01-入门配置指导
本章节下载: 01-入门配置指导 (301.02 KB)
设备系统可以通过命令行配置,也可以通过图形界面进行配置。其中命令行配置除了可以通过Console口连接,也可以通过SSH,Telnet客户端连接;图形界面采用的B/S模式,可以通过HTTPS和HTTP进行连接。本手册介绍通过命令行的方式进行配置管理。
用户可以通过以下几种方式登录到设备上,对设备进行配置和管理:
登录方式及介绍 |
详情 |
|
通过CLI登录设备 |
||
通过串口进行本地登录是登录设备的基本方式之一,也是配置通过其它方式登录设备的基础。如图1-1所示。
首先把设备和PC用串口线连接,按照表1-1所示的参数配置串口工具。
参数 |
值 |
波特率 |
9600 |
数据位 |
8 |
奇偶校验 |
无 |
停止位 |
1 |
流量控制 |
无 |
正确设置完Console的参数并将设备加电,可以看到设备的登录提示信息,输入用户名(缺省情况下是admin)和密码(缺省情况下是admin)之后,就可以登录到设备的命令行。
任何一个有Telnet功能的工作站都能通过TCP/IP网络连接到设备。通过串口登录之后,可以通过表1-2所示步骤打开接口的Telnet访问功能。此后可以从该接口上以该接口的IP地址Telnet登录到设备命令行接口。
表1-2 使能接口的Telnet访问功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口配置视图 |
interface interface-name |
必选 应该选择和工作站直连的接口 |
配置接口IP地址 |
ip address ip-address netmask-length |
必选 配置的IP应该和工作站在同一个网段中 |
使能接口的Telent访问 |
allow access telnet |
必选 缺省情况下,ge0的Telnet功能是打开的 |
网络被攻击,很多情况是由于服务器提供了Telnet服务引起的。Telnet服务有一个致命的弱点——它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令。目前,一种有效代替Telnet服务的有用工具就是SSH服务。SSH客户端与服务器端通讯时,用户名及口令均进行了加密,有效防止了对口令的窃听。设备支持以SSH的方式对设备的管理。
任何一个有SSH功能的工作站都能通过TCP/IP网络连接到设备。通过串口登录之后,可以通过表1-3所示步骤打开接口的SSH访问功能。此后可以从该接口上以该接口的IP地址通过SSH命令登录到设备命令行。
表1-3 使能接口的SSH访问功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口配置视图 |
interface interface-name |
必选 应该选择和工作站直连的接口 |
配置接口IP地址 |
ip address ip-address netmask-length |
必选 配置的IP应该和工作站在同一个网段中 |
使能接口的SSH访问 |
allow access ssh |
可选 缺省情况下,ge0的SSH功能是打开的 |
为了方便您对网络设备进行配置和维护,设备提供Web 网管功能。设备提供一个内置的Web 服务器,您可以通过PC 登录到设备上,使用Web 界面直观地配置和维护设备。
设备支持两种内置的 Web 登录方式:
· HTTP 登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。HTTP位于TCP/IP 协议栈的应用层。传输层采用面向连接的TCP。
· HTTPS 登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL 协议,使客户端与设备之间交互的数据经过加密处理,并为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。
表1-4 通过Web 登录设备需要具备的条件
对象 |
需要具备的条件 |
设备 |
配置设备的IP地址,设备与Web登录用户间路由可达 缺省情况下,设备的IP地址为192.168.1.1/24 |
接口的HTTP管理功能已经打开 缺省情况下,设备的GE0的Web管理的功能是打开的,其它接口是关闭的 |
|
Web登录用户 |
运行Web浏览器 |
获取要登录设备接口的IP地址 |
用户首次登录Web 网管时需要使用缺省帐号进行登录,登录完成后为了确保设备的安全性,需要立即修改管理员的密码,具体操作步骤如下:
· 使用缺省帐号、密码首次登录Web 网管
· 修改缺省管理员的密码
具体的操作方法请参考Web配置指导,本章节就不再介绍。
命令行接口是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,从而对设备进行配置和管理,并可以通过查看输出信息确认配置结果。对比图形界面使用鼠标点击相关选项进行设置,命令行接口形式可以一次输入含义更为丰富的指令。
设备支持多种方式进入命令行接口,比如通过串口登录设备后进入命令行接口界面、通过Telnet
方式登录设备后进入命令行接口界面、通过SSH 方式登录设备后进入命令行接口界面等,各方式的详细描述请参见前面的相关章节。
本节主要讲述当您进入命令行进行配置时所要进行的步骤。请仔细阅读本节以及后边几节中关于使用命令行接口的详细信息。
使用命令行接口(CLI),请按照以下步骤:
(1) 当进入命令行接口出现命令提示符后,请确认您有相应的权限。大多数配置命令都需要用户有管理员权限。
(2) 键入命令名称。
如果命令不含需要用户输入的参数,那么请直接跳到第(3)步。如果命令含需要用户输入的参数,那么继续以下步骤:
· 如果命令需要一个参数值,请输入一个参数值。在输入参数值时,可能要输入关键字。
