VRP簡介
VRP是Versatile Routing Platform的簡稱,是華為公司從低端到高端的全系列路由器、交換機等數據通信產品的通用網絡操作系統。華為網絡設備功能的配置和業務的部署是通過VRP命令行來完成的,命令行是在設備內部注冊的,具有一定格式和功能的字符串,VRP命令的總數達數千條之多,為實現分級管理,VRP系統將這些命令分成若干種命令行視圖,常用的命令行視圖有用戶視圖、系統視圖、和接口視圖。
視圖簡介:
用戶視圖:用戶可以了解設備的基礎信息、查詢設備狀態,但不能進行與業務功能相關的配置。
系統視圖:可以使用絕大部分的基礎功能配置命令,另外,系統視圖還提供了進入其他視圖的入口。
接口視圖:對具體接口進行業務或參數配置。
VRP命令級別
0級(參觀級):可執行網絡診斷類命令,用於測試網絡是否連接暢通。
1級(監控級):用於查看網絡狀態和設備基本信息。
2級(配置級):對設備進行業務配置。
3級(管理員級):執行一些特殊功能,如上傳或下載配置文件等。
VRP用戶權限
用戶權限分為0~15共16個級別,默認情況下3級用戶就可以操作VRP的所有命令,也就是說4~15級的用戶權限在默認情況下是與3級用戶權限一致的,4~15級的用戶權限一般與提升命令級別的功能一起使用,如當管理員較多時,需要在管理員中在進行權限細分,這時可以將某條關鍵命令所對應的用戶級別提高,如提高到10級,這樣一來0~9級的用戶將無法使用該關鍵命令。
| 用戶級別 | 命令級別 | 說明 |
| 0 | 0 | 網絡診斷類命令(ping tracert),從本設備訪問其他設備的命令telnet等。 |
| 1 | 1 | 系統維護命令,包括display等,但並不是所有的display命令都是監控級的,如display current-configuration和display saved-configuration都是管理級別的命令。 |
| 2 | 2 | 業務配置命令,包括路由,各個網絡層次的命令。 |
| 3~15 | 3 | 涉及系統基本運行的命令,如文件系統,FTP下載,配置文件切換命令。用戶管理命令,命令級別設置命令,系統內部參數設置命令等,還包括故障診斷的debugging命令。 |
用戶驗證
VRP支持三種用戶驗證的方式,Password驗證、AAA驗證、None驗證。
Password驗證:只需要輸入密碼,密碼驗證通過后即可登錄設備。缺省情況下,設備使用的是Password驗證方式。
AAA驗證:需要輸入用戶名和密碼,只有輸入正確的用戶名和正確的密碼時才能登陸設備,由於需要同時驗證用戶名和密碼,所以AAA驗證方式的安全性比Password驗證方式高,並且該方式可以區分不同的用戶,用戶之間互不干擾,所以telnet時一般都采用AAA驗證。
None驗證:不需要輸入用戶名和密碼,可直接登錄設備,無需進行任何驗證,為安全起見,不推薦使用。
用戶驗證機制保證了用戶登錄的合法性,缺省情況下,通過telnet登錄的用戶,在登錄后的權限級別是0級。
配置VTY(virtual user terminal)用戶界面
VTY用戶界面對應於使用telnet方式登錄的用戶,telnet是遠程登錄所以在用戶驗證方式上采用了AAA驗證,VTY默認5個人同時遠程登錄,如果需要更多人員同時登錄,需要進行相應的設置,最多15個人同時登錄。
示例一:配置telnet登錄
實驗環境:
ENSP模擬器、交換機S5700、局域網主機一台(由於模擬器PC不能使用telnet,所以這里使用路由器進行代替)。
交換機S5700 IP地址:192.168.1.1/24
局域網主機IP:192.168.1.100/24
拓補如下(比較簡單):
開始實驗:
假設LSW1是一台新設備什么都沒有配置,我們使用console口進行登錄,配置telnet,然后使用PC1遠程telnet進行登錄。
1、配置IP是兩個設備互通。
1.1 配置LSW1 GE 0/0/1接口的IP地址為192.168.1.1/24
<Huawei>system-view # 進入系統視圖 # 因為交換機的接口不能直接配置IP地址 # 所以通過給vlan中的IP地址,讓PC與LSW1進行通信。 [Huawei]vlan 10 [Huawei-vlan10]quit # 配置vlan 10的IP地址 [Huawei]interface Vlanif 10 [Huawei-Vlanif10]ip address 192.168.1.1 24 [Huawei-Vlanif10]quit # 將接口划分給vlan 10 [Huawei]interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 10
1.2 為PC配置IP地址(用路由器代替)
<Huawei>system-view [Huawei]interface GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.100 24
測試聯通性
2、在LSW上配置telnet
