基礎(chǔ)配置指導(dǎo)整本手冊(cè)

Copyright?2013杭州通信技術(shù)及其者，保留一切權(quán)利H3C、、H3CS、H3CIE、E、Aolynk、、H3Care、、IRF、NetPilot、 、、ware、ITCMM、HUASAN、均為杭州通信技術(shù)的商標(biāo)。對(duì)于本手冊(cè)中出現(xiàn)的其它公司的商標(biāo)、產(chǎn)品標(biāo)識(shí)及商品名H3C并不確保手冊(cè)內(nèi)容完全沒(méi)有錯(cuò)誤，本手冊(cè)中的所有陳述、信息和建議也不構(gòu)成任何H3CSecPathM9000M9000系列設(shè)備各CLI、RBAC、登錄設(shè)備、FTPTFTP、文件系統(tǒng)管理、配置文件管理、軟件升級(jí)、設(shè)備管理、安全域和Tcl相關(guān)的特性。現(xiàn)場(chǎng)技術(shù)支持與人格意斜[[]{x|y|...[x|y|...{x|y|...}[x|y|...]#格意<<>[[]/ 技術(shù)支持 E- 1.1產(chǎn)品介紹 1-1.1.1簡(jiǎn)介 1-1.1.2產(chǎn)品外觀 1-1.2典型應(yīng)用 1-1.2.1應(yīng)用 1-應(yīng)用 虛擬應(yīng)用 1-·1-iH3CSecPathM9000系列多業(yè)務(wù)安全網(wǎng)關(guān)（M9000系列設(shè)備）H3C公司自主研發(fā)的、面向運(yùn)營(yíng)商及行業(yè)市場(chǎng)的高性能產(chǎn)品，支持、NAT、、檢測(cè)、內(nèi)容過(guò)濾等業(yè)務(wù)在安全功能方面，M9000系列設(shè)備為用戶提供了全面的安全防范體系和安全接入能力，支持異常命令進(jìn)行檢測(cè)，提供多種智能分析和管理，支持多種日志，提供網(wǎng)絡(luò)管理，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種L2TPGREIPSec等。圖1-1M9006圖1-2M9010圖1-3M9014可作為內(nèi)網(wǎng)控制設(shè)備不同安全等級(jí)的區(qū)域。圖1-4應(yīng)用組網(wǎng)M9000系列設(shè)備提供強(qiáng)大的功能，幫助企業(yè)分支用戶安全的公司總部資源，也可以滿足 / /圖1-6虛擬功能應(yīng)用組網(wǎng)1N1 1.1命令行接口簡(jiǎn)介1-1.2命令視圖1-1-1-·1-1-1.3使用命令行1-1-1.5命令行輸入1-1.5.11- 1- ·1- 1- 1- 1-·1-1.7使用歷史命令 1- 1-1.8.1分屏顯示 1- 1- 1- 1- 1-1.9保存當(dāng)前配置 1-iCLI（CommandLineInterface，命令行接口）是用戶與設(shè)備之間的文本類指令交互界面。用戶輸圖1-1所示。圖1-1圖1-2執(zhí)行的操作主要包括查看操作、調(diào)試操作、文件管理操作、設(shè)置系統(tǒng)時(shí)間、重啟設(shè)備、FTP和net操作等。子視圖，比如BGP視圖下還包含BGPIPv4單播實(shí)例視圖和BGP- IPv4單播實(shí)例視圖等，表1-1表1-2表1-3<Sysname>Userview Archive BackupthestartupconfigurationfiletoaTFTPserver Setbootloader<Sysname>terminaldebuggingEnabletodis ydebugginglogsonthecurrentterminalloggingDis ylogsonthecurrentterminalmonitorEnableto ylogsonthecurrent[Sysname]interfacevlan-interface<1-4094>Vlan-interfaceinterfacenumber[Sysname]interfacevlan-interface1?<Sysname>f?<Sysname>disyftp?表1-4退格鍵左光標(biāo)鍵右光標(biāo)鍵上光標(biāo)鍵下光標(biāo)鍵使用本特性，可以給設(shè)備當(dāng)前支持令行的第一個(gè)關(guān)鍵字或者undo命令的第二關(guān)鍵字取一個(gè)您慣用的關(guān)鍵字作為別名。比如將disy的別名設(shè)置為show，這樣在設(shè)備上執(zhí)行disyclock命令時(shí)可以輸入disyclock，也可以輸入showclock。匹配時(shí)，則只執(zhí)行別名對(duì)應(yīng)令。如果用戶輸入的字符串與多個(gè)別名部分匹配，則輸出錯(cuò)表1-5-給指定令關(guān)鍵command-aliasmapcmdkey前設(shè)備支持令行第一個(gè)關(guān)鍵字或者disycommand-五個(gè)，配置步驟見(jiàn)表1-6，其他快捷鍵（見(jiàn)表1-7）為系統(tǒng)保留的，不能通過(guò)命令行配置。，則快捷鍵會(huì)遵從表1-6-hotkey{ctrl_g|ctrl_l||ctrl_t|ctrl_u} <Ctrl+L>對(duì)應(yīng)命令dis 示IPv4路由表信息）disy表1-7將光標(biāo)向下移動(dòng)一行（輸入回車前有效將光標(biāo)向上移動(dòng)一行（輸入回車前有效表1-8-info-center命令行輸入完畢后，請(qǐng)按>鍵執(zhí)行該命令。設(shè)備執(zhí)行命令的過(guò)程中，首先會(huì)對(duì)命令行進(jìn)行語(yǔ)，如表-9所示。表1-9%Unrecognizedcommandfoundat'^' pletecommandfoundat'^'%Ambiguouscommandfoundat'^'%Toomany%Wrongparameterfoundat'^'用戶在設(shè)備上成功執(zhí)行令，會(huì)同時(shí)保存到用戶獨(dú)享的歷史命令緩沖區(qū)和所有用戶共享的歷史命令緩沖區(qū)。兩緩沖區(qū)的詳細(xì)描述請(qǐng)參見(jiàn)表1-10。表1-10 令緩沖區(qū)滿且有新令設(shè)備保存的歷史命令與用戶輸入令格式相同。如果用戶使用了命令的不完整形式，保存?zhèn)渲槐４嬉粭l歷史命令；如果分別執(zhí)行disycurrent-configuration命令和它的不完整形式disycu，設(shè)備將保存為兩條歷史命令。這時(shí)用戶可以使用表1-11所示的按鍵來(lái)選擇下一步操作。表1-11表1-12分屏顯方便定位顯示信息。如果不帶by-linenum參數(shù)，則不會(huì)顯示行號(hào)。disycommand|by-<Sysname>dis yvlan999|by-linenum1:VLANID:9992:VLANtype:3:Routeinterface:Configured4:IPaddress:5:Subnetmask:6:Description:ForLANAccess7:Name:VLAN09998:Taggedports: 9:Untaggedports: 在執(zhí)行disy命令查看顯示信息時(shí)，可以使用正則表達(dá)式來(lái)過(guò)濾顯示信息，以便快速的找到自己在disy命令中通過(guò)輸入|{begin|exclude|include}regular-expression參數(shù)的方式來(lái)過(guò)濾顯示。begin、exclude和include關(guān)鍵字的含義如下：1-13所示。正則表達(dá)式的執(zhí)行時(shí)間和正則表達(dá)式的復(fù)雜程度成正比，對(duì)于復(fù)雜的正則表達(dá)式，執(zhí)行時(shí)間會(huì)比較長(zhǎng)，需要，可按<CTRL+C>鍵終止。表1-13^$.