用户角色level-3的命令,按照提示输入HWTACACS用户角色切换认证密码enabpass,若认证成功即可将当前Telnet用户的角色切换到level-3.
superlevel-3Username:test@bbbPassword:superlevel-3Username:test@bbbPassword:system-view[AC]interfacevlan-interface2[AC-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[AC-Vlan-interface2]quit#配置VLAN接口3的IP地址,AC将通过该地址与服务器通信.
[AC]interfacevlan-interface3[AC-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[AC-Vlan-interface3]quit#开启AC的Telnet服务器功能.
[AC]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[AC]linevty031[AC-line-vty0-31]authentication-modescheme[AC-line-vty0-31]quit#配置进行用户角色切换时的认证方式为schemelocal.
(首先使用RADIUS认证,若AAA配置无效或者RADIUS服务器没有响应则转为本地认证)[AC]superauthentication-modeschemelocal#创建RADIUS方案radius.
[AC]radiusschemeradius#配置主认证服务器的IP地址为10.
1.
1.
1,与认证服务器交互报文时的共享密钥为expert.
[AC-radius-radius]primaryauthentication10.
1.
1.
1keysimpleexpert#配置向RADIUS服务器发送的用户名不携带域名.
[AC-radius-radius]user-name-formatwithout-domain[AC-radius-radius]quit#创建ISP域bbb.
[AC]domainbbb1-25#配置Telnet用户登录认证方法为本地认证.
[AC-isp-bbb]authenticationloginlocal#配置Telnet用户登录授权方法为本地授权.
[AC-isp-bbb]authorizationloginlocal#配置用户角色切换认证方法为radius.
[AC-isp-bbb]authenticationsuperradius-schemeradius[AC-isp-bbb]quit#创建并配置设备管理类本地Telnet用户test.
[AC]local-usertestclassmanage[AC-luser-manage-test]service-typetelnet[AC-luser-manage-test]passwordsimpleaabbcc#指定Telnet用户登录系统后被授予的用户角色为level-0.
[AC-luser-manage-test]authorization-attributeuser-rolelevel-0#为保证Telnet用户仅使用授权的用户角色level-0,删除用户test具有的缺省用户角色network-operator.
[AC-luser-manage-test]undoauthorization-attributeuser-rolenetwork-operator[AC-luser-manage-test]quit#配置用户角色换认证方式为本地认证时,切换到用户角色network-admin时使用的密码为abcdef654321.
[AC]superpasswordrolenetwork-adminsimpleabcdef654321[AC]quit(2)配置RADIUSserver下面以ACSv4.
2为例,说明该例中RADIUSserver的基本配置.
在RADIUSserver上添加用户$enab0$,设置密码为123456.
并对该用户的RADIUS属性中的cisco-av-pair属性字符串进行设置.
图1-7设置Telnet用户的RADIUS属性5.
验证配置(1)Telnet用户建立与AC的连接1-26Telnet用户按照提示输入用户名test@bbb及密码aabbcc,即可成功登录AC,且只能访问指定权限的命令.
C:\>telnet192.
168.
1.
70Trying192.
168.
1.
70.
.
.
PressCTRL+KtoabortConnectedto192.
168.
1.
59.
.
.
*Copyright(c)2004-2018NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*login:test@bbbPassword:Userviewcommands:pingPingfunctionquitExitfromcurrentcommandviewssh2EstablishasecureshellclientconnectionsuperSwitchtoauserrolesystem-viewEntertheSystemViewtelnetEstablishatelnetconnectiontracertTracertfunction(2)切换用户角色#在当前的用户线下执行切换到用户角色network-admin的命令,按照提示输入RADIUS用户角色切换认证密码123456,若认证成功即可将当前Telnet用户的角色切换到network-admin.
supernetwork-adminUsername:test@bbbPassword:supernetwork-adminUsername:test@bbbPassword:system-view[AP]interfacevlan-interface2[AP-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[AP-Vlan-interface2]quit#开启AP的Telnet服务器功能.
[AP]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[AP]linevty04[AP-line-vty0-4]authentication-modescheme[AP-line-vty0-4]quit#配置ISP域bbb的AAA方法为本地认证和本地授权.
[AP]domainbbb[AP-isp-bbb]authenticationloginlocal[AP-isp-bbb]authorizationloginlocal[AP-isp-bbb]quit#创建用户角色role1.
[AP]rolenamerole1#配置用户角色规则1,允许用户执行所有特性中读类型的命令.
[AP-role-role1]rule1permitreadfeature#配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令.
[AP-role-role1]rule2permitcommandsystem-view;vlan*#进入VLAN策略视图,允许用户具有操作VLAN10~VLAN20的权限.
InternetAPTelnetuser192.
168.
1.
58/24Vlan-int2192.
168.
1.
70/241-28[AP-role-role1]vlanpolicydeny[AP-role-role1-vlanpolicy]permitvlan10to20[AP-role-role1-vlanpolicy]quit[AP-role-role1]quit#创建设备管理类本地用户user1.
[AP]local-useruser1classmanage#配置用户的密码是明文的aabbcc.
[AP-luser-manage-user1]passwordsimpleaabbcc#指定用户的服务类型是Telnet.
[AP-luser-manage-user1]service-typetelnet#指定用户user1的授权角色为role1.
[AP-luser-manage-user1]authorization-attributeuser-rolerole1#为保证用户仅使用授权的用户角色role1,删除用户user1具有的缺省用户角色network-operator.
[AP-luser-manage-user1]undoauthorization-attributeuser-rolenetwork-operator[AP-luser-manage-user1]quit4.
验证配置用户向AP发起Telnet连接,在Telnet客户端按照提示输入用户名user1@bbb及正确的密码后,可成功登录AP,并被授予用户角色role1,具有相应的命令行执行权限.
可通过如下步骤验证用户的权限:可操作VLAN10~VLAN20.
(以创建VLAN10为例)system-view[AP]vlan10[AP-vlan10]quit不能操作其它VLAN.
(以创建VLAN30为例)[AP]vlan30Permissiondenied.
可执行所有特性中读类型的命令.
(以displayclock为例)[AP]displayclock09:31:56UTCSat01/01/2018[AP]quit不能执行特性中写类型和执行类型的命令.
debuggingroleallPermissiondenied.
ping192.
168.
1.
58Permissiondenied.
1.
11.
2Telnet用户的RADIUS用户角色授权配置举例1.
组网需求如图1-9所示,Telnet用户主机与AP相连,AP与一台RADIUS服务器相连,需要实现RADIUS服务器对登录AP的Telnet用户进行认证和授权.
由一台FreeRadius服务器(IP地址为10.
1.
1.
1/24)担当认证/授权RADIUS服务器的职责;AP与RADIUS服务器交互报文时使用的共享密钥为expert,认证端口号为1812;1-29AP向RADIUS服务器发送的用户名携带域名;Telnet用户登录AP时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后被授权的用户角色为role2.
role2具有如下用户权限:允许用户执行ISP视图下的所有命令;允许用户执行ARP和RADIUS特性中读和写类型的命令;禁止用户执行ACL特性中读类型的命令;允许用户执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN1~VLAN20的权限;允许用户执行进入接口视图以及接口视图下的相关命令,并具有操作接口GigabitEthernet1/0/1的权限.
2.
组网图图1-9Telnet用户RADIUS认证/授权配置组网图3.
配置步骤(1)AP上的配置#配置接口VLAN接口2的IP地址,Telnet用户将通过该地址连接AP.
system-view[AP]interfacevlan-interface2[AP-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[AP-Vlan-interface2]quit#配置接口VLAN接口3的IP地址,AP将通过该地址与服务器通信.
[AP]interfacevlan-interface3[AP-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[AP-Vlan-interface3]quit#开启AP的Telnet服务器功能.
[AP]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[AP]linevty04[AP-line-vty0-4]authentication-modescheme[AP-line-vty0-4]quit#创建RADIUS方案rad.
InternetAPTelnetuser192.
168.
1.
58/24Vlan-int2192.
168.
1.
70/24Vlan-int310.
1.
1.
2/24RADIUSserver10.
1.
1.
1/241-30[AP]radiusschemerad#配置主认证/授权服务器的IP地址为10.
1.
1.
1,认证端口号为1812.
[AP-radius-rad]primaryauthentication10.
1.
1.
11812#配置与认证/授权服务器交互报文时的共享密钥为明文expert.
[AP-radius-rad]keyauthenticationsimpleexpert[AP-radius-rad]quit#配置ISP域bbb的AAA方法.
由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同.
[AP]domainbbb[AP-isp-bbb]authenticationloginradius-schemerad[AP-isp-bbb]authorizationloginradius-schemerad[AP-isp-bbb]quit#创建特性组fgroup1.
[AP]rolefeature-groupnamefgroup1#配置特性组fgroup1中包含特性ARP和RADIUS.
[AP-featuregrp-fgroup1]featurearp[AP-featuregrp-fgroup1]featureradius[AP-featuregrp-fgroup1]quit#创建用户角色role2.
[AP]rolenamerole2#配置用户角色规则1,允许用户执行ISP视图下的所有命令.
[AP-role-role2]rule1permitcommandsystem-view;domain*#配置用户角色规则2,允许用户执行特性组fgroup1中所有特性的读和写类型的命令.
[AP-role-role2]rule2permitreadwritefeature-groupfgroup1#配置用户角色规则3,禁止用户执行ACL特性中读类型的命令.
[AP-role-role2]rule3denyreadfeatureacl#配置用户角色规则4,允许用户执行创建VLAN以及进入VLAN视图后的相关命令.
[AP-role-role2]rule4permitcommandsystem-view;vlan*#配置用户角色规则5,允许用户执行进入接口视图以及接口视图下的相关命令.
[AP-role-role2]rule5permitcommandsystem-view;interface*#进入VLAN策略视图,允许用户具有操作VLAN1~VLAN20的权限.
[AP-role-role2]vlanpolicydeny[AP-role-role2-vlanpolicy]permitvlan1to20[AP-role-role2-vlanpolicy]quit#进入接口策略视图,允许用户具有操作接口GigabitEthernet1/0/1的权限.
[AP-role-role2]interfacepolicydeny[AP-role-role2-ifpolicy]permitinterfacegigabitethernet1/0/1[AP-role-role2-ifpolicy]quit[AP-role-role2]quit(2)RADIUS服务器的配置需要在FreeRadius服务器的字典文件中增加如下配置文本之一:Cisco-AVPair="shell:roles=\"role2\""Cisco-AVPair="shell:roles*\"role2\""关于FreeRadius的其它配置请参见服务器的相关手册,本文不进行详细介绍.
1-314.
验证配置用户向AP发起Telnet连接,在Telnet客户端按照提示输入用户名hello@bbb及正确的密码后,可成功登录AP,并被授予用户角色role2,具有相应的命令行执行权限.
可通过如下步骤验证用户的权限:可执行ISP视图下所有的命令.
system-view[AP]domainabc[AP-isp-abc]authenticationloginradius-schemeabc[AP-isp-abc]quit可执行RADIUS特性中读和写类型的命令.
(ARP特性同,此处不再举例)[AP]radiusschemerad[AP-radius-rad]primaryauthentication2.
2.
2.
2[AP-radius-rad]displayradiusschemeradRADIUS方案的显示信息此处略.
可操作VLAN1~VLAN20.
(以创建VLAN10、VLAN30为例)[AP]vlan10[AP-vlan10]quit[AP]vlan30Permissiondenied.
可操作接口GigabitEthernet1/0/1.
(以接口GigabitEthernet1/0/1和GigabitEthernet1/0/2为例)[AP]vlan10#将接口GigabitEthernet1/0/1加入到VLAN10.
[AP-vlan10]portgigabitethernet1/0/1#将接口GigabitEthernet1/0/2加入到VLAN10.
[AP-vlan10]portgigabitethernet1/0/2Permissiondenied.
1.
11.
3Telnet用户的HWTACACS用户角色切换认证配置1.
组网需求如图1-10所示,Telnet用户主机与AP直接相连,AP与一台HWTACACS服务器相连,需要配置AP实现对登录AP的Telnet用户进行用户角色切换认证.
具体要求如下:Telnet用户登录AP时进行本地认证,登录后被授予用户角色level-0;当进行level-0~level3之间的任意用户角色切换或切换到network-admin用户角色时,首先使用HWTACACS认证,若AAA配置无效或者HWTACACS服务器没有响应则转为local认证.
1-322.
组网图图1-10Telnet用户远端HWTACACS用户角色切换认证配置组网图3.
配置思路在AP上的配置思路如下:(1)配置Telnet用户登录采用AAA认证方式(scheme),并且使用AAA中的本地认证.
创建ISP域bbb,配置Telnet用户登录时采用的login认证和授权方法为local.
创建本地用户,配置Telnet用户登录密码及登录后的用户角色.
(2)Telnet用户进行用户角色切换时,首先使用HWTACACS认证,若AAA配置无效或者HWTACACS服务器没有响应则转为本地认证.
配置用户角色切换认证方式为schemelocal.
配置HWTACACS方案hwtac,指定HWTACACS服务器IP地址及与其进行交互的相关参数(HWTACACS协议报文交互时使用的共享密钥,AP发送给HWTACACS服务器的用户名不带域名).
在ISP域bbb下配置用户角色切换认证方法为hwtac.
配置采用本地认证方式时的用户角色切换密码.
在HWTACACSserver上需要添加用于用户角色切换认证的用户名和密码.
4.
配置步骤(1)配置AP#配置VLAN接口2的IP地址,Telnet客户端将通过该地址连接AP.
system-view[AP]interfacevlan-interface2[AP-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[AP-Vlan-interface2]quit#配置VLAN接口3的IP地址,AP将通过该地址与服务器通信.
[AP]interfacevlan-interface3[AP-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[AP-Vlan-interface3]quit#开启AP的Telnet服务器功能.
[AP]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[AP]linevty015[AP-line-vty0-15]authentication-modeschemeInternetAPTelnetuser192.
168.
1.
58/24HWTACACSserver10.
1.
1.
1/24Vlan-int2192.
168.
1.
70/24Vlan-int310.
1.
1.
2/241-33[AP-line-vty0-15]quit#配置进行用户角色切换时的认证方式为schemelocal.
(首先使用HWTACACS认证,若AAA配置无效或者HWTACACS服务器没有响应则转为本地认证)[AP]superauthentication-modeschemelocal#创建HWTACACS方案hwtac.
[AP]hwtacacsschemehwtac#配置主认证服务器的IP地址为10.
1.
1.
1,认证端口号为49.
[AP-hwtacacs-hwtac]primaryauthentication10.
1.
1.
149#配置与认证服务器交互报文时的共享密钥为expert.
[AP-hwtacacs-hwtac]keyauthenticationsimpleexpert#配置向HWTACACS服务器发送的用户名不携带域名.
[AP-hwtacacs-hwtac]user-name-formatwithout-domain[AP-hwtacacs-hwtac]quit#创建ISP域bbb.
[AP]domainbbb#配置Telnet用户登录认证方法为本地认证.
[AP-isp-bbb]authenticationloginlocal#配置Telnet用户登录授权方法为本地授权.
[AP-isp-bbb]authorizationloginlocal#配置用户角色切换认证方法为hwtac.
[AP-isp-bbb]authenticationsuperhwtacacs-schemehwtac[AP-isp-bbb]quit#创建并配置设备管理类本地Telnet用户test.
[AP]local-usertestclassmanage[AP-luser-manage-test]service-typetelnet[AP-luser-manage-test]passwordsimpleaabbcc#指定Telnet用户登录系统后被授予的用户角色为level-0.
[AP-luser-manage-test]authorization-attributeuser-rolelevel-0#为保证Telnet用户仅使用授权的用户角色level-0,删除用户test具有的缺省用户角色network-operator.
[AP-luser-manage-test]undoauthorization-attributeuser-rolenetwork-operator[AP-luser-manage-test]quit#配置用户角色换认证方式为本地认证时,切换到用户角色level-3时使用的密码为654321.
[AP]superpasswordrolelevel-3simple654321#配置切换到用户角色network-admin时使用的密码为654321.
[AP]superpasswordrolenetwork-adminsimple654321[AP]quit(2)配置HWTACACSserver下面以ACSv4.
0为例,说明该例中HWTACACSserver的基本配置.
在HWTACACSserver上添加用户test,对该用户的高级属性进行设置.
1-34设置EnablePassword为enabpass;设置MaxPrivilege为Level3,表示用户角色在level-0到level-3之间任意切换时均使用密码enabpass进行认证.
如果目的切换角色仅仅为network-admin,则MaxPrivilege可以设置为任意Level.
图1-11设置Telnet用户的高级属性设置Shell(exex)的Customattributes属性字符串为allowed-roles="network-admin",多个角色可用空格间隔.
1-35图1-12设置Telnet用户的HWTACACS属性5.
验证配置(1)Telnet用户建立与AP的连接Telnet用户按照提示输入用户名test@bbb及密码aabbcc,即可成功登录AP,且只能访问指定权限的命令.
C:\>telnet192.
168.
1.
70Trying192.
168.
1.
70.
.
.
PressCTRL+KtoabortConnectedto192.
168.
1.
59.
.
.
*Copyright(c)2004-2018NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*login:test@bbbPassword:Userviewcommands:pingPingfunctionquitExitfromcurrentcommandviewssh2EstablishasecureshellclientconnectionsuperSwitchtoauserrolesystem-viewEntertheSystemViewtelnetEstablishatelnetconnection1-36tracertTracertfunction(2)切换用户角色#在当前的用户线下执行切换到用户角色level-3的命令,按照提示输入HWTACACS用户角色切换认证密码enabpass,若认证成功即可将当前Telnet用户的角色切换到level-3.
superlevel-3Username:test@bbbPassword:superlevel-3Username:test@bbbPassword:system-view[AP]interfacevlan-interface2[AP-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[AP-Vlan-interface2]quit#配置VLAN接口3的IP地址,AP将通过该地址与服务器通信.
[AP]interfacevlan-interface3[AP-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[AP-Vlan-interface3]quit#开启AP的Telnet服务器功能.
[AP]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[AP]linevty015[AP-line-vty0-15]authentication-modescheme[AP-line-vty0-15]quit#配置进行用户角色切换时的认证方式为schemelocal.
(首先使用RADIUS认证,若AAA配置无效或者RADIUS服务器没有响应则转为本地认证)[AP]superauthentication-modeschemelocal#创建RADIUS方案radius.
[AP]radiusschemeradius#配置主认证服务器的IP地址为10.
1.
1.
1,与认证服务器交互报文时的共享密钥为expert.
[AP-radius-radius]primaryauthentication10.
1.
1.
1keysimpleexpert#配置向RADIUS服务器发送的用户名不携带域名.
[AP-radius-radius]user-name-formatwithout-domain[AP-radius-radius]quit#创建ISP域bbb.
[AP]domainbbb1-38#配置Telnet用户登录认证方法为本地认证.
[AP-isp-bbb]authenticationloginlocal#配置Telnet用户登录授权方法为本地授权.
[AP-isp-bbb]authorizationloginlocal#配置用户角色切换认证方法为radius.
[AP-isp-bbb]authenticationsuperradius-schemeradius[AP-isp-bbb]quit#创建并配置设备管理类本地Telnet用户test.
[AP]local-usertestclassmanage[AP-luser-manage-test]service-typetelnet[AP-luser-manage-test]passwordsimpleaabbcc#指定Telnet用户登录系统后被授予的用户角色为level-0.
[AP-luser-manage-test]authorization-attributeuser-rolelevel-0#为保证Telnet用户仅使用授权的用户角色level-0,删除用户test具有的缺省用户角色network-operator.
[AP-luser-manage-test]undoauthorization-attributeuser-rolenetwork-operator[AP-luser-manage-test]quit#配置用户角色换认证方式为本地认证时,切换到用户角色network-admin时使用的密码为abcdef654321.
[AP]superpasswordrolenetwork-adminsimpleabcdef654321[AP]quit(2)配置RADIUSserver下面以ACSv4.
2为例,说明该例中RADIUSserver的基本配置.
在RADIUSserver上添加用户$enab0$,设置密码为123456.
并对该用户的RADIUS属性中的cisco-av-pair属性字符串进行设置.
图1-14设置Telnet用户的RADIUS属性5.
验证配置(1)Telnet用户建立与AP的连接1-39Telnet用户按照提示输入用户名test@bbb及密码aabbcc,即可成功登录AP,且只能访问指定权限的命令.
C:\>telnet192.
168.
1.
70Trying192.
168.
1.
70.
.
.
PressCTRL+KtoabortConnectedto192.
168.
1.
59.
.
.
*Copyright(c)2004-2018NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*login:test@bbbPassword:Userviewcommands:pingPingfunctionquitExitfromcurrentcommandviewssh2EstablishasecureshellclientconnectionsuperAPtoauserrolesystem-viewEntertheSystemViewtelnetEstablishatelnetconnectiontracertTracertfunction(2)切换用户角色#在当前的用户线下执行切换到用户角色network-admin的命令,按照提示输入RADIUS用户角色切换认证密码123456,若认证成功即可将当前Telnet用户的角色切换到network-admin.
supernetwork-adminUsername:test@bbbPassword:supernetwork-adminUsername:test@bbbPassword:键启动终端会话.
配置中止当前运行任务的快捷键.
escape-key{character|default}缺省情况下,键入中止当前运行的任务.
配置对当前用户线进行锁定并重新认证的快捷键.
lock-keykey-string缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键.
3-73.
4配置通过Telnet登录设备3.
4.
1功能简介设备可以作为Telnet服务器,以便用户能够Telnet登录到设备进行远程管理和监控.
具体配置请参见"3.
4.
3配置设备作为Telnet服务器配置".
设备也可以作为Telnet客户端,Telnet到其他设备,对别的设备进行管理和监控.
具体配置请参见"3.
4.
4配置设备作为Telnet客户端登录其他设备".
3.
4.
2配置限制和指导改变Telnet登录的认证方式后,新认证方式对新登录的用户生效.
3.
4.
3配置设备作为Telnet服务器配置1.
通过Telnet登录设备配置任务简介设备作为Telnet服务器配置任务如下:(1)开启Telnet服务(2)配置设备作为Telnet服务器时的认证方式配置Telnet登录设备时无需认证(none)配置Telnet登录设备时采用密码认证(password)配置Telnet登录设备时采用AAA认证(scheme)(3)(可选)配置Telnet服务器发送报文的公共属性(4)(可选)配置VTY用户线的公共属性2.
开启Telnet服务(1)进入系统视图.
system-view(2)开启设备的Telnet服务.
telnetserverenable缺省情况下,Telnet服务处于关闭状态.
3.
配置Telnet登录设备时无需认证(none)(1)进入系统视图.
system-view(2)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty(3)设置登录用户的认证方式为不认证.
authentication-modenone3-8缺省情况下,Telnet用户的认证方式为password.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(4)配置从当前用户线登录设备的用户角色.
user-rolerole-name缺省情况下,通过Telnet登录设备的用户角色为network-operator.
4.
配置Telnet登录设备时采用密码认证(password)(1)进入系统视图.
system-view(2)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty(3)设置登录用户的认证方式为密码认证.
authentication-modepassword缺省情况下,Telnet用户的认证方式为password.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(4)设置密码认证的密码.
setauthenticationpassword{hash|simple}password缺省情况下,未设置密码认证的密码.
(5)(可选)配置从当前用户线登录设备的用户角色.
user-rolerole-name缺省情况下,通过Telnet登录设备的用户角色为network-operator.
5.
配置Telnet登录设备时采用AAA认证(scheme)(1)进入系统视图.
system-view(2)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty(3)设置登录用户的认证方式为通过AAA认证.
authentication-modescheme缺省情况下,Telent用户的认证方式为password.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
3-9(4)在ISP域视图下为login用户配置认证方法.
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案.
相关配置的详细介绍请参见"用户接入与认证配置指导"中的"AAA".
6.
配置Telnet服务器发送报文的公共属性(1)进入系统视图.
system-view(2)配置Telnet服务器发送报文的DSCP优先级.
(IPv4网络)telnetserverdscpdscp-value(IPv6网络)telnetserveripv6dscpdscp-value缺省情况下,Telnet服务器发送Telnet报文的DSCP优先级为48.
(3)配置Telnet协议的端口号.
(IPv4网络)telnetserverportport-number(IPv6网络)telnetserveripv6portport-number缺省情况下,Telnet协议的端口号为23.
(4)配置Telnet登录同时在线的最大用户连接数.
aaasession-limittelnetmax-sessions缺省情况下,Telnet方式登录同时在线的最大用户连接数为32.
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败.
关于该命令的详细描述,请参见"用户接入与认证命令参考"中的"AAA".

