VRP基础

VRP(Versatile Routing Platform )是华为公司具有完全自主知识产权的网络操作系统,是华为公司数据通信产品的通用操作系统平台。可以运行在多种硬件平台之上。VRP拥有一致的网络界面、用户界面和管理界面,为用户提供了灵活丰富的应用解决方案。VRP平台以TCP/IP协议簇为核心,实现了数据链路层、网络层和应用层的多种协议,在操作系统中集成了路由交换技术、QoS技术、安全技术和IP语音技术等数据通信功能,并以IP转发引擎技术作为基础,为网络设备提供了出色的数据转发能力。能对VRP熟练地进行配置和操作是对网络工程师的一种基本要求。

img

随着网络技术和应用的飞速发展,VRP平台在处理机制、业务能力、产品支持等方面也在持续演进。到目前为止,VRP已经开发出了5个版本,分别是VRP1、VRP2、VRP3、

VRP5和VRP8。VRP5是一款分布式网络操作系统,具有高可靠性、高性能、可扩展的架构设计。目前,绝大多数华为设备使用的都是VRP5版本。VRP8是新一代网络操作系统,具有分布式、多进程、组件化架构,支持分布式应用和虚拟化技术,能够适应未来的硬件发展趋势和企业急剧膨胀的业务需求。

AR系列企业路由器有多个型号,包括AR150、AR200、AR1200、AR2200、

AR3200。它们是华为第三代路由器产品,提供路由、交换、无线、语音和安全等功能。AR 路由器被部署在企业网络和公网之间,作为两个网络间传输数据的入口和出口。在AR路由器上部署多种业务能降低企业的网络建设成本和运维成本。根据一个企业的用户数和业务的复杂程度可以选择不同型号的AR路由器来部署到网络中。

华为X7系列以太网交换机提供数据交换的功能,满足企业网络上多业务的可靠接入和高质量传输的需求。这个系列的交换机定位于企业网络的接入层、汇聚层和核心层,提供大

容量交换,高密度端口,实现高效的报文转发。X7系列以太网交换机包括了S1700、

S2700、S3700、S5700、S7700、S9700等。

ARG3系列路由器和X7系列交换机都提供了Console口作为管理口,AR2200额外提供了Mini USB口作为管理口。

img

使用Console线缆来连接交换机或路由器的Console口与计算机的COM口,这样就可以通过计算机实现本地调试和维护。S5720和AR2200E的Console口是一种符合RS232串口标准的RJ45接口。目前大多数台式电脑提供的COM口都可以与Console口连接。笔记本电脑一般不提供COM口,需要使用USB到RS232的转换接口。

img

很多终端模拟程序都能发起Console连接,例如,可以使用超级终端程序连接到VRP操作系统,使用超级终端连接VRP时,必须设置端口参数。下图是端口参数设置的示例,如果对参数值做了修改,需要恢复默认参数值。完成设置以后,点击“确定”按钮即可与VRP建立连接。在缺少超级终端程序的计算机上,可以使用putty或Secure CRT程序发起Console 连接,并连接到VRP,配置参数也需要恢复到默认参数。

img

华为AR2200系列路由器还支持通过Mini USB口与主机USB口建立连接,实现对设备的调试和维护。在管理设备时,Console接口和Mini USB接口互斥,即同一时刻只能使用其中的1个接口连接到VRP。

在使用Mini USB口建立连接前,需要在主机上安装驱动程序。您可以从华为企业官方支持网站下载到所需驱动程序。目前,Mini USB的驱动程序只能安装在Windows XP、

Windows Vista和Windows 7操作系统上。安装驱动程序后,主机上会增加一个新的虚拟

COM接口,终端模拟软件可以通过该虚拟COM接口连接到VRP。

有些设备是带有web管理界面的,可以通过Web网管首次登录设备:

1、 使用网线将计算机与交换机的任意以太网口相连

2、 设备上电启动完成后(SYS指示灯绿色慢闪),且空配置状态下,长按“MODE”按钮6s以上松开,当交换机所有的模式灯变为绿色常亮时,交换机进入初始设置模式。进入初始设置模式后,系统默认将交换机的IP地址配置为192.168.1.253/24,同时将默认的admin用户级别配置为15级。