*zo*z以及+|((123A)表示字符串123A；408(12)可以匹配 [[16A]表示可以匹配到的字符串只需要包含1、6或A中任6或A中任意一個(gè)（-為連接符）\<Sysname>disycurrent-configuration|beginlinelineclassconsoleuser-rolenetwork-adminlineclass查看路由表中的非直連路由（該顯示信息與設(shè)備型號(hào)以及用戶的當(dāng)前配置有關(guān)<Sysname>disyiprouting-table|excludeDirectDestinations:12 Routes:12ProtoPre #<Sysname>disycurrent-configuration|includesnmpsnmp-agentcommunitywriteprivatesnmp-agentcommunityreadpublicsnmp-agentsys-infoversionallsnmp-agenttarget-hosttrapaddress 6paramssecuritynamedisy命令顯示的內(nèi)容通常是統(tǒng)計(jì)信息、功能是否使能以及功能的相關(guān)參數(shù)配置，這些信息在設(shè)表1-14disycommand>disycommand>><Sysname> yvlan1><Sysname>morevlan.txtVLANID:1VLANtype:Routeinterface:NotconfiguredDescription:VLAN0001Name:VLANTaggedports: Untaggedports:<Sysname> yvlan999>><Sysname>morevlan.txtVLANID:1VLANtype:Routeinterface:NotDescription:VLANName:VLANTaggedports: Untaggedports:VLANID:VLANtype:Routeinterface:IPaddress:Subnetmask:Description:ForLANName:VLANTagged Untagged 執(zhí)行disy命令時(shí)，通過(guò)選擇參數(shù)，可以同時(shí)實(shí)現(xiàn)“1.8.2查看帶行號(hào)的顯示信息“1.8.3使用正則表達(dá)式過(guò)濾顯示信息”和“1.8.4表1-15disycommand[|[by-linenum]{begin|exclude|includeregular-expression][>filename|>>filename<Sysname> ycurrent-configuration|by-linenum><Sysname> ycurrent-configuration|includesnmp>><Sysname>dis ycurrent-configuration|by-linenumbeginuser-group114:user-groupsystem115-116-save命令，將當(dāng)前配置保存到配置文件中。這樣在設(shè)備重啟后，所有保存的1 1.1RBAC1-1-1-1-1.3創(chuàng)建用戶角色 1- 1- 1- 1-1.5為用戶角色 1- 1-1.5.2為AAA認(rèn)證用戶角色 1- 1- 1-1.6切換用戶角色 1-1.7RBAC顯示和 1- 1- 1- 1- 1-1.9常見(jiàn)配置錯(cuò)誤舉例 1- 1- 1-i述。有關(guān)FIPS模式的詳細(xì)介紹請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“FIPS”。予用戶即可。因此RBAC更能適應(yīng)用戶的變化，提高了用戶權(quán)限分配的靈活性。置A功能，或用戶配置B功能。通過(guò)資源控制策略實(shí)現(xiàn)對(duì)系統(tǒng)資源（接口、VLAN、實(shí)例、安全域）的操作權(quán)限的控制。例如，定義資源控制策略允許用戶操作VLAN10，用戶操作接口GigabitEthernet1/0/1。每條規(guī)則定義了是允許還是用戶對(duì)某命令、特性、特性組或者XML元素進(jìn)行操作。息令dir。enable、配置調(diào)試信息開(kāi)關(guān)令debugging。 所有三層協(xié)議相關(guān)功能令。管理員可以根據(jù)需要自定義特性組，但不能修改和刪除系統(tǒng)預(yù)定義的特性組L2和L3。各個(gè)特性組之間包含的特性允許。一個(gè)XML節(jié)點(diǎn)。行。關(guān)于匹配的具體涵義，請(qǐng)參見(jiàn)RBAC配置命令?；谔匦缘囊?guī)則：用來(lái)控制特性包含令是否允許被執(zhí)行。因?yàn)樘匦灾械拿織l命令都屬于讀、寫或執(zhí)行類型令能否被執(zhí)行。對(duì)多個(gè)特性包含令進(jìn)行控制?？梢詧?zhí)行令為這些規(guī)則中定義的可執(zhí)行命令的并集。若這些規(guī)則定義的權(quán)限內(nèi)容有，則規(guī)則最終規(guī)則2和規(guī)則3生效，即執(zhí)行命令A(yù)，允許執(zhí)行命令B。實(shí)例以及安全域。對(duì)接口/VLAN/實(shí)例/安全域的操作是指創(chuàng)建并進(jìn)入接口視圖/VLAN視圖/實(shí)例視圖/安全域視圖、刪除和應(yīng)用接口/VLAN/實(shí)例/安全域（在disy命令中指定接口/VLAN/實(shí)例/安全域參數(shù)并不屬于應(yīng)用接口/VLAN/實(shí)例/安全域。VLAN令vlan，且同時(shí)定義了一條VLAN策略允許用戶操作VLAN10，則當(dāng)用戶被此用戶角色并試圖創(chuàng)建VLAN10時(shí)，操作會(huì)被允許，但試圖創(chuàng)建其它VLAN時(shí)，操作會(huì)被。若管理員并沒(méi)有也無(wú)法執(zhí)行相關(guān)令。作所有系統(tǒng)資源的權(quán)限，但具有不同的系統(tǒng)功能操作權(quán)限。如果系統(tǒng)預(yù)定義的用戶角色權(quán)表1-1security-logfilesave之外）體請(qǐng)通過(guò)disyrolenamenetwork-operator命令查看）level-n(n=的相關(guān)disy命令（除disy mandall命令、可執(zhí)行安全日志文件管理相關(guān)令（disysecurity-logfilesummary、info-centersecurity-logfiledirectory、security-logfile可執(zhí)行安全日志文件操作相關(guān)令，例如more顯示安全日志文件內(nèi)容；dir、mkdir操作安全日志文件等，具體命令的介紹請(qǐng)參見(jiàn)“基有命令、修改用戶線視圖下的相關(guān)配置（包括user-role、authentication-mode、protocolinboundsetauthenticationpassword）以及執(zhí)行創(chuàng)建/修改/刪除本地用戶和本地用戶組；身的權(quán)限。需要注意的是，這種修改對(duì)于disy 角色與用戶的關(guān)聯(lián)是通過(guò)為用戶賦予角色建立的。將有效的用戶角色成功給用戶后，登錄設(shè)備的用戶才能以各角色所具有的權(quán)限來(lái)配置、管理或者設(shè)備。根據(jù)用戶登錄設(shè)備時(shí)采用的不同認(rèn)權(quán)、計(jì)費(fèi)）方式和非AAA方式。允許執(zhí)行的功能以及被允許操作的資源的集合。例如，某用戶擁有角色A，它用戶執(zhí)行qosapply命令，且僅允許操作接口2。同時(shí)，該用戶擁有角色B，它允許用戶執(zhí)行qosapplypublickeypassword-publickeySSH用戶將被授予同名的設(shè)備管理類表1-2RBAC靈活的控制。除系統(tǒng)預(yù)定義的用戶角色外，系統(tǒng)中最多允許同時(shí)創(chuàng)建64個(gè)用戶角色。表1-3-rolenamerole-description性中命令的類型（讀/寫/執(zhí)行）定義是否允許執(zhí)行一個(gè)或所有特性中包含的指定類型令?；谔匦越M的規(guī)則：由允許/（permit/deny）關(guān)鍵字、特性組名稱（feature-group-name）類型令。XML元素的類型（讀/寫/執(zhí)行）XML元素。表1-4-rolenamerole--rulenumber{deny|permit}rulenumber{deny|permit}{executeread|write}*feature[feature-namerulenumber{deny|permit}{executeread|write}*feature-限r(nóng)ulenumber{deny|permit}{execute-rolefeature-group圖組的資源控制策略，允許用戶具有操作任何系統(tǒng)資源（接口/VLAN/實(shí)例/安全域）的權(quán)限。