- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-基础配置操作
本章节下载 (1.72 MB)
目 录
7.2.7 使用FTP升级Comware应用程序典型配置举例1
7.2.8 使用FTP升级Comware应用程序典型配置举例2
12.2.8 配置设备在某一特定的时间访问BIMS中心以及访问的周期
14.4.3 为Telnet Server指定源接口或IP地址
H3C MSR 50-06路由器是H3C公司面向企业用户开发的新一代专业路由器设备,可以作为企业的汇聚及接入设备。
MSR 50-06提供4个10/100/1000M自适应以太网接口(其中两个千兆以太网接口支持光/电可选,另外两个千兆以太网接口只支持电口),具有较高的转发能力,可以满足企业核心千兆组网的需求。
H3C MSR 50-06路由器提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由。
H3C MSR 50-06路由器支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、动态VPN等等,可以针对客户需求通过拨号、租用线路、VLAN或隧道等方式接入远端用户,构建Intranet、Extranet、Access等多种形式的VPN。
H3C MSR 50-06路由器支持丰富的QoS特性,提供流分类、流量监管、流量整形及多种队列调度策略。
H3C MSR 50-06路由器支持包过滤、AAA、NAT、QoS等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。
表1-1 H3C MSR 50-06路由器功能特性列表
|
属性 |
说明 |
|
|
网络互连 |
局域网协议 |
Ethernet_II Ethernet_SNAP VLAN |
|
链路层协议 |
PPP PPPoE |
|
|
网络协议 |
IP服务 |
ARP 静态域名解析 IP地址借用 DHCP中继 DHCP服务器 DHCP客户端 |
|
IP路由 |
l 静态路由管理 l 动态路由协议 RIP-1/RIP-2 OSPF BGP l 路由策略 l 策略路由 |
|
|
VPN |
L2TP VPN |
可以根据VPN用户完整用户名、用户域名向指定LNS发起连接 可以为VPN用户分配地址 可以进行LCP重协商和二次CHAP验证 |
|
IPSec/IKE |
支持AH、ESP协议 支持手工或通过IKE自动建立安全联盟 ESP支持DES、3DES、AES三种加密算法 支持MD5及SHA-1验证算法 支持IKE主模式及野蛮模式 支持NAT穿越 |
|
|
GRE VPN |
采用了虚拟的点对点的Tunnel(隧道)技术,在一个Tunnel的两端分别对数据报进行封装及解封装。 |
|
|
DVPN |
提供GRE、UDP两种隧道 支持client端接入认证及节点间的加密认证 支持依赖动态IP地址构建VPN 同一个节点可以属于不同的VPN域 支持多个VPN域 支持NAT穿越 DVPN隧道可以承载IPSec加密 通过动态建立隧道节省Server带宽 |
|
|
网络安全性 |
验证、授权和计帐(AAA)服务 |
l RADIUS l HWTACACS l CHAP验证 l PAP验证 |
|
防火墙 |
l 包过滤 基于接口的访问控制列表 基于时间段的访问控制列表 l 防火墙 包过滤防火墙 状态防火墙 MAC地址绑定 攻击防范 流量监控 |
|
|
数据安全 |
l 支持终端访问安全 l IPSec l IKE |
|
|
NAT |
l 支持局域网内用户使用地址池中的IP地址访问外部网络 l 支持将访问控制列表与地址池的关联 l 支持将访问控制列表与接口的关联 l 支持外部网络主机访问内部的服务器 l 可配置支持地址转换的有效时间 l 支持多种ALG(Application Layer Gateway,应用层网关) |
|
|
网络可靠性 |
VRRP |
确保在通信线路或设备故障时提供备用方案,从而保障数据通信的畅通,有效增强了网络的强壮性和可靠性 |
|
服务质量保证(QoS) |
流量监管 |
Traffic Policing |
|
拥塞管理 |
FIFO、PQ、CQ、WFQ、CBQ/LLQ、RTPQ |
|
|
拥塞避免 |
RED及WRED |
|
|
流量整形 |
TS |
|
|
接口速率限制 |
LR |
|
|
配置管理 |
命令行接口 |
通过Console口进行本地配置 通过AUX口进行远程配置 通过Telnet或SSH进行本地或远程配置 配置命令分级保护,确保未授权用户无法配置设备 提供全中文的提示和帮助信息 详尽的调试信息,帮助诊断网络故障 提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常 用Telnet命令直接登录并管理其它网络设备 FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序 支持TFTP上传下载文件 支持日志功能 文件系统管理 User-interface配置,提供对登录用户多种方式的认证和授权功能 |
|
支持标准网管SNMPV3,并且兼容SNMP V2C、SNMP V1 支持BIMS 支持VPN Manager 支持NTP时间同步 |
||
系统支持用户进行本地与远程配置,`搭建配置环境可通过以下几种方法实现:
第一步:建立本地配置环境,只需将计算机(或终端)的串口通过标准RS-232电缆与路由器的Console口连接,如图2-1所示。
图2-1 通过Console口搭建本地配置环境
第二步:在计算机上运行终端仿真程序(如Windows 9X / Windows XP / Windows 2000的超级终端等),设置终端通信参数为9600bps、8位数据位、1位停止位、无奇偶校验和无流量控制,并选择终端类型为VT100,如图2-2至图2-4所示。
第三步:路由器上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符(如<H3C>)。
第四步:键入命令,配置路由器或查看路由器运行状态,如需要帮助可以随时键入“?”,关于具体的命令请参考以后各章节。
如果不是路由器第一次上电,而且用户已经正确配置了路由器各接口的IP地址,并配置了正确的登录验证方式和访问控制规则,在配置终端与路由器之间有可达路由前提下,可以用Telnet通过局域网或广域网登录到路由器,然后对路由器进行配置。
第一步:如图2-5所示,建立本地配置环境,只需将计算机以太网口通过局域网与路由器的以太网口连接;如果建立远程配置环境,如图2-6所示,需要将计算机和路由器通过广域网连接。
第二步:在计算机上运行Telnet程序,如图2-7所示。
图2-7 运行Telnet程序并与路由器建立Telnet连接
& 说明:
不同操作系统的Telnet连接界面可能不同,上图仅作为参考示例。
第三步:与路由器建立连接,认证通过后出现命令行提示符(如<H3C>),如果出现“All user interfaces are used, please try later!”的提示,说明系统能够允许的Telnet用户已经达到上限,请待其他用户释放以后再连接。
第四步:键入命令,配置路由器或查看路由器运行状态,如需要帮助可以随时键入“?”,关于具体的命令请参考以后各章节。
& 说明:
通过Telnet配置路由器时,请不要轻易改变路由器的IP地址(由于修改可能会导致Telnet连接断开)。如有必要修改,须输入路由器的新IP地址,重新建立连接。
通过Modem拨号与路由器的AUX口连接搭建配置环境,如图2-8所示,需要在计算机串口和路由器的AUX口分别挂接Modem。
第一步:AUX接口外接Modem。
第二步:在远端通过终端仿真程序(如Windows9X的Hyperterm(超级终端))向路由器拨号,与路由器建立连接。在终端仿真程序中选择实际连接时使用的PC的RS-232串口,设置终端通信参数为9600波特率、8位数据位、1位停止位、无奇偶校验、无流量控制或硬件流量控制,并选择终端仿真类型为VT100——与通过Console口建立连接相同。如图2-9、图2-10所示。
第三步:正确输入用户名和密码后,在远端的终端仿真程序上看到命令行提示符(如<H3C>)后,即可对路由器进行配置或管理。
SSH是Secure Shell(安全外壳)的简称,用户通过一个不能保证安全的网络环境远程登录到H3C MSR 50-06路由器时,SSH特性可以提供安全的信息保障和强大的认证功能,以保护路由器不受诸如IP地址欺诈、明文密码截取等攻击。路由器可以同时接受多个SSH客户的连接。SSH客户端允许用户与支持SSH Server的路由器、UNIX主机等建立SSH连接。搭建配置环境的方法和Telnet方式相似。
第一步:建立本地配置环境,只需将计算机以太网口通过局域网与路由器的以太网口连接,也可以通过HUB或以太网交换机实现网络层互通;如果建立远程配置环境,需要将计算机和路由器通过广域网连接。
第二步:在路由器上配置SSH参数,请参见第14章 终端服务。
第三步:在计算机上运行SSH客户端程序,并配置参数,包括远端路由器IP地址、SSH版本、RSA私钥文件等,然后与路由器建立连接后即可进行配置。
系统向用户提供一系列配置命令以及命令行接口,用户通过该接口可以配置和管理路由器。命令行接口有如下特性:
l 通过AUX口进行本地或远程配置。
l 通过Console口进行本地配置。
l 通过Telnet、SSH进行本地或远程配置。
l 提供User-interface视图,管理各种终端用户的特定配置。
l 命令分级保护,不同级别的用户只能执行相应级别的命令。
l 通过本地、password、AAA三种验证方式,确保未授权用户无法侵入路由器,保证系统的安全。
l 用户可以随时键入“?”而获得在线帮助。
l 提供网络测试命令,如tracert、ping等,迅速诊断网络是否正常。
l 提供种类丰富、内容详尽的调试信息,帮助诊断网络故障。
l 用telnet命令直接登录并管理其它设备。
l 提供FTP、TFTP服务,方便用户上传、下载文件。
l 提供保存并执行历史命令的功能。
l 命令行解释器提供不完全匹配和上下文关联等多种智能命令解析方法,最大可能地方便用户的输入。
系统命令行采用分级保护方式,命令行划分为参观级、监控级、系统级、管理级4个级别,简介如下:
l 参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(如Telnet客户端)等,该级别命令不允许进行配置文件保存的操作。
l 监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作。
l 系统级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提供直接网络服务。
l 管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规定、非RFC规定)等。
同时对登录用户划分等级,分为4级,分别与命令级别对应,即不同级别的用户登录后,只能使用等于或低于自己级别的命令。
为了防止未授权用户的非法侵入,在从低级别用户切换到高级别用户时,要进行用户身份验证,即需要输入高级别用户口令(如果用户设置了super password [ level user-level ] { simple | cipher } text)。为了保密,用户键入的口令在屏幕上不作显示,如果三次以内输入正确的口令,则切换到高级别用户,否则保持原用户级别不变。
各命令视图是针对不同的配置要求实现的,它们之间有联系又有区别,比如,与路由器建立连接即进入用户视图,它只完成查看运行状态和统计信息的简单功能,再键入system-view进入系统视图,在系统视图下,键入不同的配置命令进入相应的协议、接口等视图。
命令行提供多种命令视图,以下只列出其中的部分视图:
l 用户视图
l 系统视图
l 路由协议视图,包括OSPF协议视图、RIP协议视图、BGP协议视图等。
l 接口视图,包括千兆以太网接口(GE)视图、以太网子接口视图、虚拟模板接口视图、Dialer接口视图、Loopback接口视图、Null接口视图、Tunnel接口视图等。
l 用户界面视图
l L2TP组视图
l 路由策略视图
各命令视图的功能特性、进入各视图的命令等的细则如表2-1所示:
|
命令视图 |
功能 |
提示符 |
进入命令 |
退出命令 |
|
用户视图 |
查看路由器的简单运行状态和统计信息 |
<H3C> |
与路由器建立连接即进入 |
quit断开与路由器连接 |
|
系统视图 |
配置系统参数 |
[H3C] |
在用户视图下键入system-view |
quit返回用户视图 |
|
用户界面视图 |
管理路由器的异步和逻辑接口 |
[H3C-ui0] |
在系统视图下键入user-interface 0 |
quit返回系统视图 |
|
OSPF协议 视图 |
配置OSPF协议参数 |
[H3C-ospf] |
在系统视图下键入ospf |
quit返回系统视图 |
|
RIP协议 视图 |
配置RIP协议参数 |
[H3C-rip] |
在系统视图下键入rip |
quit返回系统视图 |
|
BGP协议 视图 |
配置BGP协议参数 |
[H3C-bgp] |
在系统视图下键入bgp 1 |
quit返回系统视图 |
|
以太网口视图 |
配置以太网口参数 |
[H3C-GigabitEthernet1/0] |
在系统视图下键入Interface gigabitethernet 1/0 |
quit返回系统视图 |
|
子接口视图 |
配置子接口参数 |
[H3C-GigabitEthernet1/0.1] |
在系统视图下键入interface gigabitethernet 1/0.1 |
quit返回系统视图 |
|
AUX口视图 |
配置AUX口参数 |
[H3C-aux0] |
在系统视图下键入 interface aux 0 |
quit返回系统视图 |
|
虚拟模板接口视图 |
配置虚拟模板接口参数 |
[H3C-virtual-template0] |
在系统视图下键入interface virtual-template 0 |
quit返回系统视图 |
|
Loopback接口视图 |
配置Loopback接口参数 |
[H3C-Loopback2] |
在系统视图下键入 interface loopback 2 |
quit返回系统视图 |
|
NULL接口视图 |
配置Null 接口参数 |
[H3C-NULL0] |
在系统视图下键入interface null 0 |
quit返回系统视图 |
|
L2TP组视图 |
配置L2TP组 |
[H3C-l2tp1] |
在系统视图下键入了l2tp-group 1 |
quit返回系统视图 |
|
route-policy视图 |
配置BGP route-policy |
[H3C-route-policy] |
在系统视图下键入route-policy test permit node 10 |
quit返回系统视图 |
& 说明:
命令行提示符以路由器名(缺省为H3C)作前缀,视图名作后缀,括号中表明当前的视图,“<>”表示用户视图,“[ ]”表示系统视图和其它配置视图。
命令行接口提供如下几种在线帮助:
l 完全帮助
l 部分帮助
通过上述各种在线帮助能够获取到帮助信息,分别描述如下:
(1) 在任一命令视图下,键入“?”获取该命令视图下所有的命令及其简单描述。
<H3C> ?
(2) 键入一命令,后接以空格分隔的“?”,如果该位置为关键字,则列出全部关键字及其简单描述。
<H3C> display ?
(3) 键入一命令,后接以空格分隔的“?”,如果该位置为参数,则列出有关的参数描述。
[H3C] interface gigabitethernet ?
<3-3> Slot number
[H3C] interface gigabitethernet 3?
/
[H3C] interface gigabitethernet 3/?
<0-0>
[H3C] interface gigabitethernet 3/0?
.
<cr>
其中<cr>表示该位置无参数,直接键入回车即可执行。
(4) 键入一字符串,其后紧接“?”,列出以该字符串开头的所有命令。
<H3C> d?
debugging
delete
dir
display
(5) 键入一命令,后接一字符串紧接“?”,列出命令以该字符串开头的所有关键字。
<H3C> display h?
history-command hotkey
(6) 输入命令的某个关键字的前几个字母,按下<Tab>键,可以显示出完整的关键字。如果这几个字母不能唯一标示出该关键字,系统依次显示出以这几个字母所开头的命令。
(7) 所有命令的描述信息均可通过执行language-mode chinese命令切换为中文显示。
所有用户键入的命令,如果通过语法检查,则正确执行。否则,向用户报告错误信息,常见错误信息参见表2-2。
|
英文错误信息 |
错误原因 |
|
Unrecognized command |
没有查找到命令 |
|
没有查找到关键字 |
|
|
参数类型错 |
|
|
参数值越界 |
|
|
Incomplete command |
输入命令不完整 |
|
Too many parameters |
输入参数太多 |
|
Ambiguous command |
输入参数不明确 |
命令行接口提供历史命令自动保存功能,用户可以随时调用命令行接口保存的历史命令,并重复执行。在缺省状态下,命令行接口为每个用户最多可以保存10条历史命令。操作如表2-3所示。
|
操作 |
按键 |
结果 |
|
显示历史命令 |
display history-command |
显示用户键入的历史命令 |
|
访问上一条历史命令 |
上光标键或者<Ctrl+P> |
如果还有更早的历史命令,则取出上一条历史命令,否则响铃警告 |
|
访问下一条历史命令 |
下光标键或者<Ctrl+N> |
如果还有更晚的历史命令,则取出下一条历史命令,否则清空命令,响铃警告 |
& 说明:
用光标键对历史命令进行访问,在Windows 3.X的Terminal和Telnet下都是有效的,但对于Windows 9X的超级终端,↑光标键会无效,这是由于Windows 9x的超级终端对这个键作了不同解释所致,这时可以用组合键<Ctrl+P>来代替↑光标键达到同样目的。
命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为256个字符,如表2-4所示。
|
按键 |
功能 |
|
普通按键 |
若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标,否则,响铃告警。 |
|
退格键BackSpace |
删除光标位置的前一个字符,光标前移,若已经到达命令首,则响铃告警。 |
|
左光标键←或<Ctrl+B> |
光标向左移动一个字符位置,若已经到达命令首,则响铃告警。 |
|
右光标键→或<Ctrl+F> |
光标向右移动一个字符位置,若已经到达命令尾,则响铃告警。 |
|
Tab键 |
输入不完整的关键字后按下Tab键,系统自动执行部分帮助:如果与之匹配的关键字唯一,则系统用此完整的关键字替代原输入并换行显示;对于命令字的参数、不匹配或者匹配的关键字不唯一的情况,系统不作任何修改,重新换行显示原输入。 |
命令行接口提供了如下的显示特性:
H3C MSR 50-06路由器的帮助信息可以查看英文,也可以查看中文,用户可以在中英文之间切换。
请在用户视图使用下面的操作。
|
操作 |
命令 |
|
切换为英文模式 |
language-mode english |
|
切换为中文模式 |
language-mode chinese |
在一次显示信息超过一屏时,提供了暂停功能,这时用户可以有三种选择,如表2-6所示。
|
按键或命令 |
功能 |
|
暂停显示时键入<Ctrl+C> |
停止显示和命令执行 |
|
暂停显示时键入空格键 |
继续显示下一屏信息 |
|
暂停显示时键入回车键 |
继续显示下一行信息 |
系统提供了大量的display命令,用于显示系统状态信息。在输出显示信息时,可以在命令中加入“|”对输出的信息进行筛选,有3个可选项,如下:
l begin text:从匹配text的行开始显示。
l exclude text:显示不包含text的行。
l include text:显示包含text的行。
例如:输入命令display current-configuration | include ip,将显示包含ip的行的配置信息。
正则表达式是一种可用于模式匹配和替换的工具,它的功能强大,使用也很灵活。在实际应用中,正则表达式已经超出了某种语言或某个系统的局限,成为人们广为接受的概念和功能。
在使用正则表达式时,用户需要根据一定的规则构建匹配模式,然后将匹配模式与目标对象进行匹配。最简单的正则表达式不包含任何元字符,例如,可以规定一个正则表达式hello,它只匹配字符串“hello”。
为帮助用户灵活地构建匹配模式,正则表达式提供了一些具有特殊含义的专用字符,也称为“元字符”(metacharacter),用来规定其它字符在目标对象中的出现模式。下表是对元字符的使用描述。
|
元字符 |
含义 |
|
\ |
转义字符 |
|
. |
匹配除“\n”之外任何单个字符,包括空格 |
|
* |
之前的字符在目标对象中出现0次或连续多次 |
|
+ |
之前的字符在目标对象中出现1次或连续多次 |
|
| |
竖线左边和右边的字符为“或”的关系 |
|
^ |
之后的字符必须出现在目标对象的开始 |
|
$ |
之前的字符必须出现在目标对象的结束 |
|
[xyz] |
匹配方括号内列出的任意字符 |
|
[^xyz] |
匹配除了方括号内列出的字符外的任意字符(^号在字符前) |
|
[a-z] |
匹配指定范围内的任意字符 |
|
[^a-z] |
匹配不在指定范围内的任意字符 |
|
{n} |
n是一个非负整数,表示一次可以匹配连续出现n次的字符 |
|
{n,} |
n是一个非负整数,表示一次可以匹配连续出现的至少n次的字符 |
|
{n,m} |
m和n均为非负整数,n<=m。匹配连续出现的次数为n~m次。使用时注意,逗号与n和m之间不能有空格 |
例如:
^ip:匹配以字符串“ip”开始的目标对象。
ip$:匹配以字符串“ip”结束的目标对象。
当有大量信息输出时,可以通过正则表达式来选择需要显示的内容,过滤掉不关心的内容。
(1) 在命令中指定过滤方式
进行过滤输出时,有三种类型的过滤可供选择,在支持正则表达式的命令中,这三种选择的表达方式为| { begin | exclude | include } regular-expression:
l begin:输出以匹配指定正则表达式的行开始的所有行。
l exclude:输出不匹配指定正则表达式的所有行。
l include:只输出匹配指定正则表达式的所有行。
(2) 在分屏显示时指定过滤方式
当输出的内容非常多,并采用分屏显示时,可以在分屏提示符“---- More ----”中指定过滤类型:
l /regular-expression:输出以匹配指定正则表达式的行开始的所有行。
l -regular-expression:输出不匹配指定正则表达式的所有行。
l +regular-expression:只输出匹配指定正则表达式的所有行。
例如:查看当前配置信息
<H3C> display current-configuration
#
sysname H3C
#
interface GigabitEthernet1/0
description Don't change the configuration please
ip address 10.110.98.137 255.255.255.0
#
interface GigabitEthernet2/0
#
interface GigabitEthernet3/0
#
interface NULL0
当出现分屏提示符“---- More ----”时,用户可以手工输入正则表达式,对待显示的内容进行过滤,在本例中,指定只输出含有字符串“interface”的行:
---- More ----
+interface 由用户手工输入
filtering
interface LoopBack0
user-interface con 0
user-interface vty 0 14
<H3C>
系统中的快捷键可以分成两类。
一类是提供给用户的、可以自由定义的快捷键,共有5个。其中包括:CTRL_G、CTRL_L、CTRL_O、CTRL_T、CTRL_U。用户可以根据自己的需要将这5个快捷键与任意命令进行关联,当键入快捷键时,系统将自动执行它所对应的命令。
另一类我们称其为系统快捷键,是系统中固定的。这种快捷键不能由用户自由定义,他们代表固定的功能。系统主要包括的快捷键如下表。
|
按键或命令 |
功能 |
|
CTRL_A |
将光标移动到当前行的开头 |
|
CTRL_B |
将光标向左移动一个字符 |
|
CTRL_C |
停止当前正在执行的功能 |
|
CTRL_D |
删除当前光标所在位置的字符 |
|
CTRL_E |
将光标移动到当前行的末尾 |
|
CTRL_F |
将光标向右移动一个字符 |
|
CTRL_H |
删除光标左侧的一个字符 |
|
CTRL_K |
终止呼出的连接 |
|
CTRL_N |
显示历史命令缓冲区中的后一条命令 |
|
CTRL_P |
显示历史命令缓冲区中的前一条命令 |
|
CTRL_R |
重新显示当前行信息 |
|
CTRL_W |
删除光标左侧的单词 |
|
CTRL_X |
删除光标左侧所有的字符 |
|
CTRL_Y |
删除光标右侧所有的字符 |
|
CTRL_Z |
返回到用户视图 |
|
CTRL_ ] |
终止呼入的连接或重定向连接 |
|
ESC_B |
将光标向左移动一个单词 |
|
ESC_D |
删除光标右侧的单词 |
|
ESC_F |
将光标向右移动一个单词 |
|
ESC_< |
将光标所在位置指定为剪贴板的开始位置 |
|
ESC_> |
将光标所在位置指定为剪贴板的结束位置 |
l 在任何允许输入命令的地方都可以键入快捷键,系统执行时,会将该快捷键对应的命令显示在屏幕上,如同输入了完整的命令一样。
l 如果用户已经输入了命令的一部分,但是还没有键入回车以确认,此时键入快捷键将会把以前输入的字符全部清空,并将该快捷键对应的命令显示在屏幕上,效果与用户删除所有的输入,然后重新敲入完整的命令一样。
l 快捷键的执行与命令一样,也会将命令原形记录在命令缓冲区和日志中以备问题定位和查询。
& 说明:
快捷键的功能可能受用户所用的终端影响,例如用户终端本身自定义的快捷键与路由器系统中的快捷键功能发生冲突,此时如果用户键入快捷键将会被终端程序截获而不能执行它所对应的命令行。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
定义快捷键 |
hotkey { CTRL_G | CTRL_L | CTRL_O | CTRL_T | CTRL_U } command_text |
|
恢复系统的默认值 |
undo hotkey { CTRL_G | CTRL_L | CTRL_O | CTRL_T | CTRL_U } |
缺省情况下,系统给CTRL_G、CTRL_L、CTRL_O三个快捷键指定了默认值,其它快捷键默认值为空。分别为:
CTRL_G对应命令display current-configuration(显示当前配置);
CTRL_L对应命令display ip routing-table(显示路由表信息);
CTRL_O对应命令undo debugging all(停止所有调试信息的输出)。
请在任意视图下进行下列配置。
|
操作 |
命令 |
|
显示快捷键的使用情况 |
display hotkey |
# 定义快捷键CTRL_U,与命令display ip routing-table进行关联,并执行。
[H3C] hotkey ctrl_u display ip routing-table
在提示符[H3C]下键入快捷键<Ctrl+U>即显示。
[H3C] display ip routing-table
Routing Table: public net
Destination/Mask Proto Pre Cost Nexthop Interface
127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
通过配置命令行别名,可以满足用户将Comware的常用命令替换为自己惯用命令形式的要求。对命令行别名需求,在用户使用中有以下约定:
(1) 当查看历史命令信息、当前配置信息以及保存配置信息时,用户输入的带别名的命令将以系统原始的命令形式被显示或存储,而不会以别名的形式。即用户的别名命令可以使用,但不会参与配置恢复。
(2) 在用户启动别名功能的情况下,当用户输入不完整关键字,且该关键字与用户已匹配的别名以及现有某关键字同时部分匹配时,以别名替换优先。用户想输入现有关键字对应的命令需要完整输入该关键字。如果用户输入的字符串与多个所设置的别名部分匹配,则输出歧义匹配信息。
(3) 当用户对别名关键字使用Tab键时,若该别名不存在岐义别名将联想出所对应的原始关键字。
(4) 不支持对整个命令行的替换。只支持对第一关键字的别名设置,以及undo命令的第二关键字的别名替换。
请在系统视图下配置下面命令。
|
操作 |
命令 |
|
使能命令行别名功能 |
command-alias enable |
|
关闭命令行别名功能 |
undo command-alias enable |
缺省情况下,命令行别名功能是被关闭的。
请在系统视图下配置下面命令。
|
操作 |
命令 |
|
配置用户指定的命令行别名 |
command-alias mapping cmdkey alias |
|
取消用户设置的别名 |
undo command-alias mapping alias |
缺省情况下,没有配置命令行别名。
在任意视图下均可配置下面命令。
|
操作 |
命令 |
|
显示当前用户设置别名的情况 |
display command-alias |
在从Console口登录到路由器后,即进入用户视图,此时屏幕显示的提示符是:<H3C>。进入和退出系统视图,可以使用如下的操作。
|
操作 |
命令 |
|
从用户视图进入系统视图 |
system-view |
|
从系统视图返回到用户视图 |
quit |
|
从任意的非用户视图返回到用户视图 |
return |
命令quit的功能是返回上一层视图,在用户视图下执行quit命令就会退出系统。return命令的功能也可以用组合键<Ctrl+Z>完成。
路由器名出现在命令提示符中,用户可以根据需要更改路由器名。
请在系统视图下进行下面的操作。
|
操作 |
命令 |
|
设置路由器名 |
sysname sysname |
为了保证与其他设备协调工作,需要准确设置系统的时间。
请在用户视图下进行下面的操作。
|
操作 |
命令 |
|
设置标准时间 |
clock datetime time date |
|
设置所在的时区 |
clock timezone time-zone-name { add | minus } time |
|
取消时区设置 |
undo clock timezone |
|
设置采用夏时制 |
clock summer-time summer-time-zone-name { one-off | repeating } start-time start-date end-time end-date add-time |
|
取消夏时制 |
undo clock summer-time |
提示信息是用户在连接到路由器、进行登录验证以及开始交互配置时系统显示的一段提示信息。
请在系统视图下进行下面的操作。
表3-4 设置提示信息
|
操作 |
命令 |
|
设置登录终端用户界面时的提示信息 |
header incoming text |
|
设置登录验证时的提示信息 |
header login text |
|
设置进入用户视图时的提示信息 |
header shell text |
|
取消设置的提示信息 |
undo header { incoming | login | shell } |
如果用户以较低级别的身份登录到路由器后,需要切换到较高级别的用户身份上进行操作,需要输入用户级别的口令。该口令需要事先配置。
请在系统视图下进行如下操作。
|
操作 |
命令 |
|
配置切换用户级别的口令 |
super password [ level user-level ] { simple | cipher } password |
|
取消配置的口令 |
undo super password [ level user-level ] |
缺省情况下,若不指定级别,则设置的为切换到3级的密码。
要从较低级别用户切换到较高级别的用户,需要输入正确的口令。
请在用户视图下进行如下操作。
|
操作 |
命令 |
|
切换用户级别 |
super [ level ] |
缺省情况下,若不指定级别,则切换到3级。
在用户需要暂时离开操作终端时,为防止未授权的用户操作该终端界面,可以锁定用户界面,锁定用户界面时,需要输入口令并确认口令。在解除锁定时,只有输入正确的口令才能操作用户界面。
请在用户视图下进行下列操作。
|
操作 |
命令 |
|
锁定用户界面 |
lock |
所有命令分为参观(Visit)、监控(Monitor)、系统(System)、管理(Manage)4个级别,级别标识为0~3。系统管理员可以根据需要指定命令的级别及其所在视图。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置视图中命令的优先级 |
command-privilege level level view view command-key |
|
恢复命令的缺省优先级 |
undo command-privilege view view command-key |
|
级别 |
名称 |
命令 |
|
0 |
参观 |
ping、tracert、telnet |
|
1 |
监控 |
display、debugging |
|
2 |
配置 |
所有配置命令(管理级的命令除外) |
|
3 |
管理 |
文件系统命令、FTP命令、TFTP命令、XMODEM命令 |
& 说明:
所有的命令都有默认的视图和优先级,一般不需要用户进行重新设置。
利用display命令可以收集系统状态信息,根据功能可以划分为以下几类:
l 显示系统配置信息的命令
l 显示系统运行状态的命令
l 显示系统统计信息的命令
有关各协议和各种接口的display命令请参见相关章节。下面只介绍一些有关系统的display命令。
请在任意视图下进行下列操作。
|
操作 |
命令 |
|
显示系统版本信息 |
display version |
|
显示详细的软件版本信息 |
vrbd |
|
显示系统时钟 |
display clock |
|
显示终端用户 |
display users [ all ] |
|
显示起始配置信息 |
display saved-configuration |
|
显示当前配置信息 |
display current-configuration |
|
显示调试开关状态 |
display debugging [ interface interface-type interface-number ] [ module-name ] |
|
显示当前视图的运行配置 |
display this |
|
显示技术支持信息 |
display diagnostic-information |
|
显示剪贴板的内容 |
display clipboard |
|
显示当前系统内存使用情况 |
display memory [ limit ] |
|
显示CPU占用率的统计信息 |
display cpu-usage [ configuration | number [ offset ] [ verbose ] [ from-device ] ] |
|
设置CPU占用率统计的周期 |
cpu-usage cycle { 5sec | 1min | 5min | 72min } |
|
以图形方式显示CPU占用率统计历史信息 |
display cpu-usage history [ task task-id ] |
在系统出现故障或日常维护时,为了便于问题定位,需要收集很多的信息,但相应的display命令很多,很难一次把信息收集全,这时可以使用display diagnostic-information命令进行系统当前各个模块的运行信息收集。
display diagnostic-information命令一次性收集了配置如下命令后终端显示的信息,包括:display clock、display version、vrbd、display current-configuration、display saved-configuration、display interface、display ip interface、display ip statistics、display logbuffer等等。
ping主要用于检查网络连接及主机是否可达。
请在任意视图下进行操作。
|
操作 |
命令 |
|
支持IP协议ping |
ping [ -a X.X.X.X ] [ -c count ] [ -d ][ -f ] [ -h ttl_value ] [ -i interface-type interface-number ][ ip ] [ -n ] [ -p pattern ] [ -q ] [ -r ][ -s packetsize ] [ -t timeout ] [ -tos][ -v ] host |
各选项及参数意义详见命令手册ping命令章节。
命令执行结果输出包括:
l 对每个ping报文的响应情况,如果在超时时间到后仍没有收到响应报文,则输出“Request time out”,否则显示响应报文中数据字节数、报文序号、TTL和响应时间等。
l 最后的统计信息,包括发送报文数、接收报文数、未响应报文百分比和响应时间的最小、平均和最大值。
<H3C> ping 202.38.160.244
PING 202.38.160.244 : 56 data bytes, press CTRL_C to break
Reply from 202.38.160.244 : bytes=56 Sequence=1 ttl=255 time = 1ms
Reply from 202.38.160.244 : bytes=56 Sequence=2 ttl=255 time = 2ms
Reply from 202.38.160.244 : bytes=56 Sequence=3 ttl=255 time = 1ms
Reply from 202.38.160.244 : bytes=56 Sequence=4 ttl=255 time = 3ms
Reply from 202.38.160.244 : bytes=56 Sequ ence=5 ttl=255 time = 2ms
--202.38.160.244 ping statistics--
5 packets transmitted
5 packets received
0.00% packet loss
round-trip min/avg/max = 1/2/3 ms
tracert用于测试数据包从发送主机到目的地所经过的网关,它主要用于检查网络连接是否可达,以及分析网络什么地方发生了故障。
tracert的执行过程是:首先发送一个TTL为1的数据包,因此第一跳发送回一个ICMP错误消息以指明此数据包不能被发送(因为TTL超时),之后此数据包被重新发送,TTL为2,同样第二跳返回TTL超时,这个过程不断进行,直到到达目的地。执行这些过程的目的是记录每一个ICMP TTL超时消息的源地址,以提供一个IP数据包到达目的地所经历的路径。
请在任何视图下进行下列操作。
|
操作 |
命令 |
|
测试数据包从发送主机到目的地所经过的网关 |
tracert [-a X.X.X.X ] [ -f first_TTL ] [ -m max_TTL ] [-p port ] [ -q nqueries ] [ -w timeout ] * host |
该命令各选项及参数意义详见命令手册tracert命令章节。
下面是应用tracert分析网络情况的例子。
例1:
<H3C> tracert 35.1.1.48
traceroute to nis.nsf.net(35.1.1.48) 30 hops max,40 bytes packet
press CTRL_C to break
1 helios.ee.lbl.gov (128.3.112.1) 19 ms 19 ms 0 ms
2 lilac-dmc.Berkeley.EDU (128.32.216.1) 39 ms 39 ms 19 ms
3 ccngw-ner-cc.Berkeley.EDU (128.32.136.23) 39 ms 40 ms 39 ms
4 ccn-nerif22.Berkeley.EDU (128.32.168.22) 39 ms 39 ms 39 ms
5 128.32.197.4 (128.32.197.4) 40 ms 59 ms 59 ms
6 131.119.2.5 (131.119.2.5) 59 ms 59 ms 59 ms
7 129.140.70.13 (129.140.70.13) 99 ms 99 ms 80 ms
8 129.140.71.6 (129.140.71.6) 139 ms 239 ms 319 ms
9 129.140.81.7 (129.140.81.7) 220 ms 199 ms 199 ms
10 nic.merit.edu (35.1.1.48) 239 ms 239 ms 239 ms
从上面结果可以看出,从源主机到目的地都经过了哪些网关,这对于网络分析是非常有用的。
例2:
<H3C> tracert 18.26.0.115
traceroute to allspice.lcs.mit.edu(18.26.0.115) 30 hops max,40 bytes packet
press CTRL_C to break
1 helios.ee.lbl.gov (128.3.112.1) 0 ms 0 ms 0 ms
2 lilac-dmc.Berkeley.EDU (128.32.216.1) 19 ms 19 ms 19 ms
3 lilac-dmc.Berkeley.EDU (128.32.216.1) 39 ms 19 ms 19 ms
4 ccngw-ner-cc.Berkeley.EDU (128.32.136.23) 19 ms 39 ms 39 ms
5 ccn-nerif22.Berkeley.EDU (128.32.168.22) 20 ms 39 ms 39 ms
6 128.32.197.4 (128.32.197.4) 59 ms 119 ms 39 ms
7 131.119.2.5 (131.119.2.5) 59 ms 59 ms 39 ms
8 129.140.70.13 (129.140.70.13) 80 ms 79 ms 99 ms
