01 - Configurações Fundamentais

Usando a CLI

Sobre a CLI

Na interface de linha de comando (CLI), você pode inserir comandos de texto para configurar, gerenciar e monitorar o dispositivo.

Você pode usar diferentes métodos para fazer login na CLI. Por exemplo, é possível fazer login pela porta do console ou pela Telnet. Para obter mais informações sobre os métodos de login, consulte "Visão geral do login".

Uso de exibições da CLI

Sobre as exibições da CLI

Os comandos são agrupados em diferentes visualizações por recurso. Para usar um comando, você deve entrar em sua visualização.

As exibições da CLI são organizadas hierarquicamente, conforme mostrado na Figura 1. Cada visualização tem um prompt exclusivo, a partir do qual é possível identificar onde você está e o que pode fazer. Por exemplo , o prompt [Sysname-vlan100] mostra que você está na visualização VLAN 100 e pode configurar atributos para essa VLAN.

Figura 1 Visualizações da CLI

Você é colocado na visualização do usuário imediatamente após fazer login na CLI. Na visualização do usuário, é possível executar as seguintes tarefas:

  • Realizar operações básicas, incluindo exibição, depuração, gerenciamento de arquivos, FTP, Telnet e configuração de relógio e reiniciar.

  • Entre na visualização do sistema.

Na visualização do sistema, você pode executar as seguintes tarefas:

  • Defina as configurações que afetam o dispositivo como um todo, como o horário de verão, banners e teclas de atalho.
  • Insira visualizações de recursos.

Por exemplo, você pode executar as seguintes tarefas:

  • Entre na visualização da interface para configurar os parâmetros da interface.
  • Entre no modo de exibição VLAN para adicionar portas à VLAN.
  • Entre na visualização da linha do usuário para configurar os atributos do usuário de login.

Uma visualização de recurso pode ter visualizações secundárias. Por exemplo, a visualização de operação NQA tem a visualização secundária de operação HTTP.

  • Entre na visualização de sonda usando o comando probe.

A visualização da sonda fornece comandos de exibição, depuração e manutenção, que são usados principalmente por desenvolvedores e testadores para diagnóstico de falhas do sistema e monitoramento da operação do sistema.

CUIDADO:

Use os comandos na visualização da sonda sob a orientação de engenheiros para evitar exceções do sistema causadas por operações incorretas.

Para obter mais informações sobre os comandos na visualização da sonda, consulte o manual de comandos da sonda para cada recurso.

Para exibir todos os comandos disponíveis em uma visualização, digite um ponto de interrogação (?) no prompt da visualização.

Entrar na visualização do sistema a partir da visualização do usuário

Para entrar na visualização do sistema a partir da visualização do usuário, execute o seguinte comando:

system-view

Retornar à visualização de nível superior a partir de uma visualização

Restrições e diretrizes

A execução do comando quit na visualização do usuário encerra sua conexão com o dispositivo.

Para retornar da visualização da chave pública para a visualização do sistema, você deve usar o comando 

peer-public-key end

Procedimento

Para retornar à visualização de nível superior a partir de uma visualização, execute o seguinte comando:

quit

Retornar à visualização do usuário

Sobre o retorno à visualização do usuário

Esse recurso permite que você retorne à visualização do usuário a partir de qualquer visualização executando uma única operação, eliminando a necessidade de executar o comando quit várias vezes.

Procedimento

Para retornar diretamente à visualização do usuário a partir de qualquer outra visualização (exceto a visualização de configuração Tcl e o shell Python), use um dos seguintes métodos:

  • Execute o comando return em qualquer visualização.
  • Pressione Ctrl+Z em qualquer exibição.

Para retornar à visualização do usuário a partir da visualização de configuração Tcl, execute o comando tclquit na visualização de configuração Tcl.

Para retornar à visualização do usuário a partir do shell Python, execute o comando exit() no shell Python.

Acesso à ajuda on-line da CLI

A ajuda on-line da CLI é sensível ao contexto. Digite um ponto de interrogação em qualquer prompt ou em qualquer posição de um comando para exibir todas as opções disponíveis.

Para acessar a ajuda on-line da CLI, use um dos métodos a seguir:

  • Digite um ponto de interrogação em um prompt de visualização para exibir a primeira palavra-chave de cada comando disponível na visualização. Por exemplo:
<Sysname> ?
User view commands:
archive Archive configuration
arp Address Resolution Protocol (ARP) module 
backup Backup the startup configuration file to a TFTP server
boot-loader Software image file management
...
  • Digite um espaço e um ponto de interrogação após uma palavra-chave de comando para exibir todas as palavras-chave e argumentos disponíveis.
  • Se o ponto de interrogação estiver no lugar de uma palavra-chave, a CLI exibirá todas as palavras-chave possíveis, cada uma com uma breve descrição. Por exemplo:
<Sysname> terminal ?
debugging Enable to display debugging logs on the current terminal
logging Display logs on the current terminal
monitor Enable to display logs on the current terminal
  • Se o ponto de interrogação estiver no lugar de um argumento, a CLI exibirá a descrição do argumento. Por exemplo:
<Sysname> system-view
[Sysname] interface vlan-interface ?
<1-4094> Vlan-interface interface number
[Sysname] interface vlan-interface 1 ?
<cr>
[Sysname] interface vlan-interface 1
  • Digite uma cadeia de palavras-chave incompleta seguida de um ponto de interrogação para exibir todas as palavras-chave que começam com essa cadeia. A CLI também exibe as descrições das palavras-chave. Por exemplo:
<Sysname> f?
fdisk Partition a storage medium
fixdisk Check and repair a storage medium
format Format a storage medium
free Release a connection
ftp Open an FTP connection
<Sysname> display ftp?
ftp FTP module
ftp-server FTP server information
ftp-user FTP user information

Usando a forma de desfazer de um comando

A maioria dos comandos de configuração tem um formulário de desfazer para as seguintes tarefas:

  • Cancelamento de uma configuração.
  • Restaurar o padrão.
  • Desativar um recurso.

Por exemplo, o comando info-center enable habilita o centro de informações. O comando

undo info-center enable desativa o centro de informações.

Inserção de um comando

Ao inserir um comando, você pode executar as seguintes tarefas:

  • Use teclas ou teclas de atalho para editar a linha de comando.
  • Use palavras-chave abreviadas ou aliases de palavras-chave.

Edição de uma linha de comando

Para editar uma linha de comando, use as teclas listadas na Tabela 1 ou as teclas de atalho listadas na Tabela 4. Quando terminar, pressione Enter para executar o comando.

O buffer de edição de comandos pode conter um máximo de 511 caracteres. Se o comprimento total de uma linha de comando exceder o limite depois que você pressionar Tab para concluir a última palavra-chave ou argumento, o sistema não concluirá a palavra-chave.

Tabela 1 Teclas de edição da linha de comando

O dispositivo suporta os seguintes comandos especiais:

  • #Usado pelo sistema em um arquivo de configuração como separadores para seções adjacentes.
  • version - Usado pelo sistema em um arquivo de configuração para indicar as informações da versão do software. Por exemplo, versão 7.1. xxx, Release xxx.

Esses comandos são especiais pelos seguintes motivos:

  • Esses comandos não se destinam a ser usados na CLI.
  • Você pode digitar o comando # em qualquer visualização ou o comando version na visualização do sistema, ou digitar qualquer valor para eles. Por exemplo, você pode digitar # abc ou versão abc. No entanto, as configurações não entram em vigor.
  • O dispositivo não fornece nenhuma informação de ajuda on-line para esses comandos.

Inserção de um valor do tipo texto ou cadeia de caracteres para um argumento

Um valor de argumento do tipo texto pode conter qualquer caractere, exceto pontos de interrogação (?).

Um valor de argumento do tipo string pode conter qualquer caractere imprimível, exceto pontos de interrogação (?).

  • Para incluir uma aspa (") ou uma barra invertida (\) em um valor de argumento do tipo cadeia de caracteres, prefixe o caractere com uma tecla de escape (\), por exemplo, \" e \\.
  • Para incluir um espaço em branco em um valor de argumento do tipo string, coloque o valor entre aspas, por exemplo, ''my device''.

Um argumento específico pode ter mais requisitos. Para obter mais informações, consulte a referência do comando relevante.

Para inserir um caractere imprimível, você pode inserir o caractere ou seu código ASCII no intervalo de 32 a 126.

Inserção de um tipo de interface

Você pode inserir um tipo de interface em um dos seguintes formatos:

  • Ortografia completa do tipo de interface.
  • Uma abreviação que identifica exclusivamente o tipo de interface.
  • Acrônimo do tipo de interface.

Em uma linha de comando, todos os tipos de interface não diferenciam maiúsculas de minúsculas. A Tabela 2 mostra a grafia completa e os acrônimos dos tipos de interface.

Por exemplo, para usar o comando interface para entrar na visualização da interface GigabitEthernet 1/0/1, você pode inserir a linha de comando nos seguintes formatos:

  • interface gigabitethernet 1/0/1
  • interface g 1/0/1
  • interface ge 1/0/1

Não são necessários espaços entre os tipos de interface e as interfaces.

Tabela 2 Grafia completa e acrônimos dos tipos de interface

Ortografia completa Acrônimo
Bridge-Aggregation BAGG
Ethernet Ética
GigabitEthernet GE
InLoopBack InLoop
LoopBack Loop
M-Ethernet ME
NULO NULO
Dez GigabitEthernet XGE
Interface Vlan Vlan-int

Abreviação de comandos

Você pode entrar em uma linha de comando rapidamente digitando palavras-chave incompletas que identificam exclusivamente o comando completo. Na visualização do usuário, por exemplo, os comandos que começam com s incluem startup saved-configuration e system-view. Para inserir o comando system-view, você precisa digitar apenas sy. Para acessar o comando startup saved-configuration, digite st s.

Você também pode pressionar Tab para completar uma palavra-chave incompleta.

Configuração e uso de aliases de comando

Sobre aliases de comando

Você pode configurar um ou mais aliases para um comando ou para as palavras-chave iniciais dos comandos. Em seguida, você pode usar os aliases para executar o comando ou os comandos. Se o comando ou os comandos tiverem formulários de desfazer, você também poderá usar os aliases para executar o comando ou os comandos de desfazer.

Por exemplo, se você configurar o alias shiprt para display ip routing-table, poderá digitar shiprt para executar o comando display ip routing-table. Se você configurar o alias ship para display ip, poderá usar ship para executar todos os comandos que começam com display ip, inclusive:

  • Digite ship routing-table para executar o comando display ip routing-table.
  • Digite ship interface para executar o comando display ip interface. O dispositivo fornece um conjunto de aliases de comando definidos pelo sistema, conforme listado na Tabela 3. Tabela 3 Aliases de comando definidos pelo sistema
Alias de comando Comando ou palavra-chave de comando
lista de acesso acl
final retorno
apagar excluir
saída sair
nome do host nome do sistema
registro Centro de informações
não desfazer
show exibição
escrever salvar

Restrições e diretrizes

Um alias de comando pode ser usado apenas como a primeira palavra-chave de um comando ou como a segunda palavra-chave do comando

desfazer a forma de um comando.

Depois que você executa um comando com sucesso usando um alias, o sistema salva o comando, em vez do alias, na configuração em execução.

A cadeia de comando pode incluir até nove parâmetros. Cada parâmetro começa com o cifrão ($) e

um número de sequência no intervalo de 1 a 9. Por exemplo, você pode configurar o alias shinc para o comando display ip $1 | include $2. Em seguida, para executar o comando display ip routing-table | include Static, você precisa digitar apenas shinc routing-table Static.

Para usar um alias para um comando que tenha parâmetros, você deve especificar um valor para cada parâmetro. Se isso não for feito, o sistema informará que o comando está incompleto e exibirá a cadeia de comandos representada pelo alias.

Os aliases de comando definidos pelo sistema não podem ser excluídos.

Procedimento

  • Entre na visualização do sistema.
system-view
  • Configurar um alias de comando.
alias alias command

Por padrão, o dispositivo tem um conjunto de aliases de comando, conforme listado na Tabela 3.

  • (Opcional.) Exibir aliases de comando.
display alias [ alias ]

Esse comando está disponível em qualquer visualização.

Configuração e uso de teclas de atalho

Sobre as teclas de atalho

O dispositivo suporta um conjunto de teclas de atalho. Pressionar uma tecla de atalho executa o comando ou a função atribuída à tecla de atalho. A Tabela 4 mostra as teclas de atalho e suas definições padrão. Você pode configurar todas as teclas de atalho, exceto Ctrl+].

Se uma tecla de atalho também for definida pelo software de terminal que estiver usando para interagir com o dispositivo, você poderá reconfigurar a tecla de atalho ou removê-la.

Restrições e diretrizes

Uma tecla de atalho pode corresponder a apenas um comando ou função. Se você atribuir vários comandos ou funções à mesma tecla de atalho, o comando ou função atribuído mais recentemente terá efeito.

Um comando ou função pode ser atribuído a várias teclas de atalho. Você pode usar qualquer uma das teclas de atalho para executar o comando ou a função.

Se uma tecla de atalho também for definida pelo software do terminal que você está usando para interagir com o dispositivo, a definição do software do terminal terá efeito.

Procedimento

  • Entre na visualização do sistema.
system-view
  • Atribuir um comando a uma tecla de atalho.
hotkey hotkey { command | function function | none }

A Tabela 4 mostra as definições padrão para as teclas de atalho.

  • (Opcional.) Exibir teclas de atalho.
display hotkey

Esse comando está disponível em qualquer visualização.

Tabela 4 Definições padrão para teclas de atalho

Tecla de atalho Função ou comando
Ctrl+A move_the_cursor_to_the_beginning_of_the_line: Move o cursor para o início de uma linha.
Ctrl+B move_the_cursor_one_character_to_the_left: Move o cursor um caractere para a esquerda.
Tecla de atalho Função ou comando
Ctrl+C stop_the_current_command: Interrompe o comando atual.
Ctrl+D erase_the_character_at_the_cursor: Apaga o caractere no cursor.
Ctrl+E move_the_cursor_to_the_end_of_the_line: Move o cursor para o final de uma linha.
Ctrl+F move_the_cursor_one_character_to_the_right: Move o cursor um caractere para a direita.
Ctrl+G display current-configuration: Exibe a configuração em execução.
Ctrl+H erase_the_character_to_the_left_of_the_cursor: Apaga o caractere à esquerda do cursor.
Ctrl+L display ip routing-table: Exibe as informações da tabela de roteamento IPv4.
Ctrl+N display_the_next_command_in_the_history_buffer: Exibe o próximo comando no buffer do histórico.
Ctrl+O undo debugging all: Desabilita todas as funções de depuração.
Ctrl+P display_the_previous_command_in_the_history_buffer: Exibe o comando anterior no buffer do histórico.
Ctrl+R redisplay_the_current_line: Exibe novamente a linha atual.
Ctrl+T N/A
Ctrl+U N/A
Ctrl+W delete_the_word_to_the_left_of_the_cursor: Exclui a palavra à esquerda do cursor.
Ctrl+X delete_all_characters_from_the_beginning_of_the_line_to_the_cursor: Exclui todos os caracteres à esquerda do cursor.
Ctrl+Y delete_all_characters_from_the_cursor_to_the_end_of_the_line: Exclui todos os caracteres do cursor até o final da linha.
Ctrl+Z return_to_the_User_View: Retorna à visualização do usuário.
Ctrl+] kill_incoming_connection_or_redirect_connection: Termina a conexão atual.
Esc+B move_the_cursor_back_one_word: move o cursor uma palavra para trás.
Esc+D delete_all_characters_from_the_cursor_to_the_end_of_the_word: Exclui todos os caracteres do cursor até o final da palavra.
Esc+F move_the_cursor_forward_one_word: move o cursor uma palavra para frente.

Ativação da reexibição de comandos inseridos, mas não enviados

Sobre a reexibição de comandos inseridos, mas não enviados

Sua entrada pode ser interrompida pela saída de informações do sistema. Se a reexibição de comandos inseridos, mas não enviados, estiver ativada, o sistema reexibirá sua entrada após terminar a saída. Você poderá continuar a digitar a linha de comando.

Procedimento
  • Entre na visualização do sistema.
system-view
  • Ativar a reexibição de comandos inseridos, mas não enviados.
info-center synchronous

Por padrão, o sistema não exibe novamente os comandos inseridos, mas não enviados.

Para obter mais informações sobre esse comando, consulte Referência de comandos de monitoramento e gerenciamento de rede.

Compreensão das mensagens de erro de sintaxe da linha de comando

Depois que você pressiona Enter para enviar um comando, o interpretador de linha de comando examina a sintaxe do comando.

  • Se o comando for aprovado na verificação de sintaxe, a CLI executará o comando.
  • Se o comando não passar na verificação de sintaxe, a CLI exibirá uma mensagem de erro.

Tabela 5 Mensagens comuns de erro de sintaxe da linha de comando

Mensagem de erro de sintaxe Causa
% Comando não reconhecido encontrado na posição '^'. A palavra-chave na posição marcada é inválida.
% Comando incompleto encontrado na posição '^'. Uma ou mais palavras-chave ou argumentos necessários estão faltando.
Comando ambíguo encontrado na posição '^'. A sequência de caracteres inserida corresponde a mais de um comando.
% Too many parameters found at '^' position. A sequência de caracteres inserida contém palavras- chave ou argumentos em excesso.
% Parâmetro incorreto encontrado na posição '^'. O argumento na posição marcada é inválido.

Uso do recurso de histórico de comandos

Sobre os buffers do histórico de comandos

O sistema salva automaticamente os comandos executados com êxito por um usuário de login nos dois buffers de histórico de comandos a seguir:

  • Buffer do histórico de comandos para a linha do usuário.
  • Buffer do histórico de comandos para todas as linhas de usuário.

Tabela 6 Comparação entre os dois tipos de buffers de histórico de comandos

Item Buffer do histórico de comandos para uma linha de usuário Buffer do histórico de comandos para todas as linhas do usuário
Quais comandos são salvos no buffer? Comandos executados com sucesso pelo usuário atual da linha do usuário. Comandos executados com sucesso por todos os usuários de login.
Os comandos no buffer podem ser exibidos? Sim. Sim.
Os comandos no buffer podem ser recuperados? Sim. Não.
Item Buffer do histórico de comandos para uma linha de usuário Buffer do histórico de comandos para todas as linhas do usuário
Os comandos armazenados em buffer são apagados quando o usuário faz logout? Sim. Não.
O tamanho do buffer é ajustável? Sim. Não. O tamanho do buffer é fixado em 1024.

Regras de buffer de comando

O sistema segue essas regras ao armazenar comandos em buffer:

  • Se você usar palavras-chave incompletas ao inserir um comando, o sistema armazenará o comando na forma exata que você usou.
  • Se você usar um alias ao inserir um comando, o sistema transformará o alias no comando representado ou nas palavras-chave do comando antes de armazenar o comando em buffer.
  • Se você inserir um comando no mesmo formato várias vezes seguidas, o sistema armazenará o comando em buffer apenas uma vez. Se você digitar um comando em diferentes formatos várias vezes, o sistema armazenará em buffer cada formato de comando.

Por exemplo, display cu e displaycurrent-configuration são armazenados em buffer como duas entradas, mas repetições sucessivas de exibir cu criar apenas uma entrada.

  • Para armazenar em buffer um novo comando quando um buffer estiver cheio, o sistema exclui a entrada de comando mais antiga em o buffer.

Gerenciar e usar os buffers do histórico de comandos

Exibição dos comandos nos buffers do histórico de comandos

Para exibir os comandos nos buffers do histórico de comandos, execute os seguintes comandos em qualquer visualização:

  • Exibe os comandos nos buffers do histórico de comandos de uma linha de usuário.
display history-command
  • Exibe os comandos nos buffers do histórico de comandos para todas as linhas de usuário.
display history-command all
Recuperação de comandos no buffer do histórico de comandos para uma linha de usuário

Use as teclas de seta para cima e para baixo para navegar até o comando e pressione Enter.

Definição do tamanho do buffer do histórico de comandos para uma linha de usuário

Use o comando history-command max-size na visualização de linha de usuário ou de classe de linha de usuário. Para obter mais informações, consulte Referência de comandos básicos.

Repetição de comandos no buffer do histórico de comandos para uma linha de usuário

Sobre a repetição de comandos no buffer do histórico de comandos para uma linha de usuário

É possível recuperar e executar comandos no buffer do histórico de comandos para a linha de usuário atual várias vezes.

Restrições e diretrizes

O comando de repetição está disponível em qualquer visualização. No entanto, para repetir um comando, você deve primeiro entrar na visualização do comando. Para repetir vários comandos, você deve primeiro entrar na visualização do primeiro comando.

O comando repeat executa os comandos na ordem em que foram executados. O sistema aguarda a sua interação quando repete um comando interativo.

Procedimento

Para repetir comandos no buffer do histórico de comandos para a linha do usuário atual, execute o seguinte comando:

repeat [ number ] [ count times ] [ delay seconds ]

Controle da saída da CLI

Esta seção descreve os recursos de controle de saída da CLI que o ajudam a identificar a saída desejada.

Pausa entre telas de saída

Sobre a pausa entre telas de saída

O dispositivo pode pausar automaticamente após a exibição de um número específico de linhas se a saída for muito longa para caber em uma tela. Em uma pausa, o dispositivo exibe ----more----

. Você pode usar as teclas descritas na Tabela 7 para exibir mais informações ou interromper a exibição.

Também é possível desativar a pausa entre as telas de saída da sessão atual. Assim, toda a saída é exibida de uma só vez e a tela é atualizada continuamente até que a tela final seja exibida.

Tabela 7 Teclas de controle de saída

Chaves Função
Espaço Exibe a próxima tela.
Entrar Exibe a próxima linha.
Ctrl+C Interrompe a exibição e cancela a execução do comando.
<PageUp> Exibe a página anterior.
<PageDown> Exibe a próxima página.

Desativar a pausa entre as telas de saída

Para desativar a pausa entre as telas de saída, execute o seguinte comando na visualização do usuário:

screen-length disable

O padrão depende das configurações do comando screen-length na visualização da linha do usuário. A seguir estão as configurações padrão do comando screen-length:

  • A pausa entre as telas de saída está ativada.
  • O número máximo de linhas a serem exibidas por vez é 24.

Para obter mais informações sobre o comando screen-length, consulte Fundamentals Command Reference.

Esse comando é único e tem efeito apenas na sessão atual da CLI.

Numeração de cada linha de saída de um comando de exibição

Sobre a numeração da linha de saída do comando display

Para facilitar a identificação, você pode usar a opção | by-linenum para exibir um número para cada linha de saída de um comando de exibição.

Cada número de linha é exibido como uma cadeia de 5 caracteres e pode ser seguido por dois pontos (:) ou hífen (-). Se você especificar | by-linenum e | begin regular- expression para um comando display , será exibido um hífen para todas as linhas que não corresponderem à expressão regular.

Procedimento

Para numerar cada linha de saída de um comando de exibição, execute o seguinte comando em qualquer visualização:

comando display | by-linenum

Exemplo

# Exibir informações sobre a VLAN 999, numerando cada linha de saída.

<Sysname> display vlan 999 | by-linenum
 1: VLAN ID: 999
 2: VLAN type: Static
 3: Route interface: Configured
 4: IPv4 address: 192.168.2.1
 5: IPv4 subnet mask: 255.255.255.0
 6: Description: For LAN Access
 7: Name: VLAN 0999
 8: Tagged ports: None
 9: Untagged ports: None

Filtragem da saída de um comando de exibição

Sobre a filtragem da saída do comando display

Você pode usar a opção [ | [ by-linenum ] { begin | exclude | include } regular-expression ]&<1-128> para filtrar a saída de um comando display.

  • Você pode usar a opção para especificar um máximo de 128 condições de filtro. O sistema exibe apenas as linhas de saída que atendem a todas as condições.
  • by-linenum - Exibe um número antes de cada linha de saída. Você precisa especificar essa palavra-chave em apenas uma condição de filtro.
  • begin - Exibe a primeira linha que corresponde à expressão regular especificada e todas as linhas subsequentes.
  • exclude - Exibe todas as linhas que não correspondem à expressão regular especificada.
  • include - Exibe todas as linhas que correspondem à expressão regular especificada.
  • expressão regular - Uma cadeia de caracteres com distinção entre maiúsculas e minúsculas de 1 a 256 caracteres, que pode conter os caracteres especiais descritos na tabela 8.

Tabela 8 Caracteres especiais suportados em uma expressão regular

Personagens Significado Exemplos
^ Corresponde ao início de uma linha. "^u" corresponde a todas as linhas que começam com "u". Uma linha que começa com "Au" não é correspondida.
$ Corresponde ao final de uma linha. "u$" corresponde a todas as linhas que terminam com "u". Uma linha
Personagens Significado Exemplos
que termina com "uA" não é correspondido.
. (período) Corresponde a qualquer caractere único. ".s" corresponde a "as" e "bs".
* Corresponde ao caractere ou à cadeia de caracteres anterior zero, uma ou várias vezes. "zo*" corresponde a "z" e "zoo", e "(zo)*" corresponde a "zo" e "zozo".
+ Corresponde ao caractere ou à cadeia de caracteres anterior uma ou várias vezes. "zo+" corresponde a "zo" e "zoo", mas não a "z".
| Corresponde à cadeia de caracteres anterior ou posterior. "def|int" corresponde a uma linha que contém "def" ou "int".
( ) Corresponde à cadeia de caracteres entre parênteses, geralmente usada junto com o sinal de adição (+) ou o sinal de asterisco (*). "(123A)" corresponde a "123A". "408(12)+" corresponde a "40812" e "408121212", mas não "408".
\N Corresponde às cadeias de caracteres anteriores entre parênteses, com a enésima cadeia de caracteres repetida uma vez. "(string)\1" corresponde a uma string que contém "stringstring". "(string1)(string2)\2" corresponde a uma string que contém "string1string2string2". "(string1)(string2)\1\2" corresponde a uma string que contém " string1string2string1string2".
[ ] Corresponde a um único caractere entre colchetes. "[16A]" corresponde a uma cadeia de caracteres contendo 1, 6 ou A; "[1-36A]" corresponde a uma cadeia de caracteres contendo 1, 2, 3, 6 ou A (- é um hífen). Para corresponder ao caractere "]", coloque-o imediatamente após "[", por exemplo, []abc]. Não existe esse limite para "[".
[^] Corresponde a um único caractere que não está entre colchetes. "[^16A]" corresponde a uma cadeia de caracteres que contém um ou mais caracteres, exceto 1, 6 ou A, como "abc". Uma correspondência também pode conter 1, 6 ou A (como "m16"), mas não pode conter apenas esses três caracteres (como 1, 16 ou 16A).
{n} Corresponde ao caractere anterior n vezes. O número n deve ser um número inteiro não negativo. "o{2}" corresponde a "food", mas não a "Bob".
{n,} Corresponde ao caractere anterior n vezes ou mais. O número n deve ser um número inteiro não negativo. "o{2,}" corresponde a "foooood", mas não a "Bob".
{n,m} Corresponde ao caractere anterior n a m vezes ou mais. Os números n e m devem ser números inteiros não negativos e n não pode ser maior que m. " o{1,3}" corresponde a "fod", "food" e "foooood", mas não a "fd".
\< Corresponde a uma cadeia de caracteres que começa com o padrão seguinte a \<. Uma cadeia de caracteres que contém o padrão também é uma correspondência se os caracteres que precedem o padrão não forem dígitos, letras ou sublinhados. "\<do" corresponde a "domain" e "doa".
\> Corresponde a uma cadeia de caracteres que termina com o padrão anterior a \>. Uma cadeia de caracteres que contém o padrão também é uma correspondência se os caracteres que seguem o padrão não forem dígitos, letras ou sublinhados. "do\>" corresponde a "undo" e "cdo".
\b Corresponde a uma palavra que começa com o padrão seguinte a \b ou termina com o padrão "er\b" corresponde a "never", mas não a "verb" ou "erase".
Personagens Significado Exemplos
padrão anterior a \b. "\ber" corresponde a "erase" (apagar), mas não a "verb" (verbo) ou "never" (nunca).
\B Corresponde a uma palavra que contém o padrão, mas não começa nem termina com o padrão. "er\B" corresponde a "verbo", mas não a "never" ou "erase".
\w Igual a [A-Za-z0-9_], corresponde a um dígito, letra ou sublinhado. "v\w" corresponde a "vlan" e "service".
\W Igual a [^A-Za-z0-9_], corresponde a um caractere que não é um dígito, letra ou sublinhado. "\Wa" corresponde a "-a", mas não a "2a" ou "ba".
\ Caractere de escape. Se um caractere especial listado nesta tabela vier depois de \, o significado específico do caractere será removido. "\\" corresponde a uma cadeia de caracteres que contém "\", "\^" corresponde a uma cadeia de caracteres que contém "^" e "\\b" corresponde a uma cadeia de caracteres que contém "\b".

Restrições e diretrizes

O tempo de filtragem necessário aumenta com a complexidade da expressão regular. Para interromper o processo de filtragem, pressione Ctrl+C.

Exemplos
<Sysname> display current-configuration | begin line
line class aux
user-role network-admin
#
line class vty
user-role network-operator
#
line aux 0
user-role network-admin
#
line vty 0 63
authentication-mode none
user-role network-admin
user-role network-operator
#
...

# Exibir informações breves sobre interfaces em estado ativo.

<Sysname> display interface brief | exclude DOWN
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
InLoop0 UP UP(s) --
NULL0 UP UP(s) --
Vlan1 UP UP 192.168.1.83
Brief information on interfaces in bridge mode:
Link: ADM - administratively down; Stby - standby
15
Speed: (a) - auto
Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface Link Speed Duplex Type PVID Description
GE1/0/1 UP 1000M(a) F(a) A 1

# Exibir linhas de configuração em execução relacionadas ao SNMP.

<Sysname> display logbuffer | include SHELL | include VTY
%Sep 6 10:38:12:320 2018 Sysname SHELL/5/SHELL_LOGIN: VTY logged in from 169.254.100.171.
%Sep 6 10:52:32:576 2018 Sysname SHELL/5/SHELL_LOGOUT: VTY logged out from 169.254.100.171.
%Sep 6 16:03:27:100 2018 Sysname SHELL/5/SHELL_LOGIN: VTY logged in from 169.254.100.171.
%Sep 6 16:44:18:113 2018 Sysname SHELL/5/SHELL_LOGOUT: VTY logged out from 169.254.100.171.

Salvando a saída de um comando de exibição em um arquivo

Sobre o salvamento da saída do comando de exibição

Um comando display mostra determinadas informações de configuração e operação do dispositivo. Sua saída pode variar com o tempo ou com a configuração ou operação do usuário. Você pode salvar a saída em um arquivo para recuperação futura ou solução de problemas.

Use um dos métodos a seguir para salvar a saída de um comando display:

  • Salve a saída em um arquivo separado. Use esse método se quiser usar um arquivo para um comando display.

  • Anexa a saída ao final de um arquivo. Use esse método se quiser usar um arquivo para várias comandos display.

Procedimento

Para salvar a saída de um comando display em um arquivo, use um dos seguintes comandos em qualquer visualização:

  • Salve a saída de um comando display em um arquivo separado.

display command > filename

  • Anexa a saída de um comando de exibição ao final de um arquivo.

display command >> filename

Exemplos

# Salve as configurações da VLAN 1 em um arquivo separado chamado vlan.txt.

<Sysname> display vlan 1 > vlan.txt

# Verifique se as configurações da VLAN 1 foram salvas no arquivo vlan.txt.

<Sysname> more vlan.txt
VLAN ID: 1
VLAN type: Static
16
Route interface: Not configured
Description: VLAN 0001
Name: VLAN 0001
Tagged ports: None
Untagged ports: None

# Acrescente as configurações da VLAN 999 ao final do arquivo vlan.txt.

<Sysname> display vlan 999 >> vlan.txt
<Sysname> more vlan.txt
VLAN ID: 1
VLAN type: Static
Route interface: Not configured
Description: VLAN 0001
Name: VLAN 0001
Tagged ports: None
Untagged ports: None
VLAN ID: 999
VLAN type: Static
Route interface: Configured
IP address: 192.168.2.1
Subnet mask: 255.255.255.0
Description: For LAN Access
Name: VLAN 0999
Tagged ports: None
Untagged ports: None

Visualizar e gerenciar a saída de um comando de exibição de forma eficaz

Você pode usar os seguintes métodos em combinação para filtrar e gerenciar a saída de um displaycomando:

  • Numeração de cada linha de saída de um comando de exibição
  • Filtragem da saída de um comando de exibição
  • Salvando a saída de um comando de exibição em um arquivo

Procedimento

Para usar várias medidas para visualizar e gerenciar a saída de um comando de exibição de

forma eficaz, execute o seguinte comando em qualquer exibição:

display command [ | [ by-linenum ] { begin | exclude | include }
regular-expression ]&<1-128> [ > filename | >> filename ]
Exemplos

# Salve a configuração em execução em um arquivo separado chamado test.txt, com cada linha numerada.

<Sysname> display current-configuration | by-linenum > test.txt

# Acrescente linhas que incluam snmp na configuração em execução ao arquivo test.txt.

<Sysname> display current-configuration | include snmp >> test.txt

# Exibir a primeira linha que começa com user-group na configuração em execução e todas as linhas seguintes.

<Sysname> display current-configuration | by-linenum begin user-group
                                114: user-group system
                                115- #
                                116- return

// Os dois pontos (:) após um número de linha indicam que a linha contém a string user-group. O hífen (-) após um número de linha indica que a linha não contém a string user-group.

Configuração do RBAC

Sobre o RBAC

O RBAC (Role-based access control) controla as permissões de acesso dos usuários com base nas funções do usuário.

O RBAC atribui permissões de acesso às funções de usuário que são criadas para diferentes funções de trabalho. Os usuários recebem permissão para acessar um conjunto de itens e recursos com base nas funções de usuário dos usuários. Separar as permissões dos usuários permite o gerenciamento simples da autorização de permissões.

Atribuição de permissão

Use os seguintes métodos para atribuir permissões a uma função de usuário:

  • Defina um conjunto de regras para determinar itens acessíveis ou inacessíveis para a função do usuário. (Consulte "Regras de função do usuário").
  • Configure políticas de acesso a recursos para especificar quais recursos são acessíveis à função do usuário. (Consulte "Políticas de acesso a recursos").

Para usar um comando relacionado a um recurso do sistema, uma função de usuário deve ter acesso tanto ao comando quanto ao recurso.

Por exemplo, uma função de usuário tem acesso ao comando vlan e acesso somente à VLAN

10. Quando a função de usuário é atribuída, você pode usar o comando vlan para criar a VLAN 10 e entrar em sua visualização. No entanto, não é possível criar outras VLANs. Se a função de usuário tiver acesso à VLAN 10, mas não tiver acesso ao comando vlan, não será possível usar o comando para entrar na visualização da VLAN 10.

Quando um usuário faz login no dispositivo com qualquer função de usuário e digita <?> em uma visualização, as informações de ajuda são exibidas para os aliases de comando definidos pelo sistema na visualização. No entanto, o usuário pode não ter permissão para acessar os aliases de comando. Se o usuário pode acessar os aliases de comando depende da permissão da função do usuário para os comandos correspondentes aos aliases. Para obter informações sobre aliases de comando, consulte "Usando a CLI".

Um usuário que faz login no dispositivo com qualquer função de usuário tem acesso às funções de

visualização do sistema, sair e comandos de saída.

Regras de função do usuário

As regras de função do usuário permitem ou negam o acesso aos itens, incluindo comandos, páginas da Web, elementos XML ou nós MIB. É possível definir os seguintes tipos de regras para diferentes granularidades de controle de acesso:

  • Regra de comando - Controla o acesso a um comando ou a um conjunto de comandos que correspondem a uma expressão regular.
  • Regra de recurso - Controla o acesso aos comandos de um recurso por tipo de comando.
  • Regra de grupo de recursos - Controla o acesso aos comandos de recursos em um grupo de recursos por tipo de comando.
  • Regra do menu da Web - Controla o acesso às páginas da Web usadas para configurar o dispositivo. Essas páginas da Web são chamadas de menus da Web.
  • Regra de elemento XML - Controla o acesso aos elementos XML usados para configurar o dispositivo.
  • Regra OID - Controla o acesso SNMP a um nó MIB e seus nós filhos. Um OID é uma

cadeia numérica pontilhada que identifica exclusivamente o caminho do nó raiz para um nó folha.

Os itens (comandos, menus da Web, elementos XML e nós MIB) são controlados com base nos seguintes tipos:

  • Read-Itens que exibem informações de configuração e manutenção. Por exemplo, o comandos de exibição e o comando dir.

  • Gravação - Itens que configuram os recursos do sistema. Por exemplo, o comando info-center enable e o comando debugging.

  • Execute - Itens que executam funções específicas. Por exemplo, o comando ping e o comando ftp

    comando.

Uma função de usuário pode acessar o conjunto de itens permitidos especificados nas regras de função de usuário. As regras de função de usuário incluem regras de função de usuário predefinidas (identificadas por sys-n) e definidas pelo usuário. Para obter mais informações sobre a prioridade da regra de função do usuário, consulte "Configuração das regras de função do usuário".

Políticas de acesso a recursos

As políticas de acesso a recursos controlam o acesso de uma função de usuário aos recursos do sistema e incluem os seguintes tipos:

  • Política de interface - Controla o acesso às interfaces.
  • Política de VLAN - Controla o acesso às VLANs.

As políticas de acesso a recursos não controlam o acesso às opções de interface ou VLAN nos comandos de exibição. É possível especificar essas opções nos comandos de exibição se elas forem permitidas por qualquer regra de função de usuário.

Funções de usuário predefinidas

O sistema fornece funções de usuário predefinidas. Essas funções de usuário têm acesso a todos os recursos do sistema. Entretanto, suas permissões de acesso são diferentes, conforme mostrado na Tabela 1.

Entre todas as funções de usuário predefinidas, somente network-admin e level-15 podem criar, modificar e excluir usuários locais e grupos de usuários locais. As outras funções de usuário só podem modificar suas próprias senhas se tiverem permissões para configurar usuários locais e grupos de usuários locais.

As permissões de acesso das funções de usuário de nível 0 a nível 14 podem ser modificadas por meio de regras de função de usuário e políticas de acesso a recursos. No entanto, não é possível fazer alterações nas permissões de acesso predefinidas dessas funções de usuário. Por exemplo, não é possível alterar a permissão de acesso dessas funções de usuário para o comando display history-command all.

Tabela 1 Matriz de funções e permissões predefinidas

Nome da função do usuário Permissões
administrador de rede Acessa todos os recursos e funções do sistema, exceto os comandos display security-logfile summary, info-center security-logfile directory e security-logfile save.
operador de rede Acessa os comandos de exibição de recursos e funções no sistema. Para exibir todos os comandos acessíveis da função do usuário, use o comando display role. Permite que os usuários de login de autenticação local alterem suas próprias senhas. Acessa o comando usado para entrar na visualização XML. Acessa todos os itens de menu da Web do tipo leitura. Acessa todos os elementos XML do tipo leitura. Acessa todos os nós MIB do tipo leitura.
nível-n (n = 0 a 15) level-0 - Tem acesso a comandos como ping, tracert, ssh2, telnet e super. Os direitos de acesso do nível 0 são configuráveis. Nível 1 - Tem acesso aos comandos de exibição de recursos e funções no sistema. A função de usuário de nível 1 também tem todos os direitos de acesso da função de usuário de nível 0. Os direitos de acesso do nível 1 são configuráveis. nível 2 a nível 8 e nível 10 a nível 14 - Não têm direitos de acesso por padrão. Os direitos de acesso são configuráveis.
Nome da função do usuário Permissões
Nível 9 - Tem acesso à maioria dos recursos e funções do sistema. Se você estiver conectado com uma conta de usuário local que tenha uma função de usuário de nível 9, poderá alterar a senha na conta de usuário local. Veja a seguir os principais recursos e comandos que a função de usuário de nível 9 não pode acessar: Comandos de não depuração do RBAC. Usuários locais. Gerenciamento de arquivos. Gerenciamento de dispositivos. O comando display history-command all. level-15 - Tem os mesmos direitos que network-admin.
auditoria de segurança Gerente de registro de segurança. A função de usuário tem os seguintes direitos de acesso aos arquivos de log de segurança: Acessa os comandos para exibir e manter os arquivos de registro de segurança (por exemplo, os comandos dir, display security-logfile summary e outros). Acessa os comandos para gerenciar arquivos de log de segurança e o sistema de arquivos de log de segurança (por exemplo, os comandos info-center security-logfile directory, mkdir e security-logfile save). Para obter mais informações sobre o gerenciamento de registros de segurança, consulte o Guia de configuração de monitoramento e gerenciamento de rede. Para obter mais informações sobre o gerenciamento do sistema de arquivos, consulte "Gerenciamento de sistemas de arquivos". IMPORTANTE: Somente a função de usuário security-audit tem acesso aos arquivos de registro de segurança. Não é possível atribuir a função de usuário de auditoria de segurança a usuários de autenticação não AAA.

Atribuição de função de usuário

Os direitos de acesso a um usuário são atribuídos por meio da atribuição de, no mínimo, uma função de usuário. O usuário pode usar o conjunto de itens e recursos acessíveis a todas as funções de usuário atribuídas a ele. Por exemplo, você pode acessar qualquer interface para usar o comando qos apply policy se lhe forem atribuídas as seguintes funções de usuário:

  • A função de usuário A nega o acesso ao comando qos apply policy e permite o acesso somente à interface GigabitEthernet 1/0/1.
  • A função de usuário B permite o acesso ao comando qos apply policy e a todas as interfaces. Dependendo do método de autenticação, a atribuição de função de

Usuário tem os seguintes métodos:

  • Autorização AAA - Se a autenticação de esquema for usada, o módulo AAA tratará da atribuição de função do usuário.
  • Se o usuário for aprovado na autorização local, o dispositivo atribuirá as funções de usuário especificadas na conta de usuário local.
  • Se o usuário for aprovado na autorização remota, o servidor AAA remoto atribuirá as funções de usuário especificadas no servidor. O servidor AAA pode ser um servidor RADIUS ou HWTACACS.
  • Autorização não AAA - Quando o usuário acessa o dispositivo sem autenticação ou passando a autenticação por senha em uma linha de usuário, o dispositivo atribui funções de usuário especificadas na linha de usuário. Esse método também se aplica a clientes SSH que usam autenticação de chave pública ou de senha-pública. As funções de usuário atribuídas a esses clientes SSH são especificadas em suas respectivas contas de usuário de gerenciamento do dispositivo.

Para obter mais informações sobre AAA e SSH, consulte o Guia de configuração de segurança. Para obter mais informações sobre linhas de usuário, consulte "Visão geral do login" e "Configuração do login da CLI".

Conformidade com FIPS

O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não- FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de Configuração de Segurança.

Criação de uma função de usuário

Sobre a criação de funções de usuário

Além das funções de usuário predefinidas, é possível criar um máximo de 64 funções de usuário personalizadas para controle de acesso granular.

Procedimento
  • Entre na visualização do sistema.
system-view
  • Crie uma função de usuário e insira sua visualização.
role name role-name

Por padrão, o sistema tem as seguintes funções de usuário predefinidas:

  • network-admin
  • network-operator.
  • level-n (em que n é igual a um número inteiro no intervalo de 0 a 15).
  • security-audit.

