• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

01-基础配置指导

目录

06-配置文件管理

本章节下载 06-配置文件管理  (385.14 KB)

06-配置文件管理


1 配置文件管理

说明

设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

1.1  配置文件简介

配置文件是用来保存配置的文件。配置文件主要用于:

·     将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效。

·     使用配置文件,用户可以非常方便地查阅配置信息。

·     当网络中多台设备需要批量配置时,可以将相同的配置保存到配置文件,再上传/下载到所有设备,在所有设备上执行该配置文件来实现设备的批量配置。

1.1.1  配置的类型

1. 出厂配置

设备在出厂时,通常会带有一些基本的配置,称为出厂配置。它用来保证设备在没有配置文件或者配置文件损坏的情况下,能够正常启动、运行。

可以使用display default-configuration命令查看设备的出厂配置。

说明

出厂配置可能与命令行的缺省情况不一致,不同的设备会根据需要定制各自的出厂配置。

 

2. 启动配置

设备启动时运行的配置即为启动配置。如果没有指定启动配置文件或者启动配置文件损坏,则系统会使用出厂配置作为启动配置。

可以通过以下方式查看启动配置:

·     设备启动后且还没有进行配置前,使用display current-configuration命令查看。

·     使用display startup命令查看本次启动使用的配置文件,再使用more命令查看该配置文件的内容。(more命令的详细介绍请参见“基础配置命令参考”中“文件系统管理”)

3. 当前配置

系统当前正在运行的配置称为当前配置。它包括启动配置和设备运行过程中用户进行的配置。当前配置存放在设备的临时缓存中,如果不保存,设备运行过程中用户进行的配置在设备重启后会丢失。

可以使用display current-configuration命令查看设备的当前配置。

1.1.2  配置文件的类型

配置文件是用来保存配置的文件,设备上可以同时存在多个配置文件。设备本次启动使用的配置文件称为启动配置文件;设备下次启动使用的配置文件称为下次启动配置文件。为了安全起见,用户可以配置两个下次启动配置文件,一个为主用,一个为备用。

系统启动时,配置文件的选择遵循以下规则:

(1)     优先使用主用下次启动配置文件。

(2)     如果主用下次启动配置文件不存在或损坏,再使用备用下次启动配置文件。

(3)     如果主用和备用下次启动配置文件都不存在或损坏,则使用出厂配置启动。

1.1.3  配置文件的保存格式

用户执行save命令保存配置时,系统会自动生成一个文本类型的配置文件(后缀名为“.cfg”,可以通过more命令查看该文件的内容)和一个二进制类型的配置文件(后缀为“.mdb”,仅软件能够解析该类配置文件,而用户不能读取和编辑文件内容),两个文件的内容完全相同,设备启动时,优先使用二进制类型的配置文件,以便提高加载配置的速度。如果无二进制类型的配置文件,则使用文本类型的配置文件。

设备启动的时候,会先根据配置查找指定名称的文本类型的配置文件是否存在,如果存在,再查找对应的二进制类型的配置文件是否存在,如果存在,再判断两个文件的内容是否一致,一致则使用二进制类型的配置文件启动设备;如果不一致,则使用文本类型的配置文件启动设备。

二进制类型的配置文件不能单独存在,必须有对应的文本类型的配置文件。反之,文本类型的配置文件可以单独存在,而无需对应的二进制类型的配置文件。

如无特殊说明,下文描述的配置文件均指文本类型的配置文件。

1.1.4  配置文件的内容与格式

配置文件对内容和格式有严格定义,为保证配置文件的正确运行,请尽量使用设备自动生成的配置文件。如果要手工修改配置文件,请遵循配置文件的内容与格式规则。

配置文件的内容与格式规则如下:

·     配置文件的内容为命令的完整形式。

·     配置文件以命令视图为基本框架,同一命令视图的命令组织在一起,形成一节,节与节之间用#隔开。

·     以return结束。

下面摘录了配置文件的部分内容。

#

local-user root class manage

 password hash $h$6$Twd73mLrN8O2vvD5$Cz1vgdpR4KoTiRQNE9pg33gU14Br2p1VguczLSVyJLO2huV5Syx/LfDIf8ROLtVErJ/C31oq2rFtmNuyZf4STw==

 service-type ssh telnet terminal

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

interface Vlan-interface1

 ip address 192.168.1.84 255.255.255.0

#

1.2  显示配置差异

用户通过命令可以查看两份配置文件、指定配置文件与当前运行配置、指定配置文件与下次启动文件、当前运行配置与下次启动文件之间的差异。用户可根据差异来决定是否保存当前配置或者进行配置替换。