· 命令的参数值部分一般指定了您应该输入什么样的参数,是某范围内的数值,或者字符串或者IP地址。关键字是指命令中要操作的对象。
· 如果命令需要多个参数值,请按命令的提示依次输入关键字和每个参数值。直到提示信息中出现让您按回车键信息为止。
命令行中的所有命令和关键字都是小写。
命令行接口内置有语法帮助。如果您对某个命令的语法不是很确定,请输入该命令中您所知道的部分,然后输入“?”或“空格加?”。命令行会提示您已经输入的部分命令后剩余部分的可能的命令清单。例如,在用户视图下输入“?”:
host# ?
applicationApplication
clear Reset functions
configure Configuration from vty interface
copyCopy from one file to another
date Set system date
debug Debugging functions (see also 'undebug')
disable Turn off privileged mode command
endEnd current mode and change to enable mode
eraseErase file contentContentes of startup configuration
exec execute command
exitExit current mode and down to previous mode
exportexport exception info to server
flowfast Flow fast set(Just for test)
importImport
list Print command list
max-ident-packet max application identify packet per conntrack
no Negate a command or set its defaults
ntpupdate NTP update system time
ping send ICMP ECHO_REQUEST to network hosts
ping6 send ICMPv6 ECHO_REQUEST to network hosts
pkiConfigpki
quit Exit current mode and down to previous mode
rebootReboot System
saveSave running configuration to disk
setSet values in destination routing protocol
showShow running system information
switchSwitch
syncSync
tcpsynTcp SYN to destination
telnet Open a telnet connection
terminal Set terminal line parameters
traceroute Trace route to destination
updateUpdate malware url.
watchdogwatchdog switch
who show login administrator users
writeWrite running configuration to memory, network, or terminal
系统提供用户输入“Tab”键后,对命令进行补齐的功能。当您输入了一部分命令后,再输入“Tab”键,如果匹配的命令有多个,则列出可能的命令清单,如果匹配的命令只有一个,那么命令行会自动把用户输入的那部分命令补齐,并把光标移至最后。
您可能会在命令行的语法中看到各种符号,这些符号是提示您该如何输入该命令,并不是命令本身的一部分。表1-5对这些符号进行了概要说明。
符号 |
说明 |
大写字母 |
大写字母表示该命令的该部分必须输入一个字符串参数 |
A.B.C.D和A.B.C.D/M |
A.B.C.D表示IP地址,M表示掩码 |
中括号 [ ] |
中括号表示里面的参数可输入或可不输入 |
尖括号和数值范围<> |
尖括号和数值范围表示输入的参数的取值范围在那两个数值之间的某个数 |
命令简写是指您可以只输入命令单词或关键字的前边部分字母,只要那部分字母不会造成歧义,就可以直接回车执行该命令。但需要用户输入的参数,如PPPoE模板的名字等,要完整输入。
例如配置IP地址的命令:
ip address 192.168.1.1/16
可以简写成:ip add 192.168.1.1/16
当使用命令简写时,您必须输入足够多的字母,以确保在众多命令中不会造成歧义。
设备支持丰富的命令模式,表1-6列出了所有的命令模式。
命令模式 |
提示符 |
说明 |
普通模式 |
host> |
系统启动后,输入用户名密码 |
用户视图 |
host# |
普通模式下,输入enable |
系统视图 |
host(config)# |
用户视图下,输入system-view |
模块视图 |
host(config-XXX)# |
系统视图下,输入要进入的模块名称。如进入接口视图,输入:interface ge0 |
表1-7罗列了命令行中常用的命令。
命令 |
说明 |
enable |
进入特权模式,可以对设备进行配置和写操作 |
exit |
退出当前模式,返回到上一级模式 |
list |
显示当前模式下可用的命令 |
display running-config |
显示当前的配置信息(可以是没有保存的) |
display startup-config |
显示已经保存的启动配置信息 |
display version |
显示版本信息 |
display cpu usage |
显示当前设备CPU使用率 |
display capacity |