Entre essas funções de usuário, somente as permissões e descrições das funções de usuário de nível 0 a nível 14 são configuráveis.

  • (Opcional.) Configure uma descrição para a função do usuário.

description text

Por padrão, uma função de usuário não tem uma descrição.

Configuração das regras de função do usuário

Sobre as regras de função do usuário

É possível configurar regras de função de usuário para permitir ou negar o acesso de uma função de usuário a comandos, páginas da Web, elementos XML e nós MIB específicos.

As diretrizes a seguir se aplicam a regras não-OID:

  • Se duas regras definidas pelo usuário do mesmo tipo entrarem em conflito, a regra com a ID mais alta entrará em vigor. Por exemplo, uma função de usuário pode usar o comando tracert, mas não o comando ping, se a função de usuário contiver regras configuradas usando os seguintes comandos:
    • rule 1 permit command ping
    • rule 2 permit command tracert
    • rule 3 deny command ping
    • Se uma regra de função de usuário predefinida e uma regra de função de usuário definida pelo usuário entrarem em conflito, a regra de função de usuário definida pelo usuário entrará em vigor.

    As diretrizes a seguir se aplicam às regras de OID:

  • O sistema compara um OID com os OIDs especificados nas regras de função do usuário e usa o princípio da correspondência mais longa para selecionar uma regra para o OID. Por exemplo, uma função de usuário não pode acessar o nó MIB com o OID 1.3.6.1.4.1.25506.141.3.0.1 se a função de usuário contiver regras configuradas com os seguintes comandos:
    • rule 1 permit read write oid 1.3.6
    • rule 2 deny read write oid 1.3.6.1.4.1
    • rule 3 permit read write oid 1.3.6.1.4
    • Se o mesmo OID for especificado em várias regras, a regra com o ID mais alto terá efeito. Por exemplo, uma função de usuário pode acessar o nó MIB com o OID 1.3.6.1.4.1.25506.141.3.0.1 se a função de usuário contiver regras configuradas com os seguintes comandos:
    • rule 1 permit read write oid 1.3.6
    • rule 2 deny read write oid 1.3.6.1.4.1
    • rule 3 permit read write oid 1.3.6.1.4.1

Restrições e diretrizes

  • Somente as funções de usuário network-admin e level-15 têm acesso aos seguintes comandos:
    • O comando display history-command all.
    • Todos os comandos que começam com a função display, reboot, startup configuração salva, e undo startup saved-configuration.
    • Todos os comandos que começam com as palavras-chave role, undo role, super, undo super, password-recovery e undo password-recovery na visualização do sistema.
    • Todos os comandos que começam com as palavras-chave snmp-agent community,

undo snmp-agent community, snmp-agent usm-user, undo snmp-agent usm-user, snmp-agent group e undo snmp-agent group na visualização do sistema.

  • Todos os comandos que começam com user-role, undo user-role, authentication-mode, undo authentication-mode, set authentication

e undo set authentication password na visualização de linha de usuário ou de classe de linha de usuário.

  • Todos os comandos que começam com as palavras-chave user-role e undo user- role na exibição de agenda ou na exibição de política definida pela CLI.
  • É possível configurar um máximo de 256 regras definidas pelo usuário para uma função de usuário. O número total de regras de função de usuário definidas pelo usuário não pode exceder 1024.
  • Qualquer modificação, adição ou remoção de regra para uma função de usuário entra em vigor somente para os usuários que estiverem conectados com a função de usuário após a alteração.
    • Procedimento
    • Entre na visualização do sistema.
    system-view
    • Insira a visualização da função do usuário.
    role name role-name
    • Configure regras para a função do usuário. Escolha as opções para configurar conforme necessário:
    • Configurar uma regra de comando.
    rule number { deny | permit } command command-string
    • Configure uma regra de recurso.
    rule number { deny | permit } { execute | read | write } * feature[ feature-name ]
    • Configure uma regra de grupo de recursos.
    rule number { deny | permit } { execute | read | write } * feature-group feature-group-name

    Uma regra de grupo de recursos entra em vigor somente depois que o grupo de recursos é criado.

    • Configure uma regra de menu da Web.
    rule number { deny | permit } { execute | read | write } * web-menu [ web-string ]
    • Configure uma regra de elemento XML.
    rule number { deny | permit } { execute | read | write } * xml-element [ xml-string ]
    • Configurar uma regra de OID.
    rule number { deny | permit } { execute | read | write } * oid oid-string

    Configuração de um Grupo de Recursos

    Sobre Grupos de Recursos

    Use grupos de recursos para atribuir em massa permissões de acesso a comandos a conjuntos de recursos. Além dos grupos de recursos predefinidos, você pode criar um máximo de 64 grupos de recursos personalizados e atribuir um recurso a vários grupos de recursos.

    Procedimento

    • Entre na visualização do sistema.
      • system-view
    • Crie um grupo de recursos e insira sua visualização.
      • role feature-group name feature-group-name

      Por padrão, o sistema tem os seguintes grupos de recursos predefinidos, que não podem ser excluídos ou modificados:

      • L2 - Inclui todos os comandos da Camada 2.
      • L3 - Inclui todos os comandos da Camada 3.
    • Adicione um recurso ao grupo de recursos.
      • feature feature-name

      Por padrão, um grupo de recursos não tem nenhum recurso.

    Configuração de políticas de acesso a recursos

    Sobre as políticas de acesso a recursos

    Cada função de usuário tem uma política de interface e uma política de VLAN. Por padrão, essas políticas permitem que uma função de usuário acesse quaisquer recursos do sistema. É possível configurar as políticas de uma função de usuário definida pelo usuário ou de uma função de usuário de nível n predefinida para limitar seu acesso a quaisquer recursos.

    Restrições e diretrizes para a configuração da política de acesso a recursos

    A configuração da política entra em vigor somente para os usuários que estiverem conectados com a função de usuário após a configuração do .

    Configuração da política de interface de função do usuário

    • Entre na visualização do sistema.
      • system-view
      • Insira a visualização da função do usuário.
      role name role-name
      • Entre na visualização da política de interface de função do usuário.
      interface policy deny

      Por padrão, a política de interface da função de usuário permite o acesso a todas as interfaces.

      CUIDADO:

      Esse comando nega o acesso da função de usuário a qualquer interface se você não especificar as interfaces acessíveis usando o comando permit interface.

      • (Opcional.) Especifique uma lista de interfaces acessíveis à função de usuário.
      permit interface interface-list

      Por padrão, nenhuma interface acessível é configurada na visualização da política de interface de função do usuário. Repita esta etapa para adicionar várias interfaces acessíveis.

      Configuração da política de VLAN de função de usuário

      • Entre na visualização do sistema.
      system-view
      • Insira a visualização da função do usuário.
      role name role-name
      • Entre na visualização da política de VLAN da função do usuário.
      vlan policy deny

      Por padrão, a política de VLAN da função de usuário permite o acesso a todas as VLANs.

      CUIDADO:

      Esse comando nega o acesso da função de usuário a quaisquer VLANs se você não especificar as VLANs acessíveis usando o comando permit vlan.

      • (Opcional.) Especifique uma lista de VLANs acessíveis à função de usuário.
      permit vlan vlan-id-list

      Por padrão, nenhuma VLAN acessível é configurada na visualização da política de VLAN da função do usuário. Repita esta etapa para adicionar várias VLANs acessíveis.

      Atribuição de funções de usuário

      Restrições e diretrizes para a atribuição de funções de usuário

      Para controlar o acesso do usuário ao sistema, é necessário atribuir no mínimo uma função de usuário. Certifique-se de que exista no dispositivo pelo menos uma função de usuário entre as funções de usuário atribuídas pelo servidor.

      Ativação do recurso de função de usuário padrão

      Sobre o recurso de função de usuário padrão

      O recurso de função de usuário padrão atribui a função de usuário padrão aos usuários autenticados por AAA se o servidor de autenticação (local ou remoto) não atribuir nenhuma função de usuário aos usuários. Esses usuários têm permissão para acessar o sistema com a função de usuário padrão.

      Você pode especificar qualquer função de usuário existente no sistema como a função de usuário padrão.

      Procedimento
      • Entre na visualização do sistema.
      system-view
      • Ative o recurso de função de usuário padrão.
      role default-role enable [ nome da função ]

      Por padrão, o recurso de função de usuário padrão está desativado.

      Se você não usar o comando authorization-attribute user role para atribuir funções de usuário a usuários locais, deverá ativar o recurso de função de usuário padrão. Para obter informações sobre o comando authorization-attribute user role, consulte Comandos AAA em Referência de comandos de segurança.

      Atribuição de funções de usuário a usuários de autenticação AAA remota

      Para usuários de autenticação AAA remota, as funções de usuário são configuradas no servidor de autenticação remota. Para obter informações sobre a configuração de funções de usuário para usuários RADIUS, consulte a documentação do servidor RADIUS. Para usuários HWTACACS, a configuração de função deve usar o formato roles="role-1 role-2 ... role-n", em que as funções de usuário são separadas por espaço. Por exemplo, configure roles="level-0 level-1 level-2" para atribuir level-0, level-1 e level-2 a um usuário HWTACACS.

      Se o servidor AAA atribuir a função de usuário de auditoria de segurança e outras funções de usuário ao mesmo usuário, somente a função de usuário de auditoria de segurança terá efeito.

      Atribuição de funções de usuário a usuários de autenticação AAA local

      Sobre a atribuição de função de usuário a usuários de autenticação AAA local

      Configure as funções de usuário para usuários de autenticação AAA local em suas contas de usuário locais. Para obter informações sobre AAA e configuração de usuário local, consulte Configuração de AAA no Guia de configuração de segurança.

      Restrições e diretrizes

      • Cada usuário local tem uma função de usuário padrão. Se essa função de usuário padrão não for adequada, remova-a.
      • Se um usuário local for o único usuário com a função de usuário de auditoria de segurança, o usuário não poderá ser excluído.
      • A função de usuário de auditoria de segurança é mutuamente exclusiva de outras funções de usuário.
      • Quando você atribui a função de usuário de auditoria de segurança a um usuário local, o sistema solicita confirmação para remover todas as outras funções de usuário do usuário.
      • Quando você atribui as outras funções de usuário a um usuário local que tem a função de usuário de auditoria de segurança, o sistema solicita confirmação para remover a função de auditoria de segurança do usuário.
      • É possível atribuir um máximo de 64 funções de usuário a um usuário local.

      Procedimento

      • Entre na visualização do sistema.
        • system-view
      • Crie um usuário local e insira sua visualização.
        • local-user user-name class { manage | network }
      • Atribua uma função de usuário ao usuário local.
        • authorization-attribute user-role role role-name

      Por padrão, a função de usuário network-operator é atribuída a usuários locais criados por um usuário network-admin ou de nível 15.

      Atribuição de funções de usuário a usuários de autenticação não AAA em linhas de usuário

      Sobre a atribuição de função de usuário a usuários de autenticação não AAA

      Especifique as funções de usuário para os dois tipos de usuários de login a seguir nas linhas de usuário:

      • Usuários não SSH que usam autenticação por senha ou nenhuma autenticação.
      • Clientes SSH que usam autenticação de chave pública ou senha-chave pública. As funções de usuário atribuídas a esses clientes SSH são especificadas em suas respectivas contas de usuário de gerenciamento de dispositivos.

      Para obter mais informações sobre as linhas de usuário, consulte "Visão geral do login" e "Configuração do login da CLI". Para obter mais informações sobre SSH em , consulte o Guia de configuração de segurança.

      Restrições e diretrizes
      • É possível atribuir um máximo de 64 funções de usuário a um usuário de autenticação não AAA em uma linha de usuário.
      • Não é possível atribuir a função de usuário de auditoria de segurança a usuários de autenticação não AAA em linhas de usuário.
      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Entre na visualização de linha de usuário ou de classe de linha de usuário.
      • Entre na visualização da linha do usuário.
        • line { first-num1 [ last-num1 ] | { aux | vty } first-num2 [ last-num2 ] }
      • Entre na visualização da classe de linha do usuário.
        • line class { aux | vty }

        Para obter informações sobre a ordem de prioridade e o escopo de aplicação das configurações na visualização de linha de usuário e na visualização de classe de linha de usuário, consulte "Configuração do login da CLI".

      • Especifique uma função de usuário na linha de usuário.
        • user-role role-name

      Por padrão, a função de usuário administrador de rede é especificada na linha de usuário AUX, e a função de usuário operador de rede é especificada em qualquer outra linha de usuário.

      Configuração da autorização temporária da função do usuário

      Sobre a autorização temporária de função de usuário

      A autorização temporária de função de usuário permite que você obtenha outra função de usuário sem se reconectar ao dispositivo. Esse recurso é útil quando se deseja usar uma função de usuário temporariamente para configurar um recurso.

      A autorização temporária de função de usuário só é válida para o login atual. Esse recurso não altera as configurações de função do usuário na conta de usuário com a qual você fez login. Na próxima vez em que você fizer login com a conta de usuário, as configurações originais de função de usuário entrarão em vigor.

      Para permitir que um usuário obtenha outra função de usuário sem se reconectar ao dispositivo, é necessário configurar a autenticação da função de usuário. A Tabela 2 descreve os modos de autenticação disponíveis e os requisitos de configuração.

      Tabela 2 Modos de autenticação de função de usuário

      Palavras- chave Modo de autenticação Descrição
      local Apenas autenticação por senha local (local- only) O dispositivo usa a senha configurada localmente para autenticação. Se nenhuma senha local estiver configurada para uma função de usuário nesse modo, um usuário AUX poderá obter a função de usuário inserindo uma cadeia de caracteres ou não inserindo nada.
      esquema Autenticação AAA remota por meio de HWTACACS ou RADIUS (somente remoto) O dispositivo envia o nome de usuário e a senha para o servidor HWTACACS ou RADIUS para autenticação remota. Para usar esse modo, você deve executar as seguintes tarefas de configuração: Configure o esquema HWTACACS ou RADIUS necessário e configure o domínio ISP para usar o esquema para o usuário. Para obter mais informações, consulte o Guia de configuração de segurança. Adicione a conta de usuário e a senha no servidor HWTACACS ou RADIUS.
      esquema local Primeiro a autenticação por senha local e, em seguida, a autenticação AAA remota (local-então-remoto) A autenticação por senha local é realizada primeiro. Se nenhuma senha local for configurada para a função de usuário nesse modo: O dispositivo executa a autenticação AAA remota para usuários VTY. Um usuário AUX pode obter outra função de usuário inserindo uma string ou não inserindo nada.
      Palavras- chave Modo de autenticação Descrição
      esquem a local Primeiro, a autenticação AAA remota e, em seguida, a autenticação por senha local (remote-then-local) A autenticação AAA remota é realizada primeiro. A autenticação por senha local é realizada em uma das seguintes situações: O servidor HWTACACS ou RADIUS não responde. A configuração AAA remota no dispositivo é inválida.

      Restrições e diretrizes para autorização temporária de função de usuário

      Se a autenticação HWTACACS for usada, as seguintes regras se aplicam:

      • Se o dispositivo não estiver ativado para obter automaticamente o nome de usuário de login como o nome de usuário de autenticação, será necessário inserir um nome de usuário para solicitar a autenticação de função.
      • O dispositivo envia o nome de usuário para o servidor no nome de usuário ou username@domain-nameformato. A inclusão do nome de domínio no nome de usuário depende do comando user-name-format no esquema HWTACACS.
      • Para obter uma função de usuário de nível n, a conta de usuário no servidor deve ter o nível de função de usuário de destino ou um nível superior ao da função de usuário de destino. Uma conta de usuário que obtém a função de usuário de nível n pode obter qualquer função de usuário do nível 0 ao nível n.
      • Para obter uma função de usuário não-level-n, certifique-se de que a conta de usuário no servidor atenda aos seguintes requisitos:
        • A conta tem um nível de privilégio de usuário.
        • O atributo personalizado HWTACACS é configurado para a conta na forma de allowed-roles="role". A variável role representa a função do usuário de destino.

      Se a autenticação RADIUS for usada, as seguintes regras se aplicam:

      • O dispositivo não usa o nome de usuário que você digita ou o nome de usuário de login obtido automaticamente para solicitar a autenticação da função do usuário. Ele usa um nome de usuário no formato $enabn$. A variável n representa um nível de função de usuário, e um nome de domínio não é incluído no nome de usuário. Sempre é possível passar na autenticação de função de usuário quando a senha estiver correta.
      • Para obter uma função de usuário de nível n, é necessário criar uma conta de usuário para a função de usuário de nível n no
        • formato $enabn$ no servidor RADIUS. A variável n representa o nível da função de usuário de destino. Por exemplo, para obter a função de usuário de nível 3, é possível inserir qualquer nome de usuário. O dispositivo usa o nome de usuário $enab3$ para solicitar a autenticação da função de usuário ao servidor.

      • Para obter uma função de usuário não-level-n, é necessário executar as seguintes tarefas:
      • Crie uma conta de usuário chamada $enab0$ no servidor.
      • Configure o atributo cisco-av-pair para a conta na forma de allowed-roles="role". A variável role representa a função do usuário de destino.

      O dispositivo seleciona um domínio de autenticação para autenticação de função de usuário na seguinte ordem:

      • O domínio do ISP incluído no nome de usuário inserido.
      • O domínio padrão do ISP.

      Se você executar o comando quit depois de obter autorização para a função de usuário, será desconectado do dispositivo.

      Definição do modo de autenticação para autorização temporária de função de usuário

      • Entre na visualização do sistema.
      system-view
      • Definir o modo de autenticação.
      super authentication-mode { local | scheme } *

      Por padrão, aplica-se a autenticação somente local.

      Especificação da função de usuário de destino padrão para autorização temporária de função de usuário

      • Entre na visualização do sistema.
      system-view
      • Especifique a função de usuário de destino padrão para autorização temporária de função de usuário.
      super default role role-name

      Por padrão, a função de usuário de destino padrão é network-admin.

      Definição de uma senha de autenticação para autorização temporária de função de usuário

      Sobre senhas de autenticação

      As senhas de autenticação são necessárias apenas para autenticação por senha local.

      Procedimento
      • Entre na visualização do sistema.
      system-view
      • Defina uma senha de autenticação local para uma função de usuário. No modo não-FIPS:
      super password [ role role-name ] [ { hash | simple } string ]

      No modo FIPS:

      super password [ role role-name ]

      Por padrão, nenhuma senha é definida.

      Se você não especificar a opção role role-name, o comando definirá uma senha para a função de usuário de destino padrão .

      Obtenção automática do nome de usuário de login para autorização temporária de função de usuário

      Sobre a obtenção automática do nome de usuário de login para autorização temporária de função de usuário

      Esse recurso é aplicável somente ao login de uma linha de usuário que usa autenticação de esquema, que exige um nome de usuário para o login. Esse recurso permite que o dispositivo obtenha automaticamente o nome de usuário de login quando o usuário de login solicita uma autorização temporária de função de usuário de um servidor de autenticação remoto.

      Restrições e diretrizes

      Se o usuário tiver efetuado login a partir de uma linha de usuário que usa autenticação por senha ou nenhuma autenticação, o dispositivo não poderá obter o nome de usuário de login. A solicitação de autorização temporária de função de usuário de um servidor de autenticação remoto falhará.

      Esse recurso não tem efeito sobre a autenticação de senha local para autorização temporária de função de usuário.

      Procedimento
      • Entre na visualização do sistema.
      system-view
      • Habilite o dispositivo para obter automaticamente o nome de usuário de login quando um usuário de login solicitar autorização temporária de função de usuário de um servidor de autenticação remoto.
      super use-login-username

      Por padrão, o dispositivo solicita um nome de usuário quando um usuário de login solicita autorização temporária de função de usuário de um servidor de autenticação remoto.

      Obtenção de autorização temporária de função de usuário

      Restrições e diretrizes

      A operação de obtenção de autorização temporária de função de usuário falha após três tentativas consecutivas de autenticação sem sucesso.

      Poderá haver falha na mudança para uma função de usuário não nível n se ambas as condições a seguir existirem:

      • A autenticação de troca de função do usuário é realizada no mesmo domínio ISP que o usuário de login atual.
      • A autenticação de troca de função do usuário usa um método AAA diferente do método de autorização de login configurado para o domínio ISP.

      Para resolver esse problema, certifique-se de que os métodos AAA configurados usando o comando authentication super sejam consistentes com aqueles configurados usando o comando authorization login para o domínio ISP.

      Para obter mais informações sobre AAA, consulte o Guia de configuração de segurança.

      Pré-requisitos

      Antes de obter autorização temporária de função de usuário, certifique-se de que a conta de usuário atual tenha permissão para executar o comando super para obter autorização temporária de função de usuário.

      Procedimento

      Para obter a autorização temporária para usar uma função de usuário, execute o seguinte comando na visualização do usuário:

      super [ role-name ]

      Se você não especificar o argumento role-name, obterá a função de usuário de destino padrão para autorização temporária de função de usuário.

      Comandos de exibição e manutenção para RBAC

      Executar comandos de exibição em qualquer visualização.

      Tarefa Comando
      Exibir informações sobre a função do usuário. display role [ name role-name ]
      Tarefa Comando
      Exibir informações sobre o recurso de função do usuário. display role feature [ name feature-name | verbose ]
      Exibir informações do grupo de recursos da função do usuário. display role feature-group [ name feature-group-name ] [ verbose ]

      Exemplos de configuração do RBAC

      Exemplo: Configuração de RBAC para usuários de autenticação AAA local

      Configuração de rede

      Conforme mostrado na Figura 1, o switch executa a autenticação AAA local para o usuário Telnet. A conta de usuário para o usuário Telnet é user1@bbb, à qual é atribuída a função de usuário role1.

      Configure a função1 para ter as seguintes permissões:

      • Executar os comandos de leitura de qualquer recurso.
      • Acesso às VLANs 10 a 20. O acesso a quaisquer outras VLANs é negado.

      Figura 1 Diagrama de rede

      Procedimento

      # Atribua um endereço IP à interface VLAN 2 (a interface conectada ao usuário Telnet).

      <Switch> system-view 
[Interface vlan-interface 2]
ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit

      # Habilite o servidor Telnet.

      [Switch] telnet server enable

      # Habilite a autenticação de esquema nas linhas de usuário para usuários de Telnet.

      [Linha vty 0 63]
[Switch-line-vty0-63] authentication-mode scheme [Switch-line-vty0-63] quit

      # Habilite a autenticação e a autorização locais para o domínio ISP bbb.

      [Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit

      # Crie uma função de usuário chamada role1.

      [Switch] role name role1

      # Configure a regra 1 para permitir que a função de usuário acesse os comandos de leitura de todos os recursos.

      [Switch-role-role1] rule 1 permit read feature

      # Configure a regra 2 para permitir que a função de usuário crie VLANs e acesse comandos na visualização de VLAN.

      [Switch-role-role1] rule 2 permit command system-view ; vlan *

      # Altere a política de VLAN para permitir que a função de usuário configure apenas as VLANs 10 a 20.

      [Switch-role-role1] vlan policy deny
[Switch-role-role1-vlanpolicy] permit vlan 10 to 20
[Switch-role-role1-vlanpolicy] quit
[Switch-role-role1] quit

      # Crie um usuário de gerenciamento de dispositivos chamado user1 e entre na visualização de usuário local.

      [Switch] local-user user1 class manage

      # Defina uma senha de texto simples de 123456TESTplat&! para o usuário. [Switch-luser-manage-user1] password simple 123456TESTplat&! 

      [Switch-luser-manage-user1] password simple 123456TESTplat&!

      # Defina o tipo de serviço como Telnet. [Switch-luser-manage-user1] service-type telnet

      [Switch-luser-manage-user1] service-type telnet

      # Atribua a função1 ao usuário.

      [Switch-luser-manage-user1] authorization-attribute user-role role1

      # Remova a função de usuário padrão (network-operator) do usuário. Essa operação garante que o usuário tenha apenas as permissões da função1.

      [Switch-luser-manage-user1] undo authorization-attribute user-role network-operator
                            [Switch-luser-manage-user1] quit

      Verificação da configuração

      # Faça Telnet no switch e digite o nome de usuário e a senha para acessar o switch. (Detalhes não mostrados).

      # Verifique se você pode criar VLANs de 10 a 20. Este exemplo usa a VLAN 10.

      <Switch> system-view
[Switch] vlan 10
[Switch-vlan10] quit

      # Verifique se você não pode criar nenhuma VLAN além das VLANs 10 a 20. Este exemplo usa a VLAN 30.

      [Switch] vlan 30
Permission denied.

      # Verifique se você pode usar todos os comandos de leitura de qualquer recurso. Este exemplo usa

      [Switch] display clock
09:31:56.258 UTC Sun 01/01/2017
[Switch] quit

      # Verifique se você não pode usar os comandos de gravação ou execução de qualquer recurso.

      <Switch> debugging role all
Permission denied.
<Switch> ping 192.168.1.58
Permission denied.

      Exemplo: Configuração de RBAC para usuários de autenticação RADIUS

      Configuração de rede

      Conforme mostrado na Figura 2, o switch usa o servidor FreeRADIUS para fornecer serviço AAA para usuários de login, incluindo o usuário Telnet. A conta de usuário para o usuário Telnet é hello@bbb, à qual é atribuída a função de usuário role2.

      A função de usuário role2 tem as seguintes permissões:

      • Use todos os comandos na visualização do domínio ISP.
      • Use os comandos de leitura e gravação dos recursos arp e radius.
      • Não é possível acessar os comandos de leitura do recurso acl.
      • Configure as VLANs 1 a 20 e as interfaces GigabitEthernet 1/0/1 a GigabitEthernet 1/0/4. O acesso a quaisquer outras VLANs e interfaces é negado.

      O switch e o servidor FreeRADIUS usam uma chave compartilhada de expert e a porta de autenticação 1812. O switch fornece nomes de usuário com seus nomes de domínio para o servidor.

      Figura 2 Diagrama de rede

      Procedimento

      Verifique se as configurações do switch e do servidor RADIUS correspondem.

      • Configure o switch:

      # Atribua à interface VLAN 2 um endereço IP da mesma sub-rede que o usuário Telnet.

      <Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit

      # Atribua à interface VLAN 3 um endereço IP da mesma sub-rede que o servidor RADIUS.

      [Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Switch-Vlan-interface3] quit

      # Habilite o servidor Telnet.

      [Switch] telnet server enable

      # Habilite a autenticação de esquema nas linhas de usuário para usuários de Telnet.

      [Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit

      # Crie o esquema RADIUS rad e entre na visualização do esquema RADIUS.

      [Switch] radius scheme rad

      # Especifique o endereço do servidor primário e a porta de serviço no esquema.

      [Switch-radius-rad] primary authentication 10.1.1.1 1812

      # Defina a chave compartilhada como expert no esquema para que o switch se autentique no servidor.

      [Switch-radius-rad] key authentication simple expert
[Switch-radius-rad] quit

      # Especifique o esquema rad como os esquemas de autenticação e autorização para o domínio ISP bbb e configure o domínio ISP para não realizar a contabilidade dos usuários de login.

      IMPORTANTE:

      Como as informações de autorização de usuário do RADIUS são transferidas para as respostas de autenticação, os métodos de autenticação e autorização devem usar o mesmo esquema RADIUS. 

      [Switch] domain bbb
[Switch-isp-bbb] authentication login radius-scheme rad
[Switch-isp-bbb] authorization login radius-scheme rad
[Switch-isp-bbb] accounting login none
[Switch-isp-bbb] quit

      # Criar o grupo de recursos fgroup1.

      [Switch] role feature-group name fgroup1

      # Adicione os recursos arp e radius ao grupo de recursos.

      [Switch-featuregrp-fgroup1] feature arp
[Switch-featuregrp-fgroup1] feature radius
[Switch-featuregrp-fgroup1] quit

      # Criar função de usuário role2.

      [Switch] role name role2

      # Configure a regra 1 para permitir que a função de usuário use todos os comandos disponíveis na visualização do domínio ISP.

      [Switch-role-role2] rule 1 permit command system-view ; domain *

      # Configure a regra 2 para permitir que a função de usuário use os comandos de leitura e gravação de todos os recursos em fgroup1

      [Switch-role-role2] rule 2 permit read write feature-group fgroup1

      Configure a regra 3 para desativar o acesso aos comandos de leitura do recurso

      [Switch-role-role2] rule 3 deny read feature acl

      # Configure a regra 4 para permitir que a função de usuário crie VLANs e use todos os comandos disponíveis na visualização de VLAN.

      [Switch-role-role2] rule 4 permit command system-view ; vlan *

      # Configure a regra 5 para permitir que a função de usuário entre na visualização da interface e use todos os comandos disponíveis na visualização da interface.

      [Switch-role-role2] rule 5 permit command system-view ; interface *

      # Configure a política de VLAN da função de usuário para desativar a configuração de qualquer VLAN, exceto as VLANs 1 a 20.

      [Switch-role-role2] vlan policy deny
[Switch-role-role2-vlanpolicy] permit vlan 1 to 20
[Switch-role-role2-vlanpolicy] quit

      # Configure a política de interface de função do usuário para desativar a configuração de qualquer interface, exceto GigabitEthernet 1/0/1 a GigabitEthernet 1/0/4.

      [Switch-role-role2] interface policy deny
18
[Switch-role-role2-ifpolicy] permit interface gigabitethernet 1/0/1 to gigabitethernet 1/0/4
[Switch-role-role2-ifpolicy] quit
[Switch-role-role2] quit
      • Configure o servidor RADIUS:

      # Adicione um dos atributos de função do usuário ao arquivo de dicionário do servidor FreeRADIUS.

      Cisco-AVPair = "shell:roles=\"role2\""
Cisco-AVPair = "shell:roles*\"role2\""

      # Defina as configurações necessárias para que o servidor FreeRADIUS se comunique com o switch.

      (Detalhes não mostrados.)

      Verificação da configuração

      # Faça Telnet no switch e digite o nome de usuário e a senha para acessar o switch. (Detalhes não mostrados).

      # Verifique se você pode usar todos os comandos disponíveis na visualização do domínio ISP.

      <Switch> system-view
[Switch] domain abc
[Switch-isp-abc] authentication login radius-scheme abc
[Switch-isp-abc] quit

      # Verifique se você pode usar todos os comandos de leitura e gravação dos recursos radius e arp. Este exemplo usa o radius.

      [Switch] radius scheme rad
[Switch-radius-rad] primary authentication 2.2.2.2
[Switch-radius-rad] display radius scheme rad

      # Verifique se você não pode configurar nenhuma VLAN, exceto as VLANs 1 a 20. Este exemplo usa a VLAN 10 e a VLAN 30.

      [Switch] vlan 10
[Switch-vlan10] quit
[Switch] vlan 30
Permission denied.

      # Verifique se você não pode configurar nenhuma interface, exceto GigabitEthernet 1/0/1 a GigabitEthernet 1/0/4. Este exemplo usa a GigabitEthernet 1/0/2 e a GigabitEthernet 1/0/5.

      [Switch] vlan 10
[Switch-vlan10] port gigabitethernet 1/0/2
[Switch-vlan10] port gigabitethernet 1/0/5
Permission denied.

      Exemplo: Configuração da autorização temporária de função de usuário RBAC (autenticação HWTACACS)

      Configuração de rede

      Conforme mostrado na Figura 3, o switch usa a autenticação HWTACACS para usuários de login, incluindo o usuário Telnet. A conta de usuário para o usuário Telnet é test@bbb, à qual é atribuída a função de usuário nível 0.

      Configure o modo de autenticação remote-then-local para autorização temporária da função do usuário. O switch usa o servidor HWTACACS para fornecer autenticação para alterar a função do

      usuário entre o nível 0 e o nível 3 ou alterar a função do usuário para administrador de rede. Se a configuração AAA for inválida ou o servidor HWTACACS não responder, o switch executará a autenticação local.

      Figura 3 Diagrama de rede

      Procedimento

      • Configure o switch:

      # Atribua um endereço IP à interface VLAN 2 (a interface conectada ao usuário Telnet).

      <Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit

      # Atribua um endereço IP à interface VLAN 3 (a interface conectada ao servidor HWTACACS).

      [Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Switch-Vlan-interface3] quit

      # Habilite o servidor Telnet.

      [Switch] telnet server enable

      # Habilite a autenticação de esquema nas linhas de usuário para usuários de Telnet.

      [Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit

      # Habilite a autenticação remote-then-local para autorização temporária da função do usuário.

      [Switch] super authentication-mode scheme local

      # Crie um esquema HWTACACS chamado hwtac e entre na visualização do esquema HWTACACS.

      [Switch] hwtacacs scheme hwtac

      # Especifique o endereço do servidor de autenticação principal e a porta de serviço no esquema.

      [Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49

      # Especifique o endereço do servidor de autorização principal e a porta de serviço no esquema.

      [Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49

      # Defina a chave compartilhada como expert no esquema para que o switch faça a autenticação no servidor de autenticação.

      [Switch-hwtacacs-hwtac] key authentication simple expert

      # Defina a chave compartilhada como expert no esquema para que o switch se autentique no servidor de autorização.

      [Switch-hwtacacs-hwtac] key authorization simple expert

      # Exclua os nomes de domínio do ISP dos nomes de usuário enviados ao servidor HWTACACS.

      [Switch-hwtacacs-hwtac] user-name-format without-domain
[Switch-hwtacacs-hwtac] quit

      # Crie o domínio ISP bbb e entre na visualização do domínio ISP.

      [Switch] domain bbb

      # Configure o domínio ISP bbb para usar o esquema HWTACACS hwtac para autenticação de usuário de login.

      [Switch-isp-bbb] authentication login hwtacacs-scheme hwtac

      # Configure o domínio ISP bbb para usar o esquema HWTACACS hwtac para autorização de usuário de login.

      [Switch-isp-bbb] authorization login hwtacacs-scheme hwtac

      # Configure o domínio bbb do ISP para não realizar a contabilidade dos usuários de login.

      [Switch-isp-bbb] accounting login none

      # Aplique o esquema HWTACACS hwtac ao domínio ISP para autenticação de função de usuário.

      [Switch-isp-bbb] authentication super hwtacacs-scheme hwtac
[Switch-isp-bbb] quit

      # Defina a senha de autenticação local como 654321TESTplat&! para a função de usuário nível 3.

      [Switch] super password role level-3 simple 654321TESTplat&!

      # Defina a senha de autenticação local como 654321TESTplat&! para a função de usuário

      network-admin.

      [Switch] super password role network-admin simple 654321TESTplat&!
                            [Switch] quit
      • Configure o servidor HWTACACS: Este exemplo usa o ACSv4.0.

      Este exemplo fornece apenas as principais etapas de configuração. Para obter mais informações sobre a configuração de um servidor HWTACACS, consulte a documentação do servidor.

      • Acesse a página User Setup (Configuração do usuário).
      • Adicione uma conta de usuário chamada test e defina sua senha como

      123456TESTplat&!. (Detalhes não mostrados).

      • Na área Advanced TACACS+ Settings (Configurações avançadas do TACACS+), configure os seguintes parâmetros:
        • Selecione Nível 3 para a opção Privilégio máximo para qualquer cliente AAA.

      Se a função de usuário de destino for apenas administrador de rede para autorização temporária de função de usuário, você poderá selecionar qualquer nível para a opção.

      • Selecione a opção Usar senha separada e especifique enabpass como a senha.

      Figura 4 Configuração de definições avançadas do TACACS+

      • Selecione Shell (exec) e Custom attributes e digite allowed-roles="network-admin"

      no campo Atributos personalizados.

      Use um espaço em branco para separar as funções permitidas.

      Figura 5 Configuração de atributos personalizados para o usuário Telnet

      Verificação da configuração
      • Faça Telnet no switch e digite o nome de usuário test@bbb e a senha 123456TESTplat&! para acessar o switch. Verifique se você tem acesso aos comandos de diagnóstico.
      <Switch> telnet 192.168.1.70
Trying 192.168.1.70 ...
Press CTRL+K to abort
Connected to 192.168.1.70 ...
******************************************************************************

* Copyright (c) 2004-2017 New Intelbras Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************

login: test@bbb
Password:
<Switch>?
User view commands:
ping Ping function
quit Exit from current command view
ssh2 Establish a secure shell client connection
super Switch to a user role
system-view Enter the System View
telnet Establish a telnet connection
tracert Tracert function
<Switch>
      • Verifique se você pode obter a função de usuário de nível 3:

      # Use a super senha para obter a função de usuário de nível 3. Quando o sistema solicitar um nome de usuário e uma senha, digite o nome de usuário test@bbb e a senha enabpass.

      <Switch> super level-3
                            Username: test@bbb
                            Password:

      A saída a seguir mostra que você obteve a função de usuário de nível 3.

      A função de privilégio do usuário é de nível 3, e somente os comandos autorizados para a função podem ser usados.

      # Se o servidor ACS não responder, digite a senha de autenticação local 654321TESTplat&!

      no prompt.

      Configuração inválida ou nenhuma resposta do servidor de autenticação. Altere o modo de autenticação para local.

      Senha:

      A função de privilégio do usuário é de nível 3, e somente os comandos autorizados para a função podem ser usados.

      O resultado mostra que você obteve a função de usuário de nível 3.

      • Use o método da etapa 2 para verificar se é possível obter as funções de usuário de nível 0, nível 1, nível 2 e administrador de rede. (Detalhes não mostrados).

      Exemplo: Configuração de autorização temporária de função de usuário RBAC (autenticação RADIUS)

      Configuração de rede

      Conforme mostrado na Figura 6, o switch usa a autenticação RADIUS para usuários de login, incluindo o usuário Telnet. A conta de usuário para o usuário Telnet é test@bbb, à qual é atribuída a função de usuário nível 0.

      Configure o modo de autenticação remote-then-local para autorização temporária da função de usuário. O switch usa o servidor RADIUS para fornecer autenticação para a função de usuário network-admin. Se a configuração AAA for inválida ou o servidor RADIUS não responder, o switch executará a autenticação local.

      Figura 6 Diagrama de rede

      Procedimento

      • Configure o switch:

      # Atribua um endereço IP à interface VLAN 2 (a interface conectada ao usuário Telnet).

      <Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit

      # Atribua um endereço IP à interface VLAN 3 (a interface conectada ao servidor RADIUS).

      [Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Switch-Vlan-interface3] quit

      # Habilite o servidor Telnet.

      [Switch] telnet server enable

      # Habilite a autenticação de esquema nas linhas de usuário para usuários de Telnet.

      [Switch] line vty 0 15
                            [Switch-line-vty0-15] authentication-mode scheme
                            [Switch-line-vty0-15] quit

      # Habilite a autenticação remote-then-local para autorização temporária da função do usuário.

      [Switch] super authentication-mode scheme local

      # Crie o esquema RADIUS radius e entre na visualização do esquema RADIUS.

      [Switch] radius scheme radius

      # Especifique o endereço do servidor de autenticação primária e a chave compartilhada no esquema para a comunicação segura entre o switch e o servidor.

      [Switch-radius-radius] primary authentication 10.1.1.1 key simple expert

      # Crie o domínio ISP bbb e entre na visualização do domínio ISP.

      [Switch] domain bbb

      # Configure o domínio bbb do ISP para usar o esquema radius do RADIUS para autenticação do usuário de login.

      [Switch-isp-bbb] authentication login radius-scheme radius

      # Configure o domínio bbb do ISP para usar o esquema radius do RADIUS para autorização do usuário de login.

      [Switch-isp-bbb] authorization login radius-scheme radius

      # Configure o domínio bbb do ISP para não realizar a contabilidade dos usuários de login.

      [Switch-isp-bbb] accounting login none

      # Aplique o esquema RADIUS radius ao domínio ISP para autenticação de função de usuário.

      [Switch-isp-bbb] authentication super radius-scheme radius [Switch-isp-bbb] quit

      # Defina a senha de autenticação local como abcdef654321 para a função de usuário

                                  
                              [Switch] super password role network-admin simple abcdef654321
                              [Switch] quit
      • Configure o servidor RADIUS: Este exemplo usa o ACSv4.2.

      Este exemplo fornece apenas as principais etapas de configuração. Para obter mais informações sobre a configuração de um servidor RADIUS, consulte a documentação do servidor.

      • Adicione uma conta de usuário Telnet para autenticação de login. Defina o nome de usuário como test@bbb e a senha como 123456TESTplat&!. (Detalhes não mostrados).
      • Adicione uma conta de usuário para autorização temporária de função de usuário. Defina o nome de usuário como

      $enab0$ e a senha para 123456. (Detalhes não mostrados).

      • Acesse a página Atributos RADIUS do Cisco IOS/PIX 6.x.
      • Configure o atributo cisco-av-pair, conforme mostrado na Figura 7.

      Figura 7 Configuração do atributo cisco-av-pair

      Verificação da configuração

      • Faça telnet no switch e digite o nome de usuário test@bbb e a senha 123456TESTplat&! para acessar o switch. Verifique se você tem acesso aos comandos de diagnóstico.
      
<Switch> telnet 192.168.1.70
Trying 192.168.1.70 ...
Press CTRL+K to abort
Connected to 192.168.1.70 ...
******************************************************************************
* Copyright (c) 2004-2017 New Intelbras Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: test@bbb
Password:
<Switch>?
User view commands:
ping Ping function
quit Exit from current command view
ssh2 Establish a secure shell client connection
super Switch to a user role
system-view Enter the System View
telnet Establish a telnet connection
tracert Tracert function
<switch>
      • Verifique se é possível obter a função de usuário network-admin:

      # Use a super senha para obter a função de usuário administrador da rede. Quando o sistema solicitar um nome de usuário e uma senha, digite o nome de usuário test@bbb e a senha 123456.

      
<Switch> super network-admin
Username: test@bbb
Password:

      A saída a seguir mostra que você obteve a função de usuário network-admin.

      A função de privilégio do usuário é administrador de rede, e somente os comandos

      autorizados para a função podem ser usados.

      # Se o servidor ACS não responder, digite a senha de autenticação local abcdef654321 no prompt.

      Configuração inválida ou nenhuma resposta do servidor de autenticação. Altere o modo de autenticação para local.

      Senha:

      A função de privilégio do usuário é administrador de rede, e somente os comandos autorizados para a função podem ser usados.

      A saída mostra que você obteve a função de usuário network-admin.

      Solução de problemas de RBAC

      Esta seção descreve vários problemas típicos do RBAC e suas soluções.

      Os usuários locais têm mais permissões de acesso do que o pretendido

      Sintoma

      Análise

      Solução

      Um usuário local pode usar mais comandos do que o permitido pelas funções de usuário atribuídas.

      O usuário local pode ter sido atribuído a funções de usuário sem o seu conhecimento. Por exemplo, o usuário local é automaticamente atribuído à função de usuário padrão quando você cria o usuário.

      Para resolver o problema:

      • Use o comando display local-user para examinar as contas de usuário locais em busca de funções de usuário indesejáveis e removê-las.
      • Se o problema persistir, entre em contato com o Suporte da Intelbras.

      As tentativas de login dos usuários do RADIUS sempre falham

      Sintoma

      Análise

      Solução

      As tentativas de um usuário RADIUS de fazer login no dispositivo de acesso à rede sempre falham, mesmo que as seguintes condições existam:

      • O dispositivo de acesso à rede e o servidor RADIUS podem se comunicar entre si.
      • Todas as configurações AAA estão corretas.

