06-配置文件管理
本章节下载: 06-配置文件管理 (207.49 KB)
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
配置文件是用来保存配置的文件。配置文件主要用于:
· 将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效。
· 使用配置文件,用户可以非常方便地查阅配置信息。
· 当网络中多台设备需要批量配置时,可以将相同的配置保存到配置文件,再上传/下载到所有设备,在所有设备上执行该配置文件来实现设备的批量配置。
设备在出厂时,通常会带有一些基本的配置,称为出厂配置。它用来保证设备在没有配置文件或者配置文件损坏的情况下,能够正常启动、运行。
可以使用display default-configuration命令查看设备的出厂配置。
出厂配置可能与命令行的缺省情况不一致,不同的设备会根据需要定制各自的出厂配置。
设备启动时运行的配置即为启动配置。如果没有指定启动配置文件或者启动配置文件损坏,则系统会使用出厂配置作为启动配置。
可以通过以下方式查看启动配置:
· 设备启动后且还没有进行配置前,使用display current-configuration命令查看。
· 使用display startup命令查看本次启动使用的配置文件,再使用more命令查看该配置文件的内容。(more命令的详细介绍请参见“基础配置命令参考”中“文件系统管理”)
系统当前正在运行的配置称为当前配置。它包括启动配置和设备运行过程中用户进行的配置。当前配置存放在设备的临时缓存中,如果不保存,设备运行过程中用户进行的配置在设备重启后会丢失。
可以使用display current-configuration命令查看设备的当前配置。
配置文件是用来保存配置的文件,设备上可以同时存在多个配置文件。设备本次启动使用的配置文件称为启动配置文件;设备下次启动使用的配置文件称为下次启动配置文件。为了安全起见,用户可以配置两个下次启动配置文件,一个为主用,一个为备用。
系统启动时,配置文件的选择遵循以下规则:
(1) 优先使用主用下次启动配置文件。
(2) 如果主用下次启动配置文件不存在或损坏,再使用备用下次启动配置文件。
(3) 如果主用和备用下次启动配置文件都不存在或损坏,则使用出厂配置启动。
用户执行save命令保存配置时,系统会自动生成一个文本类型的配置文件(后缀名为“.cfg”,可以通过more命令查看该文件的内容)和一个二进制类型的配置文件(后缀为“.mdb”,仅软件能够解析该类配置文件,而用户不能读取和编辑文件内容),两个文件的内容完全相同,设备启动时,优先使用二进制类型的配置文件,以便提高加载配置的速度。如果无二进制类型的配置文件,则使用文本类型的配置文件。
设备启动的时候,会先根据配置查找指定名称的文本类型的配置文件是否存在,如果存在,再查找对应的二进制类型的配置文件是否存在,如果存在,再判断两个文件的内容是否一致,一致则使用二进制类型的配置文件启动设备;如果不一致,则使用文本类型的配置文件启动设备。
二进制类型的配置文件不能单独存在,必须有对应的文本类型的配置文件。反之,文本类型的配置文件可以单独存在,而无需对应的二进制类型的配置文件。
如无特殊说明,下文描述的配置文件均指文本类型的配置文件。
配置文件对内容和格式有严格定义,为保证配置文件的正确运行,请尽量使用设备自动生成的配置文件。如果要手工修改配置文件,请遵循配置文件的内容与格式规则。
配置文件的内容与格式规则如下:
· 配置文件的内容为命令的完整形式。
· 配置文件以命令视图为基本框架,同一命令视图的命令组织在一起,形成一节,节与节之间用#隔开。
· 以return结束。
下面摘录了配置文件的部分内容。
#
local-user root class manage
password hash $h$6$Twd73mLrN8O2vvD5$Cz1vgdpR4KoTiRQNE9pg33gU14Br2p1VguczLSVyJLO2huV5Syx/LfDIf8ROLtVErJ/C31oq2rFtmNuyZf4STw==
service-type ssh telnet terminal
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
interface Vlan-interface1
ip address 192.168.1.84 255.255.255.0
#
用户通过命令可以查看两份配置文件、指定配置文件与当前运行配置、指定配置文件与下次启动文件、当前运行配置与下次启动文件之间的差异。用户可根据差异来决定是否保存当前配置或者进行配置替换。
表1-1 显示两份配置之间的差异
操作 |
命令 |
说明 |
显示指定配置文件和指定配置文件、当前运行配置、下次启动配置文件之间的差异 |
display diff configfile file-name-s { configfile file-name-d | current-configuration | startup-configuration } |
这些命令在任意视图下均可执行 display diff startup-configuration current-configuration和display current-configuration diff命令的功能相同,二者选其一即可 |
显示当前运行配置和指定配置文件、下次启动配置文件之间的差异 |
