H3CSR8800万兆核心路由器基础配置指导杭州华三通信技术有限公司http://www.
h3c.
com.
cn资料版本:6W102-20120116产品版本:SR8800-CMW520-R3347Copyright2011-2012杭州华三通信技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
H3C、、Aolynk、、H3Care、、TOPG、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标.
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言H3CSR8800万兆核心路由器配置指导共分为十三本手册,介绍了SR8800万兆核心路由器各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例.
《基础配置指导》主要介绍了如何使用命令行接口、如何登录路由器,以及软件升级、设备管理等功能的配置.
前言部分包含如下内容:读者对象本书约定产品配套资料资料获取方式技术支持资料意见反馈读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
图形界面格式约定格式意义带尖括号""表示按钮名,如"单击按钮".
[]带方括号"[]"表示窗口名、菜单名和数据表,如"弹出[新建用户]窗口".
格式意义/多级菜单用"/"隔开.
如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项.
3.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
4.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
产品配套资料H3CSR8800万兆核心路由器的配套资料包括如下部分:大类资料名称内容介绍产品知识介绍产品彩页帮助您了解产品的主要规格参数及亮点技术白皮书帮助您了解产品和特性功能,对于特色及复杂技术从细节上进行介绍单板datasheet帮助您了解单板属性、特点、支持的标准等硬件描述与安装安全兼容性手册列出产品的兼容性声明,并对兼容性和安全的细节进行说明安装手册帮助您详细了解设备硬件规格和安装方法,指导您对设备进行安装H3CN68机柜安装及改制说明书指导您如何安装N68机柜及改制N68机柜H3C可插拔SFP[SFP+][XFP]模块安装指南帮助您掌握SFP/SFP+/XFP模块的正确安装方法,避免因操作不当而造成器件损坏大类资料名称内容介绍H3C高端网络产品可插拔模块手册帮助您了解H3C高端网络产品支持的可插拔模块类型、外观和规格安装视频帮助您详细了解设备安装方法,指导您对设备进行安装业务配置配置指导帮助您掌握设备软件功能的配置方法及配置步骤命令参考详细介绍设备的命令,相当于命令字典,方便您查阅各个命令的功能版本说明书帮助您了解产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法错误码查询手册提供QoS中各个错误码对应的具体错误说明,供您定位问题时查询参考资料获取方式您可以通过H3C网站(www.
h3c.
com.
cn)获取最新的产品资料:H3C网站与产品资料相关的主要栏目介绍如下:[服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料.
[产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等.
[解决方案]:可以获取解决方案类资料.
[服务支持/软件下载]:可以获取与软件版本配套的资料.
技术支持用户支持邮箱:customer_service@h3c.
com技术支持热线电话:400-810-0504(手机、固话均可拨打)网址:http://www.
h3c.
com.
cn资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1CLI·1-11.
1认识命令行接口·1-11.
2开始使用命令行接口·1-11.
3命令行格式约定·1-11.
4命令的undo格式1-21.
5命令视图·1-21.
5.
1命令视图简介·1-21.
5.
2进入系统视图·1-31.
5.
3退出当前视图·1-31.
5.
4返回用户视图·1-41.
6使用命令行在线帮助·1-41.
7命令行输入1-51.
7.
1编辑命令行·1-51.
7.
2快速输入命令行1-61.
7.
3配置命令行的别名·1-61.
7.
4配置命令行的快捷键1-71.
7.
5命令行输入回显功能1-81.
8解读输入错误提示信息·1-91.
9使用历史命令·1-91.
9.
1调用历史命令·1-91.
9.
2配置历史命令缓冲区的大小1-101.
10便捷的查看显示信息·1-101.
10.
1分屏显示1-101.
10.
2正则表达式过滤显示·1-111.
11配置用户级别和命令级别1-131.
11.
1级别简介1-131.
11.
2配置用户级别·1-141.
11.
3切换用户级别·1-171.
11.
4修改命令级别·1-191.
12保存当前配置·1-201.
13CLI显示和维护·1-201-11CLI1.
1认识命令行接口命令行接口是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,从而对设备进行配置和管理,并可以通过查看输出信息确认配置结果.
对比图形界面使用鼠标点击相关选项进行设置,命令行接口形式可以一次输入含义更为丰富的指令.
设备的命令行接口界面如图1-1所示:图1-1命令行接口界面图1-1所示显示信息仅为示意,请以设备实际显示为准.
1.
2开始使用命令行接口设备支持多种方式进入命令行接口,比如通过Console口登录设备后进入命令行接口界面、通过Telnet方式登录设备后进入命令行接口界面、通过SSH方式登录设备后进入命令行接口界面等,各方式的详细描述请参见"基础配置指导"中的"登录设备".
1.
3命令行格式约定命令行格式约定可以帮助您理解命令含义,手册中命令行表示规则遵循表1-1约定:表1-1命令行格式约定格式意义粗体命令行关键字(命令中保持不变的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}从两个或多个选项中仅选取一个.
[x|y|.
.
.
]从两个或多个选项中选取一个或者不选.
{x|y从两个或多个选项中至少选取一个.
1-2格式意义[x|y从两个或多个选项中选取一个、多个或者不选.
&符号"&"前面的参数可以重复输入1~n次.
#由"#"号开始的行为注释行.
命令行关键字输入时不区分大小写.
根据表1-1解读命令clockdatetimetimedate:图1-2命令行解读示例:使用如下命令行,则可以将设备的系统时间设置为2010年2月23日10时30分20秒.
clockdatetime10:30:202/23/2010如遇到其他更为复杂的命令格式,都可以参照表1-1来解读其逻辑关系.
1.
4命令的undo格式命令的undo格式一般用来恢复缺省情况、禁用某个功能或者删除某项设置.
在命令前加undo关键字,即为命令的undo格式,几乎每条配置命令都有对应的undo格式.
例如,info-centerenable命令用来开启信息中心;undoinfo-centerenable命令用来关闭信息中心.
1.
5命令视图1.
5.
1命令视图简介设备提供丰富的功能,也提供了相应的配置和查询命令.
为便于您使用这些命令,设备将命令按功能进行分类组织.
功能分类与命令视图对应,当要配置某功能的某条命令时,需要先进入这条命令所在的视图.
命令视图采用分层结构,它们之间既有联系又有区别.
如图1-3所示,用户登录设备后,直接进入用户视图.
此时屏幕显示的提示符是:.
用户视图下可执行的操作主要包括查看操作、调试操作、文件管理操作、设置系统时间、重启设备、FTP和Telnet操作等.
("设备名"可以通过sysname命令来配置,sysname命令介绍请参见"基本配置命令参考"中的"设备管理"):命令行关键字:命令行参数输入实际配置值clockdatetimetimedate1-3从用户视图可以进入系统视图,系统视图下能对设备运行参数进行配置,比如配置夏令时、配置欢迎信息、配置快捷键等.
在系统视图下键入不同的命令,可以进入相应的功能视图,完成各种功能的配置,比如:进入接口视图配置接口参数、创建VLAN并进入VLAN视图、进入用户界面视图配置登录用户的属性、创建本地用户并进入本地用户视图配置本地用户的密码和级别等.
想要了解某命令视图下支持哪些命令,请在命令视图提示符下键入"",系统将自动罗列出该命令行视图下可以执行的所有命令.
图1-3命令视图示意图1.
5.
2进入系统视图当用户登录到设备后,会自动进入用户视图,此时屏幕显示的提示符是:.
用户视图可执行的操作有限(比如查看操作、文件操作、FTP和Telnet操作等),需要进入系统视图,才能进一步对设备进行配置.
表1-2进入系统视图操作命令说明进入系统视图system-view必选该命令在用户视图下执行1.
5.
3退出当前视图命令视图采用分层结构,比如用户视图下有系统视图,系统视图下又有接口视图、VLAN视图等.
当前视图下的功能配置完成,需要退出当前视图时,可以进行如下操作.
……1-4表1-3退出当前视图操作命令说明从当前视图返回上一级视图quit必选该命令可在任意视图下执行用户视图下执行quit命令会中断用户终端与设备之间的当前连接.
公共密钥编辑视图下请使用public-key-codeend返回上一级视图(公共密钥视图);公共密钥视图下请使用peer-public-keyend命令返回系统视图.
1.
5.
4返回用户视图本特性为用户提供了一种快捷的、从任意的非用户视图返回到用户视图的方式,而不需要多次执行quit命令.
用户也可以直接按组合键从当前视图退回到用户视图.
表1-4退回用户视图操作命令说明返回用户视图return必选该命令可在任意的非用户视图下执行1.
6使用命令行在线帮助在命令行输入过程中,您可以随时键入""以获得详尽的在线帮助.
下面给出常见的在线帮助应用场景,供您参考使用:(1)在任意视图下,键入即可获取该视图下您可以使用的所有命令及其简单描述.
例如:Userviewcommands:cfdConnectivityfaultdetection(IEEE802.
1ag)displayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction……略……(2)键入一条命令的关键字,后接以空格分隔的.
如果位置为关键字,则列出全部关键字及其简单描述.
例如:terminaldebuggingSenddebuginformationtoterminalloggingSendloginformationtoterminal1-5monitorSendinformationoutputtocurrentterminaltrappingSendtrapinformationtoterminal如果位置为参数,则列出有关的参数描述.
例如:system-view[Sysname]interfacevlan-interfaceVLANinterfacenumber[Sysname]interfacevlan-interface1[Sysname]interfacevlan-interface1表示命令行当前位置无参数,直接键入回车即可执行.
(3)键入命令的不完整关键字,其后紧接,显示以该字符串开头的所有命令关键字.
例如:ffdiskfixdiskformatfreeftpdisplayftpftpftp-serverftp-user1.
7命令行输入1.
7.
1编辑命令行输入命令行时的常用编辑功能,请参见表1-5的介绍.
表1-5编辑功能表按键功能普通按键若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标退格键删除光标位置的前一个字符,光标前移左光标键←或光标向左移动一个字符位置右光标键→或光标向右移动一个字符位置键输入不完整的关键字后按下键,系统自动补全关键字:如果与之匹配的关键字唯一,则系统用此完整的关键字替代原输入并换行显示;如果与之匹配的关键字不唯一,则反复按键,可以循环显示所有以输入字符串开头的关键字;如果没有与之匹配的关键字,系统会不作任何修改,重新换行显示原输入.
1-61.
7.
2快速输入命令行设备支持不完整关键字输入,即在当前视图下,当输入的字符足够匹配唯一的关键字时,可以不必输入完整的关键字.
该功能提供了一种快捷的输入方式,有助提高操作效率.
比如用户视图下以s开头的命令有startupsaved-configuration、system-view等.
如果要输入system-view,可以直接输入sy(注意不能只输入s,因为输入不能确定唯一匹配关键字).
如果要输入startupsaved-configuration,可以直接输入sts;您可以按键由系统自动补全关键字的全部字符,以确认系统的选择是否为所需输入的关键字.
1.
7.
3配置命令行的别名通过配置命令行别名,用户可以将设备当前支持的命令行的第一个关键字替换为自己惯用的关键字.
比如将display的别名设置为show,这样在设备上执行displayxx命令时只需要输入showxx即可.
在配置命令行别名时,需要遵循以下约定:当查看当前配置信息以及保存配置信息时,用户输入的带别名的命令将以系统原始的命令形式被显示或存储,而不会以别名的形式.
即用户的别名命令可以使用,但不会参与配置保存和恢复.
配置命令行别名时,输入的待替换的关键字(cmdkey)和替换后的关键字(alias)参数必须是完整的输入形式.
在用户启动别名功能的情况下,当用户输入不完整关键字,且该关键字与用户已匹配的别名以及现有某关键字同时部分匹配时,以别名替换优先.
用户想输入现有关键字对应的命令需要完整输入该关键字.
如果用户输入的字符串与多个所设置的别名部分匹配,则输出歧义匹配信息.
当用户对别名关键字使用键时,将联想出所对应的原始关键字.
不支持对整个命令行的替换.
只支持对第一关键字的别名设置,以及undo命令的第二关键字的别名替换.
表1-6配置命令行的别名操作命令说明进入系统视图system-view-使能命令行别名功能command-aliasenable必选缺省情况下,命令行别名功能处于关闭状态给指定的命令行配置别名command-aliasmappingcmdkeyalias必选缺省情况下,命令行没有配置别名您可以随时使用displaycommand-alias命令来显示当前已经设置的命令行别名.
1-71.
7.
4配置命令行的快捷键为便于用户对常用命令进行快捷操作,系统提供了五个快捷键供用户自定义.
只要用户按下某个快捷键,系统即可执行对应的命令.
表1-7配置命令行的快捷键操作命令说明进入系统视图system-view-配置命令行的快捷键hotkey{CTRL_G|CTRL_L|CTRL_O|CTRL_T|CTRL_U}command可选缺省情况请参见表下方的说明显示系统中快捷键的分配信息displayhotkey[|{begin|exclude|include}regular-expression]可在任意视图下执行,系统保留的快捷键请参见表1-8缺省情况下,系统为、、三个快捷键指定了对应的命令,其它两个快捷键、缺省值为NULL(空).
对应命令displaycurrent-configuration(显示当前配置);对应命令displayiprouting-table(显示IPv4路由表信息);对应命令undodebuggingall(关闭所有模块的调试信息开关).
表1-8系统保留的快捷键快捷键功能将光标移动到当前行的开头将光标向左移动一个字符停止当前正在执行的功能删除当前光标所在位置的字符将光标移动到当前行的末尾将光标向右移动一个字符删除光标左侧的一个字符终止呼出的连接显示历史命令缓冲区中的后一条命令显示历史命令缓冲区中的前一条命令重新显示当前行信息粘贴剪贴板的内容删除光标左侧连续字符串内的所有字符删除光标左侧所有的字符删除光标右侧所有的字符1-8快捷键功能退回到用户视图终止呼入的连接或重定向连接将光标移动到左侧连续字符串的首字符处删除光标所在位置及其右侧连续字符串内的所有字符将光标向右移到下一个连续字符串之前将光标向下移动一行(键入回车前有效)将光标向上移动一行(键入回车前有效)将光标所在位置指定为剪贴板的开始位置>将光标所在位置指定为剪贴板的结束位置以上快捷键为设备所定义,当用户使用终端软件与设备进行交互时,这些快捷键可能在终端软件中被定义为其它指令.
此时,快捷键的操作优先遵从终端软件的定义,而不会对设备生效.
1.
7.
5命令行输入回显功能当您在未完成输入操作却被大量的系统信息打断时,开启此功能可以回显您已经输入而未提交执行的信息,方便您继续完成未输入的内容.
表1-9配置命令行输入回显功能操作命令说明进入系统视图system-view-打开命令行输入回显功能info-centersynchronous必选缺省情况下,命令行输入回显功能处于关闭状态在当前命令行提示符下,如果用户没有任何输入,此时若有日志等系统信息输出,输出后将不会回显命令行提示符;当处在交互状态,需要用户输入一些交互信息时(非Y/N确认信息),因为情况各异,所以若有系统信息输出,输出后不再回显提示信息,而只是将用户已有的输入换行打印出来.
info-centersynchronous命令的详细介绍请参见"系统网络管理和监控配置指导"中的"信息中心".
1-91.
8解读输入错误提示信息您所有键入的命令,如果通过设备的语法检查,则正确执行,否则向您报告错误信息,常见错误信息参见表1-10.
表1-10命令行常见错误信息表英文错误信息错误原因%Unrecognizedcommandfoundat'^'position.
在符号'^'指示位置的命令无法解析%Incompletecommandfoundat'^'position.
在符号'^'指示位置的命令不完整%Ambiguouscommandfoundat'^'position.
在符号'^'指示位置的参数不明确,存在二义性Toomanyparameters输入参数太多%Wrongparameterfoundat'^'position.
在符号'^'指示位置的参数错误1.
9使用历史命令命令行接口会将您最近使用的历史命令自动保存到历史命令缓存区,您可以随时了解最近执行的命令,以及调用保存的历史命令来进行重复输入.
1.
9.
1调用历史命令表1-11调用历史命令操作命令或按键结果显示历史命令displayhistory-command[|{begin|exclude|include}regular-expression]显示用户输入的有效历史命令访问上一条历史命令上光标键↑或如果还有更早的历史命令,则显示上一条历史命令访问下一条历史命令下光标键↓或如果还有更晚的历史命令,则显示下一条历史命令用光标键对历史命令进行访问,在Windows200X及XP的Terminal和Telnet下均有效,但对于Windows9X超级终端,↑、↓光标键会无效,这是由于Windows9X的超级终端对这两个键作了不同解释所致,这时可以用组合键和来达到同样效果.
下面是关于历史命令的一些详细说明,您可以做进一步了解:设备保存的历史命令与用户输入的命令格式相同,如果您使用了命令的不完整形式,保存的历史命令也是不完整形式.
如果您连续多次执行同一条命令,设备的历史命令中只保留最早的一次.
但如果执行时输入的形式不同,将作为不同的命令对待.
例如:多次执行displaycu命令,历史命令中只保存一条.
如果执行displaycu和displaycurrent-configuration,将保存为两条历史命令.
1-101.
9.
2配置历史命令缓冲区的大小表1-12配置终端属性操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|tty|vty}first-num2[last-num2]}-设置历史命令缓冲区可存放的历史命令的条数history-commandmax-sizesize-value可选缺省情况下,历史命令缓冲区可存放10条历史命令user-interface和history-commandmax-size命令的详细介绍请参见"基础配置命令参考"中的"登录设备".
1.
10便捷的查看显示信息1.
10.
1分屏显示1.
控制分屏显示当显示信息较多超过一屏时,系统会自动暂停将信息分屏显示,方便您查看显示信息.
这时您可以使用表1-13所示的按键来选择下一步操作.
表1-13显示功能表按键或命令功能键入空格键继续显示下一屏信息键入回车键继续显示下一行信息键入停止显示和命令执行显示上一页信息显示下一页信息缺省情况下,一屏显示24行信息,您也可以使用screen-length命令设置用户界面下一屏显示的行数(screen-length命令的详细介绍请参见"基础配置命令参考"中的"登录设备").
2.
关闭分屏显示功能您可以通过以下配置禁用当前登录用户的分屏显示功能.
禁止分屏显示时,会一次显示所有信息,如果信息较多,则会连续刷屏,不方便立即查看.
1-11表1-14禁止分屏显示操作命令说明禁用当前用户的分屏显示功能screen-lengthdisable必选缺省情况下,用户登录后将遵循用户界面下的screen-length设置.
screen-length设置的缺省情况为:允许分屏显示,下一屏显示24行数据该操作在用户视图下执行,仅对当前用户有效,用户重登录后将恢复到缺省情况1.
10.
2正则表达式过滤显示1.
正则表达式过滤简介在执行display命令查看显示信息时,用户可以使用正则表达式来过滤显示信息,以便快速的找到自己关注的信息.
过滤显示的使用方法有两种:在命令行中通过输入|{begin|exclude|include}regular-expression参数的方式来过滤显示;在分屏显示时,使用"/"、"-"或"+"符号加正则表达式的方式,它将对剩余还未显示的信息使用正则表达式进行过滤显示.
其中,"/"等同关键字begin;"-"等同关键字exclude;"+"等同关键字include.
begin、exclude或include关键字的含义如下:begin:显示特定行及其以后的所有行,该特定行必须包含指定正则表达式.
exclude:显示不包含指定正则表达式的所有行.
include:只显示包含指定正则表达式的所有行.
正则表达式(regular-expression)为1~256个字符的字符串,区分大小写,它还支持多种特殊字符,特殊字符的匹配规则如表1-15所示.
表1-15正则表达式中的特殊字符特殊字符含义使用说明^string行首匹配符,string只能出现在每行的开始如:^user只能匹配以user开始的行,不能匹配以Auser开始的行string$行尾匹配符,string只能出现在每行的末尾如:user$只能匹配以user结尾的行,不能匹配以userA结尾的行.
句点,通配符,匹配任何一个字符,包括单个字符、特殊字符和空格等如:.
s可以匹配as和bs等*星号,匹配星号前面的字符或字符组零次或多次如:zo*可以匹配z以及zoo;(zo)*可以匹配zo以及zozo+加号,匹配加号前面的字符或字符组一次或多次如:zo+可以匹配zo以及zoo,但不能匹配z|竖线,匹配|左边的整个字符串或者右边的整个字符串如:def|int只能匹配包含def或者int的字符串1-12特殊字符含义使用说明_下划线,该字符出现在表达式的开头或结尾时,等效于行首匹配符或行尾匹配符(即特殊字符^或$),其它情况下等效于逗号、空格或者作为普通字符时的左括号、右括号、左大括号、右大括号如:a_b可以匹配ab和a(b等;_ab只能匹配以ab开头的行;ab_只能匹配以ab结束的行-连接符,用于连接两个数值或字母(小的在前,大的在后),与"[]"符号连用表示一个范围如:从1到9表示为1-9(包括1和9);从a到h表示为a-h(包括a和h)[]表示字符选择范围,将以选择范围内的单个字符为条件进行匹配,只要字符串里包含该范围的某个字符就能匹配到如:[16A]表示可以匹配到的字符串只需要包含1、6或A中任意一个;[1-36A]表示可以匹配到的字符串只需要包含1、2、3、6或A中任意一个(-为连接符)如果]需要作为普通字符出现在[]内时,必须把]写在[]的最前面,形如[]string],才能匹配到].
[没有这样的限制()表示字符组,一般与"+"或"*"等符号一起使用如:(123A)表示字符组123A;408(12)+可以匹配40812或408121212等字符串,但不能匹配408\index表示重复一次指定字符组,字符组是指\前用()括起来的字符串,index对应\前字符组的顺序号按从左至右的顺序从1开始编号:如果\前面只有一个字符组,则index只能为1;如果\前面有n个字符组,则index可以为1到n中的任意整数如:(string)\1表示把string重复一次,匹配的字符串必须包含stringstring;(string1)(string2)\2表示把string2重复一次,匹配的字符串必须包含string1string2string2;(string1)(string2)\1\2表示先把string1重复一次,再重复一次string2,匹配的字符串必须包含string1string2string1string2[^]表示选择范围外的字符,将以单个字符为条件进行匹配,只要字符串里包含该范围外的某个字符就能匹配到如:[^16A]表示可匹配的字符串只需要包含1、6和A之外的任意字符,该字符串也可以包含字符1、6或A,但不能只包含这三个字符.
比如[^16A]可以匹配abc、m16,不能匹配1、16、16A\匹配以string结尾的字符串如:do\>可以匹配单词undo,还可以匹配字符串abcdo\bcharacter2匹配characte1character2,characte1可以是除了数字、字母和下划线外的任意字符,\b等效于[^A-Za-z0-9_]如:\ba可以匹配-a,-为characte1,a为character2,但是不能匹配2a和ba等\Bcharacter匹配到的字符串中必须包含字符character,且character前不能是空格如:\Bt可以匹配install里的t而不能匹配bigtop中的tcharacter1\w匹配characte1character2,character2必须是数字、字母或下划线.
\w相当于[A-Za-z0-9_]如:v\w能匹配到vlan,v为characte1,l为character2,v\w还能匹配service,i为character2\W等效于\b如:\Wa可以匹配-a,-为characte1,a为character2,但是不能匹配2a和ba等\转义操作符,\后紧跟本表列的单个特殊字符时,将去除特殊字符的特定含义如:\\可以匹配包含\的字符串,\^可以匹配包含^的字符串,\\b可以匹配包含\b的字符串2.
正则表达式过滤举例(1)begin参数应用举例1-13#查看当前生效的配置中,从包含"user-interface"字符串的行开始到最后一行的配置信息(该显示信息与用户的当前配置有关).
displaycurrent-configuration|beginuser-interfaceuser-interfacecon0user-interfaceaux0user-interfacevty04authentication-modenoneuserprivilegelevel3#return(2)exclude参数应用举例#查看路由表中的非直连路由(该显示信息与用户的当前配置有关).
displayiprouting-table|excludeDirectRoutingTables:PublicDestination/MaskProtoPreCostNextHopInterface1.
1.
1.
0/24Static600192.
168.
0.
0Vlan1(3)include参数应用举例#查看路由表中包含Vlan的路由表项(该显示信息与用户的当前配置有关).
displayiprouting-table|includeVlanRoutingTables:PublicDestination/MaskProtoPreCostNextHopInterface192.
168.
1.
0/24Direct00192.
168.
1.
42Vlan9991.
11配置用户级别和命令级别1.
11.
1级别简介为了限制不同用户对设备的访问权限,系统对用户进行了分级管理.
用户的级别与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令.
命令的级别由低到高分为访问级、监控级、系统级和管理级四种,分别对应级别值0、1、2、3.
详细介绍请见表1-16:表1-16命令级别简介级别值级别名称描述0访问级用于网络诊断等功能的命令、从本设备出发访问外部设备的命令.
该级别命令配置后不允许保存,设备重启后,该级别命令会恢复到缺省状态缺省情况下,访问级的命令包括:ping、tracert、telnet、ssh2等1监控级用于系统维护、业务故障诊断等功能的命令.
该级别命令配置后不允许保存,设备重启后,该级别命令会恢复到缺省状态缺省情况下,监控级的命令包括:debugging、terminal、refresh、send等2系统级业务配置命令,包括路由、各个网络层次的命令,这些命令用于向用户提供直接网络服务缺省情况下,系统级的命令包括:所有配置命令(管理级的命令除外)1-14级别值级别名称描述3管理级关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用缺省情况下,管理级的命令包括:文件系统命令、FTP命令、TFTP命令、XModem命令下载、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规定、非RFC规定)等1.
11.
2配置用户级别用户级别可以通过AAA认证参数或者用户界面来配置:1.
通过AAA认证参数配置用户级别如果用户登录时使用的用户界面的认证方式为scheme,并且用户登录时需要输入用户名和密码,则用户级别以及用户可使用的命令,在配置AAA认证时指定.
表1-17通过AAA认证参数配置用户级别操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|tty|vty}first-num2[last-num2]}-设置登录用户界面的认证方式为schemeauthentication-modescheme必选缺省情况下,VTY、AUX用户界面认证方式为password,Console、TTY用户界面不需要认证退回系统视图quit-配置SSH用户的认证方式为password方式相关内容请参见"安全配置指导"中的"SSH"如果用户使用SSH方式登录,并且认证时要求输入用户名和密码,则该步骤必选通过认证参数设置用户的级别使用本地认证时使用local-user命令创建本地用户并进入本地用户视图使用authorization-attribute命令的level参数配置用户本身的级别二者必选其一使用本地认证时,如果没有配置用户级别,则用户级别为0,即只能使用0级别的命令使用远程认证时,如果没有配置用户级别,则用户级别由认证服务器的缺省配置决定使用远程认证(RADIUS认证、HWTACACS认证及LDAP认证)时在认证服务器上进行配置1-15关于用户界面的介绍请参见"基础配置指导"中的"登录设备".
有关user-interface、authentication-mode、userprivilegelevel命令的介绍请参见"基础配置命令参考"中的"登录设备".