7.
配置VTY用户线的公共属性(1)进入系统视图.
system-view(2)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty(3)设置VTY终端属性.
设置在终端线路上启动终端服务.
shell缺省情况下,所有用户线的终端服务功能处于开启状态.
配置终端的显示类型.
3-10terminaltype{ansi|vt100}缺省情况下,终端显示类型为ANSI.
设置终端屏幕一屏显示的行数.
screen-lengthscreen-length缺省情况下,终端屏幕一屏显示的行数为24行.
取值为0表示关闭分屏显示功能.
设置设备历史命令缓冲区大小.
history-commandmax-sizevalue缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令.
设置VTY用户线的空闲超时时间.
idle-timeoutminutes[seconds]缺省情况下,所有的用户线的超时时间为10分钟.
如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开.
取值为0表示永远不会超时.
(4)配置VTY用户线支持的协议.
protocolinbound{all|ssh|telnet}缺省情况下,设备同时支持Telnet和SSH协议.
该配置将在用户下次使用该用户线登录时生效.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(5)设置从用户线登录后自动执行的命令.
auto-executecommandcommand缺省情况下,未配置自动执行命令.
在配置auto-executecommand命令并退出登录之前,要确保可以通过其他VTY用户登录并更改配置,以便出现问题后,能删除该配置.
配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接.
如果这条命令引发了一个任务,系统会等这个任务执行完毕后再断开连接.
(6)配置快捷键.
配置中止当前运行任务的快捷键.
escape-key{key-string|default}缺省情况下,键入中止当前运行的任务.
配置对当前用户线进行锁定并重新认证的快捷键.
lock-keykey-string缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键.
3-113.
4.
4配置设备作为Telnet客户端登录其他设备1.
功能简介用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图3-2所示.
图3-2通过设备登录到其他设备2.
配置准备先配置设备IP地址并获取Telnet服务器的IP地址.
如果设备与Telnet服务器相连的端口不在同一子网内,请保证两台设备间路由可达.
3.
配置步骤(1)进入系统视图.
system-view(2)(可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口.
telnetclientsource{interfaceinterface-typeinterface-number|ipip-address}缺省情况下,未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址.
(3)退回用户视图.
quit(4)设备作为Telnet客户端登录到Telnet服务器.
(IPv4网络)telnetremote-host[service-port][source{interfaceinterface-typeinterface-number|ipip-address}][dscpdscp-value][escapecharacter](IPv6网络)telnetipv6remote-host[-iinterface-typeinterface-number][port-number][source{interfaceinterface-typeinterface-number|ipv6ipv6-address}][dscpdscp-value][escapecharacter]3.
5配置通过SSH登录设备3.
5.
1功能简介用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(SecureShell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击.
TelnetclientTelnetserverIPnetwork3-12设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控.
具体配置请参见"3.
5.
2配置设备作为SSH服务器".
设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控.
具体配置请参见"3.
5.
3配置设备作为SSH客户端登录其他设备".
3.
5.
2配置设备作为SSH服务器以下配置步骤只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见"安全配置指导"中的"SSH".
(1)进入系统视图.
system-view(2)生成本地密钥对.
public-keylocalcreate{dsa|ecdsasecp256r1|rsa}(3)开启SSH服务器功能.
sshserverenable缺省情况下,SSH服务器功能处于关闭状态.
(4)(可选)建立SSH用户,并指定SSH用户的认证方式.
sshuserusernameservice-typestelnetauthentication-typepassword(5)进入VTY用户线或VTY用户线类视图.
进入VTY用户线视图.
linevtyfirst-number[last-number]进入VTY用户线类视图.
lineclassvty(6)配VTY用户线的认证方式为scheme方式.
authentication-modescheme缺省情况下,VTY用户线的认证方式为password方式.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(7)(可选)配置VTY用户线支持的SSH协议.
protocolinbound{all|ssh|telnet}缺省情况下,设备同时支持Telnet和SSH协议.
本配置将在用户下次使用该用户线登录时生效.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(8)(可选)配置SSH方式登录设备时,同时在线的最大用户连接数.
aaasession-limitsshmax-sessions缺省情况下,SSH方式登录同时在线的最大用户连接数为32.
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败.
关于该命令的详细描述,请参见"用户接入与认证命令参考"中的"AAA".

3-13(9)(可选)退回系统视图并配置VTY用户线的公共属性.
a.
退回系统视图.
quitb.
配置VTY用户线的公共属性.
详细配置请参见"3.
4.
37.
配置VTY用户线的公共属性".
3.
5.
3配置设备作为SSH客户端登录其他设备1.
功能简介用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其他设备上进行操作,如图3-3所示.
图3-3通过设备登录到其他设备2.
配置准备先配置设备IP地址并获取SSH服务器的IP地址.
如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达.
3.
配置步骤请在用户视图下执行本命令,配置设备作为SSH客户端登录到SSH服务器.
(IPv4网络)ssh2server(IPv6网络)ssh2ipv6server为配合SSH服务器,设备作为SSH客户端时还可进一步进行其他配置,具体配置请参见"安全配置指导"中的"SSH".
3.
6通过CLI登录显示和维护表3-2CLI显示和维护操作命令说明显示用户线的相关信息displayline[num1|{console|vty}num2][summary]在任意视图下执行显示设备作为Telnet客户端的相关配置信息displaytelnetclient在任意视图下执行SSHclientSSHserverIPnetwork3-14操作命令说明显示当前正在使用的用户线以及用户的相关信息displayusers在任意视图下执行显示设备支持的所有用户线以及用户的相关信息displayusersall在任意视图下执行释放指定的用户线freeline{num1|{console|vty}num2}在用户视图下执行系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接不能使用该命令释放用户当前自己使用的连接锁定当前用户线并设置解锁密码,防止未授权的用户操作该线lock在用户视图下执行缺省情况下,系统不会自动锁定当前用户线锁定当前用户线并对其进行重新认证lockreauthentication在任意视图下执行缺省情况下,系统不会自动锁定当前用户线并对其进行重新认证请使用设备登录密码解除锁定并重新登录设备向指定的用户线发送消息send{all|num1|{console|vty}num2}在用户视图下执行4-14配置通过Web登录设备4.
1通过Web登录设备简介为了方便用户对网络设备进行配置和维护,设备提供Web功能.
用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备.
设备支持两种Web登录方式:HTTP登录方式:HTTP(HypertextTransferProtocol,超文本传输协议)用来在Internet上传递Web页面信息.
HTTP位于TCP/IP协议栈的应用层,传输层采用面向连接的TCP.
设备同时支持HTTP协议1.
0和1.
1版本.
HTTPS登录方式:HTTPS(HypertextTransferProtocolSecure,超文本传输协议的安全版本)是支持SSL(SecureSocketsLayer,安全套接字层)协议的HTTP协议.
HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理.
4.
2Web登录配置限制和指导如果设备只开启了HTTP服务,为了增强设备的安全性,HTTPS服务的端口号也会被自动打开,且在HTTP服务开启的状态下无法通过undoiphttpsenable命令关闭.
4.
3Web登录配置任务简介Web登录配置任务如下:(1)配置通过Web登录设备请选择其中一项进行配置:配置通过HTTP方式登录设备配置通过HTTPS方式登录设备(2)配置用于Web登录的本地用户(3)管理Web登录用户连接(4)开启Web操作日志输出功能4.
4Web登录配置准备在通过Web登录设备前,需要配置设备的IP地址,确保设备与Web登录用户间路由可达.
4.
5配置通过HTTP方式登录设备(1)(可选)请在用户视图下执行本命令,配置用户访问Web的固定校验码.
webcaptchaverification-code4-2缺省情况下,用户只能使用Web页面显示的校验码访问Web.
(2)进入系统视图.
system-view(3)开启HTTP服务.
iphttpenable缺省情况下,HTTP服务处于关闭状态.
(4)(可选)配置HTTP服务的端口号.
iphttpportport-number缺省情况下,HTTP服务的端口号为80.
(5)(可选)配置HTTP服务在响应OPTIONS请求时返回的方法列表.
httpmethod{delete|get|head|options|post|put}*缺省情况下,未配置任何方法.
4.
6配置通过HTTPS方式登录设备1.
功能简介HTTPS登录方式分为以下两种:简便登录方式:采用这种方式时,设备上只需开启HTTPS服务,用户即可通过HTTPS登录设备.
此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值.
这种方式简化了配置,但是存在安全隐患.
(自签名证书指的是服务器自己生成的证书,无需从CA获取)安全登录方式:采用这种方式时,设备上不仅要开启HTTPS服务,还需要配置SSL服务器端策略、PKI域等.
这种方式配置复杂,但是具有更高的安全性.
SSL的相关描述和配置请参见"安全配置指导"中的"SSL".
PKI的相关描述和配置请参见"安全配置指导"中的"PKI".
2.
配置限制和指导更改HTTPS服务与SSL服务器端的关联策略,需要先关闭HTTP和HTTPS服务,再重新配置HTTPS服务与SSL服务器端策略关联,最后重新开启HTTP服务和HTTPS服务,新的策略即可生效.
如需恢复HTTPS使用自签名证书的情况,必须先关闭HTTP和HTTPS服务,再执行undoiphttpsssl-server-policy,最后重新开启HTTP服务和HTTPS服务即可.
开启HTTPS服务,会触发SSL的握手协商过程.
在SSL握手协商过程中,如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程.
由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务.
此时,需要多次执行iphttpsenable命令,HTTPS服务才能正常启动.
如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verifyenable命令,且证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备.
3.
配置通过HTTPS方式登录设备(1)(可选)请在用户视图下执行本命令,配置用户访问Web的固定校验码.
4-3webcaptchaverification-code缺省情况下,用户只能使用Web页面显示的校验码访问Web.
(2)进入系统视图.
system-view(3)(可选)配置HTTPS服务与其他策略的关联.
配置HTTPS服务与SSL服务器端策略关联.
iphttpsssl-server-policypolicy-name缺省情况下,HTTPS服务未与SSL服务器端策略关联,HTTPS使用自签名证书.
配置HTTPS服务与证书属性访问控制策略关联.
iphttpscertificateaccess-control-policypolicy-name缺省情况下,HTTPS服务未与证书属性访问控制策略关联.
通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制.
证书属性访问控制策略的详细介绍请参见"安全配置指导"中的"PKI".
(4)开启HTTPS服务.
iphttpsenable缺省情况下,HTTPS服务处于关闭状态.
(5)(可选)配置HTTPS服务的端口.
iphttpsportport-number缺省情况下,HTTPS服务的端口号为443.
(6)(可选)配置使用HTTPS登录设备时的认证方式.
webhttps-authorizationmode{auto|manual}缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual.
4.
7配置用于Web登录的本地用户(1)进入系统视图.
system-view(2)创建本地用户用于Web登录,并进入本地用户视图.
local-useruser-name[classmanage](3)(可选)设置本地用户的密码.
password[{hash|simple}password]缺省情况下,不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其他属性验证通过即可认证成功.
(4)配置Web登录用户的属性.
配置Web登录的用户角色.
authorization-attributeuser-roleuser-role缺省情况下,Web登录的用户角色为network-operator.
配置Web登录用户的服务类型.
service-type{http|https}4-4缺省情况下,未配置用户的服务类型.
4.
8管理Web登录用户连接1.
配置Web登录用户连接的超时时间(1)进入系统视图.
system-view(2)配置Web登录用户连接的超时时间.
webidle-timeoutminutes缺省情况下,Web闲置超时时间为10分钟.
2.
配置同时在线的最大Web用户连接数(1)进入系统视图.
system-view(2)配置同时在线的最大Web用户连接数.
aaasession-limit{http|https}max-sessions缺省情况下,同时在线的最大Web用户连接数为32.
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败.
关于该命令的详细描述,请参见"用户接入与认证命令参考"中的"AAA".
3.
强制在线Web用户下线请在用户视图下执行本命令,强制在线Web用户下线.
freewebusers{all|user-iduser-id|user-nameuser-name}4.
9开启Web操作日志输出功能(1)进入系统视图.
system-view(2)开启Web操作日志输出功能.
webuilogenable缺省情况下,Web操作日志输出功能处于关闭状态.
4.
10通过Web登录设备显示和维护在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息、HTTP的状态信息和HTTPS的状态信息,通过查看显示信息验证配置的效果;可以在用户视图下执行freewebusers命令来强制在线Web用户下线.
表4-1Web用户显示操作命令显示HTTP的状态信息displayiphttp4-5操作命令显示HTTPS的状态信息displayiphttps显示Web的页面菜单树displaywebmenu[chinese]显示Web用户的相关信息displaywebusers强制在线Web用户下线freewebusers{all|user-iduser-id|user-nameuser-name}4.
11通过Web登录设备典型配置举例4.
11.
1使用HTTP方式登录设备典型配置举例1.
组网需求Host和设备通过IP网络相连且路由可达.
管理员可以通过Host使用HTTP方式登录设备,以便通过Web页面来配置和管理设备.
2.
组网图图4-1配置HTTP方式登录组网图3.
配置步骤#将AC上与Host相连的接口的IP地址配置为192.
168.
100.
99/24.
(配置步骤略)#配置Web用户名为admin,认证密码为admin,服务类型为http,用户角色为network-admin.
system-view[AC]local-useradmin[AC-luser-manage-admin]service-typehttp[AC-luser-manage-admin]authorization-attributeuser-rolenetwork-admin[AC-luser-manage-admin]passwordsimpleadmin[AC-luser-manage-admin]quit#配置开启HTTP服务.
[AC]iphttpenable4.
验证配置在PC的浏览器地址栏内输入设备的IP地址并回车,浏览器将显示Web登录页面.
在Web登录页面输入用户名及密码,点击按钮后即可登录,显示Web初始页面.
成功登录后,用户可以在配置区对设备进行相关配置.
HostACIPnetworkVlan-int100192.
168.
100.
99/24192.
168.
101.
99/244-64.
11.
2使用HTTPS方式登录设备典型配置举例1.
组网需求用户可以通过Web页面访问和控制设备.
为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改.
为了满足上述需求,需要进行如下配置:配置AC作为HTTPS服务器,并为AC申请证书.
为HTTPS客户端Host申请证书,以便AC验证其身份.
其中,负责为AC和Host颁发证书的CA(CertificateAuthority,证书颁发机构)名称为new-ca.
本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
进行下面的配置之前,需要确保AC、Host、CA之间路由可达.
2.
组网图图4-2HTTPS配置组网图3.
配置步骤(1)配置HTTPS服务器AC#配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.
security.
com.
system-view[AC]pkientityen[AC-pki-entity-en]common-namehttp-server1[AC-pki-entity-en]fqdnssl.
security.
com[AC-pki-entity-en]quit#配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.
1.
2.
2/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[AC]pkidomain1[AC-pki-domain-1]caidentifiernew-ca[AC-pki-domain-1]certificaterequesturlhttp://10.
1.
2.
2/certsrv/mscep/mscep.
dll[AC-pki-domain-1]certificaterequestfromra10.
1.
1.
1/2410.
1.
2.
1/24HostCA10.
1.
1.
2/2410.
1.
2.
2/24AC4-7[AC-pki-domain-1]certificaterequestentityen#指定证书申请使用的RSA密钥对名称为"hostkey",用途为"通用",密钥对长度为1024比特.
[AC-pki-domain-1]public-keyrsageneralnamehostkeylength1024[AC-pki-domain-1]quit#生成本地的RSA密钥对.
[AC]public-keylocalcreatersa#获取CA的证书.
[AC]pkiretrieve-certificatedomain1ca#为AC申请证书.
[AC]pkirequest-certificatedomain1#创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份.
[AC]sslserver-policymyssl[AC-ssl-server-policy-myssl]pki-domain1[AC-ssl-server-policy-myssl]client-verifyenable[AC-ssl-server-policy-myssl]quit#创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(DistinguishedName,识别名)中包含new-ca.
[AC]pkicertificateattribute-groupmygroup1[AC-pki-cert-attribute-group-mygroup1]attribute1issuer-namednctnnew-ca[AC-pki-cert-attribute-group-mygroup1]quit#创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测.
[AC]pkicertificateaccess-control-policymyacp[AC-pki-cert-acp-myacp]rule1permitmygroup1[AC-pki-cert-acp-myacp]quit#配置HTTPS服务与SSL服务器端策略myssl关联.
[AC]iphttpsssl-server-policymyssl#配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器.
[AC]iphttpscertificateaccess-control-policymyacp#使能HTTPS服务.
[AC]iphttpsenable#创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin.
[AC]local-userusera[AC-luser-usera]passwordsimple123[AC-luser-usera]service-typehttps[AC-luser-usera]authorization-attributeuser-rolenetwork-admin(2)配置HTTPS客户端Host在Host上打开IE浏览器,输入网址http://10.
1.
2.
2/certsrv,根据提示为Host申请证书.
4-84.
验证配置在Host上打开IE浏览器,输入网址https://10.
1.
1.
1,选择new-ca为Host颁发的证书,即可打开AC的Web登录页面.
在登录页面,输入用户名usera,密码123,则可进入AC的Web配置页面,实现对AC的访问和控制.
HTTPS服务器的URL地址以"https://"开始,HTTP服务器的URL地址以"http://"开始.
PKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";public-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";SSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
5-15配置通过SNMP登录设备使用SNMP协议,用户可通过NMS(NetworkManagementSystem,网络管理系统)登录到设备上,通过Set和Get等操作对设备进行管理、配置,如图5-1所示.
图5-1通过SNMP登录设备组网图通过SNMP登录设备的详细介绍,请参见"网络管理和监控配置指导"中的"SNMP".
AgentNMSMIBGet/SetrequestsGet/SetresponsesandTraps6-16配置通过RESTful登录设备6.
1通过RESTful登录设备简介为了方便用户对网络设备进行配置和维护,设备提供了RESTfulAPI(RepresentationalStateTransferApplicationProgrammingInterface).
用户遵循API参数和返回值约定,使用python、ruby或java等语言进行编程,发送HTTP或HTTPS报文到设备进行认证,认证成功后,可以通过在HTTP或HTTPS报文中指定RESTfulAPI操作来配置和维护设备,这些操作包括Get、Put、Post、Delete等等.
设备支持HTTP和HTTPS两种方式在Internet上传递RESTful请求信息.
6.
2配置通过基于HTTP的RESTful方式登录设备(1)进入系统视图.
system-view(2)开启基于HTTP的RESTful功能.
restfulhttpenable缺省情况下,基于HTTP的RESTful功能处于关闭状态.
(3)创建本地用户用于RESTful登录,并进入本地用户视图.
local-useruser-name[classmanage](4)设置本地用户的密码.
password[{hash|simple}password](5)(可选)配置RESTful用户的角色.
authorization-attributeuser-roleuser-role缺省情况下,RESTful用户的角色为network-operator.
(6)配置RESTful用户的服务类型为HTTP.
service-typehttp缺省情况下,未配置用户的服务类型.
6.
3配置通过基于HTTPS的RESTful方式登录设备(1)进入系统视图.
system-view(2)开启基于HTTPS的RESTful功能.
restfulhttpsenable缺省情况下,基于HTTPS的RESTful功能处于关闭状态.
(3)创建本地用户用于RESTful登录,并进入本地用户视图.
local-useruser-name[classmanage]6-2(4)设置本地用户的密码.
password[{hash|simple}password](5)(可选)配置RESTful用户的角色.
authorization-attributeuser-roleuser-role缺省情况下,RESTful用户的角色为network-operator.
(6)配置RESTful用户的服务类型为HTTPS.
service-typehttps缺省情况下,未配置用户的服务类型.
7-17对登录用户的控制7.
1登录用户控制简介通过引用ACL(AccessControlList,访问控制列表),可以对访问设备的登录用户进行控制:当未引用ACL时,允许所有登录用户访问设备;当引用的ACL不存在、或者引用的ACL为空时,禁止所有登录用户访问设备;对于Web用户,当引用的ACL不存在、或者引用的ACL为空时,是允许所有Web用户访问设备的.
当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其他用户不允许访问设备,以免非法用户访问设备.
关于ACL的详细描述和介绍请参见"安全配置指导"中的"ACL".
用户登录后,可以通过AAA功能来对用户使用的命令行进行授权和计费.
7.
2配置对Telnet/SSH用户的控制7.
2.
1配置对Telnet用户的控制(1)进入系统视图.
system-view(2)配置对Telnet用户的访问控制.
(IPv4网络)telnetserveracl[mac]acl-number(IPv6网络)telnetserveripv6acl{ipv6|mac}acl-number缺省情况下,未对Telnet用户进行ACL限制.
(3)(可选)开启匹配ACLdeny规则后打印日志信息功能.
telnetserveracl-deny-logenable缺省情况下,匹配ACLdeny规则后打印日志信息功能处于关闭状态.
7.
2.
2配置对SSH用户的控制(1)进入系统视图.
system-view(2)配置对SSH用户的访问控制.
(IPv4网络)7-2sshserveracl{advanced-acl-number|basic-acl-number|macmac-acl-number}(IPv6网络)sshserveripv6acl{ipv6{advanced-acl-number|basic-acl-number}|macmac-acl-number}缺省情况下,未SSH用户进行ACL限制.
(3)(可选)开启匹配ACLdeny规则后打印日志信息功能.
sshserveracl-deny-logenable关于sshserveracl、sshserveripv6acl和sshserveracl-deny-logenable命令的详细介绍请参见"安全命令参考"中的"SSH".
7.
2.
3对Telnet用户的控制典型配置举例1.
组网需求通过源IP对Telnet进行控制,仅允许源IP地址为10.
110.
100.
52的Telnet用户访问设备.
2.
组网图图7-1使用ACL对Telnet用户进行控制3.
配置步骤#定义ACL.
system-view[AC]aclbasic2000match-orderconfig[AC-acl-ipv4-basic-2000]rule1permitsource10.
110.
100.
520[AC-acl-ipv4-basic-2000]quit#开启Telnet服务并引用ACL,允许源IP地址为10.
110.
100.
52的Telnet用户访问设备.
[AC]telnetserverenable[AC]telnetserveracl20004.
验证配置#在HostB(源IP地址为10.
110.
100.
52的Telnet用户)上可以通过Telnet方式登录到设备.
C:>telnet10.
110.
110.
66Trying10.
110.
110.
66.
.
.
HostB10.
110.
100.
52ACIPnetworkHostA10.
110.
100.
467-3PressCTRL+KtoabortConnectedto10.
110.
110.
66.
.
.
*Copyright(c)2004-2019NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*#在HostA上(源IP地址不为10.
110.
100.
52的Telnet用户)不可以通过Telnet方式登录到设备.
C:\>telnet10.
110.
110.
66Trying10.
110.
110.
66.
.
.
PressCTRL+KtoabortConnectedto10.
110.
110.
66.
.
.
Failedtoconnecttotheremotehost!
7.
3配置对Web用户的控制7.
3.
1配置通过源IP对Web用户进行控制(1)进入系统视图.
system-view(2)引用访问控制列表对Web用户进行控制.
请选择其中一项进行配置.
对HTTP登录用户进行控制:iphttpacl[advanced|mac]{acl-number|nameacl-name}对HTTPS登录用户进行控制:iphttpsacl[advanced|mac]{acl-number|nameacl-name}缺省情况下,Web用户没有引用访问控制列表.
7.
3.
2对Web用户的控制典型配置举例1.
组网需求通过源IP对Web用户进行控制,仅允许来自10.
110.
100.
52的Web用户访问设备.
7-42.
组网图图7-2对AC的HTTP用户进行ACL控制3.
配置步骤#定义基本访问控制列表.
system-view[AC]aclbasic2030match-orderconfig[AC-acl-ipv4-basic-2030]rule1permitsource10.
110.
100.
520[AC-acl-ipv4-basic-2030]quit#开启HTTP服务并引用访问控制列表,仅允许来自10.
110.
100.
52的Web用户访问设备.
[AC]iphttpenable[AC]iphttpacl20304.
验证配置在HostB上打开浏览器,输入http://10.
110.
110.
66,按下回车,打开Web用户登录界面,输入用户名和密码后,按下按钮,进入设备配置管理Web界面.
在HostA上打开浏览器,输入http://10.
110.
110.
66,按下回车,打开Web用户登录界面,输入用户名和密码后,按下按钮,无法进入设备配置管理Web界面.
7.
4配置对NMS的控制7.
4.
1功能简介对NMS的访问进行控制的详细介绍请参见"网络管理和监控配置指导"中的"SNMP".

