- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
28-系统管理
本章节下载 (492.25 KB)
目 录
保存配置模块提供如下两个功能:
l 将用户当前的配置保存到下次启动的配置文件(包括.cfg文件和.xml文件)。
l 将用户当前的配置保存为出厂配置,安装配置文件的名称为“init.cfg”。
对于分布式设备,当用户执行保存当前配置的操作时,备用主控板不会同步保存.xml配置文件。为了保持同步,请手动拷贝该文件到备用主控板。
在导航栏中选择“系统管理 > 配置管理”,默认进入“保存配置”页签的页面,如图1-1所示。
l 单击<保存当前配置>按钮,可以将当前的配置保存到下次启动的配置文件。
l 单击<保存出厂配置>按钮,可以将当前的配置保存到下次启动的配置文件,同时将当前的配置保存为出厂配置。
l 保存配置需要一定时间,请耐心等待。
l 系统不支持两个或两个以上用户同时执行保存配置的操作。系统将提示后操作的用户稍后再试。
l
除了上述方法,Web网管还提供了快速保存当前配置的功能,只要单击页面辅助区右侧的
按钮即可。
初始化是指,将设备当前的配置文件清除,并以出厂配置重新启动设备,使设备的配置恢复到出厂配置。
在导航栏中选择“系统管理 > 配置管理”,单击“初始化”页签,进入如图1-2所示的页面。
单击<恢复出厂配置>按钮,可以使设备的配置恢复到出厂配置。
配置备份模块提供如下功能:
l 打开下次启动的配置文件(包括.cfg文件和.xml文件)件进行查看。
l 将下次启动的配置文件(包括.cfg文件和.xml文件)备份到当前用户的主机上保存。
在导航栏中选择“系统管理 > 配置管理”,单击“配置备份”页签,进入如图1-3所示的页面。
l 单击“备份以”.cfg”结尾的配置文件”后面的<备份>按钮,会弹出“文件下载”对话框,用户可以选择将下次启动的.cfg配置文件打开进行查看或者保存到本地。
l 单击“备份以”.xml”结尾的配置文件”后面的<备份>按钮,会弹出“文件下载”对话框,用户可以选择将下次启动的.xml配置文件打开进行查看或者保存到本地。
配置恢复模块提供如下功能:
l 将保存在当前用户主机上的.cfg文件上传到设备作为下次启动的.cfg配置文件。
l 将保存在当前用户主机上的.xml文件上传到设备作为下次启动的.xml配置文件,并删除之前的下次启动.xml配置文件。
在导航栏中选择“系统管理 > 配置管理”,单击“配置恢复”页签,进入如图1-4所示的页面。
l 单击“(以”.cfg结尾的文件”)”前的<浏览>按钮,在弹出的对话框中选择要上传到设备的.cfg配置文件,单击<确定>按钮即可开始上传操作。
l 单击“(以”.xml结尾的文件”)”前的<浏览>按钮,在弹出的对话框中选择要上传到设备的.xml配置文件,单击<确定>按钮即可开始上传操作。
设备运行过程中所需要的文件(如:启动文件、配置文件等)保存在设备的存储设备中,为了方便用户对设备上的文件进行有效的管理,设备提供了快速备份和恢复设备文件的功能:
l 快速备份是指,用户可以通过USB口将设备上的各种文件备份到目的设备。
l 快速恢复是指,用户可以通过USB口从其他设备上传送文件到本设备,同时系统可以选择是否将传送的启动文件设置为设备的主用启动文件,或将传送的配置文件设置为主用配置文件。
存储设备有多种类型,如Flash、CF卡等,具体采用哪种存储设备与设备的型号有关,请以设备的实际情况为准。
在导航栏中选择“系统管理 > 配置管理”,单击“U盘备份和恢复”页签,进入如图1-5所示的页面。
图1-5 U盘备份和恢复
l 在“设备文件”框中选择要备份的文件,单击<备份>按钮,可将选中的文件通过USB口备份到目的设备。
l 在“USB文件”框中选择要恢复的文件,单击<恢复>按钮,可将选中的文件通过USB口传送到设备上。
可同时恢复多个文件,但只能包含一个启动文件或配置文件。
设备重启前请保存配置,否则重启后,未保存的配置将会全部丢失。设备重启后,用户需重新登录。
在导航栏中选择“系统管理 > 设备重启”,进入如图2-1所示的页面。单击<应用>按钮,进行设备重启。