表1-1 显示两份配置之间的差异

操作

命令

说明

显示指定配置文件和指定配置文件、当前运行配置、下次启动配置文件之间的差异

display diff configfile file-name-s { configfile file-name-d | current-configuration | startup-configuration }

这些命令在任意视图下均可执行

display diff startup-configuration current-configurationdisplay current-configuration diff命令的功能相同,二者选其一即可

显示当前运行配置和指定配置文件、下次启动配置文件之间的差异

display diff current-configuration { configfile file-name-d | startup-configuration }

显示下次启动配置文件和指定配置文件之间的差异

display diff startup-configuration configfile file-name-d

显示下次启动配置文件与当前运行配置之间的差异

display diff startup-configuration current-configuration

display current-configuration diff

 

1.3  保存当前配置

1.3.1  开启配置文件加密功能

配置文件加密功能就是设备在执行save命令将当前配置保存到配置文件的同时,将配置文件加密。加密后的文件能被所有运行Comware V7平台软件的设备识别和解析。因此,为了防止非法用户对加密后配置配置文件的解析,需确保只有合法用户才能获取加密后的配置文件。运行其它平台软件的设备不能识别和解析。

开启配置文件加密功能后,执行save命令生成的配置文件是加密后的配置文件,将不能使用more命令查看加密配置文件(后缀名为“.cfg”的配置文件)的内容,且加密配置文件将不能参与配置差异的比较(如不能使用display current-configuration diff命令比较下次启动配置文件与运行配置之间的差异、不能将加密后的配置文件作为display diff命令的参数)。

表1-2 开启配置文件加密功能

操作

命令

说明

进入系统视图

system-view

-

开启配置文件加密功能

configuration encrypt { private-key | public-key }

缺省情况下,配置文件加密功能处于关闭状态

 

1.3.2  保存当前配置

用户通过命令行可以修改设备的当前配置,这些配置仅保存在内存中,如果要使当前配置在系统下次启动时仍然有效,需要在重启设备前,将当前配置保存到下次启动配置文件中。

如果当前配置信息较多,可通过命令save binary-only将配置信息只保存到二进制类型的配置文件中,以缩短保存时间。

如果通过save binary-only命令将配置信息只保存到二进制类型的配置文件中,请注意:

·     当该二进制配置文件不可用时,设备下次启动时仍会使用文本类型的配置文件,此时当前配置将会丢失。

·     通过本命令保存的配置信息,无法通过display saved-configuration命令查看。

·     当系统不存在下次启动文本类型的配置文件时,无法将配置信息只保存到二进制类型的配置文件中。

若当前配置中存在需要预先读取文本类型配置文件中的配置,请使用save命令完整保存配置。

提示

执行save [ backup | main ] [ force ]命令时,请不要重启设备或者给设备断电,以免造成下次启动配置文件丢失。

 

表1-3 保存当前配置

操作

命令

说明

将当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件

save file-url [ all | slot slot-number ]

二者选其一

为了安全起见,在需要将当前配置保存到下次启动配置文件的时候,建议选用safely参数

三命令均可在任意视图下执行

将当前配置保存到所有成员设备存储介质的根目录下,并将该文件设置为下次启动配置文件

save [ safely ] [ backup | main ] [ force ] [ changed ]

将当前配置保存到二进制类型的配置文件中,并将该文件设置为下次启动配置文件

save binary-only

 

说明

设备运行过程中接口卡拔出或成员设备离开IRF,该接口卡或该成员设备的配置会从当前运行配置中删除,此时执行save命令,该接口卡或该成员设备的配置不会保存到配置文件中。此时,请勿重启设备或整个IRF,将该接口卡重新插入原槽位或该成员设备重新加入IRF后,系统会自动将该接口卡拔出或该成员设备离开IRF之前的配置重新恢复到当前运行配置中,该接口卡或该设备仍按照原配置运行,执行display current-configuration命令确认原配置是否恢复,如果已恢复,再次执行save命令,该接口卡或该成员设备的当前运行配置即可再次成功保存到配置文件中。

