华为的网络设备——路由器、交换机使用的是VRP系统,要想学好,必须对VRP熟悉,华为交换机学习指南中有对VRP的详细介绍,先学学这个吧。
VRP——Versatile Routing Platform,通用路由平台,是华为数据通信产品的通用网络操作系统平台。包括路由器、交换机、防火墙、WLAN等产品。
VRP从1.X到现在8.X,现在主要使用5.X和8.X。8.X主要用在数据交换机CE系列和集群路由器NE5000E。
人机交互的命令行界面CLI——Command Line Interface。与GUI——Graphical User Interface,图形用户界面相对应。
VRP命令行格式约定:
VRP命令行视图
“视图”是VRP命令接口界面,不同的VRP命令需要在不同的视图下才能执行,在不同的视图下也配置有不同功能的命令。在VRP系统中,有的视图又是分层次的,在系统视图下可以进入各种功能视图,在一些功能视图下还可以进入对应的子功能视图。
VRP命令级别与用户级别
为了增加设备的安全性,在VRP系统中把所有命令分成了许多个不同的级别,使不同权限的用户可以使用不同级别的命令,这样也就确定了对应的不同用户级别。不同级别的用户登陆后,只能使用等于或低于自己级别的命令。
(1)用户级别与命令级别
VRP系统的命令级别分为0~3共4级,但是用户级别分成0~15共16个级别。缺省情况下,用户级别和命令级别的对应关系如下表:
(2)命令级别修改
如果用户需要实现权限的精细管理,有两种方法提升某些命令的命令级别,但建议不要修改,避免造成操作和维护上的不便。
1)使用command-privilege level rearrange命令(需要确保用户自己的级别为15级,否则无法执行该命令),将所有缺省注册为2、3级的命令,分别批量提升到10级和15级。命令级别批量提升后,原注册的所有命令行按以下原则自动调整对应的命令级别:
- 0级和1级命令保持级别不变。
- 2级命令提升到10级,3级命令提升到15级。
- 2~9级和11~14级这些命令级别中没有命令,用户可以单独调整需要的命令到这些级别中,以实现用户权限的精细管理。
注意,被提升的命令必须没有被command-privilege level level viewview-name command-key命令单独修改过的,否则这些命令将维持原来的级别不变。可通过undo command-privilege level rearrange 命令将原来批量提升到10级或15级的命令重新恢复到2或3级。注意,命令级别批量提升后,undo command-privilege level rearrange命令本身级别也被调整到15级,所以必须保证执行此命令的用户级别为15级。
(路由器没有command-privilege level rearrange这条命令,交换机有)
2)使用command-privilege level level viewview-name command-key命令将指定的命令提升到指定的命令级别。
- level :指定命令新的命令级别,取值范围0~15;
- view-name:指定要调整命令级别的命令所对应的命令视图名称:shell表示用户视图,system表示系统视图,valn表示VLAN视图等。
- command-key:指定要调整命令级别的具体命令。
缺省情况下,ping、tracert、telnet等为访问级别(0级);display为监控级(1级);大部分的配置命令为配置级(2级);用户秘钥设置、FTP、XModem、TFTP以及文件系统操作的命令为管理级(3级)。使用undo command-privilege [level level] view view-name command-key命令和undo command-privilege view view-name command-key命令都可以取消当前设置。建设使用后者。
命令中的view-name可以使用?调出可能的视图名称。
user privilege命令用来配置用户级别。
undo user privilege命令用来恢复用户级别到缺省情况。
缺省情况下,Console口用户界面下用户的级别是15,而其他用户界面用户的级别是0。
起权限限制作用的应该是ActualPrivi。
那么user privilege level有什么作用????