3、 将计算机的IP地址配置成与交换机默认的IP地址在同一网段。

4、 在计算机上打开浏览器,在地址栏中输入https://192.168.1.253,按回车键后将显示Web网管登录界面,输入缺省用户名admin和缺省密码admin@huawei.com,并选择

Web网管系统的语言。单击“GO”或直接按回车键。

img

当登录设备成功后,可以配置通过Telnet或者STelnet登录设备。

VRP命令操作视图及帮助

熟悉VRP命令行并且熟练掌握VRP配置是高效管理华为网络设备的必备基础。

管理员和工程师如果要访问在通用路由平台VRP上运行的华为产品,首先要进入启动程序。开机界面信息提供了系统启动的运行程序和正在运行的VRP版本及其加载路径。启动完成以后,系统提示目前正在运行的是自动配置模式。用户可以选择是继续使用自动配置模式或是进入手动配置的模式。如果选择手动配置模式,在提示符处输入Y。在没有特别要求的情况下,我们选择手动配置模式。

img

VRP分层的命令结构定义了很多命令行视图,每条命令只能在特定的视图中执行。本例介绍了常见的命令行视图。每个命令都注册在一个或多个命令视图下,用户只有先进入这个命令所在的视图,才能运行相应的命令。进入到VRP系统的配置界面后,VRP上最先出现的视图是用户视图。在该视图下,用户可以查看设备的运行状态和统计信息。若要修改系统参数,用户必须进入系统视图。用户还可以通过系统视图进入其他的功能配置视图,如接口视图和协议视图。通过提示符可以判断当前所处的视图,例如:“< >”表示用户视图,“[

]”表示除用户视图以外的其它视图。

img

为了简化操作,系统提供了快捷键,使用户能够快速执行操作。

img

若命令字的前几个字母是独一无二的,系统可以在输完该命令的前几个字母后自动将命令补充完整。如用户只需输入inter并按Tab键,系统自动将命令补充为interface。若命令字并非独一无二的,按Tab键后将显示所有可能的命令。如输入in并按Tab键,系统会按顺序显示以下命令: info-center,interface。

VRP提供两种帮助功能,分别是部分帮助和完全帮助。

部分帮助指的是,当用户输入命令时,如果只记得此命令关键字的开头一个或几个字符,可以使用命令行的部分帮助获取以该字符串开头的所有关键字的提示,如本例中所示。

完全帮助指的是,在任一命令视图下,用户可以键入“?”获取该命令视图下所有的命令及其简单描述;如果键入一条命令关键字,后接以空格分隔的“?”,如果该位置为关键字,则列出全部关键字及其描述。

img

VRP基本管理命令

1、 配置设备名称

system-view

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname cisco-caiwu-R1

[cisco-caiwu-R1]

2、 配置时区

clock timezone BJ add 08:00:00

3、 配置系统时间

clock datetime 17:06:00 2019-04-04

display clock

2019-04-04 17:06:02

Thursday

Time Zone(BJ) : UTC+08:00

4、 配置在用户登录前显示的标题信息

[cisco-caiwu-R1]header login information “welcome to shengzhe company”

​ 配置在用户登录后显示的标题信息

[cisco-caiwu-R1]header shell information “please don’t reboot the device!”

