VRP
交换机可以隔离冲突域,路由器可以隔离广播域,这两种设备在企业网络中应用越来越广泛。随着越来越多的终端接入到网络中,网络设备的负担也越来越重,这时网络设备可以通过华为专有的VRP系统来提升运行效率。
通用路由平台VRP(Versatile Routing Platform)是华为公司数据通信产品的通用操作系统平台,它以IP业务为核心,采用组件化的体系结构,在实现丰富功能特性的同时,还提供了基于应用的可裁剪和可扩展的功能,使得路由器和交换机的运行效率大大增加。能对VRP熟练地进行配置和操作是对网络工程师的一种基本要求
交换机
由集线器(HUB)和中继器组建的以太网,实质上是一种共享式以太网。共享式以太网的主要缺陷有:冲突严重、广播泛滥、安全性差。
交换机是工作在数据链路层的设备。交换机可以将一个共享式以太网分割为多个冲突域。链路层流量被隔离在不同的冲突域中进行转发,如此便极大地提升了以太网的性能。
更进一步说,通常主机和交换机之间以及交换机与交换机之间都使用全双工技术进行通信,这时冲突现象会被彻底消除。
如图所示,在由Hub搭建的网络中,所有的主机都处于同一个冲突域,主机A发送数据给主机B时,其他主机都将收到此数据,但同时这些主机都不能发送数据。用交换机替代Hub后,因为交换机分割了冲突域,所以在主机A发送数据给主机B时,主机C和主机D之间也可以同时互相发送数据。
路由器
交换机虽然能够隔离冲突域,但是当一台设备发送广播帧时,其他设备仍然都会接收到该广播帧。随着网络规模的增大,广播会越来越多,这样就会影响网络的效率。路由器可以用来分割广播域,减少广播对网络效率的影响。
一般情况下,广播帧的转发被限制在广播域内。广播域的边缘是路由器,因为通常路由器不会转发广播帧。
路由器负责在网络间转发报文。它能够在自身的路由表里查找到达目的地的下一跳地址,将报文转发给下一跳路由器,如此重复,并最终将报文送达目的地。
VRP
VRP是华为公司具有完全自主知识产权的网络操作系统,可以运行在多种硬件平台之上。VRP拥有一致的网络界面、用户界面和管理界面,为用户提供了灵活丰富的应用解决方案。
VRP平台以TCP/IP协议簇为核心,实现了数据链路层、网络层和应用层的多种协议,在操作系统中集成了路由交换技术、QoS技术、安全技术和IP语音技术等数据通信功能,并以IP转发引擎技术作为基础,为网络设备提供了出色的数据转发能力。
随着网络技术和应用的飞速发展,VRP平台在处理机制、业务能力、产品支持等方面也在持续演进。到目前为止,VRP已经开发出了5个版本,分别是VRP1、VRP2、VRP3、VRP5和VRP8。
VRP5是一款分布式网络操作系统,具有高可靠性、高性能、可扩展的架构设计。目前,绝大多数华为设备使用的都是VRP5版本。
VRP8是新一代网络操作系统,具有分布式、多进程、组件化架构,支持分布式应用和虚拟化技术,能够适应未来的硬件发展趋势和企业急剧膨胀的业务需求。
管理接口
AR系列企业路由器有多个型号,包括AR150、AR200、AR1200、AR2200、AR3200。它们是华为第三代路由器产品,提供路由、交换、无线、语音和安全等功能。在AR路由器上部署多种业务能降低企业的网络建设成本和运维成本。根据一个企业的用户数和业务的复杂程度可以选择不同型号的AR路由器来部署到网络中。
华为X7系列以太网交换机提供数据交换的功能,满足企业网络上多业务的可靠接入和高质量传输的需求。这个系列的交换机定位于企业网络的接入层、汇聚层和核心层,提供大容量交换,高密度端口,实现高效的报文转发。X7系列以太网交换机包括了S1700、S2700、S3700、S5700、S7700、S9700等。
ARG3系列路由器和X7系列交换机都提供了Console口作为管理口,AR2200额外提供了Mini USB口作为管理口
连接Console口
使用Console线缆来连接交换机或路由器的Console口与计算机的COM口,这样就可以通过计算机实现本地调试和维护。S5720和AR2200E的Console口是一种符合RS232串口标准的RJ45接口。目前大多数台式电脑提供的COM口都可以与Console口连接。笔记本电脑一般不提供COM口,需要使用USB到RS232的转换接口
很多终端模拟程序都能发起Console连接,例如,可以使用超级终端程序连接到VRP操作系统,如图所示。使用超级终端连接VRP时,必须设置端口参数。上图是端口参数设置的示例,如果对参数值做了修改,需要恢复默认参数值。