7.
4.
2对NMS的控制典型配置举例1.
组网需求通过源IP对NMS进行控制,仅允许来自10.
110.
100.
52和10.
110.
100.
46的NMS访问设备.
HostB10.
110.
100.
52ACIPnetworkHostA10.
110.
100.
467-52.
组网图图7-3使用ACL对NMS进行控制3.
配置步骤#定义基本ACL.
system-view[AC]aclbasic2000match-orderconfig[AC-acl-ipv4-basic-2000]rule1permitsource10.
110.
100.
520[AC-acl-ipv4-basic-2000]rule2permitsource10.
110.
100.
460[AC-acl-ipv4-basic-2000]quit#开启SNMPAgent功能,创建SNMP用户usera并引用ACL,仅允许源IP地址为10.
110.
100.
52或10.
110.
100.
46的NMS访问设备.
[AC]snmp-agent[AC]snmp-agentcommunityreadaaaacl2000[AC]snmp-agentgroupv2cgroupaacl2000[AC]snmp-agentusm-userv2cuseragroupaacl20004.
验证配置在源IP地址为10.
110.
100.
52或10.
110.
100.
46的NMS上,可以访问设备;在源IP地址不为10.
110.
100.
52或10.
110.
100.
46的NMS上,无法访问设备.
7.
5配置命令行授权功能7.
5.
1功能简介缺省情况下,用户登录设备后可以使用的命令行由用户拥有的用户角色决定.
当用户线采用AAA认证方式并配置命令行授权功能后,用户可使用的命令行将受到用户角色和AAA授权的双重限制.
用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.

7.
5.
2配置限制和指导要使配置的命令行授权功能生效,还需要在ISP域视图下配置命令行授权方法.
命令行授权方法可以和login用户的授权方法相同,也可以不同.
相关详细介绍请参见"用户接入与认证配置指导"中的"AAA".
HostB10.
110.
100.
52ACIPnetworkHostA10.
110.
100.
467-67.
5.
3配置步骤(1)进入系统视图.
system-view(2)进入用户线/用户线类视图.
请选择其中一项进行配置.
进入用户线视图.
line{first-number1[last-number1]|{console|vty}first-number2[last-number2]}进入用户线类视图.
lineclass{console|vty}用户线视图下的配置优先于用户线类视图下的配置.
用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
用户线类视图下的配置修改会在用户下次登录后生效.

(3)设置登录用户的认证方式为通过AAA认证.
authentication-modescheme缺省情况下,用户通过Console口登录,认证方式为none;用户通过VTY用户线登录,认证方式为password.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(4)开启命令行授权功能.
commandauthorization缺省情况下,命令行授权功能处于关闭状态,即用户登录后执行命令行不需要授权.

如果用户类视图下开启了命令行授权功能,则该类型用户线视图都开启命令行授权功能,并且在该类型用户线视图下将无法关闭命令行授权功能.
7.
5.
4命令行授权典型配置举例1.
组网需求为了保证AC的安全,需要对登录用户执行命令的权限进行限制:用户HostA登录AC后,输入的命令必须先获得HWTACACS服务器的授权,才能执行.
否则,不能执行该命令.
如果HWTACACS服务器故障导致授权失败,则采用本地授权.
7-72.
组网图图7-4命令行授权配置组网图3.
配置步骤#在AC上配置IP地址,以保证AC和HostA、AC和HWTACACSserver之间互相路由可达.
(配置步骤略)#开启设备的Telnet服务器功能,以便用户访问.
system-view[AC]telnetserverenable#配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定.
[AC]linevty04[AC-line-vty0-4]authentication-modescheme#使能命令行授权功能,限制用户只能使用授权成功的命令.
[AC-line-vty0-4]commandauthorization[AC-line-vty0-4]quit#配置HWTACACS方案:授权服务器的IP地址、TCP端口号分别为192.
168.
2.
20和49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[AC]hwtacacsschemetac[AC-hwtacacs-tac]primaryauthentication192.
168.
2.
2049[AC-hwtacacs-tac]primaryauthorization192.
168.
2.
2049[AC-hwtacacs-tac]keyauthenticationsimpleexpert[AC-hwtacacs-tac]keyauthorizationsimpleexpert[AC-hwtacacs-tac]user-name-formatwithout-domain[AC-hwtacacs-tac]quit#配置缺省域的命令行授权AAA方案,使用taclocal方案,即优先使用HWTACACS方案,HWTACACS方案认证失败转为本地认证.
[AC]domainsystem[AC-isp-system]authenticationloginhwtacacs-schemetaclocal[AC-isp-system]authorizationcommandhwtacacs-schemetaclocal[AC-isp-system]quit#配置本地认证所需参数:创建本地用户monitor,密码为明文的123,可使用的服务类型为telnet,用户角色为level-1.
[AC]local-usermonitor[AC-luser-manage-monitor]passwordsimple123IPnetworkHostAHWTACACSserver192.
168.
2.
20/24AC7-8[AC-luser-manage-monitor]service-typetelnet[AC-luser-manage-monitor]authorization-attributeuser-rolelevel-14.
验证配置#在HostA上通过Telnet方式登录到AC(IP地址为10.
110.
100.
77),登录成功后,执行iphttpenable命令,由于授权失败,提示拒绝访问.
C:\>telnet10.
110.
100.
77Trying10.
110.
100.
77.
.
.
PressCTRL+KtoabortConnectedto10.
110.
100.
77.
.
.
*Copyright(c)2004-2019NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*login:monitorPassword:system-viewSystemView:returntoUserViewwithCtrl+Z.
[AC]iphttpenablePermissiondenied.
[AC]#在HostA上通过Telnet方式登录到AC(IP地址为10.
110.
100.
77),登录成功后,执行interface命令,由于授权成功,命令行执行成功.
[AC]interfacegigabitethernet1/0/1[AC-GigabitEthernet1/0/1]7.
6配置命令行计费功能7.
6.
1功能简介当用户线采用AAA认证方式并配置命令行计费功能后,系统会将用户执行过的命令记录到HWTACACS服务器上,以便集中监视用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,则用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
7.
6.
2配置限制和指导要使配置的命令行计费功能生效,还需要在ISP域视图下配置命令行计费方法.
命令行计费方法、命令行授权方法、login用户的授权方法可以相同,也可以不同.
相关详细介绍请参见"用户接入与认证配置指导"中的"AAA".
7.
6.
3配置步骤(1)进入系统视图.
7-9system-view(2)进入用户线/用户线类视图.
请选择其中一项进行配置.
进入用户线视图.
line{first-number1[last-number1]|{console|vty}first-number2[last-number2]}进入用户线类视图.
lineclass{console|vty}用户线视图下的配置优先于用户线类视图下的配置.
用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
用户线类视图下的配置修改将在用户下次登录后生效.