9 129.140.71.6 (129.140.71.6) 139 ms 139 ms 159 ms
10 129.140.81.7 (129.140.81.7) 199 ms 180 ms 300 ms
11 129.140.72.17 (129.140.72.17) 300 ms 239 ms 239 ms
12 * * *
13 128.121.54.72 (128.121.54.72) 259 ms 499 ms 279 ms
14 * * *
15 * * *
16 * * *
17 * * *
18 ALLSPICE.LCS.MIT.EDU (18.26.0.115) 339 ms 279 ms 279 ms
从上述结果中可以看出,从源主机到目的主机经过了哪些网关,以及哪些网关出现了故障。
系统的命令行接口提供了种类丰富的调试功能,对于路由器所支持的各种协议和功能,基本上都提供了相应的调试功能,帮助用户对错误进行诊断和定位。
调试信息的输出可以由两个开关控制:
l 协议调试开关,控制是否输出某协议的调试信息。
l 屏幕输出开关,控制是否在某个用户屏幕上输出调试信息。
二者关系如下图所示。
协议调试开关由debugging控制,请在用户视图下进行下列配置。
|
操作 |
命令 |
|
打开协议调试开关 |
debugging { all | module-name [ debug-option1 ] [ debug-option2 ] …} |
|
关闭协议调试开关 |
undo debugging { all | module-name [ debug-option1 ] [ debug-option2 ] … } |
|
显示已经打开的调试开关 |
display debugging [ interface interface-type interface-number ] [ module-name ] |
具体调试命令的使用和调试信息的格式介绍,参见相关章节。
屏幕输出开关由信息中心控制,详细说明参见下节。
在路由器运行过程中,由于系统文件升级等原因,需要重启路由器。这时,您可以对路由器下电再上电,也可以使用reboot命令。
请在用户视图下进行下列配置。
|
操作 |
命令 |
|
直接重新启动路由器 |
reboot |
注意:
一般情况下,不要轻易使用该命令,因为它将导致网络工作在短时间内瘫痪,另外在重启路由器时,要确认是否需要保存当前路由器的配置文件。
信息中心是路由器主体软件中不可或缺的一部分,它作为路由器的信息枢纽而存在。信息中心接管大多数的信息输出,并能进行细致的分类,从而能够有效地进行信息筛选。它通过与Debug程序的结合,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。
系统的信息中心具有以下一些特性:
l 信息中心共有三类信息:log类(日志类信息)、trap类(告警类信息)、debug类(调试类信息)。
l 信息按重要性划分为八种等级,可按等级进行信息过滤。
l 系统支持十个通道,其中前六个通道(通道0~通道5)有缺省通道名,并且这六个通道缺省的与六个输出方向相关联,可以通过命令改变通道名,也可以改变通道与输出方向之间的关联。
l 支持控制台(console)、Telnet终端和配置终端(monitor)、日志缓冲区(logbuffer)、日志主机(loghost)、告警缓冲区(trapbuffer)、SNMP 6个方向的信息输出。
l 系统由众多的协议模块、单板驱动程序、配置模块构成,信息可按来源模块进行划分,可按模块进行信息过滤。
l 信息在输出时可以进行中英文选择。
l 每个信息的头部由固定的部分组成,包括时间戳、信息来源的模块、信息级别、信息来源的槽号、信息摘要等。
总之,信息中心的主要工作就是将各种模块的三种类型的信息,按照八种重要程度,根据用户的设置输出到十个信息通道中去,然后,将这十个信息通道再定位到六个输出方向上去。
请在系统视图下进行下列配置。
表4-5 开启/关闭信息中心功能
|
操作 |
命令 |
|
开启信息中心 |
info-center enable |
|
关闭信息中心 |
undo info-center enable |
& 说明:
信息中心缺省情况下处于开启状态。在信息中心开启时,特别是在处理信息较多时,由于信息分类、输出的原因,对系统性能有一定的影响。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
将编号为channel-number的信息通道命名为channel-name |
info-center channel channel-number name channel-name |
channel-number是通道号,取值为0~9,即系统有10个通道。channel-name是通道名,最长为30个字符,不支持“-”、“/”和“\”等字符。
通道0~5系统指定了缺省名,如下表:
|
channel-number(通道号) |
channel-name(通道名) |
|
0 |
console |
|
1 |
monitor |
|
2 |
loghost |
|
3 |
trapbuffer |
|
4 |
logbuffer |
|
5 |
snmpagent |
信息中心按信息的严重等级或紧急程度将其划分为八个等级;在按等级来进行信息过滤时,采用的规则是:禁止严重等级大于所设阈值的信息输出。越紧急的信息报文,其严重等级越小,emergencies表示的等级为1,debugging为8,因此,当设置严重等级阈值为debugging时,所有的信息都会输出。
表4-8 syslog定义的优先级(severity)
|
严重等级 |
描述 |
|
emergencies |
致命错误 |
|
alerts |
需立即纠正的错误 |
|
critical |
关键错误 |
|
errors |
需关注但不关键的错误 |
|
warnings |
警告,可能存在某种差错 |
|
notifications |
需注意的信息 |
|
informational |
一般提示信息 |
|
debugging |
调试信息 |
# 设置将SNMP通道中的IP协议模块的日志类信息打开,且允许严重等级值小于等于warning级别的信息输出。
[H3C] info-center source IP channel snmpagent log level warnings
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
向信息通道中添加记录 |
info-center source { module-name | default } { channel { channel-number | channel-name} } [ log { state { on | off } | level severity }* | trap { state { on | off } | level severity } * | debug { state { on | off } | level severity }* ]* |
|
删除信息通道中的记录 |
undo info-center source { module-name | default } { channel { channel-number | channel-name } |
module-name是模块名。default代表信息通道中的缺省记录。level设置信息级别,禁止信息级别大于所设置的severity的信息输出。severity是信息级别。channel-number是要设置的信息通道号。channel-name是要设置的信息通道名。
对每个信息通道设有一条缺省记录,它的模块名为default,但对于不同信息通道,此记录对日志、告警、调试类信息的缺省设置值可能不同。当某一个模块在此通道中没有明确的配置记录时,使用这条缺省的配置记录。
注意:
同时有多个Telnet用户时,各个用户之间共享一些配置参数,这些参数包括按模块过滤设置,中英文选择,严重等级阈值等,这些设置被某一个用户改变时,在别的用户端也有反映。
目前,路由器主体软件的信息中心可以在6个方向上输出各种信息:
l 通过Console口向本地控制台输出信息。
l 向远程Telnet终端输出信息。此功能有助于远程维护。
l 在路由器内部分配适当大小的日志缓冲区,用于记录信息。
l 配置日志主机,信息中心直接将信息发往日志主机,并在其上以文件的形式保存起来,供随时查看。
l 在路由器内部分配适当大小的告警缓冲区,用于记录信息。
l 向SNMP Agent输出信息。
每个输出方向通过配置命令指定所需要的通道,所有信息经过通道的过滤后,再发送到相应的输出方向;可根据需要,通过配置输出方向所使用的通道以及通道的过滤信息,来完成对各类信息的过滤以及重定向。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
向Console方向输出信息 |
info-center console channel { channel-number | channel-name } |
|
取消向Console方向输出信息 |
undo info-center console channel |
|
向Telnet终端输出信息 |
info-center monitor channel { channel-number | channel-name } |
|
取消向Telnet终端输出信息 |
undo info-center monitor channel |
|
向SNMP输出信息 |
info-center snmp channel { channel-number | channel-name } |
|
取消向SNMP输出信息 |
undo info-center snmp channel |
|
设置向日志缓冲区输出信息的通道和日志缓冲区的大小 |
info-center logbuffer [ channel { channel-number | channel-name } | size buffersize ] * |
|
关闭日志缓冲区或恢复默认值 |
undo info-center logbuffer [ channel | max-size ] |
|
设置向日志主机输出信息的信息通道以及其它参数 |
info-center loghost X.X.X.X [ channel { channel-number | channel-name } | facility local-number | language { chinese | english } ] * |
|
取消向日志主机输出信息 |
undo info-center loghost X.X.X.X |
|
设置发向日志主机的包的源地址 |
info-center loghost source interface-type interface-number |
|
取消发向日志主机的包的源地址的配置 |
undo info-center loghost source |
|
设置向告警缓冲区输出信息的通道和告警缓冲区的大小 |
info-center trapbuffer [ channel { channel-number | channel-name } | max-size buffersize ] * |
|
关闭告警缓冲区或恢复默认值 |
undo info-center trapbuffer [ channel | size ] |
目前,系统缺省设置了6个信息通道,它们是:
输出方向 信息通道号 缺省的信息通道名
控制台 0 console
监视终端 1 monitor
日志主机 2 loghost
告警缓冲区 3 trapbuffer
日志缓冲区 4 logbuffer
snmp 5 snmpagent
& 说明:
六个输出方向的设置相互独立,但首先需要开启信息中心,设置才会生效。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置发送信息的源地址 |
info-center loghost source interface-type interface-number |
|
取消当前配置 |
undo info-center loghost source |
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置输出到终端和buffer的调试/告警/日志信息的时间戳格式 |
info-center timestamp { trap | debugging | log } { boot | date | none } |
|
恢复输出到终端和buffer的调试/告警/日志信息的时间戳格式为缺省设置 |
undo info-center timestamp { trap | debugging | log } |
|
设置输出到日志主机的日志信息的时间戳格式 |
info-center timestamp loghost { date | no-year-date | none } |
|
恢复输出到日志主机的日志信息的时间戳格式为缺省设置 |
undo info-center timestamp loghost |
缺省情况下,输出到终端和buffer的debugging信息使用boot时间戳,其他信息都使用date时间戳;输出到日志主机的日志信息的时间戳格式为date。
显示终端的设置就是控制是否在用户屏幕上输出debug/log/trap信息,这些信息是从信息中心发送来的。
请在用户视图下进行下列配置。
|
操作 |
命令 |
|
打开终端显示信息功能 |
terminal monitor |
|
打开终端显示日志信息功能 |
terminal logging |
|
打开终端显示告警信息功能 |
terminal trapping |
|
打开终端显示调试信息功能 |
terminal debugging |
|
关闭终端显示信息功能 |
undo terminal monitor |
|
关闭终端显示日志信息功能 |
undo terminal logging |
|
关闭终端显示告警信息功能 |
undo terminal trapping |
|
关闭终端显示调试信息功能 |
undo terminal debugging |
此命令只影响输入命令的当前终端的显示。
在undo terminal monitor(显示终端关闭)的情况下,相当于执行undo terminal debugging,undo terminal logging,undo terminal trapping命令,所有的调试/日志/告警信息在本终端都不显示;在terminal monitor为打开的情况下,可以分别使用terminal debugging/undo terminal debugging,terminal logging/undo terminal logging,terminal trapping/undo terminal trapping打开或关闭调试/日志/告警信息。
缺省情况下,控制台用户(Console用户)的终端显示功能为打开,所有提示信息都能够直接输出到配置终端;其它终端用户(AUX、VTY用户)的终端显示功能缺省为关闭,因此配置terminal monitor命令后其提示信息才能输出到配置终端。
syslog功能是通过信息中心模块(info-center)实现的,它是信息中心模块所具有的一个子功能。本小节主要对输出到日志主机的系统信息格式(包括log、debug、trap三种信息)做简略的说明。输出到日志主机采用端口号514。
本格式根据RFC3164(The BSD syslog Protocol)制定,并对消息头部进行扩展。
系统信息格式如下:
以下对关键字段做详细说明。
info-center timestamp loghost命令可以用来设置输出到日志主机的系统信息的时间戳格式,包括以下三种:
l date:含年份的时间戳格式,此时系统信息中含年份信息。中文格式的时间戳为YYYY/MM/DD hh:mm:ss,英文格式的时间戳为MM DD hh:mm:ss YYYY。
l no-year-date:不含年份时间戳格式,此时系统信息中不含年份信息。中文格式的时间戳为MM/DD hh:mm:ss,英文格式的时间戳为MM DD hh:mm:ss。
l none:无时间戳,此时系统信息中不含时间信息。
“YYYY”为年份。
“MM”为月份。中文格式为01~12的数字,英语格式为月份的缩写,即为如下的值:Jan,Feb,Mar,Apr,May,Jun,Jul,Aug,Sep,Oct,Nov,Dec。
“DD”为日期,如果日期的值小于10,则必须写为“空格+日期”,如“ 7”。
“hh:mm:ss”为本地时间,hh采用24小时制,从00到23;分钟和秒的值均从00到59。
时间戳与主机名之间以一个空格隔开。
主机名是本机的系统名,默认为“H3C”。
可用sysname命令修改主机名。
主机名与厂商标志之间以一个空格隔开。
我们公司的标志为“%%”。
系统信息的syslog版本,本例中的syslog版本为10。
该字段表示日志是由哪个模块产生的,模块列表可以通过在系统视图下输入命令info-center source ?查看到。
模块名与级别之间以一个斜杠(/)隔开。
日志的级别共分为8级,从1~8,它们的定义和说明见表4-8。
级别与信息摘要之间以一个斜杠(/)隔开。
信息摘要是一个短语,代表了该信息的内容大意。
信息摘要与内容之间以一个冒号(:)隔开。
当配置了info-center loghost source命令时会显示此项,表示发往日志主机的报文的源地址。
源地址与信息内容之间以分号(;)隔开。
信息具体内容,由各模块自己定义。
例如:“task:co0 ip:** user:root command:display this”的意思是Console口用户(用户名为root),输入命令display this。
在完成上述配置后,在任意视图下执行display命令可以显示配置信息中心后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行debugging命令可对信息中心进行调试。
|
操作 |
命令 |
|
显示信息中心记录的信息 |
display info-center |
|
显示日志缓冲区记录的信息 |
display logbuffer [ size size-value | summary ] [ level level-number ] [ | { begin | include | exclude } string ] |
|
显示信息通道的内容 |
display channel [ channel-number | channel-name ] |
|
显示告警缓冲区记录的信息 |
display trapbuffer [ size size-value ] |
(1) 开启信息系统。
[H3C] info-center enable
(2) 配置控制台日志输出,允许PPP模块的日志输出,严重等级限制为emergencies~debugging。
[H3C] info-center console channel console
[H3C] info-center source ppp channel console log level debugging
(3) 打开PPP模块的调试开关
<H3C> debugging ppp all
第一步:路由器侧配置如下
(1) 开启信息中心。
[H3C] info-center enable
(2) 将IP地址为202.38.1.10的UNIX工作站用作日志主机,设置严重等级阈值为informational,输出语言为英文,允许输出信息的模块为PPP和IP,使用UNIX设备Local4。
[H3C] info-center loghost 202.38.1.10 language english
[H3C] info-center loghost 202.38.1.10 facility local4
[H3C] info-center source ppp channel loghost log level informational
[H3C] info-center source ip channel loghost log level informational
第二步:日志主机侧配置如下
UNIX主机上也要进行相应设置以完成上述功能。下面以SunOS 4.0举例说明,其它厂商UNIX操作系统上的配置操作基本与之相同。
(3) 以超级用户(root)的身份执行以下命令
# mkdir /var/log/H3C
# touch /var/log/H3C/information
(4) 以超级用户(root)的身份编辑文件/etc/syslog.conf,加入以下选择/动作组合(selector/action pairs)。
# H3C configuration messages
local4.info /var/log/H3C/information
& 说明:
在编辑/etc/syslog.conf时应注意以下问题:
l 注释只允许独立成行,并以字符#开头。
l 选择/动作组合之间必须以一个制表符分隔,而不能输入空格。
l 在文件名之后不得有多余的空格。
/etc/syslog.conf中指定的设备名及接受的日志信息级别与路由器上配置的info-center loghost和info-center loghost a.b.c.d facility应保持一致,否则日志信息可能无法正确输出到日志主机上。
当日志文件config建立且/etc/syslog.conf文件被修改了之后,应执行以下命令,给系统守护进程syslogd发一个HUP信号,使syslogd重新读取它的配置文件/etc/syslog.conf。
#ps -ae | grep syslogd
147
#kill -HUP 147
进行以上操作后,路由器的相关信息就可以输出到相应的日志文件中了。
上面的配置只向日志主机输出严重程度为informational及以上的日志信息,即级别为1~7的日志信息。
日志信息的最低级别为debugging,设置为debugging将导致所有的日志信息都发送到日志主机,对系统性能可能产生影响,因此,通常情况下,不建议用户将日志信息级别设置为debugging。
& 说明:
综合配置设备名称(facility),严重等级阈值(severity),模块名称(filter)以及syslog.conf文件,可以进行相当细致的分类,达到信息筛选的目的。
自动侦测(Auto detect)是一种利用ICMP的Request/Reply报文,定期检测网络连通状况的功能。
自动侦测的对象是侦测组中目的IP地址的集合,侦测的结果反映出了当前网络的连通状态,即目的主机可达或不可达,从而保证设备能够及时发现网络中存在的问题,并产生相应的动作。
自动侦测的返回结果(可达或者不可达)可以被其他特性所引用,作为该特性配置是否生效的一个必要条件。自动侦测的应用包括:
(1) 静态路由
(2) VRRP(Virtual Router Redundancy Protocol)
(3) 接口备份
某一个自动侦测组可以同时被多个应用实例所引用;同样,某一个应用实例也可以引用多个自动侦测组。
& 说明:
l 对于静态路由的详细介绍,请参见本手册中有关“路由协议”的章节。
l 对于VRRP的详细介绍,请参见本手册中有关“可靠性”的章节。
|
序号 |
配置项 |
命令 |
说明 |
|
1 |
进入系统视图 |
<H3C> system-view |
- |
|
2 |
创建并进入侦测组视图 |
[H3C] detect-group group-number |
必选 |
|
3 |
配置侦测对象列表 |
[H3C-detect-group-X] detect-list list-numbert ip address ip-address [ nexthop ip-address ] |
必选 |
|
4 |
配置各个侦测对象间关系 |
[H3C-detect-group-X] option { and | or } |
可选:缺省情况为and |
|
5 |
配置侦测组的侦测周期 |
[H3C-detect-group-X] timer loop seconds |
可选:缺省值为15秒 |
|
6 |
配置一次侦测中的最大重试次数 |
[H3C-detect-group-X] retry retry-times |
可选:缺省值为2次 |
|
7 |
配置一次侦测的超时时间 |
[H3C-detect-group-X] timer wait seconds |
可选:缺省值为2秒 |
|
8 |
显示指定侦测组或所有侦测组的配置信息 |
<H3C> display detect-group [ group-number ] |
可选:该命令可在任意视图下执行 |
& 说明:
l 侦测组视图的提示符和用户的具体配置有关。
l 具体的参数介绍和取消相关配置的undo命令,请参见命令手册。
l 在RouterA上创建侦测组10,配置两个侦测对象,分别侦测目的地址10.1.1.4和192.168.2.2;
l 设置两个侦测对象之间的关系为逻辑或;
l 设置侦测循环周期为60秒,一轮侦测中的重试次数为3,一次侦测的超时时间为3秒;
l RouterA、B、C之间路由可达。
(1) 配置RouterA
# 进入系统视图。
<H3C> system-view
# 创建一个自动侦测组10。
[H3C] detect-group 10
# 从下一跳地址192.168.1.2开始,侦测目的地址10.1.1.4,侦测序号为1。
[H3C-detect-group-10] detect-list 1 ip address 10.1.1.4 nexthop 192.168.1.2
# 侦测目的地址192.168.2.2,侦测序号为2。
[H3C-detect-group-10] detect-list 2 ip address 192.168.2.2
# 设置侦测组10中的两个侦测对象之间的关系为逻辑或。
[H3C-detect-group-10] option or
# 设置侦测循环周期为60秒。
[H3C-detect-group-10] timer loop 60
# 设置一轮侦测中的重试次数为3。
[H3C-detect-group-10] retry 3
# 设置一次侦测的超时时间为3秒。
[H3C-detect-group-10] timer wait 3
[H3C-detect-group-10] quit
# 显示侦测组10的配置信息。
[H3C] display detect-group 10
用户可以将某条静态路由和某个侦测组进行绑定,利用自动侦测的返回结果来控制静态路由的有效性:
l 当侦测组可达时,静态路由生效
l 当侦测组不可达时,静态路由无效
& 说明:
在进行以下配置前,用户应先完成侦测组的定义。
|
序号 |
配置项 |
命令 |
说明 |
|
1 |
进入系统视图 |
system-view |
- |
|
2 |
静态路由模块引用侦测组 |
ip route-static ip-address { mask | mask-length } { interface-type interface-number | nexthop } [ preference preference-value ] detect-group group-number |
必选 |
具体的参数介绍请参见命令手册。
l 在RouterA上创建侦测组8;
l 在RouterA和RouterC之间创建一条静态路由;
l 当侦测组8可达时使静态路由生效。
配置RouterA:
# 进入系统视图。
<H3C> system-view
# 创建一个自动侦测组8。
[H3C] detect-group 8
# 从下一跳地址192.168.1.2侦测10.1.1.4,侦测序号为1。
[H3C-detect-group-8] detect-list 1 ip address 10.1.1.4 nexthop 192.168.1.2
[H3C-detect-group-8] quit
# 侦测组可达时使静态路由生效,否则静态路由无效。
[H3C] ip route-static 10.1.1.0 24 192.168.1.2 detect-group 8
用户可以利用自动侦测的返回结果来控制VRRP备份组中备份接口的优先级,实现主备路由器的自动切换:
l 当侦测组不可达时,降低备份组中备份接口的优先级
l 当侦测组可达时,恢复备份组中备份接口的优先级
& 说明:
在进行以下配置前,用户应先完成侦测组的定义和VRRP的配置。
|
序号 |
配置项 |
命令 |
说明 |
|
1 |
进入系统视图 |
system-view |
- |
|
2 |
进入接口视图 |
interface interface-type interface-number |
- |
|
3 |
在VRRP中启动侦测功能 |
vrrp vrid virtual-router-ID track detect-group group-number [ reduced value-reduced ] |
必选 |
& 说明:
l 接口视图下显示的提示符和用户的设置有关。
l 具体的参数介绍和取消相关配置的undo命令,请参见命令手册。
l 保证RouterA、B、C之间及RouterA、D、C之间动态路由可达;
l RouterB和RouterD组成一个VRRP备份组1,虚拟IP地址为192.168.1.100;
l 正常情况下,RouterA的数据通过RouterB到达RouterC;
当RouterB和C之间的链路失效后,RouterD自动成为备份组1中的Master,RouterA的数据通过RouterD到达RouterC。
图5-3 VRRP的应用组网图
(1) 配置RouterB
# 进入系统视图。
<H3C> system-view
# 创建一个自动侦测组9。
[H3C] detect-group 9
# 增加侦测对象192.168.2.2,侦测序号为1。
[H3C-detect-group-9] detect-list 1 ip address 192.168.2.2
[H3C-detect-group-9] quit
# 配置接口GigabitEthernet1/0的IP地址。
[H3C] interface gigabitethernet1/0
[H3C-GigabitEthernet1/0] ip address 192.168.1.2 24
# 创建VRRP备份组,设置虚拟IP地址。
[H3C-GigabitEthernet1/0] vrrp vrid 1 virtual-ip 192.168.1.100
# 设置H3CB的备份组优先级为110,当侦测组9不可达时将优先级降低20。
[H3C-GigabitEthernet1/0] vrrp vrid 1 priority 110
[H3C-GigabitEthernet1/0] vrrp vrid 1 track detect-group 9 reduced 20
[H3C-GigabitEthernet1/0] quit
# 配置GigabitEthernet2/0接口。
[H3C] interface GigabitEthernet2/0
[H3C-GigabitEthernet2/0] ip address 192.168.2.1 24
# 配置动态路由(略)。
(2) 配置RouterD
# 在接口GigabitEthernet1/0上启用VRRP,设置IP地址及虚拟IP地址。
<H3C> system-view
[H3C] interface gigabitethernet1/0
[H3C-GigabitEthernet1/0] ip address 192.168.1.3 24
[H3C-GigabitEthernet1/0] vrrp vrid 1 virtual-ip 192.168.1.100
# 设置RouterD的备份组优先级为100。
[H3C-GigabitEthernet1/0] vrrp vrid 1 priority 100
# 配置动态路由(略)。
这里仅对RouterB和RouterD的自动侦测及VRRP配置做重点说明。
自动侦测在接口备份中的应用是利用自动侦测来实现接口备份的功能。对于到达同一目的设备的两个接口,其中一个为主接口,另一个为备份接口,当通信链路或网络设备出现故障时,设备能自动启用备份接口,保障数据通信的畅通:
l 正常情况下(侦测组可达),数据通过主接口发往目的设备,备份接口down;
l 当主接口到目的设备的通信出现异常时(侦测组不可达),主接口down,备份接口自动启用;
l 当主接口到目的设备的通信恢复正常时(侦测组又可达),主接口自动重新启用,备份接口再次down。
& 说明:
在进行以下配置前,用户应先完成侦测组的定义和接口的相关配置。
|
序号 |
配置项 |
命令 |
说明 |
|
1 |
进入系统视图 |
system-view |
- |
|
2 |
进入接口视图 |
interface interface-type interface-number |
- |
|
3 |
配置自动侦测组来实现接口备份的功能 |
standby detect-group group-number |
必选,该命令只需要在备份接口上进行配置 |
& 说明:
l 接口视图下显示的提示符和用户的设置有关。
l 具体的参数介绍和取消相关配置的undo命令,请参见命令手册。
l 保证RouterA、B、C之间及RouterA、D、C之间动态路由可达;
l 在RouterA上创建侦测组10,侦测RouterB和RouterC之间的链路状况;
l 当侦测组10可达时,使用接口GigabitEthernet1/0作为主接口;
当侦测组10不可达时,启用接口GigabitEthernet 2/0作为备份接口。
配置RouterA:
# 进入系统视图。
<H3C> system-view
# 配置接口GigabitEthernet1/0的IP地址。
[H3C] interface GigabitEthernet 1/0
[H3C-GigabitEthernet1/0] ip address 192.168.1.1 24
# 配置接口GigabitEthernet2/0的IP地址。
[H3C-GigabitEthernet1/0] interface GigabitEthernet 2/0
[H3C-GigabitEthernet2/0] ip address 192.168.2.1 24
[H3C-GigabitEthernet2/0] quit
# 创建自动侦测组10。
[H3C] detect-group 10
# 在侦测组10中,从下一跳地址192.168.1.2侦测10.1.1.4,侦测序号为1。
[H3C-detect-group-10] detect-list 1 ip address 10.1.1.4 nexthop 192.168.1.2
[H3C-detect-group-10] quit
# 当侦测组10不可达时,启用接口GigabitEthernet2/0作为备份接口。
[H3C] interface GigabitEthernet 2/0
[H3C-GigabitEthernet2/0] standby detect-group 10
# 配置动态路由(略)。
这里仅对RouterA的配置做重点说明。
HWPing是测量网络上运行的各种协议性能的一种工具,它是对ping功能的增强。
可以通过网管来设置HWPing操作的各项参数,并启动HWPing,最后查看操作的结果,也可以通过display hwping result命令来查看HWPing操作的统计结果。
图6-1 HWPing客户端和服务器之间的关系图
用户在使用HWPing功能之前首先必须分别配置好HWPing服务器和HWPing客户端。
HWPing服务器的配置包括:
l 使能HWPing服务器
l 配置HWPing服务器监听的服务
HWPing功能中有些测试操作,如jitter(对UDP报文传输的延时变化分析)、指定端口的UDP测试和指定端口的TCP测试等,需要服务器和客户端配合才能完成,HWPing服务器负责处理HWPing客户端发来的测试包。只有在路由器上使能了HWPing服务器功能,HWPing服务器才能工作。
可以在同一台路由器上同时使能HWPing客户端和HWPing服务器。也就是说,同一台路由器既可以做HWPing服务器,又可以做HWPing客户端。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
使能HWPing服务器功能 |
hwping-server enable |
|
关闭HWPing服务器功能 |
undo hwping-server enable |
缺省情况下,关闭服务器功能。
对于TCP和UDP的HWPing测试,HWPing服务器通过监听功能响应客户端发起的测试。HWPing服务器只对特定的客户端进行响应,即只有在HWPing服务器上配置了相应的目的地址和端口号的客户端才能得到服务器的响应。
可以在一个HWPing服务器上创建多个TCP和UDP监听服务,每个监听服务对应一个指定的目的地址和端口号。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置UDP监听服务 |
hwping-server udpecho ip-address port-num |
|
取消UDP监听服务 |
undo hwping-server udpecho ip-address port-num |
|
配置TCP监听服务 |
hwping-server tcpconnect ip-address port-num |
|
取消TCP监听服务 |
undo hwping-server tcpconnect ip-address port-num |
缺省情况下,未配置UDP和TCP监听服务。
对于HWPing服务器TCP监听服务的端口号port-number,50000以上的端口及某些特殊端口(指被固定了功能不能被随便使用的一些端口,如端口1701)不能配置;HWPing服务器UDP监听服务的端口号port-number,49999以上的端口及某些特殊端口(指被固定了功能不能被随便使用的一些端口,如端口1701)不能配置。
HWPing客户端的配置包括:
l 使能HWPing客户端
l 建立测试组
l 配置同时能进行测试的最大数目
l 配置trap开关
只有使能了HWPing客户端功能,才能进行各类测试的设置和测试。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
打开HWPing客户端 |
hwping-agent enable |
|
关闭HWPing客户端 |
undo hwping-agent enable |
缺省情况下,关闭HWPing客户端。
HWPing测试组是一个HWPing测试项的集合。一个测试组中可以包含若干个测试项目。每个测试组都有一个管理员名称和一个操作标签。管理员名称和操作标签可以唯一确定一个测试组。
建立了测试组并配置好测试项参数之后就可以在测试组中通过测试命令进行HWPing测试。
在系统视图下进行下列配置。
|
操作 |
命令 |
|
建立测试组 |
hwping administrator-name operation-tag |
|
删除测试组 |
undo hwping administrator-name operation-tag |
缺省情况下,没有配置测试组。
HWPing测试组包含以下配置:
(1) 配置目的地址
目的地址指的是HWPing服务器的IP地址,相当于ping命令中的目的地址。该目的地址必须是HWPing服务器上配置了TCP或UDP监听服务的IP地址。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置HWPing服务器目的地址 |
destination-ip ipaddress |
|
删除HWPing服务器目的地址 |
undo destination-ip |
缺省情况下,没有配置目的地址。
(2) 配置目的端口
在进行TCP或UDP测试时必须指定HWPing服务器的端口号。该端口号必须是HWPing服务器上配置了TCP或UDP监听服务的端口号。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置HWPing服务器目的端口 |
destination-port port-number |
|
删除HWPing服务器目的端口 |
undo destination-port |
缺省情况下,没有配置目的端口。
(3) 配置源接口
在进行DHCP测试时,必须指定发送DHCP请求报文使用的源接口,系统将使用该源接口发送DHCP请求报文。另外,DHCP请求报文中的源IP地址将使用该接口的IP地址。
在进行其它类型的测试时,可以指定发送报文使用的源接口。如果指定了源接口,系统将直接使用该源接口发送报文,而不是通过路由来确定发送报文的接口。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
绑定源接口 |
source-interface interface-type interface-number |
|
删除源接口 |
undo source-interface |
缺省情况下,没有配置源接口。
(4) 配置源地址
在进行除DHCP以外的测试时,可以指定发送报文指中的源IP地址,这样服务器将使用此IP地址作为响应报文的目的地址。该参数相当于路由器的ping命令中的“-a”参数。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置源地址 |
source-ip ipaddress |
|
删除源地址 |
undo source-ip |
缺省情况下,没有指定源IP地址。FTP测试必须配置该命令。
(5) 配置源端口
在进行HWPing测试时,可以指定发送报文的源端口号,这样服务器将使用此端口号作为响应报文的目的端口号。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置源端口 |
source-port port-number |
|
删除源端口 |
undo source-port |
缺省情况下,没有指定源端口。
(6) 配置测试类型
HWPing可以测试很多种类型的连接。但是每一次测试只能测试某一种类型,也就是说每一个测试组只能是某一类型的HWPing测试。
HWPing的测试类型包括:icmp、udppublic、udpprivate、tcppublic、tcpprivate、jitter、dhcp、snmpquery、ftp、http。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置测试类型 |
test-type type |
缺省情况下,测试类型为ICMP。
& 说明:
udppublic测试和tcppublic测试分别是对7号端口的UDP连接测试和7号端口的TCP连接测试。当进行这两种测试时,也必须在服务器端使用hwping-server udpecho ip-address 7命令和hwping-server tcpconnect ip-address 7命令配置监听服务端口,否则测试将失败。
