所选语种没有对应资源,请选择:
菜单
技术支持 文档中心
NE40E-M2K V800R011C10 配置指南 - 系统管理 02
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
升级维护

升级维护

当设备需要增加新特性、优化原有性能或设备旧的资源文件(包括系统软件、GTL等)不符合当前工作需求时,可以通过软件升级、补丁安装或更新GTL来实现对设备的升级,请根据实际需要进行选择。

升级维护概述

升级维护可以实现单台设备的升级操作,通过设备系统软件、补丁文件与GTL文件的升级维护,有效提高设备的可靠性。

当设备当前软件性能已不能满足用户需求时,可通过系统软件升级、安装补丁文件或更新GTL文件对设备进行升级维护,从而保证设备在网络中的正常运行。这三种方式的区别与联系如表23-1所示。
表23-1 软件升级、补丁安装与GTL更新的区别与联系

升级方式

定义

说明

软件升级

通过系统软件升级可以实现设备原有性能的优化、新性能的增加以及解决当前运行版本更新不及时的问题。
软件升级支持以下方式:

  • 下次启动生效的软件升级:重启设备后,软件生效。

系统软件后缀名为“.cc”。

补丁安装

补丁是一种与系统软件兼容的软件,用于解决系统软件的少量且急需解决的问题。通过安装补丁可以在不升级系统文件的情况下,实现对系统的升级。
补丁安装支持两种方式:

  • 安装热补丁:适用于要求长时间不间断工作的设备,在不中断业务的情况下通过安装补丁实现新需求。

  • 安装冷补丁:适用于不要求长时间不间断工作的设备,这类补丁文件安装以后重启设备才能生效。

补丁文件后缀名为“.PAT”。

GTL更新

GTL文件控制着设备所能使用的资源项与功能项,因为业务特性已经部署在设备中,只要从华为公司获得一个GTL就可以把业务打开,无须软件升级,既有业务也不受影响。

更新GTL文件后,无需重启设备,通过GTL文件打开的业务即可使用。

GTL文件后缀名为“.dat”。
进行升级维护操作前,需要注意以下事项:
  • 设备软件不同版本间存在差异,设备升级请以华为公司发布的正式升级指导书为准。
  • 打开日志功能,记录整个升级过程中所有的操作,以便出现升级失败后,进行故障的分析和定位。日志功能详见信息管理

升级维护配置注意事项

升级维护配置注意事项-M2K

配置注意事项

规避措施

影响性

系统已使用内存加上加载补丁预估使用内存后的内存使用率超过90%不允许加载补丁。

等系统内存使用率降低后再加载补丁。

补丁加载失败

系统CPU使用率超过70%不允许补丁操作。

等系统CPU使用率降小于70%再进行补丁操作。

补丁操作失败

业务配置时,不允许进行补丁操作。可能会出现补丁操作失败。

业务配置、补丁操作不要同时进行。

补丁操作失败
  • 使用license2.0,license文件类型,要求为*.dat或者*.zip;
  • license文件不可以被修改。

升级维护配置注意事项-M2K-B

配置注意事项

规避措施

影响性

系统已使用内存加上加载补丁预估使用内存后的内存使用率超过90%不允许加载补丁。

等系统内存使用率降低后再加载补丁。

补丁加载失败

系统CPU使用率超过70%不允许补丁操作。

等系统CPU使用率降小于70%再进行补丁操作。

补丁操作失败

业务配置时,不允许进行补丁操作。可能会出现补丁操作失败。

业务配置、补丁操作不要同时进行。

补丁操作失败
  • 使用license2.0,license文件类型,要求为*.dat或者*.zip;
  • license文件不可以被修改。

配置下次启动生效的软件升级

升级设备软件可以实现设备原有性能的优化、新性能的增加以及解决当前运行版本更新不及时的问题。

应用环境

当设备在运行过程中,基于用户需求可能会出现需要增加新特性、优化原有特性的情况,此时,需要对设备软件的当前运行版本进行升级,从而满足用户需求。

前置任务

在设备升级前,必须完成以下任务:

  • 成功登录到待升级的设备。

软件升级前检查

为保证设备的顺利升级,需要严格按照要求进行升级前的准备工作。

前提条件

  • 相关硬件准备。
  • 获取所需的升级软件。从华为公司正规渠道获取所要升级的新版本系统软件(*.cc)以及相应的版本配套文档。

操作步骤

  1. 在用户视图下,执行命令display version,查看设备当前运行的软件版本。
  2. 通过一系列的命令检查设备的运行状态:

    • 在用户视图下,执行命令display health,查看设备主控板内存使用率,从而保证主控板工作正常。如果内存使用率过高可能会导致升级失败,必须先减小内存使用率。

    • 执行命令display alarm information,查看设备的告警信息,保证主控板和业务板工作正常。如果在显示信息中出现告警,必须先联系技术支持工程师确认是否可以进行升级。

    • 执行命令display device,查看设备主控板和业务板工作状态,保证主控板和业务板工作正常。当Register字段显示Unregistered时,表示该槽位单板没有注册成功;当Status字段显示Abnormal时,表示该槽位运行不正常。

    • 执行命令display logfile path,记录下日志显示信息,若在升级过程中出现无法定位的问题,请联系技术支持工程师进行故障定位。

  3. 搭建FTP或TFTP环境,便于备份升级前的原资源文件和上传升级所需的新资源文件。

    通过FTP协议升级时:

    • 如果待升级设备作为客户端,PC作服务器端,用户需在自己的PC上先安装FTP Server应用程序。FTP Server应用程序由用户自己购买、安装,待升级设备不附带此软件。
    • 如果待升级设备作为服务器端(待升级设备提供FTP Server功能),PC作客户端,用户不需要安装FTP Server应用程序。缺省情况下待升级设备的FTP功能是关闭的,需要在系统视图下执行命令ftp server enable使能FTP Server功能。