完成设置以后,点击“确定”按钮即可与VRP建立连接。
在缺少超级终端程序的计算机上,可以使用putty或Secure CRT程序发起Console连接,并连接到VRP,配置参数与上图一致。
连接MiniUSB口
华为AR2200系列路由器还支持通过Mini USB口与主机USB口建立连接,实现对设备的调试和维护。
在管理设备时,Console接口和Mini USB接口互斥,即同一时刻只能使用其中的1个接口连接到VRP。
在使用Mini USB口建立连接前,需要在主机上安装驱动程序。您可以从华为企业官方支持网站下载到所需驱动程序。目前,Mini USB的驱动程序只能安装在Windows XP、Windows Vista和Windows 7操作系统上。按照软件提示安装驱动程序即可。
华为企业官方支持网站网址:http://www.support.huawei.com/enterprise/。
安装驱动程序后,主机上会增加一个新的虚拟COM接口,终端模拟软件可以通过该虚拟COM接口连接到VRP。具体的软件使用和参数配置与本材料的第10页一致。
命令行基础
熟悉VRP命令行并且熟练掌握VRP配置是高效管理华为网络设备的必备基础。
启动
管理员和工程师如果要访问在通用路由平台VRP上运行的华为产品,首先要进入启动程序。开机界面信息提供了系统启动的
运行程序和正在运行的VRP版本及其加载路径。启动完成以后,系统提示目前正在运行的是自动配置模式。用户可以选择是继续使用自动配置模式或是进入手动配置的模式。如果选择手动配置模式,在提示符处输入Y。在没有特别要求的情况下,我们选择手动配置模式。
BIOS Creation Date : Jan 5 2013, 18:00:24
DDR DRAM init : OK
Start Memory Test ? ('t' or 'T' is test):skip
Copying Data : Done
Uncompressing : Done
……
Press Ctrl+B to break auto startup ... 1
Now boot from flash:/AR2220E-V200R007C00SPC600.cc,
……
<Huawei>
Warning: Auto-Config is working. Before configuring the device, stop Auto-Config. If you perform configurations when Auto-Config is running, the DHCP, routing, DNS, and VTY configurations will be lost. Do you want to stop Auto-Config? [y/n]:Y
命令行视图
VRP分层的命令结构定义了很多命令行视图,每条命令只能在特定的视图中执行。每个命令都注册在一个或多个命令视图下,用户只有先进入这个命令所在的视图,才能运行相应的命令。进入到VRP系统的配置界面后,VRP上最先出现的视图是用户视图。在该视图下,用户可以查看设备的运行状态和统计信息。
若要修改系统参数,用户必须进入系统视图。用户还可以通过系统视图进入其他的功能配置视图,如接口视图和协议视图。
通过提示符可以判断当前所处的视图,例如:“< >”表示用户视图,“[ ]”表示除用户视图以外的其它视图。
快捷键
为了简化操作,系统提供了快捷键,使用户能够快速执行操作。以上表格中提供了系统定义的快捷键。
CTRL+A 光标移动到命令行最前端
CTRL+C 停止当前命令执行
CTRL+Z 返回用户视图
CTRL+] 终止当前连接或切换连接
CTRL+B 将光标向左移动一个字符。
CTRL+D 删除当前光标所在位置的字符。
CTRL+E 将光标移动到当前行的末尾。
CTRL+F 将光标向右移动一个字符。
CTRL+H 删除光标左侧的一个字符。
CTRL+N 显示历史命令缓冲区中的后一条命令。
CTRL+P 显示历史命令缓冲区中的前一条命令。
CTRL+W 删除光标左侧的一个字符串。
CTRL+X 删除光标左侧所有的字符。
CTRL+Y 删除光标所在位置及其右侧所有的字符。
ESC+B 将光标向左移动一个字符串。
ESC+D 删除光标右侧的一个字符串。
ESC+F 将光标向右移动一个字符串。