(7) 配置一次测试中进行探测的次数
如果配置一次测试中探测的次数大于1,那么系统在进行第一次探测之后,如果收到响应报文就进行第二次探测。如果一直没有收到响应报文,则等到测试定时器超时后,再进行第二次探测。如此直到完成最后一次探测。该参数相当于路由器的ping命令中的“-n”参数。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置一次测试中进行探测的次数 |
count times |
|
恢复一次测试中进行探测的次数到默认值 |
undo count times |
缺省情况下,一次测试中进行探测的次数为1。
(8) 配置ICMP数据包的大小
在进行ICMP、UDP和jitter测试时,可以对发送报文的大小进行配置。对于ICMP测试,ICMP数据包的大小是指进行ICMP测试时ECHO-REQUEST报文长度(不包括IP和ICMP报文头),该参数相当于路由器的ping命令中的“-s”参数。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置数据包的大小 |
datasize size |
|
恢复为默认值 |
undo datasize |
测试类型为ICMP时,数据包大小的缺省值为56个字节;测试类型为UDP时,数据包大小的缺省值为100个字节;测试类型为jitter时,数据包大小在68~100字节之间(此时取其它值无效)。
只有ICMP、UDP和jitter测试支持配置报文的大小,此配置对于其它测试类型无效。
(9) 配置自动测试的时间间隔
配置自动测试时系统自动的每隔一段时间就进行一次测试。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置自动测试的时间间隔 |
frequency interval |
|
取消自动测试 |
undo frequency |
缺省情况下,自动测试的时间间隔为0,即只进行一次测试。
(10) 配置测试超时时间
测试超时时间是指发送完ECHO-REQUEST后,等待ECHO-RESPONSE的时间,如果超过此时间还没有收到ECHO-RESPONSE,则认为该次测试不通。该参数相当于路由器的ping命令中的“-t”参数,但是时间单位不一样。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置测试超时时间 |
timeout time |
|
恢复为默认值 |
undo timeout |
缺省情况下,超时时间为3秒。
(11) 配置报文生存时间
报文生存时间是指测试报文的TTL值。该参数相当于路由器的ping命令中的“-h”参数。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置ttl |
ttl number |
|
取消配置 |
undo ttl |
缺省情况下,TTL的值为20。
& 说明:
此命令适用于除DHCP类型外的其它测试类型。当配置了sendpacket passroute命令时,ttl命令不起作用。
(12) 配置服务类型
服务类型是指IP报文头中的ToS域值。该参数相当于路由器的ping命令中的“-tos”参数
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置服务类型 |
tos value |
|
恢复默认值 |
undo tos |
缺省情况下,服务类型为0。
(13) 报文填充字符
进行ICMP、UDP和jitter测试时,要对所发送的报文的数据段的内容进行填充。填充时,如果测试数据包大小比配置的填充数据小,那么只使用此字符串的前一部分;如果测试数据包大小比配置的填充数据大,那么将使用此字符串循环进行填充。例如,配置填充数据为“abcd”,当测试数据包大小为3时,则只使用“abc”作为填充数据;当测试数据包大小为6时,则只使用“abcdab”作为填充数据。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置填充字符 |
datafill string |
|
取消填充字符 |
undo datafill |
缺省情况下,从0到255循环填充数据。
只有ICMP、UDP和jitter测试支持配置填充字符,此配置对于其它测试类型无效。
(14) 配置HTTP操作类型
HWPing客户端可以配置和服务器端进行HTTP交互的类型。
此配置必须在测试类型为HTTP时进行。
请在HWPing测试组视图下进行下列配置。
表6-18 配置HTTP操作类型
|
操作 |
命令 |
|
配置操作类型 |
http-operation { get | post } |
缺省情况下,使用get操作。
(15) 配置FTP操作类型
HWPing客户端可以配置和服务器端进行FTP交互的类型。
此配置必须在测试类型为FTP时进行。
请在HWPing测试组视图下进行下列配置。
表6-19 配置FTP操作类型
|
操作 |
命令 |
|
配置操作类型 |
ftp-operation { get | put } |
缺省情况下,FTP操作类型为get操作。
(16) 配置FTP操作用户名和密码
进行FTP操作时需要使用用户名和密码。
此配置必须在测试类型为FTP时进行。
请在HWPing测试组视图下进行下列配置。
表6-20 配置FTP操作用户名和密码
|
操作 |
命令 |
|
配置用户名 |
username name |
|
删除用户名 |
undo username |
|
配置密码 |
password password |
|
删除密码 |
undo password |
缺省情况下,没有配置用户名和密码。
(17) 配置FTP操作文件名
配置FTP所要操作的服务器端的文件名。
此配置必须在测试类型为FTP时进行。
请在HWPing测试组视图下进行下列配置。
表6-21 配置FTP操作文件名
|
操作 |
命令 |
|
配置文件名 |
filename file-name |
|
删除文件名 |
undo filename |
缺省情况下,没有配置操作的文件名。
(18) 配置Jitter测试时发送的测试包个数
Jitter测试是为了对UDP报文传输的延时变化进行统计分析。在测试时,源端会以一定的时间间隔(可配置)发送一系列的数据包,目的端收到数据包后,将数据包打上时间戳,然后再发回到源端。源端收到数据包后就可计算出抖动时间。因此每次探测必须发送多个测试包进行测试。每次探测发送的测试包个数越多,统计分析越准确,但完成测试所需的时间也越长。
此配置必须在测试类型为Jitter时进行。
请在HWPing测试组视图下进行下列配置。
表6-22 配置Jitter测试时发送的测试包个数
|
操作 |
命令 |
|
Jitter测试时发送的测试包个数 |
jitter-packetnum number |
|
恢复为默认值 |
undo jitter-packetnum |
缺省情况下,Jitter测试时发送的测试包为10个。
(19) 配置Jitter测试时发送测试包的时间间隔
Jitter测试每次探测都要发送多个UDP测试包,可以配置发送测试包的时间间隔。发送测试包的时间间隔越小,完成测试就越快,但是发送测试包的时间间隔太小可能会对网络带来一定的冲击。
此配置必须在测试类型为Jitter时进行。
请在HWPing测试组视图下进行下列配置。
表6-23 配置Jitter测试时发送测试包的时间间隔
|
操作 |
命令 |
|
Jitter测试时发送测试包的时间间隔 |
jitter-interval interval |
|
恢复为默认值 |
undo jitter-interval |
缺省情况下,Jitter测试时发送测试包的时间间隔为20毫秒。
(20) 配置保存历史记录的最大数目
指定在一个测试组中能保存的历史记录数的最大数目,当超过这个数目时,它会丢弃最先测试的结果。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置保存历史记录的最大数目 |
history-records number |
|
恢复为默认值 |
undo history-records |
缺省情况下,最大历史记录数为50条。
(21) 配置路由表旁路
路由表旁路是指,远端主机将不进行通常的路由表查找,而直接发送ICMP报文到相连网络上的主机。如果主机所在网络不是直连的,就返回错误。例如,在接口上ping一个无路由的本地主机时可以使用本功能。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
启动路由表旁路功能 |
sendpacket passroute |
|
关闭路由表旁路功能 |
undo sendpacket passroute |
缺省情况下,关闭路由表旁路功能。
(22) 配置测试组描述
用户可以对一个测试组进行简要的描述。通常用于描述一个测试组所做的测试项或测试的目的。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
配置测试描述 |
description string |
|
取消测试描述 |
undo description |
缺省情况下,无任何描述信息。
(23) 配置trap
HWPing测试成功或者失败都会产生trap信息,可以通过设置trap开关控制是否向网管发送该trap。
可以设置HWPing测试以及每一次测试内的探测连续失败若干次才发送trap。缺省情况下,探测一次失败及测试一次失败就发送trap。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
打开trap开关 |
send-trap { all | { probefailure | testcomplete | testfailure } * } |
|
关闭trap开关 |
undo send-trap { all | { probefailure | testcomplete | testfailure } * } |
|
设置HWPing测试连续多少次测试失败之后发送Trap |
test-failtimes times |
|
设置HWPing测试连续多少次探测失败之后发送Trap |
probe-failtimes times |
缺省情况下,不发送trap到网管站。
可以设定一个路由器(HWPing客户端)最多能同时进行测试的数目。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设定最大数目 |
hwping-agent max-requests number |
|
恢复最大数目的缺省值 |
undo hwping-agent max-requests |
缺省情况下,最大数目为5条。
建立了测试组并配置好测试项参数之后就可以在测试组中通过测试命令进行HWPing测试。
请在HWPing测试组视图下进行下列配置。
|
操作 |
命令 |
|
执行测试 |
test-enable |
|
取消测试 |
undo test-enable |
& 说明:
HWPing测试不会显示测试结果,要查看显示结果请使用显示测试信息命令。
在任意视图下执行display hwping命令可以分别用来查看测试的历史记录信息和最新测试结果信息。
通过历史记录可以查看测试中记录的每一次探测的结果。
通过最新测试结果可以查看最近一次测试的结果。
在用户视图下执行debugging hwping命令可以对HWPing进行调试。
表6-30 HWPing的显示和调试
|
操作 |
命令 |
|
显示测试的结果信息 |
display hwping { history | results | jitter } [ administrator-name operation-tag ] |
|
打开HWPing的调试信息开关 |
debugging hwping { all | error | event } |
|
关闭HWPing的调试信息开关 |
undo debugging hwping { all | error | event } |
HWPing ICMP测试和ping测试一样,是使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间。
& 说明:
要想成功创建并启动一个ICMP echo功能的测试操作。必须执行以下步骤1,2,3,6,其它步骤为可选项。
# 使能HWPing客户端。
[H3C] hwping-agent enable
# 步骤1:创建一个HWPing测试组。在本例中指定的管理员名字为administrator,测试操作标签为ICMP。
[H3C] hwping administrator icmp
# 步骤2:配置测试的类型为ICMP。
[H3C-hwping-administrator-icmp] test-type icmp
# 步骤3:配置目的IP地址为169.254.10.2。
[H3C-hwping-administrator-icmp] destination-ip 169.254.10.2
# 步骤4:配置一次测试中进行探测的次数。
[H3C-hwping-administrator-icmp] count 10
# 步骤5:配置超时时间。
[H3C-hwping-administrator-icmp] timeout 3
# 步骤6:启动测试操作。
[H3C-hwping-administrator-icmp] test-enable
# 步骤7:查看测试结果。
[H3C-hwping-administrator-icmp] display hwping result administrator icmp
[H3C-hwping-administrator-icmp] display hwping history administrator icmp
HWPing DHCP测试用来测试从DHCP服务器分配到IP地址所需的时间。
& 说明:
要想成功创建并启动一个DHCP类型的测试。必须执行以下步骤1,2,3,6,其它步骤为可选项。
# 使能HWPing客户端。
[H3C] hwping-agent enable
# 步骤1:创建一个HWPing测试组。在本例中指定的管理员名字为administrator,测试操作标签为DHCP。
[H3C] hwping administrator dhcp
# 步骤2:配置测试的类型为DHCP。
[H3C-hwping-administrator-dhcp] test-type dhcp
# 步骤3:配置源接口,此接口必须为以太口,DHCP服务器位于和此接口相连的网络上。
[H3C-hwping-administrator-dhcp] source-interface gigabitethernet1/0
# 步骤4:配置一次测试中进行探测的次数。
[H3C-hwping-administrator-dhcp] count 10
# 步骤5:配置超时时间。
[H3C-hwping-administrator-dhcp] timeout 3
# 步骤6:启动测试操作。
[H3C-hwping-administrator-dhcp] test-enable
# 步骤7:查看测试结果。
[H3C-hwping-administrator-dhcp] display hwping result administrator dhcp
[H3C-hwping-administrator-dhcp] display hwping history administrator dhcp
HWPing FTP测试用来测试和指定的FTP服务器建立连接,及传送一个文件所用的时间。可以从FTP服务器得到一个文件,也可以向FTP服务器写一个文件。
& 说明:
要想成功创建并启动一个FTP类型的测试操作。必须执行以下步骤1,2,3,4,5,6,9其它步骤为可选项。
# 配置以太网口IP地址。
[H3C] interface GigabitEthernet 1/0
[H3C-GigabitEthernet1/0] ip address 169.254.10.1 16
# 使能HWPing客户端。
[H3C] hwping-agent enable
# 步骤1:创建一个HWPing测试组。在本例中指定的管理员名字为administrator,测试操作标签为FTP。
[H3C] hwping administrator ftp
# 步骤2:配置测试的类型为FTP。
[H3C-hwping-administrator-ftp] test-type ftp
# 步骤3:配置FTP服务器的IP地址为169.254.10.2。
[H3C-hwping-administrator-ftp] destination-ip 169.254.10.2
# 步骤4:配置用户名。
[H3C-hwping-administrator-ftp] username administrator
# 步骤5:配置口令
[H3C-hwping-administrator-ftp] password hwping
# 步骤6:配置要获取的文件名。
[H3C-hwping-administrator-ftp] filename config.txt
# 步骤7:配置一次测试中进行探测的次数。
[H3C-hwping-administrator-ftp] count 10
# 步骤8:配置超时时间。
[H3C-hwping-administrator-ftp] timeout 30
# 步骤9:配置源地址。
[H3C-hwping-administrator-ftp] source-ip 169.254.0.1
# 步骤10:启动测试操作。
[H3C-hwping-administrator-ftp] test-enable
# 步骤11:查看测试结果。
[H3C-hwping-administrator-ftp] display hwping result administrator ftp
[H3C-hwping-administrator-ftp] display hwping history administrator ftp
对端仅需要启动FTP Server,并配置相应的用户即可。
HWPing HTTP测试用来测试与指定的HTTP服务器之间建立连接并从HTTP服务器获取一个文件所用的时间。
& 说明:
要想成功创建并启动一个HTTP类型的测试操作。必须执行以下步骤1,2,3,其它步骤为可选项。
# 使能HWPing客户端。
[H3C] hwping-agent enable
# 步骤1:创建一个HWPing测试组。在本例中指定的管理员名字为administrator,测试操作标签为HTTP。
[H3C] hwping administrator http
# 步骤2:配置测试的类型为HTTP。
[H3C-hwping-administrator-http] test-type http
# 步骤3:配置HTTP服务器的IP地址为169.254.10.2。
[H3C-hwping-administrator-http] destination-ip 169.254.10.2
# 步骤4:配置一次测试中进行探测的次数。
[H3C-hwping-administrator-http] count 10
# 步骤5:配置超时时间。
[H3C-hwping-administrator-http] timeout 30
# 步骤6:启动测试操作。
[H3C-hwping-administrator-http] test-enable
# 步骤7:查看测试结果。
[H3C-hwping-administrator-http] display hwping result administrator http
[H3C-hwping-administrator-http] display hwping history administrator http
HWPing Jitter测试用来测试本端(HWPing客户端)和指定的目的端(HWPing服务器)之间传送UDP报文的抖动时间。
& 说明:
要想成功创建并启动一个Jitter类型的测试操作。必须在HWPing客户端执行以下步骤1,2,3,4,8其它步骤为可选项。
# 使能HWPing客户端。
[H3C] hwping-agent enable
# 步骤1:创建一个HWPing测试组。在本例中指定的管理员名字为administrator,测试操作标签为Jitter。
[H3C] hwping administrator jitter
# 步骤2:配置测试的类型为Jitter。
[H3C-hwping-administrator-jitter] test-type jitter
# 步骤3:配置HWPing服务器的IP地址为169.254.10.2。
[H3C-hwping-administrator-jitter] destination-ip 169.254.10.2
# 步骤4:配置HWPing服务器的目的端口。
[H3C-hwping-administrator-jitter] destination-port 9000
# 步骤5:配置一次测试中进行探测的次数。
[H3C-hwping-administrator-jitter] count 10
# 步骤6:配置超时时间。
[H3C-hwping-administrator-jitter] timeout 30
# 步骤7:启动测试操作。
[H3C-hwping-administrator-jitter] test-enable
# 步骤8:查看测试结果。
[H3C-hwping-administrator-jitter] display hwping result administrator jitter
[H3C-hwping-administrator-jitter] display hwping history administrator jitter
[H3C-hwping-administrator-jitter] display hwping jitter administrator jitter
注意:
必须在目的端启动HWPing服务器,目的端的配置如下:
[H3C] hwping-server enable
[H3C] hwping-server udpecho 169.254.10.2 9000
在HWPing服务器上使用命令hwping-server udpecho创建响应UDP包的HWPing服务器时,指定的IP地址和端口号是服务器所要处理的包的目的地址和目的端口。它们必须和上面步骤3,4中配置的IP地址和端口号一样。
HWPing SNMP测试用来测试从发出一个SNMP协议查询包到接收到响应所用的时间。
& 说明:
要想成功创建并启动一个SNMP类型的测试操作,必须在HWPing客户端执行以下步骤1,2,3,6,其它步骤为可选项。
# 使能SNMP客户端。
[H3C] snmp-agent trap enable
# 使能hwping客户端。
[H3C] hwping-agent enable
# 步骤1:创建一个HWPing测试组。在本例中指定的管理员名字为administrator,测试操作标签为snmp。
[H3C] hwping administrator snmp
# 步骤2:配置测试的类型为SNMP。
[H3C-hwping-administrator-snmp] test-type snmpquery
# 步骤3:配置 目的IP地址为169.254.10.2。
[H3C-hwping-administrator-snmp] destination-ip 169.254.10.2
# 步骤4:配置一次测试中进行探测的次数。
[H3C-hwping-administrator-snmp] count 10
# 步骤5:配置超时时间。
[H3C-hwping-administrator-snmp] timeout 30
# 步骤6:启动测试操作。
[H3C-hwping-administrator-snmp] test-enable
# 步骤7:查看测试结果。
[H3C] display hwping result administrator snmp
[H3C] display hwping history administrator snmp
注意:
指定端口的HWPing TCP测试用来测试本端和指定的目的端之间建立TCP连接的时间。
& 说明:
要想成功创建并启动一个TCP类型的测试操作。必须执行以下步骤1,2,3,4,7,其它步骤为可选项。
# 使能HWPing客户端。
[H3C] hwping-agent enable
# 步骤1:创建一个HWPing测试组。在本例中指定的管理员名字为administrator,测试操作标签为tcpprivate。
[H3C] hwping administrator tcpprivate
# 步骤2:配置测试的类型为tcpprivate。
[H3C-hwping-administrator-tcpprivate] test-type tcpprivate
# 步骤3:配置HWPing服务器的IP地址为169.254.10.2。
[H3C-hwping-administrator-tcpprivate] destination-ip 169.254.10.2
# 步骤4:配置HWPing服务器的目的端口。
[H3C-hwping-administrator-tcpprivate] destination-port 9000
# 步骤5:配置一次测试中进行探测的次数。
[H3C-hwping-administrator-tcpprivate] count 10
# 步骤6:配置超时时间。
[H3C-hwping-administrator-tcpprivate] timeout 3
# 步骤7:启动测试操作。
[H3C-hwping-administrator-tcpprivate] test-enable
# 步骤8:查看测试结果。
[H3C] display hwping result administrator tcpprivate
[H3C] display hwping history administrator tcpprivate
注意:
必须在目的端启动HWPing服务器并创建HWPing TCP监听服务,在目的端的配置如下:
[H3C] hwping-server enable
[H3C] hwping-server tcpconnect 169.254.10.2 9000
在HWPing服务器上使用命令hwping-server tcpconnect创建建立TCP监听服务时,指定的IP地址和端口号必须和上面步骤3,4中配置的IP地址和端口号一样。
指定端口的HWPing UDP测试用来测试本端和指定的目的端之间UDP协议包的往返时间。
& 说明:
要想成功创建并启动一个指定端口的UDP类型的测试操作。必须执行以下步骤1,2,3,4,7,其它步骤为可选项。
# 使能HWPing客户端。
[H3C] hwping-agent enable
# 步骤1:创建一个HWPing测试组。在本例中指定的管理员名字为administrator,测试操作标签为udpprivate。
[H3C] hwping administrator udpprivate
# 步骤2:配置测试的类型为udpprivate。
[H3C-hwping-administrator-udpprivate] test-type udpprivate
# 步骤3:配置HWPing服务器的IP地址为169.254.10.2。
[H3C-hwping-administrator-udpprivate] destination-ip 169.254.10.2
# 步骤4:配置HWPing服务器的目的端口。
[H3C-hwping-administrator-udpprivate] destination-port 9000
# 步骤5:配置一次测试中进行探测的次数。
[H3C-hwping-administrator-udpprivate] count 10
# 步骤6:配置超时时间。
[H3C-hwping-administrator-udpprivate] timeout 3
# 步骤7:启动测试操作。
[H3C-hwping-administrator-udpprivate] test-enable
# 步骤8:查看测试结果。
[H3C] display hwping result administrator udpprivate
[H3C] display hwping history administrator udpprivate
注意:
要在目的端启动HWPing服务器,需进行如下配置:
[H3C] hwping-server enable
[H3C] hwping-server udpecho 169.254.10.2 9000
在HWPing服务器上使用命令hwping-server udpecho创建响应UDP包的HWPing服务时,指定的IP地址和端口号是服务器所要处理的包的目的地址和目的端口。它们必须和上面步骤3,4中配置的IP地址和端口号一样。
文件系统的主要功能为管理存储设备,把文件保存在存储设备中。路由器目前支持的存储设备是FLASH。
文件系统是指对存储设备中的文件、目录的管理,包括创建文件系统,创建、删除、修改、更名文件和目录,以及显示文件的内容。
文件系统可以创建并删除目录,以及显示当前的工作目录,显示指定目录下的文件或目录信息。
请在用户视图下进行下列操作。
|
操作 |
命令 |
|
创建目录 |
mkdir directory |
|
删除目录 |
rmdir directory |
|
显示当前的工作目录 |
pwd |
|
显示目录或文件信息 |
dir [ /all ] [ file-url | flash: ] |
|
改变当前目录 |
cd directory |
文件系统可以删除文件、恢复删除的文件、彻底删除回收站中的文件、显示文件的内容、重新命名、拷贝文件、移动文件、执行批处理文件、显示指定文件的信息和私有文件信息,如下表所示。
请在用户视图下进行下列操作,其中execute命令在系统视图下执行。
|
操作 |
命令 |
|
删除文件 |
delete [ /unreserved ] { file-url | flash: } |
|
恢复删除文件 |
undelete { file-url | flash: } |
|
彻底删除回收站中的文件 |
reset recycle-bin [ filename | flash: ] [ /force ] |
|
显示文件的内容 |
more file-url |
|
重新命名文件或目录 |
rename source-name new-name |
|
拷贝文件 |
copy fileurl_source fileurl_dest |
|
移动文件 |
move fileurl_source fileurl_dest |
|
显示目录或文件信息 |
dir [ / all ] [ file-url | flash: ] |
|
执行批处理文件 |
execute { filename | flash: } |
当系统中有包含Web文件的文件时,可以将其解包分离出来。
请在用户视图下进行下列配置。
表7-3 解包捆绑Web文件的文件
|
操作 |
命令 |
|
解包捆绑Web文件的文件 |
detach web-bind-filename [ http-filename ] |
如果要解包的文件没有捆绑Web文件,则提示文件中没有捆绑Web文件;如果没有指定解包出的Web文件名,则Web文件名缺省为http.zip。
文件系统可以格式化指定的存储设备。
请在用户视图下进行下列操作。
|
操作 |
命令 |
|
格式化存储设备 |
format device-name |
用户通过命令可以修改当前文件系统的提示方式。
请在系统视图下进行下列操作。
|
操作 |
命令 |
|
文件系统的提示方式 |
file prompt { alert | quiet } |
# 查看根目录及test目录下当前的文件。
<H3C> dir
Directory of flash:/
1 -rw- 2145123 Apr 12 2007 12:28:08 system
2 -rw- 595 Apr 12 2007 10:47:50 config.txt
3 drw- - Apr 12 2007 19:41:20 test
6477 KB total (2144 KB free)
<H3C> dir flash:/test/
Directory of flash:/test/
1 drw- - Apr 12 2007 20:23:37 subdir
2 -rw- 595 Apr 12 2007 20:13:19 config.txt
3 -rw- 50 Apr 12 2007 20:08:32 sample.txt
6477 KB total (2144 KB free)
# 移动文件从flash:/test/sample.txt到flash:/sample.txt。
<H3C> move flash:/test/sample.txt flash:/sample.txt
Move flash:/test/sample.txt to flash:/sample.txt ?[Y/N]:y
%Moved file flash:/test/sample.txt to flash:/sample.txt
# 查看移动后的显示结果。
<H3C> dir
Directory of flash:/
1 -rw- 2145123 Apr 12 2007 12:28:08 ne80.bin
2 -rw- 595 Apr 12 2007 10:47:50 config.txt
3 drw- - Apr 12 2007 19:41:20 test
4 -rw- 50 Apr 12 2007 20:26:48 sample.txt
6477 KB total (2144 KB free)
<H3C> dir flash:/test/
Directory of flash:/test/
1 drw- - Apr 12 2007 20:23:37 subdir
2 -rw- 595 Apr 12 2007 20:13:19 config.txt
6477 KB total (2144 KB free)
FTP协议在TCP/IP协议族中属于应用层协议,主要向用户提供与远程主机之间的文件传输,FTP协议基于相应的文件系统实现。
系统提供的FTP服务包括:
l FTP Server服务,用户可以运行FTP客户端程序登录到路由器上,访问路由器上的文件。
l FTP Client服务,用户通过终端仿真程序或Telnet程序建立与路由器的连接后,可以通过输入FTP命令,建立路由器与远程FTP Server的连接,并访问远程主机上的文件。
FTP服务器配置包括:
l 启动FTP服务器
l 配置FTP服务器的验证和授权
l 配置FTP服务器的运行参数
l FTP服务器的显示和调试
只有启动FTP服务器功能,FTP客户端才能登录到服务器上,访问服务器上的文件。
请在系统视图下进行下列配置。
表7-6 启动FTP服务器
|
操作 |
命令 |
|
启动FTP服务器 |
ftp server enable |
|
关闭FTP服务器 |
undo ftp server |
缺省情况下,未启动FTP服务器。
FTP服务器的授权配置信息包含提供给FTP用户的工作目录的路径的配置等。只有验证通过和授权成功的用户,才能享受FTP服务器的服务。在使用FTP服务时,必须事先在路由器上配置好用户类型和FTP工作目录。
表7-7 配置FTP服务器的验证和授权
|
操作 |
命令 |
|
创建新的本地FTP用户,并且进入本地用户视图(系统视图) |
local-user user-name |
|
删除指定的本地用户 |
undo local-user { user-name | all } |
|
配置FTP用户的密码(本地用户视图) |
password { cipher | simple } password |
|
取消FTP用户的密码(本地用户视图) |
undo password |
|
配置FTP用户的授权信息(本地用户视图) |
service-type ftp [ ftp-directory directory ] |
|
恢复对FTP用户授权的缺省目录 |
undo service-type ftp [ ftp-directory ] |
FTP服务器的验证和授权配置举例:
例:配置FTP用户名为h3c,口令为h3c(明文),授权工作目录为flash:/ftp/h3c(路由器文件系统支持的路径名)
# 配置FTP用户的验证及相关信息。
[H3C] local-user h3c
[H3C-luser-h3c] password simple h3c
[H3C-luser-h3c] service-type ftp ftp-directory flash:/ftp/h3c
用户从PC机登录到FTP Server,使用put命令上载文件时,FTP Server有两种升级方式,快速升级方式和普通升级方式。
l 快速升级方式,即FTP Server在全部接收完用户上载的文件后,再开始将该文件写入Flash中。采用这种方式,即使文件传送过程发生断电等异常情况,也不会损坏路由器的现有文件。
l 普通升级方式,即FTP Server一边接收用户的文件,一边将其写入Flash中。采用这种方式,可能会因为断电等异常情况导致路由器现有文件被损坏。与快速升级方式相比,普通升级方式只需要路由器较少的空闲内存。
请在系统视图下进行下列配置。
表7-8 设置FTP升级方式
|
操作 |
命令 |
|
设置FTP升级方式 |
ftp update { fast | normal } |
|
恢复FTP缺省的升级方式 |
undo ftp update |
缺省情况下,FTP服务器采用快速升级方式。
& 说明:
当FTP Server将文件写入Flash中时,禁止用户使用reboot命令重启设备。
为了防止未授权用户的非法入侵,如果在一定时间内没有收到FTP用户的服务请求,则断开与该FTP客户端的连接。
请在系统视图下进行下列配置。
表7-9 配置FTP服务器的超时断连时间
|
操作 |
命令 |
|
配置FTP服务器的超时断开时间 |
ftp timeout minutes |
|
恢复FTP服务器的超时断开时间的缺省值 |
undo ftp timeout |
缺省情况下,连接空闲超时时间为30分钟。
请在系统视图下进行下列配置。
表7-10 为FTP Server指定源接口或源IP地址
|
操作 |
命令 |
|
为FTP Server指定源接口 |
ftp-server source-interface interface-type interface-number |
|
删除为FTP Server指定的源接口 |
undo ftp-server source-interface |
|
为FTP Server指定发送报文中的源IP地址 |
ftp-server source-ip ip-address |
|
删除为FTP Server指定的源IP地址 |
undo ftp-server source-ip |
缺省情况下,发送报文中的源IP地址为出接口的IP地址。
& 说明:
指定源IP地址和指定源接口命令是互斥的,后配置的命令将覆盖先前的配置。
在完成上述配置后,在任何视图下执行display命令可以显示配置后FTP的运行情况,通过查看显示信息验证配置的效果。
表7-11 FTP服务器的显示和调试命令
|
操作 |
命令 |
|
查看FTP服务器 |
display ftp-server |
|
显示当前为FTP Server设置的源IP地址 |
display ftp-server source-ip |
|
查看登录的FTP用户 |
display ftp-user |
display ftp-server命令显示当前FTP服务器的配置情况,包括FTP服务器支持的最大用户数和超时断开时间。display ftp-user显示登录的FTP用户的详细情况。
路由器可以作为FTP客户端与远程FTP服务器连接,并键入FTP客户端的命令来进行相应的操作。目前只支持一个FTP客户端。
注意:
l 当使用Windows操作系统的Internet Explorer作为FTP客户端时,建议使用指定用户名和密码的方式进行登录,即“ftp://username:password@ftp_server_ip”的形式。如果使用仅指定FTP服务器地址的方式登录,即“ftp://ftp_server_ip”的形式,则会提示登录不成功,这是因为Comware实现的FTP不支持匿名用户登录。这时可以单击鼠标右键,在菜单中选择“登录”后,输入正确的用户名和密码即可。
l 建议用户使用其它第三方FTP客户端软件进行FTP操作。
FTP客户端可以执行的操作命令如:建立FTP连接,建立、删除目录等。具体命令应用详见“命令手册 FTP客户端命令”一节。
& 说明:
当使用FTP客户端进行文件传输时,如果本地设备已存在同名文件,则用户需要手动删除该文件后再启动文件传输,以免造成FTP响应超时,导致连接中断。
请在系统视图下进行下列配置。
表7-12 为FTP Client指定源接口或IP地址
|
操作 |
命令 |
|
为FTP Client指定源接口 |
ftp source-interface interface-type interface-number |
|
删除为FTP Client指定的源接口 |
undo ftp source-interface |
|
为FTP Client指定发送报文中的源IP地址 |
ftp source-ip ip-address |
|
删除为FTP Client指定的源IP地址 |
undo ftp source-ip |
缺省情况下,发送报文中的源IP地址为出接口的IP地址。
& 说明:
指定源IP地址和指定源接口命令是互斥的,后配置的命令将覆盖先前的配置。
在完成上述配置后,在任意视图下执行display命令。
表7-13 FTP客户端的显示
|
操作 |
命令 |
|
显示当前为FTP Client设置的源IP地址 |
display tftp source-ip |
使用FTP升级Comware主体软件,路由器作为Client。FTP服务器IP地址为172.16.104.110。FTP用户名为8043,密码为h3c。
图7-1 利用FTP Client功能实现平滑升级
请按如下方法进行操作:
#(提示)删除路由器存储设备中的多余文件,以保证剩余足够的空间,用于存储新的系统文件。
<H3C> dir
Directory of flash:/
1 -rw- 939 Nov 29 2004 15:08:44 config.cfg
2 -rw- 8985472 Dec 19 2004 14:52:08 main.bin
3 -rw- 969 Oct 29 2004 16:10:20 sip.cfg
31877 KB total (17007 KB free)
<H3C> delete /unreserved sip.cfg
# 以FTP方式登录服务器,获取系统主体软件,并存放于路由器存储设备的根目录下。
# 获取的系统文件必须存放在路由器存储设备的根目录下(flash:),文件名为“system”。
<H3C> ftp 172.16.104.110
Trying 172.16.104.110 ...