    通过TFTP协议升级时,由于待升级设备只能做为客户端不能提供TFTP Server功能,因此用户必须在PC上先安装TFTP Server应用程序。

  4. 执行命令copy source-filename destination-filename备份待升级设备存储介质中的重要数据。
  5. 执行命令dir [ /all ] [ filename ]检查待升级设备存储介质中的剩余空间,保证有足够的空间存放待上传升级的软件文件及配套的文档。

上传系统软件

当系统软件版本已经增加新特性或需要对系统进行优化时,需要将设备中运行的系统软件版本升级到最新版本。升级前需要先上传系统软件。

背景信息

上传系统软件之前,请确保主用主控板和备用主控板的存储介质有足够的存储空间存放系统软件。

  • 主用主控板与备用主控板上的系统软件必须保持完全一致,否则无法完成升级。
  • 务必通过文件大小、日期的对比等来检查上传文件的正确性。

操作步骤

  1. 上传系统软件到主用主控板的存储介质中,具体操作步骤详见:文件系统管理的相关配置。
  2. 在用户视图下,执行命令copy source-filename destination-filename,复制系统软件到备用主控板的存储介质中。

指定下次启动的系统软件

通过指定设备下次启动的具体系统软件,保证设备在重启后能运行新的系统软件,从而使设备满足用户需求。

背景信息

在指定下次启动的系统软件进行软件升级时,必须保证系统中没有正在运行的补丁,否则无法顺利完成系统软件的升级操作。

在执行启动升级之前,用户可以在用户视图下执行命令upgrade rollback enable rollback-timer time-value使能版本回退功能,并同时设置设备升级过程中版本回退的超时时间。设置此时间后,如果在这个设置时间内没有用户从命令行成功连接系统并认证成功,登录到设备,则系统将会进行版本回退。

执行命令display upgrade rollback命令可以查看设备中版本回退功能的使能状态。

在启动升级之前,使用check system-software命令行进行数字签名校验,以保证所需升级的目标软件是安全可用的,该命令行执行需要3~10分钟。

操作步骤

  1. 执行命令display patch-information查看系统中是否存在状态为“Run”的补丁。
  2. (可选)在用户视图下执行命令patch delete all删除正在运行的补丁文件,直到检查系统中没有补丁在运行。

    若检查出系统中存在正在运行的补丁,执行本步操作,否则请跳过此步执行下一步操作。

  3. 在用户视图下,执行命令startup system-software system-file指定主用主控板下次启动的系统软件,参数system-file是系统软件的文件名,文件形式为*.cc
  4. 在用户视图下,执行命令startup system-software system-file slave-board指定备用主控板下次启动的系统软件,参数system-file是系统软件的文件名,文件形式为*.cc

    下次重启时,请务必确保主用主控板和备用主控板的系统软件一致,否则无法执行reboot操作。

    VS模式下,该命令仅在Admin VS支持。

    • 当系统以空配置启动时,用户设置下次配置文件前,需要先执行命令save操作。

    • 当用户需要更换带有新硬件的配置文件(device.sys)为下次启动配置文件时,需要先插入新硬件,待此硬件注册成功后,需再执行命令save操作。

    • 当前版本不支持将设备的硬件配置文件(device.sys)传到其他设备上,然后直接重启,这样会造成其他设备硬件无法成功注册。

后续处理

如果用户希望系统重启后可以加载运行新的PAF文件,并使之生效,则可以执行命令startup paf { default | file-name }指定所有主控板下次启动的PAF文件。

重启设备

配置下次启动生效的软件文件后,重启设备才能使得新的软件文件及时生效,同时也能快速验证更改操作是否正确。

操作步骤

  1. 在用户视图下,执行命令reboot,实现对设备的重新启动。

检查配置结果

配置下次启动生效的软件文件后,通过检查配置结果可以查看升级是否成功。

前提条件

已经完成配置下次启动生效的软件文件。

操作步骤

  • 在用户视图下,执行命令dir file-name,查看设备主用控板和备用主控板存储介质中包含的系统软件(*.cc)名称是否与上传的系统软件文件一致。
  • 执行命令display startup,在显示内容中查看“Startup system software”字段所对应的文件名称,是否与用户所需启动的文件名称一致。

配置不中断业务的补丁

通过为系统配置不中断业务的补丁,实现设备在不中断业务的情况下快速升级当前系统软件。

应用环境

为系统安装补丁文件可以实现对设备系统软件的动态在线升级,用户可以选择以下两种方式:
  • 配置不中断业务的补丁文件,补丁文件生效时间是执行命令后使补丁文件进入运行态而不用重启设备。
  • 配置下次启动生效的补丁文件,补丁文件生效时间是在设备重启之后,详见配置下次启动生效的补丁

该特性仅在Admin-VS支持,但对所有VS都生效。

前置任务

配置不中断业务的补丁之前,需要完成以下任务:
  • 成功登录到设备。

加载补丁

上传补丁文件到设备的存储介质中,然后加载补丁文件到内存补丁区。

背景信息

系统刚启动成功后,会进行内部恢复处理,此时进行补丁加载和卸载操作可能会失败。可执行display current-configuration命令,在通过该命令能够查看到配置信息后,说明设备内部恢复处理已结束,此时再进行补丁加载和卸载操作。

用户在进行补丁加载之前,可以执行set patch cpu-usage threshold命令,配置补丁CPU过载阈值。配置了该阈值之后,系统加载补丁时,会根据单板的CPU占用率实时释放CPU资源。

操作步骤

  1. 在用户视图下,执行命令patch load file-name all run,完成对补丁包文件的加载。

    加载补丁时,系统会检验补丁版本和系统软件版本是否一致,如果不一致将会提示补丁加载失败。

    对于非增量补丁包,如果系统中当前存在正在运行的补丁包文件,系统会提示加载失败,需要执行命令patch delete all,删除系统中正在运行的补丁包文件。

后续处理

若补丁加载后,出现异常需要进行补丁包文件的删除,可以执行命令patch delete all,删除系统中的补丁文件。

检查配置结果

检查为系统安装补丁工作是否顺利完成。

操作步骤

  • 在用户视图下,执行命令dir file-name,查看主用主控板与备用主控板的文件信息中是否包含用户已经上传的补丁文件(*.PAT)。
  • 执行命令display patch-information,查看安装的补丁文件状态是否已经是运行态。
  • 执行命令display startup,查看下次启动的补丁文件是否正确。