(3)设置登录用户的认证方式为通过AAA认证.
authentication-modescheme缺省情况下,用户通过Console口登录,认证方式为none;用户通过VTY用户线登录,认证方式为password.
用户线视图下,authentication-mode和protocolinbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值.
(4)开启命令行计费功能.
commandaccounting缺省情况下,命令行计费功能处于关闭状态.
如果用户类视图下开启了命令行计费功能,则该类型用户线视图都开启命令行计费功能,并且在该类型用户线视图下将无法关闭命令行计费功能.
7.
6.
4命令行计费典型配置举例1.
组网需求为便于集中控制、监控用户对设备的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录.
7-102.
组网图图7-5命令行计费配置组网图3.
配置步骤#开启AC的Telnet服务器功能,以便用户访问.
system-view[AC]telnetserverenable#配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录.
[AC]lineconsole0[AC-line-console0]commandaccounting[AC-line-console0]quit#配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录.
[AC]linevty04[AC-line-vty0-4]commandaccounting[AC-line-vty0-4]quit#配置HWTACACS方案:计费服务器的IP地址、TCP端口号分别为192.
168.
2.
20和49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[AC]hwtacacsschemetac[AC-hwtacacs-tac]primaryaccounting192.
168.
2.
2049[AC-hwtacacs-tac]keyaccountingsimpleexpert[AC-hwtacacs-tac]user-name-formatwithout-domain[AC-hwtacacs-tac]quit#配置缺省域的命令行计费AAA方案,使用HWTACACS方案.
[AC]domainsystem[AC-isp-system]accountingcommandhwtacacs-schemetac[AC-isp-system]quitInternetConsoleConnectionIntranetHostB192.
168.
1.
20/24HostAHostC10.
10.
10.
10/24ACHWTACACSserver192.
168.
2.
20/247-114.
验证配置分别在HostA、HostB、HostC上使用Telnet方式或者SSH方式登录到设备上,进行VLAN以及接口下的相关配置,设备向计费服务器发送了计费报文,计费服务器收到报文后,根据用户对计费服务器的配置,对计费报文进行相应处理.
i目录1FTP1-11.
1FTP简介1-11.
1.
1FTP文件传输模式1-11.
1.
2FTP工作方式·1-11.
2命令行支持情况·1-11.
3配置FTP服务器·1-11.
3.
1FTP服务器配置任务简介1-11.
3.
2启动FTP服务器功能·1-21.
3.
3配置FTP服务器的认证和授权1-21.
3.
4配置FTP服务器访问限制·1-21.
3.
5配置FTP服务器连接管理参数1-31.
3.
6配置FTP服务器引用SSL1-31.
3.
7配置FTP服务器发送报文的DSCP优先级1-41.
3.
8释放已建立的FTP连接1-41.
3.
9FTP服务器显示和维护1-41.
4配置FTP客户端·1-41.
4.
1FTP客户端配置任务简介1-41.
4.
2建立FTP连接·1-51.
4.
3显示帮助信息·1-61.
4.
4查看FTP服务器上的目录/文件1-61.
4.
5操作FTP服务器上的目录·1-61.
4.
6操作FTP客户端本地的工作目录·1-71.
4.
7操作FTP服务器上的文件·1-71.
4.
8更改登录用户·1-81.
4.
9FTP连接的维护与调试1-81.
4.
10断开FTP连接·1-91.
4.
11FTP客户端显示和维护1-91.
4.
12FTP客户端典型配置举例(独立运行模式)1-91.
4.
13FTP客户端典型配置举例(IRF模式)1-112TFTP·2-12.
1TFTP简介2-12.
2TFTP配置限制和指导2-1ii2.
3配置IPv4TFTP客户端2-12.
4配置IPv6TFTP客户端2-11-11FTP1.
1FTP简介FTP(FileTransferProtocol,文件传输协议)用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议.
FTP协议使用TCP端口20和21进行传输.
端口20用于传输数据,端口21用于传输控制消息.
设备既可以作为FTP服务器,也可以作为FTP客户端.
1.
1.
1FTP文件传输模式FTP有两种文件传输模式:二进制模式,用于传输非文本文件(比如后缀名为.
app、.
bin和.
btm的文件);ASCII码模式,用于传输文本格式的文件(比如后缀名为.
txt、.
bat和.
cfg的文件).
当设备作为FTP客户端时,用户可通过命令行指定使用的传输模式,缺省为二进制模式;当设备作为FTP服务器时,使用的传输模式由FTP客户端决定.
1.
1.
2FTP工作方式FTP有两种工作方式:主动方式(PORT):建立数据连接时由FTP服务器发起连接请求,当FTP客户端处于防火墙后时不适用(如FTP客户端处于私网内).
被动方式(PASV):建立数据连接时由FTP客户端发起连接请求,当FTP服务器限制客户端连接其高位端口(一般情况下大于1024)时不适用.
是否使用被动方式由FTP客户端程序决定,不同FTP客户端软件对FTP工作方式的支持情况可能不同,请在使用时以软件的实际情况为准.
1.
2命令行支持情况由于WX2500H-WiNet系列、WAC系列和WX2500H-LI系列不支持IRF功能,因此不支持IRF模式的命令行配置.
1.
3配置FTP服务器1.
3.
1FTP服务器配置任务简介FTP服务器配置任务如下:(1)启动FTP服务器功能(2)配置FTP服务器的认证和授权(3)(可选)配置FTP服务器访问限制(4)(可选)配置FTP服务器连接管理参数1-2(5)(可选)配置FTP服务器引用SSL(6)(可选)配置FTP服务器发送报文的DSCP优先级(7)(可选)释放已建立的FTP连接1.
3.
2启动FTP服务器功能(1)进入系统视图.
system-view(2)启动FTP服务器功能.
ftpserverenable缺省情况下,FTP服务器功能处于关闭状态.
1.
3.
3配置FTP服务器的认证和授权只有认证通过并授权成功的用户,才能通过FTP访问设备上的指定路径.
设备对FTP客户端的认证,有以下两种方式:本地认证:设备作为认证服务器,在本设备上验证FTP客户端的用户名和密码是否合法.
远程认证:远程认证是指设备将用户输入的用户名/密码发送给远端的认证服务器,由认证服务器来验证用户名/密码是否匹配.
设备对FTP客户端的授权,有以下两种方式:本地授权:设备给FTP客户端授权,指定FTP客户端可以使用设备上的某个路径.
远程授权:远程服务器给FTP客户端授权,指定FTP客户端可以使用设备上的某个路径.
关于认证和授权的详细配置请参见"用户接入与认证配置指导"中的"AAA".
1.
3.
4配置FTP服务器访问限制1.
功能简介通过将FTP服务与ACL关联,可以过滤掉来自某些FTP客户端的FTP请求报文,只允许符合ACL过滤规则的FTP客户端访问设备.
2.
配置限制和指导配置ACL限制FTP客户端时:当未引用ACL时,允许所有FTP客户端访问设备;当引用的ACL不存在或者为空时,禁止所有FTP客户端访问设备;当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,禁止其他用户访问设备,以避免非法用户访问设备;如果多次使用该命令配置FTP服务与ACL关联,最新配置生效.
关于ACL的详细描述和介绍请参见"安全配置指导"中的"ACL".
该配置只过滤新建立的FTP连接,不会对已建立的FTP连接和操作造成影响.
3.
配置步骤(1)进入系统视图.
1-3system-view(2)(可选)设置FTP客户端对FTP服务器的访问限制.
(IPv4网络)ftpserveracl{advanced-acl-number|basic-acl-number|macmac-acl-number}(IPv6网络)ftpserveraclipv6{advanced-acl-number|basic-acl-number|macmac-acl-number}缺省情况下,FTP客户端对FTP服务器的访问不受限制.
(3)(可选)开启匹配ACLdeny规则后打印日志信息功能.
ftpserveracl-deny-logenable缺省情况下,匹配ACLdeny规则后打印日志信息功能处于关闭状态.
1.
3.
5配置FTP服务器连接管理参数(1)进入系统视图.
system-view(2)配置FTP服务器的连接空闲时间.
ftptimeoutminutes缺省情况下,连接空闲时间为30分钟.
如果在设置的连接空闲时间到期时,FTP服务器和客户端一直没有信息交互,则断开它们之间的连接.
(3)配置使用FTP方式同时登录设备的在线的最大用户连接数.
aaasession-limitftpmax-sessions缺省的最大用户连接数为32.
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败.
关于该命令的详细描述请参见"用户接入与认证命令参考"中的"AAA".
1.
3.
6配置FTP服务器引用SSL1.
功能简介当支持FTP安全扩展协议的两台设备建立FTP连接时,通过将FTP服务与SSL服务器端策略关联,可以建立一条安全的SSL连接来传输数据,保证FTP传输的安全性.
2.
配置步骤(1)进入系统视图.
system-view(2)配置FTP服务器引用SSL.
ftpserverssl-server-policypolicy-name缺省情况下,FTP服务器未引用SSL服务器端策略.
1-41.
3.
7配置FTP服务器发送报文的DSCP优先级(1)进入系统视图.
system-view(2)配置FTP服务器发送的FTP报文的DSCP优先级.
(IPv4网络)ftpserverdscpdscp-value(IPv6网络)ftpserveripv6dscpdscp-value缺省情况下,FTP服务器发送的FTP报文的DSCP优先级为0.
1.
3.
8释放已建立的FTP连接请在用户视图下执行本命令,释放已建立的FTP连接.
请选择其中一项进行配置.
强制释放与指定用户之间的FTP连接.
freeftpuserusername强制释放与指定IP地址的主机之间的FTP连接.
freeftpuser-ip[ipv6]ip-address[portport]1.
3.
9FTP服务器显示和维护完成上述配置后,在任意视图下执行display命令可以显示FTP服务器的配置和运行情况,通过查看显示信息验证配置的效果.
表1-1FTP服务器显示和维护操作命令查看当前FTP服务器的配置和运行情况displayftp-server查看当前FTP登录用户的详细情况displayftp-user1.
4配置FTP客户端1.
4.
1FTP客户端配置任务简介FTP客户端配置任务如下:(1)建立FTP连接(2)(可选)显示帮助信息(3)(可选)查看FTP服务器上的目录/文件(4)(可选)操作FTP服务器上的目录(5)(可选)操作FTP服务器上的文件(6)(可选)更改登录用户(7)(可选)FTP连接的维护与调试1-5(8)(可选)断开FTP连接1.
4.
2建立FTP连接1.
建立FTP连接配置任务简介建立FTP连接配置任务如下:(1)(可选)配置FTP客户端发送的FTP报文的源地址(2)登录FTP服务器(3)配置FTP文件传输方式2.
配置限制和指导使用ftpclientsource命令指定了源地址后,又在ftp命令中指定了源地址,则采用ftp命令中指定的源地址进行通信.
使用ftpclientipv6source命令指定了源地址后,又在ftpipv6命令中指定了源地址,则采用ftpipv6命令中指定的源地址进行通信.
3.
配置FTP客户端发送的FTP报文的源地址(1)进入系统视图.
system-view(2)配置FTP客户端发送的FTP报文的源地址.
(IPv4网络)ftpclientsource{interfaceinterface-typeinterface-number|ipsource-ip-address}缺省情况下,未配置源地址,使用路由出接口的主IP地址作为设备发送FTP报文的源IP地址.
(IPv6网络)ftpclientipv6source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}缺省情况下,未配置源地址,设备自动选择IPv6FTP报文的源IPv6地址,具体选择原则请参见RFC3484.
4.
登录FTP服务器从用户视图登录FTP服务器.
(IPv4网络)ftp[ftp-server[service-port][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipsource-ip-address}]]*(IPv6网络)ftpipv6[ftp-server[service-port][dscpdscp-value|source{ipv6source-ipv6-address|interfaceinterface-typeinterface-number}]*[-iinterface-typeinterface-number]]从FTP客户端视图登录FTP服务器.
a.
请在用户视图下执行本命令,进入FTP客户端视图.
1-6ftp[ipv6]b.
登录FTP服务器.
openserver-address[service-port]5.
配置FTP文件传输方式(1)请登录FTP服务器,并进入FTP客户端视图.
有关登录FTP服务器的详细介绍请参见"1.
4.
24.
登录FTP服务器".
(2)设置FTP文件传输的模式.
配置FTP文件传输的模式为ASCII模式.
ascii配置FTP文件传输的模式为二进制模式.
binary缺省情况下,文件传输模式为二进制模式.
(3)切换数据的传输方式.
passive缺省情况下,数据传输的方式为被动方式.
1.
4.
3显示帮助信息(1)请登录FTP服务器,并进入FTP客户端视图.
有关登录FTP服务器的详细介绍请参见"1.
4.
24.
登录FTP服务器".
(2)显示命令或命令的帮助信息.
方式一help[command-name]方式二[command-name]1.
4.
4查看FTP服务器上的目录/文件(1)请登录FTP服务器,并进入FTP客户端视图.
有关登录FTP服务器的详细介绍请参见"1.
4.
24.
登录FTP服务器".
(2)查看FTP服务器上的目录/文件.
方式一dir[remotefile[localfile]]方式二ls[remotefile[localfile]]1.
4.
5操作FTP服务器上的目录1.
配置准备使用dir或者ls命令查看FTP服务器上的目录/文件的详细信息.
1-72.
配置步骤(1)请登录FTP服务器,并进入FTP客户端视图.
有关登录FTP服务器的详细介绍请参见"1.
4.
24.
登录FTP服务器".
(2)操作FTP服务器上的目录显示当前用户正在访问的FTP服务器上的路径.
pwd切换FTP服务器上的工作路径.
cd{directory退出FTP服务器的当前目录,返回FTP服务器的上一级目录.
cdup在FTP服务器上创建目录.
mkdirdirectory删除FTP服务器上指定的目录.
rmdirdirectory1.
4.
6操作FTP客户端本地的工作目录(1)请登录FTP服务器,并进入FTP客户端视图.
有关登录FTP服务器的详细介绍请参见"1.
4.
24.
登录FTP服务器".
(2)显示或切换FTP客户端本地的工作路径.
lcd[directory|/]上传的文件为该路径下的文件时,缺省情况下文件下载后也将保存到该路径.

1.
4.
7操作FTP服务器上的文件1.
配置准备使用dir或者ls命令了解FTP服务器上的目录结构以及文件所处的位置.
2.
配置步骤(1)请登录FTP服务器,并进入FTP客户端视图.
有关登录FTP服务器的详细介绍请参见"1.
4.
24.
登录FTP服务器".
(2)操作FTP服务器上的文件删除FTP服务器上的文件.
deleteremotefile用户必须具有删除的权限才能执行该操作.
重命名文件.
rename[oldfilename[newfilename]]上传本地文件到FTP服务器.
putlocalfile[remotefile]下载FTP服务器上的文件.
getremotefile[localfile]1-8在原文件的内容后面添加新文件的内容.
appendlocalfile[remotefile]指定重传点.
restartmarker配合put、get、append等命令使用.
更新本地文件.
newerremotefile从本地文件的尾部开始获取文件的剩余内容.
regetremotefile[localfile]1.
4.
8更改登录用户1.
功能简介当设备作为FTP客户端,与FTP服务器连接建立成功后,可以通过该功能实现不同权限用户之间的切换.
用户成功切换后,不会影响当前的FTP连接(即FTP控制连接、数据连接以及连接状态都不变).
2.
配置限制和指导如果在用户切换时,输入的用户名/密码错误,则会断开当前连接,用户必须重新登录才能继续访问FTP服务器.
3.
配置步骤(1)请登录FTP服务器,并进入FTP客户端视图.
有关登录FTP服务器的详细介绍请参见"1.
4.
24.
登录FTP服务器".
(2)在现有FTP连接上重新发起FTP认证.
userusername[password]1.
4.
9FTP连接的维护与调试1.
功能简介当设备作为FTP客户端,与FTP服务器连接建立成功后,通过以下命令,可以帮助用户定位和诊断FTP连接出现的问题.
2.
配置步骤(1)请登录FTP服务器,并进入FTP客户端视图.
有关登录FTP服务器的详细介绍请参见"1.
4.
24.
登录FTP服务器".
(2)维护与调试FTP连接显示FTP服务器支持的FTP相关协议命令字.
rhelp显示FTP服务器支持的FTP相关协议命令字的帮助信息.
rhelpprotocol-command显示FTP服务器的状态.
rstatus1-9显示FTP服务器上指定目录或文件的详细信息.
rstatusremotefile显示当前FTP连接的状态.
status显示FTP服务器的系统信息.
system切换FTP功能的协议信息开关.
verbose缺省情况下,FTP协议信息开关处于开启状态.
打开FTP调试信息开关.
debug缺省情况下,FTP客户端调试信息开关处于关闭状态.
清除缓存的命令应答.
reset1.
4.
10断开FTP连接(1)请登录FTP服务器,并进入FTP客户端视图.
有关登录FTP服务器的详细介绍请参见"1.
4.
24.
登录FTP服务器".
(2)断开与FTP服务器的连接.
请选择其中一项进行配置.
断开与FTP服务器的连接,并留在FTP客户端视图.
请选择其中一项进行配置.
disconnectclose断开与FTP服务器的连接,并退回到用户视图.
请选择其中一项进行配置.
byequit1.
4.
11FTP客户端显示和维护在完成上述配置后,可在任意视图下执行display命令,通过查看显示信息验证配置的效果.
表1-2FTP客户端显示和维护操作命令显示设备作为FTP客户端时的源地址配置displayftpclientsource1.
4.
12FTP客户端典型配置举例(独立运行模式)1.
组网需求AC作为FTP客户端从FTP服务器上下载文件temp.
bin,并将启动配置文件上传到FTP服务器进行备份.
1-10设置AC登录FTP服务器的用户名为abc,密码为123456.
2.
组网图图1-1FTP客户端典型配置组网图3.
配置步骤如果设备剩余的内存空间不够,请使用delete/unreservedfile-url命令删除部分暂时不用的文件后再执行以下操作.
配置前请确保AC和FTP服务器之间路由可达,IP地址如图1-1所示,具体配置步骤略.
#以用户名abc、密码123456登录FTP服务器.
ftp10.
1.
1.
1PressCTRL+Ctoabort.
Connectedto10.
1.
1.
1(10.
1.
1.
1).
220WFTPD2.
0service(byTexasImperialSoftware)readyfornewuserUser(10.
1.
1.
1:(none)):abc331Givemeyourpassword,pleasePassword:230LoggedinsuccessfullyRemotesystemtypeisMSDOS.
ftp>#将传输模式设置为binary,以便传输文件.
ftp>binary200TYPEisnow8-bitbinary#将文件temp.
bin从FTP服务器下载到AC.
ftp>gettemp.
binlocal:temp.
binremote:temp.
bin150Connectingtoport47457226Filesuccessfullytransferred23951480bytesreceivedin95.
399seconds(251.
0kbyte/s)#将AC的配置文件startup.
cfg上传到FTP服务器进行备份.
ftp>ascii200TYPEisnowASCIIftp>putstartup.
cfgback-startup.
cfglocal:startup.
cfgremote:back-startup.
cfg150Connectingtoport47461226FilesuccessfullytransferredInternetAC10.
1.
1.
1/16FTPserverFTPclient10.
2.
1.
1/161-113494bytessentin5.
646seconds(618.
00kbyte/s)ftp>bye221-Goodbye.
Youuploaded2anddownloaded2kbytes.
221Logout.
1.
4.
13FTP客户端典型配置举例(IRF模式)1.
组网需求主设备和从设备两台成员设备组成IRF.
主设备的成员编号为1,从设备的成员编号为2.
IRF作为FTP客户端从FTP服务器上下载新的文件temp.
bin,并将配置文件上传到FTP服务器进行备份.
设置设备登录FTP服务器的用户名为abc,密码为123456.
2.
组网图图1-2FTP客户端典型配置组网图3.
配置步骤如果主设备和从设备剩余的内存空间不够,请使用delete/unreservedfile-url命令删除部分暂时不用的文件后再执行以下操作.
配置前请确保IRF和FTP服务器之间路由可达,IP地址如图1-2所示,具体配置步骤略.
#以用户名abc、密码123456登录FTP服务器.
ftp10.
1.
1.
1PressCTRL+Ctoabort.
Connectedto10.
1.
1.
1(10.
1.
1.
1).
220WFTPD2.
0service(byTexasImperialSoftware)readyfornewuserUser(10.
1.
1.
1:(none)):abc331Givemeyourpassword,pleasePassword:230LoggedinsuccessfullyRemotesystemtypeisMSDOS.
InternetIRF(FTPclient)IP:10.
2.
1.
1/16说明:橙色的线表示IRF连接主设备(Member_ID=1)从设备(Member_ID=2)10.
1.
1.
1/16FTPserverPCACAC1-12ftp>#将传输模式设置为binary,以便传输文件.
ftp>binary200TYPEisnow8-bitbinary#将文件temp.
bin从FTP服务器下载到IRF.
(1)将文件temp.
bin从FTP服务器下载到主设备存储介质的根目录下.
ftp>gettemp.
binlocal:temp.
binremote:temp.
bin150Connectingtoport47457226Filesuccessfullytransferred23951480bytesreceivedin95.
399seconds(251.
0kbyte/s)(2)将文件temp.
bin从FTP服务器下载到从设备存储介质的根目录下.
ftp>gettemp.
binslot2#cfa0:/temp.
bin#将IRF的配置文件config.
cfg上传到FTP服务器进行备份.
ftp>ascii200TYPEisnowASCIIftp>putconfig.
cfgback-config.
cfglocal:config.
cfgremote:back-config.
cfg150Connectingtoport47461226Filesuccessfullytransferred3494bytessentin5.
646seconds(618.
00kbyte/s)ftp>bye221-Goodbye.
Youuploaded2anddownloaded2kbytes.
221Logout.
2-12TFTP2.
1TFTP简介TFTP(TrivialFileTransferProtocol,简单文件传输协议)用于在TFTP服务器和TFTP客户端之间传输文件.
它基于UDP协议,使用UDP端口建立连接、收/发数据报文.
与基于TCP的FTP协议比较,TFTP不需要认证,没有复杂的报文交互,部署简单,适用于客户端和服务器均很可靠的网络环境.
2.
2TFTP配置限制和指导TFTP客户端可以上传文件到TFTP服务器,也可以从TFTP服务器下载文件到本地.
上传文件时,如果TFTP服务器上已经存在同名文件,则系统会删除同名文件,保存新文件.
同样,下载文件时,如果TFTP客户端上已经存在同名文件,系统也会删除同名文件,保存新文件.
因此,当上传/下载启动文件或配置文件等重要文件时,建议使用一个不存在的文件名作为目标文件名.

2.
3配置IPv4TFTP客户端(1)进入系统视图.
system-view(2)(可选)使用ACL限制设备可访问哪些TFTP服务器.
tftp-serveraclacl-number缺省情况下,未使用ACL对设备可访问的TFTP服务器进行限制.
(3)配置TFTP客户端的源地址.
tftpclientsource{interfaceinterface-typeinterface-number|ipsource-ip-address}缺省情况下,未配置源地址,使用路由出接口的主IP地址作为设备发送TFTP报文的源IP地址.
(4)退回用户视图.
quit(5)在IPv4网络,用TFTP上传/下载文件.
tftptftp-server{get|put|sget}source-filename[destination-filename][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipsource-ip-address}]*使用tftpclientsource命令指定了源地址后,又在tftp命令中指定了源地址,则采用tftp命令中指定的源地址进行通信.
2.
4配置IPv6TFTP客户端(1)进入系统视图.
2-2system-view(2)(可选)在IPv6网络,使用ACL限制设备可访问哪些TFTP服务器.
tftp-serveripv6aclipv6-acl-number缺省情况下,未使用ACL对设备可访问的TFTP服务器进行限制.
(3)在IPv6网络,配置TFTP客户端的源地址.
tftpclientipv6source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}缺省情况下,未配置源地址,设备自动选择IPv6TFTP报文的源IPv6地址,具体选择原则请参见RFC3484.
(4)退回用户视图.
quit(5)在IPv6网络,用TFTP上传/下载文件.
tftpipv6tftp-server[-iinterface-typeinterface-number]{get|put|sget}source-filename[destination-filename][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}]*使用tftpclientipv6source命令指定了源地址后,又在tftpipv6命令中指定了源地址,则采用tftpipv6命令中指定的源地址进行通信.
i目录1文件系统管理1-11.
1文件系统管理简介1-11.
1.
1存储介质和文件系统1-11.
1.
2目录1-21.
1.
3文件1-21.
1.
4文件夹和文件指定方法1-31.
2命令行支持情况·1-31.
3文件系统配置限制和指导·1-31.
4存储介质和文件系统操作·1-41.
4.
1格式化文件系统1-41.
4.
2恢复文件系统的空间1-41.
5文件和文件夹操作1-41.
5.
1设置操作文件和文件夹时是否提示1-41.
5.
2显示文件和文件夹信息1-51.
5.
3显示文本文件内容·1-51.
5.
4显示当前工作路径·1-51.
5.
5修改当前工作路径·1-51.
5.
6创建文件夹·1-51.
5.
7重命名文件和文件夹1-51.
5.
8复制文件1-51.
5.
9移动文件1-51.
5.
10删除和恢复文件1-61.
5.
11删除文件夹·1-61.
5.
12打包文件/文件夹1-71.
5.
13解包文件/文件夹1-71.
5.
14压缩文件1-71.
5.
15解压缩文件·1-71.
5.
16计算文件摘要·1-71-11文件系统管理1.
1文件系统管理简介本章介绍了如何对文件系统中的文件进行管理和操作.
1.
1.
1存储介质和文件系统设备支持的存储介质包括固定存储介质和可插拔存储介质.
设备上一个存储介质即为一个文件系统.