显示当前设备各功能模块的规格 |
display url-whitelist all |
显示当前设备URL白名单配置 |
display user-wechat white-list |
显示当前设备微信认证服务器白名单 |
系统管理主要涉及到系统时间设置、系统管理员、系统配置、升级版本及库、系统诊断等功能。
系统时间配置有两种方法,一种是手动配置时间,二是从NTP服务器同步时间。
按表1-8所示步骤配置系统时间。
操作 |
命令 |
说明 |
配置系统时间 |
date year month day hour minute second |
必选 |
配置系统时区 |
timezone zone |
必选 |
显示系统时间 |
display date |
display命令可以在任意视图执行 |
显示系统时区 |
display timezone |
display命令可以在任意视图执行 |
按表1-9所示步骤通过NTP配置系统时间。
表1-9 通过NTP配置系统时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置NTP |
ntp ntp-server interval-time |
必选 |
立即获取时间 |
ntpupdate ntp-server |
可选 |
显示NTP配置 |
display ntp config |
display命令可以在任意视图执行 |
按表1-10所示步骤配置系统升级。
操作 |
命令 |
说明 |
进入配置视图 |
copy ftp username password ip-address file-name {version | applib | urllib} |
- |
进入配置视图 |
copy http ip-address file-name { version|applib |urllib} |
- |
按表1-11所示步骤进行配置文件的保存与恢复。
操作 |
命令 |
保存配置 |
save config |
备份启动配置 |
boot-loader file startup-config backup-config |
恢复启动配置 |
boot-loader file backup-config startup-config |
保存当前配置为备份配置 |
boot-loader file running-config backup-config |
保存当前配置为启动配置 |
boot-loader file running-config startup-config |
按表1-12所示步骤进行配置文件的导出。
操作 |
命令 |
说明 |
通过FTP导出配置文件 |
copy {running-config|startup-config} ftp username password ip-address file-name |
二选一 |
通过TFTP导出配置文件 |
copy {running-config|startup-config} tftp ip-address file-name |
按表1-13所示步骤进行配置文件的导入。
操作 |
命令 |
说明 |
通过FTP导入配置文件 |
copy ftp username password ip-address file-name config localFile |
二选一 |
通过TFTP导入配置文件 |
copy tftp ip-adress file-name config localFile |
执行erase startup-config命令恢复出厂设置。
本章涉及管理员、管理员权限表、管理员在线信息的命令行配置方法。
设备出厂的默认配置包括一个超级管理员用户admin,使用这个帐号,可以登录设备对设备进行配置,包括配置其它的管理员。每个管理员都有它的管理地址,以及管理权限和描述,权限是通过权限表来限制的。
按表1-14所示步骤进行管理员全局配置。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置最大登录用户数 |
guish maxclient max-client |
可选 缺省情况下,最大登录用户数为20 |
配置自动退出时间 |
guish timeout time |
可选 缺省情况下,默认是10分钟 |
配置本地管理员用户 |
user administrator user local password authorized-table table-name [disable] |
必选,管理员密码必须包含数字、字母、以及符号(!、@、#、¥、%、&、`、,、-、.) |
配置Radius管理员用户 |
user administrator user radius server authorized-table table-name [disable] |
可选 |
配置Radius服务器 |
radius-server servrip-address secret [port] |
可选 |
配置Radius服务器组 |
radius-server server group group-name |
可选 |
配置LDAP管理员用户 |
user administrator user ldap server authorized-table table-name [disable] |
可选 |
配置管理员用户的管理地址 |
user administrator user authorized-address {first|second|third} ip-address / prefix |
可选 |
按表1-14所示步骤进行管理员全局配置。
表1-15 管理员全局配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置最大登录用户数 |