测试:

img

5、 系统将命令进行分级管理,以增加设备的安全性。设备管理员可以设置用户级别,一定级别的用户可以使用对应级别的命令行。缺省情况下命令级别分为0~3级,用户级别分为0 ~15级。用户0级为访问级别,对应网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)、部分display命令等。用户1级为监控级别,对应命令级0、1级,包括用于系统维护的命令以及display等命令。用户2级是配置级别,包括向用户提供直接网络服务,包括路由、各个网络层次的命令。用户3-15级是管理级别,对应命令3级,该级别主要是用于系统运行的命令,对业务提供支撑作用,包括文件系统、FTP、 TFTP下载、文件交换配置、电源供应控制,备份板控制、用户管理、命令级别设置、系统内部参数设置以及用于业务故障诊断的debugging命令。本例展示了如何修改命令级别,在用户视图下执行save命令需要3级的权限。

在具体使用中,如果我们有多个管理员帐号,但只允许某一个管理员保存系统配置,则可以将save命令的级别提高到4级,并定义只有该管理员有4级权限。这样,在不影响其他用户的情况下,可以实现对命令的使用控制。

img

6、 每类用户界面都有对应的用户界面视图。用户界面(User-interface)视图是系统提供的一种命令行视图,用来配置和管理所有工作在异步交互方式下的物理接口和逻辑接口,从而达到统一管理各种用户界面的目的。在连接到设备前,用户要设置用户界面参数。系统支持的用户界面包括Console用户界面和VTY用户界面。控制口(Console Port)是一种通信

串行端口,由设备的主控板提供。虚拟类型终端(Virtual Type Terminal)是一种虚拟线路端口,用户通过终端与设备建立Telnet或SSH连接后,也就建立了一条VTY,即用户可以

通过VTY方式登录设备。设备一般 多支持 15个用户同时通过 VTY方式访问。执行

userinterface maximum-vty number 命令可以配置同时登录到设备的VTY类型用户界面的 大个数。如果将 大登录用户数设为0,则任何用户都不能通过Telnet或者SSH登录到路由器。display user-interface 命令用来查看用户界面信息。

不同的设备,或使用不同版本的VRP软件系统,具体可以被使用的VTY接口的 大数量可能不同。

img

用户可以设置Console界面和VTY界面的属性,以提高系统安全性。如果一个连接上设备的用户一直处于空闲状态而不断开,可能会给系统带来很大风险,所以在等待一个超时时间后,系统会自动中断连接。这个闲置切断时间又称超时时间,默认为10分钟。

当display命令输出的信息超过一页时,系统会对输出内容进行分页,使用空格键切换下一页。如果一页输出的信息过少或过多时,用户可以执行screen-length命令修改信息输出时一页的行数。默认行数为24, 大支持512行。不建议将行数设置为0,因为那样将不会显示任何输出内容了。

每条命令执行过后,执行的记录都保存在历史命令缓存区。用户可以利用(↑),(↓),

CTRL+P,Ctrl+N这些快捷键调用这些命令。历史命令缓存区中默认能存储10条命令,可以通过运行history-command max-size改变可存储的命令数, 多可存储256条。

img

如果没有权限限制,未授权的用户就可以使用设备获取信息并更改配置。从设备安全的角度考虑,限制用户的访问和操作权限是很有必要的。用户权限和用户认证是提升终端安全的两种方式。用户权限要求规定用户的级别,一定级别的用户只能执行特定级别的命令。

配置用户界面的用户认证方式后,用户登录设备时,需要输入密码进行认证,这样就限制了用户访问设备的权限。在通过VTY进行Telnet连接时,所有接入设备的用户都必须要经过认证。

设备提供三种认证模式,AAA模式、密码认证模式和不认证模式。AAA认证模式具有很高的安全性,因为登录时必须输入用户名和密码。密码认证只需要输入登录密码即可,所以所有的用户使用的都是同一个密码。使用不认证模式就是不需要对用户认证直接登陆到设备。

需要注意的是,Console界面默认使用不认证模式。

对于Telnet登录用户,授权是非常必要的, 好设置用户名、密码和指定和帐号相关联的权限。

img

7、要在接口运行IP服务,必须为接口配置一个IP地址。一个接口一般只需要一个IP地址。在特殊情况下,也有可能为接口配置一个次要IP地址。例如,当路由器AR2200E的接口连接到一个物理网络时,该物理网络中的主机属于两个网段。为了让两个网段的主机都可以通过路由器AR2200E访问其它网络,可以配置一个主IP地址和一个次要IP地址。一个接口只能有一个主IP地址,如果接口配置了新的主IP地址,那么新的主IP地址就替代了原来的主IP地址。