(3)用户级别的密码设置
用户级别指登录用户的分类,共划分16个级别(0~15),与命令级别对应,即不同级别的用户登录后,只能使用等于或低于自己级别的命令。为防止未授权用户的非法侵入,可以为各个用户级别(注意是用户级别而不是用户)设置对应的密码,但高级别用户访问低级别用户时不需要切换用户级别,也就不需要输入低级别的密码。
可以在系统视图下使用super password [level user-level] [cipher password]命令为对应的命令级别设置保护密码。
(4)切换用户级别
在系统视图下使用super [level],在AR200路由器模拟下,实在用户视图下使用super [level]
VRP命令行编辑
VRP每条命令最大长度510字符,命令关键字不区分大小写,编辑可使用快捷键,使用disp hotkey可以显示所有快捷键。
CTR+A 光标到行头,CTR+C停止正在执行的功能,CTR+Z返回用户视图。
VRP提供命令补全的功能,可以输入不完整的关键字后按下
VRP命令行的在线帮助:在任一命令视图下,键入“?”获取该命令视图下所有的命令及其简单描述。还可以在一个命令关键字后面空一个空格再加上“?”,提示后面可接收的关键字或参数及其简单描述。
VRP命令行的通用错误提示
VRP undo命令行
几乎所有的配置命令(不包括管理类的命令)都有对应的undo命令格式,其中undo作为这些命令的关键字。undo命令行一般用来恢复缺省情况、禁用某个功能或者删除某项设置。undo命令格式有多种:
1)不带有原命令中的参数和选项:undo sysname,undo authentication-mode,undo telnet server enable , 。。。
2)仅带原命令中前面部分参数或选项:undo super password [level user-level],。。。
3)带有原命令中全部的参数和选项:undo vlan batch {vlan-id1 [to vlan-id2]} &<1-10>,。。。
查看历史命令
缺省每个登录用户保存10条历史命令,可以使用如下命令修改:history-command max-size size-value
查看命令行显示信息,包括查询命令行的配置信息、控制命令行显示方式和过滤命令行显示信息三方面
1、查询命令行的配置信息
display命令查看相应配置命令的配置信息。如完成FTP服务功能的各项配置后,执行display ftp-server,其他如display vlan,display stp等等
display命令在输出信息中不会显示缺省值,可以执行display this include-default进行查看
1)查看当前生效的配置信息
display current-configuration [configuration [configuration-type [configuration-instance]]| interface [interface-type [interface-number]] ] [feature feature-name [filter filter-expression] | filter filter-expression] 或者 display current-configuration [all | inactive] 命令可查看当前生效的所有配置信息,可通过其中的参数或者关键字查看指定的配置类型、配置实例、接口或特性等的配置信息,或者由过滤条件,或者由正则表达式过滤要显示的配置信息。各部分以“#”行分隔。
-- configuration-type:多选一可选参数,显示指定的配置类型的配置(单依赖于系统当前已有的配置),如可显示AAA配置、系统配置、用户界面配置等。
-- configuration-instance:可选参数,显示指定的VPN配置实例中的配置。
-- interface-type[interface-number]:多选一可选参数,显示指定接口的配置。
-- feature-name:多选一可选参数,显示指定特性的配置。
-- filter-expression:可选参数,指定用于过滤配置信息的过滤表达式。
display current-configuration
display current-configuration configuration aaa display current-configuration configuration user-interface
display current-configration interface eth 0/0/1 display current-configration interface valnif 1
display current-configuration | include vlan
2)查看当前视图下正在运行的配置信息
display this
2、控制命令行显示方式
命令行的回现模式(也就是在屏幕上的显示模式)分为字符模式和行模式,通过terminal echo-mode {character | line}命令设置,缺省为字符模式。字符模式输入命令行时,用户输入一个字符系统显示一个字符;如果设置为line模式,用户输入字符后,只有在按下回车键,或者
可以通过screen-length screen-length temporary 命令设置当前终端屏幕的临时显示行数。(eNSP测试,只有VTY终端可以设置)
3、过滤命令行显示信息
过滤命令行显示信息的使用方法有两种:
1)在命令中指定过滤方式:在命令中通过输入begin、exclude或include关键字加正则表达式来过滤显示。begin关键字是显示特定行和其以后的所有行;exclude关键字用来显示不包含指定正则表达式的所有行;include关键字用来指定只显示包含指定正则表达式的所有行。
2)在分屏显示时指定过滤方式:在分屏显示时,使用“/”、“-”、或“+”符号加正则表达式的方式,可以对还未显示的信息进行过滤,“/”等同begin,“-”等同exclude,“+”等同include。
3)管道符号“|”过滤:| begin regular-expression、|exclude regular-expression 、 | include regular-expression
VRP文件系统管理
VRP文件系统概述:华为路由器交换机上的所有文件(如配置文件、系统软件等)都是以VRP文件系统的方式被有效管理。VRP文件系统实现两类功能:管理存储器(包括flash:和cfcard:存储器)和管理保存在存储器中的文件。