Connected to 172.16.104.110.
220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user
User(172.16.104.110:(none)):8040
331 Give me your password, please
Password:xxxxxxx
230 Logged in successfully
[ftp] binary
[ftp] get comware3.cc system
200 PORT command okay
150 "D:\8040\system\comware3.cc" file ready to send (5805100 bytes) in IMAGE / Binary mode
226 Transfer finished successfully.
FTP: 5805100 byte(s) received in 19.898 second(s) 291.74Kbyte(s)/sec.
[ftp] bye
升级成功后重新启动路由器,运行升级的版本。
& 说明:
当在升级过程中时,若FTP服务器因故障或其它原因导致与路由器(FTP Client)的连接中断时,用户可以通过键入<Ctrl+k>快捷键强行退出。
使用FTP升级Comware主体软件,路由器作为Server。路由器以太网口的IP地址为172.16.104.110。FTP用户名为8043,密码为h3c。
图7-2 利用FTP Client功能实现平滑升级
(1) 配置路由器
# 添加FTP授权用户名和密码。
[H3C] local-user 8043
[H3C-luser-8043] password simple h3c
[H3C-luser-8043] service-type ftp
[H3C-luser-8043] ftp-directory flash:/ftp/h3c
# 启动FTP服务。
[H3C] ftp server enable
#(提示)删除路由器存储设备中的多余文件,以保证剩余足够的空间,用于存储新的系统文件。
<H3C> dir
Directory of flash:/
1 -rw- 939 Nov 29 2004 15:08:44 config.cfg
2 -rw- 8985472 Dec 19 2004 14:52:08 main.bin
3 -rw- 969 Oct 29 2004 16:10:20 sip.cfg
31877 KB total (17007 KB free)
<H3C> delete /unreserved sip.cfg
(2) 配置PC
# 以FTP方式登录路由器,上传Comware软件,并存放于路由器存储设备的根目录下。
ftp> put comware3.cc system
升级成功后重新启动路由器,运行升级的版本。
& 说明:
利用FTP功能升级配置文件时,操作步骤与上述介绍完全一致,需要注意的是获取后的配置文件config.cfg同样要放在路由器的根目录下(flash:)。
TFTP(Trivial File Transfer Protocol)是一种简单文件传输协议。相对于另一种文件传输协议FTP,TFTP不具有复杂的交互存取接口和认证控制,适用于客户机和服务器之间不需要复杂交互的环境。例如,在系统启动时,使用TFTP协议来获取系统的内存映像。TFTP协议一般在UDP的基础上实现。
TFTP传输是由客户端发起的。当需要下载文件时,先由客户端向TFTP服务器发送读请求包,然后从服务器接收数据包,并向服务器发送确认;当需要上传文件时,先由客户端向TFTP服务器发送写请求包,然后向服务器发送数据包,并接收服务器的确认。路由器提供了TFTP客户端的功能。
请在用户视图下进行下列配置。
表7-14 用TFTP下载文件
|
操作 |
命令 |
|
用TFTP下载文件 |
tftp host [ source-interface interface-type interface-number | source-ip ip-address ] { get | sget } source-filename [ destination-filename ] |
注意:
当采用安全方式下载时,要求当前系统内存有足够空间存放待下载文件。
请在用户视图下进行下列配置。
表7-15 用TFTP上传文件
|
操作 |
命令 |
|
用TFTP上传文件 |
tftp host [ source-interface interface-type interface-number | source-ip ip-address ] put source-filename [ destination-filename ] |
该配置任务用来设置TFTP服务器访问控制列表,即与acl命令设置的访问控制列表相关联,实现对远端TFTP服务器地址的访问控制。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
指定可以访问TFTP服务器的访问控制列表 |
tftp-server acl acl-number |
|
删除设置的访问控制列表 |
undo tftp-server acl |
请在系统视图下进行下列配置。
表7-17 为TFTP Client指定源接口或IP地址
|
操作 |
命令 |
|
为TFTP Client指定源接口 |
tftp source-interface interface-type interface-number |
|
删除为TFTP Client指定的源接口 |
undo tftp source-interface |
|
为TFTP Client指定发送报文中的源IP地址 |
tftp source-ip ip-address |
|
删除为TFTP Client指定的源IP地址 |
undo tftp source-ip |
缺省情况下,发送报文中的源IP地址为出接口的IP地址。
& 说明:
指定源IP地址和指定源接口命令是互斥的,后配置的命令将覆盖先前的配置。
在完成上述配置后,在任意视图下执行display命令。
表7-18 TFTP客户端的显示
|
操作 |
命令 |
|
显示当前为TFTP Client设置的源IP地址 |
display tftp source-ip |
配置文件为一文本文件,其格式如下:
l 以命令格式保存。
l 为了节省空间,只保存非缺省的参数(各配置参数的缺省值详见以后各章节)。
l 命令的组织以命令视图为基本框架,同一命令视图的命令组织在一起,形成一节,节与节之间通常用空行或注释行隔开(以#开始的为注释行)。空行或注释行可以是一行或多行。
l 节的顺序安排通常为:全局配置、物理接口配置、逻辑接口配置、路由协议配置等。
l 以return为结束。
使用save命令保存的路由器配置以文件形式存放在Flash之中。路由器启动时,根据从Flash中读取的配置文件进行路由器的初始化工作,因此,该配置文件中的配置称为起始配置。运行过程中,路由器正在使用的配置称为当前配置,当前配置存放在路由器的内存之中,在路由器重启之后就会丢失。
请在任何视图下,进行下列操作。
|
操作 |
命令 |
|
显示本次启动时加载的配置文件 |
display saved-configuration [ by-linenum ] |
|
显示系统本次启动及下次启动使用的配置文件 |
display startup |
|
显示当前视图的配置 |
display this |
|
显示路由器的当前的运行配置 |
display current-configuration[ interface interface-type [ interface-number ] | configuration [ isp | zone | interzone | radius-template | system | user-interface ] ] [ by-linenum ] [ | { begin | include | exclude } string ] |
& 说明:
配置文件的显示格式与保存格式相同。
通过命令行接口,用户可以修改路由器当前配置。为了使当前配置能够作为路由器下次上电时的起始配置,需要用save命令保存当前配置到Flash中,形成配置文件。
请在任意视图下进行下列操作。
|
操作 |
命令 |
|
保存当前配置 |
save [ file-name | safely ] |
当没有指定file-name时,配置文件缺省保存到本次启动加载的配置文件中。
不带safely参数表示快速保存配置文件,保存过程中不能对设备进行重启动、断电等。否则,会丢失配置文件。带有safely参数,保存配置文件的速度会慢一点。但是,如果保存过程中出现设备重启动,断电等问题,配置文件会在Flash中一直保存,不会丢失。
缺省方式下,采用快速保存模式。对于电源稳定程度较好的环境,推荐使用默认的快速模式。对于电源环境恶劣,或者远程维护等情况,推荐使用带有safely参数的保存配置命令。
& 说明:
为了保证路由器重启之后能够使用与当前相同的配置,在重启路由器之前,建议用户使用save命令保存配置。
用reset saved-configuration命令可以删除Flash中保存的本次启动时加载的配置文件。配置文件被删除后,路由器下次上电时将采用缺省的或预先指定的配置文件进行初始化,以下几种情况时,需要删除存储设备中的配置文件:
l 在路由器软件升级之后,可能会引起路由器软件和配置文件不匹配。
l 发现配置文件遭到破坏,如加载了错误的配置文件。
删除配置文件后,可用save命令保存当前配置为新的配置文件。
请在用户视图下进行下列操作。
|
操作 |
命令 |
|
删除Flash中保存的本次启动时加载的配置文件 |
reset saved-configuration |
请在用户视图下进行下列操作。
|
操作 |
命令 |
|
设置系统下次启动时使用的配置文件 |
startup saved-configuration filename |
config.cfg:是用户保存配置的缺省文件名,名字由厂商规定,内容可由用户修改。
config.def:是缺省的出厂配置文件名,内容由厂商规定。
config.txt:是过去出厂的H3C设备的配置文件。
系统启动时配置文件的选择顺序分为如下三种情况:
(1) 如果用户没有设置跳过配置文件启动,就按下面(2)、(3)的顺序进行选择;否则,以空配置启动:
(2) 如果用户指定了启动的配置文件,则按下面的顺序进行选择;
l 若配置文件存在,则以该文件为启动配置文件。
l 若配置文件不存在,则以缺省出厂配置文件(config.def)为启动配置文件。如果config.def也不存在,以空配置启动。
(3) 如果用户不指定启动配置文件,则按下面的顺序进行选择。
l 若config.cfg存在,则以config.cfg为启动文件;
l 若不存在,就查找config.txt文件,找到就以config.txt为启动配置文件;
l 以上两个文件不存在,再查找config.def,找到就以config.def为启动配置文件;
l 否则以空配置启动。
配置文件可以通过以下三种方法备份下来:
l 备份display current-configuration命令显示。
l 通过FTP备份。
l 通过TFTP备份
使用display current-configuration命令可以显示路由器的所有配置(缺省配置除外)。在超级终端中,拷贝其中所有的配置显示内容到一个文本文件中,就可以备份配置文件。
通过FTP备份配置文件有两种方法:
一是路由器作为FTP Server,将路由器上的配置文件下载到PC(FTP Client)上。
路由器启动后,进行如下配置:
[H3C] local-user h3c
[H3C-luser-h3c] password simple h3c
[H3C-luser-h3c] service-type ftp ftp-directory flash:/ftp/h3c
然后在已经与路由器连通的PC上建立到路由器的FTP连接,并备份配置文件:
C:\>ftp x.x.x.x
<ftp> get remotefile [localfile]
200 Port command okay.
150 Server okay , now transmit file .
226 file transmit success.
ftp: 735 bytes received in 0.06Seconds 12.25Kbytes/sec.
其中remotefile文件为路由器上的配置文件(config.cfg)。
二是路由器作为FTP Client,将路由器中的配置文件上传到PC(FTP Server)中。
在已经与路由器连通的PC上启动FTP Server 并配置授权信息,然后在路由器上执行如下命令:
<H3C> ftp x.x.x.x
[ftp] put localfile [ remotefile ]
其中localfile文件应为路由器上的配置文件(config.cfg)。
路由器作为TFTP Clent,将路由器上的配置文件上传到PC(TFTP Server)上。在路由器上执行如下命令:
<H3C> tftp x.x.x.x put localfile [ remotefile ]
其中localfile文件应为路由器上的配置文件,remotefile为上传到TFTP Server后保存的配置文件名。
用户界面视图(User-interface view)是与接口视图类似的视图,是系统提供的一种新的视图,用来管理那些工作在流方式下的异步物理和逻辑接口。由于这类接口常常用于对系统进行配置管理,因此,通过用户界面视图,可以达到统一管理各种用户配置的目的。
目前系统支持的配置方式有:
l Console口本地配置。
l AUX口本地或远程配置。
l Telnet或SSH本地或远程登录配置。
与这些配置方式对应的是三种类型的用户界面:
l CON口(Console)
“控制口”(Console port)是一种线设备端口,路由器提供一个Console口,端口类型为EIA/TIA-232 DCE,便于我们进行配置。
l AUX口(AUX)
“辅助端口”(Auxiliary port)也是一种线设备端口,路由器提供一个AUX口,端口类型为EIA/TIA-232 DTE,通常用于通过Modem进行拨号访问。
l 虚拟线路(VTY)
“虚拟连接”(Virtual port)属于逻辑终端线,用于对路由器进行Telnet访问,通常简称为VTY。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
系统的用户界面共分三类,并按照一定的先后顺序排列:
分别是控制台(CON)、辅助接口(AUX)、虚拟接口(VTY)三种类型。控制台和辅助接口分别只有一个;VTY类型的用户界面可能有多个,而每种类型的多个用户界面内部又按照顺序排列。绝对编号的起始编号是ui0(即CON口),其它接口依次类推。CON、AUX口各占一个编号;VTY接口,不同产品可以支持的数量不同,请使用display user-interface查看即可得知。绝对编号可以唯一的指定一个用户界面或一组用户界面。
相对编号方式的形式是:“用户界面类型”+“编号”。此编号是每种类型的用户界面的内部编号。此种编号方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。相对编号方式遵守的规则如下:
l 控制台的编号:con 0;
l 辅助线的编号:aux 0;
l VTY的编号:第一条为VTY 0,第二条为VTY 1,依此类推。
用户界面配置包括:
l 进入User-interface视图
l 配置用户界面支持的协议
l 配置异步接口属性
l 配置终端属性
l 用户管理
l Modem属性设置
l 配置自动执行命令
l 配置VTY类型用户界面的呼入/呼出限制
在系统视图下,键入相应的命令,即进入相应的用户界面视图。可以进入单一用户界面视图,对一个User-interface进行配置,也可以进入多条用户界面视图,同时配置多条User-interface。
|
操作 |
命令 |
|
进入单一用户界面视图或多个用户界面视图 |
user-interface [ type-keyword ] number [ ending-number ] |
# 进入User-interface aux口视图。
[H3C] user-interface aux 0
[H3C-ui-aux0]
在用户界面视图下,可以配置和管理接口的属性,包括:
(1) 异步属性:速率(speed),流控方式(flowcontrol),校验(parity),停止位(stopbits),数据位(databits)。
(2) 终端属性配置:使能终端服务功能(shell),终端用户超时断开设定(idle-timeout),设置终端屏幕的一屏长度(screen-length),验证配置,设置历史命令缓冲区大小。
(3) 优先级设置:设置通过用户界面登录系统的用户的优先级。
(4) Modem属性配置:Modem和脚本配置。
该配置任务用来指定所在的用户界面支持的协议,缺省为支持所有协议,包括Telnet和SSH。
请在VTY类型的用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置所在用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
在用户界面视图下,可以配置其异步属性。这些配置命令都只有工作在异步流方式下才有效。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置传输速率 |
speed speed-value |
|
恢复传输速率的缺省值 |
undo speed |
异步口支持的传输速率有:
l 1200bps
l 2400bps
l 4800bps
l 9600bps
l 19200bps
l 38400bps
l 57600bps
l 115200bps
缺省的异步口传输速率为9600bps。
|
操作 |
命令 |
|
配置流控方式 |
flow-control { none | software | hardware } |
|
恢复流控方式为缺省方式 |
undo flow-control |
AUX口缺省的流控方式为硬件流控。
参数说明如下:
none:不进行流控。
software:进行软件流控。
hardware:进行硬件流控,只对AUX口有效。
|
操作 |
命令 |
|
设置校验位 |
parity { none | even | odd | mark | space } |
|
设置校验位为缺省值 |
undo parity |
参数说明如下:
none:无校验。
even:进行偶校验。
odd:进行奇校验。
mark:进行mark校验。
space:进行space校验。
缺省为none,不进行校验。
|
操作 |
命令 |
|
设置停止位 |
stopbits { 1.5 | 1 | 2 } |
|
恢复停止位为缺省值 |
undo stopbits |
停止位的缺省值是1。
|
操作 |
命令 |
|
设置数据位 |
databits { 5 | 6 | 7 | 8 } |
|
恢复数据位为缺省值 |
undo databits |
异步口支持的数据位为:5,6,7,8。
缺省为8位数据位。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
启动终端服务 |
shell |
|
禁止终端服务 |
undo shell |
注意:
缺省在所有的用户界面上启动终端服务。
# 例如:
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] undo shell
对于当前执行该命令的Telnet用户没有影响,其它的Telnet用户都将被迫下线,而新发起的Telnet连接也无法建立。例如,当前有两个Telnet用户,分别登录到vty1和vty2,当vty1用户在vty2视图下执行undo shell命令时,vty2用户将被迫下线。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置用户超时断连功能 |
idle-timeout minutes [ seconds ] |
|
恢复用户超时断连缺省值 |
undo idle-timeout |
缺省为启动终端用户定时断开功能,时间为10分钟。也就是说,如果10分钟没有操作,此终端线路自动断开。用户可以配置idle-timeout 0,即关闭定时断开功能。
请在用户视图下进行下列配置。
该配置用来锁住当前使用的终端线路,并提示您输入密码。防止当您离开时,其它人对该终端线路进行操作。
|
操作 |
命令 |
|
配置锁住用户界面 |
lock |
# 当前以VTY 1线路登录路由器,有事要离开,需要锁住user-interface vty 1:
<H3C> lock
Password:xxxx
Again:xxxx
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置终端屏幕的一屏长度 |
screen-length screen-length |
|
恢复终端屏幕一屏长度的缺省设置 |
undo screen-length |
终端屏幕一屏长度的缺省为24行。
screen-length 0表示关闭分屏功能。
undo screen-length表示恢复缺省设置。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置历史命令缓冲区大小 |
history-command max-size size-value |
|
恢复历史命令缓冲区大小为缺省值 |
undo history-command max-size |
size-value为历史缓冲区大小。缺省值为10,意味着缺省可存放10条历史命令。
请在用户视图下进行下列配置。
|
操作 |
命令 |
|
设置在用户界面间传递消息 |
send { all | number | type-name number } |
在异步口通过modem拨入,通过用户界面视图可管理和配置modem的有关参数,相关配置命令只对AUX口有效。
|
操作 |
命令 |
|
设置系统收到了RING信号到等待CD_UP的时间间隔 |
modem timer answer seconds |
|
恢复系统缺省的收到RING信号到等待CD_UP的时间间隔 |
undo modem timer answer |
|
设置自动应答 |
modem auto-answer |
|
设置手动应答 |
undo modem auto-answer |
|
设置呼入呼出开关 |
modem [ call-in | call-out | both ] |
|
设置禁止呼入呼出 |
undo modem [ call-in | call-out | both ] |
# 在aux口设置modem自动应答。
[H3C-ui-aux0] modem auto-answer
auto-execute command命令使用时有如下的限制:
l Console口不支持auto-execute command。
l 如果路由器上只有一个AUX口,没有Console口(Console口和AUX口共用),则此AUX口也不支持auto-execute command。
l 对其他类型的接口不做限制。
用户在登录时,自动执行某条在该终端上用auto-execute command配置好的命令,命令执行结束后,自动断开用户线。
通常的用法是,在终端用auto-execute command配置Telnet命令,使用户自动连接到指定的主机。
注意:
使用该命令后,将导致不能通过该终端线对本系统进行常规配置,需谨慎使用。
在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他方法登录系统,以去掉此配置。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置自动执行命令 |
auto-execute command command |
|
取消自动执行命令 |
undo auto-execute command |
配置自动执行命令后,在用户重新登录时,自动执行此命令。
# 用户登录后,实现自动执行telnet命令,登录到目的主机。
执行步骤为:
(1) 在用户界面视图下,执行auto-execute command命令。
[H3C-ui4] auto-execute command telnet 10.110.100.1
(2) 退出系统视图,重新登录,自动执行telnet 10.110.100.1命令。
该配置通过引用ACL控制列表,对VTY(Telnet)类型的用户界面的呼入/呼出权限进行限制。
请在用户界面视图下进行下列配置。
表8-16 配置VTY类型用户界面的呼入呼出限制
|
操作 |
命令 |
|
配置VTY类型用户界面的呼入/呼出限制 |
acl acl-number { inbound | outbound } |
|
取消VTY类型用户界面的呼入/呼出限制 |
undo acl { inbound | outbound } |
请在任何视图下进行下列操作。
|
操作 |
命令 |
|
显示用户界面的使用信息 |
display users [ all ] |
请在任何视图下进行下列操作。
|
操作 |
命令 |
|
显示用户界面的物理属性和一些配置 |
display user-interface [ [ type-name ] number ] [ summary ] |
第一次启动路由器时,路由器没有设置用户名和口令。在不对登录用户进行验证的情况下,只要将计算机终端通过Console口与路由器连接,任何用户可以对路由器进行配置;如果为接口配置了IP地址,任何远端用户可能使用Telnet登录到路由器;远端用户还可能与路由器建立PPP连接从而访问网络。这显然对路由器和网络是不安全的。为此需要为路由器创建用户,并为用户设置口令,对用户进行管理。
& 说明:
本章侧重于阐述Terminal用户及Telnet用户的认证管理,其他用户及AAA RADIUS/HWTACACS认证方面的内容请参见本手册的“安全”部分。
从用户所获得的服务来划分,可以将路由器的用户划分为:
l Terminal用户,通过Console口或AUX口登录到路由器;
l Telnet用户,使用Telnet命令登录到路由器;
l FTP用户,与路由器建立FTP连接进行文件传输;
l PPP用户,与路由器建立PPP连接(例如拨号、PPPoE等),从而访问网络;
l SSH用户,与路由器建立SSH连接,登录到路由器;
一个用户可能同时获得几种服务,这样只需一个用户便可以执行多种功能。
系统可以对超级终端用户和Telnet用户进行分级管理。与命令的优先级一样,用户的优先级分为参观(Visit)、监控(Monitor)、系统(System)、管理(Manage)4个级别,级别标识为0~3。用户所能访问命令的级别,由用户的级别确定。如果不对用户进行认证或采用password认证的情况下,登录到路由器的用户所能访问的命令级别由登录所使用的用户界面的级别确定。
用户所能访问的命令包括用户级别的命令以及低于用户级别的命令,例如用户的级别为2,则用户可以访问级别为0、1、2的命令。级别为3的用户可以访问所有的命令。各级别用户所能访问的命令如表9-1所示。
|
用户级别 |
名称 |
所能访问的命令 |
|
0 |
参观 |
ping、tracert、telnet、rsh、nslookup、super、language-mode、display、quit |
|
1 |
监控 |
0级命令、reboot、reset、send、terminal、undo、upgrade、debugging |
|
2 |
系统 |
所有配置命令(管理级的命令除外)和0、1级命令 |
|
3 |
管理 |
所有命令 |
& 说明:
管理级的命令是指文件系统命令、设置用户界面的验证方式和用户访问级别、FTP命令、TFTP命令。
用户登录路由器时,系统会对用户的身份进行认证。对用户的认证有4种方案:不认证、password认证、本地认证、AAA服务器认证。不认证即不需用户名和口令,就可登录路由器。为安全起见,不认证方案是不可取的。password认证只需口令,不需用户名,可以获得一定的安全性。本地认证需要用户提供用户名和口令,该用户名和口令必须与路由器上的配置保持一致;AAA服务器认证也需要用户提供用户名和口令,该用户名和密码必须与AAA服务器上配置的一致,拨号用户常采用这种认证方案。
对Telnet用户和Terminal用户一般采用本地认证。
可以根据需要规划路由器的用户。通常,路由器至少需要创建一个超级终端用户――Console用户。如果需要从远端使用Telnet登录到路由器,则需配置一个Telnet用户。为了让远端用户向路由器加载或下载文件,可以配置FTP用户。为了让用户通过与路由器建立的PPP连接访问网络,则需要配置PPP用户。
本章主要介绍如何配置Telnet用户和超级终端用户。FTP用户的配置请参考本模块的《文件管理》中的FTP配置的内容。PPP用户的配置请参考本手册的“用户接入”及“安全”部分的内容。
配置用户的任务包括:
l 配置认证用户的方式
l 配置用户名及口令
l 设置用户优先级
l 设置用户按命令行进行计费
认证用户的作用是使合法用户能登录并使用路由器,非法用户不能通过认证而不能使用路由器。
配置认证用户的方式是用来设置指定用户登录路由器时所需的认证方法。
请在用户界面视图下,执行如下的命令:
|
操作 |
命令 |
|
设置进行用户认证 |
authentication-mode { password | scheme [ command-authorization ] } |
|
设置不进行用户认证 |
authentication-mode none |
关键字none表示不认证用户身份。关键字password表示认证不需用户名,只需口令字。scheme表示使用AAA配置的认证方案进行认证(包括本地认证方案和RADIUS、HWTACACS认证,具体认证方案由scheme命令来指定)。
VTY类型(即Telnet、SSH用户)、AUX的用户界面缺省为password方式认证,其它类型用户界面缺省不进行终端认证。
在配置Telnet用户和Teminal用户的认证方式时,通常设置为scheme方式中的本地认证方案。
scheme认证方式请参考本手册的“安全”部分。
如果在配置认证方式时选择password方式进行用户认证,则需设置password认证的口令。
请在用户界面视图下进行如下配置。
表9-3 设置password认证的口令
|
操作 |
命令 |
|
设置password认证的口令 |
set authentication password { cipher | simple } password |
|
取消password认证的口令 |
undo set authentication password |
cipher表示配置密文密码,simple表示配置明文密码。
如果选择本地认证,则需先设置用户名和口令。
表9-4 配置进行AAA本地认证的用户名及口令
|
操作 |
命令 |
|
配置用户(系统视图) |
local-user user-name |
|
取消用户(系统视图) |
undo local-user { user-name | all } |
|
设置本地用户的密码(本地用户视图) |
password { cipher | simple } password |
|
取消本地用户的密码(本地用户视图) |
undo password |
cipher表示配置密文密码,simple表示配置明文密码。
然后配置用户使用本地认证方案。
|
操作 |
命令 |
|
创建一个ISP域,或者进入已创建ISP域的视图(系统视图) |
domain { isp-name | default { disable | enable isp-name } } |
|
删除指定的ISP域(系统视图) |
undo domain isp-name |
|
配置当前ISP域用户使用本地认证方案(ISP域视图) |
scheme local |
用户所能访问的系统命令可以从两方面进行限制,一个是用户界面的优先级,一个是用户的优先级。
本命令可以设置各用户界面的优先级。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置用户界面的优先级 |
user privilege level level |
|
恢复用户界面缺省的优先级 |
undo user privilege level |
Console口对应的优先级缺省为3,其它用户界面的优先级缺省为0。
# 例如,设置Console口的优先级为3,VTY 0的优先级为2。
[H3C-ui-console0] user privilege level 3
[H3C-ui-vty0] user privilege level 2
这样当同一个用户分别从CON口和VTY 0登录时,其所能访问的命令是不同的(假设从这2个用户界面登录时均不需要认证)。当他从CON口登录时,可以使用所有的命令;但当他从VTY 0登录时,只能访问2级以下的命令。
本命令可以根据用户名来配置指定用户的优先级。
请在本地用户视图下进行下列配置。
|
操作 |
命令 |
|
设置用户优先级 |
level level |
|
恢复用户优先级的默认值 |
undo level |
level代表用户的优先级,其范围是0~3。0级别最低,3级别最高。在配置用户以后,用户默认的优先级为0。
& 说明:
如果配置的认证方式为不认证或采用password认证,则用户登录到系统后所能访问的命令级别由用户界面的优先级确定。如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的优先级确定。
请在用户界面视图下执行下面命令。
|
操作 |
命令 |
|
配置Terminal用户登录用户界面后以命令行方式进行计费 |
accounting commands scheme |
|
取消Terminal用户的命令行计费 |
undo accounting commands scheme |
缺省情况下,未设定命令行计费。
在配置了用户账号后,可以使用下面的命令显示所配置的用户、本地用户以及在线用户信息。
请在任意视图下进行下列操作。
|
操作 |
命令 |
|
显示用户界面的使用信息 |
display users [ all ] |
|
查看本地用户列表 |
display local-user |
要求对从VTY 0登录的用户进行password认证,用户登录时需要输入口令h3c才能登录成功,用户优先级为3。操作命令如下:
<H3C> system-view
[H3C] user-interface vty 0
[H3C-ui-vty0] authentication-mode password
[H3C-ui-vty0] set authentication password simple h3c
[H3C-ui-vty0] user privilege level 3
要求用户从VTY 0登录时输入已配置的用户名comware和对应的口令h3c,用户名和口令正确才能登录成功。操作命令如下:
<H3C> system-view
[H3C] user-interface vty 0
[H3C-ui-vty0] authentication-mode scheme
[H3C-ui-vty0] quit
[H3C] local-user comware
[H3C-luser-comware] password simple h3c
[H3C-luser-comware] service-type telnet
[H3C-luser-comware] level 3
[H3C] domain system
[H3C-isp-system] scheme local
网络时间协议(Network Time Protocol,简称NTP)是用来在整个网络内发布精确时间的TCP/IP协议,其本身的传输基于UDP。其基本原理如下:
图10-1 NTP基本原理图
上图所示的是NTP基本工作原理,路由器GWA和GWB通过网络相连,它们都有自己独立的系统时钟,要实现各自系统时钟的自动同步,作如下假设:
l 在GWA和GWB的系统时钟同步之前, GWA的时钟设定为10:00:00am,GWB的时钟设定为11:00:00am。
l 以GWB为NTP时间服务器,即GWA将使自己的时钟与GWB的时钟同步。
l 数据包在GWA和GWB之间单向传输所需要的时间为1秒。
系统时钟同步的工作过程如下:
l GWA发送一个NTP消息包给GWB,该消息包带有它离开GWA时的时间戳,该时间戳为10:00:00am(T1)。
l 当此NTP消息包到达GWB时,GWB加上自己的时间戳,该时间戳为11:00:01am(T2)。
l 当此NTP消息包离开GWB时,GWB再加上自己的时间戳,该时间戳为11:00:02am(T3)。
l 当GWA接收到该响应消息包时,加上一个新的时间戳,该时间戳为10:00:03am(T4)。
至此,GWA已经拥有足够的信息,来计算两个重要的参数:
l NTP消息来回一个周期的时延Delay=(T4-T1)-(T3-T2)。
l GWA相对GWB的时间差offset=((T2-T1)+(T3-T4))/2。
这样,GWA就能够根据这些信息,来设定自己的时钟,使之与GWB的时钟同步。
这只是NTP工作原理的一个粗略描述,在RFC1305规范中,NTP使用复杂的算法,来确保时钟同步的精确性。
根据网络结构以及路由器在网络中的位置,NTP有六种工作模式,其中前两种模式也称单播模式。
l 设置远程服务器为本地时间服务器,此时本地路由器工作在client模式。在这种工作模式下,只能是本地客户机同步到远程服务器,而远程服务器不会同步到本地客户机;
l 设置远程服务器作为本地路由器的对等体,本地运行在symmetric active模式(即主动模式)在。这种配置下,本地服务器能同步到远程服务器(被动模式),远程服务器也能同步到本地服务器。如果双方都有参考时钟,以层数小的为准;
l 设置本地路由器的一个接口发送NTP的广播消息包,此时,本地路由器工作在广播服务器模式;
l 设置本地路由器的一个接口接收NTP的广播信息包,此时,本地路由器工作在广播客户模式;
l 设置本地路由器的一个接口发送NTP组播消息包,本地路由器运行在组播服务器模式;
l 设置本地路由器的一个接口接收NTP组播消息包,本地路由器运行在组播客户模式。
NTP协议用于整个网络内的时间同步,NTP配置包括:
l 配置NTP工作模式
l 设置NTP身份验证功能
l 设置本地发送NTP消息的接口
l 设置本地时钟作为NTP主时钟
l 允许/禁止接口接收NTP消息
l 设置对本地路由器服务的访问控制权限
l 设置本地允许建立的sessionss的数目
根据网络结构以及路由器在网络中的位置,可设置六种NTP工作模式。
l 配置NTP服务器模式
l 配置NTP对等体模式
l 配置NTP广播服务器模式
l 配置NTP广播客户模式
l 配置NTP组播服务器模式
l 配置NTP组播客户模式
设置以X.X.X.X或server-name所指定的远程服务器作为本地时间服务器。X.X.X.X是一个主机地址,不能为广播、组播地址或参考时钟的IP地址。本地路由器工作在client模式,在这种工作模式下,只能是本地客户机同步到远程服务器,而远程服务器不会同步到本地客户机。
请在系统视图下进行下列配置。
表10-1 配置NTP服务器模式
|
操作 |
命令 |
|
配置NTP服务器模式 |
ntp-service unicast-server { X.X.X.X | server-name } [ version number | authentication-keyid keyid | source-interface interface-type interface-number | priority ] * |
|
取消NTP服务器模式 |
undo ntp-service unicast-server { X.X.X.X | server-name } |
NTP版本号number范围是1~3,缺省值为3;身份验证密钥ID号keyid范围为1~4294967295;interface-type interface-number指定一个接口,本地路由器给时间服务器发送NTP消息时,消息包中的源IP地址从该接口获取;priority指定该时间服务器为优先选择的时间服务器。
设置以X.X.X.X或server-name所指定的远程服务器作为本地的对等体,本地运行在symmetric active模式。X.X.X.X是一个主机地址,不能为广播、组播地址或参考时钟的IP地址。在这种配置下,本地路由器能同步到远程服务器,远程服务器也能同步到本地服务器。
请在系统视图下进行下列配置。
表10-2 配置NTP对等体模式
|
操作 |
命令 |
|
配置NTP对等体模式 |
ntp-service unicast-peer { X.X.X.X | server-name } [ version number | authentication-key keyid | source-interface interface-type interface-number | priority ] * |
|
取消NTP对等体模式 |
undo ntp-service unicast-peer { X.X.X.X | server-name } |
NTP版本号number范围是1~3,缺省值为3;身份验证密钥ID号keyid范围为1~4294967295;interface-type interface-number指定本地路由器给对等体发送NTP消息时,消息包中的源IP地址从该接口获取;priority指定该对等体为优先选择的时间服务器。
指定本地路由器上的一个接口来发送NTP广播消息包,本地运行在广播服务器模式,作为广播服务器周期性地发送广播消息到广播客户端。
请在接口视图下进行下列配置。
表10-3 配置NTP广播服务器模式
|
操作 |
命令 |
|
配置NTP广播服务器模式 |
ntp-service broadcast-server [ authentication-keyid keyid | version number ] * |
|
取消NTP广播服务器模式 |
undo ntp-service broadcast-server |
NTP版本号number范围是1~3,缺省值为3;身份验证密钥ID号keyid范围1~4294967295;此命令必须在欲发送NTP广播消息包的接口下配置。
指定本地路由器上的某接口来接收NTP广播消息包,并运行在广播客户模式。本地路由器首先侦听来自服务器的广播消息包,当接收到第一个广播消息包时,本地路由器为了估计网络延迟,先启用一个短暂的client/server模式与远程服务器交换消息。然后,本地路由器就进入广播客户模式,继续侦听广播消息包的到来,根据到来的广播消息包,对本地时钟进行同步。
请在接口视图下进行下列配置。
表10-4 配置NTP广播客户模式
|
操作 |
命令 |
|
配置NTP广播客户模式 |
ntp-service broadcast-client |
|
取消NTP广播客户模式 |
undo ntp-service broadcast-client |
此命令必须在欲接收NTP广播消息包的接口下配置。
指定本地路由器上的一个接口来发送NTP组播消息包,本地运行在组播服务器模式,作为组播服务器,周期性地发送组播消息到组播客户端。
请在接口视图下进行下列配置。
表10-5 配置NTP组播服务器模式
|
操作 |
命令 |
|
配置NTP组播服务器模式 |
ntp-service multicast-server [ X.X.X.X ] [ authentication-keyid keyid | ttl ttl-number | version number ] * |
|
取消NTP组播服务器模式 |
undo ntp-service multicast-server |