 

1.4  配置回滚

1.4.1  配置回滚简介

配置回滚是在不重启设备的情况下,将当前的配置回退到指定配置文件中的配置状态。该配置文件必须是有效的.cfg文件,可以使用手工/自动备份功能或者save命令生成,也可以是其他设备可兼容配置文件,推荐使用手工/自动备份功能生成。(如何使用手工/自动备份功能生成配置文件请参见“1.4.2  备份当前配置”)

配置回滚主要应用于:

·     当前配置错误,且错误配置太多不方便定位或逐条回退,需要将当前配置回滚到某个正确的配置状态。

·     设备的应用环境变化,需要使用某个配置文件中的配置信息运行,在不重启设备的情况下将当前配置回滚到指定配置文件中的配置状态。

说明

为了方便描述,定义如下:

·     手工/自动备份功能生成的配置文件称为备份配置文件。

·     “将当前配置回滚到指定配置文件中的配置状态”中的“指定配置文件”称为回滚配置文件。

 

1.4.2  备份当前配置

1. 设置备份参数

备份当前配置前必须设置备份文件的保存路径和文件名前缀。可以设置将备份文件保存在本地,或者保存在远程SCP服务器上。

如果设置备份文件保存在本地,设备备份当前运行配置时,将当前的配置以前缀_序号.cfg格式(例如archive_1.cfg)保存到该命令指定路径下的配置文件中。序号自动从1开始编号,依次加1,累加至1000后重新从1开始编号。修改备份文件的保存路径、文件名前缀,备份序号也会从1开始重新自动编号。

如果设置备份文件保存在远程SCP服务器,设备备份当前运行配置时,将在远程服务器指定的路径下生成以“前缀_YYYYMMDD_HHMMSS.cfg”命名的配置文件(例如archive_20170526_203430.cfg)。

archive configuration server命令和archive configuration location命令具有互斥性,不能同时配置。设置备份文件保存在远程SCP服务器后,如要使用archive configuration location命令指定配置文件备份到本地时使用的参数,需先使用undo archive configuration server恢复缺省情况。同理,设置备份文件保存在本地后,要指定配置文件备份到远程SCP服务器时使用的参数,需先使用undo archive configuration location命令恢复缺省情况。

如果设置备份文件保存在本地,当备份文件数目到达上限,又需要保存新的备份文件时,系统会删除保存时间最早的备份文件,以保存新的备份文件。

表1-4 设置本地备份文件参数

操作

命令

说明

进入系统视图

system-view

-

设置备份配置文件的保存路径和文件名前缀

archive configuration location directory filename-prefix filename-prefix

缺省情况下,未配置备份配置文件的保存路径和文件名前缀

directory必须是主设备上已存在的路径,且参数中不能包含成员编号

(可选)设置备份配置文件的最大数

archive configuration max file-number

缺省情况下,备份配置文件的最大数为5

file-number的具体数值应根据系统的空余存储空间大小来决定

 

表1-5 设置远程SCP服务器备份文件参数

操作

命令

说明

进入系统视图

system-view

-

设置备份配置文件在远程SCP服务器的的保存路径和文件名前缀

archive configuration server scp { ipv4-address | ipv6 ipv6-address } [ port port-number ] [ vpn-instance vpn-instance-name ] [ directory directory ] filename-prefix filename-prefix

缺省情况下,未配置备份配置文件在远程SCP服务器的保存路径和文件名前缀

设置登录远程SCP服务器的用户名

archive configuration server user user-name

缺省情况下,未配置登录远程SCP服务器的用户名

设置登录远程SCP服务器的密码

archive configuration server password { cipher | simple } string

缺省情况下,未配置登录远程SCP服务器的密码

 

说明

·     执行undo archive configuration location命令会关闭配置回滚功能,同时,archive configuration maxarchive configuration interval命令会恢复为缺省情况、display archive configuration的显示信息会被清除。

·     执行undo archive configuration server命令会关闭配置回滚功能,同时,archive configuration interval命令会恢复为缺省情况、display archive configuration的显示信息会被清除。

 