VRP系统文件名格式:VRP系统中文件名都是字符串形式,长度1~160,不区分大小写,文件名有两种表示方法:一是文件名、路径+文件名,即相对路径,表示当前工作路径下的文件。二是drive+path+filename格式,即绝对路径,drive是交换机路由器中的存储器,命名为flash:或者cfcard:。(注意有个冒号),如果是交换机且堆叠情况下,则drive的命名如下:
- flash:堆叠系统中主交换机Flash存储器根目录。
- 槽位号#flash:堆叠系统中某槽位号的Flash存储器根目录。如slot2#flash:
目录管理:创建目录——mkdir directory ;删除目录——rmdir directory (目录必须为空);显示当前路径—— pwd ;进入指定的目录——cd directory ;显示目录或文件信息——dir [/all][filename | flash:]。文件带有[]是回收站中的文件,可以恢复。
文件管理:显示文本文件内容——more filename 、 more filename [offset] [all];复制文件——copy source-filename destination-filename [all] (all是复制文件到所有堆叠成员交换机上);移动文件——move source-filename destination-filename (源文件和目标文件必须在相同的存储器下);重命名目录或文件——rename old-name new-name;压缩文件——zip source-filename destination-filename;解压缩文件——unzip source-filename destination-filename;删除文件——delete [/unreserved] filename [all] 或 delete [/unreserved][/quiet]{filename | devicename};恢复回收站中的文件——undelete filename 或 undelete {filename | devicename};彻底删除回收站中的文件——reset recycle-bin [filename];执行指定的批处理文件——excute batch-filename;当用户经常性的执行一系列命令时,可将这些命令逐条写入批处理文件,将此文件保存在交换机中,以后执行此命令批量处理其中的命令。必须在系统视图下执行,批处理文件为文本文件,后缀.bat。配置文件系统提示方式——fileprompt {alert|quiet}。
存储器管理:交换机路由器上存储器一般是Flash:闪存,高级一些的设备上还有CF卡存储器。
格式化存储器:format devicename
修复文件系统:fixdisk devicename
VRP系统的组成
VRP系统在启动时需要加载“系统软件”和“配置文件”两部分,如果指定了下次启动的补丁文件,还需要加载补丁文件。
VRP系统软件:包括“BootROM软件”和“系统软件”两部分,分别类似于PC上的BIOS和操作系统。交换机路由器加电后,先运行BootROM软件,初始化硬件并显示硬件参数,再运行系统软件,系统软件一方面提供对硬件的驱动和适配功能,另一方面实现了业务功能特性。
交换机路由器在升级时包括升级BootROM软件和升级系统软件,目前的系统软件已经包含了BootROM软件,所以现在所说的VRP系统软件代表了整个VRP软件系统。
VRP系统软件版本分为“核心版本”(或者“内核版本”)和发行版本两种。核心版本是由一个小数来表示,小数点前的数字表示主版本号,小数点后第1位表示次版本号,后面的1~2位数字为修订版本号。如VRP5.120中主版本号5,次版本号1,20为修订版本号。
VRP系统的发行版本是以V、R、C三个字母进行标示的,基本格式为VxxxRxxxCxx,其中x是一些具体数字,V、R部分为必须部分,C根据版本性质的不同而确定,可出现也可不出现。
- V版本是指产品所基于的软件或者硬件平台版本。Vxxx的xxx从100开始,并以100为单位递增编号。
- R版本是面向客户发布的通用特性集合,是产品在特定时间的具体体现形式。Rxxx中的xxx从001开始,以1为单位递增编号。
V版本号R版本号独立编号,互不影响,之间没有从属关系。
- C版本是基于R版本开发的快速满足不同类型客户需求的客户化版本。Cxx中xx从00开始以1为单位递增编号。
可以通过display version命令查看版本号:
VRP系统软件名称:VRP系统软件的文件扩展名为“.CC”。
VRP系统配置文件:是VRP命令行的集合,配置文件为文本文件,其规则如下:
- 以命令格式保存
- 为了节省空间,只保存非缺省的参数
- 以命令视图为基本框架,同一命令视图的命令组织在一起,形成一节,节与节之间通常用空行或注释行隔开(以“#”开始的为注释行)
- 文件中各节的顺序安排通常为全局配置、接口配置、各种协议配置和用户界面配置。
- 配置文件必须以“.cfg”或“.zip”作为扩展名,而且必须存放在存储器的根目录下。
设备运行过程中,有配置文件和当前配置,区别如下:
VRP系统补丁文件:类似windows的补丁,一个补丁文件可能包含一个或多个补丁,不同的补丁具有不同的功能。当补丁文件被用户从存储器加载到内存补丁区中时,补丁文件中的补丁将被分配一个在此内存补丁区中唯一的单元序号,用于标志、管理和操作各种补丁。
补丁文件分为产品补丁(适用于某个特定的VRC版本的VRP系统)和公共补丁(使用所有使用相同VR版本VRP系统),都有一个对应的补丁编号:
产品补丁编号:在VRC版本后加上SPCxxx;公共补丁编号:在VR版本后加上SPHxxx。
热补丁HP(Hot Patch)与冷补丁CP(Cold Patch);
增量型补丁与非增量型补丁;
补丁状态:
启动BootROM软件
BootROM软件又分为基本BootROM软件和扩展BootLoad软件。交换机上电后,先运行基本BootROM软件,并负责引导运行BootLoad软件,BootLoad软件负责引导运行系统软件。
基本BootROM软件的启动过程:
在L2Cache Test Start?处按T进行二级Cache检测,在Start Memory Test?处按T进行内存检测。当出现Press Ctrl+A to enter BootROM Menu...时按下
BootLoad软件的启动过程:
如果用户在3S内按下
通过BootLoad菜单,用户指定交换机启动时加载的系统软件,修改进入基本BootROM菜单密码,清除Console用户密码等。这里最重要的一项就是清Console用户密码,还有就是给基本BootROM菜单加密码。