路由器基本知识及应用实例(DOC格式)-第18部分

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


*　命令分级保护，不同级别的用户只能执行相应级别的命令。
*　通过本地、password、AAA三种验证方式，确保未授权用户无法侵入路由器，保证系统的安全。
*　用户可以随时键入“？”而获得在线帮助。
*　提供网络测试命令，如tracert、ping等，迅速诊断网络是否正常。
*　提供种类丰富、内容详尽的调试信息，帮助诊断网络故障。
*　用telnet命令直接登录并管理其它路由器。
*　提供FTP服务，方便用户上载、下载文件。
*　提供类似DosKey的功能，可以执行某条历史命令。
*　命令行解释器提供不完全匹配和上下文关联等多种智能命令解析方法，最大可能地方便用户的输入。
4。2。2。2　　命令的级别
系统命令采用分级保护方式，命令被划分为参观级、监控级、配置级、管理级4个级别，简介如下：
*　参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、RLogin）等，该级别命令不允许进行配置文件保存的操作。
*　监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。
*　配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。
*　管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、XModem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、命令级别设置命令、系统内部参数设置命令等。
系统对登录用户也划分为4级，分别与命令级别对应，即不同级别的用户登录后，只能使用等于或低于自己级别的命令。
为了防止未授权用户的非法侵入，在用户登录路由器时，要进行用户身份验证。在从低级别用户切换到高级别用户时，也要进行用户身份验证，即需要输入高级别用户口令（如果使用命令super　password　＇　level　user…level　＇　｛　simple　｜　cipher　｝　password设置了用户的口令）。为了保密，用户键入的口令不在屏幕上显示，如果三次以内输入正确的口令，则切换到高级别用户，否则保持原用户级别不变。
4。2。2。3　　命令视图
系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。
各命令视图是针对不同的配置要求实现的，它们之间有联系又有区别。比如，从Console口登录到路由器，即进入用户视图。在用户视图下，只能完成查看运行状态和统计信息的简单功能。在用户视图下，键入命令system…view进入系统视图。在系统视图下，可以键入进行系统配置，也可以输入命令进入相应的视图（例如路由协议视图、接口视图等）。
命令行提供如下命令视图：
*　用户视图
*　系统视图
*　接口视图，包括快速以太网接口视图、千兆以太网接口（GE）视图、ATM接口视图、POS接口视图、CPOS接口视图、Loopback接口视图等。
*　PVC视图等
*　用户界面视图
*　路由协议视图，包括OSPF协议视图、RIP协议视图、BGP协议视图、IS…IS协议视图等。
*　路由策略视图
*　……
命令视图还有一定的层次。从用户视图到系统视图，从系统视图到OSPF视图，在从OSPF视图到OSPF区域视图，层次逐步深入。
各命令视图的功能特性、进入各视图的命令等的细则如下表所示：
命令视图功能特性列表
命令视图
功能
提示符
进入命令
退出命令
用户视图
查看路由器的简单运行状态和统计信息

与路由器建立连接即进入
quit断开与路由器连接
系统视图
配置系统参数
＇Quidway＇
在用户视图下键入system…view
quit返回用户视图
以太网口视图
配置以太网口参数
＇Quidway…Ethernet1/0/0＇
在系统视图下键入interface　ethernet　1/0/0
quit返回系统视图
千兆以太网接口视图
配置千兆以太网接口参数
＇Quidway…GigabitEthernet6/1/0＇
在系统视图下键入interface　gigabitethernet　6/1/0
quit返回系统视图
POS接口视图
配置POS接口参数
＇Quidway…Pos3/0/0＇
在系统视图下键入interface　pos　3/0/0
quit返回系统视图
ATM接口视图
配置ATM接口参数
＇Quidway…Atm2/0/0＇
在系统视图下键入interface　atm　2/0/0
quit返回系统视图
AUX口视图
配置AUX口参数
＇Quidway…aux0/0/1＇
在系统视图下键入Interface　aux　0/0/1
quit返回系统视图
Loopback接口视图
配置Loopback接口参数
＇Quidway…Loopback2＇
在系统视图下键入interface　loopback　2
quit返回系统视图
PVC视图
配置PVC参数
＇Quidway…pvc…Atm1/0/0…1/32＇
在ATM接口视图下键入pvc　1/32
quit返回ATM接口视图
用户界面视图
管理路由器异步和逻辑接口
＇Quidway…ui0＇
在系统视图下键入user…interface　0
quit返回系统视图
RIP协议视图
配置RIP协议参数
＇Quidway…rip＇
在系统视图下键入rip
quit返回系统视图
OSPF协议视图
配置OSPF协议参数
＇Quidway…ospf＇
在系统视图下键入ospf
quit返回系统视图
IS…IS协议视图
配置IS…IS协议参数
＇Quidway…isis＇
在系统视图下键入isis
quit返回系统视图
BGP协议视图
配置BGP协议参数
＇Quidway…bgp＇
在系统视图下键入bgp
quit返回系统视图
route…policy视图
配置route…policy
＇Quidway…route…policy＇
在系统视图下键入route…policy　test　node　permit　10
quit返回系统视图