用户可以利用ip address { mask | mask-length } 命令为接口配置IP地址,这个命令中,mask代表的是32比特的子网掩码,如255.255.255.0,mask-length 代表的是可替换的掩码长度值,如24,这两者可以交换使用。

Loopback接口是一个逻辑接口,可用来虚拟一个网络或者一个IP主机。在运行多种协议的时候,由于Loopback接口稳定可靠,所以也可以用来做管理接口。

在给物理接口配置IP地址时,需要关注该接口的物理状态。默认情况下,华为路由器和交换机的接口状态为up;如果该接口曾被手动关闭,则在配置完IP地址后,应使用undo shutdown打开该接口。

[cisco-caiwu-R1]interface GigabitEthernet 0/0/0

[cisco-caiwu-R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24

[cisco-caiwu-R1-GigabitEthernet0/0/0]ip address 192.168.2.1 24 sub

[cisco-caiwu-R1-GigabitEthernet0/0/0]dis this

[V200R003C00]

interface GigabitEthernet0/0/0 ip address 192.168.1.1 255.255.255.0

ip address 192.168.2.1 255.255.255.0 sub

return

[cisco-caiwu-R1-GigabitEthernet0/0/0]

配置静态路由

静态路由是指由管理员手动配置和维护的路由。静态路由配置简单,并且无需像动态路由那样占用路由器的CPU资源来计算和分析路由更新。静态路由的缺点在于,当网络拓扑发生变化时,静态路由不会自动适应拓扑改变,而是需要管理员手动进行调整。

静态路由一般适用于结构简单的网络。在复杂网络环境中,一般会使用动态路由协议来生成动态路由。不过,即使是在复杂网络环境中,合理地配置一些静态路由也可以改进网络的性能。

静态路由配置命令:

ip route-static ip-address { mask | mask-length } interface-type interfacenumber [ nexthop-address ]

参数ipaddress指定了一个网络或者主机的目的地址,

参数mask指定了一个子网掩码或者前缀长度。如果使用了广播接口如以太网接口作为出接口,则必须要指定下一跳地址;如果使用了串口作为出接口,则可以通过参数

interface-type和interface-number(如Serial 1/0/0)来配置出接口,此时不必指定下一跳地址。

img

静态路由可以应用在串行网络或以太网中,但静态路由在这两种网络中的配置有所不同。在串行网络中配置静态路由时,可以只指定下一跳地址或只指定出接口。华为ARG3系列路由器中,串行接口默认封装PPP协议,对于这种类型的接口,静态路由的下一跳地址就是与接口相连的对端接口的地址,所以在串行网络中配置静态路由时可以只配置出接口。以太网是广播类型网络,和串行网络情况不同。在以太网中配置静态路由,必须指定下一跳地址。

当源网络和目的网络之间存在多条链路时,可以通过等价路由来实现流量负载分担。这些等价路由具有相同的目的网络和掩码、优先级和度量值。

img

在配置完静态路由之后,可以使用display ip routing-table命令来验证配置结果。

在配置多条静态路由时,可以修改静态路由的优先级,使一条静态路由的优先级高于其他静态路由,从而实现静态路由的备份,也叫浮动静态路由。RTB上配置了两条静态路由。

正常情况下,这两条静态路由是等价的。通过配置preference 100,使第二条静态路由的优先级要低于第一条(值越大优先级越低)。路由器只把优先级最高的静态路由加入到路由表中。当加入到路由表中的静态路由出现故障时,优先级低的静态路由才会加入到路由表并承担数据转发业务。

img

当路由表中没有与报文的目的地址匹配的表项时,设备可以选择缺省路由作为报文的转发路径。在路由表中,缺省路由的目的网络地址为0.0.0.0,掩码也为0.0.0.0。缺省静态路由的默认优先级也是60。在路由选择过程中,缺省路由会被最后匹配。缺省路由也称为默认路由。默认路由一般用于末梢网络中,也就是只有一个出口的网络中。

img