guish maxclient max-client |
可选 缺省情况下,最大登录用户数为20 |
配置管理员唯一性检查 |
guish admin unique |
可选 缺省情况下关闭 |
配置实时保存配置 |
guish autosave |
可选 仅对web配置有效 |
配置管理员双因子认证 |
admin auth usbkey |
可选 结合USBkey实现管理员双因子认证功能 |
配置管理员超时时间 |
guish timeout minutes |
必选 配置管理员无操作后超时自动登出时间,缺省情况下为10分钟 |
配置登录失败阻断间隔 |
admin auth block |
必选 缺省情况下,阻断间隔60s |
配置最大登录重试次数 |
admin auth retry |
必选 缺省情况下,最大登录失败重试次数为5次 |
配置HTTPS端口 |
https port { default|(1024-65534)} |
必选 缺省为443端口 |
配置HTTP端口 |
http port {default|(1024-65534)} |
必选 缺省为80端口 |
配置ssh端口 |
ssh port {default|(1024-65534)} |
必选 缺省为22端口 |
配置telnet端口 |
telnet port {default|(1024-65534)} |
必选 缺省为23端口 |
这里主要讲通过串口登录后,一些常用的命令如查看在线用户数、配置SSH和TELNET服务、查看系统信息和网络诊断命令ping、traceroute等。
按表1-16所示配置Telnet和SSH服务。
表1-16 配置Telnet和SSH
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface if-name |
必选 |
启用Telnet或SSH服务 |
allow access {telnet | ssh} |
必选 |
按表1-17所示管理登录用户。
操作 |
命令 |
说明 |
显示登录用户 |
who |
必选 |
进入系统视图 |
system-view |
- |
清除登录用户 |
clear user name ip-address ip-address time time |
必选 |
按表1-18所示管理和维护系统。
操作 |
命令 |
说明 |
显示系统信息 |
display version |
必选 |
系统诊断命令 |
ping -c request-times -s request-bytes -irequest-interval -t rquest-ttl -I {ip-address|domain} |
可选 缺省情况下,默认request-times为5次。默认request-bytes为64字节。默认request-interval为1秒 |
ping -c request-times -s request-bytes -irequest-interval-t rquest-ttl -I {ip6-address|domain} |
可选 缺省情况下,默认request-times为5次。默认request-bytes为64字节。默认request-interval为1秒 |
|
traceroute -s {ip-address|domain} |
可选 |
|
系统诊断命令 |
tcpsyn -c request-times ip-address port |
可选 缺省情况下,默认request-times为5次 |
在设备上添加两个管理员用户check和admin,其中check的权限表是show-config,admin的权限表是system-config。show-config具有显示功能的权限,而admin具有读写所有模块的权限。
创建一个管理员账号。
· 设备加电启动。
· 管理员账号登录设备。
#添加管理员。
host# system-view
host(config)# user administrator check local check@123 authorized-table audit
host(config)# user administrator admin local admin@123 authorized-table admin
#设置用户管理地址。
host(config)# user administrator check authorized-address first 192.168.0.10/24
#保存配置。
host(config)# save config
重启设备,用配置的管理员admin登录设备,能够正常登录设备。通过display admin-user命令查看管理员配置。
host# display admin-user
Admin User Name User Type User Status
admin local enable
check local enable
Total users : 2
用配置的管理员check登录设备,能够正常登录设备,但是无法进入系统视图。
host# system-view
% Command not permitted.
配置系统时间通过NTP同步。
· 设备加电启动。
· 管理员账号登录设备。
#配置从NTP服务器获取时间。
host# system-view
host(config)# ntp asia.pool.ntp.org 60
等待60秒后,通过命令display date查看系统时间。
host# display date
ABS time :1400046189
UTC time :2014-05-14 05:43:09
Local time :2014-05-14 13:43:09
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!