若要表1-5-rolenamerole--interface-rolenamerole--vlanpermitvlanvlan-id-表1-7配置資源控制策-rolenamerole---instance進(jìn)入策略視圖后，如果不配置允許操作的列表，則用戶將沒(méi)有操作任何實(shí)例的權(quán)限permit-表1-8-rolenamerole--為用戶角戶角色。如果用戶沒(méi)有被任何用戶角色，將無(wú)法成功登錄設(shè)備。為此，系統(tǒng)提供了一個(gè)缺省用戶角色功能。使能該功能后，用戶在沒(méi)有被任何角色的情況下，將具有一個(gè)缺省的用戶角network-operator。表1-9使能缺省用戶角色功-roledefault-roleRADIUS服務(wù)器上的角色配置與服務(wù)器的具體情況有關(guān)，請(qǐng)參考服務(wù)器的配置指導(dǎo)進(jìn)行；name2、namen為要下發(fā)給用戶的用戶角色，可為多個(gè)，并使用空格分隔。需要注意的是，若AAA服務(wù)器同時(shí)為用戶了包括安全日志管理員在內(nèi)的多個(gè)用戶角色，則僅及本地用戶相關(guān)配置的詳細(xì)介紹請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“AAA”。表1-10為本地用戶用戶角-local-useruser-name{manage|network-user-rolerole-name線相關(guān)配置的詳細(xì)介紹請(qǐng)參見(jiàn)“基礎(chǔ)配置指導(dǎo)”中的“登錄設(shè)備”；通過(guò)publickey或password-publickeySSH用戶，由同名的設(shè)備管理類本地用戶配置決定為其的用戶角色。SSH用戶相關(guān)的介紹請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“SSH”。表1-11為非AAA認(rèn)證用戶用戶角-line{first-num1[last-num1]{console|vty}first-[last-num2]lineclass{console|vtyuser-rolerole-系統(tǒng)的用戶將被用戶角色設(shè)備運(yùn)行參數(shù)，當(dāng)需要對(duì)設(shè)備進(jìn)行時(shí)，再臨時(shí)切換到較高權(quán)限的用戶角色。為了保證切換操作的安全性，執(zhí)行用戶角色切換時(shí)，需要進(jìn)行認(rèn)證。設(shè)備支持如表1-12所示表1-12使用該方式時(shí)，需要在設(shè)備上使用superpassword命令設(shè)置用戶角 localscheme HWTACACS方案進(jìn)行用戶角色切換認(rèn)證時(shí)，系統(tǒng)使用用戶輸入的用戶角色切換用戶切換認(rèn)證的用戶，它支持切換到的別用戶角色為level-3，即表示用戶可以使用該用戶RADIUS方案進(jìn)行用戶角色切換認(rèn)證時(shí)，系統(tǒng)使用“$enabn$”形式的用戶名進(jìn)行用HWTACACS不同的是，用戶進(jìn)行角色切換時(shí)可輸入任意用level-3，輸入任意的用戶名進(jìn)行用戶角色切換認(rèn)證（是否攜帶由user-name-format命令決定。表1-13-superauthentication-mode{|scheme}superpassword[rolerolename][{hash|simple}password]superpassword[rolerolename表1-14super[rolename表1-15RBACdisyrole[namerole-namedisyrolefeature[namefeature-name|verbosedisyrolefeature-group[namefeature-group-name][verbose允許用戶執(zhí)行所有特性中讀類型令 [Device]interfacegigabitethernet[Device-GigabitEthernet1/0/1]ipaddress0[Device-GigabitEthernet1/0/1]quit netserver[Device]linevty0[Device-line-vty0-63]authentication-modescheme[Device-line-vty0-63]quit [Device-isp-bbb]authenticationloginlocal[Device-isp-bbb]authorizationloginlocal[Device-isp-bbb]quit[Device]rolename[Device-role-role1]rule1permitread#[Device-role-role1]rule2permitcommandsystem-view;interface# ]permitinterfacegigabitethernet1/0/2togigabitethernet ]quit[Device-role-role1]quit[Device]local-useruser1class [Device-luser-manage-user1]undoauthorization-attributeuser-rolenetwork-operator[Device-luser-manage-user1]quit用戶向Device發(fā)起 net連接，在 后，可成功登錄Device，并被授予用戶角色role1，具有相應(yīng)令行執(zhí)行權(quán)限。GigabitEthernet1/0/2為例）#[Device]interfacegigabitethernet1/0/1Permissiondenied.#[Device]interfacegigabitethernet[Device-GigabitEthernet1/0/2]ipaddress24[Device-GigabitEthernet1/0/2]quit[Device]disyclock09:31:56UTCSat01/01/2011[Device]不能執(zhí)行特性中寫類型和執(zhí)行類型令<Device>debuggingroleallPermissiondenied.<Device>Permission由一臺(tái)Radius服務(wù)器（IP地址為/24）擔(dān)當(dāng)認(rèn)證/RADIUS服務(wù)器的職責(zé) net用戶登錄Device時(shí)使用RADIUS服務(wù)器上配置的用戶名 o@bbb以及進(jìn)行認(rèn)證，認(rèn)證通過(guò)后被的用戶角色為role2。20的權(quán)限； [Device]interfacegigabitethernet[Device-GigabitEthernet1/0/1]ipaddress0[Device-GigabitEthernet1/0/1]quit[Device]interfacegigabitethernet[Device-GigabitEthernet1/0/2]ipaddress[Device-GigabitEthernet1/0/2]quit netserver[Device]linevty0[Device-line-vty0-63]authentication-modescheme[Device-line-vty0-63]quit[Device]radiusscheme[Device-radius-radprimaryauthentication1812#配置與認(rèn)證/服務(wù)器交互報(bào)文時(shí)的共享密鑰為expert。