配置下次启动生效的补丁

通过配置下次启动生效的补丁,实现对新需求的增加,从而使设备性能更优化。

应用环境

当需要完善系统特性的功能或增加小型新需求时,可以通过对系统进行安装补丁来实现,用户可以选择以下两种方式:
  • 立即安装补丁文件,补丁文件在执行命令后进入运行态,过程中不用重启设备,详见配置不中断业务的补丁
  • 指定下次启动的补丁文件,补丁文件生效时间是在设备重启之后。

该特性仅在Admin-VS支持,但对所有VS都生效。

前置任务

在配置下次启动生效的补丁之前,需要完成以下任务:
  • 成功登录到设备。

指定下次启动的补丁文件

用户在上传补丁文件到存储介质后,如果不需要立即生效,可通过指定下次启动的补丁文件使补丁文件在设备重启后生效,实现对系统软件的优化。

操作步骤

  1. 在用户视图下,执行命令startup patch file-name,为所有主控板指定下次启动的补丁文件,文件格式为*.pat。

后续处理

若指定下次启动的补丁包文件后,希望取消该文件在下次启动后生效,可以执行命令reset patch-configure命令清除设备重启后系统启用的补丁包文件。

重启设备

在设备升级过程中,配置下次启动生效的补丁文件后需要重启设备,使得新的补丁文件及时生效。

操作步骤

  1. 在用户视图下,执行命令reboot,实现对设备的重新启动。

检查配置结果

检查为系统安装补丁工作是否顺利完成。

操作步骤

  • 在用户视图下,执行命令dir file-name,查看主用主控板与备用主控板的文件信息中是否包含用户已经上传的补丁文件(*.PAT)。
  • 执行命令display patch-information,查看安装的补丁文件状态是否已经是运行态。
  • 执行命令display startup,查看下次启动的补丁文件是否正确。

配置动态加载模块

模块动态加载可以实现在不中断业务的情况下,进行模块的加载和卸载操作。

应用环境

当用户需要使用的模块在系统中不存在时,可以采用动态加载的方式将所需模块的模块文件成功加载到系统,然后再使用该模块所对应的功能。

该配置过程仅在Admin-VS支持。

前置任务

配置动态加载模块之前,需要完成以下任务:

  • 成功登录到设备。

  • 上传模块文件到设备。

操作步骤

  1. 执行命令install-module file-name [ next-startup ],动态加载指定的模块文件。

    当用户不再需要此模块功能时,可以使用命令uninstall-module命令卸载该模块的模块文件。

检查配置结果

执行命令display module-information [ verbose ]查看系统中动态加载的模块信息。

配置随板补丁

介绍如何激活随板补丁。

应用环境

安装新硬件后,需要激活随板补丁。激活后,才能对新硬件进行配置和使用。

VS模式下,该命令仅在Admin VS支持。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令pnp-package enable,激活随板补丁。

配置GTL

通过激活与系统软件配套使用的GTL文件,可以实现设备对某些GTL控制的资源项和功能项等的使用。

应用环境

设备资源项和功能项已不能满足当前业务需求时,需要通过正规渠道向华为公司申请具备更多资源的GTL文件,从而满足用户新的业务需求。

对于GTL文件不符合用户需求,可以通过配置GTL文件失效,然后重新激活新的满足客户需求的GTL文件。

如果一台设备配有主备主控板情况下,主用主控板和备用主控板共同使用一个GTL。升级操作前,需要确认一下是否要为所有主控板申请新的GTL,否则相关的受控业务将无法开展。

设备使用GTL后,如果运行期间一块主控板损坏,更换新的主控板后,原有的GTL可以继续运行60天,超过60天后将失效。

该特性仅在Admin-VS支持,但对所有VS都生效。

前置任务

在配置GTL文件之前,需要完成以下任务:
  • 成功申请GTL文件。
  • 成功登录到设备。

配置GTL前检查

设备主备主控板ESN序列号与将要激活的GTL文件中“ESN”字段必须保持一致。

应用环境

当设备当前需要增加由GTL控制的资源项或功能项时,请向华为公司申请相应的GTL文件。可以通过执行命令display license esn获取当前设备申请GTL文件所要用到的ESN信息。

若GTL文件中“ESN”字段值为“ANY”,则表示该GTL文件可以与任意设备主控板配套使用。

  • 升级到新的R版本或V版本时需要申请新的GTL文件。

  • 保证获取到的新GTL文件与系统中的软件大包配套。

  • 严禁修改后保存GTL文件,这样可能会导致文件不可用或影响当前业务的正常运行。

操作步骤

  1. 用文本编辑器打开GTL文件,查看“ESN”字段值是否与设备主备主控板ESN序列号一致。

    如果需要查找GTL文件所对应的特性,首先用文本编辑器打开相应的GTL文件,文件中“Resource”字段和“Function”字段所对应的内容分别是该文件控制的资源项和功能项。

  2. 搭建FTP或TFTP环境,便于备份升级前的原资源文件和上传升级所需的新资源文件。

    通过FTP协议升级时:

    • 如果待升级设备作为客户端,PC作服务器端,用户需在自己的PC上先安装FTP Server应用程序。FTP Server应用程序由用户自己购买、安装,待升级设备不附带此软件。
    • 如果待升级设备作为服务器端(待升级设备提供FTP Server功能),PC作客户端,用户不需要安装FTP Server应用程序。缺省情况下待升级设备的FTP功能是关闭的,需要在系统视图下执行命令ftp server enable使能FTP Server功能。

