交换机可以隔离冲突域,路由器可以隔离广播域,这两种设备在企业网络中应用越来越广泛。随着越来越多的终端接入到网络中,网络设备的负担也越来越重,这时网络设备可以通过华为专有的VRP系统来提升运行效率。通用路由平台VRP(Versatile Routing Platform)是华为公司数据通信产品的通用操作系统平台,它以IP业务为核心,采用组件化的体系结构,在实现丰富功能特性的同时,还提供了基于应用的可裁剪和可扩展的功能,使得路由器和交换机的运行效率大大增加。
VRP分层的命令结构定义了很多命令行视图,每条命令只能在特定的视图中执行。每个命令都注册在一个或多个命令视图下,用户只有先进入这个命令所在的视图,才能运行相应的命令。进入到VRP系统的配置界面后,VRP上最先出现的视图是用户视图。在该视图下,用户可以查看设备的运行状态和统计信息。
若要修改系统参数,用户必须进入系统视图。用户还可以通过系统视图进入其他的功能配置视图,如接口视图和协议视图。
用户视图
登陆设备后,直接进入用户视图模式,只能执行少量查看配置的命令;
ctrl+z(或者return)返回到用户试图(可以使用tab键补全命令)
ctrl+c 停止当前命令的运行 例如ping连接 记住ctrl+c 不是复制
crtl+] 终止当前连接或切换连接
⬅或者ctrl+B将光标向左移动一个字符。
Backspace或CTRL+D 删除当前光标所在位置的字符。
➡将光标向右移动移动一个字符。
空格或者CTRL+H 删除光标左侧的一个字符。
⬇显示历史命令缓冲区中的后一条命令。
⬆显示历史命令缓冲区中的前一条命令。
CTRL+W 删除光标左侧的一个字符串。
CTRL+X 删除光标左侧所有的字符。
ESC+F 将光标向右移动一个字符串。
输入一个不完整的命令并按TAB键,就可以补全该命令。
显示信息用display
然后命令行输入i之后按tab,每按一下就切换一次命令。
1.部分帮助指的是,当用户输入命令时,如果只记得此命令关键字的开头一个或几个字符,可以使用命令行的部分帮助获取以该字符串开头的所有关键字的提示。
2.完全帮助指的是,在任一命令视图下,用户可以键入“?”获取该命令视图下所有的命令及其简单描述,每按一个enter,则输出关键字(是一个确定的命令关键字)增加一个;如果键入一条命令关键字,后接以空格分隔的“?”,如果该位置为关键字,则列出后面所配的全部关键字及其描述。使用ctrl+c退出
网络上一般都会部署不止一台设备,管理员需要对这些设备进行统一管理。在进行设备调试的时候,首要任务是设置设备名。设备名用来唯一地标识一台设备。AR2200路由器默认的设备名是HUAWEI,而S5700系列默认的设备名是APPLE。设备名称一旦设置,立刻生效。
接口视图模式
视图模式下,输入局部配置命令,如interface GigabitEthernet 0/0/0,进入GigabitEthernet 0/0/0接口视图模式。
display version
display clock | 查看系统时钟 |
---|---|
clock timezone | 设置所在时区 |
clock datetime | 设置当前时间和日期 |
clock daylight-saving-time | 设置采用夏时制 |
系统时钟是设备上的系统时间戳。由于地域的不同,用户可以根据当地规定设置系统时钟。用户必须正确设置系统时钟以确保其与其他设备保持同步。
设置系统时钟的公式为:UTC+时区偏移量+夏时制时间偏移量。clock datetime命令设置HH:MM:SS YYYY-MM-DD格式的系统时钟。但是需要注意的是,如果没有设定时区,或者时区设定为零,那么设定的日期和时间将被认为是UTC时间,所以建议在对系统时间和日期进行配置前先设置时区。
clock timezone命令用来对本地时区信息进行设置,具体的命令参数为time-zone-name { add | minus } offset*。其中参数add表示与UTC时间相比,time-zone-name增加的时间偏移量。即,在系统默认的UTC时区的基础上,加上offset*,就可以得到time-zone-name所标识的时区时间;参数minus指的是与UTC时间相比,time-zone-name减少的时间偏移量。即,在系统默认的UTC时区的基础上,减去offset,就可以得到time-zone-name所标识的时区时间。
有的地区实行夏令时制,因此当进入夏令时实施区间的一刻,系统时间要根据用户的设定进行夏令时时间的调整。VRP支持夏令时功能。比如,在英国,从三月的最后一个星期天到十月最后一个星期天是夏令时区间,那么可以通过执行命令指定夏令时的开始和结束时间。
display clock
clock timezone bj add 08:00:00
clock datetime 18:56:56 2020-11-14