设备重启前用户可根据需要选择“检查当前配置是否保存到下次启动配置文件中”。
l 如果选中该复选框,则系统会先进行检查。检查通过,则直接重启设备;检查不通过,则会弹出提示框提示当前配置和系统保存的配置不一致,且不会重启设备。此时需手动保存当前配置后,才能重启设备。
l 如果不选中该复选框,则系统会直接重启设备。
服务管理模块提供了FTP、Telnet、SSH、SFTP、HTTP和HTTPS服务的使能管理功能,可以使用户只在需要使用相应的服务时使能服务,否则关闭服务。这样,可以提高系统的性能和设备的安全性,实现对设备的安全管理。
服务管理模块还提供了修改HTTP、HTTPS服务端口号的功能,以及设置将FTP、HTTP、HTTPS服务与ACL(Access Control List,访问控制列表)关联,只允许通过ACL过滤的客户端访问设备的功能,以减少非法用户对这些服务的攻击。
FTP(File Transfer Protocol,文件传输协议)协议在TCP/IP协议族中属于应用层协议,用于在远端服务器和本地客户端之间传输文件,是IP网络上传输文件的通用协议。
Telnet协议在TCP/IP协议族中属于应用层协议,用于在网络中提供远程登录和虚拟终端的功能。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
SFTP是Secure FTP的简称,是SSH 2.0中新增的功能。SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。
HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。
在设备上使能HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备。
HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。
HTTPS通过SSL协议,从以下几方面提高了设备的安全性:
l 通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
l 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;
l 为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。
在导航栏中选择“系统管理 > 服务管理”,进入服务管理的配置页面,如图3-1所示。
服务管理的详细配置如表3-1所示。
|
配置项 |
说明 |
|
|
FTP服务 |
启用FTP服务 |
设置是否在设备上启用FTP服务 缺省情况下,FTP服务处于关闭状态 |
|
ACL |
设置将FTP服务与ACL关联,只允许通过ACL过滤的客户端使用FTP服务 单击“FTP服务”前的扩展按钮可以显示此配置项 |
|
|
Telnet服务 |
启用Telnet服务 |
设置是否在设备上启用Telnet服务 缺省情况下,Telnet服务处于关闭状态 |
|
SSH服务 |
启用SSH服务 |
设置是否在设备上启用SSH服务 缺省情况下,SSH服务处于关闭状态 |
|
SFTP服务 |
启用SFTP服务 |
设置是否在设备上启用SFTP服务 缺省情况下,SFTP服务处于关闭状态
启用SFTP服务的同时必须启用SSH服务 |
|
HTTP服务 |
启用HTTP服务 |
设置是否在设备上启用HTTP服务 缺省情况下,HTTP服务处于启用状态 |
|
端口号 |
设置HTTP服务的端口号 单击“HTTP服务”前的扩展按钮可以显示此配置项
修改端口时必须保证该端口没有被其他服务使用 |
|
|
ACL |
设置将HTTP服务与ACL关联,只允许通过ACL过滤的客户端使用HTTP服务 单击“HTTP服务”前的扩展按钮可以显示此配置项 |
|
|
HTTPS服务 |
启用HTTPS服务 |
设置是否在设备上启用HTTPS服务 缺省情况下,HTTPS服务处于关闭状态 |