NTP版本号number范围是1~3,缺省值为3;身份验证密钥ID号keyid范围1~4294967295;组播包的生存期ttl-number范围为1~255;组播IP地址缺省为224.0.1.1;
此命令必须在欲发送NTP组播消息包的接口下配置。
指定本地路由器上的接口,来接收NTP组播消息包,本地路由器运行在组播客户模式。本地路由器首先侦听来自服务器的组播消息包,当接收到第一个组播消息包时,本地路由器为了估计网络延迟,先启用一个短暂的client/server模式与远程服务器交换消息。然后,本地路由器就进入组播客户模式,继续侦听组播消息包的到来,根据到来的组播消息包,对本地时钟进行同步。
请在接口视图下进行下列配置。
表10-6 配置NTP组播客户模式
|
操作 |
命令 |
|
配置NTP组播客户模式 |
ntp-service multicast-client [ X.X.X.X ] |
|
取消配置NTP组播客户模式 |
undo ntp-service multicast-client [ X.X.X.X ] |
组播IP地址X.X.X.X缺省为224.0.1.1;此命令必须在欲接收NTP组播消息包的接口下配置。
NTP身份验证功能需要在Server端和Client端同时配置,保证密钥一致,并为可信密钥,验证才能通过。
请在系统视图下进行下列配置。
表10-7 配置NTP身份验证功能
|
操作 |
命令 |
|
启动NTP身份验证功能 |
ntp-service authentication enable |
|
停止NTP身份验证功能 |
undo ntp-service authentication enable |
该配置任务用来设置NTP验证密钥。
请在系统视图下进行下列配置。
表10-8 配置NTP验证密钥
|
操作 |
命令 |
|
设置NTP验证密钥 |
ntp-service authentication-keyid number authentication-mode md5 value |
|
取消NTP验证密钥 |
undo ntp-service authentication-keyid number |
密钥编号number范围为1~4294967295;密钥值value为1~32个ASCII码字符。
该配置用来指定密钥是可信的。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
指定密钥是可信的 |
ntp-service reliable authentication-keyid key-number |
|
取消指定可信密钥 |
undo ntp-service reliable authentication-keyid key-number |
密钥编号key-number范围为1~4294967295。
对于服务器模式和对等体模式,应在Client端将指定密钥与对应的NTP Server关联。这两种模式下,Client端可能同时配置了多个Server,所以需要利用认证密钥来决定同步哪一个Server。
|
操作 |
命令 |
|
服务器模式下,将指定密钥与对应的NTP Server关联 |
ntp-service unicast-server { X.X.X.X | server-name } authentication-keyid keyid |
|
对等体模式下,将指定密钥与对应的NTP Server关联 |
ntp-service unicast-peer { X.X.X.X | server-name } authentication-key keyid |
对于广播服务器模式和组播服务器模式,应在Server端将Server与对应的密钥关联。
|
操作 |
命令 |
|
广播服务器模式下,将指定密钥与对应的NTP Server关联 |
ntp-service broadcast-server authentication-keyid keyid |
|
组播服务器模式下,将指定密钥与对应的NTP Server关联 |
ntp-service multicast-server authentication-keyid keyid |
指定本地发送NTP消息时,消息包中的源IP地址都用一个特定IP地址,该IP地址就是从所指定的接口上获取的。
请在系统视图下进行下列配置。
表10-12 设置本地发送NTP消息的接口
|
操作 |
命令 |
|
设置本地发送NTP消息的接口 |
ntp-service source-interface interface-type interface-number |
|
取消设置本地发送NTP消息的接口 |
undo ntp-service source-interface |
接口由interface-type interface-number确定,消息包中的源IP地址从该接口获取,如果ntp-service unicast-server或ntp-service unicast-peer中也指定了发送接口,则以ntp-service unicast-server或ntp-service unicast-peer指定的为准。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置本地时钟作为NTP主时钟 |
ntp-service refclock-master [ X.X.X.X ] [ layers-number ] |
|
取消NTP主时钟设置 |
undo ntp-service refclock-master [ X.X.X.X ] |
X.X.X.X是参考时钟IP地址127.127.1.u,其中u的取值范围为0~3;layers-number用来指定本地时钟所在的层数,范围为1~15,缺省为8。当不指定IP地址时,默认设置本地时钟为NTP主时钟;可以指定NTP主时钟所处的层次数。
该配置任务用来设置禁止或允许接口接收NTP消息。
请在接口视图下进行下列配置。
表10-14 设置禁止/允许接口接收NTP消息
|
操作 |
命令 |
|
设置禁止接口接收NTP消息 |
ntp-service in-interface disable |
|
设置允许接口接收NTP消息 |
undo ntp-service in-interface disable |
该配置任务必须在需要禁止/允许接收NTP消息的接口下配置。
设置对本地路由器NTP服务的访问控制权限。这里提供了一种最小限度的安全措施,更安全的方法是进行身份验证。当有一个访问请求时,按照最小访问限制到最大访问限制依次匹配,以第一个匹配的为准,匹配顺序为peer、server、server only (synchronization)、query only。
请在系统视图下进行下列命令的操作。
|
操作 |
命令 |
|
设置对本地路由器服务的访问控制权限 |
ntp-service access { query | synchronization | server | peer } acl-number |
|
取消设置对本地路由器服务的访问控制权限 |
undo ntp-service access { query | synchronization | server | peer } |
IP地址访问列表标号acl-number范围为2000~2999。其访问权限含义为:
query:只允许对本地NTP服务进行控制查询。
synchronization:只允许对本地NTP服务进行时间请求。
server:可以对本地NTP服务进行时间请求和控制查询,但本地时钟不会同步到远程服务器。
peer:既可以对本地NTP服务进行时间请求和控制查询,本地时钟又可以同步到远程服务器。
该配置任务用来设置本地允许建立的sessions的数目。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置本地允许建立的sessions数目 |
ntp-service max-dynamic-sessions number |
|
恢复本地允许建立的sessions数目为缺省值 |
本地允许建立sessions的数目number,范围0~100,缺省值为100。
在完成上述配置后,在任意视图下执行display命令可以显示配置后NTP的运行情况,通过查看显示信息,验证配置的效果。
在用户视图下,执行debugging命令可对NTP进行调试。
表10-17 NTP显示与调试
|
操作 |
命令 |
|
显示NTP服务的状态信息 |
display ntp-service status |
|
显示NTP服务维护的sessions状态 |
display ntp-service sessions [ verbose ] |
|
显示从本地设备回溯到参考时钟源的各个NTP时间服务器的简要信息。 |
display ntp-service trace |
|
打开NTP的调试开关 |
debugging ntp-service { all | access | adjustment | authentication | event | filter | packet | parameter | refclock | selection | synchronization | validity } |
Router1设置本地时钟作为NTP主时钟,层数为2,Router2以Router1作为时间服务器,将其设为server模式,自己为client模式。
图10-2 NTP典型配置的组网图
(1) 配置Router1
# 进入系统视图。
<H3C> system-view
# 设置本地时钟作为NTP主时钟,层数为2。
[H3C] ntp-service refclock-master 2
(2) 配置Router2
# 进入系统视图。
<H3C> system-view
# 设置Router1为时间服务器。
[H3C] ntp-service unicast-server 1.0.1.11
以上配置将Router2向Router1进行时间同步,同步前观察Router2的状态为:
[H3C] display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 99.8562 Hz
Actual frequency: 99.8562 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay : 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)
同步后观测Router2的状态为:
[H3C] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 250.0000 Hz
Actual frequency: 249.9992 Hz
Clock precision: 2^19
Clock offset: 198.7425 ms
Root delay : 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Apr 6 2007 (BF422AE4.05AEA86C)
此时Router2已经与Router1同步,层数比Router1大1,为3。
观察Router2的sessions情况,Router2与Router1建立了连接。
[H3C] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************
[12345]1.0.1.11 LOCAL(0) 3 377 64 1 199.53 26.1 9.7
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
H3C3设置本地时钟作为NTP主时钟,层数为2,H3C4以H3C3作为时间服务器,将其设为server模式,自己为client模式。同时,H3C5将H3C4设为对等体。
如图10-2所示。
(1) 配置Router3
# 进入系统视图。
<H3C> system-view
# 设置本地时钟作为NTP主时钟,层数为2。
[H3C] ntp-service refclock-master 2
(2) 配置Router4
# 进入系统视图。
<H3C> system-view
# 设置H3C3为时间服务器,同步后层数为3。
[H3C] ntp-service unicast-server 3.0.1.31
(3) 配置Router5(Router4已经向Router3同步后)
# 进入系统视图。
<H3C> system-view
# 设置本地时钟作为NTP主时钟,层数为1。
[H3C] ntp-service refclock-master 1
# 本地同步后,设置Router4为对等体。
[H3C] ntp-service unicast-peer 3.0.1.32
以上配置将Router4和Router5配置为对等体,Router5处于主动对等体模式,Router4处于被动对等体模式,由于Router5的层数为1,而Router4的层数为3,所以Router4向Router5同步。
同步后观测Router4的状态为:
[H3C] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 3.0.1.33
Nominal frequency: 250.0000 Hz
Actual frequency: 249.9992 Hz
Clock precision: 2^19
Clock offset: 198.7425 ms
Root delay : 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Apr 6 2007 (BF422AE4.05AEA86C)
此时Router4已经与Router5同步,层数比Router5大1,为2。
观察Router4的sessions情况,Router4与Router5建立了连接。
[H3C] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[25]3.0.1.31 127.127.1.0 2 31 64 55 466670.4 1.0 0.9
[1234]3.0.1.33 127.127.1.0 1 7 64 59 -2771.6 -0.1 0.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Router3设置本地时钟作为NTP主时钟,层数为2,并从接口GigabitEthernet 1/0向外发送广播消息包,设置Router4和Router1分别从各自的接口GigabitEthernet 1/0监听广播消息。
如图10-2所示。
(1) 配置Router3
# 进入系统视图。
<H3C> system-view
# 设置本地时钟作为NTP主时钟,层数为2。
[H3C] ntp-service refclock-master 2
# 进入接口GigabitEthernet 1/0视图。
[H3C] interface gigabitethernet 1/0
# 设置为广播服务器。
[H3C-GigabitEthernet1/0] ntp-service broadcast-server
(2) 配置Router4
# 进入系统视图。
<H3C> system-view
# 进入接口GigabitEthernet 1/0视图。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] ntp-service broadcast-client
(3) 配置Router1
# 进入系统视图。
<H3C> system-view
# 进入接口GigabitEthernet 1/0视图。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] ntp-service broadcast-client
以上配置将Router4和Router1配置为从接口GigabitEthernet 1/0监听广播消息,而Router3从接口GigabitEthernet 1/0发送广播消息包,由于Router1与Router3不在同一的网段,所以接收不到Router3发出的广播包,而Router4接收到Router3发出的广播包后与其同步。
同步后观测Router4的状态为:
[H3C] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.3
Nominal frequency: 250.0000 Hz
Actual frequency: 249.9992 Hz
Clock precision: 2^19
Clock offset: 198.7425 ms
Root delay : 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Apr 6 2007 (BF422AE4.05AEA86C)
此时Router4已经与Router3同步,层数比Router3大1,为3。
观察Router4的sessions情况,Router4与Router3建立了连接。
[H3C] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************
[1234]3.0.1.31 LOCAL(0) 2 377 64 1 199.53 26.1 9.7
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Router3设置本地时钟作为NTP主时钟,层数为3,并从接口GigabitEthernet 1/0向外发送广播消息包,设置Router4从接口GigabitEthernet 1/0监听广播消息。
如图10-2所示。
(1) 配置Router3
# 进入系统视图。
<H3C> system-view
# 设置本地时钟作为NTP主时钟,层数为3。
[H3C] ntp-service refclock-master 3
# 启动认证功能。
[H3C] ntp-service authentication enable
# 设置NTP验证密钥。
[H3C] ntp-service authentication-keyid 88 authentication-mode md5 123456
# 设置本验证密钥可信。
[H3C] ntp-service reliable authentication-keyid 88
# 进入接口GigabitEthernet 1/0视图。
[H3C] interface gigabitethernet 1/0
# 设置本路由器为NTP广播服务器并指定验证ID。
[H3C-GigabitEthernet1/0] ntp-service broadcast-server authentication-id 88
(2) 配置Router4
# 进入系统视图。
<H3C> system-view
# 启动认证功能。
[H3C] ntp-service authentication enable
# 设置NTP验证密钥。
[H3C] ntp-service authentication-keyid 88 authentication-mode md5 123456
# 设置本验证密钥可信。
[H3C] ntp-service reliable authentication-keyid 88
# 进入接口GigabitEthernet 1/0视图。
[H3C] interface gigabitethernet 1/0
# 设置本路由器为NTP广播客户端。
[H3C-GigabitEthernet1/0] ntp-service broadcast-client
以上配置将Router4配置为从接口GigabitEthernet 1/0监听广播消息,而Router3从接口GigabitEthernet 1/0发送广播消息包,Router4接收到Router3发出的广播包后与其同步。
同步后观测Router4的状态为:
<H3C> display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 250.0000 Hz
Actual frequency: 249.9992 Hz
Clock precision: 2^19
Clock offset: 198.7425 ms
Root delay : 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Sep 6 2003(BF422AE4.05AEA86C)
此时Router4已经与Router3同步,层数比Router3大1,为4。
Router3设置本地时钟作为NTP主时钟,层数为2,并从接口GigabitEthernet 1/0向外发送组播消息包;设置Router4和Router1分别从各自的接口GigabitEthernet 1/0监听组播消息。
如图10-2所示。
(1) 配置Router3
# 进入系统视图。
<H3C> system-view
# 设置本地时钟作为NTP主时钟,层数为2。
[H3C] ntp-service refclock-master 2
# 进入接口GigabitEthernet 1/0的视图。
[H3C] interface gigabitethernet 1/0
# 设置为组播服务器。
[H3C-GigabitEthernet1/0] ntp-service multicast-server
(2) 配置Router4
# 进入系统视图。
<H3C> system-view
# 进入接口GigabitEthernet 1/0的视图。
[H3C] interface GigabitEthernet 1/0
# 设置为组播客户模式。
[H3C-GigabitEthernet1/0] ntp-service multicast-client
(3) 配置Router1
# 进入系统视图。
<H3C> system-view
# 进入接口GigabitEthernet 1/0的视图。
[H3C] interface gigabitethernet 1/0
# 设置为组播客户模式。
[H3C-GigabitEthernet1/0] ntp-service multicast-client
以上配置将Router4和Router1配置为从接口GigabitEthernet 1/0监听组播消息,而Router3从接口GigabitEthernet 1/0发送组播消息包,由于Router1与Router3不在同一的网段,所以Router1收不到Router3发出的组播包,而Router4接收到Router3发出的组播包后与其同步。
同步后观测Router4的状态为:
[H3C] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 250.0000 Hz
Actual frequency: 249.9992 Hz
Clock precision: 2^19
Clock offset: 198.7425 ms
Root delay : 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Apr 6 2007 (BF422AE4.05AEA86C)
此时Router4已经与Router3同步,层数比Router3大1,为3。
观察Router4的sessions情况,Router4与Router3建立了连接。
[H3C] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************
[1234]3.0.1.31 LOCAL(0) 2 377 64 1 199.53 26.1 9.7
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Router1设置本地时钟作为NTP主时钟,层数为2;Router2以Router1作为时间服务器,将其设为server模式,自己为client模式,同时加入身份验证。
如图10-2所示。
(1) 配置Router1
# 进入系统视图。
<H3C> system-view
# 设置本地时钟作为NTP主时钟,层数为2。
[H3C] ntp-service refclcok-master 2
(2) 配置路由器Router2
# 进入系统视图。
<H3C> system-view
# 设置Router1为时间服务器,并设置向Router1同步时所使用的密钥。
[H3C] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
# 启动身份验证。
[H3C] ntp-service authentication enable
# 设置密钥。
[H3C] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密钥为可信密钥。
[H3C] ntp-service reliable authentication-keyid 42
以上配置将Router2向Router1进行时间同步,由于Router1没有启动身份验证,所以,Router2还是无法向Router1同步。现在,向Router1增加以下配置:
# 启动身份验证。
[H3C] ntp-service authentication enable
# 设置密钥。
[H3C] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密钥为可信密钥。
[H3C] ntp-service reliable authentication-keyid 42
此时,Router2可以向Router1同步,同步后观测Router2的状态为:
[H3C] display ntp-service status
Clock status: synchronized
Clockstratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 250.0000 Hz
Actual frequency: 249.9992 Hz
Clock precision: 2^19
Clock offset: 198.7425 ms
Root delay : 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Apr 6 2007 (BF422AE4.05AEA86C)
可以看出,Router2已经与Router1同步,层数比Router1大1,为3。
简单网络管理协议(Simple Network Management Protocol,简称SNMP)是被广泛接受并投入使用的一项工业标准,是目前使用得最广泛的计算机网络管理协议。它的目标是保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息,对信息进行修改,寻找故障,完成故障诊断、容量规划和报告的生成。它采用轮询机制,提供最基本的功能集,适合于小型、快速和低价格的环境使用。它只要求无连接的传输层协议UDP,受到了广泛的支持。
SNMP的结构分为NMS(Network Management Station)和Agent两部分,NMS是运行客户端程序的工作站,常用的网管平台有Sun NetManager和IBM NetView;Agent是运行在网络设备上的服务器端软件。NMS和Agent之间通过如下方式进行消息交互。一方面,NMS可以向Agent发出GetRequest、GetNextRequest、GetBulkRequest和SetRequest请求报文,Agent接收到NMS的请求报文后,根据报文类型对管理变量进行Read或Write操作,并生成Response报文,返回给NMS。另一方面,Agent在设备发生冷/热启动等异常情况时,也会主动向NMS发送Trap报文,报告所发生的事件。
设备中的管理对象在SNMP报文中用管理变量来描述,为了唯一标识设备中的管理对象,SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树,树的节点表示管理对象,如下图所示。每一个节点,都可以用从根开始的一条路径唯一地标识。
图11-1 MIB树结构
在上图中,管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的Object Identifier(客体标识符)。而MIB(Management Information Base)的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。
目前,路由器系统中的SNMP Agent支持标准网管SNMP v3,兼容SNMP v1、SNMP v2c,相关MIB信息请参看MIB companion文档。
SNMP的配置包括:
l 启动或关闭SNMP Agent服务
l 使能或禁止SNMP协议的相应版本
l 设置团体名
l 配置一个SNMP的组
l 为一个SNMP组添加或删除用户
l 设置管理员的联系方法
l 允许/禁止发送Trap报文
l 设置本地设备的引擎ID
l 设置Trap目标主机的地址
l 指定发送Trap报文的源地址
l 创建或者更新MIB视图的信息
l 设置发往目的主机(host)的Trap报文的消息队列的长度
l 设置Trap报文的保存时间
l 设置Agent能接收/发送的SNMP消息包的大小
该配置任务用来启动SNMP Agent服务,缺省情况为关闭SNMP Agent服务。
请在系统视图下进行下列配置。
表11-1 启动/关闭SNMP Agent服务
|
操作 |
命令 |
|
启动SNMP Agent服务 |
snmp-agent |
|
关闭SNMP Agent服务 |
undo snmp-agent |
该配置任务用来使能SNMP协议的相应版本,缺省情况为使能SNMP v3版本。如果要使能SNMP v1版本、SNMP v2c版本,需要用该命令进行设置。
请在系统视图下进行下列配置。
表11-2 使能/禁止SNMP相应版本
|
操作 |
命令 |
|
使能SNMP协议的相应版本 |
snmp-agent sys-info version { { v1 | v2c | v3 } * | all } |
|
禁止SNMP协议的相应版本 |
undo snmp-agent sys-info version { { v1 | v2c | v3 } * | all } |
*:表示从v1、v2c、v3这三个选项中选取多个,最少选取一个,最多选取所有三个选项。
# 使能SNMP V2C、SNMP V3版本。
[H3C] snmp-agent sys-info version v3 v2c
# 禁止SNMP V2C、SNMP V1版本。
[H3C] undo snmp-agent sys-info version v1 v2c
SNMPV1、SNMPV2C采用团体名认证,与设备认可的团体名不符的SNMP报文将被丢弃。SNMP团体(Community)由一字符串来命名,称为团体名(Community Name)。不同的团体可具有只读(read)或读写(write)访问模式。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置团体名及访问权限 |
snmp-agent community { read | write } community-name [ mib-view view-name | acl acl-number ]* |
|
取消先前设置的团体名 |
undo snmp-agent community community-name |
对同一个团体名进行重复配置时,后配置的属性会覆盖先前配置的属性。
# 设置public团体具有只读权限。
[H3C] snmp-agent community read public
# 设置private团体具有读写权限。
[H3C] snmp-agent community write private
该配置任务可以设置或删除SNMP的一个组。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置一个SNMP组 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
|
删除一个SNMP组 |
undo snmp-agent group { v1 | v2c } group-name undo snmp-agent group v3 group-name [ authentication | privacy ] |
snmp-agent group v3命令在不配置视图的情况下有默认的ViewDefault视图,该视图是只读视图,其他的视图需要配置。
snmp-agent group { v1 | v2c } 实际上是配置SNMP的团体属性。缺省情况下,与snmp-agent group v3相同。
该配置任务用来为一个SNMP的组添加或删除一个用户。
请在系统视图下进行下列配置。
表11-5 为SNMP组添加一个新用户或删除一个用户
|
操作 |
命令 |
|
为一个SNMP组添加一个新用户 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 | sha } auth-password [ privacy des56 priv-password ] ] [ acl acl-number ] |
|
删除SNMP组的一个用户 |
undo snmp-agent usm-user { v1 | v2c } user-name group-name undo snmp-agent usm-user v3 user-name group-name { engineid engine-id | local } |
# 为SNMP组Johngroup加入一个用户John,安全级别为需要认证、指定认证协议为HMAC-MD5-96、认证密码为hello。
[H3C] snmp-agent usm-user v3 John Johngroup authentication-mode md5 hello
设置管理员的联系方法(system contact)是MIB II中system组的一个管理变量,内容为被管理设备(路由器)相关人员的标识及联系方法。您可以通过设置此参数,将重要信息存储在路由器中,以便出现紧急问题时查询使用。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置管理员的标识及联系方法 |
snmp-agent sys-info contact sysContact |
|
恢复管理员的标识及联系方法为缺省值 |
undo snmp-agent sys-info contact |
例:[H3C] snmp-agent sys-info contact Mr.zhang 13800138002
Trap是被管理设备主动向NMS发送的、不经请求的信息,用于报告一些紧急的重要事件。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
允许发送Trap报文 |
snmp-agent trap enable [ trap-type [ trap-list ] ] |
|
禁止发送Trap报文 |
undo snmp-agent trap enable [ trap-type [ trap-list ] ] |
缺省为允许发送Trap报文。
snmp-agent trap enable命令不带参数时,表示允许发送所有模块的所有类型的Trap报文。
该配置任务可以设置本地设备的引擎ID。引擎ID是十六进制数字串,并且长度为10~64个十六进制数,缺省为公司的企业号+设备信息。设备信息可以是IP地址、MAC地址或自己定义的十六进制数字串。
|
操作 |
命令 |
|
设置设备的引擎ID |
snmp-agent local-engineid engineid |
|
设置设备的引擎ID为缺省值 |
undo snmp-agent local-engineid |
请在系统视图下进行下列配置。
表11-9 设置或取消Trap目标主机的地址
|
操作 |
命令 |
|
设置Trap主机的地址 |
snmp-agent target-host trap address udp-domain X.X.X.X [ udp-port port-number ] params securityname security-string [ v1 | v2c | v3 [ authentication | privacy ] ] |
|
取消Trap主机的地址 |
undo snmp-agent target-host X.X.X.X securityname security-string |
例:允许向地址202.38.160.6发送Trap报文,使用的团体名为public。
[H3C] snmp-agent target-host trap address udp-domain 202.38.160.6 udp-port 5000 params securityname public
当接口的状态改变时(例如,由up变为down),可以向Trap目标主机发送Trap报文。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
设置接口发送状态Trap报文 |
enable snmp trap updown |
|
禁止接口发送状态Trap报文 |
undo enable snmp trap updown |
缺省情况下,接口发送状态Trap报文。
路由器的位置信息是MIB中system组的一个管理变量,用于表示被管理设备的位置。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置路由器位置 |
snmp-agent sys-info location sysLocation |
|
恢复路由器位置为缺省值 |
undo snmp-agent sys-info location |
例:将路由器的位置信息设为h3chz。
[H3C] snmp-agent sys-info location h3chz
该配置任务可以设定或删除发送Trap的源地址。
请在系统视图下进行下列配置。
表11-12 设定发送Trap的源地址
|
操作 |
命令 |
|
指定发送Trap的源地址 |
snmp-agent trap source interface-type interface-number |
|
取消发送Trap的源地址 |
undo snmp-agent trap source |
例:将千兆以太网接口1/0的IP地址作为Trap报文的源地址。
[H3C] snmp-agent trap source gigabitethernet 1/0
该配置任务可以创建、更新或者删除视图的信息。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
创建或更新视图的信息 |
snmp-agent mib-view { included | excluded } view-name oid-tree |
|
删除视图 |
undo snmp-agent mib-view view-name |
例:创建一个视图包含internet(1.3.6.1)的所有对象。
[H3C] snmp-agent mib-view included myview 1.3.6.1
该配置任务可以设置Agent能接收/发送的SNMP消息包的最大值。
请在系统视图下进行下列配置。
表11-14 设置Agent接收/发送的SNMP消息包的最大值
|
操作 |
命令 |
|
设置Agent接收/发送的SNMP消息包的最大值 |
snmp-agent packet max-size byte-count |
|
恢复SNMP消息包的最大值的缺省值 |
undo snmp-agent packet max-size |
Agent能接收/发送的SNMP消息包的最大值的取值范围为<484~17940>,单位为字节,缺省值为1500字节。
# 设置Agent能接收/发送的SNMP消息包的最大值为1042字节。
[H3C] snmp-agent packet max-size 1042
该配置任务可以设置发往目的主机(host)的Trap报文的消息队列的长度。
请在系统视图下进行下列配置。
表11-15 设置Trap报文的消息队列的长度
|
操作 |
命令 |
|
设置发往目的主机(host)的Trap报文的消息队列的长度 |
snmp-agent trap queue-size size |
|
恢复消息队列长度的缺省值 |
undo snmp-agent trap queue-size |
消息队列长度的取值范围为<1~1000>,缺省值为100。
# 设置发送Trap报文的主机的消息队列的长度为200。
[H3C] snmp-agent trap queue-size 200
该配置任务用来设置Trap报文的保存时间,超过该时间的Trap报文将被丢弃。
请在系统视图下进行下列配置。
表11-16 设置Trap报文的保存时间
|
操作 |
命令 |
|
设置Trap报文的保存时间 |
snmp-agent trap life seconds |
|
恢复Trap报文保存时间的缺省值 |
undo snmp-agent trap life |
seconds取值范围为<1~2592000>,缺省值为120秒。
# 设置Trap报文的保存时间为60秒。
[H3C] snmp-agent trap life 60
在完成上述配置后,在任意视图下执行display命令,均可以显示配置后SNMP的运行情况,通过查看显示信息,来验证配置的效果。
在用户视图下,执行debugging命令可对SNMP进行调试。
表11-17 SNMP的显示与调试
|
操作 |
命令 |
|
显示SNMP使能的版本信息 |
display snmp-agent sys-info version |
|
显示SNMP报文统计信息 |
display snmp-agent statistics |
|
显示当前设备的引擎ID |
display snmp-agent { local-engineid | remote-engineid } |
|
显示路由器上的组名、安全模式、各种视图的状态以及各组存储方式的信息 |
display snmp-agent group [ group-name ] |
|
显示组用户名表中所有SNMP用户名称的信息 |
display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ] * |
|
显示当前配置的团体名 |
display snmp-agent community [ read | write ] |
|
显示当前配置的MIB视图 |
display snmp-agent mib-view [ exclude | include | viewname view-name ] |
|
显示系统维护联络信息字符串 |
display snmp-agent sys-info contact |
|
显示系统位置字符串 |
display snmp-agent sys-info location |
|
打开SNMP调试开关 |
debugging snmp-agent { header | packet | trap | process } |
& 说明:
使用display snmp-agent remote-engineid命令,目前软件版本尚无内容显示。
以下图为例,网管工作站(NMS)与路由器通过以太网相连,网管工作站IP地址为129.102.149.23,路由器千兆以太网口IP地址为129.102.0.1。
图11-2 SNMP配置举例组网图
第一步:进入系统视图
<H3C> system-view
System View: return to User View with Ctrl+Z.