header命令用来设置用户登录设备时终端上显示的标题信息。
login参数指定当用户在登录设备认证过程中,激活终端连接时显示的标题信息。
shell参数指定当用户成功登录到设备上,已经建立了会话时显示的标题信息。
header的内容可以是字符串或文件名。当header的内容为字符串时,标题信息以第一个英文字符作为起始符号,最后一个相同的英文字符作为结束符;通常情况下,建议使用英文特殊符号,并需要确保在信息正文中没有此符号。
用户等级 | 命令等级 | 名称 |
---|---|---|
0 | 0 | 访问级 |
1 | 0 and 1 | 监控级 |
2 | 0,1 and 2 | 配置级 |
3-15 | 0,1,2 and 3 | 管理级 |
LEVEL 0(访问级):可以执行用于网络诊断等功能的命令。包括ping、tracert、telnet等命令,执行该级别命令的结果不能被保存到配置文件中。
LEVEL 1(监控级):可以执行用于系统维护、业务故障诊断等功能的命令。包括debugging、terminal等命令,执行该级别命令的结果不能被保存到配置文件中。
LEVEL 2(系统级):可以执行用于业务配置的命令,主要包括路由等网络层次的命令,用于向用户提供网络服务。
LEVEL 3(管理级):最高级,可以运行所有命令:关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用。包括文件系统、FTP、TFTP、XModem下载、用户管理命令、级别设置命令等。
注:某些型号设备用户等级有0-15级,区分更细,其中15级与LEVEL 3权限一致,配置时需依据具体情况而定。
路由器接口:console、mini usb
console和mini usb口属于同一个接口,不能同时连接。
VTY是路由器的远程登陆的虚拟端口,0 4表示可以同时打开5个会话,进入路由器去配置命令,并且使用的配置都是一样的。
华为网络设备同时只能有一个用户登录Console界面,因此Console用户的编号固定为0。
不带VTY的就是实实在在的接口。
每类用户界面都有对应的用户界面视图。用户界面(User-interface)视图是系统提供的一种命令行视图,用来配置和管理所有工作在异步交互方式下的物理接口和逻辑接口,从而达到统一管理各种用户界面的目的。在连接到设备前,用户要设置用户界面参数。系统支持的用户界面包括Console用户界面和VTY用户界面。控制口(Console Port)是一种通信串行端口,由设备的主控板提供。虚拟类型终端(Virtual Type Terminal)是一种虚拟线路端口,用户通过终端与设备建立Telnet(远程登陆)或SSH连接后,也就建立了一条VTY,即用户可以通过VTY方式登录设备。设备一般最多支持15个用户同时通过VTY方式访问。执行**user-interface maximum-**vty number 命令可以配置同时登录到设备的VTY类型用户界面的最大个数。如果将最大登录用户数设为0,则任何用户都不能通过Telnet或者SSH登录到路由器。display user-interface 命令用来查看用户界面信息。
不同的设备,或使用不同版本的VRP软件系统,具体可以被使用的VTY接口的最大数量可能不同。
SSH 为 Secure Shell 的缩写,SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
telnet:使用明文传输口令和数据,是不安全的。(ftp、pop)
ssh:对所有的数据进行加密,而且传输的数据是经过压缩的,所以传输速度快。
Console登录:默认console登录无密码,任何人通过串口线直连设备console接口,可直接修改配置,管理员可配置console密码,登录不需要用户名,初次配置时使用console;
超时时间:指连接设备后,一段时间内无操作,系统自动退出,需重新登录,默认超时时间为10min;
进入console配置模式
[HUAWEI]user-interface console 0
Console认证方式为password,设置密码
[HUAWEI-ui-console0]authentication-mode password
设置console密码为密文形式huawei@123 修改密码
[HUAWEI-ui-console0]set authentication password cipher huawei@123
设置超时时间为20min0秒
[HUAWIE-ui-console0]idle-timeout 20 0
然后quit,使用display current-configuration检查配置结果,乱码是加密后的密码;
[HUAWEI]user-interface vty 0 4
指定认证方式为password