有关AAA认证的介绍请参见"安全配置指导"中的"AAA".
local-user和authorization-attribute命令的介绍请参见"安全命令参考"中的"AAA".
有关SSH的介绍请参见"安全配置指导"中的"SSH".
2.
通过AAA认证参数配置用户级别举例#设置使用VTY1的Telnet用户登录设备时,需要本地验证用户名和口令,用户级别为3.
system-view[Sysname]user-interfacevty1[Sysname-ui-vty1]authentication-modescheme[Sysname-ui-vty1]quit[Sysname]local-usertest[Sysname-luser-test]passwordcipher123[Sysname-luser-test]service-typetelnet通过以上配置,用户使用VTY1Telnet登录设备时,需要输入用户名test,密码123,认证通过后只能使用级别为0的命令,想要使用级别为0、1、2、3的命令还需要配置:[Sysname-luser-test]authorization-attributelevel33.
通过用户界面配置用户级别如果用户登录时使用的用户界面的认证方式为scheme,而且是SSH的publickey认证方式时(该方式只需要输入用户名,不需要输入密码),则用户级别等于用户界面的级别;如果用户登录时使用的用户界面的认证方式为none或者password(即不需要输入用户名),用户级别也等于用户界面的级别.
表1-18通过用户界面配置用户级别(SSH的publickey认证方式)操作命令说明配置SSH用户的认证方式为publickey方式相关内容请参见"安全配置指导"中的"SSH"如果用户使用SSH方式登录,并且认证时只要输入用户名,不用输入密码,则该步骤必选配置该步骤后,相应的用户界面的认证方式必须设置为scheme进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|vtyfirst-num2[last-num2]}-设置用户使用当前用户界面登录设备时的认证方式authentication-modescheme必选缺省情况下,VTY、AUX用户界面认证方式为password,Console、TTY用户界面不需要认证1-16操作命令说明配置从当前用户界面登录系统的用户的级别userprivilegelevellevel可选缺省情况下,通过Console口登录系统的用户级别是3,通过其它用户界面登录系统的用户级别是0表1-19通过用户界面配置用户级别(none或者password认证方式)操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|tty|vty}first-num2[last-num2]}-设置用户使用当前用户界面登录设备时的认证方式authentication-mode{none|password}可选缺省情况下,VTY、AUX用户界面认证方式为password,Console、TTY用户界面不需要认证配置从当前用户界面登录系统的用户的级别userprivilegelevellevel可选缺省情况下,通过Console口登录系统的用户级别是3,通过其它用户界面登录系统的用户级别是04.
通过用户界面配置用户级别举例设置所有的Telnet用户登录设备时,不需要身份认证,用户级别为1.
(不设置身份认证可能存在安全隐患,请确保在安全性较高的网络环境中使用本配置)system-view[Sysname]user-interfacevty04[Sysname-ui-vty0-4]authentication-modenone[Sysname-ui-vty0-4]userprivilegelevel1如果不设置用户级别,用户不需要输入用户名和密码,就能使用Telnet方式登录设备,但只能使用以下命令:Userviewcommands:displayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnection设置用户级别后,用户不需要输入用户名和密码,就能使用Telnet方式登录设备,可使用的命令明显增多:Userviewcommands:debuggingEnablesystemdebuggingfunctionsdialerDialerdisconnectgraceful-restartGracefulrestartipcInterprocesscommunication1-17oapOpenapplicationplatformoperationpingPingfunctionquitExitfromcurrentcommandviewrefreshDosoftresetresetResetoperationscreen-lengthSpecifythelinesdisplayedononescreensendSendinformationtootheruserterminalinterfacessh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectionterminalSettheterminallinecharacteristicstracertTraceroutefunctionundoCancelcurrentsetting设置所有的Telnet用户登录设备时,需要验证口令,用户级别为2.
system-view[Sysname]user-interfacevty04[Sysname-ui-vty0-4]authentication-modepassword[Sysname-ui-vty0-4]setauthenticationpasswordcipher123[Sysname-ui-vty0-4]userprivilegelevel2缺省情况下,用户使用Telnet方式登录设备,通过口令验证后,只能使用级别为0的命令.
通过用户界面设置级别后,用户使用Telnet方式登录设备,输入密码123后,就可以使用级别为0、1、2的命令.
1.
11.
3切换用户级别1.
用户级别切换功能简介切换用户级别是指在不退出当前登录、不断开当前连接的前提下暂时的修改用户级别.
级别修改后不需要重新登录,可以继续配置设备,只是可以执行的命令会不一样.
比如用户的级别为3,可以对系统参数进行设置,如果将用户的级别切换到0,则只能执行简单的ping、tracert和很少一部分display命令等.
切换后的级别是临时的,只对当前登录生效,用户重新登录后,又会恢复到原有级别.
为了防止对设备的误操作,通常情况下建议管理员使用较低级别的用户登录设备、查看设备运行参数,当需要对设备进行维护时,再临时切换到较高的级别;当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时,为了安全起见,可以临时切换到较低的级别,来限制其它人员的操作.
2.
配置用户级别切换时的认证方式从高级别切换到低级别或相同级别时,可以直接切换,不需要进行身份验证.
从低级别切换到高级别时,为了保证操作的安全性,需要进行身份认证.
如表1-20所示,认证方式有四种.
表1-20用户级别切换认证方式表认证方式涵义说明local本地密码认证设备验证用户输入的级别切换密码使用该方式时,需要在设备上使用superpassword命令设置级别切换密码1-18认证方式涵义说明scheme通过HWTACACS/RADIUS进行远程AAA认证设备将级别切换用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证使用该方式时,需要进行以下相关配置:在设备上配置HWTACACS/RADIUS方案,并在ISP域中引用已创建的HWTACACS/RADIUS方案,详细介绍请参见"安全配置指导"中的"AAA"在HWTACACS/RADIUS服务器上创建相应的用户并配置密码localscheme本地密码认证和远程AAA认证相结合先本地密码认证,若设备上没有设置本地级别切换密码,使用Console用户界面登录的用户会直接进行级别切换,其它用户(使用AUX、TTY或VTY用户界面登录的用户)则转为远程AAA认证schemelocal远程AAA认证和本地密码认证相结合先远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA配置无效时,转为本地密码认证表1-21配置用户级别切换时的认证方式操作命令说明进入系统视图system-view-配置用户级别切换时的认证方式superauthentication-mode{local|scheme}*可选缺省情况下,采用local认证方式配置用户级别切换的密码superpassword[leveluser-level]{simple|cipher}password如果使用本地认证(即认证方式配置时选择了local参数),则该步骤必选缺省情况下,没有设置切换用户级别的密码在使用superpassword命令时,若不指定用户级别,则配置的是切换到3级用户的密码.
如果指定simple参数,则配置文件中保存的是明文形式的密码,容易被盗取;如果指定cipher参数,配置文件中保存的是密文形式的密码,更安全.
当用户使用Console用户界面(指Console口或作为Console口的AUX口)登录设备进行低级别到高级别的切换时,即便认证方式为local,没有配置对应的用户级别切换密码,也可以成功的实现级别切换.
3.
切换用户级别表1-22切换用户级别操作命令说明切换用户级别super[level]必选用户在登录设备时,已经具有了一定的级别,该级别由用户界面或者认证用户级别决定该命令在用户视图下执行1-19切换用户级别时,根据用户界面认证方式和Super认证方式的不同组合设置,系统会要求用户输入不同的信息:表1-23用户级别切换时输入信息描述表用户界面认证方式用户级别切换认证方式第一种认证方式下切换用户级别需要输入的信息认证方式转换后切换用户级别需要输入的信息none/passwordlocal本地级别切换密码(设备上设置)-localscheme本地级别切换密码级别切换用户名和密码(AAA服务器上设置)scheme级别切换用户名和密码-schemelocal级别切换用户名和密码本地级别切换密码schemelocal本地级别切换密码-localscheme本地级别切换密码级别切换密码(AAA服务器上设置),系统使用登录用户名作为级别切换用户名scheme级别切换密码(AAA服务器上设置),系统使用登录用户名作为级别切换用户名-schemelocal级别切换密码(AAA服务器上设置),系统使用登录用户名作为级别切换用户名本地级别切换密码当使用的认证方式中有local时,切换用户级别前需要配置用户级别切换的密码.
当使用的认证方式中有scheme时,切换用户级别前需要配置AAA相关参数.
用户最多可以连续输入三次密码,如果三次密码都错误则本次切换失败.
关于用户界面认证方式的相关描述请参见"基础配置指导"中的"登录设备".
1.
11.
4修改命令级别缺省情况,各个视图下的每条命令都有指定的级别(如表1-16所示).
管理员也可以根据用户需要改变命令的级别:实现低级别用户可以使用部分高级别命令的需求;或者将命令的级别提高,增加设备的安全性.
表1-24修改命令的级别操作命令说明进入系统视图system-view-设置指定视图下的命令的级别command-privilegelevellevelviewviewcommand可选缺省情况请参见表1-161-20通常情况下,建议用户不要修改缺省的命令级别或者在专业人员的指导下进行修改,以免造成操作和维护上的不便甚至给设备带来安全隐患.
1.
12保存当前配置在设备上,您可以随时输入save命令,将已经提交执行的所有命令行保存在配置文件中.
这样在设备重启后,所有保存的配置不会丢失.
配置保存不涉及一次性执行命令,比如:display类显示命令(执行后即显示相关信息),reset类清除命令(执行后即清除相关信息).
这类命令执行一次性操作要求,不会进行配置保存.
1.
13CLI显示和维护在完成上述配置后,在任意视图下执行display命令可以查看系统相应的配置信息和运行信息.
表1-25系统基本配置显示和维护操作命令显示当前用户设置的命令行及其别名displaycommand-alias[|{begin|exclude|include}regular-expression]显示剪贴板的内容displayclipboard[|{begin|exclude|include}regular-expression]i目录1登录设备1-11.
1登录方式简介·1-11.
2通过Console口进行本地登录1-21.
2.
1简介1-21.
2.
2登录步骤1-21.
3通过AUX口进行本地登录1-41.
3.
1配置准备1-41.
3.
2通过AUX口登录设备·1-51.
4通过Telnet进行远程登录1-61.
4.
1通过Telnet进行远程登录简介1-61.
4.
2Telnet配置环境搭建·1-71.
5通过SSH进行远程登录·1-101.
5.
1通过SSH登录设备简介1-101.
5.
2通过SSHClient登录到路由器·1-111.
5.
3路由器充当SSHClient登录其它设备1-131.
6通过AUX口利用Modem拨号远程登录·1-141.
6.
1通过AUX口利用Modem拨号进行远程登录简介·1-141.
6.
2网络管理员端的相关配置·1-151.
6.
3设备端的相关配置·1-151.
6.
4通过Modem拨号搭建配置环境1-152登录用户配置和管理2-12.
1用户界面简介·2-12.
1.
1用户界面概述·2-12.
1.
2用户与用户界面的关系2-12.
1.
3用户界面的编号2-12.
2用户界面配置任务简介·2-22.
3配置异步串口属性2-22.
4配置终端属性·2-32.
5配置自动执行命令2-42.
6通过用户界面配置用户级别·2-42.
7配置VTY用户界面访问限制·2-52.
8配置VTY用户界面支持的协议2-52.
9配置用户的认证方式·2-62.
10配置命令行授权功能·2-82.
11配置命令行计费功能·2-8ii2.
12配置启动终端会话及终止当前运行任务的快捷键2-92.
13向指定的用户界面发送消息·2-92.
14释放指定用户界面上建立的连接·2-92.
15用户界面显示和维护·2-102.
16用户界面典型配置举例·2-102.
16.
1用户认证配置举例·2-102.
16.
2命令行授权配置举例·2-122.
16.
3命令行计费配置举例·2-131-11登录设备1.
1登录方式简介您可以通过以下几种方式登录到设备的命令行界面,对设备进行配置和管理.
表1-1登录方式简介登录方式缺省状况通过Console口进行本地登录缺省情况下,您可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3通过AUX口进行本地登录缺省情况下,您不能直接通过AUX口本地登录设备.
如需通过AUX口本地登录,请先通过Console口本地登录设备、并完成如下配置:配置AUX用户的认证方式(缺省情况下,AUX用户采用Password认证方式)配置AUX用户的用户级别(缺省情况下,AUX用户的用户级别为0)通过Telnet进行远程登录缺省情况下,您不能直接通过Telnet方式登录设备.
如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置:开启设备Telnet功能(根据产品缺省情况选择)配置设备网管口或VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址)配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式)配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)通过SSH进行远程登录缺省情况下,您不能直接通过SSH方式登录设备.
如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置:开启设备SSH功能并完成SSH属性的配置(根据产品缺省情况选择)配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址)配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式)配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)通过AUX口利用Modem拨号远程登录缺省情况下,您不能直接通过AUX口利用Modem拨号远程登录设备.
如需通过AUX口登录,请先通过Console口本地登录设备、并完成如下配置:配置AUX用户的认证方式(缺省情况下,AUX用户采用Password认证方式)配置AUX用户的用户级别(缺省情况下,AUX用户的用户级别为0)1-21.
2通过Console口进行本地登录1.
2.
1简介通过设备Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础.
缺省情况下,设备只能通过Console口进行本地登录.
用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上.
设备Console口的缺省配置如下:表1-2设备Console口缺省配置属性缺省配置传输速率9600bit/s流控方式不进行流控校验方式不进行校验停止位1数据位81.
2.
2登录步骤(1)如图1-1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的Console口连接.
图1-1通过Console口搭建本地配置环境(2)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-2至图1-4所示.
如果您的PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参见软件的使用指导或联机帮助.
1-3图1-2新建连接图1-3连接端口设置图1-4端口通信参数设置(3)设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现如下命令行提示符:#May2409:27:29:9472010R5SHELL/4/LOGIN:Trap1.
3.
6.
1.
4.
1.
25506.
2.
2.
1.
1.
3.
0.
1:loginfromConsole1-4%May2409:27:29:9472010R5SHELL/5/SHELL_LOGIN:Consoleloggedinfromcon0.
(4)键入命令,配置设备或查看设备运行状态.
需要帮助可以随时键入"".
(5)执行完以上步骤后,您就可以登录设备的CLI界面,使用命令行对设备进行配置和管理了.
缺省情况下,使用Console用户界面登录设备时,是不需要进行身份认证的,为了设备的安全,建议修改Console用户界面的认证方式.
下面给出password认证方式的配置步骤,请参照.
system-view[Sysname]user-interfaceconsole0[Sysname-ui-console0]authentication-modepassword[Sysname-ui-console0]setauthenticationpasswordcipher123执行以上操作后,用户使用Console用户界面重新登录设备时,需要输入认证密码123才能通过身份验证,成功登录设备.
您还可以将Console用户界面的认证方式配置为none(无认证)或者scheme(用户名和密码认证),关于认证方式的介绍和详细配置请参见2.
9配置用户的认证方式.
用户使用Console口登录后,除了认证方式,还可以对其它登录参数进行配置,详细介绍请参见2.
3配置异步串口属性和2.
4配置终端属性.
1.
3通过AUX口进行本地登录1.
3.
1配置准备1.
修改AUX口默认配置在使用AUX口进行本地登录之前,需要通过Console口修改AUX口的默认配置,否则将无法登录设备.
请参考下面的步骤修改AUX口的默认配置:(1)通过Console口登录设备(具体步骤请参见"1.
2.
2登录步骤").
(2)配置AUX口登录设备的认证方式:(3)设置从AUX用户界面登录后可以访问的命令级别为3级.
system-view[Sysname]user-interfaceaux0[Sysname-ui-aux0]userprivilegelevel3用户通过AUX口登录设备时,缺省只能访问命令级别为0级的命令.
有关命令级别的描述请参见2.
6通过用户界面配置用户级别.
2.
配置用户终端通信参数用户终端的通信参数配置要和设备AUX口的缺省配置保持一致,才能通过AUX口登录到设备上.
设备AUX口的缺省配置如下:1-5表1-3设备AUX口缺省配置属性缺省配置传输速率9600bit/s流控方式不进行流控校验方式不进行校验停止位1数据位81.
3.
2通过AUX口登录设备(1)如图1-5所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的AUX口连接.
图1-5通过AUX口搭建本地配置环境(2)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-6至图1-8示.
如果您的PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参见软件的使用指导或联机帮助.
图1-6新建连接1-6图1-7连接端口设置图1-8端口通信参数设置(3)设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现如下命令行提示符(假设设备名称为sysname):(4)键入命令,配置设备或查看设备运行状态.
需要帮助可以随时键入"".
执行完以上步骤后,您就可以登录设备的CLI界面,使用命令行对设备进行配置和管理了.
1.
4通过Telnet进行远程登录1.
4.
1通过Telnet进行远程登录简介设备支持Telnet功能,用户可以通过Telnet方式对设备进行远程管理和维护.
设备和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录设备.
1-7表1-4通过Telnet登录设备需要具备的条件对象需要具备的条件设备配置设备网管口或以太网接口的IP地址,设备与Telnet用户间路由可达开启设备Telnet服务器功能(在系统视图下使用命令telnetserverenable).
配置Telnet登录的认证方式(请参见2.
9配置用户的认证方式)Telnet用户运行了Telnet程序获取设备网管口或以太网接口的IP地址1.
4.
2Telnet配置环境搭建通过Telnet方式登录设备时,用户可以通过下面两种方式Telnet到设备:通过终端Telent到设备:使用PC机作为Telnet客户端,Telnet到设备上,对其进行配置.
通过设备Telnet到设备:使用一台设备作为Telnet客户端,Telnet到另一台设备上,对其进行配置.
1.
通过终端Telnet到设备(1)通过Console口正确配置设备网络管理口(以下简称"网管口")的IP地址.
除了网管口,您也可以通过设备的普通业务接口进行Telnet登录.
通过Console口搭建配置环境.
如图1-9所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的Console口连接.
图1-9通过Console口搭建本地配置环境在PC机上运行终端仿真程序(如Windows95/Windows98/WindowsNT/Windows2000/WindowsXP的超级终端),设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控.
设备上电,PC机终端上将显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符,如图1-10所示.
1-8图1-10设备配置页面通过Console口在超级终端中执行以下命令,配置设备网管口的IP地址为202.
38.
160.
92/24.
system-view[Sysname]interfaceM-Ethernet0/0/0[Sysname-M-Ethernet0/0/0]ipaddress202.
38.
160.
92255.
255.
255.
0如果通过业务接口进行Telnet登录,这时需要配置vlan-interface1的IP地址为202.
38.
160.
92/24(因为业务接口缺省属于VLAN1).
(2)在通过Telnet登录设备之前,针对用户需要的不同认证方式,在设备上进行相应配置.
请参见2.
9配置用户的认证方式.
(3)如图1-11所示,建立配置环境,将PC机以太网口通过网络与设备的网管口连接,确保PC机和网管口之间路由可达.
图1-11通过局域网搭建本地配置环境1-9(4)在PC机上运行Telnet程序,输入设备网管口的IP地址,如图1-12所示.
图1-12运行Telnet程序(5)如果配置验证方式为Password,则终端上显示"Loginauthentication",并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如).
如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
(6)使用相应命令配置设备或查看设备运行状态.
需要帮助可以随时键入"",具体的配置命令请参考本手册中相关部分的内容.
通过Telnet配置设备时,请不要删除或修改设备上对应本Telnet连接的网管口(或VLAN接口)的IP地址,否则会导致Telnet连接断开.
用户通过Telnet登录设备时,缺省只能访问命令级别为0级的命令.
有关命令级别的描述请参见2.
6通过用户界面配置用户级别.
2.
通过设备Telnet到设备用户可以从一台设备Telnet到另一台设备上,对其进行配置.
本端设备作为Telnet客户端,对端设备作为Telnet服务器端.
如果两台设备相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台设备必须路由可达.
配置环境如图1-13所示,用户登录到一台设备后,输入telnet命令再登录其它设备,对其进行配置管理.
图1-13通过设备登录到其它设备(1)针对用户需要的不同认证方式,在作为TelnetServer的设备上进行相应配置.
请参见2.
9配置用户的认证方式.
(2)用户登录到作为TelnetClient的设备.
(3)在TelnetClient的设备上作如下操作:telnetxxxx其中xxxx是作为TelnetServer的设备的主机名、IP地址或VPN实例名,若为主机名,则需是已通过iphost命令配置的主机名.
详细命令行请参见表1-5:1-10表1-5设备作为TelnetClient登录到其它设备操作命令说明设备作为TelnetClient登录到其它设备(IPv4网络)telnetremote-host[service-port][[vpn-instancevpn-instance-name]|[source{interfaceinterface-typeinterface-number|ipip-address}]]二者必选其一此命令在用户视图下执行设备作为TelnetClient登录到其它设备(IPv6网络)telnetipv6remote-host[-iinterface-typeinterface-number][port-number][vpn-instancevpn-instance-name](4)登录后,出现命令行提示符(如),如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
(5)使用相应命令配置设备或查看设备运行状态.
需要帮助可以随时键入"".
1.
5通过SSH进行远程登录1.
5.
1通过SSH登录设备简介SSH是SecureShell(安全外壳)的简称.
用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击.
设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图1-14所示.
图1-14通过SSH登录表1-6采用SSH方式登录需要具备的条件对象需要具备的条件SSHServer配置SSHServer的IP地址,SSHServer与SSHClient间路由可达配置SSH登录的认证方式和其它配置(根据SSHServer的情况而定)SSHClient如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序获取要登录的SSHServer的IP地址路由器既可以充当SSHServer,也可以充当SSHClient.
作为SSHServer:可在SSHServer上进行一系列的配置,实现对不同SSHClient的登录权限的控制.
缺省情况下,路由器的SSHServer功能处于关闭状态,因此当您使用SSH方式登录路由器前,首先需要通过Console口登录到路由器上,开启路由器的SSHServer功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到路由器.
作为SSHClient:可通过路由器登录到SSHServer上,从而对SSHServer进行操作.
缺省情况下,路由器的SSHClient功能处于开启状态.
1-111.
5.
2通过SSHClient登录到路由器1.
配置前提通过Console口本地登录路由器,具体请参见1.
2通过Console口进行本地登录.
2.
配置过程路由器作为SSHServer,需要首先完成以下配置.
表1-7路由器充当SSHSERVER时的配置操作命令说明进入系统视图system-view-生成本地DSA或RSA密钥对public-keylocalcreate{dsa|rsa}必选缺省情况下,没有生成DSA和RSA密钥对使能SSHSERVER功能sshserverenable必选缺省情况下,SSHSERVER功能处于关闭状态退出至系统视图quit-进入VTY用户界面视图user-interfacevtyfirst-number[last-number]-配置登录用户界面的认证方式为scheme方式authentication-modescheme必选缺省情况下,用户界面认证为password方式配置所在用户界面支持SSH协议protocolinbound{all|ssh|telnet}可选缺省情况下,系统支持所有的协议,即支持Telnet和SSH使能命令行授权功能commandauthorization可选缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA"需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA"1-12操作命令说明使能命令行计费功能commandaccounting可选缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
退出至系统视图quit-配置设备采用的认证方案进入ISP域视图domaindomain-name可选缺省情况下,系统使用的AAA方案为local如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:设备上的配置请参见"安全配置指导"中的"AAA"AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}退出至系统视图quit创建本地用户,并进入本地用户视图local-useruser-name必选缺省情况下,没有配置本地用户设置本地认证口令password{cipher|simple}password必选缺省情况下,没有配置本地认证口令设置本地用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置本地用户的服务类型service-typessh必选缺省情况下,不对用户授权任何服务退回系统视图quit-建立SSH用户,并指定SSH用户的认证方式sshuserusernameservice-typestelnetauthentication-type{password|{any|password-publickey|publickey}assignpublickeykeyname}可选缺省情况下,没有配置SSH用户及SSH用户的认证方式1-13操作命令说明配置VTY用户界面的公共属性-可选详细配置请参见2.
4配置终端属性从SSHClient登录到路由器(SSHServer)的具体步骤,与充当SSHClient的设备型号有关,请参考SSHClient设备配套的用户手册.
本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见"安全配置指导"中的"SSH".
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;需要在ISP域中引用已创建的HWTACACS方案.
详细介绍请参见"安全配置指导"中的"AAA".
用户采用password认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
AAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"AAA配置指导"中的"AAA".
用户采用publickey认证方式登录设备时,其所能访问的命令级别取决于用户界面上通过userprivilegelevel命令配置的级别1.
5.
3路由器充当SSHClient登录其它设备1.
配置前提通过Console口本地登录路由器,具体请参见1.
2通过Console口进行本地登录.
图1-15通过路由器登录到其它设备1-14如果TelnetClient与TelnetServer相连的端口不在同一子网内,请确保两台设备间路由可达.
2.
配置过程表1-8路由器作为SSHClient登录到其它设备的配置操作命令说明路由器作为SSHClient登录到SSHIPv4服务器端ssh2server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-ctos-cipher{3des|aes128|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*必选server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写此命令在用户视图下执行路由器作为SSHClient登录到SSHIPv6服务器端ssh2ipv6server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-ctos-cipher{3des|aes128|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*必选server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写此命令在用户视图下执行为配合SSHServer,路由器充当SSHClient时还可进一步进行其它配置,具体请参见"安全配置指导"中的"SSH".
配置完成后,路由器即可登录到相应的SSHServer上.
1.
6通过AUX口利用Modem拨号远程登录1.
6.
1通过AUX口利用Modem拨号进行远程登录简介网络管理员可以通过远端设备的AUX口,利用一对Modem和PSTN(PublicSwitchedTelephoneNetwork,公共电话交换网)对远端的设备进行远程维护.
这种方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程配置、日志/告警信息查询、故障定位.
设备和网络管理员端都要进行相应的配置,才能保证通过AUX口利用Modem拨号进行远程登录设备.
表1-9通过AUX口利用Modem拨号进行远程登录需要具备的条件配置对象需要具备的条件网络管理员端PC终端与Modem正确连接Modem与可正常使用的电话线正确相连获取了远程设备端AUX口所连Modem上对应的电话号码1-15配置对象需要具备的条件远程设备端AUX口与Modem正确连接在Modem上进行了正确的配置Modem与可正常使用的电话线正确相连远程设备上配置了登录用户的认证方式及认证方式对应的其它配置,请参见2.
9配置用户的认证方式1.
6.
2网络管理员端的相关配置PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端AUX口所连Modem上对应的电话号码.
1.
6.
3设备端的相关配置1.
与设备直接相连的Modem上的配置在与设备直接相连的Modem上进行以下配置(与终端相连的Modem不需要进行配置).
AT&FModem恢复出厂配置ATS0=1配置自动应答(振铃一声)AT&D忽略DTR信号AT&K0禁止流量控制AT&R1忽略RTS信号AT&S0强制DSR为高电平ATEQ1&W禁止modem回送命令响应和执行结果并存储配置在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果.
各种Modem配置命令及显示的结果有可能不一样,具体操作请参见Modem的说明书进行.
2.
设备的相关配置通过AUX口利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:AUX口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象.