|
端口号 |
设置HTTPS服务的端口号 单击“HTTPS服务”前的扩展按钮可以显示此配置项
修改端口时必须保证该端口没有被其他服务使用 |
|
|
ACL |
设置将HTTPS服务与ACL关联,只允许通过ACL过滤的客户端使用HTTPS服务 单击“HTTPS服务”前的扩展按钮可以显示此配置项 |
|
|
PKI域 |
设置HTTPS服务所使用的PKI域 可选的PKI域在“证书管理 > PKI域”中配置,详细配置请参见“证书管理” |
|
用户管理模块提供如下功能:
l 配置FTP和Telnet类型的本地用户及其访问级别和登录密码。
l 配置切换当前Web用户的访问等级到管理级所使用的超级密码。
l 切换当前Web用户的访问等级到管理级。
在导航栏中选择“系统管理 > 用户管理”,单击“创建用户”页签,进入如图4-1所示的页面。
创建用户的详细配置如表4-1所示。
|
配置项 |
说明 |
|
用户名 |
设置用户的用户名 |
|
访问等级 |
设置用户的访问等级,以对不同用户能够进行的操作进行分类 用户访问等级由低到高分四级: l Visitor(访问级):处于该级别的用户可以进行Ping和Trace Route操作,但不能从设备读取任何数据,也不能对设备进行任何设置 l Monitor(监控级):只能从设备读取数据,而不能对设备进行任何设置 l Configure(系统级):可以从设备读取数据,并对设备进行配置,但是不能对设备进行软件升级、添加/删除/修改用户、备份/恢复配置文件等操作 l Management(管理级):可以对设备进行任何操作
只有FTP和Telnet用户支持访问等级 |
|
密码 |
设置用户登录时的密码 |
|
确认密码 |
输入的确认密码必须与密码一致。如果不一致,在提交设置时,系统会弹出提示框,提示两次输入的密码不匹配 |
|
服务类型 |
设置用户可以使用的服务类型,包括FTP服务、Telnet服务和PPP服务,三者必须至少选择一个
要想该用户可以通过Web登录设备,其可以使用的服务类型必须包括Telnet |
本功能用来设置用户从当前访问权限向管理级权限切换时使用的密码。切换密码只能由管理级权限的用户设置,给低于管理级权限的用户使用。如果没有设置切换密码,则切换操作失败。
在导航栏中选择“系统管理 > 用户管理”,单击“超级密码”页签,进入如图4-2所示的页面。
超级密码的详细配置如表4-2所示。
|
配置项 |
说明 |
|
创建/删除 |
设置要进行操作的类型 l 创建:表示要设置或修改超级密码 l 删除:表示要删除当前的超级密码设置 |
|
密码 |
设置用户切换到管理级权限时的密码 |
|
确认密码 |
输入的确认密码必须与密码一致。如果不一致,在提交设置时,系统会弹出提示框,提示管理员两次输入的密码不匹配 |
|
密码显示模式 |
设置密码的显示方式 l Simple:表示密码为明文显示,即配置文件中保存的是明文形式的密码 l Cipher:表示密码为密文显示,即配置文件中保存的是密文形式的密码 明文密码容易被盗取,建议用户使用密文形式 |
本功能用来使用户从当前级别的访问权限切换到管理级访问权限。进行切换操作时需要注意以下事项:
l 切换前必须有管理级用户设置好的超级密码,如果没有设置超级密码,则不能进行切换。
l 切换操作只对用户当次登录有效,而不改变实际对用户访问等级的配置,用户退出后再次登录时,访问权等级仍为原有级别。
在导航栏中选择“系统管理 > 用户管理”,单击“切换到管理级”页签,进入如图4-3所示的页面。输入超级密码后,单击<登录>按钮,完成切换操作。
为了保证本设备与其它设备协调工作,用户需要将系统时间配置准确。时间设置模块用于对系统时间进行配置和查看。
设备支持设置手动配置系统时间和通过自动同步NTP(Network Time Protocol,网络时间协议)服务器的时间。
对于网络中的各台设备来说,如果依靠管理员手工输入命令来修改系统时钟是不可能的,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。