[HUAWEI-ui-vty0-4]authentication-mode password
配置telnet使用密文认证,密码huawei123
[HUAWEI-ui-vty0-4]set authentication password cipher huawei123
配置用户等级3,缺省为级别1,若不设,则很多命令用不了。
[HUAWEI-ui-vty0-4]user privilege level 3
用户可以设置Console界面和VTY界面的属性,以提高系统安全性。如果一个连接上设备的用户一直处于空闲状态而不断开,可能会给系统带来很大风险,所以在等待一个超时时间后,系统会自动中断连接。这个闲置切断时间又称超时时间,默认为10分钟。
当display命令输出的信息超过一页时,系统会对输出内容进行分页,使用空格键切换下一页。
如果一页输出的信息过少或过多时,用户可以执行screen-length命令修改信息输出时一页的行数。默认行数为24,最大支持512行。不建议将行数设置为0,因为那样将不会显示任何输出内容了。
每条命令执行过后,执行的记录都保存在历史命令缓存区。用户可以利用(↑),(↓) 这些快捷键调用这些命令。历史命令缓存区中默认能存储10条命令,可以通过运行history-command max-size改变可存储的命令数,最多可存储256条。
可以使用display history-command查看历史命令,默认10条。
AAA认证
如果没有权限限制,未授权的用户就可以使用设备获取信息并更改配置。从设备安全的角度考虑,限制用户的访问和操作权限是很有必要的。用户权限和用户认证是提升终端安全的两种方式。用户权限要求规定用户的级别,一定级别的用户只能执行特定级别的命令。
配置用户界面的用户认证方式后,用户登录设备时,需要输入密码进行认证,这样就限制了用户访问设备的权限。在通过VTY进行Telnet连接时,所有接入设备的用户都必须要经过认证。
设备提供三种认证模式,AAA模式、密码认证模式和不认证模式。AAA认证模式具有很高的安全性,因为登录时必须输入用户名和密码。密码认证只需要输入登录密码即可,所以所有的用户使用的都是同一个密码。使用不认证模式就是不需要对用户认证直接登陆到设备。需要注意的是,Console界面默认使用不认证模式。
对于Telnet登录用户,授权是非常必要的,最好设置用户名、密码和指定和帐号相关联的权限。
authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;
进入vty配置模式
[HUAWEI]user-interface vty 0 4
退出vty配置模式后,进入aaa配置模式
[HUAWEI]aaa
配置本地用户huawei密码为密文huawei123
[HUAWEI-aaa]local-user huawei password cipher huawei123
配置huawei用户服务类型为telnet
[HUAWEI-aaa]local-user huawei service-type telnet
配置huawei用户特权等级15(模拟器不支持此配置,只有用户等级0-3)
[HUAWEI-aaa]local-user huawei privilege level 15
配置完成后查看结果,其中aaa认证模式无特殊要求,均采用默认模式
telnet登录时会要求输入username和password
超级密码
在用户权限较低时(例如Telnet登陆时,可以定义权限级别为0或1),此时
可以使用super命令进行权限提升。为避免非法权限提升带来的危害,应该配置
超级密码进行防护。
为HUAWEI设置超级密码,密码以simple(明文)方式存储(模拟器不支持)
[HUAWEI]super password simple huawei
保存所有配置信息,先提交后保存
[HUAWEI]commit
save
查看已保存的所有配置
[HUAWEI]display saved-configuration
查看当前所有配置
[HUAWEI]display current-configuration
拓扑图如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xSH1m6qN-1605368257533)(C:\Users\hzy\AppData\Roaming\Typora\typora-user-images\image-20201114212650945.png)]
要在接口运行IP服务,必须为接口配置一个IP地址。一个接口一般只需要一个IP地址。在特殊情况下,也有可能为接口配置一个次要IP地址。例如,当路由器AR2200的接口连接到一个物理网络时,该物理网络中的主机属于两个网段。为了让两个网段的主机都可以通过路由器AR2200访问其它网络,可以配置一个主IP地址和一个次要IP地址。一个接口只能有一个主IP地址,如果接口配置了新的主IP地址,那么新的主IP地址就替代了原来的主IP地址。