回车后进入系统视图。
第二步:设置团体名和访问权限
[H3C] snmp-agent community read public
[H3C] snmp-agent community write private
第三步:设置管理员标识、联系方法以及路由器物理位置
[H3C] snmp-agent sys-info contact Mr.Wang-Tel:3306
[H3C] snmp-agent sys-info location telephone-closet,3rd-floor
第四步:允许向网管工作站(NMS)129.102.149.23发送Trap报文,使用的团体名为public,NMS接收trap的端口号为5000,并使用v1格式trap发送。
[H3C] snmp-agent trap enable
[H3C] snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public
当通过SNMP、Telnet等方式管理网络设备时,一般需要知道设备IP地址等信息,这对于通过DHCP方式获得地址或NAT后面的设备,增加了主动管理的难度。BIMS(Branch Intelligent Management System)就是要解决上述问题,实现设备自动更新配置文件和应用程序功能。
BIMS分BIMS中心侧和BIMS设备侧两个部分,其基本原理是:设备侧启动中或启动以后按照某种策略定期或间隔一定的时间向BIMS中心发出特定的信息请求,BIMS中心侧根据管理员下达的策略指示不同设备进行信息交互。在中心侧和设备侧的信息交互过程中,管理员可以对设备进行管理,执行诸如升级软件版本、更改配置、查看配置信息和状态信息等任务,从而达到管理员对设备实施集中管理的功能。
BIMS中心侧可以是运行于PC或服务器上的服务软件(例如H3C公司的Quidview网管系统 V3.10的BIMS业务组件)。BIMS设备侧部分则集成在设备的软件系统中,实现BIMS功能的设备通过访问BIMS中心侧的服务器或PC来实现设备自动更新配置文件和应用程序。
BIMS特性主要实现了以下功能:
l 支持通过执行命令立即访问BIMS中心获取新的配置文件或应用程序;
l 支持在设备启动时立即访问BIMS中心获取新的配置文件或应用程序;
l 支持设备每隔一定间隔时间访问BIMS中心获取新的配置文件或应用程序;
l 支持设备在某一特定时间点访问BIMS中心获取新的配置文件或应用程序。
设备使用BIMS功能进行配置文件或应用程序更新的过程如下:
l 在访问BIMS中心侧之前,设备必须开启BIMS功能,预先配置好设备的唯一标识符,BIMS中心的IP地址,设备和BIMS中心双方的共享密钥。
l 设备因为某种原因被触发后,发送请求消息给BIMS中心,请求BIMS中心检查设备上的文件是否需要更新。
l BIMS中心根据请求消息中上传的设备文件信息,判断各文件是否需要更新,需要更新则在回应消息中携带配置更新文件或需要更新的设备软件的URL路径信息和特征信息,或者是在回应消息中携带需要设备执行的命令内容及参数。
l 设备解析BIMS的回应消息,得到要更新的设备软件的URL或设备的加密后的配置文件或是需要执行的命令及参数。
l 设备得到配置文件后,执行配置文件命令并保存。
l 设备通过得到的URL向BIMS中心请求下载设备文件。
l 设备对从中心侧得到的设备软件校验后更新,之后给BIMS中心发确认消息。
l BIMS中心侧根据设备发送的确认消息内容记录日志,并对设备发送的确认消息进行回应。
BIMS为用户提供了一个很方便的管理方式,对设备提供了一个智能性的配置文件和应用程序的更新功能。对于设备侧来说主要包括以下几个方面的配置,其中启动BIMS功能、设备的唯一标识符、BIMS中心的IP地址和端口以及BIMS双方的共享密钥是必须配置的,而设备访问BIMS中心的方式则可以选择配置,既可以是上电时自动访问后按照一定间隔时间进行访问,也可以是在指定的时间段内按照一定的时间间隔访问,或者是执行命令使设备立即访问BIMS中心。BIMS的配置如下:
l 配置是否启动BIMS功能
l 配置设备的唯一标识符
l 配置BIMS中心的IP地址和端口号
l 配置BIMS设备发送报文时携带的源IP地址
l 设置BIMS设备侧和BIMS中心侧的共享密钥
l 配置当设备上电时是否触发设备访问BIMS中心
l 配置触发访问BIMS中心的间隔时间
l 配置设备在某一特定的时间访问BIMS中心以及访问的周期
l 配置设备立即访问BIMS中心。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置在设备上使能BIMS功能 |
bims enable |
|
取消在设备上使能BIMS功能 |
undo bims enable |
缺省情况下,未使能BIMS功能。
配置设备的唯一标识符,BIMS中心根据设备的唯一标识符区分不同的设备。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置设备的唯一标识符 |
bims device-id string |
|
删除设备的唯一标识符 |
undo bims device-id |
标识符最大长度30个字符。缺省情况下,没有配置设备的唯一标识符。
配置BIMS中心的IP地址和使用的端口号。
表12-3 配置BIMS中心的IP地址和使用的端口号
|
操作 |
命令 |
|
配置BIMS中心的IP地址和使用的端口号 |
bims ip address ip-address [ port portnumber ] |
|
删除配置的BIMS中心的IP地址 |
undo bims ip address |
在配置BIMS中心的IP地址时,不输入端口号则默认为BIMS中心使用的端口号80。
缺省情况下,没有配置BIMS中心的IP地址。
可以使用某个接口的IP地址作为BIMS设备发送报文时携带的源IP地址。
请在系统视图下进行下列配置。
表12-4 配置BIMS设备发送报文时携带的源IP地址
|
操作 |
命令 |
|
配置BIMS设备发送报文时携带的源IP地址 |
bims source ip-address ip-address |
|
删除配置的源IP地址 |
undo bims source ip-address |
缺省情况下,BIMS设备未配置源IP地址。
设置BIMS设备侧和BIMS中心侧的共享密钥。
请在系统视图下进行下列配置。
表12-5 配置BIMS设备侧和BIMS中心侧的共享密钥
|
操作 |
命令 |
|
设置BIMS设备侧和BIMS中心侧的共享密钥 |
bims sharekey { simple | cipher } sharekey |
|
删除BIMS设备侧和BIMS中心侧之间的共享密钥 |
undo bims sharekey |
缺省情况下,没有共享密钥。
当配置了在设备上电时触发访问BIMS中心,则在设备上电启动完成后,立即访问BIMS中心。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置设备上电时访问BIMS中心 |
bims boot request |
|
配置设备上电时不需要立即访问BIMS中心 |
undo bims boot request |
缺省情况下,设备上电时立即访问BIMS中心。
配置了触发访问BIMS中心的间隔时间后,设备按照该时间间隔周期性地访问BIMS中心。
请在系统视图下进行下列配置。
表12-7 配置触发访问BIMS中心的间隔时间
|
操作 |
命令 |
|
配置触发访问BIMS中心的间隔时间 |
bims interval number |
|
取消配置的访问BIMS中心的间隔时间 |
undo bims interval |
number取值范围为10~10080,单位为分钟。缺省情况下,没有配置该时间间隔。
配置设备在某一特定的时间访问BIMS中心,并在此基础上设定特定的访问周期以及访问的截止时间。
请在系统视图下进行下列配置。
表12-8 配置设备在某一特定的时间访问BIMS中心以及访问的周期
|
操作 |
命令 |
|
配置设备在特定的时间点访问BIMS中心,以及访问的周期和截至时间 |
bims specify-time hh:mm yyyy/mm/dd [ [ hh:mm yyyy/mm/dd ] period-days numberdays ] |
|
取消该配置 |
undo bims specify-time |
执行该命令则设备立即访问一次BIMS中心。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置设备立即访问一次BIMS中心 |
bims request |
在完成上述配置后,在任意视图下执行display current-configuration命令可以显示BIMS配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行debugging命令可以打开调试开关或者显示其各项状态参数,从而可以监控和维护BIMS配置。
表12-10 BIMS配置的调试
|
操作 |
命令 |
|
打开BIMS调试信息开关 |
debugging bims all |
|
关闭BIMS调试信息开关 |
undo debugging bims |
设备上电后立即访问BIMS中心(IP地址为10.153.21.97,使用的端口号为80),并且以后每隔48个小时访问一次BIMS中心。
l BIMS中心的配置
BIMS中心一般采用H3C公司的Quidview网管系统的BIMS组件,在该组件中,需要作如下设置:
(1) 在“参数设置”界面中设置BIMS中心侧和设备侧的共享密钥,该共享密钥必须与设备侧设置的一致。
(2) 将设备添加到网管系统中进行管理:设备可以通过两种方式增加到网管系统中:
手工增加:用户输入设备的名称,在系统中添加该设备。
当设备访问BIMS中心时自动增加:采用自动增加方式时需要预先打开“自动添加上报设备”的开关,同时设置好BIMS中心侧与设备侧公用的密钥,这样当设备访问BIMS中心时,如果该设备还没有添加到BIMS中心,系统会自动添加该设备。
(3) 为设备指定待升级的文件:包括配置文件以及应用软件,当设备访问BIMS中心时,系统会进行判断,确定是否要用待升级的文件升级设备上的文件。如果需要更新,则BIMS中心会将待升级文件下发到设备上,升级设备上相应的文件。
& 说明:
关于H3C公司的Quidview网管系统BIMS组件的详细使用说明,请参见Quidview网管系统BIMS组件的用户手册。
l 设备侧的配置
# 进入系统视图。
<H3C> system-view
# 在设备上配置启动BIMS功能
[H3C] bims enable
bims is enable
# 配置设备的唯一标识符为h3c-20-907。
[H3C] bims device-id h3c-20-907
# 配置BIMS设备侧和中心侧的共享密钥。
[H3C] bims sharekey simple 1122334455667788
# 配置BIMS中心的IP地址,使用缺省的端口号80。
[H3C] bims ip address 10.153.21.97
# 配置设备上电后立即访问BIMS中心。
[H3C] bims boot request
# 配置触发访问BIMS中心侧的间隔时间。
[H3C] bims interval 2880
进行上述配置后,设备在上电后立即访问BIMS中心,并且以后每隔48个小时访问一次BIMS中心。在设备每次访问BIMS中心时,BIMS中心都会根据该设备的待升级文件列表来判断是否需要用待升级文件更新设备的相应文件。如果需要,则执行下发文件操作,更新设备侧的相应文件。
设备从2005年5月1日12点10分开始访问BIMS中心(IP地址为10.153.21.97,使用的端口号为80),每隔2天访问一次,直到2005年10月1日23点50分截至。
# BIMS中心的配置请参见上面的例子。下面只描述设备侧的相关配置步骤。
# 进入系统视图。
<H3C> system-view
# 在设备上配置启动BIMS功能
[H3C] bims enable
bims is enable
# 配置设备的唯一标识符为h3c-20-907。
[H3C] bims device-id h3c-20-907
# 配置BIMS设备侧和中心侧的共享密钥。
[H3C] bims sharekey simple 1122334455667788
# 配置BIMS中心的IP地址,使用缺省的端口号80。
[H3C] bims ip address 10.153.21.97
# 配置设备从2005年5月1日12点10分开始访问BIMS中心,每隔2天访问一次,直到2005年10月1日23点50分截至。
[H3C] bims specify-time 12:10 2005/05/01 23:50 2005/10/01 period 2
进行上述配置后,设备在指定的时间段内按照指定的访问时间间隔对BIMS中心进行访问。在设备每次访问BIMS中心时,BIMS中心都会根据该设备的待升级文件列表来判断是否需要用待升级文件更新设备的相应文件。如果需要,则执行下发文件操作,更新设备侧的相应文件。
RMON(Remote Monitoring)是IETF(Internet Engineering Task Force)定义的一种MIB,是对MIB II标准最重要的增强。RMON MIB由一组统计数据、分析数据和诊断数据组成。不像标准MIB仅提供被管理对象大量的关于端口的原始数据,它提供的是一个网段的统计数据和计算结果。RMON主要用于对一个网段乃至整个网络中数据流量的监视,是目前应用相当广泛的网络管理标准之一。
RMON的实现完全基于SNMP体系结构(这是它的一个突出优点),它与现存的SNMP框架相兼容,不需对该协议进行任何修改。RMON包括NMS和运行在各网络设备上的Agent两部分。RMON Agent在网络监视器或网络探测器上,跟踪统计其接口所连接的网段上的各种流量信息(如某段时间内某网段上的报文总数,或发往某台主机的正确报文总数等)。RMON使SNMP更有效、更积极主动地监测远程网络设备,为监控子网的运行提供了一种高效的手段。RMON能够减少网管站同代理间的通讯流量,从而可以简便而有力地管理大型互连网络。
RMON允许有多个监控者,它可用两种方法收集数据:
l 一种方法利用专用的RMON probe(探测仪)收集数据,NMS直接从RMON probe获取管理信息并控制网络资源。这种方式可以获取RMON MIB的全部信息;
l 第二种方法是将RMON Agent直接植入网络设备(路由器、路由器、交换机、HUB等)使它们成为带RMON probe功能的网络设施。RMON NMS使用SNMP的基本命令与SNMP Agent交换数据信息,收集网络管理信息,但这种方式受设备资源限制,一般不能获取RMON MIB的所有数据,大多数只收集四个组的信息。这四个组是:报警信息、事件信息、历史信息和统计信息。
目前Comware以第二种方法实现RMON。通过运行在网络监视器上的支持RMON的SNMP Agent,NMS可以获得与被管理网络设备接口相连的网段上的整体流量、错误统计和性能统计等信息,从而实现对网络的管理。
& 说明:
在配置RMON功能之前,应先配置SNMP Agent,保证NMS可以管理路由器,这样用户才能通过NMS查询告警、日志等信息。
RMON配置包括:
l 添加/删除事件表的一个表项
l 添加/删除告警表的一个表项
l 添加/删除历史控制表的一个表项
l 添加/删除RMON告警扩展表的一个表项
l 添加/删除统计表的一个表项
本配置用来定义事件号及事件的处理方式。事件有如下几种处理方式:
l 将事件记录在日志表中
l 向网管站发Trap消息
l 将事件记录在日志表中并向网管站发Trap消息
请在系统视图下进行下列配置。
表13-1 在事件表中添加/删除一个表项
|
操作 |
命令 |
|
在事件表中添加一个表项 |
rmon event event-entry [ description string ] { log | trap trap-community | log-trap log-trapcommunity | none } [ owner text ] |
|
在事件表中删除一个表项 |
undo rmon event event-entry |
RMON告警管理可对指定的告警变量(如接口的统计数据)进行监视,当被监视数据的值超过定义的阈值时会产生告警事件,然后按照事件的定义进行相应的处理。事件的定义在事件管理中实现。
& 说明:
在添加告警表项之前,需要通过rmon event命令定义好告警表项中引用的事件。
请在系统视图下进行下列配置。
表13-2 在告警表中添加/删除一个表项
|
操作 |
命令 |
|
在告警表中添加一个表项 |
rmon alarm alarm-entry alarm-variable sampling-time { delta | absolute } rising_threshold threshold-value1 event-entry1 falling_threshold threshold-value2 event-entry2 [ owner text ] |
|
在告警表中删除一个表项 |
undo rmon alarm alarm-entry |
用户定义了告警表项后,系统对告警表项的处理如下:
l 对所定义的告警变量按照定义的时间间隔进行采样
l 将采样值和设定的阈值进行比较,按照下表执行相应的处理过程
|
实际情况 |
处理过程 |
|
采样值大于等于设定的上限 |
触发所定义的事件 |
|
采样值小于等于设定的下限 |
触发所定义的事件 |
该命令用来在RMON告警扩展表中添加/删除一个表项。告警扩展表项可以对告警变量的采样值进行运算,然后将运算结果和设置的阈值比较,实现更为丰富的告警功能。
& 说明:
在添加告警扩展表项之前,需要通过rmon event命令定义好告警表项中引用的事件。
请在系统视图下进行下列配置。
表13-4 在RMON告警扩展表中添加/删除一个表项
|
操作 |
命令 |
|
在RMON告警扩展表中添加一个表项 |
rmon prialarm prialarm-entry prialarm-formula [ prialarm-des ] [ sampling-timer ] [ delta | absolute | changeratio ] rising_threshold threshold-value1 event-entry1 falling_threshold threshold-value2 event-entry2 [ entrytype ] [ forever | cycle [ cycle-period ] ] [ owner text ] |
|
在RMON告警扩展表中删除一个表项 |
undo rmon prialarm entry-number |
用户定义了告警扩展表项后,系统对告警表项的处理如下:
l 对所定义的告警变量按照定义的时间间隔进行采样
l 将采样值按照定义的运算公式进行计算
l 将计算结果和设定的阈值进行比较,按照下表执行相应的处理过程
|
实际情况 |
处理过程 |
|
计算值大于等于设定的上限 |
触发所定义的事件 |
|
计算值小于等于设定的下限 |
触发所定义的事件 |
利用历史数据管理功能,可以对设备进行设置,设置的任务包括:采集历史数据、定期采集并保存指定接口的数据。抽样信息包括利用率、错误数和总包数等。
可以使用下面的命令在历史控制表中添加/删除一个表项。
请在以太网接口视图进行下列配置。
表13-6 在历史控制表中添加/删除一个表项
|
操作 |
命令 |
|
在历史控制表中添加一个表项 |
rmon history entry-number buckets number interval sampling-interval [ owner text-string ] |
|
在历史控制表中删除一个表项 |
undo rmon history entry-number |
历史控制表项统计的是采样时间间隔内的各种数据的统计值。用户可以通过display rmon history命令来显示历史控制表项的信息。
利用RMON统计管理功能,可以监视接口的使用情况、统计接口使用中发生的错误。统计信息包括冲突、循环冗余校验和队列、过小(或超大)的数据包、超时传送、碎片、广播、多播、单播消息以及带宽使用效率等。
可以使用下面的命令在统计表中添加/删除一个表项。
请在GE接口视图下进行下列配置。
表13-7 在统计表中添加/删除一个表项
|
操作 |
命令 |
|
在统计表中添加一个表项 |
rmon statistics entry-number [ owner text-string ] |
|
在统计表中删除一个表项 |
undo rmon statistics entry-number |
统计表项统计的是从该事件定义的时间开始的一个累计的信息。用户可以通过display rmon statistics命令来显示统计表项的信息。
在完成上述配置后,在任意视图下执行display命令可以显示RMON的统计表、历史控制表、告警表、告警扩展表、事件表、事件日志中的信息。
表13-8 RMON显示和调试
|
操作 |
命令 |
|
显示RMON统计表 |
display rmon statistics [interface-type interface-number ] |
|
显示RMON历史控制表 |
display rmon history [interface-type interface-number ] |
|
显示RMON告警表 |
display rmon alarm [ alarm-entry ] |
|
显示RMON告警扩展表 |
display rmon prialarm [ prialarm-entry ] |
|
显示RMON事件表 |
display rmon event [ event-entry ] |
|
显示RMON事件日志 |
display rmon eventlog [ event-entry ] |
被检测路由器RouterA通过console口连接配置终端,通过以太网连接NMS。NMS使用Quidview网管系统,可以通过网管查询路由器的运行状况。
配置需求:
l 在RMON告警表中设定一个表项,1.3.6.1.2.1.16.1.1.1.4.1节点的相对采样值超过上下限阈值分别可以触发两个trap事件;
l 进行以太网接口性能统计;
l 在路由器上通过display rmon statistics命令查看显示结果,同时在网管上查看统计结果。
图13-1 RMON典型应用举例
# 配置SNMP(注意:SNMP的读、写团体及版本应与Quidview侧的配置一致)。
[H3C] snmp-agent
[H3C] snmp-agent community read public
[H3C] snmp-agent community write private
[H3C] snmp-agent sys-info version v1
[H3C] snmp-agent trap enable
[H3C] snmp-agent target-host trap address udp-domain 129.1.1.111 params securityname h3c
# 配置RMON告警表项。
[H3C] rmon event 1 description rising trap gateway owner h3c-rmon
[H3C] rmon event 2 description falling trap gateway owner h3c-rmon
[H3C] rmon alarm 1 1.3.6.1.2.1.16.1.1.1.4.1 5 delta rising_threshold 100 1 falling_threshold 50 2
# 配置以太网口IP地址。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] ip address 129.1.1.100 255.255.255.0
# 配置RMON对以太网口进行统计。
[H3C-GigabitEthernet1/0] rmon statistics 1 owner h3c-rmon
[H3C-GigabitEthernet1/0] quit
# 查看RMON告警表信息及以太网口的统计信息。
<H3C> display rmon alarm 1
<H3C> display rmon statistics gigabitethernet 1/0
当告警事件被触发时在Quidview的告警管理部分可以查看相应的记录。
系统提供多种终端服务,使用户可以进入命令行接口:
l 通过Console口进行本地配置
l 通过AUX口进行远程或本地配置
l 通过Telnet或者SSH进行本地或远程配置
通过Console口即控制台,可以建立本地配置环境。配置环境的搭建参见2.1.1 通过Console口搭建。
Console口终端服务特性参见下表。
表14-1 Console口终端服务特性
|
服务 |
特性 |
|
回显方式 |
本地不回显 |
|
终端类型 |
VT100 |
|
波特率 |
9600 |
|
数据位 |
8 |
|
奇偶校验 |
无 |
|
停止位 |
1位 |
|
流控 |
无 |
|
二进制传输协议 |
XModem |
AUX口除了可以如Console口一样进行本地配置外,还可以进行远程配置,本地配置的方法请参见上一节,本节主要讲述远程终端服务。
系统支持通过AUX口对路由器进行远程配置,在计算机串口和路由器AUX口上挂接Modem,通过PSTN相连,在计算机上通过拨号建立与远端路由器的连接。拨号成功后,用户可以从终端敲入配置命令,设置远端路由器工作参数。
图14-1 通过AUX口搭建远程配置环境
系统的远程配置终端服务特性参见下表。
|
服务 |
特性 |
|
回显方式 |
本地不回显 |
|
终端类型 |
VT100 |
|
波特率 |
与接口配置一致,缺省为9600bps |
|
数据位 |
与接口配置一致,缺省为8位 |
|
奇偶校验 |
与接口配置一致,缺省无 |
|
停止位 |
与接口配置一致,缺省为1位 |
|
流控 |
与接口配置一致,缺省为硬件流控 |
在计算机上运行的终端程序需按上表设置参数,其中波特率、数据位、奇偶校验及流控等参数要与相应的路由器AUX口的配置一致。
Telnet协议在TCP/IP协议族中属于应用层协议,通过网络提供远程登录和虚拟终端功能。路由器系统提供的Telnet服务包括:
如下图所示,用户在计算机上可以运行Telnet客户端程序登录到路由器上,对路由器进行配置管理。
如下图所示,用户在计算机上通过终端仿真程序或Telnet程序建立与路由器的连接后,可以输入Telnet命令再登录其它路由器,对其进行配置管理。
路由器系统的Telnet服务特性参见下表。
表14-3 Telnet服务特性
|
服务 |
特性 |
|
输入模式 |
字符模式 |
|
回显方式 |
本地不回显 |
|
终端类型 |
VT100 |
请在用户视图下进行下面配置。
|
操作 |
命令 |
|
执行Telnet命令登录并管理其它设备 |
telnet host-ip-address [ service-port ] [ source-interface interface-type interface-number | source-ip ip-address ] |
例:PC通过Console口与路由器Router1建立连接,再执行Telnet命令登录路由器Router2,其IP地址为129.102.0.1。
<H3C> telnet 129.102.0.1
Trying 129.102.0.1 ...
Connected to 129.102.0.1 ...