# VTY默認允許5個用戶遠程登錄 # 如果有多個用戶我們可以進行如下設置,注意最多只能是15個用戶同時登錄 [Huawei]user-interface maximum-vty 15 # 配置用戶界面視圖 # 我們上面配置了允許15個用戶同時登錄,下面的命令是對所有用戶進行統一配置。 [Huawei]user-interface vty 0 14 # 進入用戶界面視圖。 [Huawei-ui-vty0-14]user privilege level 2 # 設置用戶級別 [Huawei-ui-vty0-14]authentication-mode aaa # 啟用aaa用戶驗證 [Huawei-ui-vty0-14]quit # 設置aaa驗證 [Huawei]aaa [Huawei-aaa]local-user admin password cipher 123456 # 設置用戶名密碼 [Huawei-aaa]local-user admin service-type telnet # 使用telnet登錄
在路由器上使用telnet登錄測試:
我們在LSW上也可以看到當前登錄的用戶
示例二:配置console登錄
console口一般采用password驗證方式,通過console口登錄的用戶一般都是網絡管理員,擁有最高級別的權限,下面進行簡單演示。
[Huawei]user-interface console 0 [Huawei-ui-console0]authentication-mode password [Huawei-ui-console0]set authentication password cipher 123456
上述配置,所有配置信息都保存在內存中,如果設備斷電重啟所有的設置就都沒有了,我們需要將設置保存到文件當中,這樣當設備斷電重啟后做的設置也不會丟失。
配置文件
配置文件管理的基本概念有3個:當前配置、配置文件、下次啟動的配置文件。
當前配置:設備內存中的配置信息成為設備的當前配置,他是設備當前正在運行的配置,顯然當設備斷電或設備重啟時,內存中原有的所有信息都消失。
配置文件:包含設備配置信息的文件成為配置文件,它存在於設備的外部存儲器中,其文件名的格式一般為*.cfg或.zip。用戶可以將當前配置保存到配置文件中,當設備重啟時,配置文件的內容可以被重新加載到內存,成為新的當前配置,配置文件除了具有保存配置信息的作用外,還可以方便設備安裝和維護人員查看,備份以及一直配置信息用於其他設備,缺省情況下,保存當前配置時,設備會將配置信息保存到名為vrpcfg.zip的配置文件中,並存放於設備的外部存儲器的根目錄下。
下次啟動的配置文件:下次啟動的配置文件即為設備下次啟動時加載至內存的配置文件,設備重啟時,會從自定的配置文件中提取配置信息,並加載至內存中,缺省情況下,下載啟動的配置文件的文件名為vrpcfg.zip。
保存當前配置
保存當前配置的方式有兩種,手動保存和自動保存。
手動保存配置:用戶可以使用save [configureation-file]命令隨時將當前配置以手動方式保存到配置文件中,參數configuration-file為指定的配置文件名,格式必須為*.cfg或*.zip。如果位置頂配置文件名,則配置文件名缺省為vrpcfg.zip。
手動保存當前配置
手動保存配置到其它文件
自動保存配置文件
自動保存配置文件分為周期性自動保存和定時自動保存兩種方式。
周期性自動保存:首先執行autosave interval on 開啟設備的周期性自動保存功能,然后執行命令autosave interval time,time為指定的時間周期,單位為分鍾,默認值為1440分鍾(24小時)。
下面周期性保存和定時保存都是使用模擬器的AR1220路由器進行的試驗,S5700不支持自動保存命令。
定時自動保存:定時自動保存:首先執行命令autosave time on,開啟設備的定時自動保存功能,然后執行命令autosave time time-value,設置自動保存的時間點,time-value為指定的時間點,格式為hh:mm:ss,默認為00:00:00 。
周期性自動保存與定時自動保存時互斥的,同一時間,同一台設備只允許設置其中一種自動保存方式,如果希望更換自動保存方式,則需要首先取消已經設置的自動保存方式,另外,即使設置了自動保存功能,用戶依然可以使用save命令進行手動方式保存配置,缺省情況下,設備會保存當前配置到vrpcfg.zip文件中,如果用戶指定了另外一個配置文件作為設備下次啟動的配置文件后,則設備會將當前配置保存到新指定的下次啟動的配置文件中。
設置下次啟動配置文件
設備支持設置任何一個存在於設備的外部存儲器的根目錄下的*.cfg或*.zip文件作為設備的下次啟動的配置文件,可以通過startup saved-configuration configuration-file命令來設置設備下次啟動的配置文件,其中configuration-file為指定配置文件名。如果設備的外部存儲器的根目錄下沒有該配置文件,則系統會提示設置失敗。
設置了下次啟動的配置文件后,再保存當前配置時,默認會將當前配置保存到所設置的下次啟動的配置文件中,從而覆蓋了下次啟動的配置文件的原有內容,所以保存但錢配置時應該特別小心,設置好下次啟動的配置文件后,一般都會重啟設備讓配置生效。如果設備是由多人維護的,則很可能出現當前配置信息與下次啟動的配置文件中的信息不一致的情況。VRP系統提供了compare configuration命令,用來比較當前配置與下次啟動的配置文件差異,執行該命令后,系統會從下次啟動的配置文件的首行開始與當前配置進行比較,在比較出不同之處時,將從兩者有差異的點官方開始顯示字符,默認顯示120個字符。