AUX口的其它属性(AUX口校验方式、AUX口的停止位、AUX的数据位)均采用缺省值.
1.
6.
4通过Modem拨号搭建配置环境(1)在通过Modem拨号登录设备之前,请在设备上进行相应配置,参见1.
3.
11.
修改AUX口默认配置.
(2)在与设备直接相连的Modem上进行以下配置.
AT&FModem恢复出厂配置ATS0=1配置自动应答(振铃一声)AT&D忽略DTR信号AT&K0禁止流量控制AT&R1忽略RTS信号1-16AT&S0强制DSR为高电平ATEQ1&W禁止modem回送命令响应和执行结果并存储配置在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果.
(3)如图1-16所示,建立远程配置环境,在PC机(或终端)的串口和设备的AUX口分别挂接Modem.
图1-16搭建远程配置环境(4)在远端通过终端仿真程序和Modem向设备拨号(所拨号码应该是与设备相连的Modem的电话号码),与设备建立连接,如图图1-18至图1-19所示.
图1-17新建连接IPnetworkModemModem串口线Modem远端电话号码:12345678AuxDevice电话线PC1-17图1-18拨号号码配置图1-19在远端PC机上拨号(5)如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录口令,出现命令行提示符(如),即可对设备进行配置或管理.
需要帮助可以随时键入"".
2-12登录用户配置和管理2.
1用户界面简介2.
1.
1用户界面概述当用户使用Console口、AUX口、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话.
每个用户界面有对应的用户界面视图(User-interfaceview),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证、是否重定向到别的设备以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的.
目前系统支持的配置方式有:Console口本地配置AUX口本地或远程配置Telnet或SSH本地或远程配置与这些配置方式对应的是三种类型的用户界面:Console用户界面:用来管理和监控通过Console口登录的用户.
Console口是一种线设备端口.
设备提供Console口,端口类型为EIA/TIA-232DCE.
AUX用户界面:用来管理和监控通过AUX口登录的用户.
AUX口(Auxiliaryport,辅助端口)也是一种线设备端口.
设备提供AUX口,端口类型为EIA/TIA-232DTE,通常用于通过Modem进行拨号访问.
VTY(VirtualTypeTerminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户.
VTY口属于逻辑终端线,用于对设备进行Telnet或SSH访问.
目前每台设备最多支持16个VTY用户同时访问.
2.
1.
2用户与用户界面的关系用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户.
比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY1登录设备时,将受到VTY1用户界面视图下配置的约束.
根据设备的硬件配备情况,一台设备上可能有多个Console口、AUX口,所以设备可能支持多个Console、AUX、VTY用户界面,这些用户界面与用户并没有固定的对应关系.
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束.
同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同.
2.
1.
3用户界面的编号用户界面的编号有两种方式:绝对编号方式和相对编号方式.
1.
绝对编号方式使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面.
绝对编号从0开始自动编号,每次增长1,先给所有Console用户界面编号,其次是所有AUX用户界面,最后是所有VTY用户2-2界面.
使用displayuser-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号.
2.
相对编号方式相对编号是每种类型用户界面的内部编号.
该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作.
相对编号方式的形式是:"用户界面类型编号",遵守如下规则:控制台的编号:CON0,第二个为CON1,依次类推.
辅助接口的编号:AUX0,第二个为AUX1,依次类推.
VTY的编号:第一个为VTY0,第二个为VTY1,依次类推.
2.
2用户界面配置任务简介表2-1用户界面配置配置任务说明详细配置配置异步串口属性可选2.
3配置终端属性可选2.
4配置自动执行命令可选2.
5配置用户界面所能访问的命令级别可选2.
6配置VTY用户界面访问限制可选2.
7配置VTY用户界面支持的协议可选2.
8配置用户的认证方式可选2.
9配置启动终端会话及终止当前运行任务的快捷键可选2.
10向指定的用户界面发送消息可选2.
13释放指定用户界面上建立的连接可选2.
142.
3配置异步串口属性用户可以通过以下步骤,来配置异步串口属性,使得设备与访问终端的特性能够匹配.
表2-2配置异步串口属性操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console}first-num2[last-num2]}-设置传输速率speedspeed-value可选缺省情况下,传输速率为9600bps2-3操作命令说明设置数据位的个数databits{5|6|7|8}可选缺省情况下,用户界面的数据位为8位设备不支持配置用户界面的数据位为5位和6位设置校验位的解析和生成方式parity{even|mark|none|odd|space}可选缺省情况下,设备校验位的校验方式为none,即不进行校验设置停止位stopbits{1|1.
5|2}可选缺省情况下,停止位为1,设备不支持配置停止位为1.
5位配置流量控制方式flow-control{hardware|software|none}可选缺省情况下,流量控制方式为none设备目前不支持hardware和software参数2.
4配置终端属性表2-3配置终端属性操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-启动终端服务shell可选缺省情况下,系统在所有的用户界面上启动终端服务设置用户连接的超时时间idle-timeoutminutes[seconds]可选缺省情况下,用户连接的超时时间为10分钟设置下一屏显示的行数screen-lengthscreen-length可选缺省情况下,下一屏显示24行数据设置当前用户界面下的终端显示类型terminaltype{ansi|vt100}可选缺省情况下,终端显示类型为ANSI设置历史命令缓冲区可存放的历史命令的条数history-commandmax-sizesize-value可选缺省情况下,历史命令缓冲区可存放10条历史命令退回用户视图return-锁定用户界面,防止未授权的用户操作该界面lock可选缺省情况下,系统不会自动锁住当前用户界面2-4设备支持两种终端显示类型:ANSI和VT100.
当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象.
建议两端都设置为VT100类型.
2.
5配置自动执行命令配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接.
如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接.
该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机.
表2-4配置自动执行命令操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|vty}first-num2[last-num2]}-配置自动执行命令auto-executecommandcommand必选缺省情况下,未设定自动执行命令auto-executecommand命令使用时有如下的限制:Console口不支持auto-executecommand.
对其他类型的接口不作限制.
使用auto-executecommand命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用.
在配置auto-executecommand命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、CON、AUX用户登录进来更改配置,以便出现问题后,能删除该配置.
2.
6通过用户界面配置用户级别用户级别用来限制不同用户对设备的访问权限.
如果用户登录时使用的认证方式为scheme(即需要输入用户名和密码),而且是SSH的publickey认证方式时,则用户级别等于用户界面的级别,该级别在用户界面视图下配置,缺省情况下为0;如果用户登录时使用的认证方式为none或者password(即不需要输入用户名),则用户级别等于用户界面的级别.
表2-5配置用户界面所能访问的命令级别操作命令说明进入系统视图system-view-2-5操作命令说明进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置从当前用户界面登录系统的用户所能访问的命令级别userprivilegelevellevel可选缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0关于用户级别的详细介绍请参见"基础配置指导"中的"CLI".
用户级别可以通过用户界面也可以通过AAA认证参数来配置.
哪种配置对用户生效由用户登录时使用的认证方式决定.
详细介绍请参见"基础配置指导"中的"CLI".
2.
7配置VTY用户界面访问限制该配置通过引用ACL,对VTY用户界面的访问权限进行限制.
ACL的相关内容请参见"ACL和QoS配置指导"中的"ACL".
表2-6配置VTY用户界面访问限制操作命令说明进入系统视图system-view-进入VTY用户界面视图user-interface{first-num1[last-num1]|vtyfirst-num2[last-num2]}-配置系统对VTY用户界面的访问权限进行限制引用基本/高级ACL对访问权限进行限制acl[ipv6]acl-number{inbound|outbound}必选(二者必选其一)缺省情况下,系统不对访问权限进行限制引用二层ACL对访问权限进行限制aclacl-numberinbound2.
8配置VTY用户界面支持的协议表2-7配置VTY用户界面支持的协议操作命令说明进入系统视图system-view-进入VTY用户界面视图user-interface{first-num1[last-num1]|vtyfirst-num2[last-num2]}-设置所在用户界面支持的协议protocolinbound{all|ssh|telnet}可选缺省情况下,系统支持Telnet和SSH协议2-6如果配置用户界面支持SSH协议,为确保登录成功,请您务必先配置相应的认证方式为scheme;若配置认证方式为password或none,则protocolinboundssh配置结果将失败.
使用protocolinbound命令配置的协议将在用户下次使用该用户界面登录时生效.
2.
9配置用户的认证方式通过在用户界面下配置认证方式,可以实现当用户使用指定用户界面登录时是否需要认证,以提高设备的安全性.
设备支持的认证方式有none、password和scheme三种.
如果指定认证方式为none,则下次使用该用户界面登录时不需要进行用户名和密码认证,这种情况可能会带来安全隐患.
如果指定认证方式为password,则下次使用该用户界面登录时需要进行密码认证,输入空的或者错误密码,均会导致登录失败.
如果没有设置认证密码:对于AUX、VTY、及MODEM拨号用户,重新登录时,系统将提示"Loginpasswordhasnotbeenset!
",登录失败;对于其他用户界面,重新登录时(比如Console),为了保证设备的可操作性,可以直接登录,不需要输入密码.
关闭连接前,请务必设置该用户界面的登录密码.
如果指定认证方式为scheme,则下次使用该用户界面登录时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
关闭连接前,请务必设置认证用户名和密码.
用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数(如表2-10所示);如果采用远程认证,则需要在远程认证服务器上配置用户名和密码.
有关用户认证方式及参数的详细介绍请参见"安全配置指导"中的"AAA".
缺省情况下,设备对访问用户采用本地认证方式.
当用户使用SSH方式登录设备时,该段描述只适用于password认证方式,不适用于publickey认证方式,有关SSH的详细介绍请参见"安全配置指导"中的"SSH".
表2-8配置用户的认证方式为none操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置用户的认证方式为noneauthentication-modenone必选缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证表2-9配置用户的认证方式为password操作命令说明进入系统视图system-view-2-7操作命令说明进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置用户的认证方式为passwordauthentication-modepassword必选缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证设置本地认证的密码setauthenticationpassword{cipher|simple}password必选缺省情况下,没有设置本地认证的密码表2-10配置用户的认证方式为scheme(本地认证)操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置用户的认证方式为schemeauthentication-modescheme必选缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证配置用户界面所能访问的命令级别请参见"2.
6通过用户界面配置用户级别"可选缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0退回到系统视图quit-设置认证的用户名,并进入本地用户视图local-useruser-name必选缺省情况下,设备中没有设置本地用户设置认证的密码password{cipher|simple}password必选设置用户可以使用的服务类型service-type{ssh|telnet|terminal}*必选当使用VTY用户界面用户登录时服务类型需要配置为telnet或ssh,当使用Console或者Aux用户界面用户登录时服务类型需要配置terminal配置用户的属性authorization-attribute{aclacl-number|callback-numbercallback-number|idle-cutminute|levellevel|user-profileprofile-name|vlanvlan-id|work-directorydirectory-name}*可选缺省情况下,FTP/SFTP用户可以访问设备的根目录,用户的级别为0.
可以使用该命令进行修改.
关于此命令的介绍请参见"安全配置指导"2-8local-user、password、service-type和authorization-attribute命令的详细介绍请参见"安全命令参考"中的"AAA".
2.
10配置命令行授权功能缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行.
配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制.
即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.
因为授权服务器是通过用户名来查找用户可授权使用的命令行列表的,所以命令行授权功能的配置分为三步:(1)配置用户认证方式为scheme.
(2)使能命令行授权功能,请参见表2-11.
(3)配置命令行授权方案,在方案中配置授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
表2-11使能命令行授权功能操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-使能命令行授权功能commandauthorization必选缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权2.
11配置命令行计费功能命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中控制、监控用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
命令行计费功能的配置分为两步:(1)使能命令行计费功能,请参见表2-12.
(2)配置命令行计费方案,在方案中配置计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA配置".
表2-12使能命令行计费功能操作命令说明进入系统视图system-view-2-9操作命令说明进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-使能命令行计费功能commandaccounting必选缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行2.
12配置启动终端会话及终止当前运行任务的快捷键表2-13配置启动终端会话及终止当前运行任务的快捷键操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置启动终端会话的快捷键activation-keycharacter可选缺省情况下,按键启动终端会话配置终止当前运行任务的快捷键escape-key{default|character}可选缺省情况下,按组合键终止当前运行的任务VTY用户界面不支持activation-key命令.
2.
13向指定的用户界面发送消息表2-14向指定的用户界面发送消息操作命令说明向指定的用户界面发送消息send{all|num1|{aux|console|vty}num2}必选该命令在用户视图下执行2.
14释放指定用户界面上建立的连接系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰的话,管理员可以使用以下命令强制断开该用户的连接.
2-10表2-15释放指定用户界面上建立的连接操作命令说明释放指定用户界面上建立的连接freeuser-interface{num1|{aux|console|vty}num2}必选该命令在用户视图下执行不能使用该命令释放用户当前自己使用的连接.
2.
15用户界面显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后用户界面的运行情况,通过查看显示信息验证配置的效果.
表2-16用户界面显示和维护操作命令显示设备作为Telnet客户端的相关配置信息displaytelnetclientconfiguration[|{begin|exclude|include}regular-expression]显示用户界面的使用信息displayusers[all][|{begin|exclude|include}regular-expression]显示用户界面的相关信息displayuser-interface[num1|{aux|console|vty}num2][summary][|{begin|exclude|include}regular-expression]2.
16用户界面典型配置举例2.
16.
1用户认证配置举例1.
组网需求为了保证Device的安全,需要对登录用户进行限制:设备管理员HostA通过Console口接入设备,登录设备时,不需要输入用户名和密码即可登录、操作设备.
用户HostB通过以太网接入设备,登录设备时不需要输入用户名,只需要输入密码,认证通过后才可登录、操作设备.
用户HostC通过PSTN网络接入设备,拨号登录设备时需要输入用户名和密码,认证通过后才可登录、操作设备.
优先使用RADIUS远程认证,如果RADIUS服务器故障或者链路故障,则使用本地认证(本地用户名为monitor,密码为123).
2-112.
组网图图2-1用户认证配置组网图3.
配置步骤#在设备上配置IP地址,以保证Device分别与HostB、RADIUSserver之间路由可达.
(配置步骤略)#开启设备的Telnet服务器功能,以便私网和公网用户访问.
system-view[Sysname]telnetserverenable#配置Console用户的认证方式为none,即用户通过Console口登录设备时,不需要输入用户名和密码,因为是管理员,所以权限设置为3,可以使用设备支持的所有命令.
[Sysname]user-interfaceconsole0[Sysname-ui-console0]authentication-modenone[Sysname-ui-console0]userprivilegelevel3[Sysname-ui-console0]quit#配置VTY用户的认证方式为password,即HostB登录设备时,不需要输入用户名,但需要输入密码123,可以使用缺省级别为2的命令.
[Sysname]user-interfacevty04[Sysname-ui-vty0-4]authentication-modepassword[Sysname-ui-vty0-4]setauthenticationpasswordcipher123[Sysname-ui-vty0-4]userprivilegelevel2[Sysname-ui-vty0-4]quit#配置VTY用户的认证方式为scheme,即HostC拨号登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令级别由AAA服务器上的配置决定.
[Sysname]user-interfacevty5[Sysname-ui-vty5]authentication-modescheme[Sysname-ui-vty5]quit#配置RADIUS方案:认证服务器的IP地址:UDP端口号为192.
168.
2.
20:1812(该端口号必须和RADIUS服务器上的设置一致),报文的加密密码是expert,支持与服务器交互扩展报文,登录时不需要输入域名,使用缺省域.
2-12[Sysname]radiusschemerad[Sysname-radius-rad]primaryauthentication192.
168.
2.
201812[Sysname-radius-rad]keyauthenticationexpert[Sysname-radius-rad]server-typeextended[Sysname-radius-rad]user-name-formatwithout-domain[Sysname-radius-rad]quit#配置缺省域的AAA方案,优先使用RADIUS方案,如果与RADIUS服务器的通信故障,则使用本地认证.
[Sysname]domainsystem[Sysname-isp-system]authenticationloginradius-schemeradlocal[Sysname-isp-system]authorizationloginradius-schemeradlocal[Sysname-isp-system]quit#配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令.
[Sysname]local-usermonitor[Sysname-luser-admin]passwordcipher123[Sysname-luser-admin]service-typetelnet[Sysname-luser-admin]authorization-attributelevel12.
16.
2命令行授权配置举例1.
组网需求为了保证Device的安全,需要对登录用户执行命令的权限进行限制:用户HostA登录设备后,输入的命令必须先获得HWTACACS服务器的授权,才能执行.
否则,不能执行该命令.
如果HWTACACS服务器故障导致授权失败,则采用本地授权.
2.
组网图图2-2命令行授权配置组网图3.
配置步骤#在设备上配置IP地址,以保证Device和HostA、Device和HWTACACSserver之间互相路由可达.
(配置步骤略)#开启设备的Telnet服务器功能,以便用户访问.
system-view[Sysname]telnetserverenable#配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定.
[Sysname]user-interfacevty04[Sysname-ui-vty0-4]authentication-modescheme#使能命令行授权功能,限制用户只能使用授权成功的命令.
2-13[Sysname-ui-vty0-4]commandauthorization[Sysname-ui-vty0-4]quit#配置HWTACACS方案:授权服务器的IP地址:UDP端口号为192.
168.
2.
20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[Sysname]hwtacacsschemetac[Sysname-hwtacacs-tac]primaryauthentication192.
168.
2.
2049[Sysname-hwtacacs-tac]primaryauthorization192.
168.
2.
2049[Sysname-hwtacacs-tac]keyauthenticationexpert[Sysname-hwtacacs-tac]keyauthorizationexpert[Sysname-hwtacacs-tac]server-typestandard[Sysname-hwtacacs-tac]user-name-formatwithout-domain[Sysname-hwtacacs-tac]quit#配置缺省域的命令行授权AAA方案,使用HWTACACS方案.
[Sysname]domainsystem[Sysname-isp-system]authenticationloginhwtacacs-schemetaclocal[Sysname-isp-system]authorizationcommandhwtacacs-schemetaclocal[Sysname-isp-system]quit#配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令.
[Sysname]local-usermonitor[Sysname-luser-admin]passwordcipher123[Sysname-luser-admin]service-typetelnet[Sysname-luser-admin]authorization-attributelevel12.
16.
3命令行计费配置举例1.
组网需求为便于集中控制、监控用户对设备的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录.
2-142.
组网图图2-3命令行计费配置组网图3.
配置步骤#开启设备的Telnet服务器功能,以便用户访问.
system-view[Sysname]telnetserverenable#配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录.
[Sysname]user-interfaceconsole0[Sysname-ui-console0]commandaccounting[Sysname-ui-console0]quit#配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录.
[Sysname]user-interfacevty04[Sysname-ui-vty0-4]commandaccounting[Sysname-ui-vty0-4]quit#配置HWTACACS方案:计费服务器的IP地址:UDP端口号为192.
168.
2.
20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[Sysname]hwtacacsschemetac[Sysname-hwtacacs-tac]primaryaccounting192.
168.
2.
2049[Sysname-hwtacacs-tac]keyaccountingexpert[Sysname-hwtacacs-tac]user-name-formatwithout-domain[Sysname-hwtacacs-tac]quit#配置缺省域的命令行计费AAA方案,使用HWTACACS方案.
[Sysname]domainsystem[Sysname-isp-system]accountingcommandhwtacacs-schemetac[Sysname-isp-system]quiti目录1FTP配置·1-11.
1FTP简介1-11.
1.
1FTP概述·1-11.
1.
2FTP的实现·1-11.
2配置FTP客户端1-21.
2.
1建立FTP连接1-21.
2.
2操作FTP服务器上的目录1-31.
2.
3操作FTP服务器上的文件1-41.
2.
4更改登录用户·1-51.
2.
5FTP连接的维护与调试·1-51.
2.
6断开FTP连接1-51.
2.
7FTP客户端配置举例·1-61.
3配置FTP服务器1-81.
3.
1FTP服务器的基本配置·1-81.
3.
2配置FTP服务器的验证和授权·1-91.
3.
3FTP服务器配置举例·1-91.
4FTP显示和维护1-112TFTP配置2-12.
1TFTP简介·2-12.
1.
1TFTP概述2-12.
1.
2TFTP的实现·2-12.
2配置TFTP客户端2-22.
3TFTP客户端显示和维护2-32.
4TFTP客户端配置举例·2-31-11FTP配置1.
1FTP简介1.
1.
1FTP概述FTP(FileTransferProtocol,文件传输协议)用于在远端服务器和本地主机之间传输文件,是IP网络上传输文件的通用协议.
在万维网(WWW,WorldWideWeb)出现以前,用户使用命令行方式传输文件,最通用的应用程序就是FTP.
虽然目前大多数用户在通常情况下选择使用Email和Web传输文件,但是FTP仍然有着比较广泛的应用.
FTP协议在TCP/IP协议族中属于应用层协议,用于在远端服务器和本地客户端之间传输文件,使用TCP端口20和21进行传输.
端口20用于传输数据,端口21用于传输控制消息.
FTP协议基本操作在RFC959中进行了描述.
FTP有两种文件传输模式:二进制模式,用于传输程序文件;ASCII码模式,用于传输文本文件.
1.
1.
2FTP的实现设备在支持FTP协议上有两种方式:设备作为FTP客户端:如图1-1所示,设备(Device)作为FTP客户端,PC作为FTP服务器.
在Device上执行ftp命令,与PC建立FTP连接,完成文件的上传/下载操作.
设备作为FTP服务器:如图1-1所示,设备(Device)作为FTP服务器,PC作为FTP客户端.
在PC上运行FTP客户端程序,与Device建立FTP连接,完成文件的上传/下载操作.
图1-1FTP配置示意图设备作为FTP客户端时,需要进行如下配置:表1-1设备作为FTP客户端时的配置设备操作说明Device(作为FTP客户端)可以直接使用ftp命令登录远端的FTP服务器如果远端FTP服务器支持匿名访问,设备可以直接登录;如果远端FTP服务器不支持匿名访问,则必须先获取FTP用户名和密码后,才能成功登录远端的FTP服务器PC(作为FTP服务器)启动FTP服务器,并做了用户名、密码、用户的权限等相关的配置-设备作为FTP服务器时,需要进行如下配置:1-2表1-2设备作为FTP服务器时的配置设备操作说明Device(作为FTP服务器)启动FTP服务器功能缺省情况下,系统关闭FTP服务器功能可以通过displayftp-server命令查看设备上FTP服务器功能的配置信息配置FTP服务器的验证和授权配置FTP用户的用户名、密码、授权的工作目录.
出于安全考虑,设备不支持匿名登录,用户必须使用合法的用户名和密码.
缺省情况下,合法用户可访问的目录为设备的根目录配置FTP服务器的运行参数配置FTP连接的超时时间等参数PC(作为FTP客户端)使用FTP客户端程序登录设备用户必须获取FTP用户名和密码后,才能成功登录远端的FTP服务器在建立FTP连接前请确保FTP服务器与FTP客户端之间路由可达,否则,连接建立失败.
当设备作为FTP服务器,使用IE登录设备时,因为IE在登录过程中建立了多个用户连接,而目前设备某一时刻只支持一个用户连接,所以使用IE登录设备时FTP的部分功能不支持.
1.
2配置FTP客户端只有级别为3(管理级)的用户才能使用ftp命令登录FTP服务器,进入FTP客户端视图,执行目录、文件等命令,但命令能否执行成功,还将受FTP服务器端的授权限制.
1.
2.
1建立FTP连接FTP客户端要访问FTP服务器,必须先与FTP服务器建立连接.
连接的建立方式有两种,一种是使用ftp命令直接建立连接,一种是在FTP客户端视图下使用open命令间接建立连接.
在使用ftp命令建立FTP连接时,还可以进行源地址绑定.
源地址可以通过配置源接口(建议使用Loopback接口)或源IP地址来实现,源接口下配置的主IP地址或源IP地址即为发送报文的源地址.
FTP客户端在与FTP服务器通信的时候,发送报文的源地址选取遵循以下规则:如果没有指定FTP客户端的源地址,则采用路由决定的源地址进行通信.
如果只用ftpclientsource或ftp命令指定了源地址,则采用该地址进行通信.
如果执行ftpclientsource命令指定了源地址后,又在ftp命令中指定了源地址,则采用ftp命令中指定的源地址进行通信.
ftpclientsource命令指定的源地址对所有的FTP连接有效,ftp命令指定的源地址只对当前的FTP连接有效.
1-3表1-3建立FTP连接(IPv4组网环境)操作命令说明进入系统视图system-view-配置FTP客户端的源地址ftpclientsource{interfaceinterface-typeinterface-number|ipsource-ip-address}可选缺省情况下,设备使用路由决定的源地址与FTP服务器通信退回用户视图quit-在用户视图下直接登录远程FTP服务器ftp[server-address[service-port][vpn-instancevpn-instance-name][source{interfaceinterface-typeinterface-number|ipsource-ip-address}]]二者必选其一ftp命令直接在用户视图下执行;open命令在FTP客户端视图下执行在FTP客户端视图下间接登录远程FTP服务器ftpopenserver-address[service-port]如果源接口下没有配置主地址,将导致FTP连接建立失败.
如果先后使用ftpclientsource命令配置了客户端FTP报文的源接口和源IP,则新配置的源IP将覆盖现有的源接口配置.
反之亦然.
表1-4建立FTP连接(IPv6组网环境)操作命令说明在用户视图下直接登录远程FTP服务器ftpipv6[server-address[service-port][vpn-instancevpn-instance-name][sourceipv6source-ipv6-address][-iinterface-typeinterface-number]]二者必选其一ftpipv6命令直接在用户视图下执行;openipv6命令在FTP客户端视图下执行在FTP客户端视图下间接登录远程FTP服务器ftpipv6openipv6server-address[service-port][-iinterface-typeinterface-number]1.
2.
2操作FTP服务器上的目录当设备作为FTP客户端,与FTP服务器连接建立成功后(连接操作请参见1.
2.
1建立FTP连接),在FTP服务器的授权目录下,用户可以进行创建、删除文件夹等操作.
表1-5操作FTP服务器上的目录操作命令说明查看远程FTP服务器上的目录/文件的详细信息dir[remotefile[localfile]]可选1-4操作命令说明查询远程FTP服务器上的目录/文件ls[remotefile[localfile]]可选切换远程FTP服务器上的工作路径cd{directory可选退出远程FTP服务器的当前目录,返回FTP服务器的上一级目录cdup可选显示当前用户正在访问的远程FTP服务器上的路径pwd可选在远程FTP服务器上创建目录mkdirdirectory可选删除FTP服务器上指定的目录rmdirdirectory可选1.
2.
3操作FTP服务器上的文件当设备作为FTP客户端,与FTP服务器连接建立成功后(连接操作请参见1.
2.
1建立FTP连接),在FTP服务器的授权目录下,用户可以通过以下操作,给FTP服务器上传或从FTP服务器下载文件,推荐使用以下步骤:使用dir或者ls命令了解FTP服务器上的目录结构以及文件所处的位置.