存储介质的支持情况与设备型号有关,请以设备的实际情况为准.
产品系列产品型号固定存储介质可插拔存储介质WX2500H-WiNet系列WX2510H-PWR-WiNetFlashU盘、SD卡WX2560H-WiNetU盘、SD卡WX3500H-WiNet系列WX3508H-WiNetFlashU盘、SD卡WAC系列WAC380-30FlashU盘、SD卡WAC380-60SD卡WAC380-90SD卡WAC380-120U盘、SD卡WAC381U盘、SD卡WX2500H-LI系列WX2540H-LIFlashU盘WX2560H-LIU盘、SD卡1.
存储介质和文件系统名称存储介质flash及其文件系统名称由如下部分组成:存储介质类型:flash的类型名称即为"flash".
冒号:存储介质名称的结束符.
U盘和SD卡上及其文件系统名称由如下部分组成:存储介质类型:U盘的类型名称为"usb".
存储介质编号:同类型的存储介质以英文小写字母a开始进行排序.
分区编号:设备暂不支持分区,分区编号固定为0(存储介质名称不包括分区编号).
冒号:存储介质名称的结束符.
文件系统名称中的英文字符输入时区分大小写,必须为小写字符.
1-22.
文件系统位置的指定方法对文件系统进行操作时,需要指定存储介质的位置,存储介质位置的表示方式为:slotn#.
其中n为IRF中成员设备的编号.
例如:slot2#代表成员设备2上的存储介质.
不指定slot参数时,表示IRF中主设备的存储介质.
(IRF模式)文件系统位置中的所有英文字符输入时区分大小写,必须为小写字符.
3.
缺省文件系统设备支持多个存储介质,用户登录设备后缺省使用的文件系统即为缺省文件系统.
例如,保存当前配置时,如果不输入存储介质位置及名称,则配置文件将保存在缺省文件系统的根目录下.

1.
1.
2目录设备的文件系统采用树形目录结构,用户可以通过文件夹操作来改变目录层级,方便的管理文件.

1.
根目录用户登录设备后,缺省目录即为根目录.
根目录用"/"表示.
例如flash:/表示flash的根目录.
2.
工作目录工作目录也被称为当前工作目录.
3.
文件夹的命名文件夹名称中可以包含数字、字母或特殊字符(除了*.
为文件夹命名时,首字符不能使用".
".
否则,系统将把名称首字符为".
"的文件夹处理为隐藏文件夹.
4.
常用文件夹设备出厂时会携带一些文件夹,在运行过程中可能会自动产生一些文件夹,这些文件夹包括:diagfile:用于存放诊断信息文件的文件夹license:用于存放License文件的文件夹logfile:用于存放日志文件的文件夹seclog:用于存放安全日志文件的文件夹versionInfo:用于存放版本信息文件的文件夹其他名称的文件夹1.
1.
3文件1.
文件的命名文件名中可以输入以数字、字母、特殊字符(除了*为组合的字符串.
为文件命名时,首字母请不要使用".
".
因为系统会把名称首字母为".
"的文件当成隐藏文件.
2.
常见文件类型设备出厂时会携带一些文件,在运行过程中可能会自动产生一些文件,这些文件包括:1-3xx.
ipe(复合软件包套件,是启动软件包的集合)xx.
bin(启动软件包)xx.
cfg(配置文件)xx.
mdb(二进制格式的配置文件)xx.
log(用于存放日志的文件)其他后缀的文件1.
1.
4文件夹和文件指定方法路径是指文件或文件夹所在的位置,包括绝对路径和相对路径.
1.
文件夹指定方法设备支持使用相对路径和绝对路径指定文件夹.
例如,当前工作目录为flash:/,可以通过绝对路径flash:/test/test1/test2/(末尾的"/"为可选)或相对路径test/test1/test2/(末尾的"/"为可选)进入test2文件夹.
2.
文件指定方法设备支持使用相对路径和绝对路径指定文件.
例如,当前工作目录为flash:/test/,可以通过绝对路径flash:/test/test1/test2/samplefile.
cfg或相对路径test1/test2/samplefile.
cfg指定test2文件夹下的samplefile.
cfg文件.
1.
2命令行支持情况由于WX2500H-WiNet系列、WAC系列和WX2500H-LI系列不支持IRF功能,因此不支持IRF模式的命令行配置.
1.
3文件系统配置限制和指导在执行文件系统操作过程中,禁止对存储介质进行插拔操作.
否则,可能会引起文件系统的损坏.
(独立运行模式)在执行文件系统操作过程中,禁止对存储介质进行插拔或主设备和从设备的倒换操作.
否则,可能会引起文件系统的损坏.
(IRF模式)当用户占用可插拔存储介质的资源(如用户正在访问某个目录或正在打开文件等)时,存储介质被强制拔出.
此时,请先释放占用的存储介质的资源(如切换目录、关闭打开的文件),再插入存储介质.
否则,存储介质被插入后可能不能被识别.
当需要对U盘进行写文件系统操作,请确保没有将U盘写保护.
如果U盘写保护了,这些操作将执行失败.
其他文件系统操作不受写保护开关影响.
当一个用户对存储介质或文件系统执行fixdisk、format操作时,其他用户不能访问该存储介质或文件系统.
1-41.
4存储介质和文件系统操作1.
4.
1格式化文件系统1.
配置限制和指导格式化操作将导致文件系统中的所有文件丢失,并且不可恢复,请谨慎使用.

用户对文件系统执行格式化操作时,如果同时还有其他用户在访问该文件系统,系统会提示格式化操作失败.
2.
配置步骤请在用户视图下执行本命令,格式化文件系统.
formatfilesystem1.
4.
2恢复文件系统的空间1.
配置限制和指导由于异常操作等原因,文件系统的某些空间可能不可用,用户可以通过fixdisk命令来恢复文件系统的空间.
用户对文件系统执行fixdisk操作时,如果同时还有其他用户在访问该文件系统,系统会提示fixdisk操作失败.
2.
配置步骤请在用户视图下执行本命令,恢复文件系统的空间.
fixdiskfilesystem1.
5文件和文件夹操作1.
5.
1设置操作文件和文件夹时是否提示1.
功能简介用户可以通过命令行来设置执行文件或文件夹操作时是否提示:当设置为alert,并且用户对文件或文件夹进行有危险性的操作时,系统会要求用户进行交互确认.
当设置为quiet,则用户对文件或文件夹进行除清空回收站之外的其他操作时,系统均不要求用户进行确认.
该方式可能会导致一些因误操作而发生的、不可恢复的、对系统造成破坏的情况产生.
2.
配置步骤(1)进入系统视图.
system-view(2)设置操作文件或文件夹时是否提示.
fileprompt{alert|quiet}缺省情况下,用户对文件或文件夹进行操作时,系统会要求用户进行交互确认.

1-51.
5.
2显示文件和文件夹信息请在用户视图下执行本命令,显示文件夹和文件信息.
dir[/all][file|directory|/all-filesystems]多用户同时执行文件操作时,比如同时创建或删除文件或文件夹,可能导致该命令显示结果不准确.

1.
5.
3显示文本文件内容请在用户视图下执行本命令,显示文本文件的内容.
morefile1.
5.
4显示当前工作路径请在用户视图下执行本命令,显示当前工作路径.
pwd1.
5.
5修改当前工作路径1.
功能简介用户登录设备后,缺省的工作目录为设备缺省文件系统的根目录.
(独立运行模式)用户登录设备后,缺省的工作目录为主设备缺省文件系统的根目录.
(IRF模式)2.
配置步骤请在用户视图下执行本命令,修改当前工作路径.
cd{directory|.
.
}1.
5.
6创建文件夹请在用户视图下执行本命令,创建文件夹.
mkdirdirectory1.
5.
7重命名文件和文件夹请在用户视图下执行本命令,重命名文件和文件夹.
rename{source-file|source-directory}{dest-file|dest-directory}1.
5.
8复制文件请在用户视图下执行本命令,复制文件.
copysource-file{dest-file|dest-directory}[sourceinterfaceinterface-typeinterface-number]1.
5.
9移动文件请在用户视图下执行本命令,移动文件.
1-6movesource-file{dest-file|dest-directory}1.
5.
10删除和恢复文件1.
功能简介可以通过以下方式删除文件:临时删除文件:执行deletefile命令删除文件.
采用该方式删除的文件被转移到回收站中,可以通过undeletefile命令恢复.
永久删除文件:永久删除的文件不能恢复.
回收站文件夹名均为".
trash",用户可以进入相应的存储介质或者分区,用dir/all.
trash,或者cd.
trash进入回收站文件夹,使用dir命令查看回收站中的文件.
每个文件系统下都有一个回收站.
2.
配置限制和指导不能对回收站中的文件执行delete命令,否则会影响回收站的正常使用.
如果需要删除回收站中的文件,请执行resetrecycle-bin命令.
通过临时删除文件的方式删除的文件仍然占用存储空间,如果用户经常临时删除文件,则可能导致设备的存储空间不足.
此时请查看回收站中是否有文件,通过执行resetrecycle-bin命令彻底删除回收站中的文件,以释放空间.
3.
删除文件请在用户视图下执行本命令,删除文件.
删除文件到回收站.
deletefile删除回收站中的文件.
resetrecycle-bin[/force]永久删除文件.
delete/unreservedfile4.
恢复回收站中的文件请在用户视图下执行该命令,恢复回收站中的文件.
undeletefile1.
5.
11删除文件夹1.
配置限制和指导在删除文件夹前,必须先永久删除或者暂时删除文件夹中的所有文件和子文件夹.

临时删除文件后,执行rmdir删除该文件所在文件夹时,该文件将从回收站中彻底删除.
2.
配置步骤请在用户视图下执行该命令,删除文件夹.
rmdirdirectory1-71.
5.
12打包文件/文件夹1.
功能简介打包是将用户指定的原文件或文件夹打包保存成一个新文件(原文件或文件夹仍然存在).
该功能可用于文件备份和整理.
用户可选择直接打包保存或者打包后压缩保存.
选择打包后压缩保存可节省存储空间.

2.
配置步骤请在用户视图下执行本命令,将多个文件或文件夹打包成一个新文件.
tarcreate[gz]archive-filedest-file[verbose]source{source-file|source-directory}&1.
5.
13解包文件/文件夹1.
功能简介解包是打包的逆向操作,是将打包文件还原成原文件或文件夹.
2.
配置限制和指导使用screen参数前,请通过tarlist命令确认压缩包内文件的类型,建议仅包含文本文件时使用该参数.
如果压缩包中包含非文本文件,且非文本文件中包含终端控制字符,指定screen参数执行本命令,可能导致当前登录终端的显示信息出现乱码甚至当前登录终端不可用.

通常情况下,断开当前连接重新登录设备后可将登录终端恢复到正常状态.
3.
配置步骤(1)(可选)请在用户视图下执行本命令,显示指定打包文件夹中包含的文件和文件夹的名称.

tarlistarchive-filefile(2)解包文件和文件夹.
tarextractarchive-filefile[verbose][screen|todirectory]1.
5.
14压缩文件请在用户视图下执行本命令,压缩指定的文件.
gzipfile1.
5.
15解压缩文件请在用户视图下执行本命令,解压缩指定的文件.
gunzipfile1.
5.
16计算文件摘要1.
功能简介使用摘要算法计算文件的摘要值,通常用于验证文件的正确性和完整性.

1-82.
配置步骤请在用户视图下执行以下命令,计算文件的摘要值.
使用SHA-256摘要算法计算文件的摘要值.
sha256sumfile使用MD5摘要算法计算文件的摘要值.
md5sumfilei目录1配置文件管理1-11.
1配置文件简介·1-11.
1.
1配置的类型·1-11.
1.
2配置文件的类型及其选择规则·1-21.
1.
3下次启动配置文件·1-21.
1.
4配置文件的内容与格式1-31.
1.
5配置回滚1-31.
2命令行支持情况·1-31.
3开启配置文件加密功能1-41.
4保存当前配置·1-41.
5显示配置差异·1-51.
6配置回滚·1-61.
6.
1配置回滚任务简介·1-61.
6.
2配置备份参数·1-61.
6.
3备份当前配置·1-71.
6.
4执行配置回滚·1-71.
7配置下次启动配置文件1-81.
8备份/恢复主用下次启动配置文件·1-91.
8.
1功能简介1-91.
8.
2配置准备1-91.
8.
3备份主用下次启动配置文件1-91.
8.
4恢复主用下次启动配置文件1-101.
9删除下次启动配置文件1-101.
10配置文件管理显示和维护1-101-11配置文件管理1.
1配置文件简介配置文件是用来保存配置的文件.
设备重启后,这些配置继续生效.
当网络中多台设备需要批量配置时,可以将相同的配置保存到配置文件,再上传/下载到所有设备,在所有设备上执行该配置文件来实现设备的批量配置.
1.
1.
1配置的类型1.
空配置软件版本中所有的软件功能都被赋予一个缺省值,这些缺省值的集合被称为"空配置".
缺省值无法通过命令行直接查看,可通过查看产品当前软件版本的命令手册,了解各软件功能的缺省值.

2.
出厂配置设备在出厂时,通常会带有一些基本的配置,称为出厂配置.
它用来保证设备在没有配置文件或者配置文件损坏的情况下,能够正常启动、运行.
可以使用displaydefault-configuration命令查看设备的出厂配置.
出厂配置可能与命令行的缺省情况不一致,不同型号的设备会根据需要定制各自的出厂配置.

3.
启动配置设备启动时运行的配置即为启动配置.
如果没有指定启动配置文件或者启动配置文件损坏,则系统会使用出厂配置作为启动配置.
可以通过以下方式查看启动配置:设备启动后且还没有进行配置前,使用displaycurrent-configuration命令查看当前启动配置.
使用displaystartup命令查看本次启动使用的配置文件和下次启动使用的主用、备用配置文件,再使用more命令查看相应配置文件的内容.
(more命令的详细介绍请参见"基础配置命令参考"中"文件系统管理")使用displaysaved-configuration命令查看下次启动配置文件的内容.
4.
当前配置系统当前正在运行的配置称为当前配置.
它包括启动配置和设备运行过程中用户进行的配置.
当前配置存放在设备的临时缓存中,如果不保存,设备运行过程中用户进行的配置在设备重启后会丢失.
可以使用displaycurrent-configuration命令查看设备的当前配置.
1-21.
1.
2配置文件的类型及其选择规则执行save命令保存配置时,系统将自动生成一个文本类型的配置文件和一个二进制类型的配置文件,两个文件的内容完全相同.
文本类型配置文件:后缀名为".
cfg",可以通过more命令查看,或使用文本编辑器修改该文件的内容.
文本类型配置文件可以单独保存到存储介质中,无需对应的二进制类型的配置文件.
二进制类型配置文件:后缀为".
mdb",仅能够使用软件解析该类配置文件,用户不能读取和编辑文件内容.
二进制类型的配置文件不能单独保存到存储介质中,必须有对应的文本类型的配置文件.
该类型配置文件的加载速度快,设备启动时优先使用该类型配置文件.

设备启动时,文本类型配置文件和二进制类型配置文件的选择规则如图1-1所示.
图1-1文本类型配置文件和二进制类型配置文件的选择规则如无特殊说明,下文描述的配置文件均指文本类型的配置文件.
1.
1.
3下次启动配置文件设备上可以同时存在多个配置文件.
设备本次启动使用的配置文件称为当前启动配置文件;设备下次启动使用的配置文件称为下次启动配置文件.
设备支持配置两个下次启动配置文件,一个为主用配置文件,一个为备用配置文件.

设备启动时,配置文件的选择规则如下:(1)优先使用主用下次启动配置文件.
(2)如果主用下次启动配置文件不存在或损坏,使用备用下次启动配置文件.

(3)如果主用和备用下次启动配置文件都不存在或损坏,则使用出厂配置启动.

启动是否存在对应的二进制配置文件否是是否存在文本类型的下次启动配置文件是否两个文件的校验和是否一致否采用二进制类型的配置文件启动是完成采用文本类型的配置文件启动采用出厂配置启动1-31.
1.
4配置文件的内容与格式配置文件对内容和格式有严格定义,为保证配置文件的正确运行,建议使用设备自动生成的配置文件.
如果需要手工修改配置文件,请遵循配置文件的内容和格式规则.
配置文件的内容和格式规则如下:配置文件的内容为命令的完整形式.
配置文件中的命令行参数里不能包含无效字符.
对于某些命令,""和"\t"(Tab键)被定义为命令行参数的无效字符,所以,这两个字符不能在命令行参数中体现.
例如,对于sysname命令,参数中不能包含无效字符""和"\t",而如果配置文件中包含命令"sysnameabc",则在进行配置恢复或配置回滚时,此命令不能被执行.
配置文件以命令视图为基本框架,同一命令视图的命令组织在一起,形成一节,节与节之间用#隔开.
以return结束.
下面摘录了配置文件的部分内容.
#local-userrootclassmanagepasswordhash$h$6$Twd73mLrN8O2vvD5$Cz1vgdpR4KoTiRQNE9pg33gU14Br2p1VguczLSVyJLO2huV5Syx/LfDIf8ROLtVErJ/C31oq2rFtmNuyZf4STw==service-typesshtelnetterminalauthorization-attributeuser-rolenetwork-adminauthorization-attributeuser-rolenetwork-operator#interfaceVlan-interface1ipaddress192.
168.
1.
84255.
255.
255.
0#1.
1.
5配置回滚配置回滚是在不重启设备的情况下,将当前的配置回退到指定配置文件中的配置状态.

配置回滚主要应用于:当前配置错误,且错误配置太多不方便定位或逐条回退,需要将当前配置回滚到某个正确的配置状态.
设备的应用环境变化,需要使用某个配置文件中的配置信息运行,在不重启设备的情况下将当前配置回滚到指定配置文件中的配置状态.
1.
2命令行支持情况由于WX2500H-WiNet系列、WAC系列和WX2500H-LI系列不支持IRF功能,因此不支持IRF模式的命令行配置.
1-41.
3开启配置文件加密功能1.
功能简介配置文件加密功能就是设备在执行save命令将当前配置保存到配置文件的同时,将配置文件加密.
2.
配置限制和指导加密后的文件能被所有运行ComwareV7平台软件的设备识别和解析.
因此,为了防止非法用户对加密后配置文件的解析,需确保只有合法用户才能获取加密后的配置文件.
运行其它平台软件的设备不能识别和解析.
开启配置文件加密功能后,执行save命令生成的配置文件是加密后的配置文件,将不能使用more命令查看加密配置文件(后缀名为".
cfg"的配置文件)的内容,且加密配置文件将不能参与配置差异的比较(如不能使用displaycurrent-configurationdiff命令比较下次启动配置文件与运行配置之间的差异、不能将加密后的配置文件作为displaydiff命令的参数).
3.
配置步骤(1)进入系统视图.
system-view(2)开启配置文件加密功能.
configurationencrypt{private-key|public-key}缺省情况下,配置文件加密功能处于关闭状态.
1.
4保存当前配置1.
功能简介保存配置前,配置仅保存在内存中,设备重启后,设备将恢复为出厂配置.
如果要使当前配置在设备重启后仍然生效,则需要将当前配置保存到下次启动配置文件中.
2.
配置限制和指导在保存当前运行配置时,请不要重启设备或者给设备断电,以免造成下次启动配置文件丢失.