[Device-radius-rad]keyauthenticationexpert [Device-isp-bbb]authenticationloginradius-scheme[Device-isp-bbb]authorizationloginradius-schemerad[Device-isp-bbb]quit[Device]rolefeature-groupname[Device-featuregrp-fgroup1]featurearp[Device-featuregrp-fgroup1]featureradius[Device-featuregrp-fgroup1]quit[Device]rolename[Device-role-role2]rule1permitcommandsystem-view [Device-role-role2]rule2permitreadwritefeature-group[Device-role-role2]rule3permitcommandsystem-view;vlan#[Device-role-role2rule4permitcommandsystem-viewinterface*VLANVLAN1～VLAN20的權(quán)限。[Device-role-role2]vlandeny[Device-role-role2-vlan]permitvlan1to20[Device-role-role2-vlan]quit ]permitinterfacegigabitethernet1/0/1togigabitethernet ]quit[Device-role-role2]quit Cisco-AVPair="s Cisco-AVPair= 用戶向Device發(fā)起net連接，在net客戶端按照提示輸入用戶名o@bbb及正確的后，可成功登錄Device，并被授予用戶角色role2，具有相應(yīng)令行執(zhí)行權(quán)限。<Device>system-view [Device-isp-abc]authenticationloginradius-schemeabc[Device-isp-abc]quit[Device]radiusscheme[Device-radius-radprimaryauthentication[Device-radius-rad]disyradiusschemeradRADIUS方案的顯示信息此處略。[Device]vlan10[Device-vlan10]quit[Device]vlan30Permissiondenied.可操作接口以接口[Device]vlan[Device-vlan10]portgigabitethernet[Device-vlan10]portgigabitethernet1/0/25Permissiondenied.netDevicelevel-0level-0～level3務(wù)器沒(méi)有響應(yīng)則轉(zhuǎn)為local認(rèn)證。 名不帶。在ISP域bbb下配置用戶角色切換認(rèn)證方法為HWTACACS方案hwtac。[Device]interfacevlan-interface[Device-Vlan-interface2]ipaddress0[Device-Vlan-interface2]quit[Switch]interfacevlan-interface[Device-Vlan-interface3]ipaddress[Device-Vlan-interface3]quit netserver[Device]linevty0[Device-line-vty0-63]authentication-modescheme[Device-line-vty0-63]quit#[Device]superauthentication-modescheme[Device]hwtacacsscheme#配置主認(rèn)證服務(wù)器的IP地址為，認(rèn)證端為49。[Device-hwtacacs-hwtacprimaryauthentication49#配置與認(rèn)證服務(wù)器交互報(bào)文時(shí)的共享密鑰為expert。[Device-hwtacacs-hwtackeyauthenticationsimpleexpert#配置向HWTACACS服務(wù)器發(fā)送的用戶名不攜帶。[Device-hwtacacs-hwtac]user-name-formatwithout-[Device-hwtacacs-hwtac]quit[Device][Device-isp-bbb]authenticationlogin#配置net用戶登錄方法為本地。[Device-isp-bbbauthorizationloginlocal#配置用戶角色切換認(rèn)證方法為hwtac。[Device-isp-bbb]authenticationsuperhwtacacs-schemehwtac[Device-isp-bbb]quit [Device]local-usertestclass[Device-luser-manage-test]service-type [Device-luser-manage-test]passwordsimpleaabbcc#為保證net用戶僅使用的用戶角色level-0，刪除用戶test具有的缺省用戶角[Device-luser-manage-test]undoauthorization-attributeuser-rolenetwork-operator[Device-luser-manage-test]quit[Device]superpasswordrolelevel-3simple654321[Device]quitACSv4.0HWTACACSserver的基本配置。圖1-4設(shè) 問(wèn)指定權(quán)限令。 netTrying0PressCTRL+KtoabortConnectedto9...Copyright(c)2004-2013HangzhouH3CTech. .All .Withouttheowner'spriorwritten pilingorreverse-engineeringshallbe login:test@bbbUserviewfunction Exitfromcurrentcommand Establishasecures Switchtoauserrolesystem-viewEntertheSystem Establisha netconnection Tracertfunction 認(rèn)證enabpass，若認(rèn)證成功即可將當(dāng)前net用戶的角色切換到level-3。<Device>superlevel-3Username:test@bbbUserprivilegeroleislevel-3,andonlythosecommandsthatauthorizedtotherolecanbenet用戶的角色切換到level-3。<Device>superlevel-3Username:test@bbbInvalidconfigurationornoresponsefromtheauthenticationserver.Changeauthenticationmodetolocal.Userprivilegeroleislevel-3,andonlythosecommandsthatauthorizedtotherolecanbe通過(guò)disylocal-user命令查看該用戶實(shí)際擁有的用戶權(quán)限，并刪除授予用戶的多余用戶角色roledefault-roleenable命令允許用戶使用系統(tǒng)預(yù)定義的缺省用戶角色登錄設(shè)備，或根11登錄設(shè)備方式介紹 3.1.1 net登錄設(shè)備 5對(duì)登錄用戶的控制 5.1.2配置 5.1.3配置舉例 5.3.2配置舉例 .2錄接口以及登錄協(xié)議不同，分為：通過(guò)Console口、net、SSH登錄方式。，1-1。表1-1開(kāi)啟設(shè)備的net功能（根據(jù)產(chǎn)品缺省情況選擇IP地址下，VTY用戶采用password認(rèn)證方式）配置IPSSH登錄用戶間路由可達(dá)（缺省情況下，設(shè)備沒(méi)有配置IP地址通過(guò)Console口登錄設(shè)備時(shí)，請(qǐng)按照以下步驟進(jìn)行操作：出PC機(jī)。PC9芯（針）串口中，再將RJ-45插頭端插入設(shè)備的Console口中。在PC機(jī)上運(yùn)行終端仿真程序（如WindowsXP/Windows2000的超級(jí)終端等，以下配置以WindowsXP為例。PC上選擇“開(kāi)始>程序>附件>通訊>超級(jí)終端”），選擇與設(shè)備相連的串9600bit/s、8位數(shù)據(jù)位、12-22-4PCWindowsServer2003操作系統(tǒng)，請(qǐng)?jiān)赪indows組件中添加超級(jí)終端程序后，再按照本文介紹的方式登錄和管理設(shè)備；如果PC使用的是WindowsServer2008、WindowsVista、Windows7或其它操作系統(tǒng)，請(qǐng)準(zhǔn)備第的終端控制軟件，使用方法請(qǐng)參照軟件的使用指導(dǎo)或圖2-2圖2-3圖2-4 理和。