删除过时文件,以便有效利用存储空间.
设置传输模式.
FTP传输文件有两种模式:一种是ASCII码模式,用于传输文本文件;另一种是二进制模式,用于传输程序文件.
使用lcd命令了解用户登录FTP服务器前在FTP客户端上的工作路径.
如果使用相对路径进行上传/下载操作的话,上传的将是该路径下的文件,文件下载后也将保存到该路径下.
上传/下载操作.
表1-6操作FTP服务器上的文件操作命令说明查看远程FTP服务器上的目录/文件的详细信息dir[remotefile[localfile]]可选ls命令只能显示出目录/文件的名称,而dir命令可以查看与目录/文件相关的信息,如大小,创建日期等查询远程FTP服务器上的目录/文件ls[remotefile[localfile]]可选ls命令只能显示出目录/文件的名称,而dir命令可以查看与目录/文件相关的信息,如大小,创建日期等彻底删除远程FTP服务器上的指定文件deleteremotefile可选设置FTP文件传输的模式为ASCII模式ascii可选缺省情况下,文件传输模式为ASCII模式设置FTP文件传输的模式为二进制流模式binary可选缺省情况下,文件传输模式为ASCII模式1-5操作命令说明设置数据传输的方式为被动方式passive可选缺省情况下,数据传输的方式为被动方式获取FTP客户端本地的工作路径lcd可选上传本地文件到远程FTP服务器putlocalfile[remotefile]可选下载FTP服务器上的文件getremotefile[localfile]可选1.
2.
4更改登录用户当设备作为FTP客户端,与FTP服务器连接建立成功后(连接操作请参见1.
2.
1建立FTP连接),可以更改登录用户.
该功能通常用于不同权限用户之间的切换,用户的成功切换不会影响当前的FTP连接(即FTP控制连接、数据连接以及连接状态都不变);如果输入的用户名/密码错误,则会断开当前连接,用户必须重新登录才能继续访问设备.
表1-7更改登录用户操作命令说明成功登录FTP服务器后,使用其他用户身份重新登录userusername[password]可选1.
2.
5FTP连接的维护与调试当设备作为FTP客户端,与FTP服务器连接建立成功后(连接操作请参见1.
2.
1建立FTP连接),通过以下命令,可以帮助定位和诊断FTP连接过程中出现的问题.
表1-8FTP客户端基本操作操作命令说明显示远程FTP服务器支持的FTP相关协议命令的帮助信息remotehelp[protocol-command]可选使能显示FTP服务器返回的详细信息verbose可选缺省情况下,verbose开关为开启状态当设备作为FTP客户端时,打开FTP调试信息开关debugging可选缺省情况下,FTP客户端调试信息开关处于关闭状态1.
2.
6断开FTP连接当设备作为FTP客户端,与FTP服务器连接建立成功后(连接操作请参见1.
2.
1建立FTP连接),可以使用以下任意一条命令来断开FTP连接.
1-6表1-9断开FTP连接操作命令说明不退出FTP客户端视图的前提下,断开与FTP服务器的连接disconnect可选等效于close命令不退出FTP客户端视图的前提下,断开与FTP服务器的连接close可选等效于disconnect命令断开与远程FTP服务器的连接,并退回到用户视图bye可选等效于在FTP客户端视图下的quit命令断开与远程FTP服务器的连接,并退回到用户视图quit可选在FTP客户端视图下执行,等效于bye命令1.
2.
7FTP客户端配置举例1.
组网需求Device作为FTP客户端,PC作为FTP服务器.
IP地址如组网图所示,Device和PC之间路由可达.
Device从PC上下载新的启动文件完成设备的升级,并将配置文件上传到PC进行备份.
PC上已设置设备登录FTP服务器的用户名为abc,密码为abc.
设备以用户名abc、密码abc登录FTP服务器.
2.
组网图图1-2利用FTP客户端功能实现平滑升级3.
配置步骤如果设备剩余的内存空间不够,请使用fixdisk命令清理内存或者使用delete/unreservedfile-url命令删除部分暂时不用的文件后再执行以下操作.
#以FTP方式登录服务器.
dirDirectoryofflash:/1-70drw--Dec07200510:00:57filename1drw--Jan02200614:27:51logfile2-rw-1216Jan02200614:28:59config.
cfg3-rw-1216Jan02200616:27:26backup.
cfg2540KBtotal(2511KBfree)delete/unreservedflash:/backup.
cfg#以FTP方式登录服务器,获取系统启动文件.
ftp10.
1.
1.
1Trying10.
1.
1.
1.
.
.
Connectedto10.
1.
1.
1.
220WFTPD2.
0service(byTexasImperialSoftware)readyfornewuserUser(10.
1.
1.
1:(none)):abc331Givemeyourpassword,pleasePassword:230Loggedinsuccessfully#将传输模式设置为binary,以便传输启动文件.
[ftp]binary200TypesettoI.
#将启动文件newest.
bin从PC下载到设备.
将启动文件newest.
bin从PC下载到主用主控板存储介质的根目录下.
[ftp]getnewest.
bin将启动文件newest.
bin从PC下载到备用主控板(所在槽位号为1)存储介质的根目录下.
[ftp]getnewest.
binslot1#flash:/newest.
bin#将本机的配置文件config.
cfg上传到服务器进行备份.
[ftp]ascii[ftp]putconfig.
cfgback-config.
cfg227EnteringPassiveMode(10,1,1,1,4,2).
125ASCIImodedataconnectionalreadyopen,transferstartingfor/config.
cfg.
226Transfercomplete.
FTP:3494byte(s)sentin5.
646second(s),618.
00byte(s)/sec.
[ftp]bye#将newest.
bin指定为设备的主用下次启动文件.
将newest.
bin指定为主用主控板的主用下次启动文件.
boot-loaderfilenewest.
binslot0mainThiscommandwillsetthebootfileofthespecifiedboard.
Continue[Y/N]:yThespecifiedfilewillbeusedasthemainbootfileatthenextrebootonslot0!
将newest.
bin指定为备用主控板(所在槽位号为1)的主用下次启动文件.
boot-loaderfileslot1#flash:/newest.
binslot1mainThiscommandwillsetthebootfileofthespecifiedboard.
Continue[Y/N]:yThespecifiedfilewillbeusedasthemainbootfileatthenextrebootonslot1!
#重启设备,完成设备软件升级.
reboot1-8下次启动文件必须存放在存储介质的根目录下的第一个分区内.
可使用文件的拷贝或移动操作来调整文件的路径为根目录.
关于boot-loader命令的详细介绍请参见"基础配置命令参考"中的"软件升级".
1.
3配置FTP服务器当设备作为FTP服务器时,可以进行如下配置.
1.
3.
1FTP服务器的基本配置用户登录到FTP服务器,使用put命令上传文件的过程中,FTP服务器中文件的更新有两种方式,快速更新方式与普通更新方式.
快速更新方式,即FTP服务器先将上传文件接收到内存中,全部接收完后,再将文件内容写入存储设备.
采用这种方式,即使文件传送过程发生断电等异常情况,也不会损坏FTP服务器上的现有文件.
普通更新方式,即FTP服务器一边接收用户的文件,一边将其写入存储设备.
采用这种方式,可能会因为断电等异常情况致使FTP服务器上的现有文件被损坏.
与快速更新方式相比,普通更新方式需要的空闲内存较少.
表1-10配置FTP服务器操作命令说明进入系统视图system-view-启动FTP服务器功能ftpserverenable必选缺省情况下,FTP服务器功能处于关闭状态使用ACL(AccessControlList,访问控制列表)限制哪些FTP客户端可以访问设备ftpserveraclacl-number可选缺省情况下,没有使用ACL限制FTP客户端配置FTP服务器的连接空闲时间ftptimeoutminutes可选缺省情况下,连接空闲时间为30分钟如果在连接空闲时间内,FTP服务器和客户端没有消息交互,则断开它们之间的连接设置在上传过程中,FTP服务器更新文件的方式ftpupdate{fast|normal}可选缺省情况下,在给FTP服务器上传文件的过程中,FTP服务器采用normal方式更新文件退回到用户视图quit-强制释放通过指定用户名建立的FTP连接freeftpuserusername可选该命令在用户视图下执行1-91.
3.
2配置FTP服务器的验证和授权FTP服务器的授权信息包含提供给FTP用户的工作目录的路径.
只有验证通过和授权成功的用户,才能得到FTP服务器的服务.
以下配置为FTP服务器在本地对FTP客户端身份进行验证的时候的步骤,如果要对FTP客户端进行远程认证,则不需要配置本地用户,但需要配置AAA(Authentication,AuthorizationandAccounting,认证、授权和计费)认证方案,详细配置请参见"安全配置指导"中的"AAA".
(本地认证是指在设备上验证用户输入的用户名/密码是否与设备上配置的用户名/密码匹配;远程认证是指设备将用户输入的用户名/密码发送给远端的认证服务器,由服务器来验证用户名/密码是否匹配)表1-11配置FTP服务器的验证和授权操作命令说明进入系统视图system-view-进入本地用户视图local-useruser-name必选如果指定的本地用户不存在,则先完成本地用户的创建,再进入该用户的视图缺省情况下,系统中没有任何本地用户,系统不支持FTP匿名用户访问设置当前本地用户的密码password{simple|cipher}password必选设置用户可以使用的服务类型为FTPservice-typeftp必选缺省情况下,系统不支持FTP匿名用户访问,不对用户授权任何服务;若授权FTP服务,缺省授权使用设备的根目录配置用户的属性authorization-attribute{aclacl-number|callback-numbercallback-number|idle-cutminute|levellevel|user-profileprofile-name|vlanvlan-id|work-directorydirectory-name}*可选缺省情况下,FTP/SFTP用户可以访问设备的根目录,用户的级别为0.
可以使用该命令进行修改local-user、password、service-typeftp和authorization-attribute命令的详细介绍,请参见"安全命令参考"中的"AAA".
设备作为FTP服务器时,对客户端的访问操作有级别限制:如果要对设备的文件系统执行写操作(比如上传、删除、创建/删除文件夹),则必须将FTP登录用户的级别设置为3;如果执行其它操作(比如普通的查看操作),则FTP登录用户的级别不受限制,可以为0~3中的任意级别.
1.
3.
3FTP服务器配置举例1.
组网需求设备作为FTP服务器,PC作为FTP客户端.
IP地址如组网图所示,Device和PC之间路由可达.
1-10设备最新版本的启动文件存储在PC上,请使用FTP功能实现设备的升级以及设备配置文件的备份.
客户端登录FTP服务器的用户名为abc,密码为abc.
2.
组网图图1-3利用FTP服务器功能实现升级3.
配置步骤配置Device(FTPServer)#在设备上添加一个本地用户abc,并设置其认证密码为abc,用户级别为3管理级,授权访问目录为Flash的根目录,abc可以使用的服务类型为FTP.
system-view[Sysname]local-userabc[Sysname-luser-abc]passwordsimpleabc[Sysname-luser-abc]authorization-attributelevel3[Sysname-luser-abc]authorization-attributework-directoryflash:/如果要直接访问备用主控板(所在槽位号为1)Flash的根目录,需要将"authorization-attributework-directoryflash:/"配置中的"flash:/"替换成"slot1#flash:/".
[Sysname-luser-abc]service-typeftp[Sysname-luser-abc]quit#启动设备的FTP服务.
[Sysname]ftpserverenable[Sysname]quit#删除设备中的多余文件,以保证剩余足够的空间,用于存储新的启动文件.
dirDirectoryofflash:/0drw--Dec07200510:00:57filename1drw--Jan02200614:27:51logfile2-rw-1216Jan02200614:28:59config.
cfg3-rw-1216Jan02200616:27:26back.
cfg2540KBtotal(2511KBfree)delete/unreservedflash:/back.
cfg配置PC(FTPClient)#以FTP方式登录FTP服务器.
c:\>ftp1.
1.
1.
1Connectedto1.
1.
1.
1.
220FTPserviceready.
User(1.
1.
1.
1:(none)):abc331Passwordrequiredforabc.
Password:230Userloggedin.
1-11#将设备的配置文件config.
cfg下载到PC本地进行备份.
ftp>getconfig.
cfgback-config.
cfg#上传启动文件newest.
bin到主用主控板存储介质的根目录下.
ftp>putnewest.
binftp>bye利用FTP功能升级配置文件时,操作步骤与上述介绍基本相同,需要注意的是获取后的配置文件同样要放在存储介质的根目录下(对于支持存储设备分区的设备,该文件必须存放在第一个分区内).
利用FTP远程升级Bootware程序,文件传送完成后需要再执行bootromupdate命令来升级Bootware.
升级Device#将启动文件newest.
bin拷贝到备用主控板(所在槽位号为1)存储介质的根目录下.
copynewest.
binslot1#flash:/#将newest.
bin指定为设备的主用下次启动文件.
将newest.
bin指定为主用主控板的主用下次启动文件.
boot-loaderfilenewest.
binslot0mainThiscommandwillsetthebootfileofthespecifiedboard.
Continue[Y/N]:yThespecifiedfilewillbeusedasthemainbootfileatthenextrebootonslot0!
将newest.
bin指定为备用主控板(所在槽位号为1)的主用下次启动文件.
boot-loaderfileslot1#flash:/newest.
binslot1mainThiscommandwillsetthebootfileofthespecifiedboard.
Continue[Y/N]:yThespecifiedfilewillbeusedasthemainbootfileatthenextrebootonslot1!
#重启设备,完成设备软件升级.
reboot下次启动文件必须存放在存储介质的根目录下的第一个分区内.
可使用文件的拷贝或移动操作来调整文件的路径为根目录.
关于boot-loader命令的详细介绍请参见"基础配置命令参考"中的"软件升级".
1.
4FTP显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后FTP的运行情况,通过查看显示信息验证配置的效果.
表1-12FTP显示和维护操作命令查看FTP客户端的当前配置displayftpclientconfiguration[|{begin|exclude|include}regular-expression]查看FTP服务器的配置情况displayftp-server[|{begin|exclude|include}regular-expression]1-12操作命令查看FTP登录用户的详细情况displayftp-user[|{begin|exclude|include}regular-expression]2-12TFTP配置2.
1TFTP简介2.
1.
1TFTP概述TFTP(TrivialFileTransferProtocol,简单文件传输协议)也是用于在远端服务器和本地主机之间传输文件的,相对于FTP,TFTP没有复杂的交互存取接口和认证控制,适用于客户端和服务器之间不需要复杂交互的环境.
TFTP协议的运行基于UDP协议,使用UDP端口69进行数据传输.
TFTP协议基本操作在RFC1350中进行了描述.
TFTP协议传输是由客户端发起的:当TFTP客户端需要从服务器下载文件时,由客户端向TFTP服务器发送读请求包,然后从服务器接收数据,并向服务器发送确认;当TFTP客户端需要向服务器上传文件时,由客户端向TFTP服务器发送写请求包,然后向服务器发送数据,并接收服务器的确认.
TFTP传输文件有两种模式:二进制模式,用于传输程序文件.
ASCII码模式,用于传输文本文件.
2.
1.
2TFTP的实现目前,设备只能作为TFTP客户端,不支持作为TFTP服务器.
图2-1TFTP配置示意图使用TFTP之前,网络管理员需要配置好TFTP客户端和服务器的IP地址,并且确保客户端和服务器之间的路由可达.
设备作为TFTP客户端时,需要进行如下配置:表2-1设备作为TFTP客户端时的配置设备操作说明Device(作为TFTP客户端)进行IP地址和路由功能配置,确保设备和TFTP服务器之间路由可达直接使用TFTP命令登录远端的TFTP服务器上传或者下载文件-PC(作为TFTP服务器)启动TFTP服务器,并配置TFTP工作目录-2-22.
2配置TFTP客户端当设备作为TFTP客户端时,可以把本设备的文件上传到TFTP服务器,还可以从TFTP服务器下载文件到本地设备.
下载又分为两种:普通下载.
在这种方式下,设备将获取的远端文件直接写到存储设备中.
如果下载时将远端文件保存在设备上使用的文件名是destination-filename,而设备已经存在同名文件,则在下载时,系统会先将设备上已有的destination-filename文件删除,再保存远端文件.
如果下载失败(如网络断开等原因),则原文件已被删除,无法恢复.
安全下载.
在这种方式下,设备将获取的远端文件先保存到内存中,等用户文件全部接收完毕,才将它写到存储设备中.
如果下载时将远端文件保存在设备上使用的文件名是destination-filename,设备已经存在同名文件,此时,即便下载失败(如网络断开等原因),因为原文件没有被覆盖,仍能使用.
这种方法安全系数较高,但需要较大的内存空间.
当操作启动文件或配置文件等重要文件时,建议采用安全下载或者非覆盖性下载(即下载时使用一个当前目录下不存在的文件名作为目标文件名).
在使用tftp命令建立TFTP连接时,还可以进行源地址绑定.
源地址可以通过配置源接口(建议使用Loopback接口)或源IP地址来实现,源接口下配置的主IP地址或源IP地址即为发送报文的源地址.
TFTP客户端在与TFTP服务器通信的时候,发送报文的源地址选取遵循以下规则:如果没有指定TFTP客户端的源地址,则采用路由决定的源地址进行通信.
如果只用tftpclientsource或tftp命令指定了源地址,则采用该地址进行通信.
如果执行tftpclientsource命令指定了源地址后,又在tftp命令中指定了源地址,则采用tftp命令中指定的源地址进行通信.
tftpclientsource命令指定的源地址对所有的tftp传输有效,tftp命令指定的源地址只对当前的tftp传输有效.
表2-2配置TFTP客户端操作命令说明进入系统视图system-view-使用ACL限制设备可访问哪些TFTP服务器tftp-server[ipv6]aclacl-number可选缺省情况下,没有使用ACL限制TFTP服务器配置TFTP客户端的源地址tftpclientsource{interfaceinterface-typeinterface-number|ipsource-ip-address}可选缺省情况下,设备使用路由决定的源地址与TFTP服务器通信退回用户视图quit-在IPv4网络,用TFTP下载/上传/安全下载文件tftpserver-address{get|put|sget}source-filename[destination-filename][vpn-instancevpn-instance-name][source{interfaceinterface-typeinterface-number|ipsource-ip-address}]可选在IPv6网络,用TFTP下载/上传文件tftpipv6tftp-ipv6-server[-iinterface-typeinterface-number]{get|put}source-filename[destination-filename][vpn-instancevpn-instance-name]可选2-3如果源接口下没有配置主地址,将导致TFTP传输失败.
如果先后配置了客户端TFTP报文的源接口和源IP,则新配置的源IP将覆盖现有的源接口配置.
反之亦然.
2.
3TFTP客户端显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后TFTP客户端的情况,通过查看显示信息验证配置的效果.
表2-3TFTP客户端显示和维护操作命令查看TFTP客户端的当前配置displaytftpclientconfiguration[|{begin|exclude|include}regular-expression]2.
4TFTP客户端配置举例1.
组网需求Device作为TFTP客户端,PC作为TFTP服务器.
IP地址如组网图所示,Device和PC之间路由可达.
Device通过TFTP协议从PC上下载最新启动文件完成设备升级,同时将配置文件config.
cfg上传到PC实现备份.
2.
组网图图2-2利用TFTP客户端功能实现平滑升级3.
配置步骤配置PC(TFTP服务器)(具体配置步骤略)在PC上启动TFTP服务器功能;配置TFTP服务器的工作目录.
配置Device(TFTP客户端)2-4如果设备剩余的内存空间不够,请使用fixdisk命令清理内存或者使用delete/unreservedfile-url命令删除部分暂时不用的文件后再执行以下操作.
#将启动文件newest.
bin从PC下载到设备.
将启动文件newest.
bin从PC下载到主用主控板存储介质的根目录下.
tftp1.
2.
1.
1getnewest.
bin将启动文件newest.
bin从PC下载到备用主控板(所在槽位号为1)存储介质的根目录下.
tftp1.
2.
1.
1getnewest.
binslot1#flash:/newest.
bin#将设备的配置文件config.
cfg上传到TFTP服务器.
tftp1.
2.
1.
1putconfig.
cfgconfigback.
cfg#将newest.
bin指定为设备的主用下次启动文件.
将newest.
bin指定为主用主控板的主用下次启动文件.
boot-loaderfilenewest.
binslot0mainThiscommandwillsetthebootfileofthespecifiedboard.
Continue[Y/N]:yThespecifiedfilewillbeusedasthemainbootfileatthenextrebootonslot0!
将newest.
bin指定为备用主控板(所在槽位号为1)的主用下次启动文件.
boot-loaderfileslot1#flash:/newest.
binslot1mainThiscommandwillsetthebootfileofthespecifiedboard.
Continue[Y/N]:yThespecifiedfilewillbeusedasthemainbootfileatthenextrebootonslot1!
#重启设备,完成设备软件升级.
reboot下次启动文件必须存放在存储介质的根目录下的第一个分区内.
可使用文件的拷贝或移动操作来调整文件的路径为根目录.
关于boot-loader命令的详细描述请参见"基础配置命令参考"中的"软件升级".
i目录1文件系统管理配置·1-11.
1文件系统·1-11.
1.
1文件系统简介·1-11.
1.
2存储设备的命名1-11.
1.
3文件名参数输入规则1-11.
2目录操作·1-21.
2.
1显示目录信息·1-21.
2.
2显示当前的工作路径1-21.
2.
3改变当前的工作路径1-21.
2.
4创建目录1-31.
2.
5删除目录1-31.
3文件操作·1-31.
3.
1显示文件信息·1-41.
3.
2显示文件内容·1-41.
3.
3重命名文件·1-41.
3.
4拷贝文件1-41.
3.
5移动文件1-41.
3.
6删除文件1-51.
3.
7恢复删除文件·1-51.
3.
8彻底删除回收站中的文件·1-51.
3.
9计算文件的摘要值·1-51.
4批处理操作1-61.
5存储设备操作·1-61.
5.
1存储设备介绍·1-61.
5.
2存储设备的命名1-71.
5.
3存储设备的内存空间管理·1-71.
5.
4存储设备的挂载/卸载1-71.
5.
5存储设备分区·1-81.
6设置文件系统的提示方式1-91.
7文件系统应用举例1-91-11文件系统管理配置本手册所涉及的文件名遵循以下规则:"路径+文件名"的格式,即全文件名,表示指定路径下的文件.
全文件名长度为1~135个字符;"文件名"的格式,即只有文件名而没有路径,表示当前工作路径下的文件.
文件名的长度为1~91个字符.
1.
1文件系统1.
1.
1文件系统简介设备运行过程中所需要的文件(如:主机软件、配置文件等)保存在设备的存储设备中,为了方便用户对存储设备进行有效的管理,设备以文件系统的方式对这些文件进行管理.
文件系统操作包括:目录操作、文件操作、批处理操作、存储设备操作等.
1.
1.
2存储设备的命名存储设备的命名遵循以下规则:如果设备上同一类型的存储设备只有一个,则存储设备的物理设备名称就是存储设备类型名称,例如flash等.
如果设备上同一类型的存储设备有多个,则主用主控板上存储设备的物理设备名称就是存储设备类型名称,例如flash、cf0等;备用主控板上存储设备的物理设备名称由槽位号加存储设备类型名称组成,例如slot1#flash、slot1#cf0等.
对于支持存储设备分区的cf卡等,则分区设备的名称就是存储设备的物理设备名称加分区的序号组成.
分区的序号使用数字(如0、1、2等)描述,例如cf0等.
1.
1.
3文件名参数输入规则在设备上执行文件系统操作时,文件名参数的输入方式需要遵循表1-1.
表1-1设备文件名参数输入规则格式说明长度举例file-name纯文件名(只有文件名而没有路径),表示当前工作路径下的文件1~91个字符a.
cfg表示当前目录下的a.
cfg文件,如果当前工作路径在主用主控板,则a.
cfg表示主用主控板上的a.
cfg文件;如果当前工作路径在备用主控板,则a.
cfg表示备用主控板上的a.
cfg文件1-2格式说明长度举例path/file-name文件夹+纯文件名,表示当前路径指定文件夹下的指定文件.
path表示文件夹的名称,path参数可以输入多次,表示多级文件夹下的文件1~135个字符test/a.
cfg表示当前路径下test子文件夹下的a.
cfg文件drive:/[path]/file-name存储介质+文件夹+纯文件名,表示设备上某块存储介质上的文件.
drive表示存储介质的名称,主用主控板上的存储介质通常表示为flash或者cf;备用主控板上的存储介质通常表示为slot1#flash或者slot1#cf(其中1表示备用主控板所在的槽位号,可以使用displaydevice命令查看单板与槽位号的对应关系)1~135个字符flash:/test/a.
cfg表示主用主控板上Flash根目录下test文件夹下的a.
cfg文件如果要读写备用主控板(编号为1)上Flash根目录下的a.
cfg文件时,命令行文件名参数需要输入slot1#flash:/a.
cfg1.
2目录操作目录操作包括创建/删除目录、显示当前的工作路径以及显示指定目录或文件信息等.
1.
2.
1显示目录信息表1-2显示目录信息操作命令说明显示目录或文件信息dir[/all][file-url|/all-filesystems]必选该命令在用户视图下执行1.
2.
2显示当前的工作路径表1-3显示当前的工作路径操作命令说明显示当前的工作路径pwd必选该命令在用户视图下执行1.
2.
3改变当前的工作路径表1-4改变当前的工作路径操作命令说明改变当前的工作路径cd{directory必选该命令在用户视图下执行1-31.
2.
4创建目录表1-5创建目录操作命令说明创建目录mkdirdirectory必选该命令在用户视图下执行1.
2.
5删除目录表1-6删除目录操作命令说明删除目录rmdirdirectory必选该命令在用户视图下执行被删除的目录必须为空目录(即删除目录前,必须先删除该目录下的所有文件及子目录.
文件的删除请参见delete命令,子目录的删除请参见rmdir命令).
成功执行rmdir后,回收站中原来属于该文件夹的文件会自动被彻底删除.
1.
3文件操作文件操作包括显示指定目录或文件信息、显示文件的内容、重命名文件、拷贝文件、移动文件、删除文件、恢复删除的文件、彻底删除文件.
创建文件可以通过拷贝、下载操作或save命令来辅助完成.
在对存储介质进行写操作或删除操作时,如果设备异常断电,可能会出现存储介质空间丢失,文件损坏等现象,当出现此类问题时可以尝试通过以下步骤进行恢复:将该存储介质上的剩余文件拷贝到其他存储介质上进行备份;通过format命令来重新格式化该存储介质;对于支持分区的存储设备,只需要在对应损坏文件的分区内执行format命令.
1-41.
3.
1显示文件信息表1-7显示文件信息操作命令说明显示目录或文件信息dir[/all][file-url|/all-filesystems]必选该命令在用户视图下执行1.
3.
2显示文件内容表1-8显示文件内容操作命令说明显示文件的内容morefile-url必选目前只支持显示文本文件的内容该命令在用户视图下执行1.
3.