    通过TFTP协议升级时,由于待升级设备只能做为客户端不能提供TFTP Server功能,因此用户必须在PC上先安装TFTP Server应用程序。

上传GTL文件

申请GTL文件后,上传该文件到设备的存储介质中才能进行激活。

背景信息

上传GTL文件之前,请确保主用主控板和备用主控板的存储介质有足够的存储空间存放GTL文件。

  • 主用主控板与备用主控板上的GTL文件必须保持完全一致,否则无法完成升级。
  • 务必通过文件大小、日期的对比等来检查上传文件的正确性。

操作步骤

  1. 上传GTL文件到主用主控板的存储介质中,具体操作步骤详见:文件系统管理。
  2. 在用户视图下,执行命令copy source-filename destination-filename,复制GTL文件到备用主控板的存储介质中。

(可选)校验GTL文件

在设备升级过程中,配置激活GTL文件之前,可以先检验设备上的GTL文件的可用性,以保证GTL文件能成功激活。

操作步骤

  1. 在用户视图下,执行命令license verify file-name,实现对主控板的License文件校验。

激活GTL文件

通过激活GTL文件,实现设备上相应业务模块的应用。

背景信息

用户可以通过display license命令查看设备已激活的GTL文件的详细信息。

如下场景中,用户通常需要更新设备上的License文件以保证其性能。

  • 增加新特性

  • 优化原有性能

  • 解决当前版本问题

  • 试用特性到期:
    • 当用户需要打开或关闭试用控制项时,可以在在用户视图下执行命令license trial { enable | disable },并通过命令display license 查看试用控制项信息。

在更新GTL文件前,首先要使设备上原有GTL文件失效,同时设备会返回失效码。GTL失效码作为License Key失效凭证,也是作为申请新GTL文件的先决条件。

操作步骤

  • 对于初次激活的用户,请进行如下操作。

    在用户视图下,执行命令license active file-name完成对GTL文件的激活,用户获得相应的权限。

    参数file-name表示待激活的GTL文件,文件形式为*.dat,*.xml或*.zip。

  • 对于需要更新设备中原有GTL文件的用户,请进行如下操作。

    1. 在用户视图下,执行命令license revoke,使主板上现有GTL文件失效。

      在更新GTL文件前,首先要使设备上原有GTL文件失效,同时设备会返回失效码。GTL失效码作为License Key失效凭证,也是作为申请新GTL文件的先决条件。

    2. 在用户视图下,执行命令license active file-name,激活新的GTL文件,使用户获得相应的权限。

      参数file-name表示待激活的GTL文件,文件形式为*.dat,*.xml或*.zip。

      在用户执行此激活操作前,需要先将新的GTL文件上传到设备上,详细步骤请见上传GTL文件

(可选)删除GTL文件

在设备维护过程中,用户可以通过本节配置删除$_license目录下冗余的或者废弃的License文件。

操作步骤

  1. 在用户视图下,执行命令license delete file-name,删除$_license目录下的指定License文件。

    本配置只用来删除$_license目录下的指定License文件。

(可选)启动GTL的Emergency状态

使能Emergency状态会启用当前系统中有动态资源项特性模块的最大规格。

背景信息

在路由器上进行如下配置,且需要保证当前设备处于以下场景之一:

  • 已激活过Comm版本的GTL License文件,状态为Normal。

  • 已激活过Demo版本的GTL License文件,状态为Demo。

  • 已激活过Comm或Demo版本的GTL License文件,状态为Trial。

操作步骤

操作步骤

  1. 在用户视图下,执行命令license emergency,启动License文件紧急状态。

    使能Emergency状态后要注意以下事项:
    • Emergency状态不允许手动取消。
    • Emergency状态一个版本只能启用3次,每次可以保持7天Emergency状态。
    • Emergency状态只能在前一次的最后一天或紧急状态结束后才可以进行启动下一次操作。

检查配置结果

完成GTL文件的激活后,通过检查配置结果查看GTL文件更新是否成功。

前提条件

已经完成GTL文件的激活。

操作步骤

  • 在用户视图下,执行命令dir,查看设备主用控板和备用主控板存储介质中包含的GTL文件(*.dat或*.zip)名称是否与上传的GTL文件一致。
  • 执行命令display license,查看主控板的GTL信息,通过查看文件名称、产品版本等信息比对是否是用户所需GTL文件。
  • 执行命令display license esn,查看当前系统生效License文件中设备序列号ESN。
  • 执行命令display license revoke-ticket,查看设备当前失效License的失效码。
  • 执行命令display license state,查看主用主控板License状态。

激活端口基本硬件License

通过激活端口基本硬件License功能,可以实现端口对基本硬件License控制的资源项和功能项等的使用。

应用环境

对于CR5D0E5XMF90子卡,在2*50G模式下时,只有1号端口支持该命令,0号端口默认拥有50G带宽能力,1号端口未激活时,端口带宽限速为100M。在1*100G模式时,0号端口支持该命令,未激活License时,0号端口带宽限速为50G,配置并成功激活License资源后,0号端口拥有完整的100G带宽能力。

VS模式下,该配置任务仅在Admin VS支持。

前置任务

在配置端口基本硬件License之前,需要完成以下任务:

  • 执行命令license active加载并激活License授权文件。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令license,进入License视图。
  3. 执行命令active port-basic slot slot-id card card-id port port-list,激活端口基本硬件License。

    在License视图下,执行命令undo active port-basic slot slot-id card card-id [ port port-list ],可以去激活端口基本硬件License。提交配置后同时释放占用的对应端口带宽的基本硬件License资源。

  4. 执行命令commit,提交配置。

    激活操作仅支持在物理主接口上执行,提交时如果系统有对应端口带宽的可用的基本硬件License资源,端口的基本硬件功能自动激活。如果对应端口带宽的可用的基本硬件License资源不足,端口进入分配未激活状态并发送LCS_1.3.6.1.4.1.2011.5.25.142.2.28 hwGtlResourceLack告警。

检查配置结果

端口基本硬件License激活后,通过检查配置结果查看端口基本硬件License激活是否成功。

在所有视图下,执行display license resource usage port-basic all命令查看所有支持端口License功能的端口激活状态。