用户可以利用ip address <ip-address > { mask | mask-length } 命令为接口配置IP地址,这个命令中,mask代表的是32 比特的子网掩码,如255.255.255.0,mask-length 代表的是可替换的掩码长度值,如24,这两者可以交换使用。
Loopback接口是一个逻辑接口,可用来虚拟一个网络或者一个IP主机。在运行多种协议的时候,由于Loopback接口稳定可靠,所以也可以用来做管理接口。Loopback接口是一种逻辑接口,在未创建之前,Loopback接口并不存在。从创建开始,Loopback接口就一直存在,并一直保持Up状态,除非被手动关闭。
在给物理接口配置IP地址时,需要关注该接口的物理状态。默认情况下,华为路由器和交换机的接口状态为up;如果该接口曾被手动关闭,则在配置完IP地址后,应使用undo shutdown打开该接口。
RTA配置
[RTA]undo portswitch batch GE 1/0/0 GE 1/0/0开启三层转发
[RTA]interface GE 1/0/0 进入接口配置模式
[RTA-GE1/0/0]ip address 10.0.12.1 24 配置IP及netmask
[RTA-GE1/0/0]description this port connect to RTA GE 1/0/0 添加端口说明(可选)
[RTA-GE1/0/0]undo shutdown 激活接口
[RTA]commit 提交配置
[RTA]interface LoopBack 1 创建一个逻辑接口
保存后查看配置:
命令 | 功能 |
---|---|
display version | 查看路由器基本信息 |
display interface GigabitEthernet 0/0/0 | 查看接口状态信息 |
display ip interface brief | 查看全部接口的IP简要信息,含IP地址 |
display ip routing-table | 查看路由表 |
display current-configuration | 查看当前的配置(内存中) |
display saved-configuration | 查看保存的配置(Flash中) |
dir flash: | 查看Flash中的文件 |
save | 保存配置文件 |
reboot | 重启设备 |
1、FE是快速以太网接口:快速以太网是一类新型的局域网,其名称中的“快速”是指数据速率可以达到100Mbps,是标准以太网的数据速率的十倍。
2、GE是千兆以太网接口:千兆
Serial接口的意思,也叫高速异步串口,主要是连接广域网的V.35线缆用的,说白了就是路由器和路由器连接时候用的,可以用命令设置带宽,一般也就在10M、8M左右。
是Ethernet接口,叫以太网接口,也是主要连接以太网(局域网)用的,也是用普通的双绞线就可以连接,速率默认是10Mbps,现在新型的设备上已经把这个接口淘汰了。另外,路由器上还有一个必不可少的接口是Console口,叫控制口,这个接口是用来调试路由器的。有的路由器还有AUX接口,也是控制接口;还有G口,是千兆以太网接口,是连接以太网用的。
是FastEthernet接口,快速以太网口,也叫百兆口。主要连接以太网(局域网)用的,说白了就是连接交换机或电脑用的,用普通的双绞线就可以连接,速率默认是100Mbps,可以用命令限速,但是不可能超过100Mbps。
G口是Gigabitethernet的意思,是千兆口。Gigabit只表示它是千兆口,不管是光口还是电口显示都是一样的,你要详细看的话,可以display int查看。
GigabitEthernet可以是光口,也可以是电口,具体看设备参数。Ethernet是以太网端口,GigabitEthernet是千兆以太网端口,两者都是由IEEE 802.3-2005标准定义,可以采用网线也可以采用光纤。
路由器和猫是不一样的。
计算机需要连接互联网必须使用路由器。猫是在不同媒体之间传输的网络信号切换设备。
区别:
1、外形不同。
2、用途不同。
路由器的作用是关于网络信号的再分配,也就是说通过路由器的使用,能够让多台电脑共同使用一根网线来上网。
猫的作用是为了能够转接不同介质的网络信号,比如说将ADSL,光线,有线通等等不同的网络信号通过猫来转变成为标准的电脑网络信号。
3、端口数量不同。
路由器一般是4端口和8端口。猫一般是2端口,接入端口有两种,一种是用来连接电话线的,还有一种是用来连接RJ-45口网线的。
版权说明:如非注明,本站文章均为 扬州驻场服务-网络设备调试-监控维修-南京泽同信息科技有限公司 原创,转载请注明出处和附带本文链接。
请在这里放置你的在线分享代码