3重命名文件表1-9重命名文件操作命令说明重命名文件renamefileurl-sourcefileurl-dest必选该命令在用户视图下执行1.
3.
4拷贝文件表1-10拷贝文件操作命令说明拷贝文件copyfileurl-sourcefileurl-dest必选该命令在用户视图下执行1.
3.
5移动文件表1-11移动文件操作命令说明移动文件movefileurl-sourcefileurl-dest必选该命令在用户视图下执行1-51.
3.
6删除文件表1-12删除文件操作命令说明删除文件delete[/unreserved]file-url必选该命令在用户视图下执行使用deletefile-url命令删除文件,被删除的文件被保存在回收站中,仍会占用存储空间.
如果用户经常使用该命令删除文件,则可能导致设备的存储空间不足,请用户查看回收站中是否有废弃文件.
如果要彻底删除回收站中的某个废弃文件,必须在该文件的原目录下执行resetrecycle-bin命令,才可以回收存储空间.
使用delete/unreservedfile-url命令删除文件,被删除的文件被彻底删除,不能再恢复.
效果等同于执行deletefile-url命令后,再在同一目录下执行了resetrecycle-bin命令.
1.
3.
7恢复删除文件表1-13恢复删除文件操作命令说明恢复删除文件undeletefile-url必选该命令在用户视图下执行1.
3.
8彻底删除回收站中的文件表1-14彻底删除回收站中的文件操作命令说明进入要删除文件的原路径cd{directory可选如果要删除的文件的原路径不是当前路径,则该步骤必选该命令在用户视图下执行彻底删除当前目录下、处于回收站中的文件resetrecycle-bin[/force]必选该命令在用户视图下执行1.
3.
9计算文件的摘要值使用指定的摘要算法对指定的文件计算摘要值,通常用于验证文件的正确性和完整性,防止文件内容被篡改.
例如,用户可以使用本命令计算出设备上的版本文件的摘要值,并与H3C网站上发布的该版本文件对应的摘要值进行比较,来验证该版本文件是否合法.
1-6表1-15计算文件的摘要值操作命令说明计算文件的摘要值crypto-digestsha256filefile-url必选1.
4批处理操作批处理文件是可执行命令的集合,批处理功能用于自动执行批处理文件里的命令,执行过程相当于手工逐条执行这些命令.
执行批处理操作之前,首先需要在PC上编辑批处理文件,然后将批处理文件下载到设备上,如果文件名的后缀不是.
bat,必须使用rename命令修改为.
bat.
表1-16执行批处理操作操作命令说明进入系统视图system-view-执行批处理文件executefilename必选批处理命令不保证每一条命令的执行,比如某命令设置错误或者该命令执行的条件不成熟,本命令将执行失败,系统就会跳过该命令转到下一条.
1.
5存储设备操作1.
5.
1存储设备介绍设备支持以下几种存储设备:主控板上内置的Flash;主控板上USB接口外接的U盘;主控板上CF卡插槽中插入的CF卡.
存储设备被正确识别之后,设备将以文件系统的方式对存储设备上的文件进行管理和操作,如对文件的读写,多种存储设备之间的互操作.
设备支持对CF卡和U盘的热插拔.
1-7设备主控板上共有上下两个USB接口(水平放置),只有上USB接口支持U盘.
设备支持的存储设备的文件系统为FAT16或FAT32格式.
设备不支持移动硬盘、USBHUB、MP3和MP4等带有特殊功能的非标准U盘类设备.
推荐使用Kingston1G的U盘.
1.
5.
2存储设备的命名存储设备的命名遵循以下规则:支持分区的存储设备(如CF卡)的名称由物理设备名称加分区序号组成.
分区序号使用数字(如0、1、2等)描述,如CF卡的第2个分区的名称为cf1.
如果只有一个分区,则分区的名称为存储设备的物理设备名称后加0.
不支持分区的存储设备(如U盘)的名称由物理设备名称加序号组成,序号使用英文字母,如usba.
1.
5.
3存储设备的内存空间管理由于异常操作等原因,存储设备的某些空间可能不可用.
用户可以通过fixdisk命令来恢复存储设备的空间.
也可以通过format命令来格式化指定的存储设备.
表1-17存储设备的内存空间管理操作命令说明恢复存储设备的空间fixdiskdevice可选该命令在用户视图下执行格式化存储设备formatdevice[FAT16|FAT32]可选Flash不支持FAT16和FAT32参数该命令在用户视图下执行格式化操作将导致存储设备上的所有文件丢失,并且不可恢复;尤其需要注意的是,如果存储设备上有启动配置文件,格式化该存储设备,将丢失启动配置文件.
对于支持分区的设备,只能格式化分区设备,不能格式化整个存储设备.
只能对主用板上的存储设备进行fixdisk操作,不能对备用主控板上的存储设备进行fixdisk操作.
1.
5.
4存储设备的挂载/卸载对于可以支持热插拔的存储设备(如CF卡、U盘等,Flash不支持该操作),可以在用户视图下,使用mount和umount命令挂载和卸载该存储设备.
当存储设备插入低版本的系统时,系统不能自动识别该存储设备,必须通过挂载操作后,才能对该存储设备执行读写操作.
1-8卸载存储设备是逻辑上让存储设备处于非连接状态,此时,用户可以安全的拔出存储设备;挂载存储设备是让卸载的存储设备重新处于连接状态.
表1-18存储设备的挂载/卸载操作命令说明挂载存储设备mountdevice可选缺省情况下,存储设备连接到设备后,自动执行挂载操作,即存储设备插入时已经处于连接状态,不需挂载就可使用卸载存储设备umountdevice可选缺省情况下,存储设备连接到设备后,自动执行挂载操作,在拔出存储设备前,需要先执行卸载操作在执行挂载或卸载操作过程中,禁止对单板或存储设备进行插拔或倒换操作;在进行文件操作过程中也禁止对存储设备进行插拔或倒换操作.
否则,可能会引起文件系统的损坏.
当存储设备插入低版本的系统时,系统不能自动识别该存储设备,必须通过挂载操作后,才能对该存储设备执行读写操作.
处于挂载状态的存储设备在拔出系统前,需要先使用命令umount卸载存储设备,卸载成功后方可拔出.
当umount命令不成功时,表示存储设备内的文件正在读写,需要等待文件读写结束后再次执行umount命令,才能成功卸载存储设备.
如果设备上的多个CF卡分区未全部通过umount命令卸载掉,则CF卡将仍处于供电状态,所以在存储设备拔出系统前,请先对所有分区设备执行卸载操作,以免带电操作损坏存储设备.
刚插入USB接口的U盘,不允许立刻拔出,需要等待U盘被识别,U盘上的指示灯不再闪烁后,使用命令umount卸载U盘成功后再拔出.
如果在刚插入U盘后马上拔出,可能会造成USB接口或U盘无法使用.
1.
5.
5存储设备分区存储设备分区就是将存储设备分成几个不同的逻辑设备,每个逻辑设备可以单独进行文件操作,防止各分区内文件间的互相影响.
存储设备分区支持两种分区模式:简单分区模式.
该模式下需要指定分区的个数,系统会将存储设备分成大小相等的指定个数的分区.
交互式分区模式.
该模式下不需要指定分区的个数,系统会根据用户的输入来确定将存储设备分成几个分区以及每个分区的大小,但每个分区至少为32MB.
表1-19存储设备分区操作命令说明对存储设备进行分区fdiskdevice[partition-number]必选缺省情况下,CF卡只有一个分区cf0:/1-9分区操作会清除存储设备中的所有数据,请务必做好文件备份.
分区完成后会造成分区设备的增减,需要用户根据实际情况重新设置应用程序路径.
如果需要从CF卡启动,启动文件和配置文件必须位于CF卡的第一个分区.
为了防止日志文件影响启动文件和配置文件,如果分为多个分区,分区后建议将日志文件的路径设置到除首分区外的其它分区上.
缺省情况下,系统自动将日志文件的路径设置在第二个分区上,如果该路径在存储设备上不存在,请使用info-centerlogfileswitch-directory命令手工调整日志文件的路径,以免日志文件丢失,该命令的详细介绍请参见"网络管理和监控配置指导"中的"信息中心".
分区完成后各分区的大小不一定与确认时的分区大小完全一致,但误差小于CF卡总容量的5%.
分区后,必须先卸载所有的分区才能安全的拔出存储设备,否则,可能会造成存储设备上文件系统的损坏.
对U盘进行分区的时候,请确保没有对U盘设置写保护.
否则会分区失败,需要重新挂载或者插拔U盘后,才能正常访问U盘.
1.
6设置文件系统的提示方式用户可以通过命令修改当前文件系统的提示方式.
文件系统支持两种提示方式:alert:当用户对文件进行有危险性的操作时,系统会要求用户进行交互确认.
quiet:当用户对文件进行任何操作,系统均不要求用户进行确认.
该方式可能会导致一些因误操作而发生的、不可恢复的、对系统造成破坏的情况产生.
表1-20设置文件系统的提示方式操作命令说明进入系统视图system-view-设置文件系统的提示方式fileprompt{alert|quiet}可选缺省情况下,文件系统的提示方式为alert1.
7文件系统应用举例#查看当前目录下的文件及子目录.
dirDirectoryofflash:/0drw--Feb16200611:45:36logfile1-rw-1218Feb16200611:46:19config.
cfg2drw--Feb16200615:20:27test3-rw-184108Feb16200615:30:20aaa.
bin19540KBtotal(2521KBfree)1-10#进入test目录,并创建新文件夹mytest.
cdtestmkdirmytest%Createddirflash:/test/mytest.
#显示当前的工作路径.
pwdflash:/test#查看test目录下的文件及子目录.
dirDirectoryofflash:/test/0drw--Feb16200615:28:14mytest2540KBtotal(2519KBfree)#返回上一级目录.
cd.
.
#显示当前的工作路径.
pwdflash:/#查看U盘中的文件及目录.
dirusba:/Directoryofusba:/0-rw-15286272Jan16200816:02:16debug_usb.
app1-rw-35487744Jan16200816:07:32test.
rar2-rw-29212672Jan16200816:07:32debug_usb_d11.
app3-rw-59652Jan23200817:21:04test.
app4-rw-39067474Jan23200817:23:02debug.
app1951520KBtotal(1835072KBfree)Filesystemtypeofusba:FAT16#进入U盘目录cdusba:/dirDirectoryofusba:/0-rw-15286272Jan16200816:02:16debug_usb.
app1-rw-35487744Jan16200816:07:32test.
rar2-rw-29212672Jan16200816:07:32usb_d11.
app3-rw-59652Jan23200817:21:04test.
app4-rw-39067474Jan23200817:23:02debug.
app1951520KBtotal(1835072KBfree)Filesystemtypeofusba:FAT16#显示当前的工作路径.
pwdusba:1-11#复制U盘中的文件test.
app到Flash,并覆盖Flash中原有文件.
copyusba:/test.
appflash:/Copyusba:/test.
apptoflash:/test.
app[Y/N]:yThefileflash:/test.
appexists.
Overwriteit[Y/N]:y.
.
.
.
.
.
%Copyfileusba:/test.
apptoflash:/test.
app.
.
.
Done.
i目录1配置文件管理·1-11.
1配置文件简介·1-11.
1.
1配置的类型·1-11.
1.
2配置文件的内容与格式1-11.
1.
3配置文件的选择顺序1-11.
2保存当前配置·1-21.
2.
1使能配置文件同步保存功能1-21.
2.
2保存当前配置·1-21.
2.
3擦除设备中的配置文件1-31.
3配置回滚·1-41.
3.
1配置回滚简介·1-41.
3.
2配置回滚配置任务简介1-41.
3.
3设置备份参数·1-41.
3.
4自动备份当前配置·1-51.
3.
5手工备份当前配置·1-61.
3.
6配置回滚1-61.
4设置下次启动配置文件·1-71.
5备份/恢复下次启动配置文件·1-71.
5.
1Backup/Restore特性简介1-71.
5.
2备份下次启动配置文件1-81.
5.
3恢复下次启动配置文件1-81.
6配置文件显示和维护·1-91-11配置文件管理配置文件管理是设备提供的用于管理配置文件的一项功能.
它具有较好的命令行接口,方便用户对配置文件进行管理.
1.
1配置文件简介配置文件是命令行的集合.
用户将当前配置(一条条命令行)保存到配置文件中,以便设备重启后,这些配置能够继续生效.
另外,通过配置文件,用户可以非常方便地查阅配置信息也可以将配置文件上传/下载到别的设备,来实现设备的批量配置.
1.
1.
1配置的类型设备上的配置分为以下两种:1.
起始配置当设备启动时,根据读取的配置文件,进行初始化工作,该配置称为起始配置或者启动配置(startup-configuration);如果设备中没有配置文件,则系统使用出厂配置作为起始配置.
可以通过以下方式查看起始配置:使用displaystartup查看当前使用的启动配置文件,再使用more命令查看该配置文件的内容;设备启动后还没有进行配置前,立即使用displaycurrent-configuration命令查看.
2.
当前配置与起始配置相对应,系统当前正在使用的配置称为当前配置(current-configuration).
它可能包括起始配置(如果起始配置在设备运行过程中没有被用户修改的话),还包括运行过程中用户追加的配置.
当前配置存放在设备的临时存储器中,如果不保存,设备重启之后可能会失效.
可以使用displaycurrent-configuration命令查看设备的当前配置.
1.
1.
2配置文件的内容与格式配置文件为一个文本文件,其保存规则如下:配置文件的内容为命令行,且只保存非缺省配置;配置文件以命令视图为基本框架,同一命令视图的命令组织在一起,形成一节,节与节之间通常用空行或注释行隔开(以#开始的为注释行,空行或注释行可以是一行或多行);文件中各节的安排顺序通常为:系统配置、接口配置、各种协议配置和用户界面配置等;以return结束.
1.
1.
3配置文件的选择顺序系统启动时,配置文件的选择遵循以下规则:如果主用下次启动配置文件存在,则以主用下次启动配置文件初始化配置.
如果主用下次启动配置文件不存在,备用下次启动配置文件存在,则以备用下次启动配置文件初始化配置;如果备用下次启动配置文件也不存在,则以出厂配置启动.
1-21.
2保存当前配置1.
2.
1使能配置文件同步保存功能使能配置文件同步保存功能后,当用户执行"save[safely][force]"或者"savefilenameall+回车"操作保存当前配置时,主用主控板和备用主控板会同时自动把当前配置保存到指定的配置文件中,并将该文件配置为设备的下次启动文件,以保证主、备板配置文件内容的一致;如果没有使能配置文件同步保存功能,则当用户执行"save[safely][force]"或者"savefilenameall+回车"操作保存当前配置时,只有主用主控板自动把当前配置保存到指定的配置文件中,并将该文件配置为主用主控板的下次启动文件,备用主控板不会执行保存操作,也不会重新设置备用主控板的下次启动文件.
表1-1配置主备板配置文件同步保存功能操作命令说明进入系统视图system-view-开启主备板配置文件同步保存功能slaveauto-updateconfig可选缺省情况下,主备自动同步功能处于开启状态执行"savefilename+回车"操作,系统只按指定路径保存当前配置,备用主控板不执行同步保存操作.
1.
2.
2保存当前配置用户通过命令行可以修改设备的当前配置,而这些配置是暂时的,如果要使当前配置在系统下次重启时继续生效,在重启设备前,请使用save命令将当前配置保存到配置文件中.
1.
配置的保存方式快速保存方式,执行不带safely参数的save命令.
这种方式保存速度快,但是保存过程中如果出现设备重启、断电等问题,原有配置文件可能会丢失.
安全模式,执行带safely参数的save命令.
这种方式保存速度慢,即使保存过程中出现设备重启、断电等问题,原有配置文件仍然会保存到设备中,不会丢失.
如果在配置文件保存过程中出现设备重启、断电等问题,可能会造成下次启动配置文件丢失,这时,设备将以出厂配置启动.
设备启动后,用户需要重新设置下次启动配置文件.
1-3表1-2保存当前配置操作命令说明当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件savefile-url[all|slotslot-number]二者必选其一该命令可在任意视图下执行将当前配置保存到主用主控板和备用主控板存储介质的根目录,并将该文件设置为下次启动配置文件save[safely]在电源稳定程度较好的环境中,推荐用户使用快速保存方式保存配置文件;在电源环境恶劣或者远程维护等情况,推荐用户使用安全模式保存配置文件.
配置文件的扩展名必须为".
cfg".
如果在命令行输入save后直接回车,系统会进行交互式保存.
在交互方式下,用户可以使用缺省路径,也可以输入文件名,指定新的路径,但文件名的后缀必须为".
cfg",路径只能是主用主控板存储设备路径.
使用savefile-name命令,即便使能了主备板配置文件同步保存功能,备用板也不会自动把当前的配置保存到自己的配置文件中.
如果不指定file-name参数,主用板在执行save命令时,备用板会自动执行同步保存操作.
在交互方式下,如果使用非缺省路径(即输入新的文件名),系统会自动把该文件设置为设备的下次启动配置文件.
1.
2.
3擦除设备中的配置文件用户通过命令可以擦除设备中的配置文件.
配置文件被擦除后,设备下次上电时,系统将采用缺省的配置参数进行初始化.
在以下几种情况下,用户可能需要擦除设备中的配置文件:在设备软件升级之后,系统软件和配置文件不匹配.
设备中的配置文件被破坏(常见原因是加载了错误的配置文件).
表1-3擦除设备中配置文件操作命令说明擦除设备中的配置文件resetsaved-configuration必选该命令在用户视图下执行擦除操作会将下次启动配置文件从设备上彻底删除,所以请慎用该命令.
1-41.
3配置回滚1.
3.
1配置回滚简介配置回滚是将当前的配置回退到指定配置文件中的配置状态.
该配置文件必须是有效的.
cfg文件,它可以使用手工/自动备份功能或者save命令生成,也可以是别的设备的可兼容配置文件,推荐使用手工/自动备份功能生成.
配置回滚主要应用于:当前配置错误,但错误配置太多不方便定位或逐条回退,需要将当前配置回滚到某个正确的配置状态.
设备的应用环境变化,需要使用某个配置文件中的配置信息运行,在不重启设备的情况下将当前配置回滚到指定配置文件的状态.
配置回滚的基本步骤如下:用户必须先设置备份配置文件的路径和文件名前缀;系统将当前配置以指定的文件名(前缀+序号)备份到指定路径.
这个备份有两种方式:一种是系统按照一定的时间周期自动备份,另一种是用户用命令行在必要时手工触发备份;将当前配置回滚到指定配置文件的状态.
配置回滚时,系统会比较、处理当前配置和配置文件中配置的差异:对于当前配置与回滚配置文件中的相同命令,回滚操作将不做处理;对于在当前配置但不在回滚配置文件的命令,回滚操作将取消当前配置中的配置命令,即执行相应的undo命令;对于存在于回滚配置文件但不存在于当前配置的命令,回滚操作将执行这些命令;对于当前配置和回滚配置文件中不同的命令,配置回滚将先取消这些配置,再执行回滚配置文件中的相应命令.
当前配置只会备份到主用主控板,回滚操作也只在主用主控板上进行.
但配置回滚的相应配置会同步给备用主控板,以保证当主备倒换后,配置回滚功能能继续运行.
1.
3.
2配置回滚配置任务简介表1-4配置回滚配置任务简介配置任务说明详细配置设置备份参数必选1.
3.
3自动备份当前配置二者至少选其一1.
3.
4手工备份当前配置1.
3.
5配置回滚必选1.
3.
61.
3.
3设置备份参数自动或手动备份当前配置前必须设置备份配置文件的保存路径和文件名前缀.
设置这些参数后,备份当前配置时,系统会将当前的配置以指定的文件名(格式为前缀_序号.
cfg)保存到指定的路径.
1-5备份配置文件名形如20080620archive_1.
cfg、20080620archive_2.
cfg,备份序号由设备自动生成,从1开始编号,依次加1,累加至1000后又重新从1开始.
修改备份配置的保存路径、文件名前缀,或设备重启后,备份序号也会从1开始重新自动编号,备份配置文件将重新计数,原路径下的备份配置文件将被视为普通配置文件,不再作为备份配置文件处理,查看备份配置文件时将不会显示此类文件的信息.
系统内能够保存的备份配置文件的数目有一定限制.
当备份配置文件数目到达上限,又需要保存新的备份配置文件时,系统会删除保存时间最早的备份文件,以保存新的备份配置文件.
表1-5设置备份参数操作命令说明进入系统视图system-view-设置备份配置文件的保存路径和文件名前缀archiveconfigurationlocationdirectoryfilename-prefixfilename-prefix必选缺省情况下,系统没有配置备份配置文件的保存路径和文件名,也不会定时备份配置系统允许保存的备份配置文件的最大数archiveconfigurationmaxfile-number可选缺省情况下,系统最多允许保存5个备份配置文件配置备份和配置回滚操作只在主用主控板上执行.
为了主备倒换后,配置回滚功能能在新主用主控板上继续生效,执行archiveconfigurationlocation命令会在主用主控板和备用主控板上同时设置备份配置文件的保存路径和文件名前缀,因此,该命令指定的路径必须在主用主控板、备用主控板上均存在,且路径参数中不能包含槽位号.
执行undoarchiveconfigurationlocation命令后,用户将不能进行手工备份当前配置,系统也不再自动备份当前配置,archiveconfigurationinterval和archiveconfigurationmax的配置也会恢复到缺省情况,已保存的备份配置文件记录也会被清除.
file-number的具体数值应根据系统的空余存储空间大小来决定.
对于存储空间较小的设备,建议将该参数设为较小值.
1.
3.
4自动备份当前配置用户可以使用本特性按照一定的时间间隔自动备份当前配置,使用displayarchiveconfiguration命令可以查看到备份配置文件的名称和备份时间,以便用户可以将当前配置回退到某一历史时刻.
使用本特性时应根据设备存储介质的性能和修改配置的频繁程度来设置自动备份的时间间隔:对于不会频繁修改配置的设备,建议按需手动备份当前配置;对于使用低速存储介质(如Flash)的设备,建议不进行自动备份配置,或设置备份时间间隔大于1440分钟(24小时);对于使用高速存储介质(如CF卡),且配置经常修改的设备,可以设置较小的备份时间间隔.
1-6表1-6自动备份当前配置操作命令说明进入系统视图system-view-使能自动备份当前配置功能,并设置自动备份的时间间隔archiveconfigurationintervalminutes可选缺省情况下,系统不会自动备份当前配置设置自动备份配置时间间隔前必须指定备份配置文件的保存路径和文件名前缀.
1.
3.
5手工备份当前配置因为自动备份当前配置需要占用一定的系统资源,如果备份频率较高,对系统性能的影响也较大.
因此,在设备维护过程中配置比较稳定(即不会频繁修改配置)的情况下,建议关闭自动备份功能,使用手工备份.
另外,自动备份是按照一定的时间周期进行的,手工备份能立即备份当前配置.
当需要对设备进行步骤复杂的配置时,可以在修改配置前手工备份当前配置.
以便配置过程中出现失败时,可以使用已备份的配置直接将当前配置回滚至配置改变前的状态.
表1-7手工备份当前配置操作命令说明手工备份当前配置archiveconfiguration必选该命令在用户视图下执行手工保存备份配置前必须指定备份配置的保存路径和文件名前缀,否则备份失败.
1.
3.
6配置回滚表1-8配置回滚操作命令说明进入系统视图system-view-配置回滚configurationreplacefilefilename必选1-7配置回滚期间(即系统在执行configurationreplacefile命令时)不能进行单板热拔插操作,否则可能会造成配置回滚失败.
命令能否回滚成功还由命令的具体处理决定,存在以下情况时,回滚可能失败(若某条命令回滚失败,则会跳过该命令,直接处理下一条命令):配置命令不支持完整undo命令,即直接在配置命令前添加undo关键字构成的命令与配置命令对应的原undo命令形式不一致,设备不识别.
配置不能取消(如硬件相关的命令).
若不同视图下的各配置命令存在依赖关系,命令可能执行失败.
若使用的配置文件不是由save命令或archiveconfiguration命令生成的完整文件,或是不同类型设备的配置文件,配置回滚可能不能完全恢复至配置文件中的配置状态.
因此,需要用户确保回滚配置文件中配置的正确性和与当前设备的兼容性.
configurationreplacefilefilename命令中指定的配置文件只能是明文配置文件,不能是被加密的配置文件.
否则,会导致配置回滚出错.
1.
4设置下次启动配置文件下次启动配置文件是指设备下次启动时使用的配置文件.
设置下次启动配置文件有两种方式:使用save命令.
将当前配置保存到指定配置文件时,使用交互方式,系统会自动把该文件设置为设备的下次启动配置文件(对支持主备用下次启动配置文件的设备,则设置为主用下次启动配置文件).
使用专用命令,步骤请参见表1-9.
表1-9设置下次启动配置文件操作命令说明配置下次启动时的配置文件名startupsaved-configurationcfgfile必选该命令在用户视图下执行配置文件必须以".
cfg"作为扩展名,启动配置文件必须存放在第一个分区内的根目录下.
由于设备启动过程中不能从U盘读取数据,所以请不要把启动配置文件保存到U盘.
1.
5备份/恢复下次启动配置文件1.
5.
1Backup/Restore特性简介Backup/Restore特性主要实现通过命令行对设备下次启动配置文件进行备份和恢复的功能.
设备与服务器之间使用TFTP协议进行数据的传输,其中Backup特性用于将设备下次启动配置文件备份1-8至TFTP服务器上;而Restore特性用于将TFTP服务器上保存的配置文件下载到设备并设置为下次启动配置文件.
该特性还支持在主用板上执行restore操作恢复下次启动配置文件时,对备用板下次启动配置文件进行同步更新;而在主用板上执行backup操作备份下次启动配置文件时,不对备用板进行任何操作.
在路由器上,备份/恢复操作的对象是下次启动配置文件.
1.
5.
2备份下次启动配置文件表1-10备份设备的下次启动配置文件操作命令说明备份下次启动配置文件backupstartup-configurationtodest-addr[filename]必选该命令在用户视图下执行在执行配置文件的备份操作前,请:保证设备与服务器之间的路由可达,服务器端开启了TFTP服务,执行备份/恢复操作的客户端设备已获得了相应的读写权限.
在用户视图下使用displaystartup命令查看一下设备是否已经设置了下次启动配置文件,并使用dir命令查看所设置的下次启动配置文件是否存在.
若下次启动配置文件设置为NULL,或者所设置的配置文件不存在,备份操作将会失败.
1.
5.
3恢复下次启动配置文件恢复下次启动配置文件特性用于将TFTP服务器上保存的指定配置文件下载到主用主控板和备用主控板存储介质的根目录下,并设置为主用主控板和备用主控板的下次启动配置文件.
表1-11恢复设备的下次启动配置文件操作命令说明恢复下次启动配置文件restorestartup-configurationfromsrc-addrfilename必选该命令在用户视图下执行1-9在执行配置文件的恢复操作前,请保证设备与服务器之间的路由可达,服务器端开启了TFTP服务,执行备份/恢复操作的客户端设备已获得了相应的读写权限.