如果成员设备退出IRF,该成员设备的配置不会丢失,仍然保存在内存中,但是会从当前运行配置中删除.
成员设备再次加入IRF时,对应配置自动从内存中恢复到当前运行配置中.
如果成员设备退出后,将当前运行配置保存到了下次启动配置文件中,该成员设备的配置不会写入到配置文件中.
如需将退出的成员设备的配置保存到下次启动配置文件中,请执行如下操作:(1)将成员设备重新加入IRF并重启该成员设备.
(2)待成员设备正常工作后,执行displaycurrent-configuration命令,确认成员设备的配置已恢复到当前运行配置中.
(3)保存当前运行配置到下次启动配置文件中.
如果在成员设备退出IRF后,执行了重启操作,该成员设备的配置将无法恢复.
1-53.
配置步骤可在任意视图下执行本命令,保存当前配置.
(独立运行模式)将当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件.

savefile-url将当前配置保存到存储介质的根目录下,并将该文件设置为下次启动配置文件.

save[safely][backup|main][force][changed]为了安全起见,建议选用safely参数.
可在任意视图下执行本命令,保存当前配置.
(IRF模式)将当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件.

savefile-url[all|slotslot-number]将当前配置保存到所有成员设备存储介质的根目录下,并将该文件设置为下次启动配置文件.

save[safely][backup|main][force][changed]为了安全起见,建议选用safely参数.
执行该命令时,请不要重启设备或者给设备断电,以免造成下次启动配置文件丢失.
1.
5显示配置差异1.
功能简介用户通过命令可以查看两份配置文件、指定配置文件与当前运行配置、指定配置文件与下次启动文件、当前运行配置与下次启动文件之间的差异.
用户可根据差异来决定是否保存当前配置或者进行配置替换.
2.
配置限制和指导只有文本类型的配置文件,才支持查看差异.
将下次启动配置文件和其他配置文件进行比较时:优先使用主用下次启动配置文件.
如果主用下次启动配置文件不可用,则使用备用下次启动配置文件.
如果主用下次启动配置文件和备用下次启动配置文件都不可用,系统会给出相应的错误提示信息.
3.
配置步骤可在任意视图下执行本命令,显示配置差异.
请选择其中一项进行配置.
显示指定配置文件和指定配置文件、当前运行配置、下次启动配置文件之间的差异.

displaydiffconfigfilefile-name-s{configfilefile-name-d|current-configuration|startup-configuration}显示当前运行配置和指定配置文件、下次启动配置文件之间的差异.
displaydiffcurrent-configuration{configfilefile-name-d|startup-configuration}显示下次启动配置文件和指定配置文件之间的差异.
displaydiffstartup-configurationconfigfilefile-name-d显示下次启动配置文件与当前运行配置之间的差异.
请选择其中一项进行配置.

1-6方式一displaydiffstartup-configurationcurrent-configuration方式二displaycurrent-configurationdiff1.
6配置回滚1.
6.
1配置回滚任务简介配置回滚配置任务如下:(1)配置备份参数(2)备份当前配置自动备份当前配置手动备份当前配置(3)执行配置回滚1.
6.
2配置备份参数1.
功能简介备份当前配置前必须设置备份文件的保存路径和文件名前缀.
设备备份当前运行配置时,将当前的配置以前缀_序号.
cfg格式(例如archive_1.
cfg)保存到该命令指定路径下的配置文件中.
序号自动从1开始编号,依次加1,累加至1000后重新从1开始编号.
修改备份文件的保存路径或文件名前缀后,备份序号从1开始重新自动编号,原来的备份文件不再作为备份文件而作为普通配置文件存在,此后执行displayarchiveconfiguration命令不会显示原来的备份配置文件信息.
2.
配置限制和指导备份文件数量达到上限后,再次保存备份文件时,系统将删除保存时间最早的备份文件,以保存新的备份文件.
执行undoarchiveconfigurationlocation命令后,用户将不能手工备份当前配置到本地,系统也不再自动备份当前配置到本地.
同时,archiveconfigurationmax和archiveconfigurationinterval命令会恢复为缺省情况、displayarchiveconfiguration的显示信息会被清除.
3.
配置步骤(1)进入系统视图.
system-view(2)配置备份配置文件的本地保存路径和文件名前缀.
archiveconfigurationlocationdirectoryfilename-prefixfilename-prefix缺省情况下,未配置备份配置文件的本地保存路径和文件名前缀.
1-7directory必须是设备上已存在的路径(独立运行模式).
directory必须是主设备上已存在的路径,且参数中不能包含成员编号(IRF模式).
(3)(可选)配置备份配置文件的最大数.
archiveconfigurationmaxfile-number缺省情况下,备份配置文件的最大数为5.
请根据系统剩余存储空间配置备份配置文件的最大数.
1.
6.
3备份当前配置1.
功能简介设备支持自动备份和手动备份两种备份配置的方式.
自动备份当前配置:系统按照已配置的时间间隔自动备份当前配置.
手动备份当前配置:用户随时可以执行手动备份命令行备份当前配置.
例如,需要对设备进行复杂配置过程中,不定期手动备份当前配置,以便配置错误时,使用配置回滚功能将当前配置回滚至正确情况.
2.
配置限制和指导如果设置备份文件保存在本地,备份当前配置功能只将当前配置备份到主设备的备份路径下,不会保存到从设备,建议在所有成员设备的文件路径下都创建备份路径并进行配置备份,防止主备倒换后该功能失效.
(IRF模式)备份当前配置过程中,建议不要修改配置文件的备份参数,若修改了备份参数,则该参数不会立即生效,设备仍然会按照原参数设置将当前配置被保存在旧的备份路径下,且执行displayarchiveconfiguration命令不会显示该备份配置文件.
在自动或手动备份配置文件时,不能清除displayarchiveconfiguration命令显示的回滚配置信息.
3.
自动备份当前配置(1)进入系统视图.
system-view(2)开启自动备份当前配置功能,并设置自动备份的时间间隔.
archiveconfigurationintervalinterval缺省情况下,自动备份当前配置功能处于关闭状态.
4.
手动备份当前配置请在用户视图下执行本命令,手动备份当前配置.
archiveconfiguration1.
6.
4执行配置回滚1.
功能简介配置回滚时,系统将对比当前配置和回滚配置文件中配置的差异,并做如下处理:不处理当前配置与回滚配置文件中相同的命令.
1-8对于存在于当前配置但不存在于回滚配置文件的命令,回滚操作将取消当前配置中的命令,即执行相应的反向操作.
对于存在于回滚配置文件但不存在于当前配置的命令,回滚操作将执行这些命令.

对于当前配置和回滚配置文件中不同的命令,配置回滚将先取消这些配置,再执行回滚配置文件中的相应命令.
2.
配置限制和指导执行配置回滚操作时(执行configurationreplacefile命令)不能进行主从设备倒换操作,否则可能造成配置回滚终止.
配置回滚到指定配置文件时,如果有命令行回滚失败,系统将打印提示信息说明有命令行回滚失败,此时,请执行displaydiffcurrent-configurationconfigfile命令将回滚后的运行配置与目标配置文件中的配置对比,差异部分即为回滚失败的命令行.
配置能否回滚成功由命令的具体处理决定,存在以下情况时,某条命令会回滚失败,系统会跳过回滚失败的命令,直接处理下一条命令:命令不支持完整undo命令,即直接在配置命令前添加undo关键字构成的命令不存在,设备不识别.
比如命令A[B]C,对应的undo命令为undoAC,但是配置ABC回滚的时候,系统会去自动执行undoABC,此时系统会认为不支持undoABC而造成配置ABC回滚失败.
配置不能取消(如硬件相关的命令).
若不同视图下的各配置命令存在依赖关系,命令可能执行失败.
使用的配置文件不是由save命令、自动备份或手工备份生成的完整文件,或是不同类型设备的配置文件,配置回滚可能不能完全恢复至配置文件中的配置状态.
因此,需要用户确保回滚配置文件中配置的正确性和与当前设备的兼容性.
3.
配置步骤(1)进入系统视图.
system-view(2)执行配置回滚.
configurationreplacefilefilenamefilename只能是明文配置文件,不能是被加密的配置文件,且必须是本地保存的配置文件,该配置文件必须是有效的.
cfg文件.
1.
7配置下次启动配置文件1.
配置限制和指导执行undostartupsaved-configuration命令并重启IRF或IRF中的成员设备时,会导致IRF分裂,请谨慎使用.
主用下次启动配置文件和备用下次启动配置文件可以设置为同一文件,但为了更可靠,建议设置为不同的文件,或者将一份配置保存在两个不同名的文件中,一个设置为主用,一个设置为备用.

在执行undostartupsaved-configuration命令之后,系统会将主用/备用下次启动配置文件均设置为NULL,但不会删除该文件.
1-9执行save命令将当前配置保存到指定配置文件时,系统会自动把该文件设置为设备的主用下次启动配置文件.
详细配置请参见"1.
4保存当前配置".
2.
配置准备执行以下操作前,请确保指定文件(cfgfile)为设备存储介质根目录下的合法配置文件,否则,操作失败.
(独立运行模式)所有成员设备的下次启动配置文件必须是相同的文件,因此,使用本命令前,请确保指定的配置文件已经保存在所有成员设备相同类型存储介质的根目录下,否则,操作失败.

(IRF模式)3.
配置步骤(1)配置下次启动时的配置文件.
请选择其中一项进行配置.
请在用户视图下执行本命令,配置下次启动时的配置文件.
startupsaved-configurationcfgfile[backup|main]缺省情况下,未配置下次启动配置文件.
可在任意视图下执行本命令,在保存当前配置到配置文件的同时设置该配置文件为下次启动配置文件.
save[safely][backup|main][force][changed]本命令的详细介绍请参见1.
4保存当前配置.
不指定main和backup参数时,缺省使用main.
(2)(可选)可在任意视图下执行以下命令,验证配置.
显示用于本次及下次启动的配置文件的名称.
displaystartup查看下次启动配置文件的内容.
displaysaved-configuration1.
8备份/恢复主用下次启动配置文件1.
8.
1功能简介备份是指将设备的主用下次启动配置文件备份到指定的TFTP服务器.
恢复是指将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件.

1.
8.
2配置准备在执行配置文件的备份操作前,请进行以下操作:保证设备与服务器之间的路由可达,服务器端开启了TFTP服务,执行备份操作的客户端设备已获得了相应的读写权限.
在任意视图下使用displaystartup命令查看设备是否设置了下次启动配置文件.
如果没有指定下次启动配置文件,或者配置文件不存在,备份操作将失败.
1.
8.
3备份主用下次启动配置文件请在用户视图下执行本命令,将设备的主用下次启动配置文件备份到指定的TFTP服务器.
1-10backupstartup-configurationto{ipv4-server|ipv6ipv6-server}[dest-filename]1.
8.
4恢复主用下次启动配置文件(1)请在用户视图下执行本命令,将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件.
restorestartup-configurationfrom{ipv4-server|ipv6ipv6-server}src-filename(2)(可选)可在任意视图下执行以下命令,验证配置.
显示用于本次及下次启动的配置文件的名称.
displaystartup查看下次启动配置文件的内容.
displaysaved-configuration1.
9删除下次启动配置文件1.
功能简介当用户不再使用当前系统指定的下次启动配置文件启动设备时,使用该功能可将下次启动配置文件从设备上删除.
主备用下次启动配置文件都删除后,设备重启将采用出厂配置启动.
用户可以只删除主用下次启动配置文件,或者只删除备用下次启动配置文件.

如果设备的主用下次启动配置文件和备用下次启动配置文件相同,仅执行一次删除操作(例如指定了backup参数),系统只将相应的下次启动配置文件设置为NULL,不删除该文件,需要再次执行删除操作(指定main参数),才能将该配置文件彻底删除.
2.
配置限制和指导本特性会将下次启动配置文件从设备上彻底删除,请谨慎使用.
(独立运行模式)本特性会将下次启动配置文件从所有成员设备上彻底删除,请谨慎使用.

(IRF模式)3.
配置步骤请在用户视图下执行本命令,删除下次启动配置文件.
resetsaved-configuration[backup|main]不指定main和backup参数时,删除主用下次启动配置文件.
1.
10配置文件管理显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置文件的使用情况.
用户可以通过查看显示信息验证配置的效果.
表1-1配置文件管理显示和维护操作命令显示备份配置文件的相关信息displayarchiveconfiguration1-11操作命令显示设备当前生效的配置displaycurrent-configuration[configuration[module-name]|interface[interface-type[interface-number]]]显示下次启动配置文件与运行配置之间的差异displaycurrent-configurationdiff显示出厂配置displaydefault-configuration查看两份配置之间的差异displaydiffconfigfilefile-name-s{configfilefile-name-d|current-configuration|startup-configuration}displaydiffcurrent-configuration{configfilefile-name-d|startup-configuration}displaydiffstartup-configuration{configfilefile-name-d|current-configuration}显示下次启动配置文件的内容displaysaved-configuration显示用于本次及下次启动的配置文件的名称displaystartup显示当前视图下生效的配置displaythisi目录1软件升级1-11.
1软件升级简介·1-11.
1.
1软件包类型·1-11.
1.
2软件包的发布形式·1-11.
1.
3设备支持的软件升级方式·1-21.
1.
4设备软件升级·1-21.
2命令行支持情况·1-31.
3软件升级限制和指导·1-31.
4通过Boot-Loader方式升级设备软件(独立运行模式)1-31.
4.
1升级任务简介·1-31.
4.
2升级准备1-31.
4.
3加载BootWare程序1-31.
4.
4指定新的启动软件包并完成升级·1-41.
5通过Boot-Loader方式升级设备软件(IRF模式)1-41.
5.
1升级任务简介·1-41.
5.
2升级准备1-41.
5.
3加载BootWare程序1-51.
5.
4指定新的启动软件包并完成升级·1-51.
5.
5将IRF主设备的当前软件包同步到从设备1-61.
6修复BootWare·1-71.
7软件升级显示和维护·1-71.
8软件升级典型配置举例1-71.
8.
1通过重启方式升级启动软件包配置举例(对于不支持IRF的设备)1-71.
8.
2通过重启方式升级启动软件包配置举例(对于支持IRF的设备)1-91-11软件升级1.
1软件升级简介软件升级用于对软件包进行版本升级、增加特定软件特性或是对软件缺陷进行修复.
本章简要介绍了软件升级涉及的主要软件包类型、软件升级方式、以及如何从命令行通过Boot-Loader方式对软件进行升级.
1.
1.
1软件包类型软件升级涉及的软件包有:BootWare程序和Comware软件包.
1.
BootWare程序也称为BootROM程序,包括基本段和扩展段.
基本段用于引导系统启动.
扩展段用于硬件初始化并提供系统管理菜单.
在设备无法正常启动时,用户可通过这些菜单加载软件和下次启动配置文件,并管理文件.
为避免软件适配错误,BootWare程序通常集成到Comware软件的Boot包中.
2.
Comware软件包(1)Boot包:包含Linux内核程序,提供进程管理、内存管理、文件系统管理等功能的.
bin文件.
(2)System包:包含Comware内核和基本功能模块的.
bin文件,比如设备管理、接口管理、配置管理和路由模块等.
(3)Feature包:包含高级或定制业务的.
bin文件.
用户可根据需要购买Feature包.
(4)补丁(Patch)包:用来修复设备软件缺陷的.
bin程序文件.
补丁包只能修复启动软件包的缺陷,不涉及功能的添加和删除.
补丁包分为叠加补丁包和非叠加补丁包,具体定义如下:叠加补丁包:不同版本的叠加补丁包能够同时安装多个,并且最新版本的补丁包可以包含、不包含或不完全包含旧版本的补丁包所解决的问题.
非叠加补丁包:设备只能安装一个非叠加补丁包,安装新版本补丁包的同时,设备会卸载旧版本的补丁包,新版本的补丁包包含旧版本的补丁包所解决的所有问题.

叠加补丁包和非叠加补丁包可以同时安装到设备上.
设备必须具有Boot包和System包才能正常运行.
1.
1.
2软件包的发布形式软件包有如下两种发布形式:以.
bin文件的形式独立发布.
这种发布形式需要用户关注软件包之间的适配关系.

