华为AR系列路由器作为企业级网络设备,广泛应用于各类复杂网络场景,其命令行界面(CLI)提供了丰富的配置选项,涵盖路由、安全、服务、管理等多个维度,以下从基础配置、路由协议、安全策略、服务功能及管理维护五个方面,详细解析华为AR路由器的常用命令及操作逻辑。
基础配置命令
基础配置是路由器入网的前提,主要包括设备名称、接口IP、用户权限等核心参数,进入系统视图命令system-view,所有全局配置均需在此视图下执行,设置设备名称使用命令sysname RouterA,其中RouterA为自定义名称,配置管理接口(通常为GE0/0/0)的IP地址时,需先进入接口视图interface GigabitEthernet 0/0/0,然后使用ip address 192.168.1.1 24配置IP及子网掩码,开启接口状态undo shutdown,对于Telnet/SSH远程管理,需创建用户并分配权限,例如local-user admin password cipher Admin@123设置密码,local-user admin privilege level 15赋予最高权限,local-user admin service-type telnet ssh启用服务类型,最后在用户视图user-interface vty 0 4下配置协议模式protocol inbound ssh。
路由协议配置
动态路由协议中,OSPF和BGP是华为AR路由器最常用的协议,配置OSPF时,先在系统视图下启用协议ospf 1,进入OSPF视图后使用area 0定义区域,在接口视图下执行ospf enable area 0将接口宣告到区域0,若需发布默认路由,可使用命令default-route-advertise,对于BGP配置,需先进入BGP视图bgp 65001(65001为AS号),使用peer 10.1.1.2 as-number 65002建立对等体关系,network 192.168.2.0 24发布直连网段,若需控制路由属性,可通过peer 10.1.1.2 route-policy EXPORT permit应用路由策略,静态路由配置相对简单,在接口视图下使用ip route-static 0.0.0.0 0.0.0.0 10.1.1.2配置默认静态路由,或ip route-static 172.16.0.0 16 10.1.1.3配置特定网段静态路由。
安全策略配置
安全是网络运维的核心,华为AR路由器通过ACL(访问控制列表)和防火墙策略实现访问控制,标准ACL基于源地址过滤,例如acl number 2000创建ACL 2000,rule 5 permit source 192.168.1.0 0.0.0.255允许192.168.1.0/24网段访问,rule 10 deny拒绝其他流量,高级ACL支持更复杂的条件匹配,如acl number 3000后,可通过rule 5 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq 80仅允许10.1.1.0/24网段访问HTTP服务,应用ACL时,需在接口视图下执行traffic-filter inbound acl 2000( inbound为入向,outbound为出向),防火墙策略配置需先启用firewall packet-filter default permit,然后定义策略security-policy,例如name WEB-ACCESS,source-zone trust,destination-zone untrust,action permit,并关联service http https。
服务功能配置
NAT(网络地址转换)是解决IP地址不足的关键技术,配置Easy IP时,在出向接口视图下执行nat outbound 2000,将ACL 2000定义的内部地址转换为该接口的公网IP,若需配置PAT(端口多路复用),可使用nat address-group 1 202.96.1.1 202.96.1.10定义地址池,nat outbound 2000 address-group 1关联地址池,DHCP服务配置需进入接口视图,使用dhcp select interface为接口所在网段分配地址,或dhcp select global使用全局地址池,并通过dhcp server excluded-address 192.168.1.1 192.168.1.10排除静态地址,VPN配置方面,IPSec VPN需定义感兴趣流量acl 3001,配置IKE对等体ike peer HQ,设置预共享密钥pre-shared-key cipher Huawei@123,再配置IPSec安全提议ipsec proposal VPN-PROPOSAL和策略ipsec policy VPN-POLICY 1 isakmp,最后在接口下应用ipsec policy VPN-POLICY。
管理维护命令
日常运维中,查看设备状态是基础操作,使用display current-configuration查看当前生效配置,display saved-configuration查看下次启动配置,display ip interface brief查看接口IP及状态,诊断网络连通性时,ping -c 4 192.168.2.1发送4个ICMP包,tracert -a 192.168.2.1跟踪路由路径,日志管理方面,通过info-center loghost 192.168.1.100将日志发送至服务器,info-center source channel 0 log level debugging设置日志级别,配置文件备份可通过ftp 192.168.1.100登录FTP服务器,使用put startup.cfg保存配置,恢复时使用get startup.cfg。
相关问答FAQs
Q1: 如何在华为AR路由器上配置DHCP服务,并排除部分静态IP地址?
A1: 配置DHCP服务需进入接口视图(如interface Vlanif10),执行dhcp select interface启用基于接口的DHCP服务,或dhcp select global使用全局地址池,若排除静态IP,需在接口视图下使用dhcp server excluded-address 192.168.10.1 192.168.10.10命令,排除的地址将不会被DHCP分配给客户端,需确保接口IP地址与DHCP地址池在同一网段,例如接口IP为192.168.10.254/24,DHCP将自动分配192.168.10.2-192.168.10.253范围内的地址(排除10.1-10.10后)。
Q2: 华为AR路由器中ACL规则未生效的可能原因及排查步骤?
A2: ACL规则未生效通常有四个原因:一是ACL未正确应用,需在接口视图下检查traffic-filter inbound/outbound acl number XXX命令是否执行;二是ACL规则顺序错误,华为AR路由器按规则序号从小到大匹配,一旦匹配即停止,需确认高精度规则是否在前;三是ACL规则动作配置错误,检查permit/deny是否与需求一致;四是接口方向配置错误,入向规则控制流入流量,出向规则控制流出流量,需根据业务场景选择正确方向,排查时可使用display acl 3000查看规则详情,display traffic-applied interface GigabitEthernet 0/0/0检查接口应用的ACL。