激活端口的场景License

介绍如何激活设备端口的汇聚场景License和互联网网关场景License。

应用环境

当设备工作在汇聚层时,需要先通过active port-aggregation命令激活端口的汇聚场景License,才能进行汇聚层相关业务的配置。汇聚场景License用于控制Segment Routing、IPv6、Telemetry和NG-MVPN功能。

当设备工作在互联网网关时,需要先通过active port-peering命令激活端口的互联网网关场景License,才能进行互联网网关相关业务的配置。

VS模式下,该配置任务仅在Admin VS支持。

前置任务

在激活设备端口的汇聚场景License和互联网网关场景License之前,需要完成以下任务:

  • 执行命令license active加载并激活License授权文件。
  • 执行命令active port-basic slot slot-id card card-id port port-list,激活设备上的端口基本软件License。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令license,进入License视图。
  3. 执行命令active port-aggregation slot slot-id card card-id port port-list,激活端口的汇聚场景License。

    在License视图下,执行命令undo active port-aggregation slot slot-id card card-id port port-list,可以去激活端口的汇聚场景License。提交配置后同时释放占用的对应端口的汇聚场景License资源。

  4. 执行命令active port-peering slot slot-id card card-id port port-list,激活端口的互联网网关场景License。

    在License视图下,执行命令undo active port-peering slot slot-id card card-id port port-list,可以去激活端口的互联网网关场景License。提交配置后同时释放占用的对应端口的互联网网关场景License资源。

  5. 执行命令commit,提交配置。

    激活操作仅支持在物理主接口上执行,提交时如果系统有可用的场景License资源,端口的场景License会自动激活。如果对应端口的可用场景License资源不足,端口进入分配未激活状态并发送LCS_1.3.6.1.4.1.2011.5.25.142.2.28 hwGtlResourceLack告警。

检查配置结果

  1. 端口的汇聚场景License激活后,通过检查配置结果查看端口的汇聚场景License激活是否成功。

    在所有视图下,执行display license resource usage port-aggregation { all | slot slot-id } [ active | deactive ]命令查看端口的汇聚场景License的激活状态。

  2. 端口的互联网网关场景License激活后,通过检查配置结果查看端口的互联网网关场景License激活是否成功。

    在所有视图下,执行display license resource usage port-peering { all | slot slot-id } [ active | deactive ]命令查看端口的互联网网关场景License的激活状态。

安全启动

安全启动利用设备硬件能力,并配合初始启动代码,建立安全启动平台信任根。

背景信息

通信设备的本质是由多个嵌入式计算机系统组成,其软件有可能被病毒入侵,也可能被攻击者通过漏洞等方式进行程序篡改、木马植入。一旦系统被攻击者入侵后,通过修改配置、截取报文等方法,就可以实现数据的窃取与窃听。

安全启动功能可以在设备系统软件被破坏时拒绝启动,以实现系统可信,从而提升系统的安全性和可靠性。

操作步骤

  1. 执行命令set flash-lock { Immediately | delay day days },使能设备的安全启动功能。
  2. 执行命令commit,提交配置。

检查配置结果

  • 执行命令display boot status查看设备的安全启动状态。

  • 执行命令check system-software running查看当前设备基本输入输出系统是否正常。

    使用check system-software running命令查询大包中BIOS SHA256的值和单板FLASH中的BIOS SHA256值是否相同。如果相同则回显信息中result显示为PASS,如果不同则result显示为FAIL。若大包中的BIOS和单板FLASH中的BIOS的SHA256值不相同,表示单板中的FLASH被篡改,需要用户进一步排查原因。如果result显示为FAIL,单板中的FLASH被篡改,那么重启设备后,设备将无法正常启动。

配置远程证明

远程证明RA(Remote Attestation)功能是RA Server通过对设备进行认证,判断设备的可信性状态。

前置任务

在可信环境中,支持可信启动的设备通过远程证明功能将信息发送到远端的RA Server,在远端RA Server上将收到的信息和本地保存的信息进行比较,根据比较结果来判断该设备是否处于可信状态。远程证明给客户提供了一种远程审计设备可信状态的手段,让用户对不同地域的设备进行远程证明成为可能。

在配置远程证明功能之前,需要完成以下任务:

  • 配置设备与RA Server正常通信,并在RA Server侧完成远程证明功能的设置。
  • (可选)根据实际组网在设备上配置限制RA Server对设备远程证明访问的ACL规则。
  • 在设备上创建PKI域,实现CA与设备之间CMP方式PKI(Public Key Infrastructure)证书管理。具体请参考配置CMP方式证书管理。
  • (可选)已经完成RA Server和设备申请SSL证书。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令trustem命令进入可信管理视图。
  3. 执行命令remote-attestation enable命令使能远程证明功能。
  4. (可选)执行命令remote-attestation acl { v4aclnum | acl-name aclname }应用之前已经定义的ACL规则。
  5. 执行命令remote-attestation source-interface { interface-type interface-number }配置设备与远端RA Server连接的源端口。
  6. 执行命令remote-attestation port-segment [ begin-port port-num ] [ count port-count ]配置TCP端口范围。
  7. 执行命令remote-attestation ssl certificate load pem-certificate certificateFile key-pair rsa keyfile auth-code cipher authcode配置设备本地的SSL认证信息。
  8. (可选)执行命令remote-attestation ssl crl load pem-crl crlFile加载SSL证书的撤销列表。
  9. 执行命令remote-attestation ssl trusted-ca load pem-ca cafile加载信任SSL证书机构文件。
  10. (可选)执行命令remote-attestation pki bind domain domainName配置远程证明绑定之前创建的PKI域。
  11. (可选)如果PKI证书失效,执行命令remote-attestation pki update-request { all | slot slotID }更新PKI证书信息。
  12. 执行命令quite,回退到系统视图。
  13. 执行命令quite,回退到用户视图。
  14. (可选)执行命令set tpm password passwordString修改TPM芯片密码。

    如果设备要回退到不支持配置TPM芯片密码的版本,在回退之前必须执行restore tpm password命令将TPM芯片的密码恢复为缺省值,再执行版本回退操作。