NTP是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。
使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。
在导航栏中选择“系统管理 > 时间设置”,进入如图5-1所示的页面。页面上方显示的是“当前系统时间”。
系统时间的详细配置如表5-1所示。
|
配置项 |
说明 |
|
|
自动同步 |
NTP服务器1 |
设置选择自动同步NTP服务器的时间,并输入主用NTP服务器(即NTP服务器1)的IP地址和备用NTP服务器(即NTP服务器2)的IP地址
l 选择自动同步时,设备会周期性地向NTP服务器进行时钟同步。当同步失败时,系统时间为手动设置的时间;在同步成功后,再切换回自动同步的时间 l NTP服务器IP地址是一个主机地址,不能为广播地址、组播地址或本地时钟的IP地址 |
|
NTP服务器2 |
||
|
手动设置 |
日期 |
设置选择手动设置系统时间时,并输入具体的日期和时间 日期格式为“年 - 月 - 日”,时间格式为“时 : 分” |
|
时间 |
||
|
时区 |
设置系统所在的时区 |
|
TR-069协议是由DSL(Digital Subscriber's Line,数字用户线路)论坛所开发的技术规范之一,它提供了对下一代网络中家庭网络设备进行管理配置的通用框架、消息规范、管理方法和数据模型。
TR-069主要应用于DSL接入网络环境。在DSL接入网络中,由于用户设备数量繁多、部署分散,通常位于用户侧,不易进行设备的管理和维护。TR-069提出通过ACS(Auto-Configuration Server,自动配置服务器)对CPE(Customer Premise Equipment,用户侧设备)进行远程集中管理,解决CPE设备的管理困难,节约维护成本,提高问题解决效率。
TR-069网络的基本框架如图6-1所示。
图6-1 TR-069网络的基本框架示意图
TR-069网络元素主要有:
l ACS:自动配置服务器,网络中的管理设备。
l CPE:用户端设备,网络中的被管理设备。
l DNS server:域名服务器。TR-069协议规定ACS和CPE使用URL地址来互相识别和访问,DNS用于帮助解析URL参数。
l DHCP server:动态主机配置协议服务器,给ACS和CPE分配IP地址,使用DHCP报文中的option字段给CPE配置参数。
H3C设备属于CPE,使用TR-069协议与ACS进行消息交互。
CPE可以通过发送Inform报文自动连接ACS。触发连接的方式有以下几种:
l CPE启动,根据获取的URL值找到相应的ACS,并自动发起连接。
l CPE使能了周期性发送Inform报文功能,当周期(比如1小时)到达时,CPE会自动发送Inform报文来建立连接。
l CPE使能了定期发送Inform报文功能,当时间点到达时,CPE会自动发送Inform报文来建立连接。
l 如果当前会话没有结束,但是连接异常中断,而且CPE自动重新连接的次数还没有达到上限,此时,CPE也会自动建立连接。
ACS可以在任何时候自动向CPE发起连接请求(Connect Request),通过CPE的认证(即匹配CPE用户名、CPE密码)后,可以与CPE建立连接。
当CPE上线时,ACS可以自动下发一些配置给CPE,完成对CPE的自动配置。设备支持的自动配置项参数主要包括(不仅限于此):
l 配置文件(ConfigFile)
l ACS地址(URL)
l ACS用户名(Username)
l ACS密码(Password)
l Inform报文自动发送使能标志(PeriodicInformEnable)
l Inform报文周期发送时间间隔(PeriodicInformInterval)
l Inform报文定期发送日期(PeriodicInformTime)
l CPE用户名(ConnectionRequestUsername)
l CPE密码(ConnectionRequestPassword)