打包为.
ipe的IPE(ImagePackageEnvelope,复合软件包套件)文件发布,减少软件包之间的版本适配错误.
设备在加载IPE文件时,会自动将它解压缩成多个.
bin文件,并使用这些.
bin文件来升级设备.
1-2软件包文件的名称采用"设备简称-Comware版本-软件包类型-release号"的形式.
在本文档中,Boot包和System包的文件名统一采用boot.
bin和system.
bin.
1.
1.
3设备支持的软件升级方式表1-1软件升级方式升级方式升级对象说明通过命令行的Boot-Loader方式升级BootWare程序Comware软件包(该方式不能升级补丁包)该方式需要重启设备,会导致当前业务中断通过BootWare菜单进行升级BootWare程序Comware软件包该方式用于无法启动Comware系统时进行软件升级和修复该升级方式需要连接到Console接口,断电重启.
启动过程中根据提示按进入BootWare菜单,通过BootWare来重新加载软件包,具体操作请参见产品随软件发布的版本说明书本章仅涉及如何通过命令行的Boot-Loader方式进行软件升级.
1.
1.
4设备软件升级1.
启动软件包在进行软件升级时,用户需要将升级软件包指定为启动软件包,作为设备下次启动时加载的软件包.
在升级时,用户可为设备指定主用启动软件包和备用启动软件包.
加载软件包时,系统会优先选择主用软件包.
只有当主用软件包不可用时,才会选择备用软件包.
2.
启动软件包加载过程设备加载并初始化BootWare之后,会按如下流程来选择加载的启动软件包,进入Comware系统:(1)优先加载主用软件包.
(2)如果任何指定的主用软件包不存在或不可用,尝试加载备用软件包.
(3)如果任何指定的备用软件包不可用,查看主用Boot包或者备用Boot包是否可用.
如果主用Boot包或者备用Boot包均不可用,设备加载失败,无法正常启动.
1-31.
2命令行支持情况由于WX2500H-WiNet系列、WAC系列和WX2500H-LI系列不支持IRF功能,因此不支持IRF模式的命令行配置.
1.
3软件升级限制和指导如果将可插拔存储介质内的软件包指定为设备下次启动时使用的软件包,重启设备时不要将可插拔存储介质从设备上拔出,否则可能导致设备无法正常启动.
建议将固定存储介质中的软件包指定为设备下次启动时使用的软件包.
1.
4通过Boot-Loader方式升级设备软件(独立运行模式)1.
4.
1升级任务简介(1)(可选)加载BootWare程序预先加载BootWare程序能缩短后续软件包升级的时间,减小升级过程中断电引起的升级失败.
如果未执行本步骤,那么设备在升级Boot包时会自动升级BootWare程序.
(2)指定新的启动软件包并完成升级1.
4.
2升级准备升级设备软件前,请进行如下操作:(1)使用displayversion命令查看设备当前运行的BootWare程序以及启动软件的版本.
(2)获取新软件的版本发布说明书,了解新软件的版本号、软件大小以及和当前运行的BootWare程序以及Comware软件的兼容性.
(3)使用dir命令查看存储介质是否有足够的空间存储新的软件.
如果存储空间不足,可使用delete命令删除一些暂时不用的文件.
关于dir和delete命令的详细描述请参见"基础配置命令参考"中的"文件系统管理".
(4)使用FTP、TFTP方式将新软件包下载到任一文件系统的根目录下.
FTP、TFTP和文件系统管理的具体配置和介绍请参见"基础配置指导"中的"FTP和TFTP"和"文件系统管理".
1.
4.
3加载BootWare程序(1)(可选)备份当前运行的BootWare程序.
请选择其中一项进行配置.
将BootWare程序从BootWare的Normal区备份到Backup区.
bootrombackup[all|part]执行本命令后,若在设备运行过程中,Normal区的BootWare程序被损坏或需要版本回退,可以使用bootromrestore命令将BootWare程序从Backup区恢复到Normal区.
将BootWare程序从BootWare的Normal区备份到缺省文件系统中.
bootromread[all|part]成功执行本命令后,系统会自动生成basicbtm.
bin(BootWare基本段)和extendbtm.
bin(BootWare扩展段)文件并保存到缺省文件系统中.
1-4(2)加载新的BootWare程序.
bootromupdatefilefile[all|part]执行本命令后,系统会将文件系统中的BootWare程序加载到BootWare的Normal区.
要使新的BootWare程序生效,需要重启设备.
1.
4.
4指定新的启动软件包并完成升级请在用户视图下执行以下操作.
(1)指定设备的启动软件包.
请选择其中一项进行配置.
boot-loaderfileipe-filename{backup|main}boot-loaderfilebootfilenamesystemfilename[featurefilename&]{backup|main}(2)保存当前配置.
save有关save命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
(3)重启设备.
reboot(4)(可选)可选检查升级后的软件版本.
displayversion确认当前的软件版本为升级后的版本.
1.
5通过Boot-Loader方式升级设备软件(IRF模式)1.
5.
1升级任务简介(1)升级整机a.
(可选)加载BootWare程序预先加载BootWare程序能缩短后续软件包升级的时间,减小升级过程中断电引起的升级失败.
如果未执行本步骤,那么设备在升级Boot包时会自动升级BootWare程序.
b.
指定新的启动软件包并完成升级(2)(可选)将IRF主设备的当前软件包同步到从设备IRF从设备的软件与IRF主设备的软件不一致时,可通过本任务将IRF主设备的启动软件包同步到IRF从设备.
1.
5.
2升级准备升级设备软件前,请进行如下操作:(1)使用displayversion命令查看设备当前运行的BootWare程序以及启动软件的版本.
(2)获取新软件的版本发布说明书,了解新软件的版本号、软件大小以及和当前运行的BootWare程序以及Comware软件的兼容性.
1-5(3)使用dir命令查看存储介质是否有足够的空间存储新的软件.
如果存储空间不足,可使用delete命令删除一些暂时不用的文件.
关于dir和delete命令的详细描述请参见"基础配置命令参考"中的"文件系统管理".
在IRF中,请保证所有成员设备上都有足够的存储空间.
(4)使用FTP、TFTP方式将新软件包下载到任一文件系统的根目录下.
FTP、TFTP和文件系统管理的具体配置和介绍请参见"基础配置指导"中的"FTP和TFTP"和"文件系统管理".
1.
5.
3加载BootWare程序(1)(可选)备份当前运行的BootWare程序.
请选择其中一项进行配置.
将BootWare程序从BootWare的Normal区备份到Backup区.
bootrombackupslotslot-number-list[all|part]执行本命令后,若在设备运行过程中,Normal区的BootWare程序损坏或者需要版本回退,可以使用bootromrestore命令将BootWare程序从Backup区恢复到Normal区.
将BootWare程序从BootWare的Normal区备份到缺省文件系统中.
bootromreadslotslot-number-list[all|part]成功执行本命令后,系统会自动生成basicbtm.
bin(BootWare基本段)和extendbtm.
bin(BootWare扩展段)文件并保存到缺省文件系统中.
(2)加载新的BootWare程序.
bootromupdatefilefileslotslot-number-list[all|part]执行本命令后,系统会将文件系统中的BootWare程序加载到BootWare的Normal区.
要使新的BootWare程序生效,需要重启设备.
1.
5.
4指定新的启动软件包并完成升级请在用户视图下执行以下操作.
(1)为所有成员设备指定启动软件包.
请选择其中一项进行配置.
boot-loaderfileipe-filename{all|slotslot-number}{backup|main}boot-loaderfilebootfilenamesystemfilename[featurefilename&]{all|slotslot-number}{backup|main}对于有多台成员设备组成的IRF系统中,建议使用all参数升级软件包,逐一升级slot会导致升级期间slot之间的版本不一致.
(2)保存当前配置.
save有关save命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
(3)重启设备.
reboot(4)(可选)可选检查升级后的软件版本.
displayversion确认当前的软件版本为升级后的版本.
1-61.
5.
5将IRF主设备的当前软件包同步到从设备1.
功能简介当从设备和主设备的下次启动软件版本不一致时,需要刷新从设备的软件版本,使其软件版本和主设备当前运行的软件版本保持一致.
在进行软件同步时,系统会进行如下处理:如果主设备是使用主用启动软件包启动的,则将其主用下次启动软件包拷贝到从设备的对应目录下,并设置为从设备的主用启动软件包.
如果这些软件包中有任一软件包不存在或者不可用,则命令执行失败.
如果主设备是使用备用启动软件包列表启动的,则将其备用下次启动软件包列表中的软件包拷贝到从设备的对应目录下,并设置为从设备的主用下次启动软件包.
如果这些软件包中有任一软件包不存在或者不可用,则命令执行失败.
2.
硬件适配关系本特性的支持情况与设备型号有关,请以设备的实际情况为准.
产品系列产品型号说明WX2500H-WiNet系列WX2510H-PWR-WiNetWX2560H-WiNet不支持WX3500H-WiNet系列WX3508H-WiNet支持WAC系列WAC380-30WAC380-60WAC380-90WAC380-120WAC381不支持WX2500H-LI系列WX2540H-LIWX2560H-LI不支持WX3500H-LI系列WX3510H-LIWX3520H-LI支持3.
升级限制和指导如果主设备刚安装了补丁或者进行了ISSU升级,在执行本命令前,请执行installcommit命令刷新主设备的主用启动软件包列表.
否则,可能导致备设备升级后与主设备的版本不一致.

4.
升级步骤请在用户视图下执行以下操作.
(1)指定需要同步主设备的从设备.
boot-loaderupdate{all|slotslot-number}(2)重启涉及同步的从设备.
rebootslotslot-number[force]1-71.
6修复BootWare1.
功能简介如果在设备运行过程中,Normal区的BootWare程序损坏或者需要版本回退,可使用本配置,将BootWare程序从Backup区恢复到Normal区,来修复BootWare.
2.
升级限制和指导若Normal区的BootWare程序被损坏或需要版本回退,须保证在此之前使用过bootrombackup命令将可用的BootWare程序从BootWare的Normal区备份到Backup区.
3.
升级步骤请在用户视图下执行以下操作.
(1)将BootWare程序从BootWare的Backup区恢复到Normal区.
(独立运行模式)bootromrestore[all|part](IRF模式)bootromrestoreslotslot-number-list[all|part](2)重启设备.
reboot启动时,设备使用修复后的BootWare程序.
1.
7软件升级显示和维护在完成上述配置后,可在任意视图下执行display命令,通过查看显示信息验证配置的效果.
表1-2软件升级显示和维护操作命令显示本次启动和下次启动所采用的启动软件包的名称(独立运行模式)displayboot-loader(IRF模式)displayboot-loader[slotslot-number]1.
8软件升级典型配置举例1.
8.
1通过重启方式升级启动软件包配置举例(对于不支持IRF的设备)1.
配置需求使用最新软件版本文件startup-a2105.
ipe,对设备启动软件包进行升级,使设备使用新的启动软件包运行.
1-82.
组网图图1-1通过重启方式升级启动软件包配置举例组网图3.
配置步骤为了保险起见,在配置主用下次启动软件包/IPE文件时,建议将主用下次启动软件包/IPE文件进行备份,再将备份文件设置为备用下次启动软件包/IPE文件.
如果Flash上存储空间有限,可以不备份.
本例中的存储介质使用flash举例,实际使用中请以设备实际情况为准.
#配置IP地址以及路由,确保AC和TFTPserver之间路由可达.
配置步骤略.
#查看设备当前使用的启动软件包的版本.
displayversion#复制设备当前使用的启动软件包.
copyboot.
binboot_backup.
bincopysystem.
binsystem_backup.
bin#指定设备下次启动时使用的备用软件包为boot_backup.
bin/system_backup.
bin.
boot-loaderfilebootflash:/boot_backup.
binsystemflash:/system_backup.
binbackup#将待升级的IPE文件startup-a2105.
ipe从TFTPserver下载到设备Flash的根目录下.
tftp2.
2.
2.
2getstartup-a2105.
ipe#指定设备下次启动时使用startup-a2105.
ipe作为主用IPE文件.
boot-loaderfileflash:/startup-a2105.
ipemain#查看主用、备用下次启动IPE文件是否配置成功.
displayboot-loaderSoftwareimagesonthedevice:Currentsoftwareimages:flash:/boot.
binflash:/system.
binMainstartupsoftwareimages:flash:/boot.
binflash:/system.
binBackupstartupsoftwareimages:flash:/boot_backup.
binflash:/system_backup.
bin#重启设备,以便运行新的启动软件包完成升级.
TFTPclientTFTPserverAC2.
2.
2.
2/24Internet1.
1.
1.
1/241-9reboot4.
验证配置设备重启后,查看设备使用的启动软件包的版本.
displayversion1.
8.
2通过重启方式升级启动软件包配置举例(对于支持IRF的设备)1.
配置需求IRF由两个成员设备组成:主设备的成员编号为1,从设备的成员编号为2.
现要求对设备启动软件包进行升级,使设备使用新的启动软件包运行.
2.
组网图图1-2通过重启方式升级启动软件包配置举例组网图3.
配置步骤本举例只给出配置步骤和涉及的命令,关于命令的提示信息,请以设备的实际情况为准.

为了保险起见,在配置主用下次启动软件包/IPE文件时,建议将主用下次启动软件包/IPE文件进行备份,再将备份文件设置为备用下次启动软件包/IPE文件.
如果CF上存储空间有限,可以不备份.
本例中的存储介质使用CF举例,实际使用中请以设备实际情况为准.
#配置IP地址以及路由,确保IRF和TFTPserver之间路由可达.
配置步骤略.
#查看设备当前使用的启动软件包的版本.
displayversion#复制设备当前使用的启动软件包.
copyboot.
binboot_backup.
bincopysystem.
binsystem_backup.
bin#指定主设备和从设备下次启动时使用的备用软件包为boot_backup.
bin/system_backup.
bin.
boot-loaderfilebootcfa0:/boot_backup.
binsystemcfa0:/system_backup.
binslot1backupTFTPserver2.
2.
2.
2/24InternetIRF1.
1.
1.
1/24说明:橙色的线表示IRF连接主设备(Member_ID=1)从设备(Member_ID=2)1-10boot-loaderfilebootcfa0:/boot_backup.
binsystemcfa0:/system_backup.
binslot2backup#将待升级的IPE文件startup-a2105.
ipe从TFTPserver下载到主设备cfa0的根目录下.
tftp2.
2.
2.
2getstartup-a2105.
ipe#指定设备下次启动时使用startup-a2105.
ipe作为主用IPE文件.
boot-loaderfilecfa0:/startup-a2105.
ipeslot1mainboot-loaderfilecfa0:/startup-a2105.
ipeslot2main#查看主用、备用下次启动IPE文件是否配置成功.
displayboot-loader#重启设备,以便运行新的启动软件包完成升级.
reboot4.
验证配置设备重启后,查看IRF使用的启动软件包的版本.
displayversioni目录1自动配置1-11.
1自动配置简介·1-11.
2命令行支持情况·1-11.
3服务器自动配置·1-11.
3.
1服务器自动配置典型组网·1-11.
3.
2服务器自动配置任务简介·1-11.
3.
3配置文件服务器1-21.
3.
4准备配置文件·1-21.
3.
5准备配置脚本·1-31.
3.
6配置DHCP服务器·1-31.
3.
7配置DNS服务器1-51.
3.
8配置网关1-51.
3.
9准备获取配置文件的接口·1-61.
3.
10完成自动配置·1-61.
4自动配置典型配置举例1-61.
4.
1TFTP方式自动配置举例·1-61.
4.
2HTTPTcl方式自动配置举例·1-111.
4.
3HTTPPython方式自动配置举例1-121.
4.
4自动配置实现IRF零配置举例1-131-11自动配置1.
1自动配置简介自动配置功能是指设备在启动时自动获取并执行配置文件.
网络管理员只需将配置文件保存在指定的存储介质上,启动设备,即可实现自动配置,从而简化了网络配置,大大降低了网络管理员的工作量,便于实现对设备的集中管理.
本设备仅支持服务器自动配置.
服务器自动配置可以应用于网络规模较大,设备位置相对分散的场景.
1.
2命令行支持情况由于WX2500H-WiNet系列、WAC系列和WX2500H-LI系列不支持IRF功能,因此不支持IRF模式的命令行配置.
1.
3服务器自动配置1.
3.
1服务器自动配置典型组网服务器自动配置的典型组网环境如图1-1所示.
设备需要在DHCP服务器、文件服务器(TFTP服务器或HTTP服务器)和DNS服务器的配合下,实现服务器自动配置功能.
图1-1服务器自动配置典型组网图1.
3.
2服务器自动配置任务简介服务器自动配置任务如下:(1)配置文件服务器(2)准备配置文件或配置脚本DHCPserverFileserverDNSserverDeviceIPnetwork1-2准备配置文件准备配置脚本(3)配置DHCP服务器(4)(可选)配置DNS服务器(5)(可选)配置网关(6)准备获取配置文件的接口(7)完成自动配置1.
3.
3配置文件服务器设备可以通过HTTP或TFTP获取配置文件,管理员需要根据选用的方式在文件服务器上配置相应的HTTP服务或TFTP服务.
1.
3.
4准备配置文件1.
配置文件类型配置文件包括特定配置文件、部分或全部公用配置文件以及缺省配置文件(device.
cfg)三种类型,如表1-1所示.
表1-1配置文件类型以及支持的文件服务器配置文件类型适用的设备文件名要求支持的文件服务器特定配置文件具有特定配置需求的设备配置文件名.
cfg为了方便辨识文件名,尽量不要使用包含空格的配置文件名.
HTTP服务器TFTP服务器部分或全部共用配置文件配置需求全部或者部分相同的设备配置文件名.
cfg"配置文件名"可以是任意文件名.
HTTP服务器TFTP服务器缺省配置文件其它设备包含一般设备启动的公用配置信息device.
cfgTFTP服务器2.
配置文件准备过程管理员可以根据网络中不同设备的需求和文件服务器类型选择配置:(1)在文件服务器上为每个具有特定配置需求的设备准备特定配置文件.
(2)在文件服务器上以.
cfg为后缀名为部分或全部具有相同配置的设备保存一个配置文件.
(3)在TFTP服务器上保存名为device.
cfg的缺省配置文件为既没有特定配置文件也没有部分或全部共用配置文件的设备提供缺省配置.
3.
在TFTP服务器上准备主机名文件如果DHCP服务器未下发配置文件名,管理员还可以在TFTP服务器上创建主机名文件提供主机名和设备IP地址的对应关系,以保证执行自动配置的设备获取到配置文件.
1-3按照如下方式配置:(1)创建主机名文件,文件名必须设置为"network.
cfg".
(2)按照以下格式手工在文件中添加主机IP地址与主机名的映射关系,保证一行一条映射.
iphosthost-nameip-address例如,主机名文件中可以包括以下内容:iphosthost1101.
101.
101.
101iphosthost2101.
101.
101.
102iphostclient1101.
101.
101.
103iphostclient2101.
101.
101.
104主机名必须与主机的配置文件名保持一致.
1.
3.
5准备配置脚本1.
功能简介配置脚本可以实现自动更新版本、下发配置等功能.
目前设备支持的配置脚本包括Python脚本和Tcl脚本.
Python脚本使用的文件后缀固定为py,Tcl脚本使用的文件后缀固定为tcl.
关于Python脚本的详细介绍,请参见"基础配置指导"中的"Python".
关于Tcl脚本的详细介绍,请参见"基础配置指导"中的"Tcl".
2.
配置限制和指导使用Tcl脚本配置文件对设备进行自动配置时,若配置文件中的命令行错误(例如:命令行拼写错误、视图错误、设备不支持所配置的命令等),那么设备在执行到错误命令行时将直接中断自动配置操作.
使用配置脚本与使用配置文件有如下区别:在文件服务器上只支持配置特定配置脚本和部分或全部共用配置脚本两种形式,不支持缺省配置脚本.
在文件服务器上不支持使用主机名文件提供主机名和IP地址的对应关系.
有关"特定配置"、"部分或全部共用配置"、"缺省配置"以及"主机名和IP地址的对应关系"请参见"1.
3.
4准备配置文件".
3.
配置脚本准备过程管理员可以根据网络中不同设备的需求和文件服务器类型选择配置:(1)在文件服务器上为每个具有特定配置需求的设备准备特定配置脚本.
(2)在文件服务器上以.
tcl或.
py为后缀名为部分或全部具有相同配置的设备保存一个配置文件.
1.
3.
6配置DHCP服务器1.
功能简介DHCP服务器为执行服务器自动配置的设备分配IP地址,并向设备通告获取自动配置文件或配置脚本的途径.
DHCP服务器可以根据管理员需要的配置文件类型,进行相应的配置(下发配置脚本和下发配置文件实现一致,下面以下发配置文件为例):1-4如果管理员为每台设备分配特定配置文件,则需要在DHCP服务器上配置静态绑定关系,为每台设备分配特定的IP地址和配置文件名.
由于一个地址池下只能配置一条配置文件名的命令,所以DHCP服务器上每一个地址池视图只能配置一个静态绑定关系.
如果管理员为局域网内的部分设备分配相同的配置文件,可以在DHCP服务器上为使用部分共用配置文件的设备配置静态绑定关系,并指定文件服务器和部分共用配置文件名.
这时,这部分静态绑定关系需要在同一个DHCP地址池中配置.
也可以使用动态分配IP地址的方式,管理员需要划分合适的动态地址段,为这部分设备分配IP地址,并指定文件服务器和部分共用配置文件名.
如果管理员为局域网内的所有设备分配相同的配置文件,则需要在DHCP服务器上配置动态分配IP地址的方式.
为设备动态分配IP地址的同时,分配全部共用配置文件名.
如果采用这种方式,全部共用配置文件中只能包含这些设备共有的配置,每个设备特有的配置还需要其他方式完成(如管理员使用Telnet登录到设备上手工配置).
以上三种分配方式可以同时在一台DHCP服务器上配置.
2.
使用HTTP服务器下发配置文件或配置脚本(1)进入系统视图.
system-view(2)开启DHCP服务.
dhcpenable缺省情况下,DHCP服务处于关闭状态.
(3)创建DHCP地址池,并进入DHCP地址池视图.
dhcpserverip-poolpool-name(4)为客户端分配IP地址.
请至少选择其中一项进行配置.
配置DHCP地址池动态分配的主网段.
networknetwork-address[mask-length|maskmask]缺省情况下,未配置动态分配的主网段.
配置静态地址绑定.
static-bindip-addressip-address[mask-length|maskmask]{client-identifierclient-identifier|hardware-addresshardware-address[ethernet|token-ring]}缺省情况下,未配置静态地址绑定.
多次执行本命令,可以配置多个静态地址绑定.
同一地址只能绑定给一个客户端.
若需修改绑定必须先解除绑定.
(5)配置DHCP客户端使用的远程启动配置文件的HTTP形式URL.
bootfile-nameurl缺省情况下,未配置DHCP客户端使用的远程启动配置文件的HTTP形式URL.
3.
使用TFTP服务器下发配置文件或配置脚本(1)进入系统视图.
system-view(2)开启DHCP服务.
1-5dhcpenable缺省情况下,DHCP服务处于关闭状态.
(3)创建DHCP地址池,并进入DHCP地址池视图.
dhcpserverip-poolpool-name(4)为客户端分配IP地址.
请至少选择其中一项进行配置.
配置DHCP地址池动态分配的主网段.
networknetwork-address[mask-length|maskmask]缺省情况下,未配置动态分配的主网段.
配置静态地址绑定.
static-bindip-addressip-address[mask-length|maskmask]{client-identifierclient-identifier|hardware-addresshardware-address[ethernet|token-ring]}缺省情况下,未配置静态地址绑定.
多次执行本命令,可以配置多个静态地址绑定.
同一地址只能绑定给一个客户端.
若需修改绑定必须先解除绑定.
(5)指定TFTP服务器.
请选择其中一项进行配置.
配置DHCP客户端使用的TFTP服务器地址.
tftp-serverip-addressip-address缺省情况下,未配置DHCP客户端使用的TFTP服务器地址.
配置DHCP客户端使用的TFTP服务器名.
tftp-serverdomain-namedomain-name缺省情况下,未配置DHCP客户端使用的TFTP服务器名.
使用此方式指定TFTP服务器需要在网络中架设DNS服务器.
(6)配置DHCP客户端使用的启动配置文件名.
bootfile-namebootfile-name缺省情况下,未配置DHCP客户端使用的启动配置文件名.
1.
3.
7配置DNS服务器在使用服务器自动配置功能时,在如下两种情况时,管理员需要配置DNS服务器:当TFTP服务器上不存在主机名文件时,执行服务器自动配置的设备可以通过DNS服务器将自己的IP地址解析为主机名,以便从TFTP服务器获取到配置文件;如果设备从DHCP应答报文中获取到TFTP服务器的域名,设备还可以通过DNS服务器将TFTP服务器的域名解析为TFTP服务器的IP地址.
1.
3.
8配置网关如果DHCP服务器、文件服务器和DNS服务器与执行服务器自动配置的设备不在同一网段,则需要部署网关设备,使得各个服务器和设备之间路由可达,并在网关上配置DHCP中继功能.
1-61.
3.
9准备获取配置文件的接口设备在进行自动配置时,系统按照如下规则选取符合条件的接口:(1)若有处于链路状态UP的管理以太网接口,则优先选取管理以太网接口.
(2)若没有处于链路状态UP的管理以太网接口,有处于链路状态UP的二层以太网接口,则选取默认VLAN对应的VLAN接口.
(3)若没有处于链路状态UP的二层以太网接口,则按照接口类型字典序、接口编号从小到大的顺序依次选择处于链路状态UP的三层以太网接口.
(4)若没有处于链路状态UP的三层以太网接口,则在30秒后开始下次服务器自动配置接口选择过程.
建议管理员将设备的管理以太网接口连入网络中,这样可以加快服务器自动配置的速度.