还有一些其他功能键也可以用来执行类似的操作,比如,与CTRL+H的功能一样,退格也可以删除光标左侧的一个字符。向左的光标键(←)与向右的光标键(→)可以分别用来执行与CTRL+B和CTRL+F相同的功能。向下的光标键(↓)可以用来执行与Ctrl+N相同的功能,向上的光标键(↑) 可以替换CTRL+P。
此外,若命令字的前几个字母是独一无二的,系统可以在输完该命令的前几个字母后自动将命令补充完整。如本例所示,用户只需输入inter并按Tab键,系统自动将命令补充为interface。若命令字并非独一无二的,按Tab键后将显示所有可能的命令。如输入in并按Tab键,系统会按顺序显示以下命令: info-center,interface。
帮助命令
VRP提供两种帮助功能,分别是部分帮助和完全帮助。
部分帮助指的是,当用户输入命令时,如果只记得此命令关键字的开头一个或几个字符,可以使用命令行的部分帮助获取以该字符串开头的所有关键字的提示,如本例中所示。
完全帮助指的是,在任一命令视图下,用户可以键入“?”获取该命令视图下所有的命令及其简单描述;如果键入一条命令关键字,后接以空格分隔的“?”,如果该位置为关键字,则列出全部关键字及其描述。
[Huawei]d?
ddns dhcp
dhcpv6 diagnose
display dns
domain dot1x
基本配置步骤
- 修改设备名
网络上一般都会部署不止一台设备,管理员需要对这些设备进行统一管理。在进行设备调试的时候,首要任务是设置设备名。设备名用来唯一地标识一台设备。AR2200E路由器默认的设备名是Huawei,而S5720交换机默认的设备名是HUAWEI。设备名称一旦设置,立刻生效
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname RTA
[RTA]
- 配置系统时钟
系统时钟是设备上的系统时间戳。由于地域的不同,用户可以根据当地规定设置系统时钟。用户必须正确设置系统时钟以确保其与其他设备保持同步。
设置系统时钟的公式为:UTC+时区偏移量+夏时制时间偏移量。
clock datetime命令设置HH:MM:SS YYYY-MM-DD格式的系统时钟。但是需要注意的是,如果没有设定时区,或者时区设定为零,那么设定的日期和时间将被认为是UTC时间,所以建议在对系统时间和日期进行配置前先设置时区。
clock timezone命令用来对本地时区信息进行设置,具体的命令参数为time-zone-name { add | minus } offset。其中参数add表示与UTC时间相比,time-zone-name增加的时间偏移量。即,在系统默认的UTC时区的基础上,加上offset,就可以得到time-zone-name所标识的时区时间;参数minus指的是与UTC时间相比,time-zone-name减少的时间偏移量。即在系统默认的UTC时区的基础上,减去offset,就可以得到time-zone-name所标识的时区时间。
有的地区实行夏令时制,因此当进入夏令时实施区间的一刻,系统时间要根据用户的设定进行夏令时时间的调整。VRP支持夏令时功能。比如,在英国,从三月的最后一个星期天到十月最后一个星期天是夏令时区间,那么可以通过执行命令指定夏令时的开始和结束时间。
<Huawei>clock timezone BJ add 08:00:00
<Huawei>clock datetime 10:20:29 2016-04-11
<Huawei>display clock
2016-04-11 10:20:48
Thursday
Time Zone(BJ) : UTC+08:00
- 配置标题信息
header命令用来设置用户登录设备时终端上显示的标题信息。
login参数指定当用户在登录设备认证过程中,激活终端连接时显示的标题信息。
shell参数指定当用户成功登录到设备上,已经建立了会话时显示的标题信息。
header的内容可以是字符串或文件名。当header的内容为字符串时,标题信息以第一个英文字符作为起始符号,最后一个相同的英文字符作为结束符;通常情况下,建议使用英文特殊符号,并需要确保在信息正文中没有此符号。
本例中,header的内容是字符串。字符串可以包含1-2000字符,包含空格。使用header { login | shell } information text命令能设置字符串形式的header。