display diff current-configuration { configfile file-name-d | startup-configuration } |
|
显示下次启动配置文件和指定配置文件之间的差异 |
display diff startup-configuration configfile file-name-d |
|
显示下次启动配置文件与当前运行配置之间的差异 |
display diff startup-configuration current-configuration |
|
display current-configuration diff |
配置文件加密功能就是设备在执行save命令将当前配置保存到配置文件的同时,将配置文件加密。加密后的文件能被所有运行Comware V7平台软件的设备识别和解析。因此,为了防止非法用户对加密后配置文件的解析,需确保只有合法用户才能获取加密后的配置文件。运行其它平台软件的设备不能识别和解析。
开启配置文件加密功能后,将不能使用more命令查看配置文件(后缀名为“.cfg”的配置文件)的内容。
表1-2 开启配置文件加密功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启配置文件加密功能 |
configuration encrypt { private-key | public-key } |
缺省情况下,配置文件加密功能处于关闭状态 |
用户通过命令行可以修改设备的当前配置,这些配置仅保存在内存中,如果要使当前配置在系统下次启动时仍然有效,需要在重启设备前,将当前配置保存到下次启动配置文件中。
执行save [ backup | main ] [ force ]命令时,请不要重启设备或者给设备断电,以免造成下次启动配置文件丢失。
表1-3 保存当前配置(独立运行模式)
操作 |
命令 |
说明 |
将当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件 |
save file-url [ all | slot slot-number ] |
二者选其一 为了安全起见,在需要将当前配置保存到下次启动配置文件的时候,建议选用safely参数 两命令均可在任意视图下执行 |
将当前配置保存到主用主控板和备用主控板存储介质的根目录,并将该文件设置为下次启动配置文件 |
save [ safely ] [ backup | main ] [ force ] [ changed ] |
表1-4 保存当前配置(IRF模式)
操作 |
命令 |
说明 |
将当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件 |
save file-url [ all | chassis chassis-number slot slot-number ] |
二者选其一 为了安全起见,在需要将当前配置保存到下次启动配置文件的时候,建议选用safely参数 两命令均可在任意视图下执行 |
将当前配置保存到IRF中所有主控板存储介质的根目录下,并将该文件设置为下次启动配置文件 |
save [ safely ] [ backup | main ] [ force ] [ changed ] |
如果设备在本次运行过程中发生过单板被拔出或者成员设备离开IRF的情况,在不执行save的前提下此单板重新插入原槽位或者此成员设备重新加入IRF后设备的配置不会丢失。若执行save命令,将导致该单板或该成员设备的配置丢失。如需恢复该单板或该成员设备的配置,请在重新插入并重启该单板或者该设备重新加入IRF并重启设备后,执行display current-configuration查看原来的当前配置是否恢复,在确保恢复的前提下执行save命令,该单板或者该成员设备的配置即可自行恢复。
配置延迟提交功能是指在配置提交超时时间内所进行的配置可以使用configuration commit命令来延迟提交,如果不执行此命令系统会自动回滚到执行配置超时时间前的配置的功能。
建议用户在以下场景中使用此功能:
· 用户在对设备进行远程配置时,配置完成以后可能导致网络中断,不能再连接到设备。如果在进行远程配置前开启了配置延迟确认的功能,设备能够恢复配置,用户可以重新连接设备。
· 用户对设备配置不熟悉,在配置设备前先执行configuration commit delay命令设置配置提交的超时时间,然后再开始进行对设备的配置修改工作,完成后执行configuration commit命令使配置修改生效。如果在配置过程中造成异常则可以等待超时即可自动恢复至修改前的配置,从而保证设备的正常运行。
表1-5 配置延迟提交功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置配置提交超时时间 |
configuration commit delay delay-time |
delay-time为配置提交的超时时间,取值范围为1~65535,单位为分钟 |
(可选)提交当前配置 |
configuration commit |
提交执行configuration commit delay命令后的配置 |
主用主控板和备用主控板的下次启动配置文件必须是相同的文件,因此,使用本命令前,请确保指定的配置文件已经保存在主用主控板和备用主控板相同类型存储介质的根目录下,否则,操作失败。(独立运行模式)