    执行restore tpm password命令后,必须进行设备重启,否则将导致TPM芯片无法访问,远程证明功能不可用。

  15. 执行命令commit,提交配置。

检查配置结果

执行命令display trustem remote-attestation bd-status查询远程证明功能的状态。

配置设备防盗

本节用来介绍防盗功能以及配置设备的防盗功能。

背景信息

设备防盗是指用户通过创建自己的公钥和私钥对设备进行加锁和解锁的技术。用户可通过网管创建自己的公钥和私钥,公钥用于加载到设备上启动防盗功能,私钥用于生成授权文件,通过授权文件对设备进行解锁。这就好像用户给设备加上一把锁,除非用配对的钥匙打开,否则设备将被限制使用。通过这种方法可以有效防止设备被非法盗用。

前置任务

在配置设备的防盗功能之前,需要完成以下任务:

  • 已经加载防盗功能的License,防盗的使能文件以及授权文件。
  • 网管已经生成公钥和私钥,其中公钥下发到设备。

操作步骤

  1. 在用户视图下执行命令anti-theft install enable file file-name使能设备的防盗功能。
  2. 执行命令anti-theft install authorization file file-name安装设备防盗临时授权文件。
  3. 执行命令commit,提交配置。

检查配置结果

执行命令display anti-theft status命令查看设备防盗的状态详细信息

维护

通过维护升级,可以对升级中的配置文件进行清除。

清除补丁配置文件

清除补丁配置文件后,系统下次启用的补丁包文件为空。设备重启后,系统将不再自动加载并运行补丁包文件。

背景信息

清除补丁配置文件统计信息后,以前的信息将无法恢复,务必仔细确认。

操作步骤

  • 使用reset patch-configure next-startup命令清除设备重启后系统启用的补丁包文件。

升级维护配置举例

配置举例介绍了软件升级、补丁安装和GTL更新的配置过程。

配置下次启动生效的软件升级示例

通过介绍配置下次启动生效的软件升级具体步骤,帮助用户顺利完成系统设备升级。

组网需求

设备当前系统软件版本已经不能满足用户需要,用户需要部署更多的规格和特性。同时对于不要求长时间不间断工作的设备,为部署更多规格和特性,华为公司会提供下次启动生效的系统软件文件帮助解决此问题。

图23-1所示,网络中的设备DeviceA的软件版本无法满足用户需求需要更新,华为公司提供了系统软件升级的配套软件文件,此时,用户可以为设备进行软件升级。

图23-1 配置下次启动生效的软件升级组网图

配置注意事项

  • 备份设备存储介质中的重要数据到PC机中。

  • CPU占用率、存储介质中的剩余空间等是否能满足升级要求。

配置思路

采用以下思路升级设备:

  1. 上传新版本的系统软件。
  2. 指定下次启动时使用的系统软件。
  3. 重启设备。
  4. 检查配置结果。

数据准备

为完成此配置项,需准备如下的数据:

  • 本举例中上传文件的方式为FTP方式,将设备DeviceA作为FTP服务器,用户名是user1,密码是Hello-huawei123。
  • 确认升级前设备的系统软件版本,本举例中升级前的版本为NE40EV800R011C10B000.cc。
  • 确认要指定的系统软件版本,本举例指定的系统软件版本为NE40EV800R011C10B003.cc。
  • 设备存储介质中剩余存储空间的大小,以确保有足够的存储空间来存储新的系统软件,若是空间不足,需要清理存储介质以保证存储空间满足用户需要。

操作步骤

  1. 上传新版本系统软件文件

    # 将设备DeviceA作为FTP服务器。
    <HUAWEI> system-view
    [~HUAWEI] sysname DeviceA
    [*HUAWEI] commit
    [~DeviceA] ftp server enable
    Info:  Enabling the FTP server configuration  succeeded. 
    [*DeviceA] aaa
    [*DeviceA-aaa] local-user user1 password cipher Hello-huawei123
    [*DeviceA-aaa] local-user user1 service-type ftp
    [*DeviceA-aaa] local-user user1 ftp-directory cfcard:/
    [*DeviceA-aaa] commit
    [~DeviceA-aaa] quit
    [~DeviceA] quit
    上述配置完成后,执行命令display local-user可以查看配置的用户信息。
    <DeviceA> display local-user
    --------------------------------------------------------------------------------
----------------                                                                
Username                         State   Type   Access-limit   Online   AdminLevel   UsergroupId                                                                
------------------------------------------------------------------------------------------------                                                                
user1                            Active  F                No        0   -            -                                                                          
------------------------------------------------------------------------------------------------                                                                
Total 1, 1 printed
    # 在PC上,配置二进制传输格式和c:\temp为工作目录。

    以下操作以Windows系统为例进行说明。

    1. 将上传文件存放到指定目录(假定为C:\temp目录)
    2. 在“开始”菜单“运行”中键入“cmd”,然后按“回车”键
    3. 输入FTP 10.1.1.1,在“user”提示下输入用户名,在“password”提示下输入密码
    配置信息如下:
    ftp 10.1.1.1
Connect to 10.1.1.1.
220 FTP server ready.
User <10.1.1.1:<none>>:user1
331 Please specify the password.
Password:
230 User logged in.
    设置FTP客户端存放上传文件的目录路径和文件的传输模式。
    ftp> binary
200 Type set to I.
ftp> lcd c:\temp
Local directory now c:\temp.
    # 在PC上,将PC上的新版本系统软件文件(*.cc)上传到设备DeviceA中。
    ftp> put NE40EV800R011C10B003.cc
200 Port command okay.
226 Transfer complete.
    # 在设备DeviceA上,将系统软件文件(*.cc)复制到备用主控板中的存储介质中。
    <DeviceA> copy cfcard:/NE40EV800R011C10B003.cc slave#cfcard:/
    Copy cfcard:/NE40EV800R011C10B003.cc to slave#cfcard:/?[Y/N]:Y
Info:Copied file cfcard:/NE40EV800R011C10B003.cc to slave#cfcard:/...Done

  2. 指定下次重新启动时运行的系统软件

    # 指定下次启动时运行的系统软件。

    <DeviceA> startup system-software NE40EV800R011C10B003.cc
    Succeeded in setting the software for booting system.
    <DeviceA> startup system-software NE40EV800R011C10B003.cc slave-board
    Succeeded in setting the software for booting system.