若要设置文件形式的header,使用header { login | shell } file file-name 命令。file-name参数指定了标题信息所使用的文件名,登陆前后,该文件的内容将以文本的形式显示出来。
[Huawei]header login information "welcome to huawei certification!"
[Huawei]header shell information "Please don't reboot the device!"
……
welcome to huawei certification!
Login authentication
Password:
Please don't reboot the device!
<Huawei>
命令等级
系统将命令进行分级管理,以增加设备的安全性。设备管理员可以设置用户级别,一定级别的用户可以使用对应级别的命令行。缺省情况下命令级别分为0~3级,用户级别分为0~15级。
用户0级为访问级别,对应网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)、部分display命令等。
用户1级为监控级别,对应命令级0、1级,包括用于系统维护的命令以及display等命令。
用户2级是配置级别,包括向用户提供直接网络服务,包括路由、各个网络层次的命令。
用户3-15级是管理级别,对应命令3级,该级别主要是用于系统运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、文件交换配置、电源供应控制,备份板控制、用户管理、命令级别设置、系统内部参数设置以及用于业务故障诊断的debugging命令。
这里展示了如何修改命令级别,在用户视图下执行save命令需要3级的权限。
在具体使用中,如果我们有多个管理员帐号,但只允许某一个管理员保存系统配置,则可以将save命令的级别提高到4级,并定义只有该管理员有4级权限。这样,在不影响其他用户的情况下,可以实现对命令的使用控制。
用户界面
每类用户界面都有对应的用户界面视图。用户界面(User-interface)视图是系统提供的一种命令行视图,用来配置和管理所有工作在异步交互方式下的物理接口和逻辑接口,从而达到统一管理各种用户界面的目的。在连接到设备前,用户要设置用户界面参数。系统支持的用户界面包括Console用户界面和VTY用户界面。
控制口(Console Port)是一种通信串行端口,由设备的主控板提供。
虚拟类型终端(Virtual Type Terminal)是一种虚拟线路端口,用户通过终端与设备建立Telnet或SSH连接后,也就建立了一条VTY,即用户可以通过VTY方式登录设备。设备一般最多支持15个用户同时通过VTY方式访问。
执行user-interface maximum-vty number 命令可以配置同时登录到设备的VTY类型用户界面的最大个数。如果将最大登录用户数设为0,则任何用户都不能通过Telnet或者SSH登录到路由器。
display user-interface 命令用来查看用户界面信息。
不同的设备,或使用不同版本的VRP软件系统,具体可以被使用的VTY接口的最大数量可能不同。
<Huawei>system-view
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]
用户可以设置Console界面和VTY界面的属性,以提高系统安全性。如果一个连接上设备的用户一直处于空闲状态而不断开,可能会给系统带来很大风险,所以在等待一个超时时间后,系统会自动中断连接。这个闲置切断时间又称超时时间,默认为10分钟。
当display命令输出的信息超过一页时,系统会对输出内容进行分页,使用空格键切换下一页。
如果一页输出的信息过少或过多时,用户可以执行screen-length命令修改信息输出时一页的行数。默认行数为24,最大支持512行。不建议将行数设置为0,因为那样将不会显示任何输出内容了。
每条命令执行过后,执行的记录都保存在历史命令缓存区。用户可以利用(↑),(↓),CTRL+P,Ctrl+N这些快捷键调用这些命令。历史命令缓存区中默认能存储10条命令,可以通过运行history-command max-size改变可存储的命令数,最多可存储256条。