用戶線用于管理、限制CLI登錄用戶的行為：網(wǎng)絡(luò)管理員可以給每個(gè)用戶線配置一系列參數(shù)，AConsole口登錄設(shè)備時(shí)，將同一用戶登錄的時(shí)間不同，分配的用戶線可能不同。比如用戶本次使用net登錄設(shè)備，設(shè)給其他net用戶了，只能為該用戶分配其他的用戶線。設(shè)備僅支持scheme認(rèn)證方式。才能登錄到設(shè)備上。配置認(rèn)證方式為password后，請(qǐng)妥善保存?；蝈e(cuò)誤，均會(huì)導(dǎo)致登錄失敗。配置認(rèn)證方式為scheme后，請(qǐng)妥善保存用戶名及。表3-1 。如圖3-1所示。3.2.23.2.2式3.2.23.2.2-lineconsolefirst-[last-numberlineclassuser-rolerole--lineconsolefirst-[last-numberlineclasssetauthenticationpassword{hash|simple}user-rolerole-配置完成后，當(dāng)用戶再次通過(guò)Console口登錄設(shè)備，鍵入回車后，設(shè)備將要求用戶輸入登錄。<H3C>ConsoleAAA認(rèn)證，以提高AAAISPlogin認(rèn)證方法。如果選擇本地認(rèn)證，請(qǐng)配置本地用戶及相關(guān)屬性；如果選擇認(rèn)證，請(qǐng)配置RADIUS、HWTACACS或LDAP方案。相關(guān)詳細(xì)介紹請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“AAA”。-lineconsolefirst-[last-numberlineclass<H3C>置過(guò)程中發(fā)生連接中斷，建議通過(guò)其它登錄方式來(lái)配置Console口屬性。使之與設(shè)備上配置的Console口屬性保持一致。否則，連接失敗。-lineconsolefirst-[last-numberlineclassspeedspeed-parity{even|mark|noneodd|spacestopbits{1|1.5|2databits{5|6|7|8escape-key{characterdefaultstopbit-errorflow-control{hardware||softwareflow-controlterminaltype{ansi|vt100缺省情況下，終端顯示類型為idle-timeoutminutes[secondsundo“3.3.1配置設(shè)備作為net服務(wù)器。缺省情況下，設(shè)備的net服務(wù)器功能處于關(guān)閉狀態(tài)，通過(guò)net方式登錄設(shè)備的認(rèn)證方式為 3.3.13.3.13.3.13.3.13.3.13.3.1- netserver linevtyfirst-[last-numberlineclassuser-rolerole-如果出現(xiàn)“Alluserinterfacesareused,pleasetrylater!”的提示，表示當(dāng)前 net到設(shè)備的- netserver linevtyfirst-number[last-numberlineclass和protocolinboundsetauthenticationpassword{|simple}user-rolerole-<H3C>3-3如果出現(xiàn)“Alluserinterfacesareused,pleasetrylater!”的提示，表示當(dāng)前 net到設(shè)備的 用戶已經(jīng)成功登錄到了設(shè)備上，并希望以后通過(guò)netAAAAAAISPlogin認(rèn)證方法。如果選擇本地認(rèn)證，請(qǐng)配置本地用戶及相關(guān)屬性；如果選擇認(rèn)證，請(qǐng)配置RADIUS、HWTACACS或LDAP方案。相關(guān)詳細(xì)介紹請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“AAA”。表3-10配置用戶通過(guò)netAAA-netserverlinevtyfirst-[last-numberlineclass并回車，登錄界面中出現(xiàn)命令行提示符（如<H3C>如圖3-4所示。如果出現(xiàn)“Alllinesareused,pleasetrylater!”的提示，表示當(dāng)前 net到設(shè)備的用戶過(guò)多，圖3-4用戶通過(guò)netAAA通過(guò)配置同時(shí)的最大用戶連接數(shù)，可以限制采用net登錄同時(shí)接入設(shè)備的用戶數(shù)。該配置對(duì)于通過(guò)任何一種認(rèn)證方式（none、passwordsheme）接入設(shè)備的用戶都生效。表3-11配置同時(shí)的最大用戶連接數(shù)- aaasession-接生效。如果當(dāng)前的用戶連接-netserverdscpdscp- 缺省情況下 netserveripv6dscpdscp-服務(wù)器發(fā) -linevtyfirst-number[last-numberlineclasssprotocolinbound{allssh net escape-key{character|defaultterminaltype{ansi|vt100缺省情況下，終端顯示類型為mandmax-sizeidle-timeoutminutes[secondsidle-timeout0表示不會(huì)超自動(dòng)執(zhí)行令如圖3-5所示。圖3-5- source{interfaceinterface-typeinterface-number|ipip-address}送net報(bào)文的源IPv4地為net報(bào)文的源地址- netremote-host[service-port] -instance-name][source{interfaceinterface-typeinterface-number|ipip-address}][dscpdscp-value]netipv6remote-host[-iinterface-typeinterface-number][port-number][ -instance-name][dscpdscp-value用戶通過(guò)一個(gè)不能保證安全的網(wǎng)絡(luò)環(huán)境登錄到設(shè)備時(shí)，SSH（SecureS，安全外殼）可以體請(qǐng)參見(jiàn)“3.4.2配置設(shè)備作為SSH具體請(qǐng)參見(jiàn)“3.4.3配置設(shè)備作為SSHConsoleSSH服務(wù)器功能、對(duì)認(rèn)證方式及其它屬性進(jìn)行相應(yīng)的配置，才能保證通過(guò)SSH方式正常登錄到設(shè)備。passwordSSH客戶端的配置方法，publickey方式的配置方法及SSH的詳細(xì)介紹，請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“SSH”。-public-keylocalcreate{dsa|rsaecdsa}[namekey-namesshserversnetauthentication-type{password|{anypassword-publickey|publickeyassignpublickeykeynamesnetauthentication-typeassignpublickeykeyname}linevtyfirst-number[last-numberlineclassprotocolinboundall|ssh|net}protocolinboundaaasession-limitsshmax---圖3-5所示。圖3-6ssh2ssh2ipv6表3-17CLIdisydisyusersdisyline[num1|{|vty}num2][summary dis line{num1|{consolevty}num2員在設(shè)備時(shí)，其它用戶的配置影響到管send{all|num1|{consolevty}num2使用SNMP協(xié)議，用戶可通過(guò)NMS（NetworkManagementSystem，網(wǎng)絡(luò)管理系統(tǒng)）登錄到設(shè)備