    # 查看下次重新启动时的系统软件,确认下次启动软件为指定的软件版本。

    <DeviceA> display startup
    MainBoard                               :
  Configured startup system software    : NE40EV800R011C10B000.cc
  Startup system software               : NE40EV800R011C10B000.cc
  Next startup system software          : NE40EV800R011C10B003.cc
  Startup saved-configuration file      :
  Next startup saved-configuration file : cfcard:/aa.cfg
SlaveBoard                              :
  Configured startup system software    : NE40EV800R011C10B000.cc
  Startup system software               : NE40EV800R011C10B000.cc
  Next startup system software          : NE40EV800R011C10B003.cc
  Startup saved-configuration file      :
  Next startup saved-configuration file : cfcard:/aa.cfg

  3. 重启设备DeviceA

    # 重启设备。

    <DeviceA> reboot
    reboot fast 
IPU 6:
Next startup system software: cfcard:/NE40EV800R011C10.cc
Next startup saved-configuration file: cfcard:/vrpcfg.zip
Next startup paf file: default
Next startup patch package: NULL

The Other IPU is the same with IPU 6

System will reboot! Continue? [Y/N]:y

  4. 验证配置结果

    设备DeviceA重启后,执行命令display version可以看到设备当前的系统软件版本为新的版本,表明升级完成。

    系统软件的新版本为:V800R011C10B003.cc。

    <HUAWEI> system-view
    [~HUAWEI] sysname DeviceA
    [*HUAWEI] commit
    [~DeviceA] display version
    Huawei Versatile Routing Platform Software
VRP (R) software, Version 8.190 (NE40E V800R011C10)
Copyright (C) 2012-2016 Huawei Technologies Co., Ltd.
HUAWEI NE40E uptime is 0 day, 3 hours, 37 minutes

配置文件

配置不中断业务的补丁安装示例

通过介绍如何为系统打补丁实现不中断业务的情况下安装补丁文件。

组网需求

用户需要优化当前设备的性能,但不影响当前软件版本的使用,同时对于要求长时间不间断工作的设备,为保证业务不中断,可以为该设备配置不中断业务的补丁安装。

图23-2所示,网络中的设备DeviceA的版本系统需要优化时,华为公司提供满足优化需求的补丁包文件。

图23-2 配置不中断业务的补丁安装组网图

配置注意事项

  • 主用主控板与备用主控板的补丁文件版本保持一致。

配置思路

采用以下思路为系统安装补丁:

  1. 将补丁文件上传到主控板的存储介质中。
  2. 加载并运行补丁。
  3. 检查配置结果。

数据准备

为完成此配置项,需准备以下数据:

  • 补丁的文件名是“V800R011C10SPH001.pat”。
  • 补丁在主用主控板存储路径是“cfcard:/”。

操作步骤

  1. 上传与系统软件相对应的补丁文件。

    # 将设备DeviceA作为FTP服务器。
    <HUAWEI> system-view
    [~HUAWEI] sysname DeviceA
    [*HUAWEI] commit
    [~DeviceA] ftp server enable
    Info:  Enabling the FTP server configuration  succeeded. 
    [*DeviceA] aaa
    [*DeviceA-aaa] local-user user1 password cipher Hello-huawei123
    [*DeviceA-aaa] local-user user1 service-type ftp
    [*DeviceA-aaa] local-user user1 ftp-directory cfcard:/
    [*DeviceA-aaa] commit
    [~DeviceA-aaa] quit
    [~DeviceA] quit
    上述配置完成后,执行命令display local-user可以查看配置的用户信息。
    <DeviceA> display local-user
    --------------------------------------------------------------------------------
----------------                                                                
Username                         State   Type   Access-limit   Online   AdminLevel   UsergroupId                                                                
------------------------------------------------------------------------------------------------                                                                
user1                            Active  F                No        0   -            -                                                                          
------------------------------------------------------------------------------------------------                                                                
Total 1, 1 printed
    # 在PC上,配置二进制传输格式和c:\temp为工作目录。

    以下操作以Windows系统为例进行说明。

    1. 将上传文件存放到指定目录(假定为C:\temp目录)
    2. 在“开始”菜单“运行”中键入“cmd”,然后按“回车”键
    3. 输入FTP 10.1.1.1,在“user”提示下输入用户名,在“password”提示下输入密码
    配置信息如下:
    ftp 10.1.1.1
Connect to 10.1.1.1.
220 FTP server ready.
User <10.1.1.1:<none>>:user1
331 Please specify the password.
Password:
230 User logged in.
    设置FTP客户端存放上传文件的目录路径和文件的传输模式。
    ftp> binary
200 Type set to I.
ftp> lcd c:\temp
Local directory now c:\temp.
    # 将PC上与当前系统软件相对应的补丁文件上传到设备DeviceA中。
    ftp> put V800R011C10SPH001.pat
200 Port command okay.
226 Transfer complete.

    # 将补丁文件复制到备用主控板中的存储介质中。

    <DeviceA> copy cfcard:/V800R011C10SPH001.pat slave#cfcard:/
    Copy cfcard:/V800R011C10SPH001.pat to slave#cfcard:/?[Y/N]:Y
Info:Copied file cfcard:/V800R011C10SPH001.pat to slave#cfcard:/...Done

  2. 加载并运行补丁 

    <DeviceA> patch load V800R011C10SPH001.pat all run
    Info: Operating, please wait for a moment......done.
Info: Succeeded in running the patch.