      O RBAC exige que um usuário de login tenha no mínimo uma função de usuário. Se o servidor RADIUS não autorizar o usuário de login a usar qualquer função de usuário, ele não poderá fazer login no dispositivo.

      Para resolver o problema:

      • Use um dos métodos a seguir:
        • Configure o comando role default-role enable. Um usuário RADIUS pode fazer login com a função de usuário padrão quando nenhuma função de usuário é atribuída pelo servidor RADIUS.
      • Adicione os atributos de autorização da função do usuário no servidor RADIUS.
      • Se o problema persistir, entre em contato com o Suporte da Intelbras.

      Visão geral do login

      O dispositivo suporta os seguintes tipos de métodos de login:

    • Login na CLI - Na CLI, você pode inserir comandos de texto para configurar e gerenciar o dispositivo. Para fazer login na CLI, você pode usar um dos seguintes métodos:
      • Conecte-se à porta do console.
      • Use o Telnet.
      • Use SSH.
      • Login na Web - Por meio da interface da Web, você pode configurar e gerenciar o dispositivo visualmente.
    • Acesso SNMP - Você pode executar o SNMP em um NMS para acessar o MIB do dispositivo e executar operações Get e Set para configurar e gerenciar o dispositivo.
    • Acesso RESTful - Você pode usar as operações da API RESTful para configurar e gerenciar o dispositivo. Na primeira vez que você acessa o dispositivo, os métodos de login disponíveis variam de acordo com o modelo do dispositivo.
    • Na série de switches a seguir, é possível fazer login no dispositivo por meio da porta do console, ou da interface da Web, a menos que o dispositivo seja configurado automaticamente na inicialização:

      • Antes do primeiro login na Web, obtenha o endereço IP de gerenciamento, o nome de usuário e a senha no dispositivo. Em seguida, execute um navegador da Web, digite o endereço IP de gerenciamento na barra de endereços e pressione Enter para acessar a interface da Web para fazer login no dispositivo.

      • Para as outras séries de switches, só é possível fazer login na CLI por meio da porta do console, a menos que o dispositivo seja configurado automaticamente na inicialização.
      • Se o dispositivo for iniciado com os padrões de fábrica, a autenticação do esquema estará ativada. São necessários o nome de usuário e a senha, que podem ser obtidos no dispositivo.
      • Se o dispositivo for iniciado com a configuração inicial, a autenticação será desativada.
      • Na outra série de switches, a autenticação está desativada.

      Para obter mais informações sobre a configuração inicial e os padrões de fábrica, consulte "Gerenciamento de arquivos de configuração".

      Após o login, é possível alterar os parâmetros de login do console ou configurar outros métodos de acesso.

      O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não- FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de configuração de segurança.

      Telnet, login na Web baseado em HTTP e acesso RESTful baseado em HTTP não são compatíveis com o modo FIPS.

      Uso da porta do console para o primeiro acesso ao dispositivo

      Sobre o uso da porta do console para o primeiro acesso ao dispositivo

      O login no console é o método de login fundamental.

      Pré-requisitos

      Para fazer login pela porta do console, prepare um terminal de console, por exemplo, um PC. Certifique-se de que o terminal do console tenha um programa de emulação de terminal, como o HyperTerminal ou o PuTTY. Para obter informações sobre como usar programas de emulação de terminal, consulte os guias do usuário dos programas.

      Procedimento
    • Desligue o PC.

      • As portas seriais dos PCs não são compatíveis com hot swapping. Antes de conectar ou desconectar um cabo de uma porta serial em um PC, é necessário desligar o PC.

      • Localize o cabo do console fornecido com o dispositivo e conecte o conector fêmea DB-9 do cabo do console à porta serial do PC.
      • Identifique cuidadosamente a porta do console do dispositivo e conecte o conector RJ-45 do cabo do console à porta do console.

      IMPORTANTE:

      Para conectar um PC a um dispositivo operacional, primeiro conecte a extremidade do PC. Para desconectar um PC de um dispositivo operacional, primeiro desconecte a extremidade do dispositivo.

      Figura 1 Conexão de um terminal à porta do console

      • Ligue o PC.
      • No PC, inicie o programa de emulação de terminal e crie uma conexão que use a porta serial conectada ao dispositivo. Defina as propriedades da porta de modo que elas correspondam às seguintes configurações padrão da porta do console:
        • Bits por segundo - 9600 bps.
        • Controle de fluxo - Nenhum.
        • Paridade - Nenhuma.
        • Bits de parada-1.
        • Bits de dados-8.
        • Ligue o dispositivo. O método para acessar a CLI varia de acordo com o modelo do dispositivo.

        O prompt de visualização do usuário é exibido. Você pode inserir comandos para configurar ou gerenciar o dispositivo. Para obter ajuda, digite um ponto de interrogação (?).

      Configuração do login da CLI

      Sobre o login da CLI

      O dispositivo usa linhas de usuário (também chamadas de interfaces de usuário) para gerenciar sessões de CLI e monitorar o comportamento do usuário. Para uma linha de usuário, é possível definir as configurações de controle de acesso, incluindo o método de autenticação de login e as funções do usuário.

      Linhas de usuário

      Tipos de linha do usuário

      O dispositivo suporta os tipos de linhas de usuário listados na Tabela 1. Diferentes linhas de usuário exigem diferentes métodos de login .

      Tabela 1 Método de login da CLI e matriz de linhas de usuário

      Linha do usuário Método de login
      Linha AUX Porta do console.
      Linha de terminal de tipo virtual (VTY) Telnet ou SSH.

      Numeração da linha do usuário

      Uma linha de usuário tem um número absoluto e um número relativo.

      Um número absoluto identifica exclusivamente uma linha de usuário entre todas as linhas de usuário. As linhas de usuário são numeradas a partir de 0 e incrementadas em 1, na sequência de linhas AUX, VTY e USB. É possível usar o comando display line sem nenhum parâmetro para visualizar as linhas de usuário compatíveis e seus números absolutos.

      Um número relativo identifica de forma exclusiva uma linha de usuário entre todas as linhas de usuário do mesmo tipo. O formato do número é tipo de linha de usuário + número. Todos os tipos de linhas de usuário são numerados a partir de 0 e incrementados em 1. Por exemplo, a primeira linha VTY é VTY 0.

      Atribuição de linha de usuário

      O dispositivo atribui linhas de usuário aos usuários de login da CLI, dependendo de seus métodos de login, conforme mostrado na Tabela

      1. Quando um usuário faz login, o dispositivo verifica as linhas de usuário ociosas para o método de login e atribui a linha de usuário com o número mais baixo ao usuário. Por exemplo, se a VTY 0 e a VTY 3 estiverem ociosas quando um usuário se conectar ao dispositivo, o dispositivo atribuirá a VTY 0 ao usuário.

      Cada linha de usuário pode ser atribuída somente a um usuário por vez. Se nenhuma linha de usuário estiver disponível, uma tentativa de login na CLI será rejeitada.

      Modos de autenticação de login

      Você pode configurar a autenticação de login para impedir o acesso ilegal à CLI do dispositivo. No modo não-FIPS, o dispositivo suporta os seguintes modos de autenticação de login:

      • None - desativa a autenticação. Esse modo permite o acesso sem autenticação e é inseguro.
      • Senha - Requer autenticação por senha. O usuário deve fornecer a senha correta no login.
      • Esquema - Usa o módulo AAA para fornecer autenticação de login local ou remoto. Um usuário deve fornecer o nome de usuário e a senha corretos no login.

      No modo FIPS, o dispositivo suporta apenas o modo de autenticação de esquema.

      Diferentes modos de autenticação de login exigem diferentes configurações de linha de usuário, conforme mostrado na Tabela 2.

      Tabela 2 Configuração necessária para diferentes modos de autenticação de login

      Modo de autenticação Tarefas de configuração
      Nenhum Defina o modo de autenticação como nenhum.
      Senha Defina o modo de autenticação como senha. Defina uma senha.
      Esquema Defina o modo de autenticação como esquema. Configure os métodos de autenticação de login na visualização de domínio do ISP. Para obter mais informações, consulte o Guia de configuração de segurança.

      Funções do usuário

      As funções de usuário são atribuídas a um usuário no login. As funções de usuário controlam os comandos disponíveis para o usuário. Para obter mais informações sobre funções de usuário, consulte "Configuração do RBAC".

      O dispositivo atribui funções de usuário com base no modo de autenticação de login e no tipo de usuário.

      • No modo de autenticação sem senha ou com senha, o dispositivo atribui as funções de usuário especificadas para a linha de usuário.
      • No modo de autenticação de esquema, o dispositivo usa as seguintes regras para atribuir funções de usuário:
      • Para um usuário de login SSH que usa autenticação publickey ou password-publickey, o dispositivo atribui as funções de usuário especificadas para o usuário de gerenciamento de dispositivo local com o mesmo nome.
      • Para outros usuários, o dispositivo atribui funções de usuário de acordo com a configuração da função de usuário do módulo AAA. Se o servidor AAA não atribuir nenhuma função de usuário e o recurso de função de usuário padrão estiver desativado, um usuário de autenticação AAA remota não poderá fazer login.

      Conformidade com FIPS

      O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não- FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de configuração de segurança.

      O login Telnet não é compatível com o modo FIPS.

      Restrições e diretrizes: Configuração de login da CLI

      Para comandos disponíveis na visualização de linha de usuário e na visualização de classe de linha de usuário, aplicam-se as seguintes regras:

      • Uma configuração na visualização de linha de usuário aplica-se somente à linha de usuário. Uma configuração na visualização de classe de linha de usuário se aplica a todas as linhas de usuário da classe.

      • Uma configuração não padrão em uma das visualizações tem precedência sobre a configuração padrão na outra visualização. Uma configuração não padrão na visualização de linha de usuário tem precedência sobre a configuração não padrão na visualização de classe de linha de usuário.
      • Uma configuração na visualização de classe de linha de usuário entra em vigor somente para os usuários que fizerem login depois que a configuração for feita. Ela não afeta os usuários que já estão on-line quando a configuração é feita.

      Configuração do login no console

      Sobre o login no console

      É possível conectar um terminal à porta do console do dispositivo para fazer login e gerenciar o dispositivo, conforme mostrado na Figura 2. Para obter informações sobre o procedimento de login, consulte "Uso da porta do console para o primeiro acesso ao dispositivo".

      Figura 2 Fazer login pela porta do console

      As configurações padrão para o login do console são as seguintes:

      • Se o dispositivo for iniciado com os padrões de fábrica, a autenticação de esquema estará ativada.
      • Se o dispositivo for iniciado com a configuração inicial, a autenticação será desativada. A função do usuário é network-admin para um usuário de console.
      • Na outra série de switches, a autenticação está desativada. A função do usuário é network-admin para um usuário de console.

      Para obter mais informações sobre a configuração inicial e os padrões de fábrica, consulte "Gerenciamento de arquivos de configuração".

      Para aumentar a segurança do dispositivo, configure a autenticação por senha ou esquema imediatamente após fazer login no dispositivo pela primeira vez.

      Restrições e diretrizes

      Uma alteração na configuração de login do console entra em vigor apenas para os usuários que fizerem login após a alteração ser feita. Ela não afeta os usuários que já estão on-line quando a alteração é feita.

      No modo FIPS, o dispositivo suporta apenas a autenticação de esquema. Não é possível desativar a autenticação ou configurar a autenticação por senha.

      Visão geral das tarefas de configuração do login do console e do USB

      Para configurar o login no console, execute as seguintes tarefas:

      • Configuração da autenticação de login do console
      • Desativação da autenticação para login no console
      • Configuração da autenticação por senha para login no console
      • Configuração da autenticação de esquema para login no console
      • (Opcional.) Definição de configurações comuns de login no console

      Configuração da autenticação de login do console

      Desativação da autenticação para login no console
      • Entre na visualização do sistema.
      system-view
      • Entre na visualização de linha AUX ou na visualização de classe.
        • Entre na visualização de linha AUX.
      line { aux | } first-number [ last-number ]
      • Entre na visualização da classe de linha AUX.
      line class { aux }
      • Desativar a autenticação.
      authentication-mode none (modo de autenticação nenhum)

      O modo de autenticação padrão para login no console é o seguinte:

        • Se o dispositivo for iniciado com os padrões de fábrica, a autenticação de esquema estará ativada.
        • Se o dispositivo for iniciado com a configuração inicial, a autenticação será desativada.

        Para obter mais informações sobre a configuração inicial e os padrões de fábrica, consulte "Gerenciamento de arquivos de configuração".

        CUIDADO:

        Quando a autenticação é desativada, os usuários podem fazer login no dispositivo por meio da linha ou da classe de linha sem autenticação. Para fins de segurança, desative a autenticação com cuidado.

      Atribua uma função de usuário.

      user-role role-name

      Por padrão, um usuário de console recebe a função de usuário administrador de rede.

      Configuração da autenticação por senha para login no console
      • Entre na visualização do sistema.
        • system-view
      • Entre na visualização de linha AUX/USB ou na visualização de classe.
        • Entre na visualização de linha AUX.
          • line{ aux | usb } first-number [ last-number ]
        • Entre na visualização de classe AUX.
          • line class { aux | usb }
      • Habilite a autenticação por senha.
        • authentication-mode password

      Modo de autenticação senha

      O modo de autenticação padrão para login no console é o seguinte:

      • Defina uma senha.
        • set authentication password { hash | simple } password

        Por padrão, nenhuma senha é definida.

      • Atribua uma função de usuário.
        • user-role role-name

        Por padrão, um usuário de console recebe a função de usuário administrador de rede.

      Configuração da autenticação de esquema para login no console

      • Entre na visualização do sistema.
        • system-view
      • Entre na visualização de linha AUX ou na visualização de classe.
        • Entre na visualização de linha AUX.
          • line { aux | } first-number [ last-number ]
        • Entre na visualização da classe de linha AUX.
          • line class { aux | usb }
      • Ativar a autenticação do esquema.
        • No modo não-FIPS:
          • authentication-mode scheme
        • No modo FIPS:
          • authentication-mode scheme

          Por padrão, a autenticação de esquema está ativada.

        CUIDADO:

        Ao ativar a autenticação de esquema, certifique-se de que uma conta de usuário de autenticação esteja disponível. Se nenhuma conta de usuário de autenticação estiver disponível, não será possível fazer login no dispositivo por meio da linha ou da classe de linha na próxima vez.

      • Configure os parâmetros de autenticação do usuário na visualização do domínio ISP.

        • Para usar a autenticação local, configure um usuário local e defina os atributos relevantes. Para usar a autenticação remota, configure um esquema RADIUS, LDAP ou HWTACACS. Para obter mais informações, consulte AAA no Guia de configuração de segurança.

      Definição de configurações comuns de login no console

      Restrições e diretrizes

      Algumas configurações comuns de login de console entram em vigor imediatamente e podem interromper a sessão atual. Use um método de login diferente do login do console ou do USB para fazer login no dispositivo antes de alterar as configurações de login do console ou do USB.

      Depois de alterar as configurações de login do console, ajuste as configurações no terminal de configuração de acordo para que o login seja bem-sucedido.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Entre na visualização de linha AUX ou na visualização de classe.
        • line { aux } first-number [ last-number ]
      • Entre na visualização da linha AUX/USB.
        • line class { aux | usb }
      • Configurar parâmetros de transmissão.
        • Defina a taxa de transmissão.
          • speed speed-value

          Por padrão, a taxa de transmissão é de 9600 bps.

          Esse comando não está disponível na visualização de classe da linha do usuário.

        • Especifique o modo de paridade.
          • parity { even | mark | none | odd | space }

          Por padrão, uma linha de usuário não usa paridade.

          Esse comando não está disponível na visualização de classe da linha do usuário.

        • Configure o controle de fluxo.
          • flow-control { hardware | none | software }

          Por padrão, o dispositivo não executa o controle de fluxo. Esse comando não está disponível na visualização de classe de linha do usuário.

        • Especifique o número de bits de dados para um caractere.
          • databits { 5 | 6 | 7 | 8 }

          Esse comando não está disponível na visualização de classe da linha do usuário.

          Parâmetro Descrição
          7 Usa caracteres ASCII padrão.
          8 Usa caracteres ASCII estendidos.
          5 e 6 Disponível somente para discagem por modem.
        • Especifique o número de bits de parada para um caractere.
          • stopbits { 1 | 1.5 | 2 }

          O padrão é 1.

          Os bits de parada indicam o fim de um caractere. Quanto maior o número de bits de parada, mais lenta será a transmissão.

          Esse comando não está disponível na visualização de classe da linha do usuário.

      • Configurar os atributos do terminal.
        • Habilite o serviço de terminal.
          • shell

          Por padrão, o serviço de terminal é ativado em todas as linhas de usuário. O comando undo shell não está disponível na visualização de linha AUX.

        • Especifique o tipo de exibição do terminal. tipo de terminal type { ansi | vt100 } Por padrão, o tipo de exibição do terminal é ANSI.

          • O dispositivo é compatível com os tipos de exibição de terminal ANSI e VT100. Como prática recomendada, especifique o tipo VT100 tanto no dispositivo quanto no terminal de configuração. Você também pode especificar o tipo ANSI para ambos os lados, mas poderá ocorrer um problema de exibição se a linha de comando tiver mais de 80 caracteres.

        • Defina o número máximo de linhas de saída de comando a serem enviadas ao terminal por vez.
          • screen-length screen-length

          Por padrão, o dispositivo envia um máximo de 24 linhas ao terminal por vez. Para desativar a pausa entre as telas de saída, defina o valor como 0.

        • Definir o tamanho do buffer do histórico de comandos.
          • history-command max-size value

          Por padrão, o tamanho do buffer é 10. O buffer de uma linha de usuário pode salvar no máximo 10 comandos de histórico.

        • Defina o temporizador de tempo ocioso da conexão CLI.
          • idle-timeout minutes [ seconds ]

          Por padrão, o temporizador de tempo ocioso da conexão CLI é de 10 minutos.

          Se não ocorrer nenhuma interação entre o dispositivo e o usuário dentro do intervalo de tempo ocioso, o sistema encerrará automaticamente a conexão do usuário na linha do usuário.

          Se você definir o cronômetro de tempo limite como 0, a conexão não será envelhecida.

      • Especifique o comando a ser executado automaticamente para usuários de login nas linhas.
        • auto-execute command command

        Por padrão, nenhum comando é especificado para execução automática.

        CUIDADO:

        Use esse comando com cuidado. Se esse comando for usado em uma linha de usuário, os usuários que fizerem login no dispositivo por meio dessa linha de usuário poderão não conseguir configurar o sistema.

        O dispositivo executará automaticamente o comando especificado quando um usuário fizer login pela linha do usuário e fechará a conexão do usuário depois que o comando for executado.

        Esse comando não está disponível na visualização de linha AUX ou na visualização de classe de linha AUX.

      • Configurar teclas de atalho.
        • Especifique a chave de ativação da sessão do terminal.
          • activation-key character

          Por padrão, pressionar Enter inicia a sessão do terminal.

        • Especifique a tecla de escape.
          • escape-key { caractere | padrão }

          Por padrão, pressionar Ctrl+C encerra um comando.

        • Defina a chave de bloqueio de linha do usuário.
          • lock-key key-string

          Por padrão, nenhuma chave de bloqueio de linha de usuário é definida.

      Configuração do login Telnet

      Sobre o login Telnet

      O dispositivo pode atuar como um servidor Telnet para permitir o login Telnet ou como um cliente Telnet para fazer Telnet em outros dispositivos.

      Restrições e diretrizes

      O login Telnet não é compatível com o modo FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de configuração de segurança.

      Uma alteração na configuração de login do Telnet entra em vigor somente para os usuários que fizerem login depois que a alteração for feita. Ela não afeta os usuários que já estão on-line quando a alteração é feita.

      Configuração do dispositivo como um servidor Telnet

      Ativação do servidor Telnet
      • Entre na visualização do sistema.
        • system-view
      • Habilite o servidor Telnet.
        • telnet server enable

        Servidor telnet habilitado

        Por padrão, o servidor Telnet está desativado.

      Desativação da autenticação para login Telnet

      • Entre na visualização do sistema.
        • system-view
      • Entre na visualização de linha VTY ou na visualização de classe.
        • Entre na visualização de linha VTY.
          • first-number [ last-number ]
        • Entre na visualização da classe de linha VTY.
          • line class vty
      • Desativar a autenticação.
        • authentication-mode none (modo de autenticação nenhum)

        Por padrão, a autenticação por senha é ativada para o login Telnet.

        CUIDADO:

        Quando a autenticação está desativada, os usuários podem fazer login no dispositivo por meio da linha ou da classe de linha sem autenticação. Para fins de segurança, desative a autenticação com cuidado.

        Na visualização de linha VTY, esse comando está associado ao comando de entrada de protocolo. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

      • (Opcional.) Atribua uma função de usuário.
        • user-role role-name

        Por padrão, um usuário de linha VTY recebe a função de usuário operador de rede.

      Configuração da autenticação de senha para login Telnet

      • Entre na visualização do sistema.
        • system-view
      • Entre na visualização de linha VTY ou na visualização de classe.
        • Entre na visualização de linha VTY.
          • line vty first-number [ last-number ]
        • Entre na visualização da classe de linha VTY.
          • line class vty
      • Habilite a autenticação por senha.
        • authentication-mode password

        Por padrão, a autenticação por senha é ativada para o login Telnet.

        CUIDADO:

        Ao ativar a autenticação por senha, você também deve configurar uma senha de autenticação para a linha ou classe de linha. Se nenhuma senha de autenticação for configurada, não será possível fazer login no dispositivo por meio da linha ou da classe de linha na próxima vez.

        Na visualização de linha VTY, esse comando está associado ao comando de entrada de protocolo. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY , independentemente de sua configuração na visualização de classe de linha VTY.

      • Defina uma senha.
        • set authentication password { hash | simple } password

        Por padrão, nenhuma senha é definida.

      • (Opcional.) Atribua uma função de usuário.
        • user-role role-name

        Por padrão, um usuário de linha VTY recebe a função de usuário operador de rede.

      Configuração da autenticação de esquema para login Telnet

      • Entre na visualização do sistema.
        • system-view
      • Entre na visualização de linha VTY ou na visualização de classe.
        • Entre na visualização de linha VTY.
          • line vty first-number [ last-number ]
        • Entre na visualização da classe de linha
          • line class vty
      • Ativar a autenticação do esquema.
        • authentication-mode scheme

        Por padrão, a autenticação por senha é ativada para o login Telnet.

        CUIDADO:

        Ao ativar a autenticação de esquema, certifique-se de que uma conta de usuário de autenticação esteja disponível. Se nenhuma conta de usuário de autenticação estiver disponível, não será possível fazer login no dispositivo por meio da linha ou da classe de linha na próxima vez.

        Na visualização de linha VTY, esse comando está associado ao comando de entrada de protocolo. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

      • Configure os parâmetros de autenticação do usuário na visualização do domínio ISP. Para usar a autenticação local, configure um usuário local e defina os atributos relevantes.

        • Para usar a autenticação remota, configure um esquema RADIUS, LDAP ou HWTACACS. Para obter mais informações, consulte AAA no Guia de configuração de segurança.

      Definição de configurações comuns do servidor Telnet

      • Entre na visualização do sistema.
        • system-view
      • Defina o valor DSCP para pacotes Telnet de saída.
        • IPv4:
          • telnet server dscp dscp-value
        • IPv6:
          • telnet server ipv6 dscp dscp-value

          Por padrão, o valor DSCP é 48.

      • Especifique o número da porta do serviço Telnet.
        • IPv4:
          • telnet server port port-number
        • IPv6:
          • telnet server ipv6 port port-number

          Por padrão, o número da porta do serviço Telnet é 23.

      • Defina o número máximo de usuários Telnet simultâneos.
        • aaa session-limit telnet max-sessions

        Por padrão, o número máximo de usuários Telnet simultâneos é 32.

        A alteração dessa configuração não afeta os usuários que estão on-line no momento. Se o novo limite for menor que o número de usuários Telnet on-line, nenhum usuário adicional poderá fazer Telnet até que o número caia abaixo do novo limite.

        Para obter mais informações sobre esse comando, consulte Referência de comandos de segurança.

      Definição das configurações comuns da linha VTY

      • Entre na visualização do sistema.
        • system-view
      • Entre na visualização de linha VTY ou na visualização de classe.
        • Entre na visualização de linha VTY.
          • line vty first-number [ last-number ]
        • Entre na visualização da classe de linha VTY.
          • line class vty
      • Configurar os atributos do terminal VTY.
        • Habilite o serviço de terminal.
          • shell

          Por padrão, o serviço de terminal é ativado em todas as linhas de usuário.

        • Especifique o tipo de exibição do terminal.
          • terminal type { ansi | vt100 }
        • Defina o número máximo de linhas de saída de comando a serem enviadas ao terminal por vez.
          • screen-length screen-length

          Por padrão, o dispositivo envia um máximo de 24 linhas ao terminal por vez. Para desativar a pausa entre as telas de saída, defina o valor como 0.

        • Definir o tamanho do buffer do histórico de comandos.
          • history-command max-size value

          Por padrão, o temporizador de tempo ocioso da conexão CLI é de 10 minutos.

        • Defina o temporizador de tempo ocioso da conexão CLI.
          • idle-timeout minutes [ seconds ]

          Se não ocorrer nenhuma interação entre o dispositivo e o usuário dentro do intervalo de tempo ocioso, o sistema encerrará automaticamente a conexão do usuário na linha do usuário.

          Se você definir o cronômetro de tempo limite como 0, a conexão não será envelhecida.

      • Especifique os protocolos compatíveis.
        • protocol inbound { all | ssh | telnet }

        Por padrão, Telnet e SSH são compatíveis.

        Uma alteração de protocolo entra em vigor somente para os usuários que fizerem login depois que a configuração for feita. Ela não afeta os usuários que já estão on-line quando a configuração é feita.

        Na visualização de linha VTY, esse comando está associado ao comando authentication- mode. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

      • Especifique o comando a ser executado automaticamente para usuários de login nas linhas de usuário.
        • auto-execute command command

        Por padrão, nenhum comando é especificado para execução automática.

        IMPORTANTE:

        Antes de executar esse comando e salvar a configuração, verifique se é possível acessar a CLI para modificar a configuração por meio de outras linhas VTY ou AUX.

        Para uma linha VTY, é possível especificar um comando que deve ser executado automaticamente quando um usuário fizer login. Após a execução do comando especificado, o sistema desconecta automaticamente a sessão Telnet do .

      • Configurar teclas de atalho.
        • Especifique a tecla de atalho para encerrar
          • escape-key { character | default }

          A configuração padrão é Ctrl+C.

        • Defina a chave de bloqueio de linha do usuário.
          • lock-key key-string

          Por padrão, nenhuma chave de bloqueio de linha de usuário é definida.

      Uso do dispositivo para fazer login em um servidor Telnet

      Sobre como usar o dispositivo para fazer login em um servidor Telnet

      Você pode usar o dispositivo como um cliente Telnet para fazer login em um servidor Telnet.

      Figura 3 Conexão via Telnet do dispositivo a um servidor Telnet

      Pré-requisitos

      Atribua um endereço IP ao dispositivo e obtenha o endereço IP do servidor Telnet. Se o dispositivo residir em uma sub-rede diferente da do servidor Telnet, certifique-se de que o dispositivo e o servidor Telnet possam alcançar um ao outro.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • (Opcional.) Especifique o endereço IPv4 de origem ou a interface de origem para os pacotes Telnet de saída.
        • telnet client source { interface interface-type interface-number |
        ip ip-address }

        Por padrão, nenhum endereço IPv4 de origem ou interface de origem é especificado. O dispositivo usa o endereço IPv4 primário da interface de saída como endereço de origem para os pacotes Telnet de saída.

      • Sair para a visualização do usuário.
        • quit
      • Use o dispositivo para fazer login em um servidor Telnet. IPv4:
        • telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } |dscp dscp- value ] *

        IPv6:

        telnet ipv6 remote-host [ -i interface-type interface-number ][ port-number ] [ source { interface interface-type interface-number |ipv6 ipv6-address } | dscp dscp-value ] *

      Configuração do login SSH

      Sobre o login SSH

      O SSH oferece um método seguro de login remoto. Ao fornecer criptografia e autenticação forte, ele protege os dispositivos contra ataques como falsificação de IP e interceptação de senhas de texto simples. Para obter mais informações, consulte o Guia de configuração de segurança.

      O dispositivo pode atuar como um servidor SSH para permitir o login Telnet ou como um cliente SSH para fazer login em um servidor SSH.

      Configuração do dispositivo como um servidor SSH

      Sobre o procedimento de configuração do servidor SSH

      Esta seção fornece o procedimento de configuração do servidor SSH usado quando o método de autenticação do cliente SSH é a senha. Para obter mais informações sobre a autenticação SSH e publickey configuração, consulte o Guia de configuração de segurança.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Criar pares de chaves locais. No modo não- FIPS:
        • public-key local create { dsa | ecdsa [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ] | rsa } [ name key-name ]

        No modo FIPS:

        public-key local create { dsa | ecdsa [ secp256r1 | secp384r1 | secp521r1 ] | rsa } [ name key-name ]
      • Habilite o servidor SSH.
        • Ativação do servidor ssh

        Por padrão, o servidor SSH está desativado.

      • (Opcional.) Crie um usuário SSH e especifique o modo de autenticação.
        • ssh user username service-type stelnet authentication-type password
      • Entre na visualização de linha VTY ou na visualização de classe.
        • Entre na visualização de linha VTY.
          • line vty first-number [ last-number ]
        • Entre na visualização da classe de linha VTY.
          • classe de linha vty
      • Ativar a autenticação do esquema. No modo não-FIPS:
        • authentication-mode scheme

        Por padrão, a autenticação por senha é ativada para as linhas VTY.

        Na visualização de linha VTY, esse comando está associado ao comando de entrada de protocolo. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

        No modo FIPS:

        authentication-mode scheme

        Por padrão, a autenticação de esquema é ativada para linhas VTY.

        Na visualização de linha VTY, esse comando está associado ao comando de entrada de protocolo. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

        CUIDADO:

        Ao ativar a autenticação de esquema, verifique se há uma conta de usuário de autenticação disponível. Se nenhuma conta de usuário de autenticação estiver disponível, não será possível fazer login no dispositivo por meio da linha ou da classe de linha na próxima vez.

      • (Opcional.) Especifique os protocolos a serem suportados pelas linhas de usuário.

        • No modo não-FIPS:

        protocol inbound { all | ssh | telnet }

        Por padrão, Telnet e SSH são compatíveis.

        Uma alteração de protocolo entra em vigor somente para os usuários que fizerem login depois que a configuração for feita. Ela não afeta os usuários que já estão on-line quando a configuração é feita.

        Na visualização de linha VTY, esse comando está associado ao comando authentication-mode. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

        No modo FIPS:

        protocolo de entrada ssh

        Por padrão, há suporte para SSH.

        Uma alteração de protocolo entra em vigor somente para os usuários que fizerem login depois que a configuração for feita. Ela não afeta os usuários que já estão on-line quando a configuração é feita.

        Na visualização de linha VTY, esse comando está associado ao comando authentication-mode. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

      • (Opcional.) Defina o número máximo de usuários SSH simultâneos.
        • aaa session-limit ssh max-sessions

        Por padrão, o número máximo de usuários SSH simultâneos é 32.

        A alteração dessa configuração não afeta os usuários que estão on-line no momento. Se o novo limite for menor que o número de usuários SSH on-line, nenhum usuário SSH adicional poderá fazer login até que o número caia abaixo do novo limite.

        Para obter mais informações sobre esse comando, consulte Referência de comandos de segurança.

      • (Opcional.) Defina as configurações comuns para as linhas VTY:
      • Sair para a visualização do sistema.
        • quit

      Uso do dispositivo para fazer login em um servidor SSH

      Sobre como usar o dispositivo para fazer login em um servidor SSH

      Você pode usar o dispositivo como um cliente SSH para fazer login em um servidor SSH.

      Figura 4 Fazer login em um servidor SSH a partir do dispositivo

      Pré-requisitos

      Atribua um endereço IP ao dispositivo e obtenha o endereço IP do servidor SSH. Se o dispositivo residir em uma sub-rede diferente da do servidor SSH, certifique-se de que o dispositivo e o

      servidor SSH possam se comunicar.

      Procedimento

      Para usar o dispositivo para fazer login em um servidor SSH, execute um dos seguintes comandos na visualização do usuário:

      IPv4:

      ssh2 server

      IPv6:

      ssh2 ipv6 server

      Para trabalhar com o servidor SSH, talvez seja necessário especificar um conjunto de parâmetros.

      Comandos de exibição e manutenção para login na CLI

      Executar comandos de exibição em qualquer visualização.

      Tarefa Comando Observações
      Exibir informações da linha do usuário. display line [ num1 | { aux | usb | vty } num2 ] [ summary ] N/A
      Exibir a configuração da origem do pacote para o cliente Telnet. display telnet client N/A
      Exibir usuários da CLI on-line. display users [ all ] N/A
      Libere uma linha de usuário. free line { num1 | { aux | usb | vty } num2 } Vários usuários podem fazer login no dispositivo para configurá-lo simultaneamente. Quando necessário, você pode executar esse comando para liberar algumas conexões. Não é possível usar esse comando para liberar a conexão que você está usando ou uma conexão Telnet redirecionada. Esse comando está disponível na visualização do usuário.
      Bloqueia a linha do usuário atual e define a senha para desbloquear a linha. lock Por padrão, o sistema não bloqueia nenhuma linha de usuário. Esse comando não é compatível com o modo FIPS. Esse comando está disponível na visualização do usuário.
      Bloqueie a linha do usuário atual e ative a autenticação de desbloqueio. lock reauthentication Por padrão, o sistema não bloqueia nenhuma linha de usuário nem inicia a reautenticação. Para desbloquear a linha de usuário bloqueada, pressione Enter e forneça a senha de login para passar pela reautenticação. Esse comando está disponível em qualquer visualização.
      Enviar mensagens para as linhas do usuário. send { all | num1 | { aux | usb | vty } num2 } Esse comando está disponível na visualização do usuário.

      Configuração do login na Web

      Sobre o login na Web

      O dispositivo fornece um servidor da Web integrado que suporta HTTP 1.0, HTTP 1.1 e HTTPS. Você pode usar um navegador da Web para fazer login e configurar o dispositivo.

      O HTTPS usa SSL para garantir a integridade e a segurança dos dados trocados entre o cliente e o servidor, e é mais seguro que o HTTP. É possível definir uma política de controle de acesso baseada em certificados para permitir que apenas clientes legais acessem a interface da Web.

      Conformidade com FIPS

      O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não-FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de configuração de segurança.

      O HTTP não é compatível com o modo FIPS.

      Restrições e diretrizes: Configuração de login na Web

      Para aumentar a segurança do dispositivo, o sistema ativa automaticamente o serviço HTTPS quando você ativa o serviço HTTP. Quando o serviço HTTP está ativado, você não pode desativar o serviço HTTPS.

      Pré-requisitos para o login na Web

      Antes de fazer login na interface da Web do dispositivo, faça login no dispositivo usando qualquer outro método e atribua um endereço IP ao dispositivo. Certifique-se de que o terminal de configuração e o dispositivo possam se comunicar pela rede IP.

      Configuração do login HTTP

      • (Opcional.) Especifique um código de verificação fixo para o login na Web.
        • código de verificação de captcha da web

        Por padrão, nenhum código de verificação fixo é especificado. Um usuário da Web deve inserir o código de verificação exibido na página de login no momento do login.

        Execute esse comando na visualização do usuário.

      • Entre na visualização do sistema.
        • system-view
      • Habilite o serviço HTTP.
        • ip http enable
        • Se o dispositivo for iniciado com os padrões de fábrica, o serviço HTTP estará ativado.
        • Se o dispositivo for iniciado com a configuração inicial, o serviço HTTP será desativado.
      • (Opcional.) Especifique o número da porta do serviço HTTP.
        • ip http port port-number

        O número padrão da porta de serviço HTTP é 80.

      Configuração do login HTTPS

      Sobre o login HTTPS

      O dispositivo suporta os seguintes modos de login HTTPS:

      • Modo simplificado: O dispositivo usa um certificado autoassinado (um certificado que é gerado e assinado pelo próprio dispositivo) e as configurações SSL padrão. O dispositivo opera no modo simplificado depois que você ativa o serviço HTTPS no dispositivo.
      • Modo seguro: O dispositivo usa um certificado assinado por uma CA e um conjunto de configurações de proteção de segurança definidas pelo usuário para garantir a segurança. Para que o dispositivo opere no modo seguro, você deve executar as seguintes tarefas:
        • Habilite o serviço HTTPS no dispositivo.
        • Especifique uma política de servidor SSL para o serviço.
        • Configurar parâmetros relacionados ao domínio PKI.

      Restrições e diretrizes

      • Para associar uma política de servidor SSL diferente ao serviço HTTPS, você deve executar as seguintes tarefas:
        • Desative o serviço HTTP e o serviço HTTPS antes de associar a nova política de servidor SSL.
        • Habilite o serviço HTTP e o serviço HTTPS novamente após a associação.

      Se você não concluir as tarefas necessárias, a nova política de servidor SSL não entrará em vigor.

      • Para que o serviço HTTP use seu certificado autoassinado depois que você associar uma política de servidor SSL ao serviço HTTPS, é necessário seguir estas etapas:
        • Desative o serviço HTTP e o serviço HTTPS.
        • Execute o comando undo ip https ssl-server-policy para remover a associação de política de servidor SSL existente.
        • Habilite novamente o serviço HTTP e o serviço HTTPS.
          • A ativação do serviço HTTPS aciona o processo de negociação do handshake SSL.
            • Se o dispositivo tiver um certificado local, a negociação do handshake SSL será bem-sucedida e o serviço HTTPS será iniciado.
            • Se o dispositivo não tiver um certificado local, o processo de aplicação do certificado será iniciado. Como o processo de aplicação do certificado leva muito tempo, a negociação do handshake SSL pode falhar e o serviço HTTPS pode não ser iniciado. Para resolver o problema, execute o comando ip https enable novamente até que o serviço HTTPS seja ativado.
            • Para usar uma política de controle de acesso baseada em certificado para controlar o acesso HTTPS, é necessário executar as seguintes tarefas:
            • Execute o comando client-verify enable na política do servidor SSL que está associada ao serviço HTTPS.
            • Configure no mínimo uma regra de permissão na política de controle de acesso baseada em certificado. Se você não concluir as tarefas necessárias, os clientes HTTPS não poderão fazer login.

      Procedimento

      • (Opcional.) Especifique um código de verificação fixo para o login na Web.
        • código de verificação de captcha da web

        Por padrão, nenhum código de verificação fixo é configurado. Um usuário da Web deve inserir o código de verificação exibido na página de login no momento do login.

      • Entre na visualização do sistema.
        • system-view
      • (Opcional.) Aplique políticas ao serviço HTTPS.
        • Aplicar uma política de servidor SSL.
        ip https ssl-server-policy policy-name

        Por padrão, nenhuma política de servidor SSL está associada. O serviço HTTP usa um certificado autoassinado.

        • Aplique uma política de controle de acesso baseada em certificado para controlar o acesso HTTPS.
        ip https certificate access-control-policy policy-name

        Por padrão, nenhuma política de controle de acesso baseada em certificado é aplicada.

        Para obter mais informações sobre políticas de controle de acesso baseadas em certificados, consulte PKI no Guia de Configuração de Segurança.

      • Habilite o serviço HTTPS.
        • ip https enable
      • (Opcional.) Especifique o número da porta do serviço HTTPS.
        • ip https port port-number

        O número da porta padrão do serviço HTTPS é 443.

      • (Opcional.) Defina o modo de autenticação de login HTTPS.
        • web https-authorization mode { auto | manual }

        Por padrão, o modo de autenticação manual é usado para login HTTPS.

      Configuração de um usuário local de login na Web

      • Entre na visualização do sistema.
        • system-view
      • Crie um usuário local e entre na visualização do usuário local.
        • local-user user-name [ class manage ]
        • (Opcional.) Configure uma senha para o usuário local. No modo não-FIPS:
          • password [ { hash | simple } password ]

          Por padrão, nenhuma senha é configurada para um usuário local. O usuário local pode passar na autenticação depois de inserir o nome de usuário correto e passar nas verificações de atributos.

          No modo FIPS:

          password

          Por padrão, nenhuma senha é configurada para um usuário local. O usuário local não pode ser aprovado na autenticação.

        • Configure os atributos do usuário.
          • Atribua uma função de usuário ao usuário local.
          authorization-attribute user-role user-role

          A função de usuário padrão é network-operator para um usuário da Web.

          • Especifique o tipo de serviço para o usuário local.
          service-type { http | https }

          Por padrão, nenhum tipo de serviço é especificado para um usuário local.

      Gerenciamento de conexões da Web

      Configuração do temporizador de tempo ocioso da conexão com a Web
      • Entre na visualização do sistema.
        • system-view
      • Defina o temporizador de tempo ocioso da conexão com a Web.
        • minutos de tempo de inatividade da web

        Por padrão, o temporizador de tempo ocioso da conexão à Web é de 10 minutos.

        Especificação do número máximo de usuários HTTP ou HTTPS on-line
        • Entre na visualização do sistema.
          • system-view
        • Especifique o número máximo de usuários HTTP ou HTTPS on-line.
          • aaa session-limit { http | https } max-sessions

          Por padrão, o dispositivo suporta um número máximo de 32 usuários HTTP on-line e 32 usuários HTTPS on-line.

          A alteração dessa configuração não afeta os usuários que estão on-line no momento. Se a nova configuração for menor que o número

          usuários HTTP ou HTTPS on-line, nenhum usuário HTTP ou HTTPS adicional poderá fazer logon

          até que o número caia abaixo do novo limite. Para obter mais informações sobre esse comando, consulte

          Referência de comandos de segurança.

          Fazer logoff de usuários da Web

          Para fazer logoff de usuários da Web, execute o seguinte comando na visualização do usuário:

          free web users { all | user-id user-id | user-name user-name }

      Ativação do registro de operações na Web

      • Entre na visualização do sistema.
        • system-view
      • Habilite o registro de operações na Web.
        • webui log enable

        Por padrão, o registro de operações na Web está desativado.

      Comandos de exibição e manutenção para login na Web

      Executar comandos de exibiçãoção em qualquer visualização.

      Tarefa Comando
      Exibir informações de configuração e status do serviço HTTP. display ip http
      Exibir informações de configuração e status do serviço HTTPS. display ip https
      Exibir informações da árvore de navegação da interface da Web. display web menu
      Exibir usuários da Web on-line. display web users

      Exemplos de configuração de login na Web

      Exemplo: Configuração do login HTTP

      Configuração de rede

      Conforme mostrado na Figura 5, o PC e o dispositivo podem se comunicar pela rede IP. Configure o dispositivo para permitir que o PC faça login usando HTTP.