1.
3.
10完成自动配置(1)上电启动需要进行自动配置的设备.
设备进入服务器自动配置时:如果获取并执行配置文件成功,则整个服务器自动配置过程结束.
如果获取不到自动配置文件,则本次自动配置尝试失败,设备将继续尝试自动配置.
用户可以等待尝试次数达到上限,设备自动结束自动配置,或根据提示信息,使用或快捷键手工终止自动配置.
自动配置失败并结束后,设备将以空配置启动.

(2)在完成自动配置的设备上保存配置.
save设备在文件服务器获取到的配置文件执行完成后,该文件将被删除.
建议在配置文件执行完成后保存配置.
本命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".

1.
4自动配置典型配置举例1.
4.
1TFTP方式自动配置举例1.
组网需求如图1-2所示,某公司下属两个部门:市场部门和研发部门,两个部门通过不同的网关设备连入网络.
要求连接终端主机的设备AC1、AC2、AC3和AC4执行自动配置功能,启动后自动获取并执行配置文件,以实现:网络管理员能够通过Telnet方式登录、控制设备.
登录设备时需要进行认证,且登录不同部门的设备使用的用户名和密码不能相同,以提供一定的安全保证.
具体组网情况如下:SwitchA作为DHCP服务器,分别为市场部和研发部的主机分配IP地址和其他网络配置参数.
网关SwitchB和SwitchC作为DHCP中继设备.
一台运行TFTP管理软件的TFTP服务器上保存配置文件.
1-72.
组网图图1-2TFTP方式自动配置组网图3.
配置步骤(1)SwitchA的配置#配置接口IP地址system-view[SwitchA]vlan2[SwitchA-vlan2]portgigabitethernet1/0/1[SwitchA-vlan2]quit[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress192.
168.
1.
4224[SwitchA-Vlan-interface2]quit#开启DHCP服务.
[SwitchA]dhcpenable#配置VLAN接口2工作在DHCP服务器模式.
[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]dhcpselectserver[SwitchA-Vlan-interface2]quit#配置DHCP地址池market,为市场部动态分配192.
168.
2.
0/24网段的地址,并指定TFTPserver地址、网关地址和配置文件名.
[SwitchA]dhcpserverip-poolmarket[SwitchA-dhcp-pool-market]network192.
168.
2.
024[SwitchA-dhcp-pool-market]tftp-serverip-address192.
168.
1.
40[SwitchA-dhcp-pool-market]gateway-list192.
168.
2.
1[SwitchA-dhcp-pool-market]bootfile-namemarket.
cfg[SwitchA-dhcp-pool-market]quitSwitchADHCPserverSwitchBDHCPrelayagentMarketingGE1/0/1GE1/0/2Vlan-int2GE1/0/3192.
168.
1.
41/24192.
168.
1.
40/24SwitchCDHCPrelayagentR&DGE1/0/1GE1/0/2TFTPserverVlan-int2GE1/0/1192.
168.
1.
42/24Vlan-int2GE1/0/3192.
168.
1.
43/24AC1AC2AC3AC4GE1/0/1GE1/0/1GE1/0/1GE1/0/1Vlan-int3192.
168.
2.
1/24Vlan-int3192.
168.
3.
1/24…………1-8#配置DHCP地址池rd,为研发部动态分配192.
168.
3.
0/24网段的地址,并指定TFTPserver地址、网关地址和配置文件名.
[SwitchA]dhcpserverip-poolrd[SwitchA-dhcp-pool-rd]network192.
168.
3.
024[SwitchA-dhcp-pool-rd]tftp-serverip-address192.
168.
1.
40[SwitchA-dhcp-pool-rd]gateway-list192.
168.
3.
1[SwitchA-dhcp-pool-rd]bootfile-namerd.
cfg[SwitchA-dhcp-pool-rd]quit#配置到达DHCP中继的静态路由.
[SwitchA]iproute-static192.
168.
2.
024192.
168.
1.
41[SwitchA]iproute-static192.
168.
3.
024192.
168.
1.
43[SwitchA]quit(2)SwitchB的配置#配置接口的IP地址system-view[SwitchB]vlan2[SwitchB-vlan2]portgigabitethernet1/0/3[SwitchB-vlan2]quit[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress192.
168.
1.
4124[SwitchB-Vlan-interface2]quit[SwitchB]vlan3[SwitchB-vlan3]portgigabitethernet1/0/1[SwitchB-vlan3]portgigabitethernet1/0/2[SwitchB-vlan3]quit[SwitchB]interfacevlan-interface3[SwitchB-Vlan-interface3]ipaddress192.
168.
2.
124[SwitchB-Vlan-interface3]quit#开启DHCP服务.
[SwitchB]dhcpenable#配置VLAN接口3工作在DHCP中继模式.
[SwitchB]interfacevlan-interface3[SwitchB-Vlan-interface3]dhcpselectrelay#配置DHCP服务器的地址.
[SwitchB-Vlan-interface3]dhcprelayserver-address192.
168.
1.
42(3)SwitchC的配置#配置接口的IP地址system-view[SwitchC]vlan2[SwitchC-vlan2]portgigabitethernet1/0/3[SwitchC-vlan2]quit[SwitchC]interfacevlan-interface2[SwitchC-Vlan-interface2]ipaddress192.
168.
1.
4324[SwitchC-Vlan-interface2]quit[SwitchC]vlan3[SwitchC-vlan3]portgigabitethernet1/0/11-9[SwitchC-vlan3]portgigabitethernet1/0/2[SwitchC-vlan3]quit[SwitchC]interfacevlan-interface3[SwitchC-Vlan-interface3]ipaddress192.
168.
3.
124[SwitchC-Vlan-interface3]quit#开启DHCP服务.
[SwitchC]dhcpenable#配置VLAN接口3工作在DHCP中继模式.
[SwitchC]interfacevlan-interface3[SwitchC-Vlan-interface3]dhcpselectrelay#配置DHCP服务器的地址.
[SwitchC-Vlan-interface3]dhcprelayserver-address192.
168.
1.
42(4)TFTP服务器配置在TFTPserver创建配置文件market.
cfg,文件内容如下:#sysnameMarket#telnetserverenable#vlan3#local-usermarketpasswordsimplemarketservice-typetelnetquit#interfaceVlan-interface3ipaddressdhcp-allocquit#interfacegigabitethernet1/0/1portaccessvlan3quit#user-interfacevty04authentication-modeschemeuser-rolenetwork-admin#return在TFTP服务器创建配置文件rd.
cfg,文件内容如下:#sysnameRD#telnetserverenable#vlan3#1-10local-userrdpasswordsimplerdservice-typetelnetquit#interfaceVlan-interface3ipaddressdhcp-allocquit#interfacegigabitethernet1/0/1portaccessvlan3quit#user-interfacevty04authentication-modeschemeuser-rolenetwork-admin#return#启动TFTP管理软件,并指定TFTP的工作路径为保存上述配置文件的路径.
#以WindowsXP系统的主机为例,需保证TFTP服务器与DHCP中继之间路由可达.
4.
验证配置(1)AC1、AC2、AC3和AC4在没有配置文件的情况下启动.
启动成功后,在AC1上查看地址池中的地址绑定信息.
displaydhcpserverip-in-useIPaddressClient-identifier/LeaseexpirationTypeHardwareaddress192.
168.
2.
23030-3066-2e65-3233-May605:21:252013Auto(C)642e-3561-6633-2d56-6c61-6e2d-696e-7465-7266-6163-6533192.
168.
2.
33030-3066-2e65-3230-May605:22:502013Auto(C)302e-3232-3033-2d56-6c61-6e2d-696e-7465-7266-6163-6533192.
168.
3.
23030-6530-2e66-6330-May605:23:152013Auto(C)302e-3335-3131-2d56-6c61-6e2d-696e-7465-7266-6163-6531192.
168.
3.
33030-6530-2e66-6330-May605:24:102013Auto(C)302e-3335-3135-2d56-6c61-6e2d-696e-7465-7266-6163-6532(2)在AC1上执行如下命令:telnet192.
168.
2.
2(3)输入用户名market、密码market后,可以登录AC1或AC2.
1-111.
4.
2HTTPTcl方式自动配置举例1.
组网需求如图1-3所示,AC启动后自动从HTTP服务器获取Tcl脚本启动配置文件,并执行该文件,以实现:网络管理员能够通过Telnet方式登录、控制设备.
登录设备时需要进行认证,以提供一定的安全保证.
2.
组网图图1-3HTTPTcl方式自动配置组网图3.
配置步骤(1)配置DHCP服务器#开启DHCP服务,创建名称为1的DHCP地址池,配置地址池动态分配IP地址的网段为192.
168.
1.
0/24.
system-view[DeviceA]dhcpenable[DeviceA]dhcpserverip-pool1[DeviceA-dhcp-pool-1]network192.
168.
1.
024#配置DHCP客户端远程启动配置文件为HTTP形式的URL.
[DeviceA-dhcp-pool-1]bootfile-namehttp://192.
168.
1.
40/device.
tcl(2)配置HTTP服务器,保证AC可以从HTTP服务器成功下载配置文件device.
tcl.
#在HTTP服务器创建配置文件device.
tcl,文件内容如下:returnsystem-viewtelnetserverenablelocal-useruserpasswordsimpleabcabcservice-typetelnetquituser-interfacevty04authentication-modeschemeuser-rolenetwork-adminquitinterfacegigabitethernet1/0/1portlink-moderouteACDeviceADHCPserverHTTPserverGE1/0/1192.
168.
1.
1192.
168.
1.
40GE1/0/11-12ipaddressdhcp-allocreturn#启动HTTP管理软件,开启HTTP服务(配置过程略).
4.
验证配置(1)AC在没有配置文件的情况下启动.
启动成功后,在DeviceA上查看地址池中的地址绑定信息.
displaydhcpserverip-in-useIPaddressClientidentifier/LeaseexpirationTypeHardwareaddress192.
168.
1.
20030-3030-632e-3239-Dec1217:41:152013Auto(C)3035-2e36-3736-622d-4574-6830-2f30-2f32(2)在DeviceA上执行如下命令:telnet192.
168.
1.
2(3)输入用户名user、密码abcabc后,用户可以登录AC.
1.
4.
3HTTPPython方式自动配置举例1.
组网需求如图1-4所示,AC启动后自动从HTTP服务器获取Python脚本启动配置文件,并执行该文件,以实现:网络管理员能够通过Telnet方式登录、控制设备.
登录设备时需要进行认证,以提供一定的安全保证.
2.
组网图图1-4HTTPPython方式自动配置组网图3.
配置步骤(1)配置DHCP服务器#开启DHCP服务,创建名称为1的DHCP地址池,配置地址池动态分配IP地址的网段为192.
168.
1.
0/24.
system-view[DeviceA]dhcpenable[DeviceA]dhcpserverip-pool1[DeviceA-dhcp-pool-1]network192.
168.
1.
024ACDeviceADHCPserverHTTPserverGE1/0/1192.
168.
1.
1192.
168.
1.
40GE1/0/11-13#配置DHCP客户端远程启动配置文件为HTTP形式的URL.
[DeviceA-dhcp-pool-1]bootfile-namehttp://192.
168.
1.
40/device.
py(2)配置HTTP服务器,保证AC可以从HTTP服务器成功下载配置文件device.
py.
#在HTTP服务器创建配置文件device.
py,文件内容如下:#!
usr/bin/pythonimportcomwarecomware.
CLI('system-view;telnetserverenable;local-useruser;passwordsimpleabcabc;service-typetelnet;quit;user-interfacevty04;authentication-modescheme;user-rolenetwork-admin;quit;interfacegigabitethernet1/0/1;portlink-moderoute;ipaddressdhcp-alloc;return')#启动HTTP管理软件,开启HTTP服务(配置过程略).
4.
验证配置(1)AC在没有配置文件的情况下启动.
启动成功后,在DeviceA上查看地址池中的地址绑定信息.
displaydhcpserverip-in-useIPaddressClientidentifier/LeaseexpirationTypeHardwareaddress192.
168.
1.
20030-3030-632e-3239-Dec1217:41:152013Auto(C)3035-2e36-3736-622d-4574-6830-2f30-2f32(2)在DeviceA上执行如下命令:telnet192.
168.
1.
2(3)输入用户名user、密码abcabc后,用户可以登录AC.
1.
4.
4自动配置实现IRF零配置举例1.
组网需求如图1-5所示,AC1和AC2通过管理以太网口分别与HTTP服务器和DeviceA相连.
DeviceA上开启DHCP服务.
为网络中的设备动态分配192.
168.
1.
0/24网段的IP地址.
现要求通过自动配置实现AC1和AC2根据脚本自动执行IRF配置的相关命令.
然后再连接AC1和AC2之间的线缆,完成IRF的建立.
1-142.
组网图图1-5服务器自动配置实现IRF零配置组网图3.
配置步骤(1)配置设备接口地址,保证设备间路由可达.
配置HTTP服务器.
启动HTTP管理软件,开启HTTP服务(配置过程略).
针对IRF零配置,HTTP服务器上需要配置Python脚本文件、配置文件、sn.
txt和软件启动包等文件.
以下是关于各文件的介绍:Python脚本文件:Python脚本是设备进行IRF零配置操作的主要文件,需要管理员自行准备并保存在HTTP服务器上.
Python脚本需要完成的操作:设备判断flash是否存在足够的存储空间(可选);设备从HTTP服务器下载配置文件;设备从HTTP服务器下载启动软件包(可选);设备从HTTP服务器下载sn.
txt文件;配置设备下次启动时使用的启动软件包(可选);解析sn.
txt文件并修改设备的IRF成员编号;配置设备下次启动时使用的配置文件;设备重新启动.
配置文件:配置文件包含了所有设备进行IRF的相关命令,管理员可以在已经成功创建IRF的设备上,将配置文件导出并修改然后保存在HTTP服务器上,供需要创建类似拓扑IRF的设备下载使用.
sn.
txt文件:每个设备都有唯一的设备序列号,sn.
txt文件根据设备的序列号来指定设备在IRF组中的成员编码.
设备通过运行Python脚本来解析sn.
txt文件,然后修改设备的IRF成员编号,并根据自身的成员编号来完成相应的IRF配置.
软件启动包:软件启动包是设备启动、运行的必备软件,需保存在HTTP服务器上.
如果现有设备(包括主设备和备设备)的启动软件包全部一致且不需要升级软件版本,可不需要准备该文件.
(2)在DeviceA上配置DHCP服务器DeviceADHCPserverHTTPserverIRF192.
168.
1.
40GE1/0/1192.
168.
1.
1/24AC1MGE1/0/1MGE1/0/1GE1/0/2IRF-port1/2GE1/0/2IRF-port2/1AC21-15#开启DHCP服务,创建名称为1的DHCP地址池,配置地址池动态分配IP地址的网段为192.
168.
1.
0/24.
system-view[DeviceA]dhcpenable[DeviceA]dhcpserverip-pool1[DeviceA-dhcp-pool-1]network192.
168.
1.
024#配置DHCP客户端远程启动配置文件为HTTP形式的URL.
[DeviceA-dhcp-pool-1]bootfile-namehttp://192.
168.
1.
40/device.
py[DeviceA-dhcp-pool-1]quit#配置接口GigabitEthernet1/0/1工作在DHCP服务器模式.
[DeviceA]interfacegigabitethernet1/0/1[DeviceA-GigabitEthernet1/0/1]dhcpselectserver[DeviceA-GigabitEthernet1/0/1]quit(3)设备根据DHCP服务器获取到Python脚本文件,执行Python脚本下载配置文件和软件启动包;解析sn.
txt文件生成IRF成员编号.
然后,所有设备会执行重启操作.
(4)设备重启完毕后,连接AC1和AC2之间的线缆,连接好线缆后设备将进行IRF选举,选举失败的一台设备会再次重启.
当设备自动重启后,AC1和AC2成功组成IRF.
4.
验证配置下面以AC1为例验证设备是否成功组成IRF,AC2和AC1类似,不再赘述.
#显示IRF中所有成员设备的相关信息.
displayirfMemberIDSlotRolePriorityCPU-MacDescription11Standby100e0-fc0f-8c02---*+21Master3000e0-fc0f-8c14---*indicatesthedeviceisthemaster.
+indicatesthedevicethroughwhichtheuserlogsin.
TheBridgeMACoftheIRFis:000c-1000-1111Autoupgrade:yesMacpersistent:alwaysDomainID:0Automerge:yes以上显示信息表明IRF已经成功建立.
i目录1Python·1-11.
1Python简介·1-11.
2执行Python脚本文件·1-11.
3进入Pythonshell1-11.
4导入Comware包以使用扩展API1-11.
4.
1导入整个Comware包并执行扩展API·1-11.
4.
2导入单个API函数并执行该函数·1-21.
5退出Pythonshell1-21.
6Python典型配置举例·1-21.
6.
1Python基础配置举例·1-22Comware扩展PythonAPI2-12.
1CLI·2-12.
2get_error·2-22.
3get_output2-22.
4get_self_slot·2-32.
5get_slot_info·2-32.
6get_slot_range2-42.
7get_standby_slot·2-42.
8Transfer·2-51-11Python1.
1Python简介Python是一种简单易学,功能强大的编程语言,它有高效率的高层数据结构,简单而有效地实现了面向对象编程.
Python简洁的语法和对动态输入的支持,再加上解释性语言的本质,使得它在大多数平台上的许多领域都是一个理想的脚本语言,特别适用于快速的应用程序开发.