2. 自动/手工备份当前配置

系统提供了自动备份和手工备份两种灵活的备份方式。用户可以使用自动备份方式,让系统按照一定的时间间隔自动备份当前配置。如果备份时间没有到达,而用户需要立即备份当前配置,可以使用手工备份。备份的配置文件的名称和时间可以通过display archive configuration命令查看,以便用户可以将当前配置回退到某一历史时刻的配置状态。

当需要对设备进行步骤复杂的配置时,可以在修改配置前手工备份当前配置。以便配置过程中出现失败时,可以使用已备份的配置直接将当前配置回滚至配置改变前的状态。

如果设置备份文件保存在本地,该功能只将当前配置备份到主设备,不会保存到从设备。

表1-6 自动备份当前配置

操作

命令

说明

进入系统视图

system-view

-

开启自动备份当前配置功能,并设置自动备份的时间间隔

archive configuration interval interval

缺省情况下,自动备份当前配置功能处于关闭状态

 

表1-7 手工备份当前配置

操作

命令

说明

手工备份当前配置

archive configuration

该命令在用户视图下执行

 

1.4.3  执行配置回滚

提示

执行配置回滚操作时(执行configuration replace file命令)不能进行主从设备倒换操作,否则可能造成配置回滚终止。

 

执行配置回滚,设备会将当前配置回滚到指定配置文件中的配置状态。

配置回滚时,系统将对比当前配置和回滚配置文件中配置的差异,并做如下处理:

·     不处理当前配置与回滚配置文件中相同的命令。

·     对于存在于当前配置但不存在于回滚配置文件的命令,回滚操作将取消当前配置中的命令,即执行相应的反向操作。

·     对于存在于回滚配置文件但不存在于当前配置的命令,回滚操作将执行这些命令。

·     对于当前配置和回滚配置文件中不同的命令,配置回滚将先取消这些配置,再执行回滚配置文件中的相应命令。

配置能否回滚成功由命令的具体处理决定,存在以下情况时,某条命令会回滚失败,系统会跳过回滚失败的命令,直接处理下一条命令。

·     命令不支持完整undo命令,即直接在配置命令前添加undo关键字构成的命令不存在,设备不识别。比如命令A [ B ] C,对应的undo命令为undo A C,但是配置A B C回滚的时候,系统会去自动执行undo A B C,此时系统会认为不支持undo A B C而造成配置A B C回滚失败。

·     配置不能取消(如硬件相关的命令)。

·     若不同视图下的各配置命令存在依赖关系,命令可能执行失败。

·     使用的配置文件不是由save命令、自动备份或手工备份生成的完整文件,或是不同类型设备的配置文件,配置回滚可能不能完全恢复至配置文件中的配置状态。因此,需要用户确保回滚配置文件中配置的正确性和与当前设备的兼容性。

表1-8 执行配置回滚

操作

命令

说明

进入系统视图

system-view

-

执行配置回滚

configuration replace file filename

filename只能是明文配置文件,不能是被加密的配置文件,且必须是本地保存的配置文件。

 

1.5  配置延迟提交功能

配置延迟提交功能是指在配置提交超时时间内所进行的配置可以使用configuration commit命令来延迟提交,如果不执行此命令系统会自动回滚到执行配置超时时间前的配置的功能。

建议用户在以下场景中使用此功能:

·     用户在对设备进行远程配置时,配置完成以后可能导致网络中断,不能再连接到设备。如果在进行远程配置前开启了配置延迟确认的功能,设备能够恢复配置,用户可以重新连接设备。

·     用户对设备配置不熟悉,在配置设备前先执行configuration commit delay命令设置配置提交的超时时间,然后再开始进行对设备的配置修改工作,完成后执行configuration commit命令使配置修改生效。如果在配置过程中造成异常则可以等待超时即可自动恢复至修改前的配置,从而保证设备的正常运行。

表1-9 配置延迟提交功能

操作

命令

说明

进入系统视图

system-view

-

设置配置提交超时时间

configuration commit delay delay-time

delay-time为配置提交的超时时间,取值范围为1~65535,单位为分钟

(可选)提交当前配置

configuration commit

提交执行configuration commit delay命令后的配置

 