# Set the size of the history command buffer to 20.
<Huawei>system-view
[Huawei]user-interface console 0
[Huawei-ui-console0]history-command max-size 20
# Set the timeout duration to 1 minute and 30 seconds.
[Huawei-ui-console0]idle-timeout 1 30
登录权限配置
这里先介绍只使用密码登陆的情况下,登陆权限的密码配置方式。
如果没有权限限制,未授权的用户就可以使用设备获取信息并更改配置。从设备安全的角度考虑,限制用户的访问和操作权限是很有必要的。用户权限和用户认证是提升终端安全的两种方式。用户权限要求规定用户的级别,一定级别的用户只能执行特定级别的命令。
配置用户界面的用户认证方式后,用户登录设备时,需要输入密码进行认证,这样就限制了用户访问设备的权限。在通过VTY进行Telnet连接时,所有接入设备的用户都必须要经过认证。
设备提供三种认证模式,AAA模式、密码认证模式和不认证模式。
AAA认证模式具有很高的安全性,因为登录时必须输入用户名和密码。
密码认证只需要输入登录密码即可,所以所有的用户使用的都是同一个密码。
不认证模式就是不需要对用户认证直接登陆到设备。
Console界面默认使用不认证模式。
对于Telnet登录用户,授权是非常必要的,最好设置用户名、密码和指定和帐号相关联的权限。
注:不同VRP版本执行set authentication password cipher命令有差异:有些平台需要回车后输入密码,另外一些平台可直接在命令后输入密码。故在操作具体产品时请查阅相应VRP产品文档。
# Set the user level on the VTY0 user interface to 2.
<Huawei>system-view
[Huawei]user-interface vty 0
[Huawei-ui-vty0]user privilege level 2
[Huawei-ui-vty0-4]set authentication password cipher
Enter Password(<8-128>):huawei123
配置接口IP地址
要在接口运行IP服务,必须为接口配置一个IP地址。一个接口一般只需要一个IP地址。在特殊情况下,也有可能为接口配置一个次要IP地址。例如,当路由器AR2200E的接口连接到一个物理网络时,该物理网络中的主机属于两个网段。为了让两个网段的主机都可以通过路由器AR2200E访问其它网络,可以配置一个主IP地址和一个次要IP地址。一个接口只能有一个主IP地址,如果接口配置了新的主IP地址,那么新的主IP地址就替代了原来的主IP地址。
用户可以利用ip address { mask | mask-length } 命令为接口配置IP地址,这个命令中,mask代表的是32比特的子网掩码,如255.255.255.0,mask-length 代表的是可替换的掩码长度值,如24,这两者可以交换使用。
Loopback接口是一个逻辑接口,可用来虚拟一个网络或者一个IP主机。在运行多种协议的时候,由于Loopback接口稳定可靠,所以也可以用来做管理接口。
在给物理接口配置IP地址时,需要关注该接口的物理状态。默认情况下,华为路由器和交换机的接口状态为up;如果该接口曾被手动关闭,则在配置完IP地址后,应使用undo shutdown打开该接口。
# Configure an IP address 10.0.12.1/24 and an IP address 1.1.1.1/32 for LoopBack0.
<Huawei>system-view
[Huawei]interface gigabitethernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.0.12.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]interface loopback 0
[Huawei-LoopBack0]ip address 1.1.1.1 32
2319
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