and SSnseMP1、vc和3三種版本，只有S和t使用的SNMP版本相同，S才能和t建立連接。請(qǐng)根據(jù)使用的SNMP版本見(jiàn)表1或表S于。表4-1SNMP基本參數(shù)（SNMPv3版本-snmp-agentmib-view{excluded|included}view-nameoid-tree[maskmask-value]視圖一包含MIB視圖二不包含snmp-agentgroupv3group-[authentication|privacy][read-view-name][write-viewview-name[notify-viewview-name][aclacl-|aclipv6ipv6-acl-number]snmp-agentusm-userv3user-namegroup-name[remote{ip-address|ipv6ipv6-address}[-instance-instance-name]][{cipher|simpleauthentication-mode{md5|shaauth-password[privacy-mode{aes128|des56}priv-password]][aclacl-number|aclipv6ipv6-acl-number]*表4-2SNMP基本參數(shù)（SNMPv1版本、SNMPv2c版本-snmp-agentmib-view{excluded|included}view-nameoid-tree[maskmask-value]視圖一包含MIB視圖二不包含體snmp-agentcommunity{read|write}community-name[mib-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*snmp-agentgroup{v1|v2cgroup-name[read-viewview-name[write-viewview-name][notify-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*snmp-agentusm-user{v1|v2cuser-namegroup-name[acl-number|acl備，以免用戶使用net/SSH設(shè)備。用戶登錄后，可以通過(guò)AAA功能來(lái)對(duì)用戶使用令行進(jìn)行和計(jì)費(fèi)。動(dòng)作是允許還是，即配置好ACL。-netserveraclacl-netserveripv6acl[ipv6-sshserveraclacl-sshserveripv6acl[ipv6]acl-sshserveracl和ssh通過(guò)源IP 圖5-1使用ACL HostAHostAIPHostB[Sysname]aclnumber2000match-order[Sysname-acl-basic-2000]rule1permitsource2[Sysname-acl-basic-2000]rule2permitsource60[Sysname-acl-basic-2000]quit netserveracl配置好ACL。-令中ACLsnmp-agentcommunity{read|write}community-[mib-viewview-name][aclacl-number|acl根據(jù)用戶運(yùn)行組名令中snmp-agentgroup{v1|v2c}group-name[read-view-name][write-viewview-name][notify-view-name][aclacl-number|aclipv6ipv6-acl-number]令中ACLsnmp-agentgroupv3group-name[authentication|privacy][read-viewview-name][write-viewview-name][notify-viewview-name][aclacl-number|aclipv6用戶名令中snmp-agentusm-user{v1|v2c}user-namegroup-[aclacl-number|aclipv6ipv6-acl-number]名令中snmp-agentusm-userv3user-namegroup-name[{ip-address|ipv6ipv6-address} --instance-name]][{cipher|simpleauthentication-mode{md5|sha}auth-[privacy-mode{aes128|des56}priv-password]][acl-number|aclipv6ipv6-acl-number]HostAHostAIPHostB[Sysname]aclnumber2000match-order[Sysname-acl-basic-2000]rule1permitsource2[Sysname-acl-basic-2000]rule2permitsource60[Sysname-acl-basic-2000]quit[Sysname]snmp-agentcommunityreadaaaacl2000[Sysname]snmp-agentgroupv2cgroupaacl2000[Sysname]snmp-agentusm-userv2cuseragroupaacl2000缺省情況下，用戶登錄設(shè)備后可以使用令行由用戶擁有的用戶角色決定。當(dāng)用戶線采用AAA表5-4配置命令行功-line{first-[last-number1]|{consolevty}first-[last-number2]lineclass{console|vty證方式為通過(guò)用戶線視圖下，對(duì)authentication-mode和inboundcommand用戶線視圖都使能命令行功能，并且在該類型用戶線視圖下將無(wú)法禁用命令行功能入令必須先獲得HWTACACS服務(wù)器的，才能執(zhí)行。否則，不能執(zhí)行該命令。如果HWTACACS服務(wù)器故障導(dǎo)致失敗，則采用本地。圖5-3命令行配置組網(wǎng)IPDeviceHostA、DeviceHWTACACSserver之間互相路由 netserver[Device]linevty0#使能命令行功能，限制用戶只能使用成功令[Device-line-vty0-63]commandauthorization[Device-line-vty0-63]quit[Device]hwtacacsscheme[Device-hwtacacs-tac]primaryauthorization049[Device-hwtacacs-tac]keyauthenticationexpert[Device-hwtacacs-tac]keyauthorizationexpert[Device-hwtacacs-tac]user-name-formatwithout-[Device-hwtacacs-tac]quit [Device-isp-system]authenticationloginhwtacacs-schemetac[Device-isp-system]authorizationcommandhwtacacs-schemetaclocal[Device-isp-system]quit[Device]local-user[Device-luser-admin]passwordcipher123當(dāng)用戶線采用AAA認(rèn)證方式并配置命令行計(jì)費(fèi)功能后，系統(tǒng)會(huì)將用戶執(zhí)行過(guò)令記錄到HWTACACS服務(wù)器上，以便集中監(jiān)視用戶對(duì)設(shè)備的操作。命令行計(jì)費(fèi)功能生效后，如果沒(méi)有配命令行功能，則用戶執(zhí)行的每一條合法命令都會(huì)發(fā)送到HWTACACS服務(wù)器上做記錄；如果配置了命令行功能，則用戶執(zhí)行的并且成功令都會(huì)發(fā)送到HWTACACS服務(wù)器上做記錄。要使配置令行計(jì)費(fèi)功能生效，還需要在ISP域視圖下配置命令行計(jì)費(fèi)方法。命令行計(jì)費(fèi)方法、命令行方法、login用戶的方法可以相同，也可以不同。相關(guān)詳細(xì)介紹請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“AAA”。表5-5-line{first-[last-number1]|{consolevty}first-[last-number2]lineclass{console|vtycommand圖5-4192.168HostHostCHost netserver[Device]lineconsole[Device-line-console0]commandaccounting[Device-line-console0]quit[Device]linevty0[Device-line-vty0-63]commandaccounting[Device-line-vty0-63]quit[Device]hwtacacsscheme[Device-hwtacacs-tac]primaryaccounting049[Device-hwtacacs-tac]keyaccountingexpert[Device-hwtacacs-tac]user-name-formatwithout-[Device-hwtacacs-tac]quit [Device-isp-system]accountingcommandhwtacacs-schemetac[Device-isp-system]quit 1.1FTP簡(jiǎn)介 1- 1-1-1-1-1.2.4FTP服務(wù)器顯示和1-1-1-1-1-1-1-1-1.3.5FTP連接的與調(diào)試1-1-1-1.3.8FTP客戶端顯示和1-1-1- 2- 2-iASCII碼模式，用于傳輸文本格式的文件（比如后綴名為.txt、.bat和.cfg的文件。缺省情況下，F(xiàn)TP服務(wù)器傳輸模式為ASCII碼模式。（PORT后時(shí)不適用（如FTP客戶端處于私網(wǎng)內(nèi)。（ASV其端口（一般情況下大于1024）時(shí)不適用。圖1-1FTP表1-1FTP-ftpserver（可選）使用（AccessControlList，ftpserveracl{acl-numberipv6acl-number6ftptimeoutftpserverdscpdscp-發(fā)送的IPv6FTP報(bào)文的ftpserveripv6優(yōu)先級(jí)為式同時(shí)登錄設(shè)備的aaasession-limit數(shù)已經(jīng)達(dá)到最大值，則新的連接請(qǐng)求會(huì)被，登在設(shè)備在對(duì)FTP客戶端進(jìn)行認(rèn)證時(shí)，有以下兩種方式：認(rèn)證和的詳細(xì)配置請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“AAA”。ftpuserusernameftpuser-ip[ipv6]-address[portport-num]表1-3FTPdisyftp-disyftp-圖1-2FTP#在Device上添加一個(gè)本地用戶abc，并設(shè)置其認(rèn)證為123456，時(shí)使用的用戶角色network-admin，為Flash的 ，abc可以使用的服務(wù)類型為FTP[Sysname]local-userabcclassmanage[Sysname-luser-abc]passwordsimple123456如果要直接備用主控板（所在槽位號(hào)為1）Flash的根 work-directoryflash:/”配置中的“flash:/”替換成“slot1#flash:/”。[Sysname-luser-abc]service-typeftp[Sysname-luser-abc]quit[Sysname]ftpserverenable[Sysname]quitof00102-3-4-56789473664KBtotal(467080 <Sysname>delete c:\>ftpConnectedto220FTPserviceready.331Passwordrequiredforabc.230Userloggedftp>200TYPEisnowftp>getstartup.cfgback- 下ftp>200TYPEisnow8-bitftp>puttemp.bin#FTPftp>在的槽位號(hào)為1。圖1-3FTPIRFIRF(FTPIP:#在IRF上添加一個(gè)本地用戶abc，并設(shè)置其認(rèn)證為123456，時(shí)使用的用戶角色 [Sysname]local-userabcclassmanage[Sysname-luser-abc]passwordsimple123456錄，需要將“authorization-attributework-directoryflash:/”配置中的“flash:/”替換成[Sysname-luser-abc]service-typeftp[Sysname-luser-abc]quit[Sysname]ftpserverenable[Sysname]quitPC（FTP）的配c:\>ftpConnectedto220FTPserviceready.331Passwordrequiredforabc.230Userloggedftp>200TYPEisnowftp>getconfig.cfgback- ftp>200TYPEisnow8-bitbinaryftp>puttemp.binftp>FTP客戶端要FTP服務(wù)器，必須先與FTP服務(wù)器建立連接。連接的建立方式有兩種，一種是ftp命令直接建立連接；一種是在FTP客戶端視圖下使用open命令間接建立連接。使用LoopBack接口或Dailer接口）或源IP地址來(lái)實(shí)現(xiàn)。表1-4FTP連接（IPv4組網(wǎng)環(huán)境-ftpsource{interfaceinterface-typeinterface-number|ipsource-ip-address}-ftpftp-server[service-port] --instance-name][dscpdscp-value|{interface{interface-name|interface-typeinterface-number}|ipsource-ip-address}]*行openserver-address[service-port表1-5FTP連接（IPv6組網(wǎng)環(huán)境- ipv6source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}則請(qǐng)參見(jiàn)RFC3484-ftpipv6ftp-server[service-port] --instance-name][dscpdscp-value|{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}]*[-iinterface-typeinterface-number]ftpipv6ftpopenserver-address[service-portipv6命令中指定的源地址進(jìn)行通信。當(dāng)設(shè)備作為FTP客戶端，與FTP服務(wù)器成功建立連接后，在FTP服務(wù)器的下，用戶可以表1-6FTP dir[remotefile[localfile]ls[remotefile[localfile]cd{directory|..|/- --mkdir-rmdir-當(dāng)設(shè)備作為FTP客戶端，與FTP服務(wù)器成功建立連接后，在FTP服務(wù)器的下，用戶可以通過(guò)以下操作，向FTP服務(wù)器上傳或從FTP服務(wù)器文件，推薦使用以下步驟： 上傳/操作，上傳的將是該路徑下的文件，文件后也將保存到該路徑下。 dir[remotefile[localfile]ls[remotefile[localfile]delete-lcd[directory|/-putlocalfile[remotefile-getremotefile[localfile-appendlocalfile[remotefile-restartnewer-regetremotefile[localfile-rename[[newfilename]-FTP連接（FTP控；必須重新登錄才能繼續(xù)FTP服務(wù)器。表1-8userusername[password-FTPFTP服務(wù)器連接建立成功后，通過(guò)以下命令，可以幫助用戶定位和診斷FTP連接過(guò)程中出現(xiàn)的問(wèn)題。表1-9FTP連接的與調(diào)- -- rstatus---清除緩存令應(yīng)-表1-10FTP表1-11help[command-name?[command-name表1-12FTPdisy 圖1-4FTP<Sysname>ftpPressCTRL+CtoConnectedto220WFTPD2.0service(byTexasImperialSoftware)readyfornewuserUser(:(none)):abc331Givemeyourpassword,please230LoggedinsuccessfullyRemotesystemtypeisMSDOS.ftp>200TYPEisnow8-bit 下ftp>getlocal:temp.binremote:150Connectingtoport226Filesuccessfullybytesreceivedin95.399seconds(251.0 ftp>gettemp.binftp>200TYPEisnowftp>putstartup.cfgback-startup.cfgstartup.cfgremote:back-150Connectingtoport226Filesuccessfully3494bytessentin5.646seconds(618.00kbyte/s)ftp>bye221-Goodbye.Youuploaded2anddownloaded2221在的槽位號(hào)為1。圖1-5FTP<Sysname>ftpPressCTRL+CtoConnectedto220WFTPD2.0service(byTexasImperialSoftware)readyfornewuserUser(:(none)):abc331Givemeyourpassword,please230LoggedinsuccessfullyRemotesystemtypeisMSDOS.ftp>200TYPEisnow8-bit ftp>getlocal:temp.binremote:150Connectingtoport226Filesuccessfullybytesreceivedin95.399seconds(251.0將文件temp.bin從FTP服務(wù)器到全局備用主控板介質(zhì)的根下（其中一塊全局備2，槽位號(hào)為0；第三塊全局備用主控板所在設(shè)備的成員編號(hào)為2，槽位號(hào)為。ftp>gettemp.binchassis1#slot1#flash:/temp.binftp>gettemp.binchassis2#slot0#flash:/temp.binftp>gettemp.binchassis2#slot1#flash:/temp.binftp>200TYPEisnowftp>putconfig.cfgback-config.cfglocal:config.cfgremote:back-config.cfg150Connectingtoport226Filesuccessfully3494bytessentin5.646seconds(618.00kbyte/s)ftp>bye221-Goodbye.Youuploaded2anddownloaded2221TFTP（TrivialFileTransferProtocol，簡(jiǎn)單文件傳輸協(xié)議）TFTPTFTP客戶端之議比較，TFTP不需要認(rèn)證，沒(méi)有復(fù)雜的報(bào)文交互，部署簡(jiǎn)單，適用于客戶端和服務(wù)器均很可靠的圖2-1TFTP文件到設(shè)備。如果時(shí)設(shè)備上已經(jīng)存在一個(gè)和目標(biāo)文件名同名的文件，則系統(tǒng)會(huì)先將設(shè)備上已有的文件刪除，再保存遠(yuǎn)端文件。如果失敗（如網(wǎng)絡(luò)斷開(kāi)等原因，則原文件已被刪除，無(wú)法恢復(fù)。因此，當(dāng)啟動(dòng)文件或配置文件等重要文件時(shí)，建議使用一個(gè)當(dāng)前下不存在的文件名作表2-1IPv4TFTP-使用ACL限制設(shè)備可哪tftp-serveraclacl- source{interfacesource-ip-address}-tftptftp-server{get|put|sget}[-instance-instance-name][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipsource-ip-address}]*使用tftpsource命令指定了源地址后，又表2-2IPv6TFTP-tftp-serveripv6aclacl-interface-number|ipv6source-ip-address}動(dòng)選擇IPv6TFTP報(bào)文的源IPv6地址，具體選擇原則請(qǐng)參見(jiàn)RFC3484-tftpipv6tftp-server[-iinterface-typeinterface-number]{get|put|sget}[-instance-instance-name][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6source-ipv6-address}]*使用tftpipv6source命令指定 1-1.2文件操作 1- 1- 1-1.2.3重命名文件 1- 1-1-1-1-1-i1文件系統(tǒng)管理1.1文件系統(tǒng)1-1.1.2介質(zhì)名1-·1-1.2.91-1.3文件夾操作1-·1-1-1-1.3.41-1.3.51-1.4介質(zhì)操作1-1.4.1恢復(fù)介質(zhì)的空間1-1.4.2格式化介質(zhì)·1-1-1.4.4CF卡分區(qū) 1-1-述。有關(guān)FIPS模式的詳細(xì)介紹請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“FIPS”。介質(zhì)名遵循以下規(guī)則：如flash、cfa0等。如果設(shè)備上支持多個(gè)同一類型的介質(zhì)，則介質(zhì)的物理設(shè)備名稱由介質(zhì)類型加該分區(qū)的序號(hào)使用數(shù)字（0、1、2等）CF卡的設(shè)備上，CF1個(gè)cfa0，CF2cfa1CF卡的設(shè)備上，第二個(gè)名稱后加0，如cfa0。件名不區(qū)分大小寫。否則，系統(tǒng)會(huì)提示錯(cuò)誤信息“Thefileordirectorydoesn'texist.”。表1-1設(shè)備文件名參數(shù)輸入規(guī)則（分布式設(shè)備－獨(dú)立運(yùn)行模式 test/a.cfg表示當(dāng)前路徑下test文件夾下的a.cfg文件subtest子文件夾下的a.cfg flash:/test/a.cfg表示主用主控板上Flash根 下test文件夾下的a.cfg1）Flash根下的a.cfg表1-2設(shè)備文件名參數(shù)輸入規(guī)則（分布式設(shè)備－IRF模式 a.cfg表示主設(shè)備主用主控板上的a.cfg文件a.cfg表示主設(shè)備的備用主控板或者從設(shè)備上的a.cfg文件test/a.cfg表示當(dāng)前路徑下test文件夾下的a.cfg文件subtest子文件夾下的a.cfg某塊介質(zhì)上的文件。drive表示介質(zhì)的名稱，主設(shè)備主用主控板上的介disyirf命令查看設(shè)備與成員編號(hào)的對(duì)上Flash根 下test文件夾下的a.cfg文件chassis2#slot5#flash:/a.cfg表示全局5）Flash根下的a.cfg作。否則，可能會(huì)引起文件系統(tǒng)的損壞。（分布式設(shè)備－IRF模式）件、恢復(fù)刪除的文件、徹底刪除回收站中的文件、計(jì)算文件。創(chuàng)建文件可以通過(guò)拷貝、操作或save命令來(lái)輔助完成。操作的詳細(xì)介紹請(qǐng)參見(jiàn)“基礎(chǔ)配表1-3dir[/all][file-url|/all-filesystems表1-4morefile-表1-5表1-6 -instance-name][sourceinterface-typeinterface-number表1-7movefileurl-sourcefileurl-表1-8壓縮/gzipgunzip用r