所有成员设备上主控板的下次启动配置文件必须是相同的文件,因此,使用本命令前,请确保指定的配置文件已经保存在IRF中所有主控板相同类型存储介质的根目录下,否则,操作失败。(IRF模式)
使用该命令设置配置文件时:
· 不指定main和back参数时,缺省使用main。
· 主用下次启动配置文件和备用下次启动配置文件可以设置为同一文件,但为了更可靠,建议设置为不同的文件,或者将一份配置保存在两个不同名的文件中,一个设置为主用,一个设置为备用。
· 在执行undo startup saved-configuration命令之后,系统会将主用/备用下次启动配置文件均设置为NULL,但不会删除该文件。
需要注意的是,执行undo startup saved-configuration命令并重启IRF或IRF中的成员设备时,会导致IRF分裂,请谨慎使用。(IRF模式)
操作 |
命令 |
说明 |
配置下次启动时的配置文件 |
startup saved-configuration cfgfile [ backup | main ] |
缺省情况下,没有配置下次启动时的配置文件 该命令在用户视图下执行 该命令执行成功后,用户可以在任意视图下使用display startup命令以及display saved-configuration命令验证配置效果 |
执行save [ safely ] [ backup | main ] [ force ]命令将当前配置保存到指定配置文件时,系统会自动把该文件设置为设备的主用下次启动配置文件。详细配置请参见“1.3.2 保存当前配置”。
设备运行于FIPS模式时,不支持备份/恢复主用下次启动配置文件。
备份是指将设备的主用下次启动配置文件备份到指定的TFTP服务器;恢复是指将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件。
在执行配置文件的备份操作前,请进行以下操作:
· 保证设备与服务器之间的路由可达,服务器端开启了TFTP服务,执行备份操作的客户端设备已获得了相应的读写权限。
· 在任意视图下使用display startup命令查看设备是否设置了下次启动配置文件。如果没有指定下次启动配置文件,或者配置文件不存在,备份操作将失败。
表1-7 备份/恢复主用下次启动配置文件
操作 |
命令 |
说明 |
将设备的主用下次启动配置文件备份到指定的TFTP服务器 |
backup startup-configuration to { ipv4-server | ipv6 ipv6-server } [ dest-filename ] [ vpn-instance vpn-instance-name ] |
该命令在用户视图下执行 |
将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件 |
restore startup-configuration from { ipv4-server | ipv6 ipv6-server } src-filename [ vpn-instance vpn-instance-name ] |
该命令在用户视图下执行 该命令执行成功后,用户可以在任意视图下使用display startup命令以及display saved-configuration命令验证配置效果 |
· 本特性会将下次启动配置文件从设备上彻底删除,请谨慎使用。(独立运行模式)
· 本特性会将下次启动配置文件从所有成员设备上彻底删除,请谨慎使用。(IRF模式)
当用户不再使用当前系统指定的下次启动配置文件启动设备时,使用该功能可将下次启动配置文件从设备上删除。
主备用下次启动配置文件都删除后,设备重启将采用出厂配置启动。
用户可以只删除主用下次启动配置文件,或者只删除备用下次启动配置文件。
如果设备的主用下次启动配置文件和备用下次启动配置文件相同,仅执行一次删除操作(例如指定了backup参数),系统只将相应的下次启动配置文件设置为NULL,不删除该文件,需要再次执行删除操作(指定main参数),才能将该配置文件彻底删除。
表1-8 删除设备中的下次启动配置文件
操作 |
命令 |
说明 |
删除设备中的下次启动配置文件 |
reset saved-configuration [ backup | main ] |
该命令在用户视图下执行 不指定backup和main参数时,缺省使用main |
在完成上述配置后,在任意视图下执行display命令可以显示配置文件的使用情况。用户可以通过查看显示信息验证配置的效果。
操作 |
命令 |
显示当前配置 |
display current-configuration [ configuration [ module-name ] | interface [ interface-type [ interface-number ] ] ] |
显示出厂配置 |
display default-configuration |
显示下次启动配置文件的内容 |
display saved-configuration |
显示用于本次及下次启动的配置文件的名称 |
display startup |
显示当前视图下生效的配置 |
display this |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!