网络管理员可以将系统启动文件、配置文件等重要文件保存在ACS上,当ACS发现某个文件的版本有更新,将会通知CPE进行下载。CPE收到ACS的下载请求后,能够根据ACS报文中提供的下载地址和文件名,自动到指定的文件服务器下载文件,下载完成后,对下载文件的合法性做相应的检查,并将下载结果(成功或失败)反馈给ACS。目前,设备不支持以数字签名的方式进行的文件下载。
目前,设备支持下载的文件类型有:系统启动文件和配置文件。
同样,为了实现对重要数据的备份,CPE将根据ACS的要求将当前的配置文件上传到指定的服务器。目前,设备支持上传的文件类型有:配置文件和日志文件。
ACS可以监控与其相连的CPE的各种参数。由于不同的CPE具有不同的性能,可执行的功能也各异,因此ACS必须能识别到不同的CPE的性能,并监控到CPE的当前配置以及配置的变更。TR-069还允许网络管理人员自定义监控参数并通过ACS获取这些参数,以便了解CPE的状态和统计信息。
ACS能够监控的状态和性能有:厂商名称(Manufacturer)、厂商标识OUI(ManufacturerOUI)、序列号(SerialNumber)、硬件版本号(HardwareVersion)、软件版本号(SoftwareVersion)、设备状态(DeviceStatus)、启动时间(UpTime)、配置文件、ACS地址、ACS用户名、ACS密码、Inform报文字段发送使能标志、Inform报文周期发送时间间隔、Inform报文定期发送日期、CPE地址、CPE用户名、CPE密码等。
ACS对CPE的管理和监控是通过一系列的操作来实现的,这些操作在TR-069协议里称为RPC方法。主要方法的描述如下:
l Get:ACS使用该方法可以获取CPE上参数的值。
l Set:ACS使用该方法可以设置CPE上参数的值。
l Inform:当CPE与ACS建立连接时,或者底层配置发生改变时,或者CPE周期性发送本地信息到ACS时,CPE都要通过该方法向ACS发起通告信息。
l Download:为了保证CPE端硬件的升级以及厂商配置文件的自动下载,ACS使用该方法可以要求CPE到指定的URL下载指定的文件来更新CPE的本地文件。
l Upload:为了方便ACS对CPE端的管理,ACS使用该方法可以要求CPE将指定的文件上传到ACS指定的位置。
l Reboot:当CPE故障或者需要软件升级的时候,ACS使用该方法可以对CPE进行远程重启。
下面以一个具体的例子,结合TR-069方法来描述TR-069具体实现。场景如下:区域内有主、备两台ACS,主ACS系统升级,需要重启。为了连续监控,主ACS需要将区域内的CPE都连接到备用ACS上,处理流程如下:
图6-2 TR-069消息交互举例
(1) 建立TCP连接。
(2) SSL初始化,建立安全机制。
(3) CPE发送Inform报文,开始建立TR-069连接。Inform报文使用Eventcode字段描述发送Inform报文的原因,该举例为“6 CONNECTION REQUEST”,表示ACS要求建立连接。
(4) 如果CPE通过ACS的认证,ACS将返回Inform响应报文,连接建立。
(5) 如果CPE没有别的请求,就会发送一个空报文,以满足HTTP报文请求/响应报文交互规则(TR-069是基于HTTP协议的,TR-069报文作为HTTP报文的数据部分封装在HTTP报文中)。
(6) ACS查询CPE上设置的ACS URL的值。
(7) CPE把获取到的ACS URL的值回复给ACS。
(8) ACS发现CPE的ACS URL是本机URL的值,于是发起Set请求,要求将CPE的ACS URL设置为备用ACS的URL的值。
(9) 设置成功,CPE发送响应报文。
(10) ACS发送空报文通知CPE没有别的请求了。
(11) CPE关闭连接。
之后,CPE将向备用ACS发起连接。
CPE的TR-069参数可以通过ACS远程管理自动配置,也可以通过Web手动配置,这里只介绍通过Web手动配置的方法。
在导航栏中选择“系统管理 > TR-069”,进入如图6-3所示的页面。
TR-069参数的详细配置如表6-1所示。