<H3C>
请在用户界面视图下进行下面配置。
表14-5 配置Telnet超时时间
|
操作 |
命令 |
|
允许定时断开Telnet连接 |
idle-timeout minutes [ seconds ] |
|
恢复定时断开连接的缺省设置 |
undo idle-timeout |
缺省情况下,超时时间为10分钟。
请在系统视图下进行下面配置。
表14-6 配置Telnet源接口/源地址
|
操作 |
命令 |
|
指定Telnet客户端建立连接是使用的源接口 |
telnet source-interface interface-type interface-number |
|
删除为Telnet客户端指定的源接口 |
undo telnet source-interface |
|
指定Telnet客户端建立连接是使用的源IP地址 |
telnet source-ip source-address |
|
删除为Telnet客户端指定的源IP地址 |
undo telnet source-ip |
当同时配置了源接口和源IP地址时,后配置的有效。
该命令一般配合ACL使用。例如,当在Telnet Client端指定一个loopback接口为源接口时,其Telnet连接的源IP就是该接口的主IP地址,这样在Telnet Server端配置ACL时只需针对一个IP地址配置访问控制策略即可。
& 说明:
指定源IP地址和指定源接口的命令是互斥的,后配置的命令将覆盖先前的配置。
请在系统视图下进行下面配置。
表14-7 为Telnet Server指定源接口或IP地址
|
操作 |
命令 |
|
为Telnet Server指定源接口 |
telnet-server source-interface interface-type interface-number |
|
删除为Telnet Server指定的源接口 |
undo telnet-server source-interface |
|
为Telnet Server指定发送报文中的源IP地址 |
telnet-server source-ip source-address |
|
删除为Telnet Server指定的源IP地址 |
undo telnet-server source-ip |
缺省情况下,发送报文中的源IP地址为出接口的IP地址。
& 说明:
指定源IP地址和指定源接口的命令是互斥的,后配置的命令将覆盖先前的配置。
在完成上述配置后,在任意视图下执行display命令,可以显示配置后Telnet的运行情况,通过查看显示信息,验证配置的效果。
在用户视图下,执行debugging命令,可对Telnet进行调试。
表14-8 Telnet连接的显示和调试
|
操作 |
命令 |
|
显示当前用户界面连接情况 |
display users |
|
显示每个用户界面连接情况 |
display users all |
|
显示当前建立的所有TCP连接情况 |
display tcp status |
|
显示当前为Telnet Server设置的源IP地址 |
display telnet-server source-ip |
|
显示当前为Telnet Client设置的源IP地址 |
display telnet source-ip |
|
打开Telnet连接的调试开关 |
debugging telnet |
|
关闭Telnet连接的调试开关 |
undo debugging telnet |
display users命令只能显示与路由器连接的Telnet客户使用的接口。如果要查看与路由器建立连接的Telnet服务器IP地址,则需要执行display tcp status命令,其中端口号为23的TCP连接均为Telnet连接,包括Telnet客户和Telnet服务器连接。
在Telnet连接过程中,可以使用快捷键来中断连接。如下图所示,RouterA Telnet连接到RouterB,再Telnet连接到RouterC,成为级连结构,此时,RouterA是RouterB的client,RouterB是RouterC的client,下面,以此结构简单地说明快捷键的用法:
图14-4 Telnet快捷键使用示意图
l <Ctrl+]>快捷键
在网络畅通的情况下,键入<Ctrl+]>,将通知Telnet服务器端要中断本次Telnet登录,作用与quit命令一样,即服务器端主动断开连接;如果由于某些原因网络断了,则快捷键的指令不能传送到服务器端,输入无效。
<H3C> (此时键入<Ctrl+]>,将退回到RouterB的提示符。)
<H3C> (此时键入<Ctrl+]>,将退回到RouterA的提示符。)
<H3C>
l <Ctrl+k>快捷键
在服务器端故障且客户端无法感知的情况下,此时,客户端输入任何指令服务器均无响应,这种情况下,键入<Ctrl+k>快捷键,客户端主动中断本次连接,并直接退出Telnet连接。
<H3C> (此时键入<Ctrl+k>,将直接中断,并退出到最初发起Telnet的设备RouterA。)
<H3C>
SSH是Secure Shell(安全外壳)的简称,用户通过一个不能保证安全的网络环境远程登录到路由器时,SSH特性可以提供安全保障和强大的认证功能,以保护路由器不受诸如IP地址欺诈、明文密码截取等攻击。作为SSH服务器端,路由器可以接受多个SSH客户的连接。作为SSH客户端,路由器可以与支持SSH Server的路由器、路由器、UNIX主机等建立SSH连接。目前路由器支持的SSH服务器版本是SSH 1.5和SSH 2.0,SSH客户端版本是SSH 2.0。如下图所示,可以通过本地连接或广域网连接建立SSH通道。
整个通讯过程中,为实现SSH认证的安全连接,服务器端与客户端经历如下五个阶段:
(1) 版本号协商阶段
l 客户端向服务器端发送TCP连接请求。
l TCP连接建立后,服务器端和客户端进行版本号协商。
l 如果协商成功,则进入密钥算法协商阶段,否则服务器端断开TCP连接。
(2) 密钥算法协商阶段
l 服务器端生成RSA密钥对和一个8字节的随机数,并将密钥对的公钥部分和此随机数发送给客户端;
l 服务器端和客户端均以服务器端的公钥和此随机数为参数,使用相同的算法计算出一个16字节的会话ID;
l 客户端以服务器端的公钥和本地产生的一个随机数为参数,计算出会话密钥;
l 客户端使用服务器端的公钥,对本地产生的这个用于计算会话密钥的随机数进行加密,回送给服务器端;
l 服务器端使用本地私钥对客户端回送回来的数据进行解密,得到客户端产生的随机数;
l 服务器端以本地公钥和客户端产生的随机数为参数,使用和客户端相同的算法计算出会话密钥。
通过以上步骤,服务器端和客户端就取得了相同的会话密钥。会话时,两端都使用会话密钥进行加密和解密,保证了数据传送的安全。
(3) 认证方法协商阶段
l 客户端向服务器端发送自己的用户名信息。
l 服务器端启动对该用户进行认证的程序。如果服务器端配置了该用户不需要认证,则直接进入会话请求阶段。
l 客户端采用某种认证方法对服务器端进行认证,直到认证通过或服务器由于超时而断开连接。
& 说明:
SSH提供两种认证方法:口令认证和RSA认证。
(1) 口令认证过程如下:
l 客户端将认证用户名和口令发送给服务器端;
l 服务器端对客户端发送过来的用户名及口令与本地配置信息进行比较,如果两者完全匹配,则通过认证。
(2) RSA认证过程如下:
l 服务器端进行客户端的RSA公钥配置;
l 客户端向服务器端发送自己RSA公钥的成员模数;
l 服务器端对此成员模数进行有效性认证,认证通过后产生一个随机数,使用客户端的RSA公钥加密后回送给客户端;
l 服务器端和客户端均以此随机数和会话号作为参数计算出用于认证的数据;
l 客户端将自己计算出来的认证数据发送给服务器端;
l 服务器端将客户端发送过来的认证数据与本地计算出的认证数据进行比较,如果两者相同,则认证通过。
(4) 会话请求阶段
认证通过后,客户端将向服务器端发送会话请求;服务器端成功处理请求后,SSH进入交互会话阶段。
(5) 交互会话阶段
客户端和服务器端进行数据交互,直到会话结束。
注意:
当路由器作为SSH服务器,且用户使用SecureCRT作为客户端软件时,如果客户端配置了“Enable OpenSSH agent forwarding”选项,将无法正常登录SSH Server。
SSH Server配置包括:
l 设置所在用户界面支持的协议
l 配置和销毁本地RSA密钥对
l 为SSH用户配置验证方式
l 设置服务器密钥的更新时间
l 设置SSH认证超时时间
l 设置SSH验证重试次数
l 进入公共密钥视图
l 进入公共密钥编辑视图,编辑密钥
l 退出公共密钥编辑视图,返回系统视图
l 为SSH用户分配公共密钥
l 为SSH用户配置服务类型
l 设置SSH兼容方式(可选)
l 为SSH Server指定源接口或IP地址(可选)
该配置任务用来指定所在的用户界面支持的协议,缺省为支持Telnet和SSH。如果使能SSH的情况下,本机RSA密钥没有配置,则仍然不能通过SSH登录。配置结果在下次登录请求时生效。
请在VTY类型的用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置所在用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
注意:
如果在该用户界面上配置支持的协议是SSH,为确保登录成功,请您务必配置相应的验证方式为authentication-mode scheme;若配置其他验证方式为authentication-mode password和authentication-mode none,则protocol inbound ssh配置结果将失败。反之亦然,如果某用户界面已经配置成支持SSH协议,则在此用户界面上authentication-mode password和authentication-mode none的配置将失败。
该配置任务用来产生本地服务器密钥对和主机密钥对,如果此时已经有了RSA密钥,系统提示是否替换原有密钥。产生的密钥对的命名方式分别为:路由器名称+server和路由器名称+host。服务器密钥和主机密钥的位数相差至少128位,服务器密钥和主机密钥的最小长度为512位,最大长度为2048位。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
产生本地RSA密钥对 |
rsa local-key-pair create |
|
销毁本地RSA密钥对 |
rsa local-key-pair destroy |
注意:
l 成功完成SSH登录的首要操作是:配置并产生本地RSA密钥对。请您在进行其它SSH配置之前,一定记得完成rsa local-key-pair create配置,生成本地密钥对。此命令只需执行一遍,路由器重启后不必再次执行。
l 当路由器作为SSH2.0服务器端时,如果使用路由器作为SSH2.0客户端,则要求服务器端使用此命令生成的密钥对至少要为768位,否则客户端将不能成功登录。当路由器作为SSH2.0服务器端,且需要对客户端进行RSA认证,那么要求客户端生成的密钥对至少为768位。
该配置任务用来为SSH用户指定验证方式。新配置的验证方式在下次登录时生效。
请在系统视图下进行下列配置。
表14-11 为SSH用户配置验证方式
|
操作 |
命令 |
|
为SSH用户配置验证方式 |
ssh user username authentication-type { password | rsa | password-publickey | all } |
|
恢复系统默认的无法登录方式 |
undo ssh user username authentication-type |
|
为SSH用户指定一种缺省的认证方式 |
ssh authentication-type default { password | rsa | all | password-publickey } |
|
清除所指定的缺省认证方式 |
undo ssh authentication-type default |
上面两个命令的区别是:
ssh user username authentication-type命令用于为某一用户配置认证方式,ssh authentication-type default命令为所有用户配置缺省的认证方式。
当两条命令同时配置,且认证方式不同时,用户username的认证方式以ssh user username authentication-type命令配置为准。
& 说明:
配置password认证时,username应与AAA中定义的有效用户名一致;配置RSA认证时,username就是SSH用户名,不需要在AAA中配置本地用户。
当用ssh authentication-type default命令指定了缺省认证类型时,可以用命令ssh user来增加用户,该用户的认证方式为缺省的认证方式。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
增加SSH用户 |
ssh user username |
|
删除SSH用户 |
undo ssh user username |
& 说明:
配置password认证时,username应为AAA中定义的有效SSH用户名;配置RSA认证时,username就是SSH本地用户名,与AAA中定义的用户无关。
如果用户配置的缺省验证方式是password,并且采用AAA本地认证,则还需要用local-user命令在本地数据库中添加用户名和密码。在这种情况下,可以直接使用local-user命令配置用户名和密码(配置service-type为ssh)登录SSH服务器,省略掉ssh user命令的配置。
该配置任务用来设置服务器密钥的定时更新时间,更大限度的保证您的SSH连接的安全性。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置服务器密钥的更新时间 |
ssh server rekey-interval hours |
|
恢复缺省的更新时间 |
undo ssh server rekey-interval |
系统缺省不对密钥进行更新。
该配置任务用来设置SSH的认证超时时间。
请在系统视图下进行下列配置。
表14-14 设置SSH认证超时时间
|
操作 |
命令 |
|
设置SSH认证超时时间 |
ssh server timeout seconds |
|
恢复SSH默认的认证超时时间 |
undo ssh server timeout |
系统默认的认证超时时间为60秒。
该配置任务用来设置SSH用户请求连接的验证重试次数,防止恶意猜测等非法行为。
请在系统视图下进行下列配置。
表14-15 设置SSH验证重试次数
|
操作 |
命令 |
|
设置SSH验证重试次数 |
ssh server authentication-retries times |
|
恢复SSH默认的验证重试次数 |
undo ssh server authentication-retries |
系统默认的验证重试次数为3。
该配置任务用来进入公共密钥视图,对客户端的公钥进行配置。此时的客户端密钥,是由支持SSH1.5的客户端软件随机生成的。
请在系统视图下进行下列第一项配置。
|
操作 |
命令 |
|
进入公共密钥视图 |
rsa peer-public-key key-name |
|
从公共密钥视图退回到系统视图 |
peer-public-key end |
该配置任务用来进入公共密钥编辑视图,输入由客户端软件生成的公共密钥数据。在对公钥进行编辑前,一定要在系统视图下,使用rsa peer-public-key key-name命令指定一个密钥名称。
在输入密钥数据时,字符之间可以有空格,也可以按回车键继续输入数据,所配置的公钥必须是按公钥格式编码的十六进制字符串。
请在公共密钥视图下进行下列配置。
|
操作 |
命令 |
|
进入公共密钥编辑视图 |
public-key-code begin |
该配置任务用来从公共密钥编辑视图退回到公共密钥视图,并保存输入的公钥数据,也用来从公共密钥视图退回到系统视图。
请在公共密钥编辑视图下进行下列配置。
|
操作 |
命令 |
|
退出公钥编辑视图 |
public-key-code end |
该配置任务用来为SSH用户分配一个已经存在的公钥。
请在系统视图下进行下列配置。
表14-19 为SSH用户分配公钥
|
操作 |
命令 |
|
为SSH用户分配公钥 |
ssh user username assign rsa-key keyname |
|
删除用户与公钥之间的对应关系 |
undo ssh user username assign rsa-key |
该配置任务用于设定SSH用户可以使用的服务类型。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置用户使用的服务类型 |
ssh user username service-type { stelnet | sftp | all } |
|
恢复系统缺省的服务类型 |
undo ssh user username service-type { stelnet | sftp | all } |
缺省情况下,系统默认的服务类型为stelnet。
该配置任务用来设置服务器端是否兼容SSH1.x版本的客户端。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置服务器端兼容SSH1.x版本的客户端 |
ssh server compatible-ssh1x enable |
|
设置服务器端不兼容SSH1.x版本的客户端 |
undo ssh server compatible-ssh1x |
缺省情况下,服务器端兼容SSH1.x版本的客户端。
请在系统视图下进行下面配置。
表14-22 为SSH Server指定源接口或IP地址
|
操作 |
命令 |
|
为SSH Server指定源接口 |
ssh-server source-interface interface-type interface-number |
|
删除为SSH Server指定的源接口 |
undo ssh-server source-interface |
|
为SSH Server指定发送报文中的源IP地址 |
ssh-server source-ip ip-address |
|
删除为SSH Server指定的源IP地址 |
undo ssh-server source-ip |
缺省情况下,发送报文中的源IP地址为出接口的IP地址。
& 说明:
指定源IP地址和指定源接口命令是互斥的,后配置的命令将覆盖先前的配置。
SSH Client配置包括:
l 设置对访问的SSH服务器进行首次认证
l 指定服务器公钥
l 启动SSH客户端
该配置任务用来启动SSH客户端与服务器建立连接,指定客户端和服务器的首选密钥交换算法、首选加密算法和首选HMAC算法。
请在系统视图下进行下列配置。
表14-23 启动SSH客户端
|
操作 |
命令 |
|
启动SSH客户端 |
ssh2 { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } ] [ prefer_ctos_cipher { des | 3des | aes128 } ] [ prefer_stoc_cipher { des | 3des | aes128 } ] [ prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } ] [ prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] |
该配置任务用来在客户端上指定要连接的服务器的公钥,以便客户端认证连接的服务器是否为可信赖的服务器。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
指定服务器公钥 |
ssh client server assign rsa-key keyname |
|
取消服务器与公钥间的对应关系 |
undo ssh client server assign rsa-key |
该配置任务用来配置或取消SSH客户端对服务器的首次认证。
所谓首次认证,是指如果当SSH客户端首次访问的服务器公钥在本地不存在时,用户可以选择继续访问该服务器,并在本地保存该服务器的公钥;当用户下次访问该服务器时,就以保存的公钥来认证该服务器。
如果不支持首次认证,那么当连接的服务器的公钥在本地不存在时,客户端将拒绝访问该服务器。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置对服务器的首次认证 |
ssh client first-time enable |
|
取消对服务器的首次认证 |
undo ssh client first-time |
缺省情况下,客户端对服务器进行首次认证。
请在系统视图下进行下列配置。
表14-26 为SSH Client指定源接口或IP地址
|
操作 |
命令 |
|
为SSH Client指定源接口 |
ssh2 source-interface interface-type interface-number |
|
删除为SSH Client指定的源接口 |
undo ssh2 source-interface |
|
为SSH Client指定发送报文中的源IP地址 |
ssh2 source-ip ip-address |
|
删除为SSH Client指定的源IP地址 |
undo ssh2 source-ip |
缺省情况下,发送报文中的源IP地址为出接口的IP地址。
& 说明:
指定源IP地址和指定源接口命令是互斥的,后配置的命令将覆盖先前的配置。
在完成上述配置后,在任何视图下执行display命令,可以显示配置后SSH的运行情况,通过查看显示信息,验证配置的效果。
在用户视图下执行debugging命令,可对SSH进行调试。
SSH的显示和调试,就是查看各个SSH用户的配置情况,更好的利用系统资源,实现安全的信息连接。
请在任何视图下进行下列display操作,在用户视图下执行下列debugging操作。
表14-27 查看SSH相关信息
|
操作 |
命令 |
|
查看主机和服务器密钥对的公钥部分 |
display rsa local-key-pair public |
|
显示客户端的RSA公共密钥 |
display rsa peer-public-key [ brief | name keyname ] |
|
显示SSH状态信息和会话信息 |
display ssh server { status | session } |
|
显示SSH用户信息 |
display ssh user-information [ username ] |
|
显示SSH服务器信息 |
display ssh server-info |
|
显示当前为SSH Server设置的源IP地址 |
display ssh-server source-ip |
|
显示当前为SSH Client设置的源IP地址 |
display ssh2 source-ip |
表14-28 调试SSH相关信息
|
操作 |
命令 |
|
打开SSH服务器调试开关 |
debugging ssh server { vty index | all } |
|
关闭SSH服务器调试开关 |
undo debugging ssh server { vty index | all } |
|
打开SSH客户端调试开关 |
debugging ssh client |
|
关闭SSH客户端调试开关 |
undo debugging ssh client |
配置终端(SSH Client)与路由器通过以太网口直接相连,在终端上运行SSH1.5的客户端软件可以安全地登录路由器进行配置管理。SSH Client用户名为client001@169.254.0.1,口令为h3c。
图14-7 SSH本地配置组网图
(1) 配置Router
根据登录验证方式不同分别介绍配置步骤,但开始任何一种配置之前,首要执行如下操作:
[H3C] rsa local-key-pair create
& 说明:
如果此前已完成生成本地密钥对的配置,可以略过此项操作。
l 配置SSH用户验证方式为password。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
[H3C-ui-vty0-4] protocol inbound ssh
[H3C] quit
[H3C] local-user client001
[H3C-luser-client001] password simple h3c
[H3C-luser-client001] service-type ssh
[H3C-luser-client001] quit
[H3C] ssh user client001 authentication-type password
[H3C] domain 169.254.0.1
[H3C-isp-169.254.0.1] scheme local
[H3C-isp-169.254.0.1] quit
SSH的验证超时时间、重试次数以及服务器密钥更新时间可以采用系统默认值,这些配置完成以后,您就可以在与路由器连接的其它终端上,运行支持SSH1.5的客户端软件,以用户名client001,密码h3c,访问路由器了。
l 配置SSH用户验证方式为RSA。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
[H3C-ui-vty0-4] protocol inbound ssh
[H3C-ui-vty0-4] quit
[H3C] ssh user client002 authentication-type RSA
这时您需要在支持SSH1.5的客户端软件上,随机产生RSA密钥对(含公钥及私钥),并按如下方式将RSA公钥(此处的RSA公钥是指用我司提供的SSHKEY.EXE软件进行PKCS标准编码后的16进制字符串)配置到SSH Server上指定的rsa peer-public-key中。
[H3C] rsa peer-public-key h3c002
[H3C-rsa-public-key] public-key-code begin
[H3C-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463
[H3C-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913
[H3C-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4
[H3C-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC
[H3C-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16
[H3C-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125
[H3C-rsa-key-code] public-key-code end
[H3C-rsa-public-key] peer-public-key end
[H3C] ssh user client002 assign rsa-key h3c002
(2) 配置SSH客户端
l 对于password验证,需要在客户端上配置SSH Server(路由器)可达接口的IP地址169.254.0.1,协议类型为SSH,版本为1。打开SSH连接后按提示输入用户名及口令,即可进入路由器配置界面。
login as: client001
Sent username "client001"
client001@169.254.0.1's password:
*********************************************************
* All rights reserved (2004-2007) *
* Without the owner's prior written consent, *
*no decompiling or reverse-engineering shall be allowed.*
*********************************************************
<H3C>
l 对于RSA验证,不仅需要在客户端上配置SSH Server的IP地址、协议类型、版本,还需要指定RSA私钥文件(由客户端软件随机产生的)。打开SSH连接后按提示输入用户名即可进入路由器配置界面。
login as: client002
Sent username "client002"
Trying public key authenticantion。
No passphrase required。
*********************************************************
* All rights reserved (2004-2007) *
* Without the owner's prior written consent, *
*no decompiling or reverse-engineering shall be allowed.*
*********************************************************
<H3C>
RouterB作为SSH客户端,用户名client003。RouterA作为SSH服务器,IP地址为10.165.87.136。
图14-8 SSH Client配置组网图
(1) 配置SSH服务器(RouterA)
(2) 配置SSH客户端(RouterB)
# 配置客户端对服务器进行首次认证。
[H3C] ssh client first-time enable
注意:
在登陆SSH服务器之前,SSH客户端(putty和openssh除外)必须为该服务器配置公钥名称。
# 在客户端配置服务器公钥。
[H3C] rsa peer-public-key 10.165.87.136
[H3C-rsa-public-key] public-key-code begin
[H3C-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463
[H3C-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913
[H3C-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4
[H3C-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC
[H3C-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16
[H3C-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125
[H3C-rsa-key-code] public-key-code end
[H3C-rsa-public-key] peer-public-key end
[H3C] ssh client 10.165.87.136 assign rsa-key 10.165.87.136
# 启动SSH客户端。
下面分别按照服务器的两种认证方式进行配置。
l 采用password认证,按照缺省的加密算法启动。
[H3C] ssh2 10.165.87.136
Please input the username: client003
Trying 10.165.87.136
Press CTRL+K to abort
Connected to 10.165.87.136...
The Server is not authencated.Do you continue access it?(Y/N):y
Do you want to save the server's public key?(Y/N):y
Enter password:
*********************************************************
* All rights reserved (2004-2007) *
* Without the owner's prior written consent, *
*no decompiling or reverse-engineering shall be allowed.*
*********************************************************
<H3C>
l 采用RSA公钥认证,按照所设置的相应加密算法启动。
[H3C] ssh2 10.165.87.136 22 perfer_kex dh_group1 perfer_ctos_cipher des perfer_stoc_cipher 3des perfer_ctos_hmac md5 perfer_stoc_hmac md5
Please input the username: client003
Trying 10.165.87.136...
Press CTRL+K to abort
Connected to 10.165.87.136...
The Server is not authencated.Do you continue access it?(Y/N):y
Do you want to save the server's public key?(Y/N):y
*********************************************************
* All rights reserved (2004-2007) *
* Without the owner's prior written consent, *
*no decompiling or reverse-engineering shall be allowed.*
*********************************************************
<H3C>
SFTP是Secure FTP的简称,是SSH 2.0中新增的功能。
SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录到路由器,进行文件管理和文件传送等操作(如进行系统升级),为数据传输提供了更高的安全保障。同时,由于提供了客户端功能,用户可以从本地设备安全登录到远程设备上,进行文件的安全传输。
SFTP服务器端配置包括:
|
序号 |
配置项 |
命令 |
视图 |
说明 |
|
1 |
配置SSH用户使用的服务类型 |
ssh user username service-type { stelnet | sftp | all } |
系统视图 |
可选 |
|
2 |
启动SFTP服务器 |
sftp server enable |
系统视图 |
必选 |
该配置任务用于设定SSH用户可以使用的服务类型为sftp。
请在系统视图下进行下列配置。
表14-30 配置SSH用户使用的服务类型
|
操作 |
命令 |
|
配置SSH用户使用的服务类型 |
ssh user username service-type sftp |
|
恢复系统缺省的服务类型 |
undo ssh user username service-type |
缺省情况下,系统默认的服务类型为Stelnet。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
启动SFTP服务器 |
sftp server enable |
|
关闭SFTP服务器 |
undo sftp server |
缺省情况下,SFTP服务器处于关闭状态。
& 说明:
路由器的SFTP服务器支持的第三方软件为PuTTY的PSFTP客户端。
SFTP客户端的配置包括:
表14-32 SFTP客户端配置
|
序号 |
配置项 |
命令 |
视图 |
说明 |
|
|
1 |
启动SFTP客户端 |
sftp |
系统视图 |
必选 |
|
|
2 |
关闭SFTP客户端 |
bye |
SFTP客户端视图 |
可选 |
|
|
exit |
|||||
|
quit |
|||||
|
3 |
SFTP目录操作 |
改变用户的当前工作目录 |
cd |
SFTP客户端视图 |
可选 |
|
返回上一级目录 |
cdup |
||||
|
显示当前工作目录 |
pwd |
||||
|
显示指定目录下的文件列表 |
dir |
||||
|
ls |
|||||
|
创建新目录 |
mkdir |
||||
|
删除目录 |
rmdir |
||||
|
4 |
SFTP文件操作 |
改变服务器上指定的文件的名字 |
rename |
SFTP客户端视图 |
可选 |
|
下载远程服务器上的文件 |
get |
||||
|
上传本地文件到远程服务器 |
put |
||||
|
显示指定目录下的文件列表 |
dir |
||||
|
ls |
|||||
|
删除服务器上文件 |
delete |
||||
|
remove |
|||||
|
5 |
客户端命令帮助 |
help |
SFTP客户端视图 |
可选 |
|
该配置任务用来启动SFTP客户端程序,与远程SFTP服务器建立连接,并进入到SFTP client视图。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
启动SFTP客户端 |
sftp { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } ] [ prefer_ctos_cipher { des | 3des | aes128 } ] [ prefer_stoc_cipher { des | 3des | aes128 } ] [ prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } ] [ prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] |
该配置任务用来关闭SFTP客户端程序。
请在SFTP客户端视图下进行下列配置。
|
操作 |
命令 |
|
关闭SFTP客户端 |
bye |
|
exit |
|
|
quit |
& 说明:
bye,exit和quit三条命令的功能相同。
如表14-35所示,可以进行的SFTP目录操作包括:改变或显示当前的工作目录,创建或删除目录,显示指定目录下的文件或目录信息。
请在SFTP客户端视图下进行下列操作。
表14-35 SFTP目录操作
|
操作 |
命令 |
|
改变用户的当前工作目录 |
cd remote-path |
|
返回上一级目录 |
cdup |
|
显示用户的当前工作目录 |
pwd |
|
显示指定目录下的文件列表 |
dir [ remote-path ] |
|
ls [ remote-path ] |
|
|
在服务器上创建新的目录 |
mkdir remote-path |
|
删除服务器上的目录 |
rmdir remote-path |
& 说明:
dir和ls两条命令的功能相同。
如表14-36所示,可以进行的SFTP文件操作包括:改变文件名、下载文件、上传文件、显示文件列表、删除文件。
请在SFTP用户视图下进行下列操作。
表14-36 SFTP文件操作
|
操作 |
命令 |
|
改变服务器上指定的文件的名字 |
rename old-name new-name |
|
下载远程服务器上的文件 |
get remote-file [ local-file ] |
|
上传本地文件到远程服务器 |
put local-file [ remote-file ] |
|
显示指定目录下的文件列表 |
dir [ remote-path ] |
|
ls [ remote-path ] |
|
|
删除服务器上文件 |
delete remote-file |
|
remove remote-file |
& 说明:
l dir和ls两条命令的功能相同。
l delete和remove两条命令的功能相同。
请在系统视图下进行下列配置。
表14-37 SFTP Client指定源接口或IP地址
|
操作 |
命令 |
|
SFTP Client指定源接口 |
sftp source-interface interface-type interface-number |
|
删除为SFTP Client指定的源接口 |
undo sftp source-interface |
|
为SFTP Client指定发送报文中的源IP地址 |
sftp source-ip ip-address |
|
删除为SFTP Client指定的源IP地址 |
undo sftp source-ip |
缺省情况下,发送报文中的源IP地址为出接口的IP地址。
& 说明:
指定源IP地址和指定源接口命令是互斥的,后配置的命令将覆盖先前的配置。
该命令用于显示相关命令的帮助信息,如命令格式,参数配置等。
请在SFTP客户端视图下进行下列配置。
|
操作 |
命令 |
|
显示客户端命令的帮助信息 |
help [ command-name ] |
如图14-9所示:
l RouterA和RouterB已经建立起安全的SSH连接;
l RouterA作为SFTP服务器,IP地址为10.111.27.91;
l RouterB作为SFTP客户端;
l SFTP的用户名为8043,密码为h3c。
图14-9 SFTP配置组网图
(1) 配置服务器端RouterB。
# 启动SFTP服务器。
[H3C] sftp server enable
# 指定用户的服务类型为SFTP。
[H3C] ssh user 8040 service-type sftp
(2) 配置客户端RouterA。
# 与远程SFTP服务器建立连接,进入SFTP client视图。
[H3C] sftp 10.111.27.91
# 显示服务器的当前目录,删除文件z,并检查此目录是否删除成功。
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
-rwxrwxrwx 1 noone nogroup 0 Sep 01 08:00 z
sftp-client> delete z
Remove this File?(Y/N)
flash:/zy
File successfully Removed
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
# 新增目录new1,并检查是否新目录是否创建成功。
sftp-client> mkdir new1
New path created
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:30 new1
# 将目录名new1更名为new2,并查看是否更名成功。
sftp-client> rename new1 new2
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
# 从服务器上下载文件pubkey2到本地,并更名为pu。
sftp-client> get pubkey2 pu
Downloading file successfully ended
# 将本地文件pu上传到服务器上,更名为puk,并查看上传是否成功。
sftp-client> put pu puk
Uploading file successfully ended
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:35 pu
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:36 puk
sftp-client>
# 退出SFTP。
sftp-client> quit
Bye
<H3C>
当路由器的异步口(如AUX口)工作在流方式时,将计算机(或终端)的串口与路由器的异步口直连,可以进入路由器的命令行接口,对路由器进行配置,这称作哑终端工作方式。在哑终端基础上,可以建立其它应用,如执行Telnet命令登录其它设备。
用户在PC上运行超级终端可以与路由器的异步口相连登录到路由器,对路由器进行配置管理。如下图所示。
参见表14-2,与远程服务终端方式一致。
哑终端的典型应用方式:
l 异步口工作在流方式下,通过专线连接直接进入路由器的命令行接口,提供除Console口、Telnet之外的另一种终端服务。
l 异步口工作在流方式下,通过异步专线直接登录到路由器的命令行接口,再启动Telnet Client客户端程序登录到其它远程系统上工作。
与哑终端相关的配置命令如下表所示。请在接口视图下进行async mode命令的配置。请在用户界面视图下进行auto-execute command命令的配置。
|
操作 |
命令 |
|
设置异步接口的流方式 |
async mode flow |
|
禁止异步接口的流方式 |
async mode protocol |
|
在异步口上自动执行配置命令 |
auto-execute command command |
|
在异步口上禁止自动执行配置命令 |
undo auto-execute command |
# 配置与终端连接的异步口。
对AUX口配置如下:
[H3C-ui-aux0] undo modem
[H3C-Aux0] async mode flow
在执行上述操作后,在该异步口的外接终端上键入回车,进入路由器的配置界面;在配置过程中,如果执行quit退出命令行界面,必须重新键入回车。
& 说明:
其中异步口设置为禁止Modem拨入,是在相应的用户界面视图下完成的。具体内容详见用户界面配置章节。
如果在路由器的异步口配置了auto-execute command命令,那么,当用户在该异步口的外接终端上敲入两个回车后,路由器将自动执行某些命令,直接进入工作状态。
auto-execute command命令使用时有如下的限制:
l 如果路由器上只有一个Console口或只有一个AUX口(Console口和AUX口共一个口),那么这个口将不支持auto-execute command。
l 如果路由器上有一个Console口和一个AUX口(共两个口)则Console口不支持auto-execute command,AUX口支持auto-execute command。
l 对其它类型接口不作限制。
用户在登录时,自动执行某条在该终端上用auto-execute command配置好的命令,命令执行结束后,自动断开用户线。通常的用法,是在终端用auto-execute command配置Telnet命令,使用户自动连接到指定的主机。使用该命令,将导致不能用该终端线对本系统进行常规的配置,需谨慎使用。
注意:
在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他方法登录系统,以去掉此配置。
auto-execute command命令最典型的应用是用户以哑终端方式与路由器建立连接后,可以通过auto-execute command指定的Telnet命令再远程登录到其它路由器、路由器、主机或工作站上进行工作,这时,路由器对终端用户来说是透明的。如下图所示:
图14-11 auto-execute command配置示意图
配置步骤:
# 将AUX口配置成哑终端方式,参见上一小节配置。
# 配置auto-execute command命令。在用户界面视图下键入:
[H3C-ui-aux0] auto-execute command telnet 10.110.164.45
配置完成后,在与路由器的AUX口相连的终端上键入回车,直接登录到目的主机上。若退出目的主机,重新键入回车,可再次登录到目的主机上。
& 说明:
取消auto-execute command功能,在相应的用户界面视图下执行命令:undo auto-execute command。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
允许定时断开哑终端连接 |
idle-timeout minutes [ seconds ] |
|
恢复定时断开哑终端连接的默认值 |
undo idle-timeout |
本功能是为了防止未授权用户的非法侵入。如果用户设置了idle-timeout,在此时间内没有接收到哑终端用户的输入时,则断开与用户的连接。哑终端用户的定时断开时间为10分钟。用户可以在相应的用户界面视图下执行idle-timeout 0命令,关闭该功能。关闭该功能后,哑终端用户将永远不被断开。
# 禁止定时断开哑终端用户连接。
[H3C-ui-aux0] idle-timeout 0
Rsh(Remote Shell)最初为一个Berkeley / UNIX网络命令,用于在远程主机上执行特定的命令。远程主机需要运行有Rsh守护程序(Rsh Daemon),支持Rsh服务。Rsh客户端与远程主机的守护进程通信。
H3C路由器实现Rsh客户端功能。下图所示为该特性的一种典型组网方式,用户可以在路由器上使用RSH命令远程执行服务器端主机上的命令。
图14-12 Rsh典型组网图
Rsh Daemon提供基于信任主机的特权端口认证的远程命令执行服务。在Windows NT/2000/XP/2003上都可以利用服务组件启动或关闭服务。
& 说明:
Windows NT/2000/XP/2003系统不自带Rsh Daemon,需要安装Rsh Daemon程序,然后才能启动此项服务。购买H3C路由器不附带此软件,请用户自行购买或通过其它途径获取。
H3C 路由器作为Remote Shell客户端,使用命令行进行操作。
请在用户视图下进行下列操作。
表14-41 Rsh客户端操作
|
操作 |
命令 |
|
Remote Shell客户端操作命令 |
rsh host [ user username ] command remote-command |
打开rsh命令的调试开关可以查看执行rsh命令后的运行情况,通过查看显示信息验证命令执行的效果。
请在用户视图下进行下列操作。
|
操作 |
命令 |
|
打开Rsh调试开关 |
debugging rsh |
|
关闭Rsh调试开关 |
undo debugging rsh |
如下图所示,路由器Router作为Remote Shell客户端,远程主机为Windows 2000操作系统,已安装并启动了Rsh Daemon服务。
通过路由器远程设置主机时间。
图14-13 Rsh举例组网图
& 说明:
本例假设H3C路由器和Windows 2000主机之间的路由可达。
(1) 进入Windows控制面板,打开“管理工具”。(对于Windows XP系统,当使用控制面板的分类视图时,在“性能和维护”类中选择“管理工具”。)
图14-14 Windows管理工具文件夹视图
(2) 双击“服务”图标,进入Windows“服务”管理窗口。
图14-15 Windows“服务”管理窗口
(3) 查找“服务”中是否包含“Remote Shell Daemon”。如果没有,说明尚未安装此服务程序,则需要先安装此程序。如果有,说明已经安装此服务程序。
(4) 查看是否启动“Remote Shell Daemon”服务。
如上图,在“Remote Shell Daemon”服务对应状态栏中可以查看该服务是否已经启动。本例中,该服务尚未启动。
(5) 启动“Remote Shell Daemon”服务。
双击该项服务,进入“Remote Shell Daemon”属性窗口,如下图。单击<启动>按钮,即可启动该项服务。
图14-16 “Remote Shell Daemon”属性窗口
<H3C> rsh 192.168.1.10 command time
Trying 192.168.1.10 ...
Press CTRL+K to abort
当前时间: 6:56:42.57
输入新时间: 12:00
12:00
Modem是目前使用广泛的一种网络设备,实现对Modem的良好管理和控制是路由器的一个重要功能,但是由于Modem的厂家众多而且类型各异,虽然都支持业界标准的AT命令集,但在具体的实现和命令的细节上存在着或多或少的差别。
为了使路由器可以提供尽可能好的灵活性,H3C系列路由器提供如下的Modem管理功能:
(1) 提供用于Modem管理的脚本语言(以下称为Modem脚本),用来良好地控制与路由器连接的Modem设备。Modem脚本可以通过以下两种方式来执行:
l 直接通过start-script命令执行Modem脚本,对Modem进行初始化或其它配置。
l 通过特定事件(如路由器启动、Modem呼通等)触发Modem脚本的执行。
(2) 脚本和其相关的命令相配合使用可以增强路由器的远程配置功能,当异步口工作在Flow方式下,用户可通过哑终端方式或从远端通过Modem拨号方式建立与该异步口的连接,并配置管理路由器。
(3) 与其他设备提供商的设备进行互通,即双方的异步口都工作在Flow方式下并通过Modem进行互连。
(4) 提供了丰富的调试信息,便于Modem的监控和维护。
H3C系列路由器提供了Modem脚本,其主要用途有:
l 使用Modem脚本可以灵活地控制不同型号的Modem设备,通过执行不同的初始化AT指令串,使不同厂家和型号的Modem可以和路由器更好地协调工作。
l 使用Modem脚本交互式地登录远端系统,通过脚本的交互协商转入不同的连接状态。当双方路由器的异步口通过Modem建立连接之后,通过交互协商确定该物理链路上封装何种协议及采用哪些工作参数。
Modem脚本常见格式如下:
receive-string1 send-string1 receive-string2 send-string2......