该命令执行成功后,用户可以在用户视图下使用displaystartup命令查看设备下次启动配置文件名是否与filename参数保持一致,并使用dir命令查看恢复的下次启动配置文件是否存在.
1.
6配置文件显示和维护在完成上述配置后,在任意视图下执行display命令可以显示设备的当前配置和起始配置情况.
用户可以通过查看显示信息验证配置的效果.
表1-12设备配置显示和维护操作命令查看设备存储介质中保存的当前正在使用的配置文件的内容displaysaved-configuration[by-linenum][|{begin|exclude|include}regular-expression]显示配置回滚功能的相关信息displayarchiveconfiguration[|{begin|exclude|include}regular-expression]查看系统启动配置文件displaystartup[|{begin|exclude|include}regular-expression]查看当前视图下生效的配置displaythis[by-linenum][|{begin|exclude|include}regular-expression]查看当前生效的配置displaycurrent-configuration[[configuration[configuration]|interface[interface-type][interface-number]][by-linenum][|{begin|exclude|include}textbegin|exclude|include}regular-expression]displaythis和displaycurrent-configuration命令的详细介绍请参见"基础配置命令参考"中的"CLI".
i目录1软件升级简介·1-11.
1设备软件简介·1-11.
2软件升级配置任务1-11.
3通过BootWare菜单升级启动文件·1-21.
3.
1进入BootWare菜单1-21.
3.
2BootWare子菜单·1-31.
3.
3通过以太网口利用TFTP/FTP升级启动文件·1-51.
3.
4通过Console口利用Xmodem升级启动文件·1-71.
4通过命令行升级Bootware·1-111.
5通过命令行升级启动文件1-121.
5.
2同步升级备用板的启动文件1-131.
6通过热补丁升级·1-131.
6.
1热补丁基本概念1-131.
6.
2补丁状态1-141.
6.
3热补丁配置任务简介1-171.
6.
4配置准备1-171.
6.
5一步式安装补丁1-181.
6.
6分步式安装补丁1-191.
6.
7一步式卸载补丁1-211.
6.
8分步式卸载补丁1-211.
7升级时钟扣板·1-221.
8升级单板逻辑·1-221.
9软件升级显示和维护·1-221.
10软件升级典型配置举例·1-231.
10.
1远程升级配置举例·1-231.
10.
2热补丁典型配置举例·1-241-11软件升级简介1.
1设备软件简介设备软件主要包括Bootware程序、系统启动文件、时钟扣板软件和单板逻辑.
设备开机上电后,Bootware软件先运行,对存储器进行容量检查和测试,初始化硬件并显示设备的硬件参数,然后引导运行启动文件;启动文件一方面提供对主要部件的硬件驱动和适配功能,另一方面实现了转发、VLAN、SNMP等业务特性.
Bootware程序与系统启动文件是设备启动、运行的必备软件,为整个设备提供支撑、管理、业务等功能,它们的关系如图1-1所示.
图1-1Bootware程序与系统启动文件关系示意图Bootware程序和系统启动文件都可以通过Bootware菜单和命令行两种方式来升级,本文只介绍命令行升级方式,通过Bootware菜单升级的具体操作请参见《H3CSR8800万兆核心路由器安装配置指导》.
1.
2软件升级配置任务表1-1软件升级配置任务简介配置任务说明详细配置通过BootWare菜单升级启动文件可选1.
3通过命令行升级Bootware可选1.
4通过命令行升级启动文件可选1.
5通过热补丁升级可选1.
61-2配置任务说明详细配置升级时钟扣板软件可选1.
7升级单板逻辑可选1.
81.
3通过BootWare菜单升级启动文件通过BootWare菜单升级启动文件,可以采用以下方式:z通过以太网口利用TFTP/FTP升级启动文件z通过Console口利用Xmodem升级启动文件1.
3.
1进入BootWare菜单路由器上电和重新启动的过程中,在配置终端的屏幕上首先将显示:SDRAMinitsuccessful.
Systemisstarting.
.
.
***H3CSR8800BootWare,Version203***Copyright(c)2004-2010HangzhouH3CTechnologiesCo.
,Ltd.
CompiledDate:Jan292010CPUType:MPC7447ACPUL1Cache:32KBCPUL2Cache:512KBCPUClockSpeed:998MHzMemoryType:SDRAMMemorySize:2048MBMemorySpeed:133MHzBootWareSize:1MBFlashSize:128MBcfa0Size:1024MBNVRAMSize:512KBCPLDVersion:004PCBVersion:Ver.
BBoardselftesting.
Boardsteadytesting.
.
.
[PASS]BoardSlotNo.
.
.
[0]CPLD1testing.
.
.
[PASS]CPLD2testing.
.
.
[PASS]Theswitch'sMacaddress.
.
.
[00:0F:E2:DE:86:00]BootWareValidating.
.
.
PressCtrl+Btoenterextendedbootmenu.
.
.
1-3为了阅读和便于理解,如果不做特殊说明,本菜单都将称为BootWare主菜单.
以上显示信息与设备实际情况相关,可能会略有差别.
当出现"PressCtrl+Btoenterextendedbootmenu.
.
.
"时,键入,系统提示:PleaseinputBootWarepassword:要求输入BootWare密码,输入正确的密码后(初始密码为空,若三次输入不正确的密码,系统将重新启动),系统进入BootWare主菜单:Note:Thecurrentoperatingdeviceiscfa0Entertoselectdevice.
EXTEND-BOOTWAREMENU>|BootSystem||EnterSerialSubMenu||EnterEthernetSubMenu||FileControl||ModifyBootWarePassword||BootWareOperationMenu||StorageDeviceOperation||Reboot|Enteryourchoice(0-7):该菜单含义如下:表1-1BootWare主菜单菜单项解释BootSystem启动应用程序EnterSerialSubMenu进入串口子菜单EnterEthernetSubMenu进入以太网口子菜单FileControl进入文件控制子菜单ModifyBootWarePassword修改BootWare密码BootWareOperationMenu进入BootWare操作菜单StorageDeviceOperation进入设备控制菜单Reboot重启设备1.
3.
2BootWare子菜单1.
进入串口子菜单;通过该子菜单可以实现升级启动文件,修改串口速率等操作.
在BootWare主菜单下选择可以进入串口子菜单:EnterSerialSubMenu>1-4|Note:theoperatingdeviceiscfa0||DownloadApplicationProgramToSDRAMAndRun||UpdateMainApplicationFile||UpdateBackupApplicationFile||UpdateUserPrivateFile||ModifySerialInterfaceParameter||ExitToMainMenu|Enteryourchoice(0-5):各选项含义如下:表1-2BootWare串口子菜单菜单项说明DownloadApplicationProgramToSDRAMAndRun加载应用程序到SDRAM并且运行UpdateMainApplicationFile加载主用应用程序到CF卡、FlashUpdateBackupApplicationFile加载备用应用程序到CF卡、FlashUpdateUserPrivateFile加载用户文件到CF卡、FlashModifySerialInterfaceParameter进入修改串口参数的子菜单ExitToMainMenu退回到主菜单2.
进入以太网口子菜单;在BootWare菜单下键入,可以进入以太网口子菜单,系统显示如下:EnterEthernetSubMenu>|Note:theoperatingdeviceiscfa0||DownloadApplicationProgramToSDRAMAndRun||UpdateMainApplicationFile||UpdateBackupApplicationFile||UpdateUserPrivateFile||ModifyEthernetParameter||ExitToMainMenu|||Enteryourchoice(0-5):以太网口子菜单中各选项解释如下:表1-3以太网口子菜单菜单项说明DownloadApplicationProgramToSDRAMAndRun加载应用程序到SDRAM并且运行UpdateMainApplicationFile加载主用应用程序到CF卡、Flash新加载的APP文件将自动被设置为Main属性,原带有Main属性的APP文件中的该属性将被取消UpdateBackupApplicationFile加载备用应用程序到CF卡、FlashUpdateUserPrivateFile加载用户文件到CF卡、Flash1-5ModifyEthernetParameter进入修改以太网参数的子菜单ExitToMainMenu退回到主菜单3.
文件控制子菜单;在BootWare主菜单中键入,系统将进入文件控制子菜单.
通过这个菜单可以实现对存储器中保存的启动文件显示类型、修改文件名、删除文件等操作,提示信息如下:FileCONTROL>|Note:theoperatingdeviceiscfa0||DisplayAllFile(s)||SetApplicationFiletype||DeleteFile||ExitToMainMenu|Enteryourchoice(0-3):各选项含义如下:表1-4文件控制子菜单菜单项说明DisplayAllFile(s)显示所有文件SetApplicationFiletype设置文件类型启动文件属性包括主用启动文件(M)、备用启动文件(B).
设备中同一属性的启动文件只能有一个.
同一个启动文件的属性可以是M、B两种文件属性的任意组合.
当某种属性被指定到一个新的启动文件后,该属性对应的原启动文件将不在具有该属性,如果原启动文件只具有一种属性,则原启动文件的属性将变更为N/A.
DeleteFile删除文件ExitToMainMenu返回BootWare主菜单1.
3.
3通过以太网口利用TFTP/FTP升级启动文件以太网口参数配置:在BootWare主菜单下键入进入以太网口子菜单,然后键入进入以太网口配置菜单.
ETHERNETPARAMETERSET>|Note:'.
'=Clearfield.
||'-'=Gotopreviousfield.
||Ctrl+D=Quit.
|Protocol(FTPorTFTP):ftpLoadFileName::main.
binTargetFileName::main.
binServerIPAddress:192.
168.
1.
1LocalIPAddress:192.
168.
1.
2GatewayIPAddress:1-6FTPUserName:userFTPUserPassword:password表1-5以太网参数设置说明显示说明'.
'=Clearfield快捷键:".
"表示清除当前输入'-'=Gotopreviousfield快捷键:"-"表示返回到前一个参数域Ctrl+D=Quit快捷键:表示退出参数配置界面Protocol(FTPorTFTP)使用的传输协议,可以为FTP或者TFTPLoadFileName下载文件名,要与下载的实际文件名一致TargetFileName存储的目标文件名.
缺省情况下与服务器端文件名一致ServerIPAddressTFTP/FTP服务器的IP地址.
需要设置掩码请使用冒号":"格开,如:192.
168.
80.
10:24LocalIPAddress本地IP地址,为TFTP/FTP客户端设置的IP地址GatewayIPAddress网关IP地址.
当与服务器不在同一网段时需要配置网关地址.
FTPUserNameFTP用户名,传输协议为TFTP时,无此选项FTPUserPasswordFTP用户密码,传输协议为TFTP时,无此选项以升级主启动文件为例,键入为升级主启动文件.
Loading.
Done!
31911808bytesdownloaded!
UpdatingFilecfa0:/main.
bin.
Done!
EnterEthernetSubMenu>|Note:theoperatingdeviceiscfa0||DownloadApplicationProgramToSDRAMAndRun||UpdateMainApplicationFile||UpdateBackupApplicationFile||UpdateUserPrivateFile||ModifyEthernetParameter||ExitToMainMenu|||Enteryourchoice(0-5):选择,返回BootWare主菜单.
选择,引导系统.
1-71.
3.
4通过Console口利用Xmodem升级启动文件通过Console口升级启动文件,在BootWare主菜单下键入,就会进入串口子菜单,菜单内容如下:EnterSerialSubMenu>|Note:theoperatingdeviceiscfa0||DownloadApplicationProgramToSDRAMAndRun||UpdateMainApplicationFile||UpdateBackupApplicationFile||UpdateUserPrivateFile||ModifySerialInterfaceParameter||ExitToMainMenu|Enteryourchoice(0-5):在串口子菜单中,键入,系统会提示修改串口波特率:BAUDRATESET>|Note:'*'indicatesthecurrentbaudrate||ChangeTheHyperTerminal'sBaudrateAccordingly|BaudrateAvailable>|9600(Default)*||19200||38400||57600||115200||Exit|Enteryourchoice(0-5):根据实际情况,选择合适的下载波特率,若如上所示键入,即选择115200bps,终端显示提示信息:Baudratehasbeenchangedto115200bps.
Pleasechangetheterminal'sbaudrateto115200bps,pressENTERwhenready.
如果下载波特率选择为9600bps,用户不用修改配置终端的波特率,不用进行下面的第(3)至(5)步操作,直接进入第(8)步的操作.
单击配置终端的[呼叫/断开]菜单项,即断开配置终端和路由器的连接.
1-8图1-2断开终端连接点击[文件/属性]菜单,在弹出的对话框单击按钮,进入Console口配置对话框,将波特率配置为115200bps.
图1-3进入属性对话框1-9图1-4Console口配置对话框设置完波特率后,点击[呼叫/呼叫]按钮,重新建立配置终端和路由器的连接.
图1-5重新建立连接回车后,终端显示如下信息:Thecurrentbaudrateis115200bpsBAUDRATESET>|Note:'*'indicatesthecurrentbaudrate||ChangeTheHyperTerminal'sBaudrateAccordingly|BaudrateAvailable>|9600(Default)||19200||38400||57600||115200*||Exit|Enteryourchoice(0-5):1-10如果通过改变串口波特率下载文件来升级启动文件,完成升级后应及时将配置终端的连接波特率恢复为9600bps,以防止启动或重新启动时终端无法显示信息.
在波特率设置菜单中键入,返回串口子菜单.
终端显示如下信息:EnterSerialSubMenu>|Note:theoperatingdeviceiscfa0||DownloadApplicationProgramToSDRAMAndRun||UpdateMainApplicationFile||UpdateBackupApplicationFile||UpdateUserPrivateFile||ModifySerialInterfaceParameter||ExitToMainMenu|Enteryourchoice(0-5):根据所需升级的启动文件类型在串口子菜单中键入2和3,选择升级主用启动文件、备用启动文件或者安全启动文件.
此处以升级主用启动文件为例.
在串口子菜单下键入,终端显示信息:PleaseStartToTransferFile,PressToExit.
Waiting.
.
.
CCCCC此时,从终端窗口选择[传送\发送文件],在弹出的对话框(如下图)中点击[浏览]按扭,选择需要下载的软件,并将下载使用的协议改为XModem.
图1-6[发送文件]对话框选择完成后,点击[发送]按钮,系统弹出如下图所示的界面.
1-11图1-7正在发送文件界面文件下载成功后,终端显示如下信息:Downloadsuccessfully!
31911808bytesdownloaded!
InputtheFileName:main.
binUpdatingFilecfa0:/main.
bin.
Done!
EnterSerialSubMenu>|Note:theoperatingdeviceiscfa0||DownloadApplicationProgramToSDRAMAndRun||UpdateMainApplicationFile||UpdateBackupApplicationFile||UpdateUserPrivateFile||ModifySerialInterfaceParameter||ExitToMainMenu|Enteryourchoice(0-5):升级成功后,在串口子菜单中键入,返回到BootWare主菜单,然后键入,启动系统.
系统重启后,需要将配置终端的波特率调整为9600bps,过程请参考前面的第(3)至(5)步;如果下载波特率选择为9600bps,用户不用修改配置终端的波特率.
启动文件较大,通过Console口升级启动文件速度较慢,推荐您使用以太网口升级启动文件.
1.
4通过命令行升级Bootware请按以下步骤升级Bootware:使用FTP或者TFTP,将Bootware程序拷贝到设备存储介质的根目录下.
使用命令行升级单板的Bootware程序.
1-12重启设备,使新的Bootware程序生效.
表1-2通过命令行升级Bootware操作命令说明升级某(些)槽上单板或某块单板上的Bootware程序bootromupdatefilefile-urlslotslot-number-list必选该命令在用户视图下执行目前设备的启动文件(.
bin)中已经包含了BootWare文件,在升级启动文件的同时即可自动升级Bootware.
您也可以通过bootromupdatefile命令手工升级Bootware.
1.
5通过命令行升级启动文件采用本特性升级启动文件时,请按以下步骤进行:使用FTP、TFTP或者其它方式将启动文件下载保存到主用主控板存储介质的根目录下.
将新的启动文件拷贝到备用主控板存储介质的根目录下.
使用命令行分别指定主用主控板和备用主控板下次启动时使用的启动文件(以下简称为下次启动文件).
重启设备,使新的启动文件生效.
指定下次启动文件当存储介质中有多个启动文件时,用户可以通过以下命令来指定设备下次启动文件.
其中,主用启动文件用于引导、启动设备;备用启动文件只用于异常情况下(主用启动文件不可用时),引导、启动设备.
表1-3通过命令行升级启动文件操作命令说明指定下次启动文件boot-loaderfilefile-urlslotslot-number{main|backup}必选该命令在用户视图下执行下次启动文件必须存放在设备的根目录下(对于支持存储设备分区的设备,该文件必须存放在第一个分区内).
可使用文件的拷贝或移动操作来调整文件的路径为根目录.
主用主控板和备用主控板的下次启动文件名称可以不同,但是版本必须一致,否则,可能会导致设备不能正常启动.
1-131.
5.
2同步升级备用板的启动文件如果设备上的主用板和备用板的版本不一致,通常会导致备用板不能正常工作.
同步升级单板的启动文件功能提供了一种快速升级备用板下次启动文件的方法.
使用本功能相当于分步执行了以下操作来完成备用板的升级:将主用板当前使用的启动文件拷贝到备用板;将拷贝后的文件指定为备用板的下次启动文件;重启备用板.
表1-4同步升级备用板的启动文件操作命令说明同步升级备用板的启动文件boot-loaderupdateslotslot-number必选该命令在用户视图下执行1.
6通过热补丁升级热补丁用于快速、低成本修复产品软件版本缺陷.
和升级软件版本相比,热补丁的主要优势在于升级时,不会使设备当前正在运行的业务中断.
即在不重启设备的情况下,对设备当前软件版本的缺陷进行修复.
1.
6.
1热补丁基本概念1.
补丁和补丁文件补丁(又被称为补丁单元)是用来修复某个缺陷的程序包,通常以补丁文件的形式发布,一个补丁文件可能包含一个或多个补丁,不同的补丁具有不同的功能.
当补丁文件被用户从存储介质加载到内存补丁区中时,补丁文件中的补丁将被分配一个在此内存补丁区中唯一的单元序号,用于标志、管理、操作各补丁,补丁的单元序号从1开始顺序编号,如某补丁文件中有3个补丁单元,那合法的补丁单元号为1、2和3.
2.
增量补丁补丁文件中的补丁均为增量补丁.
所谓增量补丁,是指各补丁单元对于在其前面的补丁单元有依赖性.
也就是说,如果补丁文件中有3个补丁单元,则3号补丁必须在1号和2号补丁生效之后才能运行,而不能直接单独运行3号补丁.
3.
正式补丁和临时补丁补丁分为正式补丁和临时补丁两种:正式补丁(Commonpatches)是通过版本发布流程发布的补丁.
临时补丁(Temporarypatches)是未通过版本发布流程发布,用于临时解决紧急问题和需求的补丁.
正式补丁总会包含前面临时补丁的功能,从而替代前面的临时补丁.
补丁的类型只对补丁加载(Load)过程产生影响——系统在加载正式补丁之前会先将系统中所有临时补丁删除.
每个补丁都有自身的状态,只有在用户命令行的干预下才能发生切换.
补丁状态切换与命令操作关系如图1-2所示,其中IDLE、DEACTIVE、ACTIVE和RUNNING表示补丁的不同状态,加载、临时运行、确认运行、停止运行、删除、安装、卸载表示补丁操作,分别对应命令patchload、patchactive、patchrun、patchdeactive、patchdelete和patchinstall、undopatchinstall,箭头1-14方向表示状态的转变方向,比如对DEACTIVE状态的补丁执行patchactive操作,补丁的状态就会变为ACTIVE.
图1-2补丁状态切换与命令操作关系图补丁文件的状态信息内容保存在Flash中的patchstate文件里,建议用户不要对该文件进行操作.
4.
补丁包对于独立运行模式或IRF模式,都可以使用补丁包一次性对设备上的多个单板进行补丁操作.
补丁包是将各类型单板的补丁打包生成的一个文件,该文件中存放了相同版本不同类型单板的补丁文件,用户只要在执行补丁操作的命令行中指定一个补丁包文件,系统会自动到该补丁包中为设备上的各单板查找合适的补丁,找到匹配的补丁后就自动执行加载,简化了补丁操作及补丁版本管理.
1.
6.
2补丁状态每个补丁都有自身的状态,只有在用户命令行的干预下才能发生切换.
补丁状态切换与命令操作关系如图1-2所示,其中:IDLE、DEACTIVE、ACTIVE和RUNNING表示补丁的不同状态;加载、临时运行、确认运行、停止运行、删除、安装、卸载表示补丁操作,分别对应命令patchload、patchactive、patchrun、patchdeactive、patchdelete、patchinstall和undopatchinstall;箭头方向表示状态的转变方向.
比如对DEACTIVE状态的补丁执行patchactive操作,补丁的状态就会变为ACTIVE.
1-15图1-3补丁状态切换与命令操作关系图补丁文件的状态信息内容保存在Flash中的patchstate文件里,建议用户不要对该文件进行操作.
1.
初始状态(IDLE)表示尚未加载补丁,无法进行安装、运行等补丁操作,如图1-4所示(假设系统补丁区中最多可以加载8个补丁).
系统重启后,所有处于IDLE状态的补丁仍为IDLE状态.
图1-4补丁未加载当前系统补丁区中支持的最大补丁数为200个.
1-162.
未激活状态(DEACTIVE)表示补丁已经被加载到内存补丁区,但尚未运行.
假设用户将加载的补丁文件包含7个补丁,则这7个补丁将在经过版本校验及CRC校验之后被加载到内存补丁区,加载成功的补丁处于DEACTIVE状态,此时系统中补丁状态如图1-5所示.
系统重启后,所有处于DEACTIVE状态的补丁仍为DEACTIVE状态.
图1-5补丁文件被加载3.
激活状态(ACTIVE)表示补丁已经被临时运行,即该补丁在设备重启之后不再生效.
对于图1-5中7个处于DEACTIVE状态的补丁,用户如果激活前5个补丁,则前5个补丁的状态将由DEACTIVE状态变成ACTIVE状态,此时系统中补丁状态如图1-6所示.
系统重启后,所有处于ACTIVE状态的补丁将变成DEACTIVE状态.
图1-6补丁被激活4.
确认运行状态(RUNNING)表示补丁已经被永久运行,即该补丁在设备重启之后会继续生效.
对于图1-6中5个处于ACTIVE状态的补丁,用户确认运行前3个补丁后,前3个补丁的状态将由ACTIVE状态变成RUNNING状态,此时系统中补丁状态如图1-7所示.
1-17图1-7补丁被确认运行系统重启后,所有处于RUNNING状态的补丁将保持为RUNNING状态.
1.
6.
3热补丁配置任务简介表1-5热补丁配置任务简介配置任务说明详细配置安装补丁一步式安装补丁二者任选其一一步式配置和分步式配置效果等同,分步式配置时用户可以控制安装过程中的各个状态.
1.
6.
5分步式安装补丁1.
6.
6卸载补丁一步式卸载补丁二者任选其一一步式配置和分步式配置效果等同,分步式配置时用户可以控制卸载过程中的各个状态.
1.
6.
7分步式卸载补丁1.
6.
8用户在加载、激活、运行补丁前必须保证补丁文件的版本与设备的当前软件版本匹配.
1.
6.
4配置准备在进行补丁操作前,需要通过FTP/TFTP等方式将补丁文件保存到设备的存储介质上.
补丁文件是根据安装补丁的单板类型按需发布,保存时请注意补丁文件和单板类型、功能相匹配,如果不匹配,则会造成补丁操作失败.
为了使设备在主备倒换后,补丁功能能继续正常运行,需要将补丁文件同时保存到主用板和备用板上.
执行补丁操作时(比如安装、加载等),系统会到主用板存储介质的根目录下查找补丁文件,并对补丁文件和单板型号进行匹配,最终将补丁安装或加载给相应的单板.
补丁与单板是否匹配由补丁的FLAG决定.
补丁FLAG可以通过命令displaypatchinformation来查询,Version字段的前3个字符就是FLAG的后缀.
缺省情况下,部分单板补丁文件缺省名称如表1-29所示.
1-18表1-6部分单板缺省补丁文件命名参照表产品单板类型FLAG补丁文件缺省名称SR8800SR02SRP2E3PATCH-M2Epatch_m2e.
binSR02SRP1E3SR02SRP1M3SR02SRP1F3PATCH-M2Fpatch_m2f.
binSR02SRP2F3SPE-1010-IIPATCH-LPLpatch_lpl.
binSPE-1020-IISPE-1010-E-IISPE-1020-E-IIIM-NAT-IIPATCH-LNTpatch_lnt.
binIM-NAM-IIPATCH-LNSpatch_lns.
binSPC-XP4LPATCH-LCpatch_lc.
binSPC-XP2LSPC-GP24LSPC-GP48LSPC-GT48L1.
6.
5一步式安装补丁用户可以通过执行patchinstall命令来一步式安装补丁.
执行该命令同时,需要指定补丁文件的来源,目前设备上可支持指定补丁文件的加载路径和从指定补丁包文件两种方式.
在执行patchinstall命令时,系统会提示"Doyouwanttocontinuerunningpatchesafterreboot[Y/N]:":如果输入或者,则会安装所有补丁,且单板重启后这些补丁继续生效,补丁状态从IDLE转换到RUNNING.
相当于依次执行了patchlocation、patchload、patchactive和patchrun命令.
如果输入或者,则会安装所有补丁,且单板重启后这些补丁不再继续生效,补丁状态从IDLE转换到ACTIVE.
相当于依次执行了patchlocation、patchload和patchactive命令.
若要通过指定补丁包文件来安装补丁,则需预先将补丁包文件保存在主控板的存储介质上,所有备用板和接口板将从主控板加载补丁文件.
表1-7一步式安装补丁操作命令说明进入系统视图system-view-一步式完成补丁的安装patchinstall{patch-location|filepatch-package}必选1-19指定路径下的补丁必须与单板的型号和版本匹配,否则系统不能正确识别补丁文件.
如果通过指定补丁文件的加载路径来安装补丁,则执行补丁安装操作后,系统会将补丁文件的加载路径(patchlocation)修改成"patchinstallpatch-location"中patch-location参数所指向的位置;如果通过指定补丁包文件来安装补丁,则执行补丁安装操作后系统不会改变补丁文件的加载路径.
如果要一步式卸载设备上所有已安装的补丁,请直接执行命令undopatchinstall.
执行该命令等效于1.
6.
8分步式卸载补丁.
1.
6.
6分步式安装补丁用户可以通过执行多条命令分步式安装补丁,该方式便于用户控制补丁安装过程中的各个状态.
1.
配置任务简介表1-8分步式安装补丁配置任务简介配置任务说明详细配置设置补丁文件的源路径可选如果是要安装补丁包,则无需设置补丁文件的加载路径2.
加载补丁文件必选3.
激活补丁必选4.
确认运行补丁可选5.
2.