表6-1 TR-069参数的详细配置
|
配置项 |
说明 |
|
|
TR-069 |
设置开启或关闭TR-069功能 使能TR-069功能后,其它的配置才有效 |
|
|
ACS |
URL |
设置向ACS发起连接所使用的URL |
|
用户名 |
设置向ACS发起连接所使用的用户名 |
|
|
密码 |
设置向ACS发起连接所使用的密码 可以只用用户名验证,但ACS和CPE上的配置必须一致 |
|
|
CPE |
用户名 |
设置CPE对从ACS发来的连接进行认证所使用的用户名 |
|
密码 |
设置CPE对从ACS发来的连接进行认证所使用的密码 可以只用用户名验证,但ACS和CPE上的配置必须一致 |
|
|
发送Inform报文 |
设置开启或关闭CPE周期发送Inform报文功能 |
|
|
发送周期 |
设置CPE发送Inform报文的周期 |
|
|
CPE连接接口 |
设置CPE连接接口,CPE将在Inform报文中携带此接口的IP地址,希望ACS通过此IP地址和自己建立连接 |
|
配置TR-069时需要注意如下事项:
(1) 通过ACS自动配置比通过Web手动配置的优先级高,且低优先级的配置方式不能修改比高优先级配置方式配置的参数。
(2) 配置TR-069各项参数时,需要选中参数前的复选框,并配置正确的参数值,然后点击“应用”按钮,配置将生效;如果需要取消某项参数,则取消勾选该参数前的复选框,然后点击“应用”按钮,该参数的配置将失效;如果需要清空某项参数的配置,则选中该参数前的复选框,设置参数值为空,然后点击“应用”按钮,该参数的配置将被 清空。
ICG 2000、ICG 2000B不支持选择主/备用启动文件。
启动文件是用于引导、启动设备的应用程序文件,又称为系统软件或者设备软件。软件升级模块提供了从当前本地主机上获取目标应用程序文件,并将该文件设置为设备下次启动时使用的启动文件的功能。同时,还可以选择在完成上述操作后,是否直接重启设备使更新后的软件生效。
软件升级需要一定的时间。在软件升级的过程中,请不要在Web上进行任何操作,否则软件升级可能会中断。
在导航栏中选择“系统管理 > 软件升级”,进入如图7-1所示的页面。
软件升级的详细配置如表7-1所示。
|
配置项 |
说明 |
|
文件 |
设置保存在本地的应用程序文件的路径和文件名 文件名必须带扩展名,且扩展名必须为.app或.bin
文件在设备上以“main.bin”的文件名进行保存 |
|
软件升级成功之后,直接重启设备 |
设置当文件上传成功后,是否直接重启设备使更新后的软件生效 |
ICG 3000、ICG 3000B、ICG 3000S、ICG 5000、ICG 5000B支持选择主/备用启动文件。
软件升级模块提供了从当前本地主机上获取目标应用程序文件。同时,还可以选择将该文件设置为设备下次启动时使用的主用启动文件或备用启动文件。
启动文件是用于引导、启动设备的应用程序文件,又称为系统软件或者设备软件。主用启动文件用于引导、启动设备;备用启动文件只用于异常情况下,主用启动文件不可用时,引导、启动设备。
软件升级需要一定的时间。在软件升级的过程中,请不要在Web上进行任何操作,否则软件升级可能会中断。
在导航栏中选择“系统管理 > 软件升级”,进入如图7-2所示的页面。
软件升级的详细配置如表7-2所示。
|
配置项 |
说明 |
|
文件 |
设置保存在本地的应用程序文件的路径和文件名 文件名必须带扩展名,且扩展名必须为.app或.bin |
|
文件类型 |
设置文件的启动类型 l Main:下次启动的主用启动文件 l Backup:下次启动的备用启动文件 |
|
如果文件已经存在,直接覆盖 |
设置如果设备上存在重名文件时,是否直接覆盖 如果不选中此项,则当设备上有重名的文件存在时,将提示“文件已存在”,无法进行升级 |
|
软件升级成功之后,直接重启设备 |
设置当文件上传成功后,是否直接重启设备使更新后的软件生效 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