其中:
l receive-string表示接收字符串,send-string表示发送字符串。
l receive-string和send-string一般成对出现,而且脚本必须以接收字符串为开始。如receive-string1 send-string1表示的执行流程为:希望从Modem接收到字符串receive-string1,如果在超时之前接收到字符串与receive-string1匹配成功则继续执行以下脚本,向Modem发送字符串send-string1,否则终止脚本的执行。
l 如果最后一个字符串为发送字符串,则表明发送该字符串后,即可结束脚本的执行,不需再等待接收字符串。
l 如果脚本的开始不需接收字符串,而直接等待发送字符串,这时可以将第一个发送字符串置为"",关于双引号的意义后面有详细介绍。
l 对于接收字符串,除以“\c”结束之外,发送时均会在字符串结尾自动附加一个回车符。
l 对于接收字符串的匹配,采用与位置无关的匹配方法,即只要接收的内容中含有希望接收的串,就认为匹配成功。
l 接收字符串的匹配,希望接收的字符串可以有多个,它们之间用“-”连接,只要与其中之一匹配,即认为匹配成功。
l 等待接收字符串的超时时间缺省为5秒,在脚本中可随时插入TIMEOUT seconds来调整等待接收字符串的超时时间,并在同一个脚本的下一次TIMEOUT设置前一直有效。
l 脚本中所有字符串和关键字都是大小写敏感的。
l 各字符串或关键字之间用空格进行分割,如果一个字符串内部包含空格,则需要用双引号(" ")括起来,如果双引号内没有任何内容(即为""),则该字符串可能有两种意义,如果""位于脚本的开始,表示不需要从Modem接收任何字符串,而直接向Modem发送字符串;如果""位于脚本其它位置,则表示一个内容为""的字符串。
l 在脚本中可随时插入ABORT receive-string来改变脚本的执行流程,表示如果接收字符串与receive-string 完全匹配,则终止脚本的执行。在脚本中ABORT receive-string可以出现多次,它们将会共同起作用,只要与其中之一匹配,即终止脚本的执行,而且无论ABORT receive-string在何处出现,但它在整个脚本执行过程中均起作用。
l 在脚本中可以插入转义字符,用于更好地对脚本进行控制并增加脚本的灵活性,另外所有的转义字符同时也是字符串的分隔符。
|
关键字 |
说明 |
|
ABORT receive-string |
ABORT后跟一个字符串,用于和Modem或对端的DTE设备传送来的字符串进行匹配,匹配的方式是完全匹配,一个脚本中可以有多个ABORT指定,每一个都在脚本的整个执行期有效。 |
|
TIMEOUT seconds |
TIMEOUT后跟一数字,用于设置接收字符串的等待超时时间,在等待的时间内如果没有收到希望的字符串,则脚本执行失败。此设置在设置以后有效,一直作用到下一次进行TIMEOUT设置。 |
其中,seconds单位为秒,缺省值为180,取值范围为0~180。
|
转义字符 |
说明 |
|
\c |
表示只发送所指定的字符串,不自动附加回车符。\c位置只能在发送字符串的末尾,其他的位置无效。 |
|
\d |
表示暂停2秒 |
|
\n |
表示换行字符 |
|
\r |
表示回车字符 |
|
\s |
表示空格字符 |
|
\t |
表示制表字符 |
|
\\ |
表示反斜杠字符 |
|
\T |
表示电话号码 |
Modem管理配置包括:
l 配置Modem的呼入和呼出权限
l 配置Modem脚本
l 手工执行Modem脚本
l 指定触发Modem脚本的事件
l 配置Modem的应答方式
请在用户界面视图下进行下列配置。
表15-3 配置Modem的呼入和呼出权限
|
操作 |
命令 |
|
只允许Modem呼入/呼出 |
modem [ call-in | call-out ] |
|
允许Modem呼入和呼出 |
modem both |
|
禁止Modem呼入和呼出 |
undo modem both |
|
禁止Modem呼入/呼出 |
undo modem [ call-in | call-out ] |
缺省情况下,禁止Modem呼入和呼出。
& 说明:
使能modem的时候系统自动禁止undo detect dsr-dtr命令,在undo detect dsr-dtr的时候系统禁止自动modem命令。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
定义Modem脚本 |
script-string script-name script-content |
|
删除Modem脚本 |
undo script-string script-name |
关于script的具体格式请参考Modem脚本语法。
可以在需要的时候用start-script命令执行指定的Modem脚本来管理该接口外接的Modem。
请在用户视图进行下列配置。
|
操作 |
命令 |
|
手工执行Modem脚本 |
start-script script-name number |
建议根据路由器外接Modem的当前应答状态配置该命令,当Modem状态为自动应答(Modem的AA灯亮)时,配置modem auto-answer(以避免Modem自动应答后,路由器又发出应答指令);如果外接Modem为非自动应答方式,则可配置undo modem auto-answer。
& 说明:
当该命令的配置与Modem当前的应答状态不一致时,对于某些Modem可能会造成应答不正常。
请在用户界面视图下进行下列配置。
表15-6 配置Modem的应答方式
|
操作 |
命令 |
|
Modem为自动应答方式 |
modem auto-answer |
|
Modem为非自动应答方式 |
undo modem auto-answer |
缺省情况下,Modem为非自动应答方式。
在用户视图下,执行debugging命令可以打开调试开关或者显示其各项状态参数,从而可以监控和维护Modem。
表15-7 Modem显示和调试
|
操作 |
命令 |
|
打开Modem调试开关 |
debugging modem |
(1) 组网需求
对于和Modem相连的异步口,使用标准的AT命令进行Modem的波特率的配置。在AT命令集中,向Modem发送“AT”,收到“OK”,则Modem可以自动地匹配相应的波特率,然后将配置写入Modem中进行保存,相应的AT命令是“AT&W”。
(2) 组网图
图15-1 路由器对Modem管理配置组网图
(3) 配置步骤
# 配置Modem脚本。
[H3C] script-string baud "" AT OK AT&W OK
# 在用户视图下执行相应的脚本,假设Modem连接在接口aux0上。查看显示信息得到接口aux0对应的编号。
<H3C> start-script baud 1
(1) 配置需求
恢复出厂配置的Modem命令是“AT&F”。
(2) 配置步骤
[H3C] script-string factory "" AT OK AT&F OK
# 在用户视图下执行相应的脚本,假设Modem连接在接口aux0上。查看显示信息得到接口aux0对应的编号。
<H3C> start-script factory 1
使路由器在上电或重启时对和异步口相连的Modem进行初始化。
[H3C] script-string init "" AT OK AT&B1&C1&D2&S0=1 OK AT&W OK
[H3C] user-interface aux0
[H3C-ui-aux0] modem
[H3C-ui-aux0] script trigger init init
配置Modem脚本,直接进行拨号。
[H3C] script-string dial "" AT OK ATDT8810058 CONNECT
# 在用户视图下执行相应的脚本,假设Modem连接在接口aux0上。查看显示信息可得到接口aux0对应的编号。
<H3C> start-script dial 1
故障之一:Modem状态不正常(如啸叫声长时间不停止或持续忙音)。
故障排除:可以按照如下步骤进行。
l 在与Modem连接的路由器物理接口上执行shutdown和undo shutdown命令,检查Modem状态是否恢复正常;
l 若Modem状态仍不正常,则可将Modem重新上电。
路由器的接口即指路由器系统与网络中的其它设备交换数据并相互作用的部分,其功能就是完成路由器与其它网络设备的数据交换。
Comware支持路由器上的物理接口和逻辑接口这两类接口。
物理接口就是真实存在、有对应器件支持的接口,如以太网接口。
逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口,包括Dialer(拨号)接口、子接口以及虚拟模板接口等。
H3C系列路由器产品上的物理接口目前只提供以太网接口和AUX接口。
为了便于对接口进行配置和维护,在Comware软件中设置了接口视图。与接口有关的各种命令都必须在相应的接口视图下使用。
(1) 进入接口视图的方法
请在系统视图下进行下列操作,进入指定接口的视图。
|
操作 |
命令 |
|
进入指定接口的视图 |
interface interface-type interface-number |
(2) 退出接口视图的方法
在接口视图下,键入quit命令,就可以退回到系统视图。
路由器的物理接口都有一个接口描述信息配置项,接口描述信息主要用来帮助识别接口的用途。请在接口视图下进行下列配置。
|
操作 |
命令 |
|
设置接口描述信息 |
description interface-description |
|
恢复接口的缺省描述信息 |
undo description |
可以使用display interface命令查看接口缺省的描述信息。
在系统视图下配置时,配置所有接口的统计周期。
|
操作 |
命令 |
|
配置接口平均速率的统计周期 |
flow-interval seconds |
|
恢复接口平均速率的统计周期的缺省值 |
undo flow-interval seconds |
缺省情况下,统计周期为300秒钟。
注意:
当对拥有较高速率的接口进行速率统计时,应降低平均速率的统计周期,这样才能得到更准确的统计结果。对于GE接口,建议将统计周期设为4秒或更低。
MTU(Maximum Transmission Unit,最大传输单元)参数影响IP报文的分片与重组。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
设置MTU |
mtu size |
|
恢复MTU的缺省值 |
undo mtu |
以太网接口的MTU取值范围为46~1500字节;Dialer接口的MTU取值范围为128~1500字节;Virtual-Template的MTU取值范围为128~1500字节;Tunnel接口的MTU取值范围为100~64000字节。
由于QoS队列长度有限,如果MTU太小而报文尺寸较大,可能会造成分片过多,报文被QoS队列丢弃。为避免这种情况,可适当增大QoS队列的长度。H3C路由器的接口缺省使用的队列调度机制是FIFO,可以在接口视图下使用命令qos fifo queue-length改变该队列长度。QoS队列的具体配置可参考本手册的QoS配置部分。
在进一步配置一个接口前,需要对组网需求和组网图有一个完整、详细的了解。具体地配置一个接口至少需要完成以下工作:
l 如果该接口是物理接口,需要明确其连接情况、接口工作方式及相关工作参数。
l 配置该接口的网络协议(如IP协议)地址。
l 配置通过该接口能达到的目的网络的静态路由,或者配置动态路由协议在该接口上的工作参数。
l 如果需要在该接口上建立路由器,则需要进行相关的报文过滤或地址转换等参数配置。
在接口视图下,需要配置的参数较多,本部分主要介绍物理接口所特有的一些参数的配置,同时,对逻辑接口的定义做简单介绍。有关链路层、网络层协议和参数的配置以及一些特殊功能的配置(如路由、路由器等),在本手册的其它部分有专题介绍,本部分将不再赘述。
表16-5 接口的显示和调试
|
操作 |
命令 |
|
显示接口当前运行状态和统计信息(任意视图下) |
display interface [ interface-type [ interface-number ] ] |
|
显示接口概要信息(任意视图下) |
display brief interface [ interface-type [ interface-number ] ] [ | { begin | include | exclude} text ] |
|
显示接口的IP信息(任意视图下) |
display ip interface [ interface-type interface-number ] |
|
清除接口统计信息(用户视图下) |
reset counters interface [interface-type [ interface-number ] ] |
|
关闭接口(接口视图下) |
shutdown |
|
重启接口(接口视图下) |
undo shutdown |
|
打开指定接口的debug信息输出开关 |
debugging physical { all | error | event | packet } [ interface interface-type interface-number ] |
|
关闭指定接口的debug信息输出开关 |
undo debugging physical { all | error | event| packet } [ interface interface-type interface-number ] |
& 说明:
当路由器的某物理接口闲置,没有连接电缆时,请使用shutdown命令关闭该接口,以防止由于干扰导致接口异常。
H3C 18-63-1路由器支持的千兆以太网接口GE分为电接口和光接口两种,GE电接口符合1000Base-T规范,GE光接口符合1000Base-LX和1000Base-SX规范。
在工作速率上,GE电接口可以选择10Mbit/s、100Mbit/s、1000Mbit/s三种速率。
在工作方式上,GE电接口支持半双工和全双工两种方式。
为简化系统的配置和管理,GE电接口具有自动协商模式,可以与其他网络设备协商确定最合适的工作方式和速率。
光接口只能工作在全双工模式,并且速率也不能通过配置改变,GE光接口只能以1000Mbit/s的速率工作。
GE接口都能够接收帧格式为Ethernet_II或Ethernet_SNAP的以太网帧,并能自动辨认其格式,对于发送的帧则采用Ethernet_II格式。
以太网接口配置包括:
l 进入指定以太网接口的视图
l 设置网络协议地址
l 设置MTU
l 选择以太网接口的工作速率
l 选择以太网接口的工作方式
l 允许或禁止对内自环
l 设置千兆以太网接口的流控方式
l 配置GE接口的工作方式
l 配置以太网接口工作模式
l 配置以太网接口隔离
必须进入指定以太网接口的视图,才能对其进行配置。配置时,一般只要配置好IP地址就可以了。建议不要启用以太网接口的其它配置任务,因为其各项参数都有缺省值,可以保证系统在大多数情况下能够正常工作。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
进入指定以太网接口的视图 |
interface gigabitethernet interface-number |
|
进入千兆以太网接口的视图 |
interface gigabitethernet interface-number |
请在以太网接口视图下进行下列配置。
|
操作 |
命令 |
|
设置接口的IP地址 |
ip address ip-address mask [ sub ] |
|
取消接口的IP地址 |
undo ip address [ ip-address mask ] [ sub ] |
当为一个以太网接口配置两个乃至两个以上的IP地址时,对第二个及以后的IP地址(即辅助的IP地址)可以用sub关键字加以指示。
以太网接口可以支持多种速率。GE电接口支持10Mbit/s、100Mbit/s、1000Mbit/s三种速率,而GE光接口只能选用1000Mbit/s速率。因此,只需对以太网电接口进行配置,而光接口不需要配置。
请在以太网接口视图下进行下列配置。
|
操作 |
命令 |
|
设置GE电接口的工作速率 |
speed { 10 | 100 | 1000 | negotiation } |
|
恢复缺省的工作速率 |
undo speed |
缺省速率选择negotiation,即系统自动协商最佳的工作速率。
& 说明:
l GE电接口的缺省速率及双工模式均为自动协商模式,用户也可强制更改速率及双工模式,但应确保速率及双工模式与连接对端相同。
l 如果在强制模式下执行自动协商命令(duplex negotiation或speed negotiation),则以太网电口转入自动协商模式,同时协商速率及双工模式。
l 对于GE电接口,工作速率1000Mbit/s与半双工模式是互斥的,不能同时配置。
如前所述,以太网接口可以工作在全双工和半双工两种工作方式下。与Hub相连时,路由器以太网接口应选择工作在半双工方式下;与交换式LAN Switch相连时,路由器以太网接口应选择工作在全双工方式下。GE电接口对这两种模式都支持,而GE光接口只能工作在全双工模式。
可以在以太网接口视图下进行下列配置来选择工作方式。
|
操作 |
命令 |
|
选择以太网接口的工作方式 |
duplex { negotiation | full | half } |
缺省情况下, GE电接口为negotiation方式,即系统自动协商最佳的双工模式。
& 说明:
对于GE电接口,工作速率1000Mbit/s与半双工模式是互斥的,不能同时配置。
在对以太网接口作特殊功能测试时,有时需要将其设为对内自环。可以在以太网接口视图下进行下列配置,允许其对内自环。
|
操作 |
命令 |
|
允许对内自环 |
loopback |
|
禁止对内自环 |
undo loopback |
缺省为禁止对内自环。
表16-11 设置以太网接口启用流控
|
操作 |
命令 |
|
flow-control |
|
|
恢复缺省设置 |
undo flow-control |
缺省情况下,不启用流控。如本端启用流控,那么只有在对端也支持流控时才有效。
当启用流控时,如果协商失败,不能正常进入UP状态。并且,如果本端为流控方式,当对端的配置发生变化时,建议对本端先执行shutdown命令,再执行undo shutdown命令重启,以保证双方的流控方式仍保持一致。
GE光接口提供协商和强制两种方式。协商方式下接口芯片检测协商码,可以协商PAUSE帧的结构及对端状态(是否fault);强制方式下在线路上没有协商码流,此时接口芯片检测光的强度,当接口检测到一定的光强后,接口变为up。
当一端为强制方式另一端为协商方式时,协商端接口down,强制端接口up,只有双方工作方式相同时接口才会同时up。
请在GE接口视图下进行下面配置。
表16-12 配置GE接口的工作方式
|
操作 |
命令 |
|
配置GE接口工作在强制方式 |
force-link |
|
恢复缺省工作方式 |
undo force-link |
缺省工作方式为协商方式。
请在以太网接口视图下进行下列配置。
|
操作 |
命令 |
|
将以太网接口设为混杂模式 |
promiscuous |
|
取消以太网接口混杂模式 |
undo promiscuous |
缺省情况下,以太网接口为非混杂模式。
当以太网接口被配置为混杂模式后将不再进行MAC地址过滤,接收所有正确的以太网报文。该模式主要用于网络监听功能。
当启动桥功能并将以太网接口加入bridge-set后,该以太网接口将自动进入混杂模式;当将以太网接口退出bridge-set后,该以太网接口将自动进入非混杂模式。
请在任意视图下进行下列配置。
|
操作 |
命令 |
|
显示指定以太网接口的状态 |
display interface gigabitethernet number display interface gigabitethernet number |
如下图所示,路由器的以太网接口连接到IP网络192.168.0.0。局域网内的计算机通过路由器连接到Internet。将路由器以太网接口的MTU设置为1492字节。
# 指定以太网接口GigabitEthernet 1/0的IP地址为192.168.0.1,掩码为255.255.0.0。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] ip address 192.168.0.1 255.255.0.0
# 设置该接口的MTU为1492字节。
[H3C-GigabitEthernet1/0] mtu 1492
采用如下测试方法,可以判别以太网接口是否有故障:
l 从与路由器位于同一局域网内的主机ping路由器的以太网接口,观察是否能够正确返回全部报文。
l 查看连接双方(如路由器和交换机)的统计信息,观察接收到的错误帧的统计数字是否快速增加。
只要这两项测试中有一项不能通过,就可以确定路由器的以太网接口或其连接的以太网工作不正常。
在确认存在故障之后,可以按照如下步骤进行排查:
第一步:查看主机和路由器的局域网连接是否正确。
若使用Hub或LAN Switch连接以太网,请确认Hub或LAN Switch上的相应连接(link)指示灯的亮/灭状态。如果均为亮,则表明主机与路由器的以太网接口以及网线物理上是正常的;否则,请更换网卡、网线、路由器或其相应接口模块等物理设备。
在使用非屏蔽双绞线连接以太网,且连接双方中至少有一方支持100Base-TX的情况下,还需考虑速率匹配问题。如果双方的工作速率设置不匹配,即一方工作于100Mbps模式,而另一方工作于10Mbps模式,则故障表现为:配置为100Mbps的一方显示没有连接;配置为10Mbps的一方显示连接建立,但物理层活动(ACTIVE)指示灯持续快速闪烁,并且不能正常收发。
在检查H3C系列路由器的千兆以太网接口连接问题时,以下两条提示信息很有帮助。这两条信息都是在用户执行速率选择命令或连接网线时输出在控制台上的:
GigabitEthernet 1/0: Warning--the link partner do not support 100M mode
GigabitEthernet 1/0: Warning--the link partner may not support 10M mode
其中第一条提示信息表明,H3C系列路由器以太网接口检测到所连接的对端不支持100Mbps工作速率,而本端的配置为强制工作在100Mbps速率下。此时,用户应确认对端也进行了相应配置,使之能够工作于100Mbps速率下。第二条提示信息表明,H3C系列路由器以太网接口检测到所连接的对端有可能不支持10Mbps工作速率,而本端的配置为强制工作在10Mbps速率下。此时,用户应确认对端能够工作于10Mbps速率下。不过,当H3C系列路由器千兆以太网接口连接Hub的10/100Mbps自适应端口时,此条信息并不意味着设置错误。
第二步:查看主机和路由器的以太网接口的IP地址是否位于同一子网内,即二者的网络地址必须是相同的,仅仅是主机地址不相同。如果不在同一子网内,请重新设置IP地址。
第三步:查看以太网接口的工作方式是否正确。使用非屏蔽双绞线或光纤连接以太网时,10Base-T/100Base-TX/100Base-FX标准规定有全双工和半双工两种工作方式。在使用Hub时,应该以半双工方式工作。在使用交换式LAN Switch时,如果LAN Switch工作在半双工方式,则路由器的以太网接口也工作在半双工方式;如果LAN Switch 工作在全双工方式,则路由器的以太网接口也工作在全双工方式。当工作方式不正确,即连接的一方工作于全双工方式而另一方工作于半双工方式时,故障现象为:网络流量增大时,配置为半双工工作方式的一侧显示网络冲突频繁(如连接Hub则整个网段上所有其它机器都显示网络冲突严重),配置为全双工工作方式的一侧则显示接收了大量的错误报文,同时伴有双方报文丢弃严重的现象。可用display interface命令查看以太网接口收发报文的错误率。冲突现象一般可以通过以太网接口状态指示灯观察到。
第四步:查看以太网接口的流控模式是否正确。
对于以太网接口,缺省不采用流控,如果对端为强制流控模式,则可能导致无法UP。这种情况下,请配置两端的流控设置一致,并对接口执行shutdown、undo shutdown命令重启。
如果上述方法仍无法帮您排错,请与技术支持人员联系。
AUX接口是H3C路由器提供的一个固定端口,它可以作为普通的异步串口使用,最高速率为115200bps。利用AUX接口,可以实现对路由器的远程配置、线路备份等功能。
AUX接口的配置包括:
l 设置链路建立方式
l 设置电平检测功能
l 设置对内自环
l 设置链路层协议类型
AUX接口有两种链路建立方式:
l protocol:协议方式,即物理连接建立之后,直接采用已有的链路层协议配置参数建立链路。
l flow:流方式,又称交互方式。指拨号成功之后,链路的两端进行交互,主叫端向接收端发送配置命令(与用户从远端手工键入配置命令效果相同),设置接收端的链路层协议工作参数,然后建立链路。一般用于拨号等人机交互的情况下。交互方式下的用户又称为EXEC用户。
请在AUX接口视图下进行下列配置。
表16-15 设置AUX接口建立链路方式
|
操作 |
命令 |
|
设置AUX接口采用协议方式建立链路 |
async mode protocol |
|
设置AUX接口采用流方式建立链路 |
async mode flow |
缺省情况下,采用流方式(flow)。
如果设置禁止AUX接口的电平检测功能,系统将不检测AUX接口是否外接电缆,自动向用户报告AUX口的状态为UP,且DTR=UP、DSR=UP;如果设置允许AUX接口的电平检测功能,则系统不仅检测AUX接口是否外接电缆,同时要检测DSR(Data Set Ready)信号,只有当该信号有效时,系统才认为AUX接口处于Up状态,否则为Down状态。
请在AUX接口视图下进行下列配置。
表16-16 设置AUX接口的电平检测功能
|
操作 |
命令 |
|
允许AUX接口的电平检测功能 |
detect dsr-dtr |
|
禁止AUX接口的电平检测功能 |
undo detect dsr-dtr |
缺省情况下,允许电平检测。
在对AUX接口作特殊功能测试时,有时需要将其设为对内自环。
请在AUX接口视图下进行下列配置。
表16-17 允许或禁止AUX接口的对内自环
|
操作 |
命令 |
|
允许AUX接口对内自环 |
loopback |
|
禁止AUX接口对内自环 |
undo loopback |
缺省情况下,禁止对内自环。
请在AUX接口视图下进行下列配置。
表16-18 设置AUX接口的链路层协议类型
|
操作 |
命令 |
|
设置链路层协议类型为PPP |
link-protocol ppp |
AUX接口的其他配置,如速率、停止位、校验方式、流控方式等,均在用户界面视图下配置,详细描述请参考本手册中“系统管理”部分的“用户界面配置”。
逻辑接口指能够实现数据交换功能但物理上不存在,需要通过配置建立的接口,包括Dialer(拨号)接口、子接口、LoopBack接口、NULL接口以及虚拟模板接口等等。
Dialer接口即拨号接口,在配置PPPoE Client时使用。
(1) 配置拨号控制列表
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置拨号控制列表 |
dialer-rule dialer-number { protocol-name { permit | deny } | acl acl-number } |
|
删除拨号控制列表 |
undo dialer-rule dialer-number |
(2) 创建Dialer接口
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
创建Dialer接口,并进入Dialer接口视图 |
interface dialer number |
|
删除Dialer接口的已有配置 |
undo interface dialer number |
(3) 指定一个Dialer用户
请在拨号接口视图下进行下列配置。
|
操作 |
命令 |
|
指定一个Dialer用户 |
dialer user username |
(4) 配置Dialer接口使用的Dialer bundle
请在拨号接口视图下进行下列配置。
表16-22 配置Dialer接口使用的Dialer bundle
|
操作 |
命令 |
|
配置Dialer接口使用的Dialer bundle |
dialer bundle number |
|
删除Dialer接口使用的Dialer bundle |
undo dialer bundle |
(5) 配置拨号接口的拨号访问组
请在拨号接口视图下进行下列配置。
|
操作 |
命令 |
|
配置拨号接口的拨号访问组 |
dialer-group group-number |
|
将拨号接口从指定拨号访问组中删除 |
undo dialer-group |
TCP/IP协议规定,127.0.0.0网段的地址属于环回地址。包含这类地址的接口属于环回接口。在H3C系列路由器上,定义了接口Loopback0为环回接口,环回接口可以用来接收所有发送给本机的数据包。
有些应用(比如配置SNA的localpeer)需要在不影响物理接口配置的情况下,配置一个带有指定IP地址的本地接口,并且出于节约IP地址的需要,需要配置32位掩码的IP地址,并且需要将这个接口上的地址通过路由协议发布出去。新增加的Loopback接口就是为了满足这种需要而设计的。
Loopback接口的配置包括:
l 创建Loopback接口
l 配置接口工作参数
(1) 创建Loopback接口
表16-24 创建/删除Loopback接口
|
操作 |
命令 |
|
创建Loopback接口并进入Loopback接口视图 |
interface loopback interface-number |
|
删除指定的Loopback接口 |
undo interface loopback interface-number |
(2) 配置接口工作参数
在Loopback接口上可以配置IP地址、IP路由等参数,具体配置请参考本手册的其它部分。
注意:
在Loopback接口上可以配置32位的子网掩码,即子网掩码可以为255.255.255.255。而且这个带有32位子网掩码的IP地址可以通过路由协议向外发布。
在配置Loopback接口的IP地址时,最好配置32位掩码的主机地址, 这样既可以节约地址,也可以满足其它接口借用地址的需求。
Loopback接口也可以被shutdown命令关闭。
H3C路由器支持Null接口,它永远处于Up状态,但不能转发数据包,也不能配置IP地址或配置其它链路层协议。
Null接口是一种纯软件性质的逻辑接口。任何送到该接口的网络数据报文都会被丢弃。
配置Null接口就是创建Null接口。
在H3C路由器上可以创建一个Null 0接口,请在系统视图下进行下列配置。
|
操作 |
命令 |
|
创建Null接口并进入Null接口视图 |
interface null 0 |
|
删除Null接口 |
undo interface null 0 |
由于任何到达Null接口的报文都会被丢弃,这就提供了另一种实现报文过滤的方法:可以简单地将不需要的网络流量发送到Null0接口,从而免去配置访问控制列表ACL的复杂工作。
例如:使用静态路由配置命令ip route-static 92.101.0.0 255.255.0.0 null 0将丢弃所有去往网段92.101.0.0的报文。
Comware中支持子接口,允许用户在路由器的单个物理接口上配置多个子接口,为用户提供了很高的灵活性。
所谓子接口,就是在一个物理接口上配置出来的多个逻辑上的虚接口。这些虚接口共用物理接口的物理层参数,又可以分别配置各自的链路层和网络层参数。因这样的多个虚接口可以对应一个物理接口,故常被称为“子接口”。
在H3C系列路由器中,支持以太网子接口。
以太网子接口的配置包括:
l 配置以太网接口的子接口
l 配置以太网接口的子接口的封装类型及VLAN ID
l 设置某个VLAN的每秒的最大处理报文数目(可选)
(1) 创建和删除以太网子接口
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
创建以太网子接口并进入以太网子接口视图 |
interface gigabitethernet interface-number.sub-number interface gigabitethernet interface-number.sub-number |
|
删除指定的以太网子接口 |
undo interface gigabitethernet interface-number.sub-number undo interface gigabitethernet interface-number.sub-number |
在进行上面的配置时,如果相应(与sub-number相同)的以太网子接口已经创建,则将直接进入该子接口视图;否则,将先创建以太网子接口,子接口号为指定的sub-number,然后,再进入该子接口的视图。
系统最多支持创建1024个以太网子接口。
(2) 配置VLAN相关参数
请在系统视图或者以太网子接口视图下进行下列配置。
表16-27 配置VLAN相关参数
|
操作 |
命令 |
|
设置以太网子接口或千兆以太网子接口的封装类型以及相关联的VLAN ID(接口视图下) |
vlan-type dot1q vid vid |
|
取消以太网子接口或千兆以太网子接口的封装类型以及相关联的VLAN ID(接口视图下) |
undo vlan-type dot1q vid |
|
设置某个VLAN的每秒的最大处理报文数目(系统视图下) |
max-packet-process count vid |
|
将某个VLAN的每秒的最大处理报文数目恢复为缺省配置(系统视图下) |
undo max-packet-process vid |
缺省情况下,系统子接口上无封装,也没有与子接口关联的VLAN ID,没有最大处理报文数目的限制。
当配置了以太网子接口的封装类型后,子接口就被设置为允许VLAN中继。
(3) 配置相关的其它工作参数
当以太网子接口没有配置VLAN id时,它只能支持IPX网络协议,因此,在以太网接口的子接口上,只能配置IPX网络地址以及其它的IPX工作参数等,具体的配置步骤和方法与配置以太网接口类同。在以太网子接口配置了VLAN id之后,它可以支持IP及IPX协议。相关配置请参考本手册的“网络层协议”部分。
在完成上述配置后,在任意视图下执行display命令可以显示以太网子接口配置VLAN ID后的运行情况,通过查看显示信息验证配置的效果。
执行reset命令可以清除该运行情况的统计信息。
|
操作 |
命令 |
|
显示指定VLAN配置的最大处理报文数目 |
display vlan max-packet-process vid |
|
显式指定VLAN的报文统计信息,包括接收和发送的报文数目 |
display vlan statistics vid vid |
|
显示某个接口的VLAN配置信息 |
display vlan interface interface-type interface-num |
|
清除指定VLAN的报文统计信息 |
reset vlan statistics vid vid |
虚拟模板接口(Virtual-Template),主要应用于VPN及MP等应用环境。
在VPN会话连接建立之后,需要创建一个虚拟接口用于和对端交换数据。此时,系统将按照用户的配置,选择一个虚拟模板接口,根据该模板的配置参数,动态地创建一个虚拟接口。有关VPN的相应配置,可以参看本手册中的“VPN配置”部分章节。
同样,将多个PPP链路捆绑成MP之后,也需要创建一个虚拟接口与对端交换数据。此时,也可选择一个接口模板,以便动态地创建一个虚拟接口。
在VPN及MP等应用环境中,虚拟接口的创建和删除由系统自动完成,对于用户是完全透明的。用户只需要在相应的物理接口上配置VPN或MP,然后创建并配置虚拟模板接口,再将虚拟模板接口与相应的物理接口建立联系即可。
虚拟模板接口的配置包括:
l 创建和删除虚拟模板接口
l 设置虚拟模板接口的工作参数
l 建立虚拟模板接口与相关物理接口的对应关系
(1) 创建和删除虚拟模板接口
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
创建虚拟模板接口并进入虚拟模板接口视图 |
interface virtual-template number |
|
删除虚拟模板接口 |
undo interface virtual-template number |
在执行interface virtual-template命令时,如果相应的虚拟模板接口已经创建,将直接进入该虚拟模板接口的视图;否则,将先创建虚拟模板接口,模板号为指定的number,然后,再进入该虚拟模板接口的视图。
在删除虚拟模板接口时,要确保由其派生的虚拟接口都已经被删除,而且该虚拟模板接口已不再被使用。
(2) 设置虚拟模板接口的工作参数
虚拟模板接口与一般的物理接口相比,链路层协议只支持PPP,网络协议支持IP,因此,可以设置如下工作参数:
l 设置PPP的工作参数
l 设置虚拟接口的IP地址
l 设置为PPP对端分配的IP地址(或IP地址池)
这些参数在虚拟模板接口上的设置与在普通接口上没有任何区别。
(3) 建立虚拟模板接口与相关物理接口的对应关系
在VPN应用环境中,需要建立L2TP组与虚拟模板接口的对应关系;在MP应用环境中,需要建立MP用户与虚拟模板接口的对应关系。
详细说明请参考本手册的“VPN”部分。
虚拟接口将在需要的时候由系统自动创建,并使用相应虚拟模板接口的参数进行工作,不需要用户手工创建和配置。虚拟接口会由于底层链路断开或用户干预而被删除。
请在任意视图下使用display命令来显示指定虚拟模板接口的状态。
|
操作 |
命令 |
|
显示指定虚拟模板的状态 |
display interface virtual-template number |
|
显示虚拟访问接口的状态 |
display virtual-access { dialer number | vt vt-number | user user-name | peer peer-address | va-number }* |
对于由PPPoE Client的Dialer接口所生成的虚拟访问接口,不能通过此命令来查看。
在进行虚拟模板接口故障的排查之前,应先确定虚拟模板接口是用于VPN虚拟访问接口的创建还是用于MP虚拟接口的创建;然后,再根据应用环境,对虚拟模板接口的故障进行定位。
故障之一:不能创建虚拟接口。
故障排除:原因可能有以下几种:
l 虚拟模板接口没有配置IP地址,因此导致PPP协商不通过,虚拟接口不能变为Up状态。
l 虚拟模板接口没有配置为对端分配的IP地址(或IP地址池),在实际应用中,需要给对方分配地址的情况下,虚拟接口无法满足要求,也不会变为Up状态。
l PPP验证参数设置不正确,如对方不是本路由器已经定义的用户,则PPP协商也不能通过。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