1.6  管理下次启动配置文件

1.6.1  设置下次启动配置文件

所有成员设备的下次启动配置文件必须是相同的文件,因此,使用本命令前,请确保指定的配置文件已经保存在所有成员设备相同类型存储介质的根目录下,否则,操作失败。

使用该命令设置配置文件时:

·     不指定mainback参数时,缺省使用main

·     主用下次启动配置文件和备用下次启动配置文件可以设置为同一文件,但为了更可靠,建议设置为不同的文件,或者将一份配置保存在两个不同名的文件中,一个设置为主用,一个设置为备用。

·     在执行undo startup saved-configuration命令之后,系统会将主用/备用下次启动配置文件均设置为NULL,但不会删除该文件。

需要注意的是,执行undo startup saved-configuration命令并重启IRF或IRF中的成员设备时,会导致IRF分裂,请谨慎使用。

表1-10 设置下次启动配置文件

操作

命令

说明

配置下次启动时的配置文件

startup saved-configuration cfgfile [ backup | main ]

缺省情况下,没有配置下次启动时的配置文件

该命令在用户视图下执行

该命令执行成功后,用户可以在任意视图下使用display startup命令以及display saved-configuration命令验证配置效果

 

说明

执行save [ safely ] [ backup | main ] [ force ]命令将当前配置保存到指定配置文件时,系统会自动把该文件设置为设备的主用下次启动配置文件。详细配置请参见“1.3.2  保存当前配置”。

 

1.6.2  备份/恢复主用下次启动配置文件

说明

设备运行于FIPS模式时,不支持备份/恢复主用下次启动配置文件。

 

备份是指将设备的主用下次启动配置文件备份到指定的TFTP服务器;恢复是指将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件。

1. 配置准备

在执行配置文件的备份操作前,请进行以下操作:

·     保证设备与服务器之间的路由可达,服务器端开启了TFTP服务,执行备份操作的客户端设备已获得了相应的读写权限。

·     在任意视图下使用display startup命令查看设备是否设置了下次启动配置文件。如果没有指定下次启动配置文件,或者配置文件不存在,备份操作将失败。

2. 备份/恢复主用下次启动配置文件

表1-11 备份/恢复主用下次启动配置文件

操作

命令

说明

将设备的主用下次启动配置文件备份到指定的TFTP服务器

backup startup-configuration to { ipv4-server | ipv6 ipv6-server } [ dest-filename ] [ vpn-instance vpn-instance-name ]

该命令在用户视图下执行

将TFTP服务器上保存的配置文件下载到设备并设置为主用下次启动配置文件

restore startup-configuration from { ipv4-server | ipv6 ipv6-server } src-filename [ vpn-instance vpn-instance-name ]

该命令在用户视图下执行

该命令执行成功后,用户可以在任意视图下使用display startup命令以及display saved-configuration命令验证配置效果

 

1.6.3  删除下次启动配置文件

注意

本特性会将下次启动配置文件从所有成员设备上彻底删除,请谨慎使用。

 

当用户不再使用当前系统指定的下次启动配置文件启动设备时,使用该功能可将下次启动配置文件从设备上删除。

主备用下次启动配置文件都删除后,设备重启将采用出厂配置启动。

用户可以只删除主用下次启动配置文件,或者只删除备用下次启动配置文件。

如果设备的主用下次启动配置文件和备用下次启动配置文件相同,仅执行一次删除操作(例如指定了backup参数),系统只将相应的下次启动配置文件设置为NULL,不删除该文件,需要再次执行删除操作(指定main参数),才能将该配置文件彻底删除。

表1-12 删除设备中的下次启动配置文件

操作

命令

说明

删除设备中的下次启动配置文件

reset saved-configuration [ backup | main ]

该命令在用户视图下执行

不指定backupmain参数时,缺省使用main

 

1.7  配置文件管理显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置文件的使用情况。用户可以通过查看显示信息验证配置的效果。

表1-13 配置文件管理显示和维护

操作

命令

显示配置回滚功能的相关信息

display archive configuration

显示当前配置

display current-configuration [ [ configuration [ module-name ] | interface [ interface-type [ interface-number ] ] ] [ all ] | slot slot-number ]

显示出厂配置

display default-configuration

显示下次启动配置文件的内容

display saved-configuration

显示用于本次及下次启动的配置文件的名称

display startup

显示当前视图下生效的配置

display this [ all ]

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们