      Figura 5 Diagrama de rede

      Procedimento
      # Crie um usuário local chamado admin. Defina a senha como hello12345, o tipo de serviço como HTTP e a função do usuário como network-admin.
                    [Sysname] local-user admin
                    [Sysname-luser-manage-admin] service-type http
                    [Sysname-luser-manage-admin] authorization-attribute user-role network-admin
                    [Sysname-luser-manage-admin] password simple hello12345
                    [Sysname-luser-manage-admin] quit
                    # Habilite o HTTP.
                    [Sysname] ip http enable
      Verificação da configuração
      • No PC, execute um navegador da Web e digite o endereço IP do dispositivo na barra de endereços.
      • Na página de login, digite o nome de usuário, a senha e o código de verificação. Selecione Inglês e clique em Login.

      Depois de passar pela autenticação, a página inicial é exibida e você pode configurar o dispositivo.

      Exemplo: Configuração do login HTTPS

      Configuração de rede

      Conforme mostrado na Figura 6, o host, o dispositivo e a CA podem se comunicar pela rede IP.

      Execute as seguintes tarefas para permitir que apenas usuários autorizados acessem a interface da Web do dispositivo:

      Figura 6 Diagrama de rede

      Dispositivo

      Hospedeiro CA

      Procedimento
      # No exemplo, a CA executa o Windows Server e tem o complemento SCEP instalado.
                    # Configure o dispositivo (servidor HTTPS):
                    <Device> system-view
                    [Device] pki entity en
                    [Device-pki-entity-en] common-name http-server1
                    [Device-pki-entity-en] fqdn ssl.security.com
                    [Device-pki-entity-en] quit
                    [Device] pki domain 1
                    [Device-pki-domain-1] ca identifier new-ca
                    [Device-pki-domain-1] url de solicitação de certificado http://10.1.2.2/certsrv/mscep/mscep.dll
                    [Device-pki-domain-1] certificate request from ra
                    [Device-pki-domain-1] certificate request entity en
                    [Device-pki-domain-1] public-key rsa general name hostkey length 1024
                    [Device-pki-domain-1] quit
                    [Device] public-key local create rsa
                    [Device] pki retrieve-certificate domain 1 ca
                    [Device] pki request-certificate domain 1
                    [Dispositivo] ssl server-policy myssl
                    [Device-ssl-server-policy-myssl] pki-domain 1
                    [Device-ssl-server-policy-myssl] client-verify enable
                    [Device-ssl-server-policy-myssl] quit
                    [Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
                    [Device] pki certificate access-control-policy myacp
                    [Device-pki-cert-acp-myacp] rule 1 permit mygroup1
                    [Device-pki-cert-acp-myacp] quit
                    [Device] ip https ssl-server-policy myssl
                    [Dispositivo] ip https certificate access-control-policy myacp
                    [Device] ip https enable
                    [Device] local-user usera
                    [Device-luser-usera] password simple hello12345
                    [Device-luser-usera] service-type https
                    [Device-luser-usera] authorization-attribute user-role network-admin
                    
                    # No host, execute um navegador da Web e digite http://10.1.2.2/certsrv na barra de endereços. Solicite um certificado para o host conforme solicitado.
                    # Verificação da configuração:
                    # No host, digite https://10.1.1.1 na barra de endereços do navegador da Web e selecione o certificado emitido por new-ca.
                    # Quando a página de login na Web for exibida, digite o nome de usuário usera e a senha hello12345 para fazer login na interface da Web.
                    # Para obter mais informações sobre os comandos de configuração de PKI e SSL e o comando
                    # public-key local create rsa, consulte Referência de comandos de segurança.

      Acesso ao dispositivo por meio de SNMP

      É possível executar o SNMP em um NMS para acessar o MIB do dispositivo e realizar operações Get e Set para configurar e gerenciar o dispositivo.

      Figura 7 Diagrama de acesso SNMP

      Configuração do acesso RESTful

      Sobre o acesso RESTful

      O dispositivo fornece a interface de programação de aplicativos Representational State Transfer (API RESTful). Com base nessa API, você pode usar linguagens de programação como Python, Ruby ou Java para escrever programas para executar as seguintes tarefas:

      • Envie solicitações RESTful ao dispositivo para passar a autenticação.
      • Use as operações da API RESTful para configurar e gerenciar o dispositivo. As operações da API RESTful incluem Get, Put, Post e Delete.

      O dispositivo suporta o uso de HTTP ou HTTPS para transferir pacotes RESTful.

      Conformidade com FIPS

      O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não- FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de configuração de segurança.

      O acesso RESTful por HTTP não é compatível com o modo FIPS.

      Configuração do acesso RESTful por HTTP

      • Entre na visualização do sistema.
        • system-view
      • Habilite o acesso RESTful por HTTP.
        • Restful http enable

        Por padrão, o acesso RESTful por HTTP está desativado.

      • Crie um usuário local e entre na visualização do usuário local.
        • local-user user-name [ class manage ]
      • Configure uma senha para o usuário local.
        • senha [ { hash | simples} senha ]
      • (Opcional.) Atribua uma função de usuário ao usuário local.
        • authorization-attribute user-role user-role

        A função de usuário padrão é network-operator para um usuário de acesso RESTful.

      • Especifique o serviço HTTP para o usuário local.
        • service-type http

        Por padrão, nenhum tipo de serviço é especificado para um usuário local.

      Configuração do acesso RESTful por HTTPS

      • Entre na visualização do sistema.
        • system-view
      • Habilite o acesso RESTful por HTTPS.
        • Restful https enable

        Por padrão, o acesso RESTful por HTTPS está desativado.

      • Crie um usuário local e entre na visualização do usuário local.
        • local-user user-name [ class manage ]
      • Configure uma senha para o usuário local. No modo não-FIPS:
        • password [ { hash | simple } password ]

        No modo FIPS:

        password

      • (Opcional.) Atribua uma função de usuário ao usuário local.
        • authorization-attribute user-role user-role

        A função de usuário padrão é network-operator para um usuário de acesso RESTful.

      • Especifique o serviço HTTPS para o usuário local.
        • service-type https

        Por padrão, nenhum tipo de serviço é especificado para um usuário local.

      Controle do acesso do usuário ao dispositivo

      Sobre o controle de acesso do usuário de login

      Use ACLs para impedir o acesso não autorizado e configure a autorização de comandos e a contabilidade para monitorar e controlar o comportamento do usuário.

      Se uma ACL aplicada não existir ou não tiver nenhuma regra, nenhuma restrição de login de usuário será aplicada. Se a ACL existir e tiver regras, somente os usuários permitidos pela ACL poderão acessar o dispositivo.

      Conformidade com FIPS

      O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não- FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de configuração de segurança.

      Telnet e HTTP não são compatíveis com o modo FIPS.

      Controle de logins Telnet e SSH

      Controle de logins Telnet

      • Entre na visualização do sistema.
      system-view
      • Aplique uma ACL para controlar os logins Telnet. IPv4:
      telnet server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

      IPv6:

      telnet server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }

      Por padrão, nenhuma ACL é usada para controlar os logins Telnet.

      • (Opcional.) Ative o registro das tentativas de login do Telnet que são negadas pela ACL de controle de login do Telnet.
      server telnet acl-deny-log enable

      Por padrão, o registro é desativado para tentativas de login do Telnet que são negadas pela ACL de controle de login do Telnet.

      Controle de logins SSH

      • Entre na visualização do sistema.
      system-view
      • Aplique uma ACL para controlar os logins SSH. IPv4:
      ssh server acl { advanced-acl-number | basic-acl-number | macmac-acl-number }

      IPv6:

      ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } mac mac-acl-number }

      Por padrão, nenhuma ACL é usada para controlar os logins SSH.

      • (Opcional.) Ative o registro de tentativas de login SSH que são negadas pela ACL de controle de login SSH.
      Servidor ssh acl-deny-log enable

      Por padrão, o registro é desativado para tentativas de login SSH que são negadas pela ACL de controle de login SSH.

      Para obter mais informações sobre os comandos ssh, consulte Referência de comandos de segurança.

      Exemplo: Controle do login Telnet

      Configuração de rede

      Conforme mostrado na Figura 8, o dispositivo é um servidor Telnet.

      Configure o dispositivo para permitir somente pacotes Telnet originados do Host A e do Host B.

      Figura 8 Diagrama de rede

      Host B 10.110.100.52

      Procedimento

      # Configure uma ACL para permitir pacotes provenientes do Host A e do Host B.

      <Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0 
[Sysname-acl-ipv4-basic-2000] quit

      # Aplique a ACL para filtrar os logins Telnet.

      [Sysname] telnet server acl 2000

      Controle de logins da Web

      Configuração do controle de login na Web com base no IP de origem

      • Entre na visualização do sistema.
      system-view
      • Aplique uma ACL básica para controlar os logins na Web.
        • Controle os logins HTTP.
      ip http acl { acl-número | nome acl-nome }
      • Controle os logins HTTPS.
      ip https acl { acl-número | nome acl-nome }

      Por padrão, nenhuma ACL é aplicada para controlar os logins na Web.

      Exemplo: Controle do login na Web

      Configuração de rede

      Conforme mostrado na Figura 9, o dispositivo é um servidor HTTP. Configure o dispositivo para fornecer serviço HTTP somente ao Host B.

      Figura 9 Diagrama de rede

      Procedimento

      # Crie uma ACL e configure a regra 1 para permitir pacotes provenientes do Host B.

      <Sysname> system-view
[Sysname] acl basic 2030 match-order config
[Sysname-acl-ipv4-basic-2030] rule 1 permit source 10.110.100.52 0

      # Aplique a ACL ao serviço HTTP para que somente um usuário da Web no Host B possa acessar o dispositivo.

      [Sysname] ip http acl 2030

      Controle do acesso SNMP

      Sobre o controle de acesso SNMP

      Para obter informações sobre o controle de acesso SNMP, consulte SNMP no Guia de configuração de monitoramento e gerenciamento de rede.

      Exemplo: Controle do acesso SNMP

      Configuração de rede

      Conforme mostrado na Figura 10, o dispositivo está executando o SNMP.

      Configure o dispositivo para permitir que o Host A e o Host B acessem o dispositivo por meio de SNMP.

      Figura 10 Diagrama de rede

      Procedimento

      # Crie uma ACL para permitir pacotes provenientes do Host A e do Host B.

      <Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0 
[Sysname-acl-ipv4-basic-2000] quit

      # Associe a ACL à comunidade SNMP e ao grupo SNMP.

      [Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000

      Configuração da autorização de comando

      Sobre a autorização de comandos

      Por padrão, os comandos disponíveis para um usuário dependem apenas das funções de usuário do usuário. Quando o modo de autenticação é o esquema, você pode configurar o recurso de autorização de comando para controlar ainda mais o acesso aos comandos.

      Depois de ativar a autorização de comando, um usuário pode usar somente os comandos permitidos pelo esquema AAA e pelas funções de usuário.

      Restrições e diretrizes

      O método de autorização de comando pode ser diferente do método de autorização de login do usuário.

      Para que o recurso de autorização de comando entre em vigor, você deve configurar um método de autorização de comando na visualização de domínio do ISP. Para obter mais informações, consulte o Guia de configuração de segurança.

      Procedimento

      • Entre na visualização do sistema.
      system-view
      • Entre na visualização de linha de usuário ou na visualização de classe de linha de usuário.
        • Entre na visualização da linha do usuário.
      line { first-number1 [ last-number1 ] | { aux | usb | vty }primeiro-número2 [ último-número2 ] }
      • Entre na visualização da classe de linha do usuário.
      classe de linha { aux | usb |vty }

      Uma configuração na visualização de linha de usuário aplica-se somente à linha de usuário. Uma configuração na visualização de classe de linha de usuário se aplica a todas as linhas de usuário da classe. Uma configuração não padrão em qualquer uma das visualizações tem precedência sobre a configuração padrão na outra visualização. Uma configuração não padrão na visualização de linha de usuário tem precedência sobre a configuração não padrão na visualização de classe de linha de usuário.

      Uma configuração na visualização de classe de linha de usuário entra em vigor somente para os usuários que fizerem login depois que a configuração for feita. Ela não afeta os usuários que já estão on-line quando a configuração é feita.

      • Ativar a autenticação do esquema. No modo não-FIPS:

      esquema de modo de autenticação

      Por padrão, a autenticação por senha é ativada para o login no VTY. O modo de autenticação padrão para login no console é o seguinte:

        • Se o dispositivo for iniciado com os padrões de fábrica, a autenticação de esquema estará ativada.
        • Se o dispositivo for iniciado com a configuração inicial, a autenticação será desativada.
        • Na outra série de switches, a autenticação está desativada.

        Para obter mais informações sobre a configuração inicial e os padrões de fábrica, consulte "Gerenciamento de arquivos de configuração".

        Na visualização de linha VTY, esse comando está associado ao comando de entrada de protocolo. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

        No modo FIPS:

        esquema de modo de autenticação

        Por padrão, a autenticação de esquema está ativada.

        Na visualização de linha VTY, esse comando está associado ao comando de entrada de protocolo. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

        CUIDADO:

        Ao ativar a autenticação de esquema, certifique-se de que uma conta de usuário de autenticação esteja disponível. Se nenhuma conta de usuário de autenticação estiver disponível, não será possível fazer login no dispositivo por meio da linha ou da classe de linha na próxima vez.

      • Ativar a autorização de comando.

      autorização de comando

      Por padrão, a autorização de comando está desativada e os comandos disponíveis para um usuário dependem apenas da função do usuário.

      Se o comando de autorização de comando for executado na visualização de classe da linha de usuário, a autorização de comando será ativada em todas as linhas de usuário da classe. Não é possível executar o comando desfazer autorização de comando na visualização de uma linha de usuário na classe.

      Exemplo: Configuração da autorização de comando

      Configuração de rede

      Conforme mostrado na Figura 11, o Host A precisa fazer login no dispositivo para gerenciá-lo. Configure o dispositivo para executar as seguintes operações:

      • Permitir que o Host A faça Telnet após a autenticação.
      • Use o servidor HWTACACS para controlar os comandos que o usuário pode executar.
      • Se o servidor HWTACACS não estiver disponível, use a autorização local.

      Figura 11 Diagrama de rede

      Procedimento

      # Atribua endereços IP às interfaces relevantes. Certifique-se de que o dispositivo e o servidor HWTACACS possam se comunicar. Certifique-se de que o dispositivo e o Host A possam se comunicar.

      # Habilite o servidor Telnet.

      <Device> system-view 
[Device] telnet server enable

      # Habilite a autenticação de esquema para as linhas de usuário VTY 0 a VTY 4.

      [Device] line vty 0 4
[Device-line-vty0-4] authentication-mode scheme

      # Habilite a autorização de comando para as linhas de usuário. [Device-line-vty0-4] command authorization [Device-line-vty0-4] quit

      # Criar o esquema HWTACACS tac.

      [Device] hwtacacs scheme tac

      # Configure o esquema para usar o servidor HWTACACS em 192.168.2.20:49 para autenticação e autorização.

      [Device-hwtacacs-tac] primary authentication 192.168.2.20 49
      [Device-hwtacacs-tac] primary authorization 192.168.2.20 49

      # Defina as chaves compartilhadas como expert.

      [Device-hwtacacs-tac] key authentication simple expert
      [Device-hwtacacs-tac] key authorization simple expert

      # Remova os nomes de domínio dos nomes de usuário enviados ao servidor HWTACACS.

      [Device-hwtacacs-tac] user-name-format without-domain
      [Device-hwtacacs-tac] quit

      # Configure o domínio definido pelo sistema (sistema).

      [Device] domain system

      # Use o esquema tac do HWTACACS para autenticação de usuário de login e autorização de comando. Use a autenticação local e a autorização local como método de backup.

      [Device-isp-system] authentication login hwtacacs-scheme tac local
      [Device-isp-system] authorization command hwtacacs-scheme tac local
      [Device-isp-system] quit

      # Crie um monitor de usuário local. Defina a senha simples como hello12345, o tipo de serviço como Telnet e a função de usuário padrão como level-1.

      [Device] local-user monitor
      [Device-luser-manage-monitor] password simple hello12345
      [Device-luser-manage-monitor] service-type telnet
      [Device-luser-manage-monitor] authorization-attribute user-role level-1

      Configuração da contabilidade de comandos

      Sobre a contabilidade de comandos

      A contabilidade de comandos usa o servidor HWTACACS para registrar todos os comandos executados para monitorar o comportamento do usuário no dispositivo.

      Se a contabilidade de comandos estiver ativada, mas a autorização de comandos não estiver, todos os comandos executados serão registrados. Se a contabilidade e a autorização de comandos estiverem ativadas, somente os comandos autorizados que forem executados serão registrados.

      Restrições e diretrizes

      O método de contabilização de comandos pode ser igual ou diferente do método de autorização de comandos e do método de autorização de login do usuário.

      Para que o recurso de contabilização de comandos entre em vigor, você deve configurar um método de contabilização de comandos na visualização de domínio do ISP. Para obter mais informações, consulte o Guia de configuração de segurança.

      Procedimento

      • Entre na visualização do sistema.
        • system-view
      • Entre na visualização de linha de usuário ou na visualização de classe de linha de usuário.
        • Entre na visualização da linha do usuário.
      line { first-number1 [ last-number1 | { aux | usb | vty } first-number2 [ last-number2 ] }
      • Entre na visualização da classe de linha do usuário.
      line class { aux | usb |vty }

      Uma configuração na visualização de linha de usuário aplica-se somente à linha de usuário. Uma configuração na visualização de classe de linha de usuário se aplica a todas as linhas de usuário da classe. Uma configuração não padrão em qualquer uma das visualizações tem precedência sobre a configuração padrão na outra visualização. Uma configuração não padrão na visualização de linha de usuário tem precedência sobre a configuração não padrão na visualização de classe de linha de usuário.

      Uma configuração na visualização de classe de linha de usuário entra em vigor somente para os usuários que fizerem login depois que a configuração for feita. Ela não afeta os usuários que já estão on-line quando a configuração é feita.

    • Ativar a autenticação do esquema. No modo não-FIPS:
      • authentication-mode scheme

      Por padrão, a autenticação por senha é ativada para o login no VTY. O modo de autenticação padrão para login no console é o seguinte:

        • Se o dispositivo for iniciado com os padrões de fábrica, a autenticação de esquema estará ativada.
        • Se o dispositivo for iniciado com a configuração inicial, a autenticação será desativada.
        • Na outra série de switches, a autenticação está desativada.

      Para obter mais informações sobre a configuração inicial e os padrões de fábrica, consulte "Gerenciamento de arquivos de configuração".

      Na visualização de linha VTY, esse comando está associado ao comando de entrada de protocolo. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

      No modo FIPS:

      authentication-mode scheme

      Por padrão, a autenticação de esquema está ativada.

      Na visualização de linha VTY, esse comando está associado ao comando de entrada de protocolo. Se um comando tiver uma configuração não padrão na visualização de linha VTY, o outro comando usará sua configuração na visualização de linha VTY, independentemente de sua configuração na visualização de classe de linha VTY.

      CUIDADO:

      Ao ativar a autenticação de esquema, certifique-se de que uma conta de usuário de autenticação esteja disponível. Se nenhuma conta de usuário de autenticação estiver disponível, não será possível fazer login no dispositivo por meio da linha ou da classe de linha na próxima vez.

    • Ativar a contabilidade de comandos.
      • command accounting

      Por padrão, a contabilização de comandos está desativada. O servidor de contabilidade não registra os comandos executados pelos usuários.

      Se o comando command accounting for executado na visualização de classe da linha de usuário, o command accounting será ativado em todas as linhas de usuário da classe. Não é possível executar o comando undo command accounting na visualização de uma linha de usuário da classe.

      Exemplo: Configuração da contabilidade de comandos

      Configuração de rede

      Conforme mostrado na Figura 12, os usuários precisam fazer login no dispositivo para gerenciá-lo.

      Configure o dispositivo para enviar comandos executados pelos usuários ao servidor HWTACACS para monitorar e controlar as operações do usuário no dispositivo.

      Figura 12 Diagrama de rede

      Procedimento

      # Habilite o servidor Telnet.

      <Device> system-view 
      [Device] telnet server enable

      # Habilite a contabilidade de comandos para a linha de usuário AUX 0.

      [Device] line aux 0
      [Device-line-aux0] command accounting 
      [Device-line-aux0] quit

      # Habilite a contabilidade de comandos para as linhas de usuário VTY 0 a VTY 63.

      [Device] line vty 0 63
      [Device-line-vty0-63] command accounting 
      [Device-line-vty0-63] quit

      # Criar o esquema HWTACACS tac.

      [Device] hwtacacs scheme tac

      # Configure o esquema para usar o servidor HWTACACS em 192.168.2.20:49 para contabilidade.

      [Device-hwtacacs-tac] primary accounting 192.168.2.20 49

      # Defina a chave compartilhada como expert.

      [Device-hwtacacs-tac] key accounting simple expert

      # Remova os nomes de domínio dos nomes de usuário enviados ao servidor HWTACACS.

      [Device-hwtacacs-tac] user-name-format without-domain
      [Device-hwtacacs-tac] quit

      # Configure o domínio definido pelo sistema (sistema) para usar o esquema HWTACACS para a contabilidade de comandos.

      [Device] domain system
      [Device-isp-system] accounting command hwtacacs-scheme tac 
      [Device-isp-system] quit

      Configuração de FTP

      Sobre o FTP

      O File Transfer Protocol (FTP) é um protocolo de camada de aplicativo para transferência de arquivos de um host para outro em uma rede IP. Ele usa a porta TCP 20 para transferir dados e a porta TCP 21 para transferir comandos de controle.

      O FTP é baseado no modelo cliente/servidor. O dispositivo pode atuar como servidor FTP ou cliente FTP.

      Modos de transferência de arquivos FTP

      O FTP é compatível com os seguintes modos de transferência:

      • Modo binário - Usado para arquivos não textuais, como arquivos .app, .bin e .btm.
      • Modo ASCII - Usado para transferir arquivos de texto, como arquivos .txt, .bat e .cfg.

      Quando o dispositivo atua como cliente de FTP, você pode definir o modo de transferência (binário por padrão). Quando o dispositivo atua como servidor de FTP, o modo de transferência é determinado pelo cliente de FTP.

      Modos de operação de FTP

      O FTP pode operar em um dos seguintes modos:

      • Modo ativo (PORT) - O servidor FTP inicia a conexão TCP. Esse modo não é adequado quando o cliente FTP está atrás de um firewall, por exemplo, quando o cliente FTP reside em uma rede privada.
      • Modo passivo (PASV) - O cliente FTP inicia a conexão TCP. Esse modo não é adequado quando o servidor não permite que o cliente use uma porta aleatória sem privilégios maior que 1024.

      O modo de operação de FTP varia de acordo com o programa cliente de FTP.

      Conformidade com FIPS

      O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não- FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de configuração de segurança.

      Não há suporte para FTP no modo FIPS.

      Uso do dispositivo como um servidor FTP

      Para usar o dispositivo como um servidor FTP, você deve ativar o servidor FTP e configurar a autenticação e a autorização no dispositivo. Outros comandos são opcionais.

      Ativação do servidor FTP

      • Entre na visualização do sistema.
        • system-view
      • Habilite o servidor FTP.
        • ftp server enable

        Por padrão, o servidor FTP está desativado.

      Configuração da autenticação e autorização do cliente

      Execute esta tarefa no servidor FTP para autenticar clientes FTP e definir os diretórios autorizados que os clientes autenticados podem acessar.

      Os seguintes modos de autenticação estão disponíveis:

      • Autenticação local - O dispositivo procura o nome de usuário e a senha do cliente no banco de dados da conta de usuário local. Se for encontrada uma correspondência, a autenticação será bem-sucedida.
      • Autenticação remota - O dispositivo envia o nome de usuário e a senha do cliente a um servidor de autenticação remota para autenticação. A conta de usuário é configurada no servidor de autenticação remota e não no dispositivo.

      Os seguintes modos de autorização estão disponíveis:

      • Autorização local - O dispositivo atribui diretórios autorizados a clientes FTP com base nos atributos de autorização configurados localmente.
      • Autorização remota - Um servidor de autorização remota atribui diretórios autorizados no dispositivo a clientes FTP.

      Para obter mais informações sobre como configurar a autenticação e a autorização, consulte AAA no Security Configuration Guide.

      Configuração do controle de acesso ao servidor FTP

      Sobre o controle de acesso ao servidor FTP

      Use ACLs para impedir o acesso não autorizado. Se uma ACL aplicada não existir ou não tiver nenhuma regra, nenhuma restrição de login de usuário será aplicada. Se a ACL existir e tiver regras, somente os clientes FTP permitidos pela ACL poderão acessar o dispositivo.

      Restrições e diretrizes

      Essa configuração entra em vigor somente para conexões FTP a serem estabelecidas. Ela não afeta as conexões FTP existentes.

      Se você configurar o controle de acesso ao servidor FTP várias vezes, a configuração mais recente entrará em vigor.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Use uma ACL para controlar o acesso ao servidor FTP.
        • ftp server acl { advanced-acl-number | basic-acl-number | ipv6 { advanced-acl-number | basic-acl-number } }

        Por padrão, nenhuma ACL é usada para controle de acesso.

      • Ative o registro de tentativas de login de FTP que são negadas pela ACL de controle de login de FTP.
        • ftp server acl-deny-log enable

        Por padrão, o registro em log é desativado para tentativas de login de FTP que são negadas pelo controle de login de FTP ACL.

      Configuração dos parâmetros de gerenciamento de conexão

      • Entre na visualização do sistema.
        • system-view
      • Defina o temporizador de tempo ocioso da conexão FTP.
        • ftp timeout minutes

        Por padrão, o temporizador de tempo ocioso da conexão FTP é de 30 minutos.

        Se não ocorrer nenhuma transferência de dados em uma conexão FTP antes que o temporizador de tempo ocioso expire, o servidor FTP fechará a conexão FTP.

      • Defina o número máximo de usuários de FTP simultâneos.
        • aaa session-limit ftp max-sessions

        Por padrão, o número máximo de usuários de FTP simultâneos é 32.

        A alteração dessa configuração não afeta os usuários que estão on-line no momento. Se o novo limite for menor que o número de usuários de FTP on-line, nenhum usuário de FTP adicional poderá fazer login até que o número caia abaixo do novo limite. Para obter mais informações sobre esse comando, consulte Security Command Reference.

      Especificação de uma política de servidor SSL para conexões SFTP

      Sobre a especificação de uma política de servidor SSL para conexões SFTP

      Depois que você associar uma política de servidor SSL ao dispositivo, um cliente compatível com SFTP estabelecerá uma conexão segura com o dispositivo para garantir a segurança dos dados.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Associe uma política de servidor SSL ao servidor FTP para garantir a segurança dos dados.
        • ftp server ssl-server-policy policy-name

        Por padrão, nenhuma política de servidor SSL está associada ao servidor FTP.

      Configuração do valor DSCP para pacotes FTP de saída

      • Entre na visualização do sistema.
        • system-view
      • Defina o valor DSCP para pacotes FTP de saída.

        • IPv4:

        ftp server dscp dscp-value

        IPv6:

        ftp server ipv6 dscp dscp-value

        Por padrão, o valor DSCP é 0.

      Liberação manual de conexões FTP

      Para liberar manualmente as conexões FTP, execute os seguintes comandos na visualização do usuário:

      • Libere a conexão FTP estabelecida usando uma conta de usuário específica:
        • free ftp user username
      • Libere a conexão FTP para um endereço IP específico:
        • free ftp user-ip [ ipv6 ] ip-address [ port port ]

      Comandos de exibição e manutenção do servidor FTP

      Executar comandos de exibição em qualquer visualização.

      Tarefa Comando
      Exibir informações de configuração e status do servidor FTP. display ftp-server
      Exibir informações detalhadas sobre os usuários de FTP on-line. display ftp-user

      Exemplo: Uso do dispositivo como um servidor FTP

      Configuração de rede
      • Configure a malha IRF como um servidor FTP.
      • Crie uma conta de usuário local chamada abc no servidor FTP. Defina a senha como hello12345 .
      • Use a conta de usuário para fazer login no servidor FTP a partir do cliente FTP.
      • Faça upload do arquivo temp.bin do cliente FTP para o servidor FTP.

      Figura 1 Diagrama de rede

      Procedimento
      • Configure os endereços IP conforme mostrado na Figura 1. Certifique-se de que a malha IRF e o PC possam se comunicar. (Detalhes não mostrados.)
      • Configure o servidor FTP:

        • # Examine o espaço de armazenamento nos dispositivos membros. Se o espaço livre for insuficiente, use a função comando {delete/unreserved file } para excluir arquivos não utilizados.(Detalhes não mostrados.)

        # Crie um usuário local com nome de usuário abc e senha hello12345.

        <Sysname> system-view
        [Sysname] local-user abc class manage
        [Sysname-luser-manage-abc] password  simples hello12345

        # Atribua a função de usuário administrador de rede ao usuário. Defina o diretório de trabalho como o diretório raiz da memória flash no mestre. (Para definir o diretório de trabalho como o diretório raiz da memória flash no membro subordinado, você deve incluir o número do slot no caminho do diretório).

        [Sysname-luser-manage-abc] authorization-attribute user-role network-admin work-directory flash:/

        # Atribua o tipo de serviço FTP ao usuário. 

        [Sysname-luser-manage-abc] service-type ftp 
        [Sysname-luser-manage-abc] quit

        # Habilite o servidor FTP. 

        [Sysname] ftp server enable 
        [Sysname] quit
      • Realizar operações de FTP a partir do cliente FTP:

        • # Faça login no servidor FTP em 1.1.1.1 usando o nome de usuário abc e a senha hello12345.

        c:\> ftp 1.1.1.1
        Connected to 1.1.1.1.
        220 FTP service ready. 
        User(1.1.1.1:(none)):abc
        331 Password required for abc. 
        Password:
        230 User logged in.

        # Use o modo ASCII para fazer download do arquivo de configuração config.cfg do servidor FTP para o PC para backup.

        ftp> ascii
        200 TYPE is now ASCII
        ftp> get config.cfg back-config.cfg

        # Use o modo binário para carregar o arquivo temp.bin do PC para o diretório raiz da memória flash no mestre.

        ftp> binary
        200 TYPE is now 8-bit binary  
        ftp> put temp.bin

        # Sair do FTP.

        ftp> bye

      Uso do dispositivo como um cliente FTP

      Estabelecimento de uma conexão FTP

      Lista de tarefas de estabelecimento de conexão FTP

      Para estabelecer uma conexão FTP, execute as seguintes tarefas:

      • (Opcional.) Especificação de um endereço IP de origem para pacotes FTP de saída
      • Estabelecimento de uma conexão FTP
      • Configuração do modo de transferência de arquivos FTP e do modo de operação
      Restrições e diretrizes

      O endereço IP de origem especificado no comando ftp tem precedência sobre aquele definido pelo comando ftp client source.

      O endereço IP de origem especificado no comando ftp ipv6 tem precedência sobre aquele definido pelo comando ftp client ipv6 source.

      Especificação de um endereço IP de origem para pacotes FTP de saída
      • Entre na visualização do sistema.
        • system-view
      • Especifique um endereço IP de origem para pacotes FTP de saída.

        • IPv4:

        ftp client source { interface interface-type interface-number | ip source-ip-address }

        Por padrão, nenhum endereço IP de origem é especificado. O dispositivo usa o endereço IP primário da interface de saída como endereço IP de origem.

        IPv6:

        ftp client ipv6 source { interface interface-type interface-number | ipv6 source-ipv6-address }

        Por padrão, nenhum endereço IPv6 de origem é especificado. O endereço de origem é selecionado automaticamente, conforme definido na RFC 3484.

      Estabelecimento de uma conexão FTP
      • Faça login no servidor FTP a partir da visualização do usuário.

        • IPv4:

        ftp [ ftp-server [ service-port ] [ dscp dscp-value | source { interface interface-type interface-number | ip source-ip-address } | -d ] * ]

        IPv6:

        ftp ipv6 [ ftp-server [ service-port ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 source-ipv6-address } | -d ] * [ -i interface-type interface-number ] ]
      • Faça login no servidor FTP a partir da visualização do cliente FTP.
        • Entre na visualização do cliente FTP.
          • ftp [ ipv6 ]
        • Faça login no servidor FTP.
          • open server-address [ service-port ]
        Configuração do modo de transferência de arquivos FTP e do modo de operação
        • Entre na visualização do cliente FTP a partir da visualização do usuário.
          • ftp
        • Defina o modo de transferência de arquivos.
          • Defina o modo de transferência de arquivos como ASCII.
            • ascii
          • Defina o modo de transferência de arquivos como binário.
            • binary

            O modo padrão de transferência de arquivos é binário.

        • Alterar o modo de operação do FTP.
          • passive

          O modo de operação padrão do FTP é passivo.

      Exibição de informações de ajuda do comando

      • Entre na visualização do cliente FTP a partir da visualização do usuário.
        • ftp
      • Exibir informações de ajuda do comando.
        • help [ command-name ]
        ? [ command-name ]

      Exibição de diretórios e arquivos no servidor FTP

      • Entre na visualização do cliente FTP a partir da visualização do usuário.
        • ftp
      • Exibir diretórios e arquivos no servidor FTP.
        • dir [ remotefile [ localfile ] ]
        ls [ remotefile [ localfile ] ]

      Gerenciamento de diretórios no servidor FTP

      Pré-requisitos

      Use o comando dir ou ls para exibir os diretórios e arquivos no servidor FTP.

      Procedimento
      • Entre na visualização do cliente FTP a partir da visualização do usuário.
        • ftp
      • Gerenciar diretórios no servidor FTP.
        • Exibir o diretório de trabalho que está sendo acessado no servidor FTP.
          • pwd
        • Altere o diretório de trabalho no servidor FTP.
          • cd { directory | .. | / }
        • Retornar ao diretório de nível superior no servidor FTP.
          • cdup
        • Crie um diretório no servidor FTP.
          • mkdir directory
        • Excluir um diretório do servidor FTP remoto.
          • rmdir directory

      CUIDADO:

      Exclua um diretório do servidor FTP com cuidado. Quando você excluir um diretório do servidor FTP, certifique-se de que o diretório não esteja mais em uso.

      Gerenciamento de diretórios no cliente FTP

      • Entre na visualização do cliente FTP a partir da visualização do usuário.
        • ftp
      • Exibir ou alterar o diretório de trabalho local do cliente FTP.
        • lcd [ directory | / ]

        Para fazer upload de um arquivo, use esse comando para mudar para o diretório em que o arquivo reside. Os arquivos baixados são salvos no diretório de trabalho.

      Trabalho com arquivos no servidor FTP

      Pré-requisitos

      Use o comando dir ou ls para exibir os diretórios e arquivos no servidor FTP.

      Procedimento
      • Entre na visualização do cliente FTP a partir da visualização do usuário.
        • ftp
      • Trabalhar com arquivos no servidor FTP.
        • Excluir permanentemente um arquivo do servidor FTP.
          • delete remotefile

          CUIDADO:

          Exclua um arquivo do servidor FTP permanentemente com cuidado. Quando você excluir um arquivo do servidor FTP permanentemente, certifique-se de que o arquivo não esteja mais em uso.

          Esse comando requer que você tenha o direito de exclusão.

        • Renomear um arquivo.
          • rename [ oldfilename [ newfilename ] ]
        • Faça upload de um arquivo para o servidor FTP.
          • put localfile [ remotefile ]
        • Faça o download de um arquivo do servidor FTP.
          • get remotefile [ localfile ]
        • Adicionar o conteúdo de um arquivo no cliente FTP a um arquivo no servidor FTP.
          • append localfile [ remotefile ]
        • Especifique o marcador de retransmissão.
          • restart marker

          Use esse comando junto com o comando put, get ou append.

        • Atualizar um arquivo local.
          • newer remotefile
        • Obtenha a parte ausente de um arquivo.
          • reget remotefile [ localfile ]

      Mudança para outra conta de usuário

      Sobre a mudança para outra conta de usuário

      Depois de fazer login no servidor FTP, você pode iniciar uma autenticação FTP para mudar para uma nova conta. Ao mudar para uma nova conta, você pode obter um privilégio diferente sem restabelecer a conexão FTP.

      Restrições e diretrizes

      Para que a alteração da conta seja bem-sucedida, é necessário inserir o novo nome de usuário e a senha corretamente. Um nome de usuário ou senha incorretos no site pode fazer com que a conexão FTP seja desconectada.

      Procedimento
      • Entre na visualização do cliente FTP a partir da visualização do usuário.
        • ftp
      • Iniciar uma autenticação de FTP na conexão FTP atual.
        • user username [ password ]

      Manutenção e solução de problemas da conexão FTP

      Sobre a manutenção e a solução de problemas da conexão FTP

      Depois de usar o dispositivo para estabelecer uma conexão FTP com o servidor FTP, use os comandos desta seção para localizar e solucionar problemas relacionados à conexão FTP.

      Procedimento
      • Entre na visualização do cliente FTP a partir da visualização do usuário.
        • ftp
      • Manter e solucionar problemas da conexão FTP.
        • Exibir comandos FTP compatíveis com o servidor FTP.
          • rhelp
        • Exibir informações de ajuda sobre um comando FTP compatível com o servidor FTP.
          • rhelp protocol-command
        • Exibir o status do servidor FTP.
          • rstatus
        • Exibir informações detalhadas sobre um diretório ou arquivo no servidor FTP.
          • rstatus remotefile
        • Exibir o status da conexão FTP.
          • status
        • Exibir as informações do sistema do servidor FTP.
          • system
        • Ativar ou desativar a exibição das informações de operação do FTP.
          • verbose

          Por padrão, essa função está ativada.

        • Ativar a depuração do cliente FTP.
          • debug

          Por padrão, a depuração do cliente FTP está desativada.

        • Limpa as informações de resposta no buffer.
          • reset

      Encerramento da conexão FTP

      • Entre na visualização do cliente FTP a partir da visualização do usuário.
        • ftp
      • Encerrar a conexão.
        • Encerrar a conexão com o servidor FTP sem sair da visualização do cliente FTP.
          • disconnect 
          close
        • Encerre a conexão com o servidor FTP e retorne à visualização do usuário.
          • bye
          quit

      Comandos de exibição e manutenção para o cliente FTP

      Execute o comando display em qualquer visualização.

      Tarefa Comando
      Exibir informações sobre o endereço IP de origem no cliente FTP. exibir a origem do cliente ftp

      Exemplo: Uso do dispositivo como um cliente FTP

      Configuração de rede

      Conforme mostrado na Figura 2, o PC está atuando como um servidor FTP. Uma conta de usuário com nome de usuário abc e senha hello12345 foi criada no PC.

      • Use a malha IRF como um cliente FTP para fazer login no servidor FTP.
      • Faça o download do arquivo temp.bin do servidor FTP para o cliente FTP.

      Figura 2 Diagrama de rede

      Procedimento

      # Configure os endereços IP conforme mostrado na Figura 2. Certifique-se de que a malha IRF e o PC possam se comunicar. (Detalhes não mostrados.)

      # Examine o espaço de armazenamento nos dispositivos membros. Se o espaço livre for insuficiente, use a função

      comando delete/unreserved file para excluir arquivos não utilizados. (Detalhes não mostrados.) # Faça login no servidor FTP em 10.1.1.1 usando o nome de usuário abc e a senha hello12345.

      <Sysname> ftp 10.1.1.1 
Press CTRL+C to abort.
Connected to 10.1.1.1 (10.1.1.1).
220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user 
User (10.1.1.1:(none)): abc
331 Give me your password, please 
Password:
230 Logged in successfully 
Remote system type is MSDOS. 
ftp>

      # Defina o modo de transferência de arquivos como binário.

      ftp> binary
200 TYPE is now 8-bit binary

      # Faça o download do arquivo temp.bin do PC para o diretório raiz da memória flash no dispositivo mestre.

      ftp> get temp.bin
local: temp.bin remote: temp.bin
150 Connecting to port 47457
226 File successfully transferred
23951480 bytes received in 95.399 seconds (251.0 kbyte/s)

      # Faça o download do arquivo temp.bin do PC para o diretório raiz da memória flash n o membro subordinado (com ID de membro 2).

      ftp> get temp.bin slot2#flash:/temp.bin

      # Use o modo ASCII para carregar o arquivo de configuração config.cfg da malha IRF para o PC para backup.

      ftp> ascii
200 TYPE is now ASCII
ftp> put config.cfg back-config.cfg 
local: config.cfg remote: back-config.cfg
150 Connecting to port 47461
226 File successfully transferred
3494 bytes sent in 5.646 seconds (618.00 kbyte/s) 
ftp> bye
221-Goodbye. You uploaded 2 and downloaded 2 kbytes.
221 Logout.    
<Sysname>

      Configuração de TFTP

      Sobre o TFTP

      O Trivial File Transfer Protocol (TFTP) é uma versão simplificada do FTP para transferência de arquivos em redes seguras e confiáveis. O TFTP usa a porta UDP 69 para a transmissão de dados. Em contraste com o FTP baseado em TCP, o TFTP não exige autenticação nem trocas de mensagens complexas e é mais fácil de implantar. O TFTP é adequado para ambientes de rede confiáveis.

      Conformidade com FIPS

      O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não- FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de configuração de segurança.

      O TFTP não é compatível com o modo FIPS.

      Restrições e diretrizes: Configuração de TFTP

      Você pode fazer upload de um arquivo do dispositivo para o servidor TFTP ou fazer download de um arquivo do servidor TFTP para o dispositivo.

      Como prática recomendada para fazer download de um arquivo, especifique um nome de arquivo inexistente como o nome do arquivo de destino. Se você fizer download de um arquivo com um nome de arquivo existente no diretório de destino, o dispositivo excluirá o arquivo existente e salvará o novo. Se o download do arquivo falhar devido à desconexão da rede ou por outros motivos, o arquivo original não poderá ser restaurado.

      O dispositivo pode atuar apenas como um cliente TFTP.

      Configuração e uso do cliente TFTP IPv4

      • Entre na visualização do sistema.
        • system-view
      • (Opcional.) Use uma ACL para controlar o acesso do cliente aos servidores TFTP.
        • tftp-server acl acl-number

        Por padrão, nenhuma ACL é usada para controle de acesso.

      • Especifique o endereço IP de origem dos pacotes TFTP enviados pelo cliente TFTP.
        • tftp client source { interface interface-type interface-number | ip source-ip-address }

        Por padrão, nenhum endereço IP de origem é especificado. O dispositivo usa o endereço IP primário da interface de saída como endereço IP de origem.

      • Retornar à visualização do usuário.
        • quit
      • Faça download ou upload de um arquivo em uma rede IPv4.
        • tftp tftp-server { get | put | sget } source-filename [ destination-filename ] [ dscp dscp-value | source { interface interface-type interface-number | ip source-ip-address } ] *

        O endereço IP de origem especificado nesse comando tem precedência sobre o endereço IP de origem definido com o uso do comando:

        tftp client source

      Configuração e uso do cliente TFTP IPv6

      • Entre na visualização do sistema.
        • system-view
      • (Opcional.) Use uma ACL para controlar o acesso do cliente aos servidores TFTP.
        • tftp-server ipv6 acl ipv6-acl-number

        Por padrão, nenhuma ACL é usada para controle de acesso.

      • Especifique o endereço IPv6 de origem para pacotes TFTP enviados pelo cliente TFTP.
        • tftp client ipv6 source { interface interface-type interface-number | ipv6 source-ipv6-address }

        Por padrão, nenhum endereço IPv6 de origem é especificado. O endereço de origem é selecionado automaticamente , conforme definido na RFC 3484.

      • Retornar à visualização do usuário.
        • quit
      • Faça download ou upload de um arquivo em uma rede IPv6.
        • tftp ipv6 tftp-server [ -i interface-type interface-number ] { get | put | sget } source-filename [ destination-filename ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 source-ipv6-address } ] *

        O endereço IP de origem especificado nesse comando tem precedência sobre o endereço definido pelo comando:

        tftp client ipv6 source

      Gerenciamento de sistemas de arquivos

      Este capítulo descreve como gerenciar sistemas de arquivos.

      Sobre o gerenciamento do sistema de arquivos

      Mídia de armazenamento e sistemas de arquivos

      O dispositivo suporta mídia de armazenamento fixa (a memória flash) e hot swappable (disco USB).

      • A mídia de armazenamento fixo tem um sistema de arquivos.
      • A mídia de armazenamento hot swappable pode ser particionada. Cada mídia de armazenamento não particionada tem um sistema de arquivos. Em uma mídia de armazenamento particionada, cada partição tem um sistema de arquivos.
      Convenções de nomenclatura de mídia de armazenamento e sistema de arquivos

      O sistema de arquivos na memória flash tem o mesmo nome que a memória flash. O nome tem as seguintes partes:

      • Tipo de mídia de armazenamento flash.
      • Dois pontos (:).

      O nome de um disco USB e os nomes do sistema de arquivos compartilham as seguintes partes:

      • Tipo de mídia de armazenamento usb.
      • Número de sequência, uma letra minúscula em inglês, como a, b ou c.
      • Número da partição, um dígito que começa em 0 e aumenta em 1. Se a mídia de armazenamento não estiver particionada, o sistema determinará que a mídia de armazenamento tem uma partição. (O nome da mídia de armazenamento não contém um número de partição).
      • Dois pontos (:).

      Por exemplo, o primeiro disco USB é denominado usba: e o sistema de arquivos na primeira partição do primeiro disco USB é denominado usba0:.

      IMPORTANTE:

      Os nomes de sistemas de arquivos diferenciam maiúsculas de minúsculas e devem ser inseridos em minúsculas.

      Localização do sistema de arquivos

      Para identificar um sistema de arquivos no dispositivo mestre, não é necessário especificar o local do sistema de arquivos. Para identificar um sistema de arquivos em um dispositivo membro subordinado, é necessário especificar o local do sistema de arquivos no formato slotn#. O argumento n representa a ID de membro IRF do dispositivo membro. Por exemplo, o local é slot2# para um sistema de arquivos que reside no dispositivo membro 2.

      IMPORTANTE:

      A cadeia de caracteres de localização do sistema de arquivos diferencia maiúsculas de minúsculas e deve ser inserida em minúsculas.

      Sistema de arquivos padrão

      Por padrão, você trabalha com o sistema de arquivos padrão depois de fazer login. Para especificar um arquivo ou diretório no sistema de arquivos padrão, não é necessário especificar o nome do sistema de arquivos. Por exemplo, você não precisa especificar nenhuma informação de

      local se quiser salvar a configuração em execução no diretório raiz do sistema de arquivos padrão.

      Para alterar o sistema de arquivos padrão, use o menu Boot ROM. Para obter mais informações, consulte as notas de versão do software.

      Diretórios

      Os diretórios em um sistema de arquivos são estruturados em forma de árvore.

      Diretório raiz

      O diretório raiz é representado por uma barra de encaminhamento (/). Por exemplo, flash:/

      representa o diretório raiz da memória flash.

      Diretório de trabalho

      O diretório de trabalho também é chamado de diretório atual.

      Convenções de nomenclatura de diretórios

      Quando você especificar um nome para um diretório, siga estas convenções:

      • Um nome de diretório pode conter letras, dígitos e caracteres especiais, exceto asteriscos (*), barras verticais (|), barras inclinadas para frente (/), barras inclinadas para trás (\), pontos de interrogação (?), colchetes angulares esquerdos (<), colchetes angulares direitos (>), aspas (") e dois pontos (:).
      • Um diretório cujo nome começa com um caractere de ponto (.) é um diretório oculto. Para evitar que o sistema oculte um diretório, certifique-se de que o nome do diretório não comece com um caractere de ponto.
      Diretórios comumente usados

      O dispositivo tem alguns diretórios padrão de fábrica. O sistema cria diretórios automaticamente durante a operação. Esses diretórios incluem:

      • diagfile - Armazena arquivos de informações de diagnóstico.
      • logfile - Armazena arquivos de registro.
      • seclog - >Armazena arquivos de registro de segurança.
      • versionInfo- Armazena arquivos de informações sobre a versão do software.

      Arquivos

      Convenções de nomenclatura de arquivos

      Quando você especificar um nome para um arquivo, siga estas convenções:

      • Um nome de arquivo pode conter letras, dígitos e caracteres especiais, exceto asteriscos (*), barras verticais (|), barras inclinadas para frente (/), barras inclinadas para trás (\), pontos de interrogação (?), colchetes angulares esquerdos (<), colchetes angulares direitos (>), aspas (") e dois pontos (:).
      • Um arquivo cujo nome começa com um caractere de ponto (.) é um arquivo oculto. Para evitar que o sistema oculte um arquivo, certifique-se de que o nome do arquivo não comece com um caractere de ponto.
      Tipos de arquivos comuns

      O dispositivo é fornecido com alguns arquivos. O sistema cria arquivos automaticamente durante a operação. Os tipos desses arquivos incluem:

      • .ipe file - arquivo de pacote de imagem de software compactado.
      • .bin file - Arquivo de imagem de software.
      • .cfg file - Arquivo de configuração.
      • .mdb file - arquivo de configuração binário.
      • .log file - Arquivo de registro.

      Especificação de um nome de diretório ou nome de arquivo

      Especificação de um nome de diretório

      Para especificar um diretório, você pode usar o caminho absoluto ou um caminho relativo. Por exemplo, o diretório de trabalho é flash:/. Para especificar o diretório test2 na Figura 1, você pode usar os seguintes métodos:

      • flash:/test/test1/test2 (caminho absoluto)
      • flash:/test/test1/test2/ (caminho absoluto)
      • test/test1/test2 (caminho relativo)
      • test/test1/test2/ (caminho relativo)

      Figura 1 Exemplo de hierarquia de diretório

      Especificação de um nome de arquivo

      Para especificar um arquivo, use os seguintes métodos:

      • Digite o caminho absoluto do arquivo e o nome do arquivo no formato filesystem/directory1/directory2/.../directoryn/filename, em que directoryn é o diretório em que o arquivo reside.
      • Digite o caminho relativo do arquivo e o nome do arquivo.

      Por exemplo, o diretório de trabalho é flash:/. O arquivo samplefile.cfg está no diretório test2

      mostrado na Figura 1. Para especificar o arquivo, você pode usar os seguintes métodos:

      • flash:/test/test1/test2/samplefile.cfg
      • test/test1/test2/samplefile.cfg

      Conformidade com FIPS

      O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não- FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de Configuração de Segurança.

      Restrições e diretrizes: Gerenciamento do sistema de arquivos

      Para evitar a corrupção do sistema de arquivos, não execute as seguintes tarefas durante o gerenciamento do sistema de arquivos:

      • Instale ou remova a mídia de armazenamento.
      • Realizar uma troca de mestre/subordinado.

      Se você remover uma mídia de armazenamento enquanto um diretório ou arquivo na mídia estiver sendo acessado, o dispositivo poderá não reconhecer a mídia quando você a reinstalar. Para reinstalar esse tipo de mídia de armazenamento, execute uma das seguintes tarefas:

      • Se você estava acessando um diretório na mídia de armazenamento, altere o diretório de trabalho.
      • Se você estava acessando um arquivo na mídia de armazenamento, feche o arquivo.
      • Se outro administrador estiver acessando a mídia de armazenamento, desmonte todas as partições da mídia de armazenamento.

      Certifique-se de que um disco USB não esteja protegido contra gravação antes de uma operação que exija o direito de gravação no disco.

      Não é possível acessar uma mídia de armazenamento que está sendo particionada ou um sistema de arquivos que está sendo formatado ou reparado.

      Antes de gerenciar sistemas de arquivos, diretórios e arquivos, certifique-se de conhecer o possível impacto.

      Gerenciamento de mídia de armazenamento e sistemas de arquivos

      Particionamento de uma mídia de armazenamento

      Sobre o particionamento de uma mídia de armazenamento

      Uma mídia de armazenamento pode ser dividida em dispositivos lógicos chamados partições. As operações em uma partição não afetam as outras partições.

      Restrições e diretrizes

      IMPORTANTE:

      O particionamento de uma mídia de armazenamento limpa todos os dados da mídia.

      A memória flash não é compatível com o particionamento.

      Antes de particionar uma mídia de armazenamento, execute as seguintes tarefas:

      • Certifique-se de que nenhum outro usuário esteja acessando o meio.
      • Para particionar um disco USB, certifique-se de que o disco não esteja protegido contra gravação. Se o disco estiver protegido contra gravação, a operação de partição falhará. Para restaurar o acesso ao disco USB, é necessário reinstalar o disco ou remontar os sistemas de arquivos no disco.

      Uma partição deve ter um mínimo de 32 MB de espaço de armazenamento.

      O tamanho real da partição e o tamanho especificado da partição podem ter uma diferença de menos de 5% do tamanho total da mídia de armazenamento.

      Pré-requisitos

      Faça backup dos arquivos na mídia de armazenamento.

      Procedimento

      Para particionar uma mídia de armazenamento, execute o seguinte comando na visualização do usuário:

      fdisk medium [ partition-number ]

      Para particionar uma mídia de armazenamento uniformemente, especifique o argumento partition-number. Para personalizar os tamanhos das partições, não especifique o argumento número da partição. O comando solicitará que você especifique um tamanho para cada partição.

      Montagem ou desmontagem de um sistema de arquivos

      Restrições e diretrizes

      Você só pode montar ou desmontar um sistema de arquivos que esteja em uma mídia de armazenamento hot-swappable. Só é possível desmontar um sistema de arquivos quando

      nenhum outro usuário estiver acessando o sistema de arquivos.

      Para evitar que um disco USB e a interface USB sejam danificados, certifique-se de que os seguintes requisitos sejam atendidos antes de desmontar os sistemas de arquivos no disco USB:

      • O sistema reconheceu o disco USB.
      • O LED do disco USB não está piscando.
      Montagem de um sistema de arquivos

      Para montar um sistema de arquivos, execute o seguinte comando na visualização do usuário:

      mount filesystem

      Os sistemas de arquivos em uma mídia de armazenamento hot-swappable são montados automaticamente quando a mídia de armazenamento é conectada ao dispositivo. Se o sistema não reconhecer um sistema de arquivos, será necessário montá-lo antes de poder acessá-lo.

      Desmontagem de um sistema de arquivos

      Para desmontar um sistema de arquivos, execute o seguinte comando na visualização do usuário:

      umount filesystem

      Para remover uma mídia de armazenamento hot-swappable do dispositivo, primeiro é necessário desmontar todos os sistemas de arquivos na mídia de armazenamento para desconectar a mídia do dispositivo. A remoção de uma mídia de armazenamento hot-swappable conectada pode danificar os arquivos na mídia de armazenamento ou até mesmo a própria mídia de armazenamento.

      Formatação de um sistema de arquivos

      Restrições e diretrizes

      É possível formatar um sistema de arquivos somente quando nenhum outro usuário estiver acessando o sistema de arquivos.

      Procedimento

      Para formatar um sistema de arquivos, execute o seguinte comando na visualização do usuário:

      format filesystem

      CUIDADO:

      A formatação de um sistema de arquivos exclui permanentemente todos os arquivos e diretórios do sistema de arquivos. Não é possível restaurar os arquivos ou diretórios excluídos. Se houver um arquivo de configuração de inicialização no sistema de arquivos, faça o backup do arquivo, se necessário.

      Reparo de um sistema de arquivos

      Restrições e diretrizes

      Se parte de um sistema de arquivos estiver inacessível, use esta tarefa para examinar e reparar o sistema de arquivos. Só é possível reparar um sistema de arquivos quando nenhum outro usuário estiver acessando o sistema de arquivos.

      Procedimento

      Para reparar um sistema de arquivos, execute o seguinte comando na visualização do usuário:

      fixdisk filesystem

      Gerenciamento de arquivos e diretórios

      Definição do modo de operação para arquivos e diretórios

      Sobre os modos de operação de arquivos e diretórios

      O dispositivo suporta os seguintes modos de operação:

      • alerta - O >sistema solicita confirmação quando a operação pode causar problemas como corrupção de arquivos ou perda de dados. Esse modo oferece uma oportunidade para você cancelar uma operação que cause transtornos.
      • silencioso - O sistema não solicita confirmação quando você executa uma operação de arquivo ou diretório , exceto a operação de esvaziamento da lixeira.
      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Defina o modo de operação para arquivos e diretórios.
        • file prompt { alert | quiet }

        O modo padrão é alerta.

      Exibição de informações sobre arquivos e diretórios

      Para exibir informações sobre arquivos e diretórios, execute o seguinte comando na visualização do usuário:

      dir [ /all ] [ file | directory | /all-filesystems ]

      Se vários usuários realizarem operações de arquivo (por exemplo, criar ou excluir arquivos ou diretórios) ao mesmo tempo, a saída desse comando poderá estar incorreta.

      Exibição do conteúdo de um arquivo de texto

      Para exibir o conteúdo de um arquivo de texto, execute o seguinte comando na visualização do usuário:

      more file

      Exibição do diretório de trabalho

      Para exibir o diretório de trabalho, execute o seguinte comando na visualização do usuário:

      pwd

      Alteração do diretório de trabalho

      Sobre a alteração do diretório de trabalho

      O diretório de trabalho padrão é o diretório raiz do sistema de arquivos padrão no dispositivo mestre.

      Procedimento

      Para alterar o diretório de trabalho, execute o seguinte comando na visualização do usuário:

      cd { directory | .. }

      Criação de um diretório

      Para criar um diretório, execute o seguinte comando na visualização do usuário:

      mkdir directory

      Renomear um arquivo ou diretório

      Para renomear um arquivo ou diretório, execute o seguinte comando na visualização do usuário:

      rename { source-file | source-directory } { dest-file | dest-directory }

      Cópia de um arquivo

      Para copiar um arquivo, execute o comando na visualização do usuário. No modo não-FIPS:

      copy source-file { dest-file | dest-directory } [ source interface interface-type interface-number ]

      No modo FIPS:

      copy source-file { dest-file | dest-directory }

      Mover um arquivo

      Para mover um arquivo, execute o seguinte comando na visualização do usuário:

      move source-file { dest-file | dest-directory }

      Exclusão e restauração de arquivos

      Sobre a exclusão e a restauração de um arquivo

      Você pode excluir um arquivo permanentemente ou movê-lo para a lixeira do sistema de arquivos. Um arquivo movido para a lixeira pode ser restaurado, mas um arquivo excluído permanentemente não pode.

      Cada sistema de arquivos tem uma lixeira. A lixeira é um diretório chamado .trash no diretório raiz do sistema de arquivos .

      Restrições e diretrizes

      Os arquivos na lixeira ocupam espaço de armazenamento. Para liberar o espaço de armazenamento ocupado, exclua os arquivos da lixeira.

      Para excluir arquivos da lixeira, use o comando reset recycle-bin. Se você usar o comando

      delete, a lixeira pode não funcionar corretamente. Para exibir os arquivos em uma lixeira, use um dos métodos a seguir:

      • Acesse o diretório raiz do sistema de arquivos e execute o comando dir /all .trash.
      • Acesse o diretório da lixeira do sistema de arquivos e execute o comando dir.
      Exclusão de um arquivo

      Para excluir um arquivo, execute um dos seguintes comandos na visualização do usuário:

      • Exclua um arquivo movendo-o para a lixeira.
      delete file
      • Excluir um arquivo permanentemente.
      delete /unreserved file

      CUIDADO:

      O comando delete /unreserved file exclui um arquivo permanentemente. O arquivo não pode ser restaurado.

      • Excluir arquivos da lixeira.
      reset recycle-bin [ /force ]

      CUIDADO:

      Os arquivos em uma lixeira podem ser restaurados usando o comando undelete. Se você excluir um arquivo da lixeira, esse arquivo não poderá ser restaurado. Antes de excluir arquivos de uma lixeira, certifique-se de que os arquivos não estejam mais em uso.

      Restauração de um arquivo

      Para restaurar um arquivo da lixeira, execute o seguinte comando na visualização do usuário:

      undelete file

      Exclusão de um diretório

      Para excluir um diretório, execute o seguinte comando na visualização do usuário:

      rmdir directory

      CUIDADO:

      Para excluir um diretório, você deve primeiro excluir permanentemente todos os arquivos e subdiretórios do diretório ou movê-los para a lixeira. Se você os mover para a lixeira, a execução do comando rmdir para excluir o diretório os excluirá permanentemente. Antes de usar o comando rmdir para excluir um diretório, é necessário certificar-se de que o diretório e seus arquivos e subdiretórios não estejam mais em uso.

      Arquivamento de arquivos e diretórios

      Sobre o arquivamento de arquivos e diretórios

      Você pode arquivar arquivos e diretórios em um único arquivo para fins como backup de arquivos. Os arquivos e diretórios originais ainda existem.

      Ao arquivar arquivos e diretórios, você pode optar por compactar os arquivos para que eles usem menos espaço de armazenamento.

      Procedimento

      Para arquivar arquivos e diretórios, execute o seguinte comando na visualização do usuário:

      tar create [ gz ] archive-file dest-file [ verbose ] source { source-file | source-directory }&<1-5>

      Extração de arquivos e diretórios

      Sobre a extração de arquivos e diretórios

      Use esse recurso para extrair arquivos e diretórios de arquivos compactados.

      Restrições e diretrizes

      Para especificar a palavra-chave screen para o comando tar extract, primeiro use o comando tar list para identificar os tipos de arquivos arquivados. Como prática recomendada, especifique a palavra-chave somente se todos os arquivos arquivados forem arquivos de texto. A exibição do conteúdo de um arquivo arquivado que não seja de texto e que contenha caracteres de controle de terminal pode resultar em caracteres distorcidos e até mesmo fazer com que o terminal não funcione corretamente. Para usar o terminal novamente, você deve fechar a conexão atual e fazer login no dispositivo novamente.

      Procedimento

      Para extrair arquivos e diretórios, execute os seguintes comandos na visualização do usuário:

      • (Opcional.) Exibir arquivos e diretórios arquivados.
      tar list archive-file file
      • Extraia arquivos e diretórios.
      tar extract archive-file file [ verbose ] [ screen | to directory ]

      Compressão de um arquivo

      Para compactar um arquivo, execute o seguinte comando na visualização do usuário:

      gzip file

      Descompactando um arquivo

      Para descompactar um arquivo, execute o seguinte comando na visualização do usuário:

      gunzip file

      Cálculo do arquivo digest

      Sobre os resumos de arquivos

      Os resumos de arquivos são usados para verificar a integridade dos arquivos.

      Procedimento

      Para calcular o resumo de um arquivo, execute um dos seguintes comandos na visualização do usuário:

      • Use o algoritmo SHA-256.
      sha256sum file
      • Use o algoritmo MD5.
      md5sum file

      Execução de um arquivo em lote

      Sobre o arquivo de lote e a execução do arquivo de lote

      Um arquivo de lote contém um conjunto de comandos. A execução de um arquivo de lote executa os comandos do arquivo um a um.

      Restrições e diretrizes

      Para executar um arquivo de lote no dispositivo, crie um arquivo de lote em um PC e carregue o arquivo de lote no dispositivo.

      Como prática recomendada, experimente todos os comandos no dispositivo para garantir que a linha de comando possa ser executada corretamente antes de adicionar o comando a um arquivo em lote. Se um comando for inválido ou uma condição para a execução do comando não for atendida, o comando falhará e o sistema continuará a executar o próximo comando.

      Ao executar um comando interativo em um arquivo em lote, o sistema usa as entradas padrão.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Executar um arquivo em lote.
        • execute filename

      Gerenciamento de arquivos de configuração

      Sobre o gerenciamento de arquivos de configuração

      Você pode gerenciar os arquivos de configuração a partir da CLI ou do menu BootWare. As informações a seguir explicam como gerenciar arquivos de configuração a partir da CLI.

      Um arquivo de configuração salva um conjunto de comandos para a configuração de recursos de software no dispositivo. Você pode salvar qualquer configuração em um arquivo de configuração para que a configuração possa sobreviver a uma reinicialização. Também é possível fazer backup dos arquivos de configuração em um host para uso futuro.

      Tipos de configuração

      Configuração inicial

      A configuração inicial é o conjunto de configurações padrão iniciais para os comandos de configuração no software.

      O dispositivo será iniciado com a configuração inicial se você acessar o menu BootWare e selecionar a opção Skip Current System Configuration (Ignorar configuração atual do sistema). Nessa situação, o dispositivo também pode ser descrito como sendo iniciado com a configuração vazia.

      Nenhum comando está disponível para exibir a configuração inicial. Para visualizar as definições padrão iniciais dos comandos de configuração, consulte as seções Padrão nas referências de comando.

      Padrões de fábrica

      Os padrões de fábrica são configurações básicas personalizadas que acompanham o dispositivo. Os padrões de fábrica variam de acordo com o modelo do dispositivo e podem ser diferentes das configurações padrão iniciais dos comandos.

      O dispositivo será iniciado com os padrões de fábrica se não houver arquivos de configuração de próxima inicialização disponíveis. Para exibir os padrões de fábrica, use o comando display default-configuration.

      Configuração de inicialização

      O dispositivo usa a configuração de inicialização para configurar os recursos do software durante a inicialização. Após a inicialização do dispositivo, você pode especificar o arquivo de configuração a ser carregado na próxima inicialização. Esse arquivo de configuração é chamado de arquivo de configuração de próxima inicialização. O arquivo de configuração que foi carregado é chamado de arquivo de configuração de inicialização atual.

      Você pode exibir a configuração de inicialização usando um dos seguintes métodos:

      • Para exibir o conteúdo do arquivo de configuração de inicialização atual, execute o comando display current-configuration antes de alterar a configuração após a reinicialização do dispositivo.
      • Para exibir o conteúdo do arquivo de configuração da próxima inicialização, use o comando display saved-configuration.
      • Use o comando display startup para exibir os nomes do arquivo de configuração de

      inicialização atual e dos arquivos de configuração da próxima inicialização. Em seguida, você pode usar o comando more para exibir o conteúdo do arquivo de configuração de inicialização especificado.

      Configuração em execução

      A configuração em execução inclui configurações de inicialização inalteradas e novas configurações. A configuração em execução é armazenada na memória e é apagada em uma reinicialização ou desligamento do dispositivo. Para usar a configuração em execução após um ciclo de energia ou reinicialização, salve-a em um arquivo de configuração.

      Para exibir a configuração em execução, use o comando display current-configuration.

      Tipos de arquivos de configuração e processo de seleção de arquivos na inicialização

      Quando você salva a configuração, o sistema salva as definições em um arquivo de configuração

      .cfg e em um arquivo .mdb.

      • Um arquivo de configuração .cfg é um arquivo de texto legível por humanos e seu conteúdo pode ser exibido com o uso do comando more. Os arquivos de configuração que você especificar para salvar a configuração devem usar a extensão .cfg.
      • Um arquivo .mdb é um arquivo binário inacessível ao usuário que tem o mesmo nome do arquivo .cfg. O dispositivo carrega um arquivo .mdb mais rapidamente do que um arquivo .cfg.

      Na inicialização, o dispositivo usa o seguinte procedimento para identificar o arquivo de configuração a ser carregado:

      • O dispositivo procura um arquivo de configuração de próxima inicialização .cfg válido. Para obter mais informações sobre as regras de seleção de arquivos, consulte "Redundância do arquivo de configuração da próxima inicialização".
      • Se for encontrado um arquivo de configuração de próxima inicialização .cfg válido, o dispositivo procurará um arquivo .mdb que tenha o mesmo nome e soma de verificação do arquivo .cfg.
      • Se for encontrado um arquivo .mdb correspondente, o dispositivo será iniciado com o arquivo .mdb. Se nenhum for encontrado, o dispositivo será iniciado com o arquivo .cfg.

      Se não houver arquivos de configuração .cfg next-startup disponíveis, o dispositivo será iniciado com os padrões de fábrica.

      Salvo indicação em contrário, o termo "arquivo de configuração" neste documento refere-se a um arquivo de configuração .cfg.

      Redundância do arquivo de configuração da próxima inicialização

      Você pode especificar um arquivo de configuração de próxima inicialização principal e um arquivo de configuração de próxima inicialização de backup para redundância.

      Na inicialização, o dispositivo tenta selecionar a configuração de inicialização .cfg na seguinte ordem:

      • O principal arquivo de configuração da próxima inicialização.
      • O arquivo de configuração de próxima inicialização de backup se o arquivo de configuração de próxima inicialização principal não existir ou estiver corrompido.

      Se não houver arquivos de configuração de próxima inicialização disponíveis, o dispositivo será iniciado com os padrões de fábrica.

      Organização e formato do conteúdo do arquivo de configuração

      IMPORTANTE:

      Para ser executado no dispositivo, um arquivo de configuração deve atender aos requisitos de conteúdo e formato. Para garantir o sucesso do carregamento, da reversão ou da restauração da configuração, use um arquivo de configuração criado no dispositivo. Se você editar o arquivo de configuração, certifique-se de que todas as edições estejam em conformidade com os requisitos.

      Um arquivo de configuração deve atender aos seguintes requisitos:

      • Todos os comandos são salvos em sua forma completa.
      • Nenhuma linha de comando contém caracteres inválidos.

      IMPORTANTE:

      Algumas linhas de comando (por exemplo, o comando sysname) não podem conter pontos de interrogação (?) ou tabulações horizontais (\t). Se o sistema carregar um arquivo de configuração que contenha a linha de comando sysname abc?? na inicialização, o sistema ignorará a linha de comando e usará o nome padrão do sistema. Se o sistema usar esse arquivo de configuração para reverter ou restaurar a configuração, o nome do sistema não será revertido ou restaurado.

      • Os comandos são classificados em seções por diferentes visualizações de comando, incluindo visualização do sistema, visualizações de interface, visualizações de protocolo e visualizações de linha do usuário.
      • Duas seções adjacentes são separadas por um sinal de libra (#).
      • O arquivo de configuração termina com a palavra return.

      A seguir, um exemplo de trecho de arquivo de configuração:

      #
local-user root class manage 
password hash
$h$6$Twd73mLrN8O2vvD5$Cz1vgdpR4KoTiRQNE9pg33gU14Br2p1VguczLSVyJLO2huV5Syx/LfDIf8ROLtV 
ErJ/C31oq2rFtmNuyZf4STw==
service-type ssh telnet terminal
authorization-attribute user-role network-admin 
authorization-attribute user-role network-operator
#
interface Vlan-interface1
ip address 192.168.1.84 255.255.255.0
#

      Reversão da configuração

      A reversão da configuração p e r m i t e substituir a configuração em execução pela configuração em um arquivo de configuração sem reinicializar o dispositivo. Você pode usar esse recurso para as seguintes finalidades:

      • Reverter para um estado de configuração anterior.
      • Adaptação da configuração em execução a diferentes ambientes de rede.

      Conformidade com FIPS

      O dispositivo é compatível com o modo FIPS que atende aos requisitos do NIST FIPS 140-2. O suporte a recursos, comandos e parâmetros pode ser diferente no modo FIPS e no modo não- FIPS. Para obter mais informações sobre o modo FIPS, consulte o Guia de configuração de segurança.

      Ativação da criptografia de configuração

      Sobre a criptografia de configuração

      A criptografia de configuração permite que o dispositivo criptografe um arquivo de configuração de inicialização automaticamente quando ele salva a configuração em execução. Todos os dispositivos que executam o software Comware 7 usam a mesma chave privada ou pública para criptografar os arquivos de configuração.

      Restrições e diretrizes

      Todos os dispositivos que executam o software Comware 7 podem descriptografar os arquivos de configuração criptografados. Para evitar que um arquivo criptografado seja decodificado por usuários não autorizados, certifique-se de que o arquivo seja acessível somente a usuários autorizados.

      Não é possível usar o comando more para visualizar o conteúdo de um arquivo de configuração criptografado.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Ativar a criptografia de configuração.
        • configuration encrypt { private-key | public-key }

        Por padrão, a criptografia de configuração está desativada.

      Desativação das operações automáticas do arquivo de configuração da próxima inicialização em todo o sistema

      Sobre as operações automáticas do arquivo de configuração da próxima inicialização em todo o sistema

      Por padrão, as operações automáticas do arquivo de configuração da próxima inicialização em todo o sistema estão ativadas. O sistema executa as seguintes operações em todos os dispositivos subordinados IRF, além do dispositivo mestre:

      • Salva a configuração em execução no arquivo de configuração da próxima inicialização em cada dispositivo membro quando você executa o comando:
        • save [ safely ] [ backup | main ] [ force ] [ changed ]
      • Exclui o arquivo de configuração da próxima inicialização em cada dispositivo membro quando você executa o comando
        • reset saved-configuration

      Se você desativar as operações automáticas do arquivo de configuração da próxima inicialização em todo o sistema, o sistema salvará a configuração em execução ou excluirá o arquivo de configuração da próxima inicialização somente no dispositivo mestre.

      As operações automáticas em todo o sistema garantem a consistência do arquivo de configuração de inicialização entre os dispositivos mestre e subordinados. No entanto, uma operação em todo o sistema leva mais tempo do que uma operação realizada apenas no dispositivo mestre. Além disso, o tempo necessário para concluir uma operação de configuração em todo o sistema aumenta à medida que a quantidade de dados de configuração cresce.

      Se você estiver desativando as operações automáticas em todo o sistema para salvar a configuração mais rapidamente, saiba que os arquivos de configuração da próxima inicialização serão inconsistentes entre o dispositivo mestre e os dispositivos subordinados.

      Procedimento
      • Entre na visualização do sistema.
      system-view
      • Desative as operações automáticas do arquivo de configuração da próxima inicialização em todo o sistema.
        • undo standby auto-update config

        Por padrão, as operações do arquivo de configuração da próxima inicialização são sincronizadas automaticamente em todo o sistema .

      Salvando a configuração em execução

      Sobre os métodos de salvamento da configuração em execução

      Ao salvar a configuração em execução em um arquivo de configuração .cfg, você pode especificar o arquivo como um arquivo de configuração da próxima inicialização ou não.

      Se você estiver especificando o arquivo como um arquivo de configuração de próxima inicialização .cfg, use um dos seguintes métodos para salvar a configuração:

      • Modo rápido - Use o comando save sem a palavra-chave safely. Nesse modo, o dispositivo substitui diretamente o arquivo de configuração de próxima inicialização de

        • destino. Se ocorrer uma reinicialização ou falha de energia durante esse processo, o arquivo de configuração da próxima inicialização será perdido. Você deve especificar um novo arquivo de configuração de inicialização depois que o dispositivo for reinicializado (consulte "Especificação de um arquivo de configuração de próxima inicialização").

      • Modo de segurança - Use o comando save com a palavra-chave safely. O modo de segurança é mais lento que o modo rápido, mas é mais seguro. No modo de segurança, o sistema salva a configuração em um arquivo temporário e começa a substituir o arquivo de configuração de destino da próxima inicialização após a conclusão da operação de salvamento. Se ocorrer uma reinicialização ou falha de energia durante a operação de salvamento, o arquivo de configuração da próxima inicialização

      O arquivo de configuração ainda é mantido. Use o modo de segurança se a fonte de alimentação não for confiável ou se você estiver configurando o dispositivo remotamente.

      Restrições e diretrizes

      Para evitar a perda da configuração da próxima inicialização, certifique-se de que ninguém reinicie ou faça um ciclo de energia no dispositivo enquanto ele estiver salvando a configuração em execução.

      Quando um dispositivo membro da IRF se separa da malha IRF, suas definições são mantidas na memória, mas removidas da configuração em execução na malha IRF. Salvar a configuração em execução antes que a malha IRF se recupere removerá as definições do dispositivo membro do arquivo de configuração da próxima inicialização.

      Se você salvou a configuração em execução antes de o dispositivo membro voltar a integrar a malha IRF, execute as seguintes etapas para restaurar as configurações do dispositivo membro para o arquivo de configuração da próxima inicialização:

      • Resolver a questão da divisão.
      • Reinicialize o dispositivo membro para voltar a participar da malha IRF.
      • Depois que o dispositivo membro se juntar novamente à malha IRF, execute o comando:
        • display current-configuration

        Para verificar se as configurações do dispositivo membro foram restauradas da memória para a configuração em execução.

      • Salve a configuração em execução no arquivo de configuração da próxima inicialização na malha IRF.

      IMPORTANTE:

      Para garantir uma restauração bem-sucedida da configuração, certifique-se de que a malha IRF não tenha sido reinicializada após a saída do dispositivo membro.

      Por padrão, o comando 

      save [ safely ] [ backup | main ] [ force ] [ changed ]
      Salva a configuração em todos os dispositivos membros da IRF. Para salvar a configuração somente no dispositivo mestre, desative as operações automáticas do arquivo de configuração da próxima inicialização em todo o sistema. Para obter mais informações, consulte "Desativação das operações automáticas do arquivo de configuração da próxima inicialização em todo o sistema".

      Procedimento

      Para salvar a configuração em execução, execute uma das seguintes tarefas em qualquer visualização:

      • Salve a configuração em execução em um arquivo de configuração sem especificar o arquivo como um arquivo de configuração da próxima inicialização.
        • save file-url [ all | slot slot-number ]
      • Salve a configuração em execução em um arquivo de configuração no diretório raiz da mídia de armazenamento e especifique o arquivo como um arquivo de configuração da próxima inicialização.
        • save [ safely ] [ backup | main ] [ force ] [ changed ]

        Como prática recomendada, especifique a palavra-chave safely para salvar a configuração de forma confiável.

        CUIDADO:

        Use o comando save com cuidado. Esse comando substituirá as configurações no arquivo de configuração de destino. Leia atentamente as mensagens geradas no dispositivo quando você usar esse comando e certifique-se de que compreendeu totalmente o impacto desse comando ao executá-lo.

      Comparação de configurações quanto às suas diferenças

      Sobre a comparação de configurações

      Você pode comparar arquivos de configuração ou comparar um arquivo de configuração com a configuração em execução para verificar suas diferenças.

      Se você especificar a configuração da próxima inicialização para uma comparação, o sistema selecionará o arquivo de configuração da próxima inicialização a ser comparado na seguinte ordem:

      • O principal arquivo de configuração da próxima inicialização.
      • O arquivo de configuração de backup da próxima inicialização se o arquivo de configuração principal da próxima inicialização não estiver disponível.

      Se ambos os arquivos de configuração não estiverem disponíveis, o sistema exibirá uma mensagem indicando que não existem arquivos de configuração da próxima inicialização.

      Procedimento

      Para comparar as diferenças entre as configurações, execute uma das seguintes tarefas em qualquer visualização:

      • Exibe as diferenças que um arquivo de configuração, a configuração em execução ou a configuração da próxima inicialização tem em comparação com o arquivo de configuração de origem especificado.
        • display diff configfile file-name-s { configfile file-name-d |  current-configuration | startup-configuration }
      • Exibe as diferenças que um arquivo de configuração ou uma configuração de próxima inicialização tem em comparação com a configuração em execução.
        • display diff current-configuration { configfile file-name-d | startup-configuration }
      • Exibe as diferenças que um arquivo de configuração tem em comparação com a configuração da próxima inicialização.
        • display diff startup-configuration configfile file-name-d
      • Exibe as diferenças que a configuração em execução tem em comparação com a configuração da próxima inicialização.
        • Método 1:
          • display diff startup-configuration current-configuration
        • Método 2:
          • display current-configuration diff

      Configuração da reversão da configuração

      Visão geral das tarefas de reversão de configuração

      Para configurar a reversão da configuração, execute as seguintes tarefas:

      • Definição dos parâmetros do arquivo de configuração
      • Arquivamento da configuração em execução
        • Ativação do arquivamento automático da configuração
        • Arquivamento manual da configuração em execução
      • Reversão da configuração

      Definição dos parâmetros do arquivo de configuração

      Sobre a definição dos parâmetros do arquivo de configuração

      Antes de arquivar a configuração em execução, é necessário definir um diretório de arquivos e um prefixo de nome de arquivo para os arquivos de configuração.

      O diretório do arquivo pode estar localizado no dispositivo local ou em um servidor SCP remoto.

      Se você usar o arquivamento local, os arquivos de configuração serão nomeados no formato prefix_serial number.cfg, por exemplo, archive_1.cfg e archive_2.cfg. O número de série é atribuído automaticamente de 1 a 1000, aumentando de 1 em 1. Depois que o número de série chega a 1000, ele é reiniciado a partir de 1.

      Se você alterar o diretório do arquivo ou o prefixo do nome do arquivo no dispositivo local, ocorrerão os seguintes eventos:

      • Os arquivos de configuração antigos são alterados para arquivos de configuração comuns.
      • O contador do arquivo de configuração é reiniciado. O número de série dos novos arquivos de configuração começa em 1.
      • O comando display archive configuration não exibe mais os arquivos de configuração antigos.

      O contador de arquivos de configuração não é reiniciado quando o usuário exclui arquivos de configuração do diretório de arquivos. Entretanto, se o dispositivo for reinicializado depois que todos os arquivos de configuração tiverem sido excluídos, o contador de arquivos de configuração será reiniciado. O número de série dos novos arquivos de configuração começa em 1.

      Se você arquivar a configuração em execução em um servidor SCP remoto, os arquivos de configuração serão nomeados no formato prefix_YYYYMMDD_HHMMSS.cfg, por exemplo, archive_20170526_203430.cfg.

      Se você alterar o diretório do arquivo ou o prefixo do nome do arquivo no servidor SCP remoto, o comando display archive configuration não exibirá mais os arquivos de configuração antigos salvos antes da alteração.

      Restrições e diretrizes para definir os parâmetros do arquivo de configuração

      O arquivamento local (archive configuration location) e o arquivamento remoto (archive configuration server) são mutuamente exclusivos. Não é possível usar os dois recursos ao mesmo tempo.

      IMPORTANTE:

      No modo FIPS, o dispositivo não suporta o arquivamento da configuração em execução em um servidor SCP remoto.

      Com o arquivamento de configuração local, o sistema exclui o arquivo mais antigo para abrir espaço para o novo arquivo depois que o número máximo de arquivos de configuração é atingido.

      O número máximo de arquivos de configuração em um servidor SCP remoto depende da configuração do servidor SCP e não é restringido pelo comando archive configuration max.

      O comando undo archive configuration location remove o diretório do arquivo de configuração local e as definições do prefixo do nome do arquivo, mas não exclui os arquivos de configuração do dispositivo. O comando também executa as seguintes operações:

      • Desativa os recursos de arquivamento manual e automático da configuração.
      • Restaura as configurações padrão dos comandos: 
        • archive configuration interval 
        archive configuration max
      • Limpa as informações do arquivo de configuração exibidas com o comando:
        • display archive configuration

      O comando undo archive configuration server remove o diretório do arquivo de configuração remota e as definições do prefixo do nome do arquivo, mas não exclui os arquivos de configuração no servidor. O comando também executa as seguintes operações:

      • Desativa os recursos de arquivamento manual e automático da configuração.
      • Restaura a configuração padrão do comando:
        • archive configuration interval
      • Limpa as informações do arquivo de configuração exibidas com o comando:
        • display archive configuration
      Configuração dos parâmetros de arquivamento local
      • Entre na visualização do sistema.
        • system-view
      • Defina o diretório e o prefixo do nome do arquivo para arquivar a configuração em execução no dispositivo local.
        • archive configuration location directory filename-prefix filename-prefix

        Por padrão, nenhum caminho ou prefixo de nome de arquivo é definido para os arquivos de configuração no dispositivo, e o sistema não salva regularmente a configuração.

        Em uma malha IRF, o diretório do arquivo de configuração já deve existir no dispositivo mestre e não pode incluir um ID de membro.

      • (Opcional.) Defina o número máximo de arquivos de configuração.
        • archive configuration max file-number

        O número padrão é 5.

        Altere a configuração de acordo com a quantidade de armazenamento disponível no dispositivo.

      Configuração de parâmetros de arquivamento remoto
      • Entre na visualização do sistema.
        • system-view
      • Defina o prefixo do diretório e do nome do arquivo para arquivar a configuração em execução em um servidor SCP remoto.
        • archive configuration server scp { ipv4-address | ipv6 ipv6-address } [ port port-number ] [ directory directory ] filename-prefix filename-prefix

        Por padrão, nenhum caminho ou prefixo de nome de arquivo é definido para arquivar a configuração em execução em um servidor SCP remoto.

      • Configure o nome de usuário e a senha para acessar o servidor SCP remoto:
        • Configure o nome de usuário.
          • archive configuration server user user-name

          Por padrão, nenhum nome de usuário é configurado para acessar o servidor SCP.

        • Configure a senha.
          • archive configuration server password { cipher | simple } string

          Por padrão, nenhuma senha é configurada para acessar o servidor SCP.

        Certifique-se de que o nome de usuário e a senha sejam os mesmos das configurações da conta SCP no servidor SCP .

      Arquivamento da configuração em execução

      Sobre o arquivamento da configuração em execução

      Veja a seguir os métodos para arquivar a configuração em execução:

      • Arquivamento automático da configuração - O sistema arquiva automaticamente a configuração em execução em intervalos, conforme configurado.
      • Arquivamento manual da configuração - Você pode desativar o arquivamento automático da configuração e arquivar manualmente a configuração em execução se a configuração não for alterada com muita frequência. Você também pode usar esse método antes de executar tarefas de configuração complicadas. Se a tentativa de configuração falhar, você poderá usar o arquivo para recuperar a configuração.
      Restrições e diretrizes para arquivar a configuração em execução

      Se você usar o arquivamento local, o recurso de arquivamento de configuração salvará a configuração em execução somente no dispositivo mestre. Para garantir que o sistema possa arquivar a configuração em execução após uma alternância mestre/subordinado, crie o diretório de arquivamento de configuração em todos os membros da IRF.

      Se um arquivamento local tiver sido iniciado com base nos parâmetros de arquivamento existentes, quando um parâmetro de arquivamento for alterado, o arquivo ainda será mantido no diretório antigo. No entanto, o comando display archive configuration não exibirá o registro sobre esse arquivamento.

      Ao modificar os parâmetros (por exemplo, o nome de usuário ou a senha) para arquivamento remoto, verifique se as alterações são consistentes entre o dispositivo e o servidor. Um arquivamento remoto manual ou automático falhará se tiver sido iniciado antes de você alterar as configurações do dispositivo e do servidor para que sejam consistentes.

      Ativação do arquivamento automático da configuração
      • Entre na visualização do sistema.
        • system-view
      • Habilite o arquivamento automático da configuração e defina o intervalo de arquivamento.
        • archive configuration interval interval

        Por padrão, o arquivamento automático da configuração está desativado.

      Arquivamento manual da configuração em execução

      Arquive manualmente a configuração em execução na visualização do usuário.

      archive configuration

      Reversão da configuração

      Sobre a reversão da configuração

      O recurso de reversão de configuração compara a configuração em execução com o arquivo de configuração de substituição especificado e trata as diferenças de configuração da seguinte forma:

      • Se um comando na configuração em execução não estiver no arquivo de substituição, o recurso de reversão executará a forma de desfazer do comando.
      • Se um comando no arquivo de substituição não estiver na configuração em execução, o recurso de reversão adicionará o comando à configuração em execução.
      • Se um comando tiver configurações diferentes na configuração em execução e no arquivo de substituição, o recurso de reversão substituirá a configuração do comando em execução pela configuração do arquivo de substituição.
      Restrições e diretrizes

      Para garantir que a reversão seja bem-sucedida, não execute uma alternância mestre/subordinado enquanto o sistema estiver fazendo a reversão da configuração.

      O recurso de reversão de configuração pode falhar ao reconfigurar alguns comandos na configuração em execução por um dos seguintes motivos:

      • Um comando não pode ser desfeito porque a prefixação da palavra-chave undo ao comando não resulta em um comando undo válido. Por exemplo, se a forma de desfazer criada para o comando A [B] C for undo A C, o recurso de reversão de configuração não poderá desfazer o comando A B C. Isso ocorre porque o sistema não reconhece o comando undo A B C. Isso ocorre porque o sistema não reconhece o comando undo A B C.
      • Um comando (por exemplo, um comando dependente de hardware) não pode ser excluído, sobrescrito ou desfeito devido a restrições do sistema.
      • Os comandos em diferentes visualizações são dependentes uns dos outros.
      • Não é possível adicionar à configuração em execução comandos ou configurações de comando que não sejam compatíveis com o dispositivo.

      Certifique-se de que o arquivo de configuração de substituição seja criado usando o recurso de arquivamento de configuração ou o comando save no dispositivo local. Se o arquivo de configuração não for criado no dispositivo local, verifique se as linhas de comando no arquivo de configuração são totalmente compatíveis com o dispositivo local.

      Se o arquivo de configuração de substituição estiver criptografado, verifique se o dispositivo pode descriptografá-lo.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Reverter a configuração em execução para a configuração definida por um arquivo de configuração.
        • configuration replace file filename

      CUIDADO:

      O recurso de reversão de configuração substitui a configuração em execução pela configuração em um arquivo de configuração sem reinicializar o dispositivo. Essa operação fará com que as configurações que não estão no arquivo de configuração de substituição sejam perdidas, o que pode causar interrupção do serviço. Ao executar a reversão da configuração, certifique-se de compreender totalmente o impacto na rede.

      O arquivo de configuração especificado deve ser salvo no sistema local.

      Configuração do atraso de confirmação da configuração

      Sobre o atraso no commit da configuração

      Esse recurso permite que o sistema remova automaticamente as configurações feitas durante um intervalo de atraso de confirmação de configuração se você não as tiver confirmado manualmente.

      Você especifica o intervalo de atraso de confirmação da configuração usando o temporizador de atraso de confirmação da configuração. O sistema cria um ponto de reversão para registrar o status da configuração quando você inicia o temporizador de atraso de confirmação da configuração. As definições feitas durante o intervalo de atraso de confirmação da configuração entram em vigor imediatamente. Entretanto, essas configurações serão removidas automaticamente se você não as tiver confirmado manualmente antes que o temporizador de atraso de confirmação da configuração expire. Em seguida, o sistema retorna ao status de configuração quando o temporizador de atraso de confirmação da configuração foi iniciado.

      Esse recurso evita que uma configuração incorreta cause a impossibilidade de acessar o dispositivo e é especialmente útil quando você configura o dispositivo remotamente.

      Restrições e diretrizes

      Quando você usar esse recurso, siga estas restrições e diretrizes:

      • Em um contexto multiusuário, certifique-se de que ninguém mais esteja configurando o dispositivo.
      • Para evitar erros inesperados, não execute nenhuma operação durante a reversão da configuração.
      • Você pode reconfigurar o temporizador de atraso de confirmação de configuração antes que ele expire para reduzir ou estender o intervalo de atraso de confirmação. No entanto, o ponto de reversão não será alterado.
      • O recurso de atraso de confirmação de configuração é uma configuração única. O recurso é desativado com o ponto de reversão removido quando o cronômetro de atraso de confirmação expira ou após a execução de uma operação de confirmação manual . Para usar esse recurso novamente, é necessário reiniciar o cronômetro.
      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Ative o recurso de atraso de confirmação de configuração e inicie o cronômetro de atraso de confirmação.
        • configuration commit delay delay-time
      • (Opcional.) Confirmar as configurações definidas após o início do cronômetro de atraso de confirmação.
        • configuration commit

      Especificação de um arquivo de configuração de próxima inicialização

      Restrições e diretrizes

      CUIDADO:

      O uso do comando undo startup saved-configuration pode causar uma divisão da IRF após a reinicialização da malha IRF ou de um membro da IRF. Ao executar esse comando, certifique-se de compreender o impacto dele na rede.

      Como prática recomendada, especifique arquivos diferentes como os arquivos de configuração principal e de backup da próxima inicialização.

      O comando undo startup saved-configuration altera o atributo do arquivo de configuração de próxima inicialização principal ou de backup para NULL, em vez de excluir o arquivo.

      Pré-requisitos

      Em uma malha IRF, certifique-se de que o arquivo de configuração especificado seja válido e tenha sido salvo no diretório raiz de uma mídia de armazenamento em cada dispositivo membro. Além disso, verifique se a mídia de armazenamento é do mesmo tipo em todos os dispositivos membros da IRF.

      Procedimento
      • Especifique um arquivo de configuração para a próxima inicialização. Escolha um dos seguintes métodos:
        • Execute o seguinte comando na visualização do usuário para especificar um arquivo de configuração de próxima inicialização:
          • startup saved-configuration cfgfile [ backup | main ]

          Por padrão, nenhum arquivo de configuração de próxima inicialização é especificado.

        • Execute o seguinte comando em qualquer visualização para salvar a configuração em execução em um arquivo e especificar o arquivo como um arquivo de configuração da próxima inicialização:
          • save [ safely ] [ backup | main ] [ force ]

        Para obter mais informações sobre esse comando, consulte "Salvando a configuração em execução".

        Se você não especificar a palavra-chave backup ou main, esse comando especificará o arquivo de configuração como o arquivo principal de configuração da próxima inicialização.

      • (Opcional.) Verifique a configuração. Use um dos seguintes comandos em qualquer visualização:
        • Exibe os nomes dos arquivos de configuração para esta inicialização e para a próxima inicialização.
          • display startup
        • Exibir o conteúdo do arquivo de configuração para a próxima inicialização do sistema.
          • display saved-configuration

      Fazendo backup e restaurando o arquivo de configuração principal da próxima inicialização

      Sobre o backup e a restauração do arquivo de configuração

      principal da próxima inicialização

      Você pode fazer backup do arquivo de configuração principal da próxima inicialização em um servidor TFTP ou restaurar o arquivo de configuração principal da próxima inicialização a partir de um servidor TFTP.

      Restrições e diretrizes para backup e restauração de configurações

      Não há suporte para backup e restauração de configuração no modo FIPS.

      Pré-requisitos para backup e restauração da configuração

      Antes de fazer backup ou restaurar o arquivo principal de configuração da próxima inicialização, execute as seguintes tarefas:

      • Certifique-se de que os seguintes requisitos sejam atendidos:
        • O servidor pode ser acessado.
        • O servidor está ativado com o serviço TFTP.
        • Você tem permissões de leitura e gravação no servidor.
      • Para o backup da configuração, use o comando display startup para verificar se o arquivo de configuração principal de próxima inicialização foi especificado na visualização do usuário. Se nenhum arquivo de configuração de próxima inicialização tiver sido especificado ou se o arquivo de configuração especificado não existir, a operação de backup falhará.

      Fazendo backup do arquivo de configuração principal da próxima inicialização em um servidor TFTP

      Para fazer backup do arquivo principal de configuração da próxima inicialização em um servidor TFTP, execute o seguinte comando na visualização do usuário:

      backup startup-configuration to { ipv4-server | ipv6 ipv6-server } [ dest-filename ]

      Restaurar o arquivo de configuração principal da próxima inicialização a partir de um servidor TFTP

      • Restaurar o arquivo de configuração principal da próxima inicialização de um servidor TFTP na visualização do usuário.
        • restore startup-configuration from { ipv4-server | ipv6 ipv6-server } src-filename
      • (Opcional.) Verifique se o arquivo de configuração especificado foi definido como o arquivo de configuração principal da próxima inicialização. Use um dos seguintes comandos em qualquer visualização:
        • Exibe os nomes dos arquivos de configuração para esta inicialização e para a próxima inicialização.
          • display startup
        • Exibir o conteúdo do arquivo de configuração para a próxima inicialização do sistema.
          • display saved-configuration

      Exclusão de um arquivo de configuração de próxima inicialização

      Sobre a exclusão de um arquivo de configuração de próxima inicialização

      Você pode executar essa tarefa para excluir um arquivo de configuração da próxima inicialização.

      Se os arquivos de configuração principal e de backup da próxima inicialização forem excluídos, o dispositivo usará os padrões de fábrica na próxima inicialização.

      Para excluir um arquivo definido como arquivos de configuração de próxima inicialização principal e de backup, é necessário executar o comando reset saved-configuration backup e o comando reset saved-configuration main. O uso de apenas um dos comandos remove o atributo de arquivo especificado em vez de excluir o arquivo.

      Por exemplo, se o comando reset saved-configuration backup for executado, a definição do arquivo de configuração de backup da próxima inicialização será definida como NULL. No entanto, o arquivo ainda é usado como o arquivo principal. Para excluir o arquivo, você também deve executar o comando reset saved-configuration main.

      Restrições e diretrizes

      CUIDADO:

      Por padrão, essa tarefa exclui permanentemente um arquivo de configuração da próxima inicialização de todos os dispositivos membros da IRF. Para excluir o arquivo de configuração somente do dispositivo mestre, desative as operações automáticas do arquivo de configuração da próxima inicialização em todo o sistema. Para obter mais informações, consulte "Desativação das operações automáticas do arquivo de configuração da próxima inicialização".

      operações de arquivo de configuração de próxima inicialização em todo o sistema".

      Se você não especificar a palavra-chave backup ou main ao executar essa tarefa, a configuração principal da próxima inicialização do será excluída.

      Procedimento

      Para excluir um arquivo de configuração de próxima inicialização, execute o seguinte comando na visualização do usuário:

      reset saved-configuration [ backup | main ]

      Comandos de exibição e manutenção de arquivos de configuração

      Execute comandos de display em qualquer visualização e os comandos de reset na visualização do usuário.

      Tarefa Comando
      Exibir informações do arquivo de configuração. display archive configuration
      Exibir a configuração em execução. display current-configuration [ [ configuration [ module-name ] | interface [ interface-type [ interface-number ] ] ] [ all ] | slot slot-number ]
      Exibe as diferenças que a configuração em execução tem em comparação com a configuração da próxima inicialização. display current-configuration diff
      Exibir os padrões de fábrica. display default-configuration
      Exibir as diferenças entre as configurações.
      • display diff configfile file-name-s { configfile file-name-d | current-configuration | startup-configuration }
      • display diff current-configuration { configfile file-name-d | startup-configuration }
      • display diff startup-configuration { configfile file-name-d | current-configuration }

      __________________________________________________________________________________________________________________

      Tarefa Comando
      Exibir o conteúdo do arquivo de configuração para a próxima inicialização do sistema. display saved-configuration
      Exibe os nomes dos arquivos de configuração para esta inicialização e para a próxima inicialização. display startup
      Exibe a configuração válida na visualização atual. display this [ all ]
      Excluir arquivos de configuração da próxima inicialização. reset saved-configuration [ backup | main ]

      Atualização de software

      Sobre a atualização do software

      O upgrade de software permite que você atualize uma versão de software, adicione novos recursos e corrija bugs de software. Este capítulo descreve os tipos de software e as formas de liberação, compara os métodos de atualização de software e fornece os procedimentos para atualização de software a partir da CLI.

      Tipos de software

      Os seguintes tipos de software estão disponíveis:

      • Imagem do BootWare - Também chamada de imagem da ROM de inicialização. Essa imagem contém um segmento básico e um segmento estendido.
        • O segmento básico é o código mínimo que inicializa o sistema.
        • O segmento estendido permite a inicialização do hardware e fornece menus de gerenciamento do sistema. Quando o dispositivo não consegue iniciar corretamente, você pode usar os menus para carregar o software e o arquivo de configuração de inicialização ou gerenciar arquivos.

        Normalmente, a imagem do BootWare é integrada à imagem de inicialização para evitar erros de compatibilidade de software.

      • Imagem do Comware - Inclui as seguintes subcategorias de imagem:
        • Imagem de inicialização - Um arquivo .bin que contém o kernel do sistema operacional Linux. Ele fornece gerenciamento de processos, gerenciamento de memória e gerenciamento do sistema de arquivos.
        • Imagem do sistema - Um arquivo .bin que contém o kernel do Comware e os recursos padrão, incluindo gerenciamento de dispositivos, gerenciamento de interface, gerenciamento de configuração e roteamento.
        • Imagem de recurso - Um arquivo .bin que contém recursos avançados ou personalizados do software. Você pode adquirir imagens de recursos conforme necessário.
        • Imagem de correção - Um arquivo .bin que é liberado para corrigir erros sem reiniciar o dispositivo. Uma imagem de patch não adiciona ou remove recursos.

          • As imagens de patches têm os seguintes tipos:

          • Imagens de correção incrementais - Uma nova imagem de correção pode cobrir todas, parte ou nenhuma das funções fornecidas por uma imagem de patch antiga. Uma nova imagem de patch pode coexistir com uma imagem de patch antiga no dispositivo somente quando a primeira não cobrir nenhuma das funções fornecidas pela segunda.
          • Imagens de correção não incrementais - Uma nova imagem de correção não incremental abrange todas as funções fornecidas por uma imagem de patch não incremental antiga. Cada imagem de inicialização, sistema ou recurso pode ter uma imagem de patch não incremental, e essas imagens de patch podem coexistir no dispositivo. O dispositivo desinstala a imagem de patch não incremental antiga antes de instalar uma nova imagem de patch não incremental.

          Uma imagem de correção incremental e uma imagem de patch não incremental podem coexistir no dispositivo.

        As imagens de comware que foram carregadas são chamadas de imagens de software atuais. As imagens de comware especificadas para serem carregadas na próxima inicialização são chamadas de imagens de software de inicialização.

      A imagem do BootWare, a imagem de inicialização e a imagem do sistema são necessárias para o funcionamento do dispositivo.

      Você pode instalar até 32 arquivos .bin no dispositivo, incluindo um arquivo de imagem de inicialização, um arquivo de imagem do sistema e até 30 arquivos de imagem de recursos e patches.

      Formulários de liberação de software

      As imagens de software são liberadas em uma das seguintes formas:

      • Arquivos .bin separados. Você deve verificar a compatibilidade entre as imagens de software.
      • Como um todo em um arquivo de pacote .ipe. As imagens em um arquivo de pacote .ipe são compatíveis. O sistema descompacta o arquivo automaticamente, carrega as imagens .bin e as define como imagens de software de inicialização.

      OBSERVAÇÃO:

      Os nomes dos arquivos de imagem de software usam o formato model-comware version- image type-release. Este documento usa boot.bin e system.bin como nomes de arquivo de imagem de inicialização e de sistema.

      Métodos de atualização

      Método de atualização

      		 Tipos de software

      		 Observações
      Atualização a partir da CLI usando o método do carregador de inicialização
      • Imagem do BootWare
      • Imagens do Comware (excluindo patches incrementais)
      		 Esse método é prejudicial. É necessário reinicializar todo o dispositivo para concluir a atualização.
      Atualização pelo menu BootWare
      • Imagem do BootWare
      • Imagens do Comware

      Use esse método quando o dispositivo não puder ser iniciado corretamente.

      Para usar esse método, primeiro conecte-se à porta do console e desligue o dispositivo. Em seguida, pressione Ctrl+B no prompt para acessar o menu BootWare.

      Para obter mais informações sobre o upgrade de software no menu BootWare, consulte as notas de versão da versão do software.

      IMPORTANTE:

      Use esse método somente quando não tiver outra opção.

      Este capítulo aborda apenas a atualização de software da CLI usando o método do carregador de inicialização.

      Carregamento de imagens de software

      Imagens de software de inicialização

      Para atualizar o software, você deve especificar os arquivos de atualização como imagens de software de inicialização para que o dispositivo seja carregado na próxima inicialização. Você pode especificar duas listas de imagens de software: uma principal e outra de backup. O dispositivo carrega primeiro as imagens do software de inicialização principal. Se as imagens do software de inicialização principal não estiverem disponíveis, o dispositivo carregará as imagens do software de inicialização de backup.

      Processo de carregamento de imagens na inicialização

      Na inicialização, o dispositivo executa as seguintes operações depois de carregar e inicializar o BootWare:

      • Carrega as imagens principais.
      • Se alguma imagem principal não existir ou for inválida, carrega as imagens de backup.
      • Se alguma imagem de backup não existir ou for inválida, o dispositivo não poderá ser iniciado.

      Restrições e diretrizes: Atualização de software

      Como prática recomendada, armazene as imagens de inicialização em uma mídia de armazenamento fixa. Se armazenar as imagens de inicialização em uma mídia de armazenamento hot swappable, não remova a mídia de armazenamento hot swappable durante o processo de inicialização.

      Atualização do software do dispositivo usando o método do carregador de inicialização

      Visão geral das tarefas de atualização de software

      Para atualizar o software, execute uma das seguintes tarefas:

      • Faça upgrade da malha IRF:
        • (Opcional.) Faça o pré-carregamento da imagem do BootWare para o BootWare

          • Se for necessário um upgrade do BootWare, você poderá executar essa tarefa para reduzir o tempo de upgrade subsequente. Essa tarefa ajuda a reduzir os problemas de atualização causados por uma falha inesperada de energia. Se você ignorar essa tarefa, o dispositivo atualizará o BootWare automaticamente quando atualizar as imagens do software de inicialização.

        • Especificação de imagens de inicialização e conclusão do upgrade
      • (Opcional.) Sincronização de imagens de inicialização do dispositivo mestre para os dispositivos subordinados

        • Execute essa tarefa quando as imagens de inicialização nos dispositivos subordinados não forem da mesma versão que as do dispositivo mestre.

      Pré-requisitos

      • Use o comando display version para verificar a versão atual da imagem do BootWare e a versão do software de inicialização.
      • Use as notas de versão da versão do software de upgrade para avaliar o impacto do upgrade em sua rede e verificar os seguintes itens:
        • Compatibilidade de software e hardware.
        • Versão e tamanho do software de upgrade.
        • Compatibilidade do software de upgrade com a imagem atual do BootWare e a imagem do software de inicialização.
      • Use o comando dir para verificar se todos os dispositivos membros da IRF têm espaço de armazenamento suficiente para as imagens de upgrade. Se o espaço de armazenamento não for suficiente, exclua os arquivos não utilizados usando o comando delete. Para obter mais informações, consulte "Gerenciamento de sistemas de arquivos".
      • Use FTP ou TFTP para transferir o arquivo de imagem de upgrade para o diretório raiz de um sistema de arquivos. Para obter mais informações sobre FTP e TFTP, consulte "Configuração de FTP" ou "Configuração de TFTP". Para obter mais informações sobre sistemas de arquivos, consulte "Gerenciamento de sistemas de arquivos".

      Pré-carregamento da imagem do BootWare no BootWare

      Para carregar a imagem de upgrade do BootWare na área Normal do BootWare, execute o seguinte comando na visualização do usuário:

      bootrom update file file slot slot-number-list

      Especifique o arquivo de imagem do software baixado para o argumento arquivo.

      A nova imagem do BootWare entra em vigor em uma reinicialização.

      Especificação de imagens de inicialização e conclusão do upgrade

      Execute as etapas a seguir na visualização do usuário:

      • Especifique imagens de inicialização principais ou de backup para todos os dispositivos membros.
        • Use um arquivo .ipe:
          • boot-loader file ipe-filename [ patch filename&<1-16> ] { all | slot slot-number } { backup | main }
        • Use arquivos .bin:
          • boot-loader file boot filename system filename [ feature filename&<1-30> ] [ patch filename&<1-16> ] { all | slot slot-number } { backup | main }

        Como prática recomendada em uma malha IRF com vários chassis, especifique a palavra- chave all para o comando. Se você usar a opção slot slot-number para atualizar os dispositivos membros um a um, ocorrerão inconsistências de versão entre os dispositivos membros durante a atualização.

      • Salve a configuração em execução.
        • save

        Essa etapa garante que qualquer configuração que você tenha feito possa sobreviver a uma reinicialização.

      • Reinicialize a malha IRF.
        • reboot
      • (Opcional.) Verifique as configurações da imagem do software.
        • display boot-loader [ slot slot-number ]

        Verifique se as imagens de software atuais são as mesmas que as imagens de software de inicialização.

      Sincronização de imagens de inicialização do dispositivo mestre para os dispositivos subordinados

      Sobre a sincronização da imagem de inicialização

      Execute essa tarefa quando as imagens de inicialização nos dispositivos subordinados não forem da mesma versão que as do dispositivo mestre.

      Essa tarefa sincroniza as imagens de inicialização que estão sendo executadas no dispositivo mestre com os dispositivos subordinados. Se alguma das imagens de inicialização não existir ou for inválida, a sincronização falhará.

      As imagens de inicialização sincronizadas com dispositivos subordinados são definidas como imagens de inicialização principais, independentemente de as imagens de inicialização de origem serem principais ou de backup.

      Restrições e diretrizes

      Se uma instalação de patch tiver sido realizada no dispositivo mestre, use o comando install commit para atualizar o conjunto de imagens de inicialização principais no dispositivo mestre antes da sincronização do software. Esse comando garante a consistência da imagem de

      inicialização entre o dispositivo mestre e os subordinados.

      Procedimento

      Execute as etapas a seguir na visualização do usuário:

      • Sincronizar imagens de inicialização do mestre para os dispositivos subordinados.
        • boot-loader update { all | slot slot-number }
      • Reinicialize os dispositivos subordinados.
        • reboot slot slot-number [ force ]

      Instalação ou desinstalação de recursos e patches

      Sobre a instalação ou desinstalação de recursos e patches

      Você pode instalar um novo recurso ou imagem de patch, ou atualizar uma imagem de recurso existente.

      Restrições e diretrizes

      Para garantir que a instalação ou o upgrade da imagem seja bem-sucedido, não reinicie o dispositivo nem execute uma alternância entre mestre e subordinado durante a instalação ou o upgrade da imagem.

      Depois de instalar uma imagem de recurso, você deve fazer login no dispositivo novamente para usar os comandos fornecidos na imagem.

      Pré-requisitos

      Use os comandos FTP ou TFTP para transferir o arquivo de imagem para o sistema de arquivos padrão no dispositivo mestre. Não é necessário transferir ou copiar o arquivo de imagem para os dispositivos membros subordinados. O sistema copiará automaticamente o arquivo de imagem para os membros subordinados quando você ativar as imagens neles. Para obter mais informações sobre FTP e TFTP, consulte "Configuração de FTP" e "Configuração de TFTP".

      Instalação ou atualização de recursos

      • Ativar recursos nos arquivos especificados.
        • install activate feature filename&<1-30> slot slot-number
      • Confirmar a alteração do software.
        • install commit

        Para que as alterações na imagem entrem em vigor após uma reinicialização, você deve executar uma operação de confirmação.

      Instalação de patches

      • Ativar patches em um arquivo.
        • install activate patch filename { all | slot slot-number }

        Você pode especificar apenas um arquivo de imagem de patch para esse comando por vez. No entanto, você pode executar esse comando várias vezes para instalar vários arquivos de imagem de patch.

        O comando install activate patch filename allinstala as imagens de patch especificadas em todo o hardware e as imagens podem sobreviver a uma reinicialização. Não é necessário executar o comando install commit para a instalação.

      • Confirmar a alteração do software.
        • install commit

        As imagens são executadas na memória imediatamente após serem ativadas. Entretanto, somente as imagens de patch ativadas com o comando install activate patch filename all podem sobreviver a uma reinicialização. Para que outras imagens tenham efeito após uma reinicialização, você deve executar esse comando para confirmar a alteração do software.

      Desinstalação de recursos ou patches

      Restrições e diretrizes

      Depois de desinstalar uma imagem de recurso, você deve fazer login no dispositivo novamente para que os comandos da imagem sejam removidos.

      Procedimento
      • Desativar os recursos ou patches instalados a partir de um arquivo de imagem. 
        install deactivate feature filename&<1-30> slot slot-number
        install deactivate patch filename { all | slot slot-number }

        Você pode especificar apenas um arquivo de imagem de patch para esse comando por vez. No entanto, você pode executar esse comando várias vezes para desativar vários arquivos de imagem de patch.

        As imagens desativadas com o comando install deactivate patch filename all não são executadas após a reinicialização. Para evitar que outras imagens desativadas sejam executadas após uma reinicialização, você deve confirmar a alteração do software usando o comando install commit.

      • Confirmar a alteração do software.
        • install commit

        Essa etapa remove o arquivo de imagem da lista de imagens de inicialização, mas não exclui o arquivo de imagem do sistema de arquivos padrão.

        O dispositivo não carregará recursos e patches dos arquivos de imagem na inicialização.

      Comandos de exibição e manutenção para configurações de imagem de software

      Executar comandos de exibição em qualquer visualização.

      Tarefa Comando
      Exibir imagens de software atuais e imagens de software de inicialização. display boot-loader [ slot slot-number ]

      Exemplos de atualização de software

      Exemplo: Atualização do software do dispositivo

      Configuração de rede

      Conforme mostrado na Figura 1, use o arquivo startup-a2105.ipe para atualizar as imagens de software para a malha IRF.

      Figura 1 Diagrama de rede

      Procedimento

      # Configure endereços IP e rotas. Certifique-se de que o dispositivo e o servidor TFTP possam se comunicar. (Detalhes não mostrados.)

      # Defina as configurações de TFTP no dispositivo e no servidor TFTP. (Detalhes não mostrados.) # Exibir informações sobre as imagens de software atuais.

      <Sysname> display version

      # Faça o backup das imagens atuais do software.

      <Sysname> copy boot.bin boot_backup.bin
<Sysname> copy system.bin system_backup.bin

      # Especifique boot_backup.bin e system_backup.bin como arquivos de imagem de inicialização de backup para todos os dispositivos membros da IRF.

      <Sysname> boot-loader file boot flash:/boot_backup.bin system flash:/system_backup.bin slot 1 backup
<Sysname> boot-loader file boot flash:/boot_backup.bin system flash:/system_backup.bin slot 2 backup

      # Use o TFTP para fazer o download do arquivo de imagem startup-a2105.ipe do servidor TFTP para o diretório raiz da memória flash no dispositivo mestre.

      <Sysname> tftp 2.2.2.2 get startup-a2105.ipe

      # Especifique startup-a2105.ipe como o arquivo de imagem de inicialização principal para todos os dispositivos membros da IRF.

      <Sysname> boot-loader file flash:/startup-a2105.ipe slot 1 main
<Sysname> boot-loader file flash:/startup-a2105.ipe slot 2 main

      # Verificar as configurações da imagem de inicialização.

      <Sysname> display boot-loader

      # Reinicialize o dispositivo para concluir a atualização.

      <Sysname> reboot

      # Verifique se o dispositivo está executando o software correto.

      <Sysname> display version

      Gerenciando o dispositivo

      Configuração do nome do dispositivo

      Sobre o nome do dispositivo

      Um nome de dispositivo (também chamado de nome de host) identifica um dispositivo em uma rede e é usado nos prompts de exibição da CLI. Por exemplo, se o nome do dispositivo for Sysname, o prompt de exibição do usuário será <Sysname>.

      Restrições e diretrizes

      Em uma rede de subcamada, o dispositivo usa o nome de dispositivo que você configurou para ele. Se você não configurar um nome de dispositivo para o dispositivo, mas a implementação automatizada de rede de subcamada estiver ativada, o dispositivo usará o nome de dispositivo atribuído pelo recurso de malha VCF. Para obter mais informações sobre a malha VCF, consulte Configuração da malha VCF no Guia de configuração de monitoramento e gerenciamento de rede.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Configure o nome do dispositivo.
        • sysname sysname

        Por padrão, o nome do dispositivo é Intelbras.

      Configuração da hora do sistema

      Sobre a hora do sistema

      A hora correta do sistema é essencial para o gerenciamento e a comunicação da rede. Configure a hora do sistema corretamente antes de executar o dispositivo na rede.

      O dispositivo pode usar um dos seguintes métodos para obter a hora do sistema:

      • Usa a hora do sistema definida localmente e, em seguida, usa os sinais de relógio gerados por seu oscilador de cristal integrado para manter a hora do sistema.
      • Obtém periodicamente a hora UTC de uma fonte NTP e usa a hora UTC, o fuso horário e o horário de verão para calcular a hora do sistema. Para obter mais informações sobre NTP, consulte o Guia de configuração de monitoramento e gerenciamento de rede.

      A hora do sistema calculada usando a hora UTC de uma fonte de hora é mais precisa.

      Restrições e diretrizes para configurar a hora do sistema

      Depois que você executar o comando clock protocol none, o comando clock datetime determinará a hora do sistema, independentemente de o fuso horário ou o horário de verão ter sido configurado ou não.

      Se você configurar ou alterar o fuso horário ou o horário de verão depois que o dispositivo obtiver a hora do sistema, o dispositivo recalculará a hora do sistema. Para visualizar a hora do sistema, use o comando display clock.

      Visão geral das tarefas de configuração do tempo do sistema

      Para configurar a hora do sistema, execute as seguintes tarefas:

      • Configuração da hora do sistema

        • Escolha uma das tarefas a seguir:

        • Definição da hora do sistema na CLI
        • Obtenção da hora UTC por meio de um protocolo de horário
      • (Opcional.) Definição do fuso horário

        • Certifique-se de que cada dispositivo de rede use o fuso horário do local onde o dispositivo reside.

      • (Opcional.) Configuração do horário de verão

        • Certifique-se de que cada dispositivo de rede use os parâmetros de horário de verão do local onde o dispositivo reside.

      Definição da hora do sistema na CLI

      • Entre na visualização do sistema.
        • system-view
      • Configure o dispositivo para usar a hora do sistema local.
        • clock protocol none

        Por padrão, o dispositivo usa a fonte de horário NTP.

        Se você executar o comando clock protocol várias vezes, a configuração mais recente entrará em vigor.

      • Retornar à visualização do usuário.
        • quit
      • Definir a hora do sistema local.
        • clock datetime time date

        Por padrão, a hora do sistema é a hora UTC 00:00:00 01/01/2013.

      CUIDADO:

      Esse comando altera a hora do sistema, o que afeta a execução de recursos relacionados à hora do sistema (por exemplo, tarefas agendadas) e operações colaborativas do dispositivo com outros dispositivos (por exemplo, relatórios de registro e coleta de estatísticas). Antes de executar esse comando, certifique-se de compreender totalmente o impacto dele em sua rede ativa.

      Obtenção da hora UTC por meio de um protocolo de horário

      • Entre na visualização do sistema.
        • system-view
      • Especifique a fonte de horário do sistema.
        • clock protocol ntp

        Por padrão, o dispositivo usa a fonte de horário NTP.

        Se você executar esse comando várias vezes, a configuração mais recente entrará em vigor.

      • Configurar os parâmetros do protocolo de tempo.

        • Para obter mais informações sobre a configuração do NTP, consulte o Guia de configuração de monitoramento e gerenciamento de rede.

      Definição do fuso horário

      • Entre na visualização do sistema.
        • system-view
      • Defina o fuso horário.
        • clock timezone zone-name { add | minus } zone-offset

        Por padrão, o sistema usa o fuso horário UTC.

      Configuração do horário de verão

      • Entre na visualização do sistema.
        • system-view
      • Defina o horário de verão.
        • clock summer-time name start-time start-date end-time end-date add-time

        Por padrão, o horário de verão não é definido.

      Permitir a exibição da declaração de direitos autorais

      Sobre a exibição da declaração de direitos autorais

      Esse recurso permite que o dispositivo exiba a declaração de direitos autorais nas seguintes situações:

      • Quando um usuário de Telnet ou SSH faz login.
      • Quando um usuário do console sai da visualização do usuário. Isso ocorre porque o dispositivo tenta reiniciar automaticamente a sessão do usuário.

      Se você desativar a exibição da declaração de direitos autorais, o dispositivo não exibirá a declaração de direitos autorais em nenhuma situação.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Ativar a exibição da declaração de direitos autorais.
        • copyright-info enable

        Por padrão, a exibição da declaração de direitos autorais está ativada.

      Configuração de banners

      Sobre banners

      Os banners são mensagens que o sistema exibe quando um usuário faz login. O sistema suporta os seguintes banners:

      • Banner jurídico - Aparece após a declaração de direitos autorais. Para continuar o login, o usuário deve digitar Y ou pressione Enter. Para encerrar o processo, o usuário deve digitar N. Y e N não diferenciam maiúsculas de minúsculas.
      • Banner Mensagem do dia (MOTD) - Aparece após o banner jurídico e antes do banner de login.
      • Banner de login - É exibido somente quando a autenticação por senha ou esquema está configurada.
      • Banner Shell - Aparece quando um usuário acessa a visualização do usuário.

      O sistema exibe os banners na seguinte ordem: banner legal, banner MOTD, banner de login, e banner de shell.

      Métodos de entrada de banner

      Você pode configurar um banner usando um dos seguintes métodos:

      • Insira toda a linha de comando em uma única linha.

        • O banner não pode conter retornos de carro. A linha de comando inteira, incluindo as palavras- chave de comando, o banner e os delimitadores, pode ter no máximo 511 caracteres. Os delimitadores do banner podem ser qualquer caractere imprimível, mas devem ser os mesmos. Não é possível pressionar Enter antes de inserir o delimitador final.

        Por exemplo, você pode configurar o banner do shell "Have a nice day." da seguinte forma:

        <Sysname> system-view
[System] header shell %Have a nice day.%
      • Insira a linha de comando em várias linhas.

        • O banner pode conter retornos de carro. Um retorno de carro é contado como dois caracteres.

        Para inserir uma linha de comando de configuração de banner em várias linhas, use um dos métodos a seguir:

        • Pressione Enter após a palavra-chave final do comando, digite o banner e termine a linha final com o caractere delimitador %. O banner mais o delimitador podem ter um máximo de 1999 caracteres.

          • Por exemplo, você pode configurar o banner "Have a nice day." da seguinte forma:

          <Sysname> system-view [System] header shell
Please input banner content, and quit with the character '%'. 
Have a nice day.%
        • Depois de digitar a palavra-chave final do comando, digite qualquer caractere imprimível como delimitador inicial do banner e pressione Enter. Em seguida, digite o banner e termine a linha final com o mesmo delimitador. O banner e o delimitador final podem ter no máximo 1999 caracteres.

          • Por exemplo, você pode configurar o banner "Have a nice day." da seguinte forma:

          <Sysname> system-view [System] header shell A
Please input banner content, and quit with the character 'A'. 
Have a nice day.A
        • Depois de digitar a palavra-chave final do comando, digite o delimitador de início e parte do banner. Certifique-se de que o caractere final da cadeia de caracteres final seja diferente do delimitador de início. Em seguida, pressione Enter, digite o restante do banner e termine a linha final com o mesmo delimitador. O banner mais os delimitadores de início e fim podem ter no máximo 2002 caracteres.

          • Por exemplo, você pode configurar o banner "Have a nice day." da seguinte forma:

          <Sysname> system-view
[System] header shell AHave a nice day.
Please input banner content, and quit with the character 'A'. 
A
      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Configurar o banner jurídico.
        • header legal text
      • Configure o banner do MOTD.
        • header motd text
      • Configure o banner de login.
        • header login text
      • Configure o banner do shell.
        • header shell text

      Desativar o recurso de recuperação de senha

      Sobre o recurso de recuperação de senha

      O recurso de recuperação de senha controla o acesso do usuário do console à configuração do dispositivo e à SDRAM a partir dos menus do BootWare. Para obter mais informações sobre os menus do BootWare, consulte as notas de versão.

      Se o recurso de recuperação de senha estiver ativado, um usuário do console poderá acessar a configuração do dispositivo sem autenticação para configurar uma nova senha.

      Se o recurso de recuperação de senha estiver desativado, os usuários do console deverão restaurar a configuração padrão de fábrica antes de poderem configurar novas senhas. A restauração da configuração padrão de fábrica exclui os arquivos de configuração da próxima inicialização.

      Para aumentar a segurança do sistema, desative o recurso de recuperação de senha.

      Restrições e diretrizes Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Desativar o recurso de recuperação de senha.
        • undo password-recovery enable

        Por padrão, o recurso de recuperação de senha está ativado.

      Configuração do temporizador de detecção do status da porta

      Sobre o temporizador de detecção de status da porta

      O dispositivo inicia um cronômetro de detecção de status da porta quando uma porta é desligada por um protocolo. Quando o cronômetro expira, o dispositivo ativa a porta para que o status da porta reflita o status físico da porta.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Defina o temporizador de detecção do status da porta.
        • system-view

        A configuração padrão é 30 segundos.

      Monitoramento do uso da CPU

      Sobre o monitoramento do uso da CPU

      Para monitorar o uso da CPU, o dispositivo executa as seguintes operações:

      • Faz a amostragem do uso da CPU em intervalos de 1 minuto e compara as amostras com os limites de uso da CPU para identificar o status de uso da CPU e enviar alarmes ou notificações de acordo.
      • Amostras e salva o uso da CPU em um intervalo configurável se o rastreamento do uso da CPU estiver ativado. Você pode usar o comando display cpu-usage history para exibir as estatísticas históricas de uso da CPU em um sistema de coordenadas.

      O dispositivo suporta os seguintes limites de uso da CPU:

      • Limite menor - Se o uso da CPU aumentar até o limite menor ou acima dele, mas for menor que o limite grave, o uso da CPU entrará no estado de alarme menor. O dispositivo envia alarmes menores periodicamente até que a utilização da CPU aumente acima do limite grave ou o alarme menor seja removido.
      • Limite severo - Se o uso da CPU aumentar acima do limite severo, o uso da CPU entrará no estado de alarme severo. O dispositivo envia alarmes graves periodicamente até que o alarme grave seja removido.
      • Limite de recuperação - Se o uso da CPU diminuir abaixo do limite de recuperação, o uso da CPU entrará no estado de recuperação. O dispositivo envia uma notificação de recuperação.

      Os alarmes e as notificações de uso da CPU podem ser enviados ao NETCONF, ao SNMP e ao centro de informações para serem encapsulados como eventos do NETCONF, traps e informes do SNMP e mensagens de registro. Para obter mais informações

      informações, consulte NETCONF, SNMP e centro de informações no Guia de configuração de monitoramento e gerenciamento de rede.

      Figura 1 Alarmes de CPU e notificações de alarme removido

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Defina os limites de alarme de uso da CPU.
        • monitor cpu-usage threshold severe-threshold minor-threshold minor-threshold recovery-threshold recovery-threshold [ slot slot-number [ cpu cpu-number ] ]

        As configurações padrão são as seguintes:

        • Limite de alarme de uso grave da CPU - 99%.
        • Limite de alarme de uso de CPU menor - 98%.
        • Limite de recuperação do uso da CPU - 50%.

        CUIDADO:

        Se você definir o limite do alarme de uso grave da CPU com um valor muito baixo, o dispositivo atingirá o limite facilmente. Os serviços normais serão afetados.

      • Defina os intervalos de reenvio do alarme de uso da CPU.
        • monitor resend cpu-usage { minor-interval minor-interval | severe-interval severe-interval } * [ slot slot-number [ cpu cpu-number ] ]

        Por padrão, o intervalo de reenvio de alarmes menores é de 300 segundos e o intervalo de reenvio de alarmes graves é de 60 segundos.

      • Defina o intervalo de amostragem para o rastreamento do uso da CPU.
        • monitor cpu-usage interval interval [ slot slot-number [ cpu cpu-number ] ]

        Por padrão, o intervalo de amostragem para o rastreamento do uso da CPU é de 1 minuto.

      • Ativar o rastreamento do uso da CPU.
        • monitor cpu-usage enable [ slot slot-number [ cpu cpu-number ] ]

        Por padrão, o rastreamento do uso da CPU está ativado.

      Definição dos limites de alarme de memória

      Sobre os limites de alarme de memória

      Para garantir a operação correta e melhorar a eficiência da memória, o sistema monitora a quantidade de espaço livre na memória em tempo real. Se a quantidade de espaço livre na memória exceder um limite de alarme, o sistema emitirá um alarme para os módulos e processos de serviço afetados.

      (Em dispositivos que não suportam pouca memória.) Você pode usar o comando display memory para exibir informações sobre o uso da memória.

      (Em dispositivos que suportam pouca memória.) O sistema monitora apenas a quantidade de espaço livre de pouca memória. Você pode usar o comando display memory para exibir informações sobre o uso da memória.

      (Em dispositivos com slots que suportam pouca memória.) Para slots que suportam pouca memória, o sistema monitora apenas a quantidade de espaço livre de pouca memória. Você pode usar o comando display memory para exibir informações sobre o uso da memória. Se o campo LowMem for exibido para um slot, isso significa que o slot suporta pouca memória.

      Conforme mostrado na Tabela 1, o sistema suporta os seguintes limites de memória livre:

      • Limite de estado normal.
      • Limite de alarme menor.
      • Limite de alarme grave.
      • Limite de alarme crítico.

      Tabela 1 Notificações de alarme de memória e notificações de alarme de memória removida

      Notificação Condição de acionamento Observações
      Notificação de alerta antecipado A quantidade de espaço livre na memória diminui abaixo do limite de alerta precoce. Depois de gerar e enviar um notificação de alerta antecipado, o sistema não gera nem envia nenhuma notificação de alerta antecipado adicional até que o alerta antecipado seja removido.
      Notificação de alarme menor A quantidade de espaço livre na memória diminui abaixo do limite de alarme menor. Depois de gerar e enviar uma notificação de alarme secundário, o sistema não gera nem envia nenhuma notificação de alarme secundário adicional até que o alarme secundário seja removido.
      Notificação de alarme grave A quantidade de espaço livre na memória diminui abaixo do limite de alarme grave. Depois de gerar e enviar uma notificação de alarme grave, o sistema não gera nem envia nenhuma notificação de alarme grave adicional até que o alarme grave seja removido.
      Notificação de alarme crítico A quantidade de espaço livre na memória diminui abaixo do limite crítico do alarme. Depois de gerar e enviar uma notificação de alarme crítico, o sistema não gera nem envia nenhuma notificação de alarme crítico adicional até que o alarme crítico seja removido.
      Notificação de alarme crítico removido A quantidade de espaço livre na memória aumenta acima do limite de alarme grave. N/A
      Notificação de alarme grave removido A quantidade de espaço livre na memória aumenta acima do limite de alarme menor. N/A
      Notificação de alarme menor removido A quantidade de espaço livre na memória aumenta acima do valor de N/A
      limiar do estado normal.
      Notificação de aviso prévio removida A quantidade de espaço livre na memória aumenta acima do limite de memória suficiente. N/A

      Figura 2 Notificações de alarme de memória e notificações de alarme removido

      Restrições e diretrizes

      Se ocorrer um alarme de memória, exclua os itens de configuração não utilizados ou desative alguns recursos para aumentar o espaço livre na memória. Como o espaço de memória é insuficiente, alguns itens de configuração podem não poder ser excluídos.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Defina o limite de uso de memória.
        • memory-threshold [ slot slot-number [ cpu cpu-number ] ] usage memory-threshold

        Por padrão, o limite de uso de memória é 100%.

      • Defina os limites de memória livre.
        • memory-threshold [ slot slot-number [ cpu cpu-number ] ] [ ratio ] minor minor-value severe severe-value critical critical-value normal normal-value

        As configurações padrão são as seguintes:

        • Limite de alarme menor - 60 MB.
        • Limite de alarme grave - 56 MB.
        • Limite de alarme crítico - 52 MB.
        • Limite de estado normal - 64 MB.
      • Defina os intervalos de reenvio do alarme de esgotamento da memória.
        • monitor resend memory-threshold { critical-interval critical-interval | minor-interval minor-interval | severe-interval severe-interval } * [ slot slot-number [ cpu cpu-number ] ]

        As configurações padrão são as seguintes:

        • Intervalo de reenvio de alarme menor - 12 horas.
        • Intervalo de reenvio de alarme grave - 3 horas.
        • Intervalo de reenvio de alarme crítico - 1 hora.

      Configuração do monitoramento do uso do disco

      Sobre o monitoramento do uso do disco

      Esse recurso permite que o dispositivo faça uma amostragem periódica do uso de um disco e compare o uso com o limite. Se o uso do disco exceder o limite, o dispositivo enviará um alarme de alto uso de disco para o módulo NETCONF. Para obter mais informações sobre o módulo NETCONF, consulte o Guia de configuração de monitoramento e gerenciamento de rede.

      Versão do software e compatibilidade de recursos

      Esse recurso está disponível somente na versão 6348P01 e posteriores.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Defina o intervalo de amostragem de uso do disco.
        • monitor disk-usage interval interval

        Por padrão, o intervalo de amostragem de uso de disco é de 300 segundos.

      • Definir o limite de uso de um disco.
        • monitor disk-usage [ slot slot-number ] disk disk-name threshold threshold-value

        Por padrão, o limite de uso do disco é de 95%.

      Definição dos limites do alarme de temperatura

      Sobre os limites de alarme de temperatura

      O dispositivo monitora sua temperatura com base nos seguintes limites:

      • Limite de baixa temperatura.
      • Limite de aviso de alta temperatura.
      • Limite de alarme de alta temperatura.

      Quando a temperatura do dispositivo cai abaixo do limite de baixa temperatura ou atinge o limite de alerta ou alarme de alta temperatura, o dispositivo executa as seguintes operações:

      • Envia mensagens de registro e traps.
      • Define os LEDs no painel do dispositivo.
      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Configure os limites do alarme de temperatura.
        • temperature-limit slot slot-number hotspot sensor-number lowlimit warninglimit [ alarmlimit ]

        Os padrões variam de acordo com o modelo do sensor de temperatura. Para visualizar os padrões, execute os comandos undo temperature-limit e display environment, respectivamente.

        O limite de alarme de alta temperatura deve ser maior do que o limite de aviso de alta temperatura, e o limite de aviso de alta temperatura deve ser maior do que o limite de alarme de alta temperatura.

        limiar de baixa temperatura.

      Configuração do alarme de desligamento do dispositivo

      Sobre o alarme de desligamento do dispositivo

      Esse recurso permite que o dispositivo detecte um evento de desligamento do dispositivo e emita um alarme de desligamento enviando notificações SNMP ou mensagens de registro.

      Compatibilidade de hardware

      Esse recurso é compatível apenas com os seguintes dispositivos:

      • dispositivos PoE e dispositivos não PoE de 52 portas.
      • Dispositivos que suportam fontes de alimentação com hot-swap.
      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Especifique a interface de origem para enviar o alarme de desligamento.
        • dying-gasp source interface-type { interface-number | interface-number.subnumber }

        Por padrão, nenhuma interface de origem é especificada. Em uma rede IPv4, o dispositivo usa o endereço IPv4 primário da interface de saída da rota para o host de destino como endereço de origem. Em uma rede IPv6, o dispositivo seleciona um endereço IPv6 de origem, conforme definido na RFC 3484.

      • Configurar as definições do host de destino da notificação SNMP.
        • dying-gasp host { ip-address | ipv6 ipv6-address } snmp-trap version { v1 | v2c } securityname security-string

        Por padrão, nenhuma configuração de host de destino de notificação SNMP é configurada.

        Você pode configurar o dispositivo para enviar notificações SNMP de alarme de desligamento para vários hosts de destino.

      • Configure as definições do host de destino da mensagem de registro.
        • dying-gasp host { ip-address | ipv6 ipv6-address } syslog

        Por padrão, nenhuma configuraçãoS de host de destino de mensagem de registro é configurada.

        É possível configurar o dispositivo para enviar as mensagens de registro de alarme de desligamento para vários hosts de destino.

      Verificação e diagnóstico de módulos transceptores

      Verificação dos módulos transceptores

      Sobre a verificação do módulo transceptor

      Você pode usar um dos métodos a seguir para verificar a autenticidade de um módulo transceptor:

      • Exibir os principais parâmetros de um módulo transceptor, incluindo o tipo de transceptor, o tipo de conector, o comprimento de onda central do laser de transmissão, a distância de transferência e o nome do fornecedor.
      • Exibir a etiqueta eletrônica. A etiqueta eletrônica é um perfil do módulo transceptor e contém a configuração permanente, incluindo o número de série, a data de fabricação e o nome do fornecedor. Os dados foram gravados no módulo transceptor ou no componente de armazenamento do dispositivo durante a depuração ou o teste do módulo transceptor ou do dispositivo.

      O dispositivo verifica regularmente os módulos transceptores quanto aos nomes de seus fornecedores. Se um módulo transceptor não tiver um nome de fornecedor ou se o nome do fornecedor não for Intelbras, o dispositivo emitirá repetidamente traps e mensagens de registro. Para obter informações sobre regras de registro, consulte o Guia de configuração de monitoramento e gerenciamento de rede.

      Procedimento

      Para verificar os módulos do transceptor, execute os seguintes comandos em qualquer visualização:

      • Exibir os principais parâmetros dos módulos transceptores.
        • display transceiver interface [ interface-type interface-number ]
      • Exibir as informações da etiqueta elétrica dos módulos transceptores.
        • display transceiver manuinfo interface [ interface-type interface-number ]

      Diagnóstico de módulos transceptores

      Sobre o diagnóstico do módulo transceptor

      O dispositivo fornece as funções de alarme e diagnóstico digital para módulos transceptores. Quando um módulo transceptor falha ou não está funcionando corretamente, você pode executar as seguintes tarefas:

      • Verifique os alarmes existentes no módulo transceptor para identificar a origem da falha.
      • Examine os principais parâmetros monitorados pela função de diagnóstico digital, incluindo a temperatura, a tensão, a corrente de polarização do laser, a potência TX e a potência RX.
      Procedimento

      Para diagnosticar os módulos do transceptor, execute os seguintes comandos em qualquer visualização:

      • Exibir alarmes do transceptor.
        • display transceiver alarm interface [ interface-type interface-number ]
      • Exibir os valores atuais dos parâmetros de diagnóstico digital nos módulos do transceptor.
        • display transceiver diagnosis interface [ interface-type interface-number ]

      Configuração do monitoramento do transceptor

      Sobre o monitoramento do transceptor

      Depois que o monitoramento do transceptor é ativado, o dispositivo coleta amostras dos parâmetros dos módulos do transceptor periodicamente, incluindo a potência de entrada e a potência de saída dos módulos do transceptor. Se um valor amostrado atingir o limite de alarme, o dispositivo gera um registro para notificar os usuários.

      Versão do software e compatibilidade de recursos

      Esse recurso está disponível somente na versão 6343P08 e posteriores.

      Procedimento
      • Entre na visualização do sistema.
        • system-view
      • Defina o intervalo de monitoramento do transceptor.
        • transceiver monitor interval interval

        Por padrão, o intervalo de monitoramento do transceptor é de 600 segundos.

      • Ativar o monitoramento do transceptor.
        • transceiver monitor enable

        Por padrão, o monitoramento do transceptor está desativado.

      Configuração do transceptor antifalsificação

      Sobre o transceptor antifalsificação

      Esse recurso detecta automaticamente os módulos transceptores da Intelbras.

      • Após a detecção de um módulo transceptor Intelbras, o sistema emite um registro que recomenda que o usuário verifique a autenticidade do transceptor no site oficial da Intelbras www.Intelbras.com. Selecione Support > Intelbras Product Anti-Counterfeit Query no site e, em seguida, digite o código de barras do módulo transceptor. Para obter o código de barras do módulo do transceptor, consulte a etiqueta no módulo do transceptor ou execute o comando manuinfo do dispositivo de exibição.
      • O sistema emite um registro após a detecção de um módulo transceptor Intelbras possivelmente falsificado para notificar o usuário. O registro contém informações sobre quais módulos de transceptor são possivelmente falsificados. Para um transceptor Intelbras falsificado, o comando display transceiver diagnosis não exibe nenhuma informação sobre ele.
      Versão do software e compatibilidade de recursos

      Esse recurso é compatível apenas com a versão 6342 e posteriores.

      Agendamento de uma tarefa

      Sobre o agendamento de tarefas

      Você pode programar o dispositivo para executar automaticamente um comando ou um conjunto de comandos sem interferência administrativa.

      Você pode configurar uma programação periódica ou não periódica. Uma agenda não periódica não é salva no arquivo de configuração e é perdida quando o dispositivo é reinicializado. Uma agenda periódica é salva no arquivo de configuração de inicialização e é executada periodicamente de forma automática.

      Restrições e diretrizes

      • A hora padrão do sistema é sempre restaurada na reinicialização. Para garantir que um cronograma de tarefas possa ser executado conforme o esperado, reconfigure a hora do sistema ou configure o NTP após a reinicialização do dispositivo. Para obter mais informações sobre NTP, consulte o Guia de configuração de monitoramento e gerenciamento de rede.
      • Para atribuir um comando (comando A) a um trabalho, você deve primeiro atribuir ao trabalho o comando ou comandos para entrar na visualização do comando A.
      • Certifique-se de que todos os comandos em uma programação estejam em conformidade com a sintaxe do comando. O sistema não verifica a sintaxe quando você atribui um comando a um trabalho.
      • Uma agenda não pode conter nenhum destes comandos: telnet, ftp, ssh2 e monitor process.
      • Uma programação não suporta a interação do usuário. Se um comando exigir uma resposta do tipo "sim" ou "não", o sistema sempre presumirá que Y ou Yes foi inserido. Se um comando exigir a entrada de uma cadeia de caracteres, o sistema presumirá que a cadeia de caracteres padrão (se houver) ou uma cadeia nula foi inserida.
      • Uma agenda é executada em segundo plano e nenhuma saída (exceto logs, traps e informações de depuração) é exibida para a agenda.

      Procedimento

      • Entre na visualização do sistema.
        • system-view
      • Criar um trabalho.
        • scheduler job job-name
      • Atribuir um comando ao trabalho.
        • command id command

        Por padrão, nenhum comando é atribuído a um trabalho.

        Você pode atribuir vários comandos a um trabalho. Um comando com uma ID menor é executado primeiro.

      • Sair para a visualização do sistema.
        • quit
      • Crie um cronograma.
        • scheduler schedule schedule-name
      • Atribuir um trabalho à agenda.
        • job job-name

        Por padrão, nenhum trabalho é atribuído a uma agenda.

        Você pode atribuir vários trabalhos a um agendamento. Os trabalhos serão executados simultaneamente.

      • Atribua funções de usuário à agenda.
        • user-role role-name

        Por padrão, uma agenda tem a função de usuário do criador da agenda.

        É possível atribuir um máximo de 64 funções de usuário a uma agenda. Um comando em uma agenda pode ser executado se for permitido por uma ou mais funções de usuário da agenda.

      • Especifique o tempo de execução da programação. Escolha uma opção conforme necessário:
        • Executar o cronograma em momentos específicos.
          • time at time date
          time once at time [ month-date month-day | week-day week-day&<1-7> ]
        • Executar a programação após um período de tempo.
          • time once delay time
        • Execute a programação no horário especificado em cada dia especificado em um mês ou semana. 
          time repeating at time [ month-date [ month-day | last ] | week-day week-day&<1-7> ]
        • Executar a programação periodicamente a partir do horário especificado.
          • time repeating [ at time [date ] ] interval interval

        Por padrão, nenhum tempo de execução é especificado para uma agenda.

        Os comandos de tempo se sobrepõem uns aos outros. O comando executado mais recentemente tem efeito.

      • (Opcional.) Defina o limite de tamanho do arquivo de registro de programação.
        • scheduler logfile size value

        Por padrão, o limite de tamanho do arquivo de registro de agendamento é de 16 KB.

        O arquivo de log de programação armazena mensagens de log para resultados de execução de comandos em trabalhos. Depois que o limite é atingido, o sistema exclui as mensagens de log mais antigas para armazenar as novas mensagens de log. Se o espaço restante do arquivo de log não for suficiente para uma única mensagem de log, o sistema trunca a mensagem e não armazena a parte extra.

      Exemplo: Agendamento de uma tarefa

      Configuração de rede

      Conforme mostrado na Figura 3, duas interfaces do dispositivo estão conectadas aos usuários. Para economizar energia, configure o dispositivo para executar as seguintes operações:

      • Ative as interfaces às 8:00 da manhã, de segunda a sexta-feira.
      • Desative as interfaces às 18:00 horas, de segunda a sexta-feira.

      Figura 3 Diagrama de rede

      Procedimento

      # Entre na visualização do sistema.

      <Sysname> system-view

      # Configure um trabalho para desativar a interface GigabitEthernet 1/0/1.

      [Sysname] scheduler job shutdown-GigabitEthernet1/0/1
[Sysname-job-shutdown-GigabitEthernet1/0/1] command 1 system-view
[Sysname-job-shutdown-GigabitEthernet1/0/1] command 2 interface gigabitethernet 1/0/1 
[Sysname-job-shutdown-GigabitEthernet1/0/1] command 3 shutdown
[Sysname-job-shutdown-GigabitEthernet1/0/1] quit

      # Configure um trabalho para ativar a interface GigabitEthernet 1/0/1.

      [Sysname] scheduler job start-GigabitEthernet1/0/1
[Sysname-job-start-GigabitEthernet1/0/1] command 1 system-view
[Sysname-job-start-GigabitEthernet1/0/1] command 2 interface gigabitethernet 1/0/1 
[Sysname-job-start-GigabitEthernet1/0/1] command 3 undo shutdown
[Sysname-job-start-GigabitEthernet1/0/1] quit

      # Configure um trabalho para desativar a interface GigabitEthernet 1/0/2.

      [Sysname] scheduler job shutdown-GigabitEthernet1/0/2
[Sysname-job-shutdown-GigabitEthernet1/0/2] command 1 system-view
[Sysname-job-shutdown-GigabitEthernet1/0/2] command 2 interface gigabitethernet 1/0/2 
[Sysname-job-shutdown-GigabitEthernet1/0/2] command 3 shutdown
[Sysname-job-shutdown-GigabitEthernet1/0/2] quit

      # Configure um trabalho para ativar a interface GigabitEthernet 1/0/2.

      [Sysname] scheduler job start-GigabitEthernet1/0/2
[Sysname-job-start-GigabitEthernet1/0/2] command 1 system-view
[Sysname-job-start-GigabitEthernet1/0/2] command 2 interface gigabitethernet 1/0/2
[Sysname-job-start-GigabitEthernet1/0/2] command 3 undo shutdown 
[Sysname-job-start-GigabitEthernet1/0/2] quit

      # Configure uma programação periódica para ativar as interfaces às 8:00 da manhã, de segunda a sexta-feira.

      [Sysname] scheduler schedule START-pc1/pc2
[Sysname-schedule-START-pc1/pc2] job start-GigabitEthernet1/0/1 
[Sysname-schedule-START-pc1/pc2] job start-GigabitEthernet1/0/2
[Sysname-schedule-START-pc1/pc2] time repeating at 8:00 week-day mon tue wed thu fri 
[Sysname-schedule-START-pc1/pc2] quit

      # Configure uma programação periódica para desativar as interfaces às 18:00, de segunda a sexta-feira.

      [Sysname] scheduler schedule STOP-pc1/pc2
[Sysname-schedule-STOP-pc1/pc2] job shutdown-GigabitEthernet1/0/1 
[Sysname-schedule-STOP-pc1/pc2] job shutdown-GigabitEthernet1/0/2
[Sysname-schedule-STOP-pc1/pc2] time repeating at 18:00 week-day mon tue wed thu fri 
[Sysname-schedule-STOP-pc1/pc2] quit
      Verificação da configuração

      # Exibir as informações de configuração de todos os trabalhos.

      [Sysname] display scheduler job
Job name: shutdown-GigabitEthernet1/0/1 
system-view
interface gigabitethernet 1/0/1 
shutdown

Job name: shutdown-GigabitEthernet1/0/2 
system-view
interface gigabitethernet 1/0/2 
shutdown

Job name: start-GigabitEthernet1/0/1 
system-view
interface gigabitethernet 1/0/1 
undo shutdown

Job name: start-GigabitEthernet1/0/2 
system-view
interface gigabitethernet 1/0/2 
undo shutdown

      # Exibir as informações da programação. [Sysname] display scheduler schedule Nome da programação : START-pc1/pc2

      [Sysname] display scheduler schedule 
Schedule name                   :   START-pc1/pc2
Schedule type                   :   Run on every Mon Tue Wed Thu Fri at 08:00:00
Start time                      :   Wed	Sep	28 08:00:00	2011
Last execution time             :   Wed	Sep	28 08:00:00	2011
Last completion time            :   Wed Sep	28 08:00:03	2011
Execution counts                :   1	
------------------------------------------------------------------------------------------
Job name                            Last execution status
start-GigabitEthernet1/0/1          Successful
start-GigabitEthernet1/0/2          Successful

Schedule name                   :   STOP-pc1/pc2
Schedule type                   :   Run on every Mon Tue Wed Thu Fri at 18:00:00 
Start time                      :   Wed Sep 28 18:00:00 2011
Last execution time             :   Wed Sep 28 18:00:00 2011
Last completion time            :   Wed Sep 28 18:00:01 2011 
Execution counts                :   1
------------------------------------------------------------------------------------------
Job name                            Last execution status
shutdown-GigabitEthernet1/0/1       Successful
shutdown-GigabitEthernet1/0/2       Successful

      # Exibir informações de registro de programação.

      [Sysname] display scheduler logfile
Job name                        :   start-GigabitEthernet1/0/1 
Schedule name                   :   START-pc1/pc2
Execution time                  :   Wed Sep 28 08:00:00 2011
Completion time                 :   Wed Sep 28 08:00:02 2011
------------------------------------------------------------------------------------------
<Sysname>system-view
System View: return to User View with Ctrl+Z. 
[Sysname]interface gigabitethernet 1/0/1 
[Sysname-GigabitEthernet1/0/1]undo shutdown

Job name                        :   start-GigabitEthernet1/0/2 
Schedule name                   :   START-pc1/pc2
Execution time                  :   Wed Sep 28 08:00:00 2011
Completion time                 :   Wed Sep 28 08:00:02 2011
------------------------------------------------------------------------------------------
<Sysname>system-view
System View: return to User View with Ctrl+Z. 
[Sysname]interface gigabitethernet 1/0/2 
[Sysname-GigabitEthernet1/0/2]undo shutdown

Job name                        :   shutdown-GigabitEthernet1/0/1 
Schedule name                   :   STOP-pc1/pc2
Execution time                  :   Wed Sep 28 18:00:00 2011
Completion time                 :   Wed Sep 28 18:00:01 2011
------------------------------------------------------------------------------------------
<Sysname>system-view
System View: return to User View with Ctrl+Z. 
[Sysname]interface gigabitethernet 1/0/1 
[Sysname-GigabitEthernet1/0/1]shutdown

Job name                        :   shutdown-GigabitEthernet1/0/2 
Schedule name                   :   STOP-pc1/pc2
Execution time                  :   Wed Sep 28 18:00:00 2011
Completion time                 :   Wed Sep 28 18:00:01 2011
------------------------------------------------------------------------------------------
<Sysname>system-view
System View: return to User View with Ctrl+Z. 
[Sysname]interface gigabitethernet 1/0/2 
[Sysname-GigabitEthernet1/0/2]shutdown

      Reinicialização do dispositivo

      Sobre a reinicialização do dispositivo

      Os seguintes métodos de reinicialização do dispositivo estão disponíveis:

      • Programe uma reinicialização na CLI, para que o dispositivo seja reinicializado automaticamente no horário especificado ou após o período de tempo especificado.
      • Reinicialize imediatamente o dispositivo na CLI.

        • Esse método permite que você reinicie o dispositivo remotamente.

        Durante o processo de reinicialização, o dispositivo executa as seguintes operações:

        • Reinicia todos os seus chips.
        • Usa o BootWare para verificar o pacote de software de inicialização, descompactar o pacote e carregar as imagens.
        • Inicializa o sistema.
      • Desligue e, em seguida, ligue o dispositivo. Esse método pode causar perda de dados e é o método menos preferido.

      Usando a CLI, você pode reinicializar o dispositivo a partir de um host remoto.

      Restrições e diretrizes para reinicialização do dispositivo

      Para a segurança dos dados, o dispositivo não é reinicializado enquanto estiver executando operações de arquivo.

      Reinicialização imediata do dispositivo na CLI

      Pré-requisitos

      Execute as etapas a seguir em qualquer visualização:

      • Verifique se o arquivo de configuração da próxima inicialização está especificado corretamente.
        • display startup

        Para obter mais informações sobre o comando display startup, consulte Fundamentals Command Reference.

      • Verifique se os arquivos de imagem de inicialização estão especificados corretamente.
        • display boot-loader

        Se um arquivo de imagem de inicialização principal estiver danificado ou não existir, você deverá especificar outro arquivo de imagem de inicialização principal antes de reiniciar o dispositivo.

        Para obter mais informações sobre o comando display boot-loader, consulte

        Referência de comandos básicos.

      • Salve a configuração em execução no arquivo de configuração da próxima inicialização.
        • save

        Para evitar a perda de configuração, salve a configuração em execução antes da reinicialização.

        Para obter mais informações sobre o comando save, consulte Referência de comandos dos fundamentos.

      Procedimento

      Para reinicializar o dispositivo imediatamente na CLI, execute o seguinte comando na visualização do usuário:

      reboot [ slot slot-number ] [ force ]

      CUIDADO:

      • A reinicialização do dispositivo pode causar interrupção do serviço. Antes de executar esse comando, certifique-se de compreender totalmente o impacto dele em sua rede ativa.
      • Use a palavra-chave force para reinicializar o dispositivo somente quando o sistema estiver com defeito ou não conseguir iniciar normalmente. Uma reinicialização forçada do dispositivo pode causar danos ao sistema de arquivos. Antes de usar a palavra-chave force para reinicializar o dispositivo, certifique-se de que você entenda seu impacto.

      Agendamento de uma reinicialização do dispositivo

      Restrições e diretrizes

      A configuração de reinicialização automática entra em vigor em todos os dispositivos membros. Ela será cancelada se ocorrer uma troca de mestre/subordinado.

      O dispositivo suporta apenas um agendamento de reinicialização do dispositivo. Se você executar o agendamento de reinicialização

      várias vezes, a configuração mais recente entra em vigor.

      Procedimento

      Para agendar uma reinicialização, execute um dos seguintes comandos na visualização do usuário:

        scheduler reboot at time [ date ]
        scheduler reboot delay time

      Por padrão, nenhum tempo de reinicialização do dispositivo é especificado.

      CUIDADO:

      Essa tarefa permite que o dispositivo seja reinicializado em um horário programado, o que causa a interrupção do serviço. Antes de configurar essa tarefa, certifique-se de compreender totalmente o impacto dela em sua rede ativa.

      Restauração da configuração padrão de fábrica

      Sobre a restauração da configuração padrão de fábrica

      Se quiser usar o dispositivo em um cenário diferente ou se não conseguir solucionar o problema usando outros métodos, use esta tarefa para restaurar a configuração padrão de fábrica.

      Essa tarefa não exclui arquivos .bin.

      Restrições e diretrizes

      Esse recurso é perturbador.

      Procedimento
      • Execute o seguinte comando na visualização do usuário para restaurar a configuração padrão de fábrica do dispositivo:
        • restore factory-default
      • Reinicie o dispositivo.
        • reboot

        Quando o comando solicitar que você escolha se deseja salvar a configuração em execução, digite N. Se você optar por salvar a configuração em execução, o dispositivo carregará a configuração salva na inicialização.

      CUIDADO:

      Esse comando restaura o dispositivo para as configurações padrão de fábrica. Antes de usar esse comando, certifique-se de entender completamente o impacto dele em sua rede ativa.

      Comandos de exibição e manutenção para configuração do gerenciamento de dispositivos

      Executar comandos de exibição em qualquer visualização. Execute o comando reset scheduler logfile na visualização do usuário. Execute o comando reset version-update-record na visualização do sistema.

      Tarefa Comando
      Exibir a hora do sistema, a data, o fuso horário e o horário de verão. display clock
      Exibir a declaração de direitos autorais. display copyright
      Exibir estatísticas de uso da CPU. display cpu-usage [ summary ] [ slot slot-number [ cpu cpu-number [ core { core-number | all } ] ] ]
      Exibir as configurações de monitoramento do uso da CPU. display cpu-usage configuration [ slot slot-number [ cpu cpu-number ] ]
      Exibir as estatísticas históricas de uso da CPU em um sistema de coordenadas. display cpu-usage history [ job job-id ] [ slot slot-number [ cpu cpu-number ] ]
      Exibir informações de hardware. display device [ flash | usb ] [ slot slot-number | verbose ]
      Exibir informações da etiqueta eletrônica do dispositivo. display device manuinfo [ slot slot-number ]
      Exibir informações da etiqueta eletrônica de uma fonte de alimentação. display device manuinfo slot slot-number power power-id
      Exibir ou salvar informações operacionais de recursos e módulos de hardware. display diagnostic-information [ hardware | infrastructure | l2 | l3 | service ] [ key-info ] [ filename ]
      Exibir as configurações do host de destino do alarme de desligamento. display dying-gasp host
      Exibir informações sobre a temperatura do dispositivo. display environment [ slot slot-number ]
      Exibir os estados operacionais das bandejas de ventiladores. display fan [ slot slot-number [ fan-id ] ]
      Exibir estatísticas de uso da memória. display memory [ summary ] [ slot slot-number [ cpu cpu-number ] ]
      Exibir limites e estatísticas de alarme de memória. display memory-threshold [ slot slot-number [ cpu cpu-number ] ]
      Exibir informações sobre a fonte de alimentação. display power [ slot slot-number [ power-id ] ]
      Exibir informações de configuração do trabalho. display scheduler job [ job-name ]
      Exibir informações do registro de execução do trabalho. display scheduler logfile
      Exibir a programação de reinicialização automática. display scheduler reboot
      Exibir informações de programação. display scheduler schedule [ schedule-name ]
      Exibir informações de estabilidade e status do sistema. display system stable state
      Exibir informações sobre a versão do sistema. display version
      Exibir registros de atualização da imagem do software de inicialização. display version-update-record
      Limpar informações do registro de execução do trabalho. reset scheduler logfile
      Limpe os registros de atualização da imagem do software de inicialização. reset version-update-record

      Usando Tcl

      Sobre o Tcl

      O Comware V7 oferece um interpretador de linguagem de comando de ferramenta (Tcl) integrado. Na visualização do usuário, você pode usar o comando tclsh para entrar na visualização de configuração Tcl e executar os seguintes comandos:

      • Comandos Tcl 8.5.
      • Comandos do Comware.

      A visualização de configuração Tcl é equivalente à visualização do usuário. Você pode usar os comandos do Comware na visualização de configuração Tcl da mesma forma que são usados na visualização do usuário.

      Restrições e diretrizes: Tcl

      Para retornar de uma subvisualização na visualização de configuração Tcl para a visualização de nível superior, use o comando quit

      comando.

      Para retornar de uma subvisualização na visualização de configuração Tcl para a visualização de configuração Tcl, pressione Ctrl+Z.

      Uso de comandos Tcl para configurar o dispositivo

      Restrições e diretrizes

      Quando você usar o Tcl para configurar o dispositivo, siga estas restrições e diretrizes:

      • Você pode aplicar variáveis de ambiente Tcl aos comandos do Comware.
      • Nenhuma informação de ajuda on-line é fornecida para os comandos Tcl.
      • Não é possível pressionar Tab para concluir um comando Tcl abreviado.
      • Verifique se os comandos Tcl podem ser executados corretamente.
      • Como prática recomendada, faça login por meio de Telnet ou SSH. Você não pode interromper os comandos Tcl usando uma tecla de atalho ou um comando da CLI. Se ocorrer um problema quando os comandos Tcl estiverem sendo executados, você poderá encerrar o processo fechando a conexão se tiver feito login por meio de Telnet ou SSH. Se tiver efetuado login pela porta do console, deverá executar uma das seguintes tarefas:
        • Reinicie o dispositivo.
        • Faça login no dispositivo usando um método diferente e use o comando free line para liberar o console ou a linha AUX. Para obter mais informações sobre o comando, consulte Referência de comandos básicos.
      • Você pode pressionar Ctrl+D para interromper o comando Tcl read stdin.

      Procedimento

      • Entre na visualização de configuração Tcl a partir da visualização do usuário.
        • tclsh
      • Executar um comando Tcl.
        • Tcl command
      • Retornar da visualização de configuração Tcl para a visualização do usuário.
        • tclquit
        quit

      Execução de comandos Comware na visualização de configuração Tcl

      Sobre a execução de comandos do Comware na visualização de configuração Tcl

      Para executar um comando Comware na visualização de configuração Tcl, use um dos métodos a seguir:

      • Digite o comando Comware diretamente. Se um comando Tcl usar a mesma string de comando que o comando Comware, o comando Tcl será executado.
      • Prefixe o comando Comware com a palavra-chave cli. Se um comando Tcl usar a mesma cadeia de comando que o comando Comware, o comando Comware será executado.

      Restrições e diretrizes

      Siga estas restrições e diretrizes ao executar comandos Comware na visualização de configuração Tcl:

      • Para especificar uma cadeia de caracteres entre aspas (") ou chaves ({ e }), é necessário usar o caractere de escape (\) antes das aspas ou chaves. Por exemplo, para especificar "a" como a descrição de uma interface, você deve digitar description \"a\". Se você digitar description "a", a descrição será a.
      • Para os comandos do Comware, você pode digitar ? para obter ajuda on-line ou pressionar Tab para concluir um comando abreviado. Para obter mais informações, consulte "Uso da CLI".
      • O comando cli é um comando Tcl, portanto, você não pode digitar ? para obter ajuda on- line ou pressionar Tab para concluir um comando abreviado.
      • Os comandos do Comware executados com êxito são salvos nos buffers do histórico de comandos. Você pode usar a seta superior ou a seta inferior para obter os comandos executados.
      • Para executar vários comandos do Comware em uma única operação, use um dos métodos a seguir:
        • Insira vários comandos do Comware separados por ponto e vírgula para executar os comandos na ordem em que foram inseridos. Por exemplo, vlan 2;description Tech.
        • Especifique vários comandos do Comware para o comando cli, coloque-os entre aspas e separe-os com um espaço e um ponto e vírgula. Por exemplo, cli "vlan 2 ;cli description Tech".
        • Especifique um comando Comware para cada comando cli e separe-os com um espaço e um ponto e vírgula. Por exemplo, cli vlan 2 ;cli description Tech.

      Procedimento

      • Entrar na visualização da configuração Tcl
        • tclsh
      • Executar comandos do Comware.
        • Executar comandos do Comware diretamente.
          • Command
        • Execute os comandos do Comware usando o comando cli.
          • cli command
      • Retornar da visualização de configuração Tcl para a visualização do usuário.
        • tclquit
        quit

      Usando Python

      Sobre o Python

      O Comware 7 oferece um interpretador Python integrado. Você pode usar o Python para executar as seguintes tarefas:

      • Execute scripts Python para implementar a configuração automática do dispositivo.
      • Entre no shell Python para configurar o dispositivo usando os itens a seguir:
        • Comandos do Python 2.7.
        • API padrão do Python 2.7.
        • API estendida. Para obter mais informações sobre a API estendida, consulte "API Python estendida do Comware 7 ".

      Execução de um script Python

      Para executar um script Python, use o seguinte comando na visualização do usuário:

      python filename

      Entrando no shell do Python

      Para entrar no shell Python a partir da visualização do usuário, execute o seguinte comando:

      python

      Importando e usando a API estendida do Python

      Para usar a API estendida do Python, você deve primeiro importar a API para o Python.

      Importação de toda a API estendida e uso da API

      Procedimento
      • Entre no shell Python a partir da visualização do usuário.
        • python
      • Importar toda a API estendida.
        • import comware
      • Executar uma função de API estendida.
        • comware.api
      Exemplo

      # Use a função Transfer da API estendida para fazer download do arquivo test.cfg do servidor TFTP 192.168.1.26.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import comware
>>> comware.Transfer('tftp', '192.168.1.26', 'test.cfg', 'flash:/test.cfg', user='', password='')
<comware.Transfer object at 0xb7eab0e0>

      Importação de uma função de API estendida e uso da função

      Procedimento
      • Entre no shell Python a partir da visualização do usuário.
        • python
      • Importar uma função de API estendida.
        • from comware import api-name
      • Executar uma função de API estendida.
        • api-function
      Exemplo

      # Use a função Transfer da API estendida para fazer download do arquivo test.cfg do servidor TFTP 192.168.1.26.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> from comware import Transfer
>>> Transfer('tftp', '192.168.1.26', 'test.cfg', 'flash:/test.cfg', user='', password='')
<comware.Transfer object at 0xb7e5e0e0>

      Sair do shell Python

      Para sair do shell do Python, execute o seguinte comando no shell do Python.

      exit()

      Exemplos de uso do Python

      Exemplo: Uso de um script Python para configuração do dispositivo

      Configuração de rede

      Use um script Python para executar as seguintes tarefas:

      • Faça o download dos arquivos de configuração main.cfg e backup.cfg para o dispositivo.
      • Configure os arquivos como os arquivos de configuração principal e de backup para a próxima inicialização.

      Figura 1 Diagrama de rede

      Procedimento

      # Use um editor de texto no PC para configurar o script Python test.py da seguinte forma:

      #!usr/bin/python 
import comware

comware.Transfer('tftp', '192.168.1.26', 'main.cfg', 'flash:/main.cfg') 
comware.Transfer('tftp', '192.168.1.26', 'backup.cfg', 'flash:/backup.cfg')
comware.CLI('startup saved-configuration flash:/main.cfg main ;startup 
saved-configuration flash:/backup.cfg backup')

      # Use o TFTP para fazer o download do script para o dispositivo.

      <Sysname> tftp 192.168.1.26 get test.py

      # Execute o script.

      <Sysname> python flash:/test.py
<Sysname>startup saved-configuration flash:/main.cfg main 
Please wait.......Done.
<Sysname>startup saved-configuration flash:/backup.cfg backup 
Please wait.......Done.
      Verificação da configuração

      # Exibir arquivos de configuração de inicialização.

      <Sysname> display startup
Current startup saved-configuration file: flash:/startup.cfg 
Next main startup saved-configuration file: flash:/main.cfg 
Next backup startup saved-configuration file: flash:/backup.cfg

      API Python estendida do Comware 7

      CLI

      A API Python estendida do Comware 7 é compatível com a sintaxe Python.

      Sintax e

      Use a CLI para executar comandos da CLI do Comware 7 e criar objetos da CLI.

      CLI(command='', do_print=True)
      Parâmetros

      command: Especifica os comandos a serem executados. Para inserir vários comandos, use um espaço e um ponto e vírgula (;) como delimitador. Para inserir um comando em uma visualização diferente da visualização do usuário, é necessário primeiro inserir os comandos usados para entrar na visualização. Por exemplo, é necessário digitar 'system-view ;local-user test class manage' para executar o comando local-user test class manage.

      do_print: Especifica se o resultado da execução deve ser emitido:

      • True - Emite o resultado da execução. Esse valor é o padrão.
      • False - Não gera o resultado da execução.
      Diretrizes de uso

      Essa função da API é compatível apenas com os comandos do Comware. Ela não é compatível com comandos do Linux, Python ou Tcl.

      Devoluções

      Objetos da CLI

      Exemplos

      # Adicione um usuário local chamado test.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import comware
>>> comware.CLI('system-view ;local-user test class manage')
      Saída de amostra
      <Sysname> system-view
System View: return to User View with Ctrl+Z. 
[Sysname] local-user test class manage
New local user added.
<comware.CLI object at 0xb7f680a0>

      get_error

      Use get_error para obter as informações de erro da operação de download.

      Sintaxe
      Transfer.get_error()
      Retorno

      Informações de erro (se não houver informações de erro, None será retornado)

      Exemplos

      # Faça o download do arquivo test.cfg do servidor TFTP 1.1.1.1 e obtenha as informações de erro da operação.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import comware
>>> c = comware.Transfer('tftp', '1.1.1.1', 'test.cfg', 'flash:/test.cfg', user='', password='')
>>> c.get_error()
      Saída de amostra
      "Timeout was reached”

      get_output

      Use get_output para obter a saída dos comandos executados.

      Sintaxe
      CLI.get_output()
      Retorno

      Saída de comandos executados

      Exemplos

      # Adicione um usuário local e obtenha a saída do comando.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import comware
>>> c = comware.CLI('system-view ;local-user test class manage', False)
>>> c.get_output()
      Saída de amostra
      ['<Sysname>system-view', 'System View: return to User View with Ctrl+Z.', 
'[Sysname]local-user test class manage', 'New local user added.']

      get_self_slot

      Use get_self_slot para obter a ID de membro do dispositivo mestre.

      Sintaxe
      get_self_slot()
      Retorno

      Um objeto de lista no formato [-1,slot-number]. O número do slot indica a ID do membro d o dispositivo mestre.

      Exemplos

      # Obtenha o ID do membro do dispositivo mestre.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import comware
>>> comware.get_self_slot()
      Saída de amostra
      [-1,0]

      get_slot_info

      Use get_slot_info para obter informações sobre um dispositivo membro.

      Sintaxe

      get_slot_info()

      Retorno

      Um objeto de dicionário no formato {'Slot': número do slot, 'Status': 'status', 'Chassis': número do chassi, 'Role': 'role', 'Cpu': CPU-number }. O argumento slot-number indica a ID do membro do dispositivo. O argumento status indica o status do dispositivo membro. Os argumentos chassis- number e CPU-number são fixados em 0. O argumento role indica a função do dispositivo membro.

      Exemplos

      # Obter informações sobre o dispositivo ou um dispositivo membro.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import comware
>>> comware.get_slot_info(1)
      Saída de amostra
      {'Slot': 1, 'Status': 'Normal', 'Chassis': 0, 'Role': 'Master', 'Cpu': 0}

      get_slot_range

      Use get_slot_range para obter o intervalo de ID de membro IRF

      Sintaxe
      get_slo t_range ()
      Retorno

      Um objeto de dicionári o no formato {'MaxSl ot': max- slot- number, 'MinSlot' min- slot- number >}. O argumen to max- slot- number indica a ID máxima do membro. O argumen to min- slot- number indica a ID mínima do membro.

      Exemplos

      # Obtenha o intervalo de IDs de membros IRF suportados.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import comware
>>> comware.get_slot_range()
      Saída de amostra
      {'MaxSlot': 10, 'MinSlot': 1}

      get_standby_slot

      Use get_standby_slot para obter as IDs de membro dos dispositivos subordinados.

      Sintaxe
      get_standby_slot()
      Retorno

      Um objeto de lista em um dos seguintes formatos:

      • [ ] - A malha IRF não tem um dispositivo subordinado.
      • [[-1,slot-number]] - A malha IRF tem apenas um dispositivo subordinado.
      • [[-1,slot-number1],[-1,slot-number2],...] - A malha IRF tem vários dispositivos subordinados.

      Os argumentos slot-number indicam as IDs de membro dos dispositivos subordinados.

      Exemplos

      # Obtenha as IDs de membro dos dispositivos subordinados.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import comware
>>> comware.get_standby_slot()
      Saída de amostra
      [[-1, 1], [-1, 2]]

      Transferência

      Use Transfer para fazer download de um arquivo de um servidor.

      Sintaxe
      Transfer(protocol='', host='', source='', dest='',login_timeout=10, user='', password='')
      Parâmetros

      protocol: Especifica o protocolo usado para fazer download de um arquivo:

      • ftp - Usa o FTP.
      • tftp - Usa TFTP.
      • http - Usa HTTP.

      host: especifica o endereço IP do servidor remoto.

      fonte: Especifica o nome do arquivo a ser baixado do servidor remoto.

      dest: Especifica um nome para o arquivo baixado.

      login_timeout: Especifica o tempo limite da operação, em segundos. O padrão é 10.

      usuário: Especifica o nome de usuário para fazer login no servidor.

      password: Especifica a senha de login.

      Retorno

      Objeto de transferência

      Exemplos

      # Faça o download do arquivo test.cfg do servidor TFTP 192.168.1.26.

      <Sysname> python 
Python 2.7.3 (default) 
[GCC 4.4.1] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import comware
>>> comware.Transfer('tftp', '192.168.1.26', 'test.cfg', 'flash:/test.cfg', user='', password='')
      Saída de amostra
      <comware.Transfer object at 0xb7f700e0>

      Uso da configuração automática

      Sobre a configuração automática

      Quando o dispositivo é iniciado sem um arquivo de configuração de próxima inicialização válido, o dispositivo procura no diretório raiz de seu sistema de arquivos padrão os arquivos autocfg.py, autocfg.tcl e autocfg.cfg. Apenas um dos arquivos pode existir no diretório raiz. Se qualquer um dos arquivos existir, o dispositivo carregará o arquivo. Se nenhum dos arquivos existir, o dispositivo usará o recurso de configuração automática para obter um conjunto de definições de configuração.

      Com o recurso de configuração automática, o dispositivo pode obter automaticamente um conjunto de definições de configuração na inicialização. Esse recurso simplifica a configuração e a manutenção da rede.

      A configuração automática pode ser implementada usando os métodos de implementação da Tabela 1.

      Tabela 1 Métodos de implementação de configuração automática

      Método de implementação Local do arquivo de configuração Cenários de aplicativos
      Configuração automática baseada em servidor Servidor de arquivos Vários dispositivos distribuídos geograficamente precisam ser configurados.

      Uso da configuração automática baseada no servidor

      Sobre a configuração automática baseada em servidor

      Com a configuração automática baseada em servidor, um dispositivo sem um arquivo de configuração pode executar o cliente DHCP para obter um arquivo de configuração de um servidor de arquivos na inicialização.

      Você pode implementar a configuração automática baseada em servidor em redes IPv4 e IPv6 usando o mesmo método. Este capítulo descreve as tarefas de implementação da configuração automática baseada em servidor em uma rede IPv4.

      Rede típica de configuração automática baseada em servidor

      Conforme mostrado na Figura 1, uma rede típica de configuração automática baseada em servidor consiste nos seguintes servidores:

      • Servidor DHCP.
      • Servidor de arquivos (servidor TFTP ou HTTP).
      • (Opcional.) Servidor DNS.

      Figura 1 Diagrama de rede da configuração automática baseada em servidor

      Visão geral das tarefas de configuração automática baseadas no servidor

      Para configurar a configuração automática baseada no servidor, execute as seguintes tarefas:

      • Configuração do servidor de arquivos
      • Prepare os arquivos para a configuração automática:
        • Preparação dos arquivos de configuração
        • Preparação de arquivos de script
      • Configuração do servidor DHCP
      • (Opcional.) Configuração do servidor DNS
      • (Opcional.) Configuração do gateway
      • Preparar a interface usada para a configuração automática
      • Início e conclusão da configuração automática

      Configuração do servidor de arquivos

      Para que os dispositivos obtenham informações de configuração de um servidor TFTP, inicie o serviço TFTP no servidor de arquivos.

      Para que os dispositivos obtenham informações de configuração de um servidor HTTP, inicie o serviço HTTP no servidor de arquivos .

      Preparação dos arquivos de configuração

      Tipos de arquivos de configuração

      O dispositivo é compatível com os tipos de arquivos de configuração listados na Tabela 2.

      Tabela 2 Tipos de arquivos de configuração

      Tipo de arquivo de configuração Objetos de aplicativos Requisitos de nome de arquivo Tipos de servidores de arquivos compatíveis
      Arquivo de configuração dedicado Dispositivos que exigem configurações diferentes

      File name.cfg

      Para nome de arquivo simples identificação, use nomes de arquivos de configuração que não contenham espaços.
      • Servidor TFTP
      • Servidor HTTP
      Arquivo de configuração comum Dispositivos que compartilham todas ou algumas configurações File name.cfg
      • Servidor TFTP
      • Servidor HTTP
      Arquivo de configuração padrão

      Outros dispositivos.

      O arquivo contém apenas as configurações comuns que os dispositivos usam para iniciar.

      		 device.cfg
      • Servidor TFTP
      Identificação de requisitos e preparação de arquivos de configuração
      • Identifique os requisitos dos dispositivos para os arquivos de configuração.
      • Para dispositivos que exigem configurações diferentes, prepare um arquivo de configuração para cada um deles e salve o arquivo no servidor de arquivos.
      • Para dispositivos que compartilham todas ou algumas configurações, salve as configurações comuns em um arquivo .cfg no servidor de arquivos.
      • Se for usado um servidor de arquivos TFTP, você poderá salvar as configurações comuns que os dispositivos usam para iniciar no arquivo device.cfg no servidor. O arquivo é atribuído a um dispositivo somente quando o dispositivo não tem nenhum outro arquivo de configuração para usar.
      Preparação do arquivo de nome de host no servidor TFTP

      Se for usado um servidor TFTP e o servidor DHCP não atribuir nomes de arquivos de configuração, você poderá configurar um arquivo de nome de host no servidor TFTP. O arquivo de nome de host contém os mapeamentos de nome de host e endereço IP dos dispositivos a serem configurados automaticamente.

      Para preparar o arquivo de nome do host:

      • Crie um arquivo de nome de host chamado network.cfg.
      • Adicione cada entrada de mapeamento no formato ip host host-name ip-address em uma linha separada. Por exemplo:
        • ip host host1 101.101.101.101 
ip host host2 101.101.101.102 
ip host client1 101.101.101.103 
ip host client2 101.101.101.104

      IMPORTANTE:

      O nome do host de um dispositivo deve ser o mesmo que o nome do arquivo de configuração configurado para o dispositivo.

      Preparação de arquivos de script

      Sobre arquivos de script

      Os arquivos de script podem ser usados para atualização automática de software e configuração automática.

      O dispositivo suporta scripts Python (arquivos.py) e scripts Tcl (arquivos.tcl). Para obter mais informações sobre scripts Python e Tcl, consulte "Usando Python" e "Usando Tcl".

      O dispositivo suporta arquivos de script dedicados e arquivos de script dedicados comuns. Ele não é compatível com o uso de um arquivo de script padrão. Para obter informações sobre arquivos de script dedicados e arquivos de script dedicados comuns, consulte a Tabela 2.

      Quando são usados arquivos de script, não é possível usar um arquivo de nome de host para fornecer os mapeamentos de nome de host e endereço IP para dispositivos.

      Restrições e diretrizes

      Para usar um script Tcl, verifique se todos os comandos do script são compatíveis e estão configurados corretamente. Qualquer erro em um comando faz com que o processo de configuração automática seja encerrado.

      Procedimento
      • Para dispositivos que compartilham todas ou algumas configurações, crie um arquivo de script que contenha as configurações comuns.
      • Para os outros dispositivos, crie um arquivo de script separado para cada um deles.

      Configuração do servidor DHCP

      Sobre o servidor DHCP

      O servidor DHCP atribui os seguintes itens aos dispositivos que precisam ser configurados automaticamente:

      • Endereços IP.
      • Caminhos dos arquivos de configuração ou de script.
      Restrições e diretrizes

      Quando você configurar o servidor DHCP, siga estas diretrizes:

      • Para dispositivos para os quais você preparou arquivos de configuração diferentes, execute as seguintes tarefas para cada um dos dispositivos no servidor DHCP:
        • Criar um pool de endereços DHCP.
        • Configure uma vinculação de endereço estático.
        • Especifique um arquivo de configuração ou de script.

        Como um pool de endereços pode usar apenas um arquivo de configuração, você pode especificar apenas uma associação de endereço estático para um pool de endereços.

      • Para dispositivos para os quais você preparou o mesmo arquivo de configuração, use um dos seguintes métodos:
        • Método 1:
          • Crie um pool de endereços DHCP para os dispositivos.
          • Configure uma vinculação de endereço estático para cada um dos dispositivos no pool de endereços.
          • Especifique o arquivo de configuração para os dispositivos.
        • Método 2:
          • Crie um pool de endereços DHCP para os dispositivos.
          • Especifique a sub-rede para alocação dinâmica.
          • Especifique o servidor TFTP.
          • Especifique o arquivo de configuração para os dispositivos.
      • Se todos os dispositivos em uma sub-rede compartilharem o mesmo arquivo de configuração ou arquivo de script, execute as seguintes tarefas no servidor DHCP:
        • Configurar a alocação dinâmica de endereços.
        • Especifique o arquivo de configuração ou o arquivo de script para os dispositivos.

        O arquivo de configuração pode conter apenas as configurações comuns dos dispositivos. Você pode fornecer um método para os administradores de dispositivos alterarem as configurações após a inicialização dos dispositivos.

      Configuração do servidor DHCP quando um servidor de arquivos HTTP é usado
      • Entre na visualização do sistema.
        • system-view
      • Ativar DHCP.
        • dhcp enable

        Por padrão, o DHCP está desativado.

      • Crie um pool de endereços DHCP e entre em sua visualização.
        • dhcp server ip-pool pool-name
      • Configure o pool de endereços.

        • Escolha as opções para configurar conforme necessário:

        • Especifique a sub-rede primária para o pool de endereços:
          • network network-address [ mask-length | mask mask ]

          Por padrão, nenhuma sub-rede primária é especificada.

        • Configure uma ligação estática:
          • static-bind ip-address ip-address [ mask-length | mask mask ] { client-identifier client-identifier | hardware-address hardware-address [ ethernet | token-ring ] }

          Por padrão, nenhuma associação estática é configurada.

          Você pode configurar vários vínculos estáticos. No entanto, um endereço IP pode ser vinculado a apenas um cliente. Para alterar a associação de um cliente DHCP, você deve remover a associação e reconfigurar uma associação.

      • Especifique o URL do arquivo de configuração ou de script.
        • bootfile-name url

        Por padrão, nenhum URL de arquivo de configuração ou script é especificado.

      Configuração do servidor DHCP quando um servidor de arquivos TFTP é usado
      • Entre na visualização do sistema.
        • system-view
      • Ativar DHCP.
        • dhcp enable

        Por padrão, o DHCP está desativado.

      • Crie um pool de endereços DHCP e entre em sua visualização.
        • dhcp server ip-pool pool-name
      • Configure o pool de endereços.

        • Escolha as opções para configurar conforme necessário:

        • Especifique a sub-rede primária para o pool de endereços:
          • network network-address [ mask-length | mask mask ]

          Por padrão, nenhuma sub-rede primária é especificada.

        • Configure uma ligação estática:
          • static-bind ip-address ip-address [ mask-length | mask mask ] { client-identifier client-identifier | hardware-address hardware-address [ ethernet | token-ring ] }

          Por padrão, nenhuma associação estática é configurada.

          Você pode configurar vários vínculos estáticos. No entanto, um endereço IP pode ser vinculado a apenas um cliente. Para alterar a associação de um cliente DHCP, você deve remover a associação e reconfigurar uma associação.

      • Especifique um servidor

        • TFTP. Escolha uma opção conforme necessário:

        • Especifique o endereço IP do servidor TFTP:
          • tftp-server ip-address ip-address

          Por padrão, nenhum endereço IP do servidor TFTP é especificado.

        • Especifique o nome do servidor TFTP:
          • tftp-server domain-name domain-name

          Por padrão, nenhum nome de servidor TFTP é especificado.

          Se você especificar um servidor TFTP por seu nome, será necessário um servidor DNS na rede.

      • Especifique o nome do arquivo de configuração ou de script.
        • bootfile-name bootfile-name

        Por padrão, nenhum nome de arquivo de configuração ou de script é especificado.

      Configuração do servidor DNS

      Um servidor DNS é necessário nas seguintes situações:

      • O servidor TFTP não tem um arquivo de nome de host.

        • Os dispositivos precisam fornecer ao servidor DNS seus endereços IP para obter seus nomes de host. Em seguida, os dispositivos podem obter arquivos de configuração nomeados no formato host name.cfg do servidor TFTP.

      • O servidor DHCP atribui o nome de domínio do servidor TFTP por meio da mensagem de resposta do DHCP. Os dispositivos devem usar o nome de domínio para obter o endereço IP do servidor TFTP.

      Configuração do gateway

      Se os dispositivos a serem configurados automaticamente e os servidores para configuração automática residirem em segmentos de rede diferentes, você deverá executar as seguintes tarefas:

      • Implante um gateway e certifique-se de que os dispositivos possam se comunicar com os servidores.
      • Configure o recurso de agente de retransmissão DHCP no gateway.
      • Configure o recurso auxiliar de UDP no gateway.

          • Essa tarefa é necessária se os dispositivos enviarem solicitações a um servidor TFTP usando pacotes de difusão. Um dispositivo usa pacotes de difusão para enviar solicitações a um servidor TFTP nas seguintes situações:

        • A resposta do DHCP não contém o endereço IP ou o nome de domínio do servidor TFTP.
        • O endereço IP ou o nome de domínio do servidor TFTP é inválido.

        O auxiliar UDP transforma um pacote de difusão em um pacote unicast e encaminha o pacote unicast para o servidor de arquivos. Para obter mais informações sobre o auxiliar UDP, consulte o Guia de Configuração de Serviços de Camada 3 IP.

        Preparar a interface usada para a configuração automática

        O dispositivo usa as seguintes etapas para selecionar a interface para configuração automática:

        • Identifica o status da interface Ethernet de gerenciamento na Camada 2. Se o status for "up", o dispositivo usará a interface Ethernet de gerenciamento.
        • Identifica o status das interfaces Ethernet de camada 2. Se uma ou mais interfaces Ethernet de camada 2 estiverem em estado ativo, o dispositivo usará a interface VLAN da VLAN padrão.
        • Se nenhuma interface Ethernet de camada 2 estiver em estado ativo, o dispositivo aguardará 30 segundos e voltará à etapa 1 para tentar novamente.

        Para uma configuração automática rápida do dispositivo, conecte à rede apenas a interface Ethernet de gerenciamento de cada dispositivo.

        Início e conclusão da configuração automática

        • Ligue os dispositivos a serem configurados automaticamente.

          • Se um dispositivo não encontrar um arquivo de configuração de próxima inicialização localmente, ele iniciará o processo de configuração automática para obter um arquivo de configuração.

          • Se o dispositivo obtiver um arquivo de configuração e executá-lo com êxito, o processo de configuração automática será encerrado.
          • Se uma tentativa falhar, o dispositivo tentará novamente até que o número máximo de tentativas seja atingido. Para interromper o processo, pressione Ctrl+C ou Ctrl+D.

          Se o dispositivo não conseguir obter um arquivo de configuração, ele será iniciado sem carregar nenhuma configuração.

        • Salve a configuração em execução.
          • salvar

          O dispositivo não salva localmente o arquivo de configuração obtido. Se você não salvar a configuração em execução, o dispositivo deverá usar o recurso de configuração automática novamente após uma reinicialização.

          Para obter mais informações sobre o comando save, consulte Referência de comandos dos fundamentos.

        Exemplos de configuração automática baseada em servidor

        Exemplo: Uso de um servidor TFTP para configuração automática

        Configuração de rede

        Conforme mostrado na Figura 2, dois departamentos de uma empresa estão conectados à rede por meio de gateways (Switch B e Switch C). Os dispositivos de acesso Switch D, Switch E, Switch F e Switch G não têm um arquivo de configuração.

        Configure os servidores e gateways para que os dispositivos de acesso possam obter um arquivo de configuração para concluir as tarefas de configuração a seguir:

        • Permitir que os administradores de dispositivos de acesso façam Telnet e gerenciem seus respectivos dispositivos de acesso.
        • Exigir que os administradores digitem seus respectivos nomes de usuário e senhas no login.

        Figura 2 Diagrama de rede

        Procedimento
        • Configure o servidor DHCP:

          • # Crie uma interface VLAN e atribua um endereço IP à interface.

          <SwitchA> system-view 
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/1 
[SwitchA-vlan2] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.1.42 24 
[SwitchA-Vlan-interface2] quit

          # Habilite o DHCP.

          [SwitchA] dhcp enable

          # Habilite o servidor DHCP na interface VLAN 2. [SwitchA] interface vlan-interface 2 [SwitchA-Vlan-interface2] dhcp select server [SwitchA-Vlan-interface2] quit

          SwitchA] interface vlan-interface 2 [SwitchA-Vlan-interface2] dhcp select server [SwitchA-Vlan-interface2] quit

          # Configure o pool de endereços market para atribuir endereços IP na sub-rede 192.168.2.0/24 aos clientes do departamento de Marketing. Especifique o servidor TFTP, o gateway e o nome do arquivo de configuração para os clientes.

          [SwitchA] dhcp server ip-pool market
[SwitchA-dhcp-pool-market] network 192.168.2.0 24
[SwitchA-dhcp-pool-market] tftp-server ip-address 192.168.1.40 
[SwitchA-dhcp-pool-market] gateway-list 192.168.2.1
[SwitchA-dhcp-pool-market] bootfile-name market.cfg 
[SwitchA-dhcp-pool-market] quit

          # Configure o pool de endereços rd para atribuir endereços IP na sub-rede 192.168.3.0/24 aos clientes em

          [SwitchA] dhcp server ip-pool rd
[SwitchA-dhcp-pool-rd] network 192.168.3.0 24
[SwitchA-dhcp-pool-rd] tftp-server ip-address 192.168.1.40 
[SwitchA-dhcp-pool-rd] gateway-list 192.168.3.1
[SwitchA-dhcp-pool-rd] bootfile-name rd.cfg 
[SwitchA-dhcp-pool-rd] quit

          # Configure rotas estáticas para os agentes de retransmissão DHCP.

          [SwitchA] ip route-static 192.168.2.0 24 192.168.1.41
[SwitchA] ip route-static 192.168.3.0 24 192.168.1.43 
[SwitchA] quit
        • Configure o gateway Switch B:

          • # Crie interfaces de VLAN e atribua endereços IP às interfaces.

          <SwitchB> system-view 
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/3 
[SwitchB-vlan2] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 192.168.1.41 24 
[SwitchB-Vlan-interface2] quit
[SwitchB] vlan 3
[SwitchB-vlan3] port gigabitethernet 1/0/1 
[SwitchB-vlan3] port gigabitethernet 1/0/2 
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] ip address 192.168.2.1 24 
[SwitchB-Vlan-interface3] quit

          # Habilite o DHCP.

          [SwitchB] dhcp enable

          # Habilite o agente de retransmissão DHCP na interface VLAN 3.

          SwitchB] interface vlan-interface 3

          # Especifique o endereço do servidor DHCP.

          [SwitchB-Vlan-interface3] dhcp relay server-address 192.168.1.42
        • Configurar o gateway Switch C:

          • # Crie interfaces de VLAN e atribua endereços IP às interfaces.

          <SwitchC> system-view 
[SwitchC] vlan 2
[SwitchC-vlan2] port gigabitethernet 1/0/3 
[SwitchC-vlan2] quit
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ip address 192.168.1.43 24 
[SwitchC-Vlan-interface2] quit
[SwitchC] vlan 3
[SwitchC-vlan3] port gigabitethernet 1/0/1 
[SwitchC-vlan3] port gigabitethernet 1/0/2 
[SwitchC-vlan3] quit
[SwitchC] interface vlan-interface 3
[SwitchC-Vlan-interface3] ip address 192.168.3.1 24
[SwitchC-Vlan-interface3] quit

          # Habilite o DHCP.

          [SwitchC] dhcp enable

          # Habilite o agente de retransmissão DHCP na interface VLAN 3.

          [SwitchC] interface vlan-interface 3 [SwitchC-Vlan-interface3] dhcp select relay

          # Especifique o endereço do servidor DHCP.

          [SwitchC-Vlan-interface3] dhcp relay server-address 192.168.1.42
        • Configure o servidor TFTP:

          • # No servidor TFTP, crie um arquivo de configuração chamado market.cfg.

          #
sysname Market
#
telnet server enable
#
vlan 3 
#
local-user market 
password simple market 
service-type telnet 
quit
#
interface Vlan-interface3 
ip address dhcp-alloc 
quit
#
interface gigabitethernet 1/0/1 
port access vlan 3
quit
#
user-interface vty 0 63 
authentication-mode scheme 
user-role network-admin
#
return

          # No servidor TFTP, crie um arquivo de configuração chamado rd.cfg.

          #
sysname RD
#
telnet server enable
#
vlan 3 #
local-user rd 
password simple rd 
service-type telnet 
quit
#
interface Vlan-interface3 
ip address dhcp-alloc 
quit
#
interface gigabitethernet 1/0/1 
port access vlan 3
quit
#
user-interface vty 0 63 
authentication-mode scheme 
user-role network-admin
#
return

          # Inicie o software do serviço TFTP e especifique a pasta em que os dois arquivos de configuração residem como o diretório de trabalho. (Detalhes não mostrados.)

          # Verifique se o servidor TFTP e os agentes de retransmissão DHCP podem se comunicar. (Detalhes não mostrados.)

        Verificação da configuração
        • Ligue o Switch D, Switch E, Switch F e o Switch G
        • Após a inicialização dos dispositivos de acesso, exiba os endereços IP atribuídos no Switch A.
          • <SwitchA> display dhcp server ip-in-use
IP address	            Client-identifier/	            Lease expiration	        Type 
                            Hardware address

192.168.2.2	            3030-3066-2e65-3233-            May 6 05:21:25 2013	        Auto(C)
                            642e-3561-6633-2d56-
                            6c61-6e2d-696e-7465-
                            7266-6163-6533
192.168.2.3	            3030-3066-2e65-3230-            May 6 05:22:50 2013	        Auto(C)
                            302e-3232-3033-2d56-
                            6c61-6e2d-696e-7465-
                            7266-6163-6533
192.168.3.2	            3030-6530-2e66-6330-            May 6 05:23:15 2013         Auto(C)
                            302e-3335-3131-2d56-
                            6c61-6e2d-696e-7465-
                            7266-6163-6531
192.168.3.3	            3030-6530-2e66-6330-            May 6 05:24:10 2013         Auto(C)
                            302e-3335-3135-2d56-
                            6c61-6e2d-696e-7465-
                            7266-6163-6532
        • Telnet para 192.168.2.2 do Switch A.
          • <SwitchA> telnet 192.168.2.2
        • Digite o nome de usuário market e a senha market conforme solicitado. (Os detalhes não são mostrados.)

          • Você está conectado ao Switch D ou Switch E.

        Exemplo: Uso de um servidor HTTP e scripts Tcl para configuração automática

        Configuração de rede

        Conforme mostrado na Figura 3, o Switch A não tem um arquivo de configuração.

        Configure os servidores para que o Switch A possa obter um script Tcl para concluir as seguintes tarefas de configuração:

        • Permitir que o administrador faça Telnet no Switch A para gerenciar o Switch A.
        • Exigir que o administrador digite o nome de usuário e a senha corretos no login.

        Figura 3 Diagrama de rede

        Procedimento
        • Configure o servidor DHCP:

          • # Habilite o DHCP.

          <DeviceA> system-view 
[DeviceA] dhcp enable

          # Configure o pool de endereços 1 para atribuir endereços IP na sub-rede 192.168.1.0/24 aos clientes.

          [DeviceA] dhcp server ip-pool 1
[DeviceA-dhcp-pool-1] network 192.168.1.0 24

          # Especifique o URL do arquivo de script para os clientes.

          [DeviceA-dhcp-pool-1] bootfile-name http://192.168.1.40/device.tcl
        • Configure o servidor HTTP:

          • # Crie um arquivo de configuração chamado device.tcl no servidor HTTP.

          system-view
telnet server enable 
local-user user 
password simple abcabc 
service-type telnet 
quit
user-interface vty 0 63 
authentication-mode scheme 
user-role network-admin 
quit

interface Vlan-interface 1 
ip address dhcp-alloc
return

          # Inicie o software de serviço HTTP e ative o serviço HTTP. (Detalhes não mostrados).

        Verificação da configuração
        • Ligue o Switch A.
        • Após a inicialização do Switch A, exiba os endereços IP atribuídos no Dispositivo A.
          • <DeviceA> display dhcp server ip-in-use
IP address	        Client identifier/          Lease expiration        Type 
                        Hardware address
192.168.1.2	        0030-3030-632e-3239-        Dec 12 17:41:15 2013    Auto(C)
                        3035-2e36-3736-622d-
                        4574-6830-2f30-2f32
        • Telnet para 192.168.1.2 do Dispositivo A.
          •  telnet 192.168.1.2
        • Digite o nome de usuário e a senha abcabc conforme solicitado. (Os detalhes não são mostrados.)

          • Você está conectado ao Switch A.

        Exemplo: Usando um servidor HTTP e scripts Python para configuração automática

        Configuração de rede

        Conforme mostrado na Figura 4, o Switch A não tem um arquivo de configuração.

        Configure os servidores para que o Switch A possa obter um script Python para concluir as seguintes tarefas de configuração:

        • Permitir que o administrador faça Telnet no Switch A para gerenciar o Switch A.
        • Exigir que o administrador digite o nome de usuário e a senha corretos no login.

        Figura 4 Diagrama de rede

        Procedimento
        • Configure o servidor DHCP:

          • # Habilite o DHCP.

          <DeviceA> system-view 
[DeviceA] dhcp enable

          # Configure o pool de endereços 1 para atribuir endereços IP na sub-rede 192.168.1.0/24 aos clientes.

          [DeviceA] dhcp server ip-pool 1
[DeviceA-dhcp-pool-1] network 192.168.1.0 24

          # Especifique o URL do arquivo de script para os clientes.

          [DeviceA-dhcp-pool-1] bootfile-name http://192.168.1.40/device.py
        • Configure o servidor HTTP:

          • # Crie um arquivo de configuração chamado device.py no servidor HTTP.

          #!usr/bin/python

import comware
comware.CLI('system-view ;telnet server enable ;local-user user ;password simple 
abcabc ;service-type telnet ;quit ;user-interface vty 0 63 ;authentication-mode 
scheme ;user-role network-admin ;quit ;interface Vlan-interface 1 ;ip address 
dhcp-alloc ;return')

          # Inicie o software de serviço HTTP e ative o serviço HTTP. (Detalhes não mostrados).

        Verificação da configuração
        • Ligue o Switch A.
        • Após a inicialização do Switch A, exiba os endereços IP atribuídos no Dispositivo A.
          • <DeviceA> display dhcp server ip-in-use
IP address	        Client identifier/          Lease expiration	        Type 
                        Hardware address
192.168.1.2	        0030-3030-632e-3239-        Dec 12 17:41:15 2013        Auto(C)
                        3035-2e36-3736-622d-
                        4574-6830-2f30-2f32
        • Telnet para 192.168.1.2 do Dispositivo A.
          • <DeviceA> telnet 192.168.1.2
        • Digite o nome de usuário e a senha abcabc conforme solicitado. (Os detalhes não são mostrados.) Você está conectado ao Switch A.

        Exemplo: Configuração de uma malha IRF

        Configuração de rede

        Conforme mostrado na Figura 5, o Switch A e o Switch B não têm um arquivo de configuração.

        Configure os servidores para que os switches possam obter um script Python para concluir suas respectivas configurações e formar uma malha IRF.

        Figura 5 Diagrama de rede

        Procedimento
        • Atribua endereços IP às interfaces. Certifique-se de que os dispositivos possam se comunicar entre si. (Detalhes não mostrados).
        • Configure os seguintes arquivos no servidor HTTP:
          • Arquivo Conteúdo Observações
          Arquivo de configuração .cfg Comandos necessários para a configuração da IRF. Você pode criar um arquivo de configuração copiando e modificando o arquivo de configuração de uma malha IRF existente.
          sn.txt Números de série dos switches membros.

          Cada SN identifica um switch de forma exclusiva.

          Esses SNs serão usados para atribuir um ID de membro IRF exclusivo a cada switch membro.
          (Opcional.) Arquivo de imagem de software .ipe ou .bin Imagens de software. Se os switches membros estiverem executando versões de software diferentes, você deverá preparar o arquivo de imagem de software usado para o upgrade de software.
          .py Arquivo de script Python Comandos Python que realizam as seguintes tarefas:
          • (Opcional.) Verifique se a memória flash tem espaço suficiente para os arquivos a serem baixados.
          • Faça o download do arquivo de configuração e sn.txt.
          • (Opcional.) Faça o download do arquivo de imagem do software e especifique-o como o arquivo de imagem de inicialização principal.
          • Resolva o sn.txt e atribua um ID de membro IRF exclusivo a cada SN.
          • Especifique o arquivo de configuração como o principal arquivo de configuração da próxima inicialização.
          • Reinicialize os switches membros.
          		 Para obter mais informações sobre a configuração de scripts Python, consulte "Usando Python".
        • Configure o Dispositivo A como o servidor DHCP:

          • # Habilite o DHCP.

          <DeviceA> system-view 
[DeviceA] dhcp enable

          # Configure o pool de endereços 1 para atribuir endereços IP na sub-rede 192.168.1.0/24 aos clientes.

          [DeviceA] dhcp server ip-pool 1
[DeviceA-dhcp-pool-1] network 192.168.1.0 24

          # Especifique o URL do arquivo de script para os clientes.

          [DeviceA-dhcp-pool-1] bootfile-name http://192.168.1.40/device.py 
[DeviceA-dhcp-pool-1] quit

          # Habilite o servidor DHCP na GigabitEthernet 1/0/1.

          [DeviceA] interface gigabitethernet 1/0/1 
[DeviceA-GigabitEthernet1/0/1] dhcp select server 
[DeviceA-GigabitEthernet1/0/1] quit
        • Ligue o Switch A e o Switch B.

          • O Switch A e o Switch B obterão o arquivo de script Python do servidor DHCP e executarão o script. Após concluir a configuração do IRF, o Switch A e o Switch B são reinicializados.

        • Depois que o Switch A e o Switch B forem reiniciados, use um cabo para conectar o Switch A e o Switch B por meio de suas portas físicas IRF.

          • O Switch A e o Switch B elegerão um membro mestre. O membro subordinado será reinicializado para se juntar à malha IRF.

        Verificação da configuração

        # No Switch A, exiba os dispositivos membros da IRF. Você também pode usar o comando display irf no Switch B para exibir os dispositivos membros da IRF.

        <Switch A> display irf
MemberID    Slot    Role        Priority    CPU-Mac             Description
1	    1	    Standby	1	    00e0-fc0f-8c02	---
*+2	    1	    Master	30	    00e0-fc0f-8c14	---
----------------------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.


The Bridge MAC of the IRF is: 000c-1000-1111 
Auto upgrade	            : yes
Mac persistent	            : always
Domain ID	            : 0
Auto merge	            : yes

        A saída mostra que os switches formaram uma malha IRF.

        Gerenciamento de licenças

        Sobre as licenças

        Para usar os recursos baseados em licença, você deve adquirir licenças da Intelbras e instalá-las.

        Para obter informações sobre os recursos baseados em licença, seu status de licenciamento e a disponibilidade de licenças, execute o comando display license feature no dispositivo. Em seguida, você pode comprar e instalar licenças conforme necessário.

        Para instalar uma licença formal para um recurso:

        • Adquirir um certificado de licença de software por meio de um canal oficial.
        • Acesse a plataforma de gerenciamento de licenças da Intelbras em http://www.Intelbras.com/en/License e, em seguida, insira a chave de licença no certificado e as informações necessárias do dispositivo para obter um arquivo de ativação.
        • Instale o arquivo de ativação no dispositivo.

        Conceitos básicos

        As informações a seguir descrevem os conceitos básicos que você pode encontrar ao registrar, instalar e gerenciar licenças.

        Plataforma de gerenciamento de licenças da Intelbras

        A plataforma de gerenciamento de licenças da Intelbras fornece serviços de licenciamento de produtos para os clientes da Intelbras. Você pode acessar esse sistema para obter um arquivo de ativação.

        A plataforma de gerenciamento de licenças da Intelbras pode ser acessada em http://www.Intelbras.com/en/License/.

        Certificado de licença de software

        Um certificado de licença de software permite que os usuários usem um recurso baseado em licença. Ele contém a chave de licença, a capacidade da licença e outras informações.

        Chave de licença

        Uma chave de licença identifica exclusivamente uma licença.

        Para obter uma chave de licença formal, adquira um certificado de licença de software. O número de série da autorização no certificado de licença do software é a chave de licença.

        Número de série do dispositivo

        Um número de série do dispositivo (SN ou S/N) é um código de barras que identifica exclusivamente um dispositivo. Ele vem com o dispositivo e deve ser fornecido quando você solicita uma licença na plataforma de gerenciamento de licenças da Intelbras.

        ID do dispositivo (DID) e arquivo DID

        Um DID é uma cadeia de caracteres que identifica exclusivamente um dispositivo de hardware. Um arquivo DID armazena o DID e outras informações. O dispositivo vem com um arquivo DID ou DID. Você deve fornecer o arquivo DID ou DID ao solicitar uma licença para o dispositivo na plataforma de gerenciamento de licenças da Intelbras.

        Arquivo de ativação

        Para usar um recurso baseado em licença em um sistema, é necessário executar as seguintes tarefas:

        • Use a chave de licença e as informações de SN e DID do sistema para obter um arquivo de ativação da plataforma de gerenciamento de licenças da Intelbras.
        • Instale o arquivo de ativação no sistema.
        Chave de desinstalação e arquivo de desinstalação

        Quando você desinstala uma licença, é criado um arquivo Uninstall que contém uma chave Uninstall. A chave Uninstall é necessária para a transferência da licença.

        Armazenamento de licenças

        O armazenamento de licenças é um armazenamento persistente de tamanho fixo para armazenar informações de licenciamento. Essas informações incluem o estado da licença, o período de validade, a chave de desinstalação ou o arquivo de desinstalação e outras informações relacionadas.

        Os dados no armazenamento de licenças persistem durante a reinicialização. Isso garante a precisão e a continuidade do licenciamento.

        Restrições e diretrizes: Gerenciamento de licenças

        Restrições de operações de gerenciamento

        • Adquira licenças nos canais oficiais da Intelbras.
        • Para licenças que foram instaladas no dispositivo, execute o comando display license para visualizar o período de validade da licença. Para usar um recurso baseado em licença continuamente, instale uma nova licença para o recurso antes que a licença antiga expire.
        • Normalmente, as licenças são bloqueadas por dispositivo. Para garantir um licenciamento bem-sucedido, use as seguintes diretrizes de licenciamento:
          • Ao adquirir um certificado de licença, verifique os seguintes itens:
            • Certifique-se de que a licença seja compatível com o dispositivo de destino.
            • Certifique-se de que a funcionalidade e a capacidade licenciadas atendam às suas necessidades.
          • Ao obter um arquivo de ativação, verifique se a chave de licença fornecida e as informações de hardware estão corretas.
          • Instale o arquivo de ativação no dispositivo de destino correto.
        • Certifique-se de que ninguém mais esteja executando tarefas de gerenciamento de licenças enquanto você estiver gerenciando licenças no dispositivo.

        Restrições de operação de arquivos

        Ao gerenciar arquivos DID, arquivos de ativação ou arquivos de desinstalação, siga estas restrições e diretrizes:

        • Para evitar erros de licenciamento, não modifique o nome de um arquivo DID, arquivo de ativação ou arquivo de desinstalação, nem edite o conteúdo do arquivo.
        • Antes de instalar um arquivo de ativação, faça o download do arquivo de ativação para a mídia de armazenamento do dispositivo, como a memória flash. Ao instalar um arquivo de ativação, o dispositivo copia automaticamente o arquivo de ativação para a pasta de licenças no diretório raiz da mídia de armazenamento. A pasta de licenças armazena arquivos importantes para o licenciamento. Para que os recursos licenciados funcionem corretamente, não exclua nem modifique a pasta de licenças ou os arquivos dessa pasta.

        Configuração do licenciamento local

        Sobre o licenciamento local

        O licenciamento local requer a ativação da licença dispositivo por dispositivo. É aplicável a redes de pequeno porte. Para instalar uma licença em um dispositivo:

        • Obtenha a chave de licença, o SN do dispositivo e as informações de DID do dispositivo.
        • Acesse a plataforma de gerenciamento de licenças da Intelbras para solicitar um arquivo de ativação com base na chave de licença e nas informações de SN e DID do dispositivo.
        • Instale o arquivo de ativação no dispositivo para ativar a licença.

        O arquivo de ativação de uma licença está bloqueado por dispositivo. Não é possível instalar o arquivo de ativação de um dispositivo para ativar a licença em outro dispositivo.

        Registro e instalação de uma licença

        Fluxo de trabalho de registro e instalação de licenças

        Este capítulo descreve apenas as operações realizadas no dispositivo e na plataforma de gerenciamento de licenças da Intelbras. Para obter mais informações, consulte o guia de licenciamento do dispositivo.

        Identificação do armazenamento de licenças

        Para identificar o espaço livre do armazenamento de licenças, execute o seguinte comando em qualquer visualização:

        display license feature

        Na saída do comando, visualize os campos Total e Uso para examinar se o armazenamento de licenças restante é suficiente para a instalação de novas licenças. Se o armazenamento de licenças restante não for suficiente, comprima o armazenamento de licenças.

        Compactação do armazenamento de licenças

        Sobre esta tarefa

        O armazenamento de licenças armazena informações de licenciamento e tem um tamanho fixo.

        Você pode compactar o armazenamento de licenças para excluir informações de licenças expiradas e desinstaladas e garantir espaço de armazenamento suficiente para a instalação de novas licenças.

        Se nenhuma licença tiver sido instalada no dispositivo, não será necessário compactar o armazenamento de licenças.

        Pré-requisitos

        Faça o backup das chaves de desinstalação ou dos arquivos de desinstalação das licenças desinstaladas para transferência ou desinstalação subsequente de licenças.

        Se houver licenças desinstaladas ou expiradas no dispositivo, a operação de compactação fará com que o arquivo DID ou DID seja alterado. Você não conseguirá instalar o arquivo de ativação obtido usando o arquivo DID ou DID antigo no dispositivo. Como prática recomendada, instale todos os arquivos de ativação registrados com o arquivo DID ou DID antigo antes de executar uma compactação.

        Se você não tiver instalado um arquivo de ativação registrado com o DID antigo, execute as seguintes ações:

        • Se o armazenamento da licença for suficiente, instale o arquivo de ativação no dispositivo.
        • Se o armazenamento da licença for insuficiente e o arquivo de ativação não puder ser instalado após a compactação , entre em contato com o Suporte da Intelbras.
        Procedimento
        • Entre na visualização do sistema.
          • system-view
        • Comprimir o armazenamento de licenças.
          • license compress slot slot-number

        Obtenção das informações necessárias para o registro da licença

        Para obter as informações de SN e DID, execute o seguinte comando em qualquer visualização:

        display license device-id slot slot-number

        Registro de uma licença na plataforma de gerenciamento de licenças da Intelbras

        Sobre o registro de uma licença

        O registro da licença tem os seguintes procedimentos:

        • Registro de licenças pela primeira vez - Registre uma licença para um dispositivo que não tenha sido registrado anteriormente.
        • Registro de licenças de upgrade - Registre licenças para expansão de capacidade, aprimoramento de recursos ou extensão de tempo. Esse procedimento também se aplica ao cenário em que você registra uma nova licença para um dispositivo com licenças expiradas ou desinstaladas.

        Se você não souber qual procedimento de registro deve ser usado, selecione o registro de licenças pela primeira vez. Se a seleção não estiver correta, o site exibirá mensagens para a escolha correta do registro depois que você inserir as informações necessárias.

        Restrições e diretrizes

        Se não for possível fazer o download do arquivo de ativação devido a problemas como erros no sistema operacional e no navegador, tente registrar novamente a licença. Se o problema persistir, entre em contato com o Suporte da Intelbras.

        Registro de licenças pela primeira vez
        • Visite o site da Intelbras em http://www.Intelbras.com/en/License/.
        • Selecione Registrar a primeira vez.
        • Digite o número de série da autorização no campo Input the license key e clique em Submit .

          • Uma caixa de diálogo é aberta, exibindo as categorias de produtos que correspondem à chave de licença.

        • Na caixa de diálogo, selecione uma categoria de produto na lista suspensa Product category e clique em OK.
        • Digite o SN do dispositivo.
        • Digite o DID ou carregue o arquivo DID.
        • Digite as informações de contato necessárias e o código de verificação, selecione I accept all terms of Intelbras Legal Statement e clique em Get activation key or file.
        • Faça o download do arquivo de ativação para o PC.

          • Uma cópia do arquivo de ativação também será enviada para o endereço de e-mail informado nas informações de contato.

        Registro de licenças de upgrade
        • Visite o site da Intelbras em http://www.Intelbras.com/en/License/.
        • Selecione Registrar licenças de upgrade.
        • Digite o número de série da autorização no campo Input the license key e clique em Submit.

          • Uma caixa de diálogo é aberta, exibindo as categorias de produtos que correspondem à chave de licença.

        • Na caixa de diálogo, selecione uma categoria de produto na lista suspensa Product category e clique em OK.
        • Digite o SN do dispositivo.
        • Digite o DID ou carregue o arquivo DID e clique em Submit.
        • Digite as informações de contato necessárias e o código de verificação, selecione I accept all terms of Intelbras Legal Statement e clique em Get activation key or file.
        • Faça o download do arquivo de ativação para o PC.

          • Uma cópia do arquivo de ativação também será enviada para o endereço de e-mail informado nas informações de contato.

        Instalação de um arquivo de ativação

        Sobre esta tarefa

        CUIDADO:

        Faça backup de um arquivo de ativação antes de instalá-lo. Se o arquivo de

        ativação for excluído inadvertidamente ou ficar indisponível por algum outro motivo, você poderá

        usar o arquivo de ativação de backup para restaurar a licença.

        Para obter uma licença, instale um arquivo de ativação para a licença no dispositivo.

        Pré-requisitos

        Use FTP ou TFTP para carregar o arquivo de ativação a ser instalado no dispositivo. Se o FTP for usado para transferir o arquivo de ativação, defina-o no modo binário.

        Procedimento
        • Entre na visualização do sistema.
          • system-view
        • Instale um arquivo de ativação.
          • license activation-file install file-name slot slot-number

          É possível instalar um único arquivo .ak ou vários arquivos .ak em uma única operação. Para instalar vários arquivos .ak, salve todos os arquivos de ativação no mesmo diretório e especifique o diretório como o valor do argumento nome do arquivo.

        Transferência de uma licença

        Sobre esta tarefa

        Execute esta tarefa para transferir uma licença que não tenha expirado de um dispositivo para outro da mesma série de produtos.

        Fluxo de trabalho de transferência de licenças

        Este capítulo descreve apenas as operações realizadas no dispositivo de origem. Para as operações realizadas no dispositivo de destino, consulte "Registro e instalação de uma licença". Para obter mais informações sobre a transferência de licenças, entre em contato com o Suporte da Intelbras.

        Obtenção de um arquivo de desinstalação

        • Execute o comando display license para visualizar o arquivo de ativação a ser desinstalado.
        • Entre na visualização do sistema.
          • system-view
        • Desinstalar um arquivo de ativação.
          • license activation-file uninstall license-file slot slot-number

          É possível desinstalar um único arquivo .ak ou vários arquivos .ak em uma única operação. Para desinstalar vários arquivos .ak, salve todos os arquivos de ativação no mesmo diretório e especifique o diretório como o valor do argumento license-file.

        Desinstalação de uma licença

        Sobre a desinstalação da licença

        Uma chave de licença é vinculada a um dispositivo quando você ativa a chave de licença na plataforma de gerenciamento de licenças da Intelbras. Não é possível vincular essa chave de licença a outro dispositivo. Para desvincular uma chave de licença de uma licença que não tenha expirado em um dispositivo, obtenha a chave de desinstalação ou o arquivo de desinstalação da licença no dispositivo. Em seguida, entre em contato com o Suporte da Intelbras para concluir a desinstalação da licença.

        Para restaurar a licença no dispositivo local ou transferir a licença para outro dispositivo, é necessário entrar em contato com o Suporte da Intelbras para obter um novo arquivo de ativação para a licença. Em seguida, instale o novo arquivo de ativação no dispositivo de destino.

        Fluxo de trabalho de desinstalação da licença

        Para obter informações sobre como obter o arquivo de desinstalação, consulte "Obtenção de um arquivo de desinstalação". Para obter mais informações sobre a desinstalação da licença, entre em contato com o Suporte da Intelbras.

        Recuperação de um arquivo de ativação

        Se você excluir por engano um arquivo de ativação, use o procedimento a seguir para recuperar o arquivo de ativação:

        • Use o comando copy para copiar o arquivo de ativação de backup para a pasta de licenças no diretório raiz da mídia de armazenamento.
        • Use o comando display license para verificar se o estado do arquivo de ativação recuperado é Em uso
        • Reinicie o dispositivo se o estado da licença for Em uso, mas o recurso licenciado não puder funcionar corretamente.

        Comandos de exibição e manutenção para gerenciamento de licenças

        Executar comandos de exibição em qualquer visualização.

        Tarefa Comando
        Exibir informações detalhadas sobre a licença. display license [ activation-file ] [ slot slot-number ]
        Exibir as informações de SN e DID. display license device-id slot slot-number
        Exibir informações breves sobre a licença do recurso. display license feature