视图关系说明如下图所示：

视图之间关系

4。2。3　　NE80核心路由器的最基本配置
4。2。3。1　　进入和退出系统视图
在从Console口登录到路由器后，即进入用户视图，此时屏幕显示的提示符是：。进入和退出系统视图，可以使用如下的操作。
进入和退出系统视图
操作
命令
从用户视图进入系统视图
system…view
从系统视图返回到用户视图
quit
从任意的非用户视图返回到用户视图
return

命令quit的功能是返回上一层视图，在用户视图下执行quit命令就会退出系统。return命令的功能也可以用组合键完成。
4。2。3。2　　设置路由器名
路由器名出现在命令提示符中，用户可以根据需要更改路由器名。
请在系统视图下进行下面的操作。
设置路由器名
操作
命令
设置路由器名
sysname　sysname

4。2。3。3　　设置系统时钟
为了保证与其他设备协调工作，需要准确设置系统的时间。NE80核心路由器支持时区和夏时制的设置。
请在用户视图下进行下面的操作。
设置系统时钟
操作
命令
设置UTC标准时间
clock　datetime　HH：MM：SS　YYYY/MM/DD
设置所在的时区
clock　timezone　time…zone…name　｛　add　｜　minus　｝　offset
取消时区设置
undo　clock　timezone
设置采用夏时制
clock　summer…time　summer…time…zone…name　｛　one…off　｜　repeating　｝　start…time　end…time　add…time　
取消夏时制
undo　clock　summer…time

4。2。3。4　　设置标题文本
标题文本是用户在连接到路由器、进行登录验证以及开始交互配置时系统显示的一段提示信息。
请在系统视图下进行下面的操作。
设置标题文本
操作
命令
设置进入终端用户界面时的标题文本
header　ining　ining…text
设置登录验证时的标题文本
header　login　login…text
设置开始配置时的标题文本
header　shell　shell…text
取消设置的标题文本
undo　header　｛　ining　｜　login　｜　shell　｝

4。2。3。5　　配置切换用户级别的口令
如果用户以较低级别的身份登录到路由器后，需要切换到较高级别的用户身份上进行操作，需要输入用户级别的口令。该口令需要事先配置。
请在系统视图下进行如下操作。
配置切换用户级别的口令
操作
命令
配置切换用户级别的口令
super　password　＇　level　user…level　＇　｛　simple　｜　cipher　｝　password
取消配置的口令
undo　super　password　＇　level　user…level　＇

4。2。3。6　　切换用户级别
要从较低级别用户切换到较高级别的用户，需要输入正确的口令。
请在用户视图下进行如下操作。
切换用户级别
操作
命令
切换用户级别
super　＇　level　＇

4。2。3。7　　锁定用户界面
在用户需要暂时离开操作终端时，为防止未授权的用户操作该终端界面，可以锁定用户界面，锁定用户界面时，需要输入口令并确认口令。在解除锁定时，只有输入正确的口令才能操作用户界面。
请在用户视图下进行下列操作。
锁定用户界面
操作
命令
锁定用户界面
lock

4。2。3。8　　设置命令级别
所有命令分为参观、监控、配置、管理4个级别，标识为0～3。系统管理员可以根据需要指定命令的级别及其所在视图。
请在系统视图下进行下列配置。
命令优先级的设置
操作
命令
设置视图中命令的优先级
mand…privilege　level　level　view　view　mand…key
恢复命令的缺省优先级
undo　mand…privilege　view　view　mand…key

4。2。3。9　　显示系统状态信息
利用display命令可以收集系统状态信息，根据功能可以划分为以下几类：
*　显示系统配置信息的命令
*　显示系统运行状态的命令
*　显示系统统计信息的命令
有关各协议和各种接口的display命令请参见相关章节。下面只介绍一些有关系统的display命令。
请在所有视图下进行下列操作。
显示系统状态信息
操作
命令
显示系统版本
display　version　＇　slot…id　＇
显示系统时钟
display　clock
显示终端用户
display　users　＇　all　＇
显示起始配置信息
display　saved…configuration
显示当前配置信息
display　current…configuration
显示调试开关状态
display　debugging　＇　interface　｛　interface…type　interface…number　｜　interface…name　｝　＇　＇　module…name　＇
显示技术支持信息
display　diagnostic…information
显示设备基本信息
display　device　＇　pic…status　｜　slot…id　＇
显示设备的自检信息
display　selftest　＇　slot…id　＇
显示设备的环境信息
display　environment

在系统出现故障或日常维护时，为了便于问题定位，需要收集很多的信息，但相应的display命令很多，很难一次把信息收集全，这时可以使用display　diagnostic…information命令进行系统当前各个模块的运行信息收集。
display　diagnostic…information命令一次性收集了配置如下命令后终端显示的信息，包括：display　clock、display　version、display　cpu、display　interface、display　current…configuration、display　saved…configuration、display　history…mand等等。
4。3　　系统配置
4。3。1　　安全配置
4。3。1。1　　AAA及RADIUS协议介绍
4。3。1。1。1　　AAA的功能
AAA是Authentication（验证）、Authorization（授权）和Accounting（计费）的简称。它提供对用户进行验证、授权和计费三种安全功能。具体如下：
*　验证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。
*　授权（Authorization）：授权用户可以使用哪些服务。
*　计费（Accounting）：记录用户使用网络资源的情况。
AAA一般采用客户/服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。
4。3。1。1。2　　RADIUS协议
AAA可以用多种协议来实现，但最常用的是RADIUS协议。RADIUS是Remote　Authentication　Dial　In　User　Service的简称，最初用来管理使用串口和调制解调器的大量分散用户，后来广泛应用于网络接入服务器NAS（Network　Access　Server）系统。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息。
RADIUS使用UDP作为传输协议，具有良好的实时性；同时也支持重传机制和多服务器机制，从而有较好的可靠性。
4。3。1。2　　NE80路由器的AAA特性
在NE80路由器中，主要应用AAA来实现对本地用户和PPP用户的管理。同时，PPP协议仅限于POS等高速接口，PPP用户数据较少，因此一般不用RADIUS服务器，而只采用本地认证。
4。3。1。3　　AAA及RADIUS配置
AAA和RADIUS的一般配置过程如下：首先使能AAA功能，并配置Login/PPP用户的验证方案，以确定用户的验证顺序；然后配置RADIUS服务器的参数和用户属性。具体配置包括：
*　使能AAA
*　配置AAA的Login验证方案
*　配置AAA的PPP验证方案
*　配置AAA的本地优先验证
*　配置PPP用户的IP地址
*　配置RADIUS　Server
*　配置用户属性
使能AAA
只有使用了使能AAA后，才能用AAA所提供的各种命令来对其进行配置。
请在系统视图下进行下列配置。
使能或禁止AAA
操作
命令
使能AAA
aaa　enable
禁止AAA
undo　aaa　enable

缺省为禁止AAA。
配置AAA的Login验证方案
这里的Login服务是指通过各种终端服务方式（如Console口、Aux口等）进入到路由器对路由器进行配置的操作。
请在系统视图下进行下列配置。
AAA的Login验证方案配置
操作
命令
配置AAA的Login验证方案
aaa　authentication…scheme　login　｛　default　｜　scheme…name　｝　＇　method1　＇　＇　method2　＇
取消AAA的Login验证方案或恢复缺省方案的缺省方法
undo　aaa　authentication…scheme　login　｛　default　｜　scheme…name　｝
Login用户包括使用Telnet和超级终端登录到路由器进行配置操作的用户。对这