设置补丁文件的源路径当设备支持多个存储介质时,用户可以将补丁文件保存到Flash外的其它存储介质.
此时,需要使用patchlocation命令告知系统补丁文件的位置.
在执行补丁加载之前,请确保补丁文件存放位置与设置好的路径一致.
执行补丁加载操作时,系统会将该路径下指定后缀的补丁加载到对应的单板.
表1-9设置补丁文件的源路径操作命令说明进入系统视图system-view-设置补丁文件的源路径patchlocationpatch-file可选缺省情况下,补丁文件的源路径为flash:1-20patch-file参数指定的路径必须在设备上的主用板和备用板上都存在,如果备用板上不存在该路径,则该命令在备用板上将不生效.
通过指定补丁文件的加载路径来安装补丁文件的情况下,用户执行patchinstall命令后系统会自动修改补丁文件的加载路径.
比如,先配置了patchlocationxxx,再执行patchinstallyyy,此时系统会自动将补丁文件的加载路径从xxx改为yyy.
3.
加载补丁文件只有正确加载补丁文件后才能进行补丁状态的管理.
如果要从补丁文件中安装补丁,则系统默认从Flash中读取补丁文件,如果Flash中找不到补丁文件,系统将尝试从CF卡中读取补丁文件.
如果要从补丁包中安装补丁,则系统从指定的补丁包文件中查找补丁文件并进行加载操作.
当使用FTP或TFTP方式将补丁文件上传/下载到设备的Flash中时,必须将文件传输的模式设置为二进制模式,否则会导致加载补丁文件失败.
如果用户在主备环境下进行补丁操作,必须保证主板和备板上补丁文件的一致性.
表1-10加载补丁文件操作命令说明进入系统视图system-view-将存储介质中的补丁文件加载到指定的内存补丁区中patchloadslotslot-number[filepatch-package]必选4.
激活补丁激活补丁后,补丁会立即生效,处于试运行阶段.
设备复位或重启后,该补丁不再生效,需要重新激活.
补丁的激活状态主要是提供一个缓冲带,如果补丁本身有问题,可以重启设备,以消除该补丁的作用,从而防止因为补丁错误而导致系统连续运行故障.
表1-11激活补丁操作命令说明进入系统视图system-view-激活补丁patchactive[patch-number]slotslot-number必选5.
确认运行补丁确认运行补丁后,补丁的状态将变为RUNNING,处于正式运行阶段.
设备复位或重启后,该补丁会继续生效.
1-21该操作只对处于激活态的补丁有效.
表1-12确认运行补丁操作命令说明进入系统视图system-view-确认运行补丁patchrun[patch-number][slotslot-number]必选1.
6.
7一步式卸载补丁通过一条命令完成所有在位单板和OAMCPU的补丁卸载.
命令结束后,所有在位板的补丁状态都进入IDLE状态,相当于在每个单板上执行了一遍补丁去激活和删除操作.
表1-13一步式卸载补丁操作命令说明进入系统视图system-view-卸载补丁undopatchinstall必选完成设备上所有补丁的去激活及删除操作1.
6.
8分步式卸载补丁1.
配置任务简介表1-14分步式卸载补丁配置任务简介配置任务说明详细配置去激活补丁必选2.
删除补丁必选3.
2.
去激活补丁对补丁执行去激活操作后,补丁将进入未激活状态(DEACTIVE).
系统按打补丁前的状态运行.
表1-15去激活补丁操作命令说明进入系统视图system-view-去激活指定补丁patchdeactive[patch-number]slotslot-number必选3.
删除补丁补丁删除后,系统按打补丁前的状态运行.
1-22表1-16删除补丁操作命令说明进入系统视图system-view-删除指定补丁patchdelete[patch-number]slotslot-number必选1.
7升级时钟扣板用户可以使用存储介质中的时钟扣板程序升级指定主控板上的时钟扣板.
表1-17升级时钟板操作命令说明升级时钟扣板updateclockmcuslotslotnumberfilefilename必选该命令在用户视图下执行1.
8升级单板逻辑您可以通过以下命令升级设备上指定单板的逻辑.
表1-18升级单板逻辑操作命令说明升级指定槽位单板上的逻辑logicupdatefilefilenameslotslot-number{board|subcard}必选在升级逻辑过程中插入的接口板,可能需要等待较长时间,设备才能对其正常供电.
1.
9软件升级显示和维护在完成上述配置后,在任意视图下执行display命令可以显示软件升级的当前状态,通过查看显示信息验证配置的效果.
表1-19软件显示和维护操作命令显示启动文件信息displayboot-loader[slotslot-number][|{begin|exclude|include}regular-expression]显示补丁包信息displaypatch[|{begin|exclude|include}regular-expression]显示热补丁的信息displaypatchinformation[|{begin|exclude|include}regular-expression]1-231.
10软件升级典型配置举例1.
10.
1远程升级配置举例1.
组网需求Device作为FTPClient,设备的应用程序SR8800.
app和Bootware程序LPUBTR.
app都保存在FTPServer的SR8800目录下;Device上的一个接口的IP地址为1.
1.
1.
1/24,FTPServer的IP地址为2.
2.
2.
2/24,Device与FTPServer之间路由可达;User通过Telnet远程登录到Device,对Device进行操作(从FTPServer上下载应用程序,通过命令行实现Device的远程升级),请确定User与Device之间路由可达.
2.
组网图图1-8配置远程升级组网图3.
配置步骤在FTPServer上的配置(注意:不同的服务器类型配置可能不同)#启动FTPServer功能.
system-view[FTP-Server]ftpserverenable#配置一个FTP用户名为aaa,密码为hello.
[FTP-Server]local-useraaa[FTP-Server-luser-aaa]passwordcipherhello#配置该用户对aaa目录具有读写权限.
[FTP-Server-luser-aaa]service-typeftp[FTP-Server-luser-aaa]level3[FTP-Server-luser-aaa]authorization-attributework-directoryflash:/在Device上的配置如果设备Flash的剩余空间不够大,请删除Flash中原有的应用程序后再进行下载.
FTPClientFTPServerUserTelnetDevice1.
1.
1.
1/242.
2.
2.
2/24Internet1-24#在用户视图下输入命令,登录到FTPServer.
ftp2.
2.
2.
2Trying.
.
.
PressCTRL+KtoabortConnectedto2.
2.
2.
2.
.
220WFTPD2.
0service(byTexasImperialSoftware)readyfornewuserUser(2.
2.
2.
2:(none)):aaa331Givemeyourpassword,pleasePassword:230Loggedinsuccessfully[ftp]#将FTPServer上的文件SR8800.
app和LPUBTR.
app下载到Device的Flash.
[ftp]getSR8800.
app[ftp]getLPUBTR.
app#中断FTP连接,并退回到用户视图下.
[ftp]bye#使用FTP方式下载到的文件升级主控板的Bootware.
bootromupdatefileLPUBTR.
appslot0#指定主控板0下次启动时的应用程序.
boot-loaderfileSR8800.
appslot0main#当本设备的主控板为主备模式时,需要同时升级备用板的程序,并指定其为下次启动时的应用程序.
若备用板的槽位号为1,则命令如下:boot-loaderfileslot1#flash:/SR8800.
appslot1main#重启设备,实现应用程序的升级.
reboot1.
10.
2热补丁典型配置举例1.
组网需求设备当前的软件版本为soft-version1,需要通过最新的补丁文件修复软件的一些缺陷.
最新补丁文件(patch_m2e.
bin和patch_lpe.
bin)都保存在FTP服务器的aaa目录下.
设备的IP地址为1.
1.
1.
1/24,FTP服务器的IP地址为2.
2.
2.
2/24,设备与FTP服务器之间路由可达.
用户通过Telnet远程登录到Device,User与Device之间路由可达.
1-252.
组网图图1-9热补丁组网图3.
配置步骤FTPServer的配置(注意:不同类型的服务器配置可能不同,以下以H3C设备为例)#启动FTPServer功能.
system-view[FTP-Server]ftpserverenable#配置一个FTP用户名为aaa,密码为hello.
[FTP-Server]local-useraaa[FTP-Server-luser-aaa]passwordcipherhello#配置该用户对aaa目录具有读写权限.
[FTP-Server-luser-aaa]service-typeftp[FTP-Server-luser-aaa]authorization-attributework-directoryflash:/aaaDevice的配置配置前需确认设备Flash有足够的剩余空间来存储热补丁.
#开始升级前,执行save命令保存当前配置(配置步骤略).
#登录FTPServer(注意:不同类型的服务器显示信息可能不同).
ftp2.
2.
2.
2Trying2.
2.
2.
2.
.
.
PressCTRL+KtoabortConnectedto2.
2.
2.
2.
220WFTPD2.
0service(byTexasImperialSoftware)readyfornewuserUser(2.
2.
2.
2:(none)):aaa331Givemeyourpassword,pleasePassword:230Loggedinsuccessfully[ftp]#下载FTPServer上的文件patch_m2e.
bin和patch_lpe.
bin.
[ftp]binaryFTPClientFTPServerUserTelnetDevice1.
1.
1.
1/242.
2.
2.
2/24Internet1-26[ftp]getpatch_m2e.
bin[ftp]getpatch_lpe.
bin[ftp]bye#将补丁文件拷贝到备用板的根目录下,备用板所在的槽位号为1.
copypatch_m2e.
binslot1#flash:/copypatch_lpe.
binslot1#flash:/#启动补丁安装功能.
system-view[Device]patchinstallflash:Patcheswillbeinstalled.
Continue[Y/N]:yDoyouwanttocontinuerunningpatchesafterreboot[Y/N]:yInstallingpatches.
.
.
.
.
.
.
.
%Aug811:15:30:6072008SysnameMEM/4/WARNING:Patchloadcompletedforslot0.
%Aug811:15:30:7072008SysnameMEM/4/WARNING:Patchloadcompletedforslot1.
%Aug811:15:30:8072008SysnameMEM/4/WARNING:Patchloadcompletedforslot3.
%Aug811:15:30:8172008SysnameMEM/4/WARNING:Patchloadcompletedforslot3.
1Installationcompleted,andpatcheswillcontinuetorunafterreboot.
i目录1设备管理1-11.
1设备管理配置任务简介·1-11.
2显示设备的配置·1-21.
3配置系统基本信息1-21.
3.
1配置设备名称·1-21.
3.
2配置系统时间·1-31.
3.
3使能版权信息显示功能1-51.
3.
4配置欢迎信息·1-61.
4配置系统异常时的处理方式·1-71.
5配置设备重启·1-81.
6配置系统工作模式1-91.
7配置定时自动执行任务·1-101.
7.
1定时执行任务功能简介1-101.
7.
2配置定时执行任务·1-101.
7.
3定时执行任务典型配置举例1-121.
8配置定时检测时间间隔·1-131.
9配置单板的温度告警阈值1-141.
10电源管理·1-141.
10.
1手工给单板供电与断电1-141.
10.
2配置电源告警监控功能1-141.
11配置硬件在线诊断功能·1-151.
12配置主用主控板和备用主控板的负载模式·1-161.
13配置业务板共享缓存单元个数1-161.
14清除当前系统中不使用的16bit接口索引1-161.
15配置转发通道自动检测功能·1-171.
16配置接口子卡的工作模式1-181.
17可插拔模块的识别与诊断1-181.
17.
1可插拔模块简介1-181.
17.
2识别可插拔模块1-191.
17.
3诊断可插拔模块1-191.
18设备管理显示和维护·1-191-11设备管理(1)存储介质有多种类型,如Flash、CF卡等,本手册以Flash为例进行描述.
(2)本手册所涉及的文件名遵循以下规则:"路径+文件名"的格式,即全文件名,表示指定路径下的文件.
全文件名的长度为1~135个字符;"文件名"的格式,即只有文件名而没有路径,表示当前工作路径下的文件.
文件名的长度为1~91个字符.
(3)本文中的"SPC单板"指的是单板丝印以"SPC"开头(如SPC-GT48L)的单板,"SPE单板"指的是单板丝印以"SPE"开头(如SPE-1020-E-II)的单板.
1.
1设备管理配置任务简介通过设备管理功能,用户能够查看设备当前的工作状态,配置设备运行的相关参数,实现对设备的日常维护和管理.
目前的设备管理主要提供以下功能,参见表1-1.
表1-1设备管理配置任务简介配置任务说明详细配置显示设备的配置可选1.
2配置设备名称可选1.
3.
1配置系统时间可选1.
3.
2使能版权信息显示功能可选1.
3.
3配置欢迎信息可选1.
3.
4配置系统异常时的处理方式可选1.
4配置设备重启可选1.
5配置系统工作模式可选1.
6配置定时自动执行任务功能可选1.
7配置定时检测时间间隔可选1.
8配置单板的温度告警阈值可选1.
9手工给单板供电与断电可选1.
10.
1配置电源告警监控功能可选1.
10.
2配置硬件在线诊断功能可选1.
11配置主用主控板和备用主控板的负载模式可选1.
121-2配置任务说明详细配置配置业务板共享缓存单元个数可选1.
13清除当前系统中不使用的16bit接口索引可选1.
14配置转发通道自动检查功能可选1.
15配置接口子卡的工作模式可选1.
16可插拔模块的识别与诊断可选1.
171.
2显示设备的配置为了了解设备的当前配置情况,避免重复配置以及配置冲突的情况发生,在进行设备的配置之前可以使用display命令查看设备的配置.
设备的配置大体可以分成如下两种:当前配置:设备上正在运行的配置.
如无特殊说明(比如该命令需要重启设备才能生效),这些配置只在设备的本次运行过程中生效,设备重启后,将不再生效.
保存配置:保存在配置文件中的配置.
使用配置文件能够简便的进行配置恢复.
表1-2显示设备的配置操作命令说明显示设备的出厂配置displaydefault-configuration[|{begin|exclude|include}regular-expression]该命令在任意视图下执行显示设备当前生效的配置displaycurrent-configuration[[configuration[configuration]|interface[interface-type][interface-number]][by-linenum][|{begin|exclude|include}regular-expression]]该命令在任意视图下执行查看保存配置(即显示配置文件的内容)morefile-url如果该文件为设备的下次启动配置文件,还可以使用命令:displaysaved-configuration[by-linenum]more命令在用户视图下执行displaysaved-configuration该命令在任意视图下执行more,displaydefault-configuration,displaycurrent-configuration和displaysaved-configuration命令的详细介绍请参见"基础配置命令参考"中的"文件系统管理"和"配置文件管理".
1.
3配置系统基本信息1.
3.
1配置设备名称设备名称用于在网络中标志某台设备,在系统内部,设备名称对应于命令行接口的提示符,如设备的名称为Sysname,则用户视图的提示符为.
1-3表1-3配置设备名称操作命令说明进入系统视图system-view-设置设备名称sysnamesysname可选缺省情况下,设备名称为H3C1.
3.
2配置系统时间1.
系统时间的配置系统时间是系统信息时间戳显示的时间.
该时间由配置的相对时间、时区和夏令时三个参数运算之后联合决定,通过displayclock命令可以查看.
为了保证与其它设备协调工作,用户需要将系统时间配置准确.
表1-4配置系统时间操作命令说明配置时间和日期clockdatetimetimedate可选该命令在用户视图下执行进入系统视图system-view-配置系统所在的时区clocktimezonezone-name{add|minus}zone-offset可选缺省情况下,本地时区采用UTC(UniversalTimeCoordinated,世界调整时间)时区配置夏令时设置从"起始日期"的"起始时间"到"结束日期"的"结束时间"这个时间段内采用夏令时制,夏令时间要比设备的当前时间增加"add-time"clocksummer-timezone-nameone-offstart-timestart-dateend-timeend-dateadd-time二者选其一缺省情况下,设备上没有配置夏令时,采用UTC时间设置设备重复采用夏令时制clocksummer-timezone-namerepeatingstart-timestart-dateend-timeend-dateadd-time2.
系统时间的显示系统时间由clockdatetime、clocktimezone和clocksummer-time三条命令联合决定.
如果以上三条命令都不配置,则displayclock命令显示的为原系统时间.
如果把三条以上命令任意组合进行配置,配置后的系统时间请参见表1-5.
表中配置列各参数的含义为:1:表示执行clockdatetime命令配置了时间date-time;2:表示执行clocktimezone命令配置了时区参数,时间偏移量为zone-offset;3:表示执行clocksummer-time命令配置了夏令时参数,时间偏移量为summer-offset;[1]:表示clockdatetime命令是可选配置,可执行也可不执行.
表中举例默认原系统时间为2005/1/11:00:00.
1-4表1-5系统时间配置示例表配置配置后的系统时间举例1date-time配置:clockdatetime1:002007/1/1配置后的系统时间:01:00:00UTCMon01/01/20072原系统时间±"zone-offset"配置:clocktimezonezone-timeadd1配置后的系统时间:02:00:00zone-timeSat01/01/20051、2"date-time"±"zone-offset"配置:clockdatetime2:002007/2/2和clocktimezonezone-timeadd1配置后的系统时间:03:00:00zone-timeFri02/02/2007[1]、2、1date-time配置:clocktimezonezone-timeadd1和clockdatetime3:002007/3/3配置后的系统时间:03:00:00zone-timeSat03/03/20073原系统时间不在夏令时段内,则为原系统时间配置:clocksummer-timessone-off1:002006/1/11:002006/8/82配置后的系统时间:01:00:00UTCSat01/01/2005原系统时间在夏令时段内,则为原系统时间+"summer-offset"配置:clocksummer-timessone-off00:302005/1/11:002005/8/82配置后的系统时间:03:00:00ssSat01/01/2005如果原系统时间+"summer-offset"不在夏令时段内,则配置后的系统时间为原系统时间.
之后,若取消夏令时配置,则系统时间会被减少"summer-offset"1、3date-time不在夏令时段内,则为date-time配置:clockdatetime1:002007/1/1和clocksummer-timessone-off1:002006/1/11:002006/8/82配置后的系统时间:01:00:00UTCMon01/01/2007date-time在夏令时段内,则为"date-time"+"summer-offset"配置:clockdatetime8:002007/1/1和clocksummer-timessone-off1:002007/1/11:002007/8/82配置后的系统时间:10:00:00ssMon01/01/2007如果"date-time"+"summer-offset"不在夏令时段内,则配置后的系统时间为"date-time".
之后,若取消夏令时配置,则系统时间会被减少"summer-offset"[1]、3、1date-time不在夏令时段内,则为date-time配置:clocksummer-timessone-off1:002007/1/11:002007/8/82和clockdatetime1:002008/1/1配置后的系统时间:01:00:00UTCTue01/01/2008date-time在夏令时段内,再根据"date-time"-"summer-offset"的值是否在夏令时段内来判断.
如果该值不在夏令时段内,则为"date-time"-"summer-offset";如果在夏令时段内,则配置后的系统时间为date-time配置:clocksummer-timessone-off1:002007/1/11:002007/8/82和clockdatetime1:302007/1/1配置后的系统时间:23:30:00UTCSun12/31/2006配置:clocksummer-timessone-off1:002007/1/11:002007/8/82和clockdatetime3:002007/1/1配置后的系统时间:03:00:00ssMon01/01/20072、3或者3、2如果原系统时间±"zone-offset"的值不在夏令时段内,则为原系统时间±"zone-offset"配置:clocktimezonezone-timeadd1和clocksummer-timessone-off1:002007/1/11:002007/8/82配置后的系统时间:02:00:00zone-timeSat01/01/2005如果原系统时间±"zone-offset"的值在夏令时段内,则为原系统时间±"zone-offset"+"summer-offset"配置:clocktimezonezone-timeadd1和clocksummer-timessone-off1:002005/1/11:002005/8/82配置后的系统时间:04:00:00ssSat01/01/20051-5配置配置后的系统时间举例1、2、3或者1、3、2如果"date-time"±"zone-offset"的值不在夏令时段内,则为"date-time"±"zone-offset"配置:clockdatetime1:002007/1/1、clocktimezonezone-timeadd1和clocksummer-timessone-off1:002008/1/11:002008/8/82配置后的系统时间:02:00:00zone-timeMon01/01/2007如果"date-time"±"zone-offset"的值在夏令时段内,则为"date-time"±"zone-offset"+"summer-offset"配置:clockdatetime1:002007/1/1、clocktimezonezone-timeadd1和clocksummer-timessone-off1:002007/1/11:002007/8/82配置后的系统时间:04:00:00ssMon01/01/2007[1]、2、3、1或者[1]、3、2、1date-time不在夏令时段内,则为date-time配置:clocktimezonezone-timeadd1、clocksummer-timessone-off1:002008/1/11:002008/8/82和clockdatetime1:002007/1/1配置后的系统时间:01:00:00zone-timeMon01/01/2007date-time在夏令时段内,再根据"date-time"-"summer-offset"的值是否在夏令时段内来判断.
如果不在夏令时段内,则为"date-time"-"summer-offset";如果在夏令时段内,则为date-time配置:clocktimezonezone-timeadd1、clocksummer-timessone-off1:002008/1/11:002008/8/82和clockdatetime1:302008/1/1配置后的系统时间:23:30:00zone-timeMon12/31/2007配置:clocktimezonezone-timeadd1、clocksummer-timessone-off1:002008/1/11:002008/8/82和clockdatetime3:002008/1/1配置后的系统时间:03:00:00ssTue01/01/20081.
3.
3使能版权信息显示功能z使能显示版权信息后,使用Telnet或SSH方式登录设备时会显示版权信息,使用Console口或AUX口方式登录设备再退出用户视图时会显示版权信息,其它情况不显示版权信息.
显示的版权信息形如:*Copyright(c)2004-2010HangzhouH3CTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*z禁止版权信息显示功能后,在任何情况下都不会显示版权信息.
表1-6使能版权信息显示功能操作命令说明进入系统视图system-view-使能版权信息显示功能copyright-infoenable可选缺省情况下,版权信息显示功能处于使能状态1-61.
3.
4配置欢迎信息1.
欢迎信息简介欢迎信息是用户在连接到设备、进行登录验证以及开始交互配置时系统显示的一段提示信息.
管理员可以根据需要,设置相应的提示信息.
目前,系统支持的欢迎信息有五种:zshell欢迎信息,也称session条幅.
进入控制台会话时显示;z用户接口欢迎信息,也称incoming条幅.
主要用于Modem激活用户接口时显示;z登录欢迎信息,也称login条幅.
主要用于配置密码验证和scheme认证时显示;zMOTD(MessageOfTheDay)欢迎信息;z授权欢迎信息,也称legal条幅.
系统在用户登录前会给出一些版权或者授权信息,然后显示legal条幅,并等待用户确认是否继续进行认证或者登录.
如果用户输入"Y"或者直接按键,则进入认证或登录过程;如果输入"N",则退出认证或登录过程.
"Y"和"N"不区分大小写.
2.
配置欢迎信息表1-7配置欢迎信息操作命令说明进入系统视图system-view-配置进入用户视图时的欢迎信息(Modem登录方式)headerincomingtext可选配置登录验证时的欢迎信息headerlogintext可选配置登录终端界面前的授权信息headerlegaltext可选配置进入用户视图时的欢迎信息(非Modem登录方式)headershelltext可选配置登录终端界面前的欢迎信息headermotdtext可选输入欢迎信息时,信息内容支持单行输入和多行输入两种方式:单行输入该方式下,命令关键字与欢迎信息的所有内容在同一行中输入,输入内容的起始符和结束符必须相同,这两字符不作为欢迎信息的内容.
此时包括命令关键字、起始符和结束符在内,一共可以输入510个字符.
在该方式下输入欢迎信息时不能回车(按键).
例如:用户要设置的欢迎信息为"Haveaniceday.
":system-view[System]headershell%Haveaniceday.
%多行输入该方式下,通过回车键可以将欢迎信息分多行输入,此时欢迎信息一共可以长达2000个字符.
多行输入又分三种方式:命令关键字后直接回车,输入欢迎信息并以"%"作为欢迎信息的结束符结束设置,"%"不属于欢迎信息的内容.
例如:用户要设置的欢迎信息为"Haveaniceday.
PleaseinputthePassword.
":system-view[System]headershell1-7Pleaseinputbannercontent,andquitwiththecharacter'%'.
――系统提示Haveaniceday.
PleaseinputthePassword!
%命令关键字后输入一个字符后回车,以这个字符作为欢迎信息的起始符和结束符,输入完欢迎信息以后,以结束符结束设置.
起始符和结束符不属于欢迎信息的内容.
例如:用户要设置的欢迎信息为"Haveaniceday.
PleaseinputthePassword!
":system-view[System]headershellAPleaseinputbannercontent,andquitwiththecharacter'A'.
――系统提示Haveaniceday.
PleaseinputthePassword!
A命令关键字后输入多个字符(首尾不相同)后回车,以命令关键字后的第一个字符作为欢迎信息的起始符和结束符,输入完欢迎信息以后,以结束符结束设置.
起始符和结束符不属于欢迎信息的内容.
例如:用户要设置的欢迎信息为"Haveaniceday.
PleaseinputthePassword!
":system-view[System]headershellAHaveaniceday.
Pleaseinputbannercontent,andquitwiththecharacter'A'.
――系统提示PleaseinputthePassword!
A1.
4配置系统异常时的处理方式当系统检测到软件运行异常时,支持两种处理方式:reboot:系统通过直接自动重启的方式来进行恢复.
maintain:保持当前状态,系统不会自动采取任何恢复措施.
此时需要手工进行恢复操作.
某些系统异常可能较难复现,或者异常时打印的一些提示设备重启后会丢失,此时,使用该方式可以保持异常时的状态,以便进行问题定位和修复.
但该方式需要手工修复,比如手工重启.
表1-8配置系统异常时的处理方式操作命令说明进入系统视图system-view-配置主用主控板和备用主控板系统异常时的处理方式system-failure{maintain|reboot}可选缺省情况下,主用主控板和备用主控板系统异常时的处理方式为reboot配置本命令后会将主用主控板和备用主控板系统异常时的处理方式设置为相同值.
接口板和辅助CPU系统如果出现软件运行异常的情况,系统的处理方式始终是reboot,即重启故障单板.
系统异常处理只针对故障单板,不会影响其它单板的功能.
1-81.
5配置设备重启当设备运行出现故障时,用户可以根据实际情况,通过重启设备来排除故障.
重启的方式有三种:通过断电后重新上电立即重启设备(该方式又称为硬件重启或者冷启动).
该方式对设备冲击较大,如果对运行中的设备进行强制断电,可能会造成数据丢失或者硬件损坏.
一般情况下,建议不要使用这种方式.
通过命令行立即重启设备.
通过命令行定时重启设备.
该方式下,用户可以设置一个时间,让设备定时自动重启,或者设置一个时延,让设备经过指定时间后自动重启.
后两种方式都属于命令行重启.
命令行重启又称为热启动,主要用于远程维护时,可以直接重启设备,而不需要到设备所在地进行硬件重启.