  3. 检查配置结果

    通过上述配置后,执行命令display patch-information可以看到设备DeviceA当前正在运行的补丁状态。

    <DeviceA> display patch-information
    Patch Package Name    :cfcard:/V800R011C10SPH001.PAT
Patch Package Version :V800R011C10SPH001
Patch Package State   :Running   
Patch Package Run Time:2011-11-07 11:55:01

配置文件

配置下次启动生效的补丁文件示例

通过介绍配置下次启动生效的补丁文件具体步骤,实现不影响当前软件版本使用的情况下完成新需求的增加。

组网需求

用户需要优化当前设备的性能,但不影响当前软件版本的使用。同时对于不要求长时间不间断工作的设备,为保证新性能需求的增加,华为公司会提供下次启动生效的补丁文件帮助解决此问题。

图23-3所示,网络中的设备DeviceA的版本系统需要优化时,华为公司提供满足优化需求的补丁文件。

图23-3 配置下次启动生效的补丁安装组网图

配置注意事项

  • 主用主控板与备用主控板的补丁文件版本保持一致。

配置思路

采用以下思路升级设备:

  1. 上传满足需求的补丁文件。
  2. 指定下次启动时运行的补丁文件。
  3. 重启设备。
  4. 检查配置结果。

数据准备

为完成此配置项,需准备如下的数据:

  • 本举例中上传文件的方式为FTP方式,将设备DeviceA作为FTP服务器,用户名是user1,密码是Hello-huawei123。

  • 补丁的文件名是“V800R011C10SPH001.pat”。
  • 补丁在主用主控板存储路径是“cfcard:/”。

操作步骤

  1. 上传与系统软件相对应的补丁文件。

    # 将设备DeviceA作为FTP服务器。
    <HUAWEI> system-view
    [~HUAWEI] sysname DeviceA
    [*HUAWEI] commit
    [~DeviceA] ftp server enable
    Info:  Enabling the FTP server configuration  succeeded. 
    [*DeviceA] aaa
    [*DeviceA-aaa] local-user user1 password cipher Hello-huawei123
    [*DeviceA-aaa] local-user user1 service-type ftp
    [*DeviceA-aaa] local-user user1 ftp-directory cfcard:/
    [*DeviceA-aaa] commit
    [~DeviceA-aaa] quit
    [~DeviceA] quit
    上述配置完成后,执行命令display local-user可以查看配置的用户信息。
    <DeviceA> display local-user
    --------------------------------------------------------------------------------
----------------                                                                
Username                         State   Type   Access-limit   Online   AdminLevel   UsergroupId                                                                
------------------------------------------------------------------------------------------------                                                                
user1                            Active  F                No        0   -            -                                                                          
------------------------------------------------------------------------------------------------                                                                
Total 1, 1 printed
    # 在PC上,配置二进制传输格式和c:\temp为工作目录。

    以下操作以Windows系统为例进行说明。

    1. 将上传文件存放到指定目录(假定为C:\temp目录)
    2. 在“开始”菜单“运行”中键入“cmd”,然后按“回车”键
    3. 输入FTP 10.1.1.1,在“user”提示下输入用户名,在“password”提示下输入密码
    配置信息如下:
    ftp 10.1.1.1
Connect to 10.1.1.1.
220 FTP server ready.
User <10.1.1.1:<none>>:user1
331 Please specify the password.
Password:
230 User logged in.
    设置FTP客户端存放上传文件的目录路径和文件的传输模式。
    ftp> binary
200 Type set to I.
ftp> lcd c:\temp
Local directory now c:\temp.
    # 将PC上与当前系统软件相对应的补丁文件上传到设备DeviceA中。
    ftp> put V800R011C10SPH001.pat
200 Port command okay.
226 Transfer complete.

    # 将补丁文件复制到备用主控板中的存储介质中。

    <DeviceA> copy cfcard:/V800R011C10SPH001.pat slave#cfcard:/
    Copy cfcard:/V800R011C10SPH001.pat to slave#cfcard:/?[Y/N]:Y
Info:Copied file cfcard:/V800R011C10SPH001.pat to slave#cfcard:/...Done

  2. 指定下次重新启动时运行的补丁文件

    # 指定下次启动时运行的补丁文件。

    <DeviceA> startup patch V800R011C10SPH001.pat all

    # 查看下次重新启动时的补丁文件,确认下次启动补丁文件为指定版本。

    <DeviceA> display startup
    MainBoard                               :
  Configured startup system software    : NE40EV800R011C10.cc
  Startup system software               : NE40EV800R011C10.cc
  Next startup system software          : NE40EV800R011C10.cc
  Startup patch package                 : cfcard:/V800R011C10SPH401.pat
  Next startup patch package            : cfcard:/V800R011C10SPH001.pat
SlaveBoard                              :
  Configured startup system software    : NE40EV800R011C10.cc
  Startup system software               : NE40EV800R011C10.cc
  Next startup system software          : NE40EV800R011C10.cc
  Startup patch package                 : cfcard:/V800R011C10SPH401.pat
  Next startup patch package            : cfcard:/V800R011C10SPH001.pat

  3. 重启设备DeviceA

    # 重启设备DeviceA。

    <DeviceA> reboot
    reboot fast 
IPU 6:
Next startup system software: cfcard:/NE40EV800R011C10.cc
Next startup saved-configuration file: cfcard:/vrpcfg.zip
Next startup paf file: default
Next startup patch package: NULL

The Other IPU is the same with IPU 6

System will reboot! Continue? [Y/N]:y

  4. 验证配置结果

    通过上述配置后,执行命令display patch-information可以看到设备当前正在运行的补丁状态。

    <DeviceA> display patch-information
    Patch Package Name    :cfcard:/V800R011C10SPH001.PAT
Patch Package Version :V800R011C10SPH001
Patch Package State   :Running   
Patch Package Run Time:2016-11-07 11:55:01

配置文件

翻译
English
下载文档
更新时间:2020-02-11

文档编号:EDOC1100126151

浏览量:4524

下载量:9

平均得分:
本文档适用于这些产品

相关版本

相关文档

分享
上一页 下一页
华为企业业务APP

版权所有 © 华为技术有限公司 1998-2021。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: