之前部署了一个虚拟防火墙,后面预计会出一个V7防火墙配置的系列专题。我一直在跟设备打交道,操作变更后都是要写入到配置文件的,简单操作也会花样出现问题,在此先介绍一下设备配置相关的基本操作。
本文中所用测试设备:F1060(R9313P11)、F1070(R9313P18)、HCL F1060(Alpha 7164)
保存配置
最常用的操作之一,无论做什么变更,都要执行保存命令,用于将运行配置写入到配置文件中。如果没有及时保存配置,会导致保存配置和运行配置不一致,正常情况下设备运行不受影响,但是一旦设备发生异常,如断电重启等情况,会导致设备以保存配置启动运行,对于两份配置中的差异配置,则会丢失,有可能影响关键业务。类似的问题处理了得有几百起了。
1、首次保存配置
适用于设备空配置运行,首次保存配置的场景。操作简单,一条save命令,一次y确认,再加一个回车,齐活!
2、非初次保存配置
适用于已经执行过保存命令,并且设备存在配置文件的场景。相比于首次保存配置,操作中多了确认环节,回车之后还要确认是否覆盖写入到配置文件中,一般都是y;否则选择n就是取消保存,那就没有意义了。
3、强制保存配置,无需提醒
强制保存简单粗暴,就像命令字面含义一样,save force,一招解决战斗。相比于前两钟操作来讲,效率最高,是我最喜欢的保存方式,也是脚本中最常用的保存命令。需要注意的是V3版本设备以及一些老版本V5不支持此命令。
配置回滚
有时做了变更之后发现配置错误了,一般是一条条进行修改,删除变更的配置。其实V7设备还有一个配置回滚的功能,可以直接将当前配置进行替换,非常快,具体操作如下:
<1060>dir Directory of flash: 11 -rw- 6837 Apr 28 2017 9:46:21 start.cfg //设备名称 1060 13 -rw- 6839 Apr 28 2017 09:45:10 startup.cfg //设备名称 F_1060 [1060]configuration replace file startup.cfg Current configuration will be lost, save current configuration? [Y/N]:n Now replacing the current configuration. Please wait ... Succeeded in replacing current configuration with the file startup.cfg. [F_1060]
几秒钟就完成了配置的切换,相比于替换启动配置文件,省去了重启设备的操作,效率更高!
PS:恢复配置时,如果要立即恢复配置,可以采用配置回滚方式。假定要恢复的文件为startup-bak.cfg,配置回滚操作如下:
[Sysname]configuration replace file tartup-bak.cfg
如果要更改下次启动时的配置文件,可以使用如下命令:
<Sysname> startup saved-configuration startup-bak.cfg main
设置是否成功,可以通过display starup命令进行查看。
恢复出厂配置
我们常用的恢复设备出厂配置的方法有三种,但是由于安全产品特性有所不同,在实际应用时效果也有所不一样,四种操作方式具体情况对比如下:
1、通过web页面选择恢复出厂配置
设备运行过程中,在“系统”→“维护”→“系统设置”→“配置文件”中,点击“恢复出厂设置”即可恢复出厂设置。设备配置恢复到出厂之后,设备仍然带有管理口地址,能够通过接口G1/0/0的192.168.0.1/24的地址进行管理,端口仍在安全域中;
2、在BootRom中选择恢复出厂配置
设备启动过程中按Ctrl+B进入BootRom,选择Restore to Factory Default Configuration(需要先关闭password-recovery功能),将设备配置恢复到出厂。此时和方法1效果相似,配置中仍然带有管理口地址,能够通过接口G1/0/0的192.168.0.1/24的地址进行管理,端口在安全域中;
3、在BootRom中选择跳过当前配置
设备启动过程中按Ctrl+B进入BootRom,选择Skip Current System Configuration使用跳过当前配置启动。启动之后设备为空配置,启动之后设备配置不同于出厂配置,设备配置中没有端接口加入到management安全域,接口也没有IP地址,没有本地用户,需要手工配置;
4、命令行中恢复出厂配置
无论设备是在空配置启动之后,还是正常运行过程中,保存当前配置,之后再reset saved-configuration,重启设备。设备启动时以出厂配置启动,能够通过G1/0/0的192.168.0.1/24的地址进行管理。查看当前配置文件,可以看到启动配置为NULL;
<H3C>dis startup MainBoard: Current startup saved-configuration file: NULL Next main startup saved-configuration file: NULL Next backup startup saved-configuration file: NULL
所以在进入BootRom清空配置时需要注意,如果因为使能password-recovery功能不能恢复出厂配置,需要使用跳过当前配置启动的,需要手动配置管理安全域接口。