表1-9通过命令行立即重启设备操作命令说明重启某单板或整个系统reboot[slotslot-number]可选该命令在用户视图下执行表1-10通过命令行定时重启设备操作命令说明开启整个设备定时重启功能,并指定重启的具体时间和日期schedulerebootathh:mm[date]二者必选其一缺省情况下,设备定时重启功能处于关闭状态两命令均在用户视图下执行开启整个设备的定时重启功能,并设定等待时延schedulerebootdelay{hh:mm|mm}1-9设备定时器的精度为1分钟.
在到达用户设定的重启时刻的前一分钟,设备会提示:"REBOOTINONEMINUTE(设备将在一分钟后重启)",并在一分钟后重新启动.
重启前请使用save命令保存当前配置,以免重启后配置丢失.
(save命令的详细介绍请参见"基础配置命令参考"中的"文件系统管理")重启前请使用displaystartup和displayboot-loader命令分别确认是否设置了合适的下次启动配置文件和下次启动文件.
(displaystartup命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理",displayboot-loader命令的详细介绍请参见"基础配置命令参考"中的"软件升级")如果设备上只有一块主控板,使用reboot命令重启该主控板会导致整台设备重启;如果设备上有两块主控板,只能使用reboot命令重启主用主控板,不能使用该命令重启备用主控板,如需重启备用主控板,请使用slaverestart命令(slaverestart命令的详细介绍请参见"可靠性命令参考"中的"主备倒换").
不指定slot参数时,会重启整个设备(包括主用主控板、备用主控板和接口板).
重新启动会导致业务中断,请谨慎使用.
如果主用启动文件损坏或者不存在,则不能通过reboot命令重启设备.
此时,可以通过指定新的主用启动文件再重启,或者断电后重新上电,系统将自动使用备用启动文件重启.
如果设备在准备重启时,用户正在进行文件操作,为了安全起见,系统将不会执行此次重启操作.
1.
6配置系统工作模式通过配置系统工作模式,能够调整系统硬件资源的分配,以便更好地满足不同业务的需要.
设备共提供三种系统工作模式:hybrid:混插模式.
在该模式下,SPC单板和SPE单板都可以正常工作;spc:SPC模式.
在该模式下,只有SPC单板(如SPC-GT48L)可以正常工作;spe:SPE模式.
在该模式下,只有SPE单板(如SPE-1020-E-II)可以正常工作.
表1-11配置系统工作模式操作命令说明进入系统视图system-view-配置系统工作模式systemworkingmode{hybrid|spc|spe}必选系统默认工作模式为混插模式更改系统工作模式后需要立即重启系统,配置才可生效.
1-101.
7配置定时自动执行任务1.
7.
1定时执行任务功能简介定时执行任务功能是指通过配置,设备可以在指定时刻或延迟指定时长以后,自动执行一个或一组命令的功能.
启用此功能以后,设备能够在无人值守的情况下完成某些操作或配置.
该功能不但增强了设备的自动控制和管理能力,提高了易用性,而且可以起到有效节能的作用.
当配置了定时执行任务之后,设备每分钟遍历一次已配置的任务列表,如果发现有任务的定时时间到了,设备将自动执行该任务.
1.
7.
2配置定时执行任务配置定时执行任务有以下两种方式:对比项配置定时执行任务(方式一)配置定时执行任务(方式二)适用范围小大配置复杂程度简单只涉及schedulejob命令复杂涉及job、view、time三条命令能否同时配置多个任务不能可以同一任务中能否执行多条命令不能多次使用schedulejob命令用来定时执行不同的命令时,最新的配置生效可以使用time命令可以指定在不同的时间点来执行不同的命令支持的视图(view-name参数的取值)只能是shell(表示用户视图)和system(表示系统视图)系统支持的所有视图,其中用monitor表示用户视图支持的命令范围(command参数的取值)只能是用户视图或系统视图下的命令对应view-name下的任意命令是否支持循环执行不支持支持是否支持配置保存不支持支持是否支持配置备份到备用主控板不支持支持1-11command表示的命令行必须是设备上可成功执行的命令行,并且要求命令行是view-name视图下的命令,由用户保证配置的正确性,否则,命令行不能自动被执行.
指定命令执行时不进行信息交互.
当需要用户交互确认时,系统将自动输入"Y"或"Yes";当需要用户交互输入字符信息时,系统将自动输入缺省字符串,没有缺省字符串的将自动输入空字符串.
对于切换用户操作界面的命令(如telnet、ftp、ssh2等)、切换视图的命令(如system-view、quit等)以及修改执行命令用户状态的命令(如super命令等),自动执行命令后当前用户的操作界面、命令视图和用户状态不变.
设置的时间点到达时,系统将在后台执行指定命令,不显示任何输出信息(log、trap、debug等系统信息除外).
1.
配置定时执行任务(方式一)表1-12配置定时执行任务(方式一)操作命令说明在指定时间执行指定命令schedulejobattime[date]viewview-namecommand二者必选其一该命令在用户视图下执行配置schedulejobat命令后,如果修改系统时间将影响到定时任务的执行配置schedulejobdelay命令后,修改系统时间,不会影响定时任务的执行在指定延时后执行指定命令schedulejobdelaytimeviewview-namecommand2.
配置定时执行任务(方式二)表1-13配置定时执行任务(方式二)操作命令说明进入系统视图system-view-创建定时执行任务,并进入定时执行任务视图jobjob-name必选配置执行指定命令所在的视图viewview-name必选每个定时执行任务只能指定一个视图在指定时间点执行指定任务timetime-idattimedatecommandcommand二者必选其一配置timeat命令后,如果修改系统时间将影响到定时任务的执行配置timedelay命令后,修改系统时间,不会影响定时任务的执行timetime-id{one-off|repeating}attime[month-datemonth-day|week-dayweek-daylist]commandcommand延迟指定时间执行指定任务timetime-id{one-off|repeating}delaytimecommandcommand需要注意的是:1-12每个定时执行任务只能包含一个视图,该定时任务中所有命令都将在此视图下被执行.
若多次执行view命令指定了不同的视图,则最新的配置生效.
视图必须是设备当前支持的视图,而且是视图的完整形式,不能使用缩写.
常用的有:用户视图对应的view-name为monitor,系统视图对应的view-name为system,以太网接口视图对应的view-name为GigabitEthernetx/x/x,VLAN接口视图对应的view-name为Vlan-interfacex等.
一个定时执行任务中最多可以配置10条命令(对应10个time-id).
如果多于10条,请把这个任务拆分为多个任务.
time-id在同一个任务中必须唯一.
如果新执行的timeat命令指定的time-id和已有配置的time-id值相同,则新配置会覆盖旧配置.
1.
7.
3定时执行任务典型配置举例1.
组网需求对Device进行配置,通过定时开启/关闭端口,来实现对Device的以太网端口GigabitEthernet3/1/1、GigabitEthernet3/1/2和GigabitEthernet3/1/3下挂的PC使用时间的限制(只能在星期一到星期五的上午八点到下午十八点能够使用),提高设备的自动管理能力,并起到有效节能的目的.
2.
组网图图1-1定时执行任务典型配置举例组网图3.
配置步骤#进入系统视图system-view#创建定时执行任务pc1,并进入定时执行任务视图.
[Sysname]jobpc1#配置运行指定命令的视图为GigabitEthernet3/1/1以太网端口视图.
[Sysname-job-pc1]viewGigabitEthernet3/1/1#配置定时执行任务,使Device在星期一到星期五的上午八点开启以太网端口.
[Sysname-job-pc1]time1repeatingat8:00week-daymontuewedthufricommandundoshutdown#配置定时执行任务,使Device在星期一到星期五的下午十八点关闭以太网端口.
[Sysname-job-pc1]time2repeatingat18:00week-daymontuewedthufricommandshutdown[Sysname-job-pc1]quit#创建定时执行任务pc2,并进入定时执行任务视图.
[Sysname]jobpc21-13#配置运行指定命令的视图为GigabitEthernet3/1/2以太网端口视图.
[Sysname-job-pc2]viewGigabitEthernet3/1/2#配置定时执行任务,使Device在星期一到星期五的上午八点开启以太网端口.
[Sysname-job-pc2]time1repeatingat8:00week-daymontuewedthufricommandundoshutdown#配置定时执行任务,使Device在星期一到星期五的下午十八点关闭以太网端口.
[Sysname-job-pc2]time2repeatingat18:00week-daymontuewedthufricommandshutdown[Sysname-job-pc2]quit#创建定时执行任务pc3,并进入定时执行任务视图.
[Sysname]jobpc3#配置运行指定命令的视图为GigabitEthernet3/1/3以太网端口视图.
[Sysname-job-pc3]viewGigabitEthernet3/1/3#配置定时执行任务,使Device在星期一到星期五的上午八点开启以太网端口.
[Sysname-job-pc3]time1repeatingat8:00week-daymontuewedthufricommandundoshutdown#配置定时执行任务,使Device在星期一到星期五的下午十八点关闭以太网端口.
[Sysname-job-pc3]time2repeatingat18:00week-daymontuewedthufricommandshutdown[Sysname-job-pc3]quit#显示定时执行任务的配置信息.
[Sysname]displayjobJobname:pc1Specifiedview:GigabitEthernet3/1/1Time1:Executecommandundoshutdownat08:00MondaysTuesdaysWednesdaysThursdaysFridaysTime2:Executecommandshutdownat18:00MondaysTuesdaysWednesdaysThursdaysFridaysJobname:pc2Specifiedview:GigabitEthernet3/1/2Time1:Executecommandundoshutdownat08:00MondaysTuesdaysWednesdaysThursdaysFridaysTime2:Executecommandshutdownat18:00MondaysTuesdaysWednesdaysThursdaysFridaysJobname:pc3Specifiedview:GigabitEthernet3/1/3Time1:Executecommandundoshutdownat08:00MondaysTuesdaysWednesdaysThursdaysFridaysTime2:Executecommandshutdownat18:00MondaysTuesdaysWednesdaysThursdaysFridays1.
8配置定时检测时间间隔某些协议模块在特定情况下会自动关闭某个端口,比如当使能了BPDU保护功能的端口收到配置消息时,MSTP协议模块将自动关闭该端口.
同时,系统会启动一个检测定时器,如果直到定时器超时(即经过time秒之后),该端口仍处于关闭状态,协议模块则自动激活该端口,令其恢复到真实的物理状态.
定时器的值(time)可以通过以下步骤调整:表1-14配置定时检测时间间隔操作命令说明进入系统视图system-view-配置定时检测时间间隔shutdown-intervaltime可选缺省情况下,定时检测时间间隔为30秒1-141.
9配置单板的温度告警阈值通过以下配置任务,用户可以设置指定单板的温度告警阈值.
当单板的温度超出用户设定的阈值时,设备系统会发出告警信号,便于用户及时进行处理.
表1-15配置单板的温度告警阈值操作命令说明进入系统视图system-view-配置单板的温度告警阈值temperature-limitslotslot-numberhotspotsensor-numberlowerlimitwarninglimit[alarmlimit]可选1.
10电源管理1.
10.
1手工给单板供电与断电当系统供电不足时,设备会按照一定的机制自动对单板供电,用户也可以通过displaypower-supply命令随时了解各单板的供电情况,再结合网络业务情况,手工对单板进行供电和断电操作,来调节系统可用功率.
表1-16手工给单板供电操作命令说明手工给指定单板供电与断电power-supply{on|off}slotslot-number可选指定的单板不能为主控板本命令在用户视图下执行1.
10.
2配置电源告警监控功能电源告警监控的原理是,系统实时监控电源的状态,当电源处于故障或者不在位状态时,设备可以通过主控板ALARM灯来显示电源的工作状态,以便用户及时进行处理.
如果没有配置电源告警监控功能,设备由于电源问题而出现故障时,主控板ALARM灯不会提示电源故障或不在位状态等告警信息,用户只能通过displayalarm命令查询设备的详细告警信息,来判断设备发生故障的原因,并做相应的处理.
使能电源告警监控功能后,设备可以通过主控板ALARM灯来显示电源的工作状态:当主控板ALARM灯常亮时,可使用displayalarm命令查询电源是否存在故障,若不是,则是单板故障;当主控板ALARM灯闪烁时,存在不在位的电源模块;当主控板ALARM灯灭时,表示所有电源都处于正常状态.
相关命令可参考displayalarm.
表1-17配置电源告警监控功能操作命令说明进入系统视图system-view-1-15操作命令说明配置电源告警监控功能poweralarmenable必选缺省情况下,电源告警监控功能处于关闭状态使能电源告警监控且保存当前配置后,该功能写入主控板的配置文件中,当主控板重启后,主控板ALARM灯仍然显示电源的工作状态.
1.
11配置硬件在线诊断功能当交换机发生硬件故障时,可能会导致整个系统的转发异常、造成业务中断.
为了提高交换机自动检测和处理硬件故障的能力,您可以配置硬件在线诊断功能.
交换机的硬件在线诊断功能包括:针对器件、单板和转发三种类型的硬件故障进行在线检测,并对检测到的故障自动执行相应的修复操作.
表1-18配置硬件在线诊断功能操作命令说明进入系统视图system-view-配置硬件故障在线检测和故障发生时自动采取的操作hardware-failure-detection{chip|board|forwarding}{off|warning|reset|isolate}必选检测到故障时系统可自动采取的修复操作包括:zoff:检测到故障时,交换机不进行任何操作zwarning:检测到故障时,交换机只进行告警,不执行修复故障的操作zreset:检测到故障时,交换机会自动重启单板以尝试修复故障zisolate:检测到故障时,交换机会自动执行关闭端口、单板隔离、禁止单板加载、单板下电操作以减小故障的影响缺省情况下,系统检测到硬件故障时自动采取的操作为warning路由器目前只支持off和warning操作,暂不支持reset和isolate操作.
配置在线诊断功能后,可以通过displayhardware-failure-detection命令查看硬件在线检测的运行情况.
1-161.
12配置主用主控板和备用主控板的负载模式设备在主用主控板和备用主控板间提供两种负载模式:load-balance模式:设备的主用主控板和备用主控板共同参与报文的处理和转发.
load-single模式:只有主用主控板能处理和转发报文,备用主控板仅备份主用主控板的数据、监控主用主控板的状态.
用户通过以下步骤可以配置主用主控板和备用主控板的负载模式.
表1-19配置主用主控板和备用主控板的负载模式操作命令说明进入系统视图system-view-配置主用主控板和备用主控板的负载模式xbar{load-balance|load-single}可选缺省情况下,主用主控板和备用主控板处于load-single模式只有主用主控板和备用主控板同时在位时,配置的load-balance模式才会生效;否则,即便配置了load-balance模式,主用主控板也会自动切换到load-single模式.
1.
13配置业务板共享缓存单元个数业务板使用一块大小固定的缓存来缓存接收和发送的报文,缓存由很多个存储单元组成.
缓存分为固定区域和共享区域,固定区域是按一定的算法固定分配给接口的,共享区域为所有接口共享,当接口流量增加,固定缓存不够用时,共享区域可以为接口提供临时内存.
当缺省情况下,固定区域和共享区域所包含的存储单元的个数是一定的(比如固定区域为4K个存储单元,共享区域为4K个存储单元),用户也可以根据网络业务情况修改该数值(比如将固定区域设置为3K个存储单元,共享区域设置为5K个存储单元).
在缓存单元总数一定的情况下,通过调整共享缓存单元的个数,使流量大的端口获得更多的缓存资源.
表1-20配置业务板共享缓存单元个数操作命令说明进入系统视图system-view-配置业务板共享缓存单元的个数buffer-manage{ingress|egress}slotslot-numbershare-sizesize-value可选缺省情况下,为接口收到的报文分配的共享缓存单元数为1024,为接口发送的报文分配的共享缓存单元数为46081.
14清除当前系统中不使用的16bit接口索引实际组网中,NMS软件要求设备能够提供统一的16bit的接口索引,同时要求接口索引尽量稳定,即同一设备中接口的名字与接口的索引尽量保持一一对应的关系.
1-17为了尽量保证接口索引的稳定性,当系统中的板卡被拔出或者在删除逻辑接口时,系统会保存该接口的16bit接口索引,以保证重新创建该接口时其索引值不变.
反复的插拔不同的接口子卡或接口板,创建或者删除大批量不同类型的逻辑口,都可能会耗尽接口索引,导致创建接口失败.
为了避免这种情况,用户可以在用户视图下执行以下操作,清除当前系统中保存的但不使用的16bit接口索引.
执行该操作后:对于重新创建的接口,接口的新的索引不能保证与原来的索引一致.
对于系统中已经正常存在的接口,不会引起其索引值的改变.
表1-21清除当前系统中不使用的16bit接口索引操作命令说明清除主用主控板和备用主控板当前系统中保存的但不使用的16bit索引resetunusedporttag必选该命令在用户视图下执行执行该命令时需要得到用户的确认.
若用户在30秒之内没有确认操作,或者用户输入字符"N"否定了本次操作,则本命令退出执行.
1.
15配置转发通道自动检测功能路由器在工作过程中,有时会因为硬件故障或其他原因,导致业务数据转发出现异常,但是用户往往不能及时发现.
配置转发通道自动检测功能之后,如果路由器发现数据转发异常,会自动提示相关错误信息,告知错误原因.
用户可以根据提示信息做出相应处理.
表1-22配置转发通道自动检测功能操作命令说明进入系统视图system-view-配置转发通道自动检测功能forward-pathcheck{enable|disable}必选缺省情况下,转发通道自动检测功能处于使能状态完成上述配置后,如果出现转发异常,路由器将会提示相关错误信息.
例如:%Aug2014:55:54:9732010H3CDIAG/3/ERROR:-Slot=8;Forwardingfault:slot5toslot8%Aug2014:55:55:0842010H3CDIAG/3/ERROR:-Slot=6;Forwardingfault:slot6toslot6以上提示信息说明:8号槽位的单板和5号槽位的单板之间数据转发出现异常.
6号槽位的单板内部数据转发出现异常.
1-181.
16配置接口子卡的工作模式设备支持的接口子卡类型多样,有些接口子卡是一卡专用;有些接口子卡具有多功能模块;有些接口子卡是一卡多用,通过配置接口子卡的工作模式,完成整个接口子卡的工作模式的切换.
目前支持的切换模式如下:E1/T1:支持整个接口子卡E/T模式切换.
当工作在E模式时,可完成E1数据流的收发及处理,提供CE1接入;当工作在T模式时,可完成T1数据流的收发及处理,提供CT1接入.
CPOS155M(E/T):支持整个接口子卡E/T模式切换.
当工作在E模式时,可完成E3高速数据流的收发和处理,E3数据流非成帧模式接入,速率为34.
368Mbps,E3数据流成帧模式接入,速率为34.
01Mbps;也可完成E1数据流的收发和处理,提供CE1接入.
当工作在T模式时,可完成T3高速数据流的收发及处理,T3数据流非成帧模式接入,速率为44.
736Mbps,T3数据流成帧模式接入,速率为44.
210Mbps;也可完成T1数据流的收发和处理,提供CT1接入.
表1-23配置接口子卡的工作模式操作命令说明进入系统视图system-view-设置接口子卡的工作模式card-modeslotslot-numbersubslotsubslot-numbermode-name可选mode-name的取值为e、t模式切换后是必须重启单板,新配置的模式才会生效.
当前仅PIC-CL1G8L、PIC-CL2G8L、PIC-ET8G8L、PIC-ET32G2L、PIC-CLF4G8L和PIC-CLF2G8L这6块接口子卡支持切换工作模式.
1.
17可插拔模块的识别与诊断1.
17.
1可插拔模块简介目前,常用的可插拔模块有四种,这四种模块又可以细分为多种,比如按传输介质类型又可以分为光接口模块和电接口模块,其简介请参见表1-24.
表1-24常用可插拔模块简介可插拔模块类型适用环境能否为光接口模块能否为电接口模块SFP(SmallForm-factorPluggable,小封装可热插拔)一般用于百兆/千兆以太网、POS155M/622M/2.
5G等环境是是XFP(10-GigabitsmallForm-factorPluggable,万兆以太网接口小封装可热插拔)一般用于10G以太网环境是否1-191.
17.
2识别可插拔模块因为可插拔模块的类型多样,厂商也不同,通过以下显示命令可以查看可插拔模块的主要特征参数(包括模块型号、连接器类型、发送激光的中心波长、信号的有效传输距离、模块生产或定制厂商等),以便识别可插拔模块.
表1-25识别可插拔模块信息操作命令说明显示可插拔模块的主要特征参数displaytransceiver{controller[controller-typecontroller-number]|interface[interface-typeinterface-numberbegin|exclude|include}regular-expression]对可插拔模块均生效显示H3C定制防伪可插拔模块的部分电子标签信息displaytransceivermanuinfo{controller[controller-typecontroller-number]|interface[interface-typeinterface-numberbegin|exclude|include}regular-expression]仅对H3C定制防伪可插拔模块生效H3C定制防伪可插拔模块是指H3C公司定制的、具有防伪功能的可插拔模块.
用户可以通过displaytransceiver命令显示信息中VendorName字段来识别,为"H3C"的可以认定为H3C定制防伪可插拔模块.
电子标签信息也可以称为永久配置数据或档案信息等,在模块调测(调试、测试)过程中被写入到存储器件中,包括名称、生产序列号、模块生产或定制厂商等信息.
1.
17.
3诊断可插拔模块系统提供故障告警信息标志可插拔模块的故障来源,以便诊断和解决故障.
对H3C定制防伪光模块系统还提供了数字诊断功能,其原理主要是对影响光模块工作的关键参数进行监控,这些关键参数包括:温度、电压、激光偏置电流、发送光功率和接收光功率等.
当这些参数的值异常时,用户可以采取相应的措施,预防故障发生.
表1-26诊断可插拔模块操作命令说明显示可插拔模块的当前故障告警信息displaytransceiveralarm{controller[controller-typecontroller-number]|interface[interface-typeinterface-numberbegin|exclude|include}regular-expression]对可插拔模块均生效显示H3C定制防伪可插拔光模块的数字诊断参数的当前测量值displaytransceiverdiagnosis{controller[controller-typecontroller-number]|interface[interface-typeinterface-numberbegin|exclude|include}regular-expression]仅对H3C定制的防伪可插拔光模块生效1.
18设备管理显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后设备的运行情况,通过查看显示信息验证配置的效果.
1-20表1-27设备管理显示和维护操作命令显示设备的告警信息displayalarm[slotslot-number][|{begin|exclude|include}regular-expression]显示系统版本信息displayversion[|{begin|exclude|include}regular-expression]显示系统当前的时间和日期displayclock[|{begin|exclude|include}regular-expression]显示剪贴板的内容displayclipboard[|{begin|exclude|include}regular-expression]显示或保存系统当前多个功能模块运行的统计信息displaydiagnostic-information[|{begin|exclude|include}regular-expression]显示接口板共享缓存的配置信息displaybuffer-manageconfiguration[slotslot-number][|{begin|exclude|include}regular-expression]显示各CPU占用率的统计信息displaycpu-usage[slotslot-number[cpucpu-number]]displaycpu-usageentry-number[offset][verbose][slotslot-number][from-device][|{begin|exclude|include}regular-expression]以图形方式显示CPU占用率统计历史信息displaycpu-usagehistory[tasktask-id][slotslot-number[cpucpu-number][|{begin|exclude|include}regular-expression]显示设备上指定设备的信息displaydevice[cf-card][[slotslot-number[subslotsubslot-number]]|verbose][|{begin|exclude|include}regular-expression]显示设备的电子标签信息displaydevicemanuinfo[slotslot-number[subslotslot-number]][|{begin|exclude|include}regular-expression]显示指定电源监控模块的电子标签信息displaydevicemanuinfopower-monitorpmu-id[|{begin|exclude|include}regular-expression]显示设备的温度信息displayenvironment[slotslot-number][|{begin|exclude|include}regular-expression]显示设备风扇的工作状态displayfan[fan-id][|{begin|exclude|include}regular-expression]查看硬件故障检测和修复信息displayhardware-failure-detection[|{begin|exclude|include}regular-expression]显示设备的内存使用状态displaymemory[slotslot-number[cpucpu-numberbegin|exclude|include}regular-expression]显示设备的电源状态displaypower-supply[verbose][|{begin|exclude|include}regular-expression]查看定时执行功能的具体配置(针对schedulejob配置方式)displayschedulejob[|{begin|exclude|include}regular-expression]显示设备的重启时间displayschedulereboot[|{begin|exclude|include}regular-expression]显示当前主备板的负载模式displayxbar[|{begin|exclude|include}regular-expression]显示系统的工作模式displaysystemworkingmode[|{begin|exclude|include}regular-expression]显示主用主控板和备用主控板系统异常时的处理方式displaysystem-failure[|{begin|exclude|include}regular-expression]查看定时执行功能的具体配置(针对job配置方式)displayjob[job-name][|{begin|exclude|include}regular-expression]
看到群里网友们在讨论由于不清楚的原因,有同学的网站无法访问。他的网站是没有用HTTPS的,直接访问他的HTTP是无法访问的,通过PING测试可以看到解析地址已经比较乱,应该是所谓的DNS污染。其中有网友提到采用HTTPS加密证书试试。因为HTTP和HTTPS走的不是一个端口,之前有网友这样测试过是可以缓解这样的问题。这样通过将网站绑定设置HTTPS之后,是可以打开的,看来网站的80端口出现问题,而...
最近上洛杉矶机房联通CUVIP线路主机的商家越来越多了,HostKvm也发来了新节点上线的邮件,适用全场8折优惠码,基于KVM架构,优惠后最低月付5.2美元起。HostKvm是一家成立于2013年的国人主机商,提供基于KVM架构的VPS主机,可选数据中心包括日本、新加坡、韩国、美国、中国香港等多个地区机房,君选择国内直连或优化线路,延迟较低,适合建站或者远程办公等。以洛杉矶CUVIP线路主机为例,...
物语云计算怎么样?物语云计算(MonogatariCloud)是一家成立于2016年的老牌国人商家,主营国内游戏高防独服业务,拥有多家机房资源,产品质量过硬,颇有一定口碑。本次带来的是特惠活动为美国洛杉矶Cera机房的不限流量大带宽VPS,去程直连回程4837,支持免费安装Windows系统。值得注意的是,物语云采用的虚拟化技术为Hyper-v,因此并不会超售超开。一、物语云官网点击此处进入物语云...
如何架设ftp服务器为你推荐
刷网站权重如何刷流量才能提高网站权重支付宝查询余额怎样查支付宝余额最新qq空间代码QQ空间代码spgnuxPC操作系统如何描述依赖注入依赖注入到底是为了解决什么问题的1433端口怎么去看1433端口奇虎论坛奇虎论坛最新推荐歌曲列表·免费免费建站可以不用钱免费做一个网站吗lockdowndios8.1能用gpp3to2吗?型号A1429安全漏洞什么是安全漏洞攻击??
北京租服务器 site5 主机点评 128m内存 香港机房托管 谷歌香港 ev证书 一点优惠网 长沙服务器 美国十次啦服务器 Updog 彩虹云 smtp虚拟服务器 便宜空间 美国凤凰城 lamp什么意思 杭州电信宽带优惠 测试网速命令 hostease rewritecond 更多