许多工作在Cisco IOS之上的网络管理员从未费心去考虑过他们正在使用的权限等级或这些等级的意义。然而,Cisco IOS实际上十六种不同的权限等级。David Davis论述了这些不同的等级并且向你介绍在配置这些权限时需要用到的主要命令。
你知道为什么Cisco IOS用不同的命令提供了16种权限等级?许多工作在Cisco IOS环境中的网络管理员从未费心去考虑过他们正在使用权限等级或这些等级的意义。
当在Cisco IOS中进入不同的权限等级时,你的权限等级越高,你在路由器中能进行的操作就越多。但是Cisco路由器的多数用户只熟悉两个权限等级:
用户EXEC模式-权限等级1
特权EXEC模式-权限等级15
当你在缺省配置下登录到Cisco路由器,你是在用户EXEC模式(等级1)下。在这个模式中,你可以查看路由器的某些信息,例如接口状态,而且你可以查看路由表中的路由。然而,你不能做任何修改或查看运行的配置文件。
由于这些限制,Cisco路由器的多数用户马上输入enable以退出用户EXEC模式。默认情况下,输入enable会进入等级15,也就是特权EXEC模式。在Cisco IOS当中,这个等级相当于在UNIX拥有root权限或者在Windows中拥有管理员权限。换句话说,你可以对路由器进行全面控制。
因为网络只是由少数人维护,他们每个人通常都有进入特权模式的口令。但是在某些情况下,那些小型或中型公司会进一步增长,而权限问题会变得更加复杂。
许多时候,当有一个支持小组或不需要在路由器上进行过多访问的缺乏经验的管理员时问题就出现了。或许他们只是需要连接到路由器以查看运行配置或重新设置接口。
在这种情况下,这些人会需要介于等级1到等级15之间的某个等级进行操作。请记住最小权限原则:只赋予必需的最少的访问权限。
有很多可行的配置IOS用户和权限的方法,我无法在一篇文章中详细描述每一种方法。所以,我们将关注你在配置权限时用到的基本命令。
Show privilege:这个命令显示目前的权限。这里给出一个例子:
router# show privilege
Current privilege level is 3
Enable:管理员通常使用这个命令以进入特权EXEC模式。然而,它也可以带你进入任何特权模式。这里给出一个例子:
router# show privilege
Current privilege level is 3
router# enable 1
router> show privilege
Current privilege level is 1
router>
User:这个命令不仅可以设定用户,它还可以告诉IOS,用户在登录的时候将拥有何种权限等级。这里给出一个例子:
router(config)# username test password test privilege 3
Privilege:这个命令设定某些命令只在某个等级才能用。这里给出一个例子:
router(config)# enable secret level 5 level5pass
Enable secret:默认情况下,这个命令创建一个进入特权模式15的口令。然而,你也可以用它创建进入其他你可以创建的特权模式的口令。
让我们考察一个例子。假设你想创建一个维护用户,他可以登录到路由器并且查看启动信息(以及等级1的其他任何信息)。你将输入的命令可能是:
router(config)# user support privilege 3 password support
router(config)# privilege exec level 3 show startup-config
需要注意的是并不需要enable secret命令,除非你想让以等级1登录进来的用户为了能提升到等级3而使用口令。在我们的例子中,新用户(维护)已经处在等级3而且无需额外的enable secret口令来登录。
除此之外,需要注意的是这个配置假设你已经拥有一个配置好的使用用户名和口令的路由器,该例子还假设你已经为等级15定义了enable secret命令,你有一个拥有等级15的超级用户,而且你已经在超级用户权限下保存了启动配置文件。
4 CTM的HA系统的组成模块
Cisco Transport Manager(CTM)做为Cisco公司光传输网络的电信级网元管理和子网管理系统,运行在标准的开放式Unix系统平台:Sun Solaris8,具有非常高的单系统可靠性。管理系统包含的所有软件模块,如CTM服务器模块,CTM客户机模块,后台Oracle8i数据库模块,集成接口CTM Gateway/CORBA模块互相独立工作,多个模块既可以安装在一台服务器上,也可以分布式地安装在多台服务器上,模块间通过标准的通信接口进行互联。这种分布式的模块化体系结构确保了CTM管理系统本身的强壮性和易维护性。
做为电信运营商最有价值的网络基础设施之一,光传输网络规模巨大且系统复杂,所以非常依赖于网元管理系统和子网管理系统对网络进行控管。Cisco公司在规划设计其光传输网络整体方案时,非常重视网络管理子系统的开发,专门为CTM管理系统设计开发了一套多系统容余备份的高可用方案。使CTM在确保单系统高可靠性的基础上还支持本地双机备份工作模式和异地双机备份工作模式,避免了由不可预测原因造成的单一硬/软件故障可能导致的管理系统失效,在最大程度上保证了CTM管理系统具有最高等级的高可用性,非常适合在电信运营商环境下采用。
CTM多系统容余备份的高可用(HA)方案是Cisco公司联合多个处于业界领先地位的硬/软件合作伙伴--Sun公司,Oracle公司和VERITAS公司,共同开发完成的。可以实现在全系统中不存在任何一个单点失败点,使全系统在出现一个软件或硬件故障时能实现网元管理和子网管理的连续可用。
Cisco公司CTM HA方案的特点为:
- 支持本地系统备份和异地系统备份功能
- 系统配置极为强壮
- 使宕机时间最小化,符合电信级高可靠性要求
- 降低管理系统数据库信息被破坏的风险
- 容余系统模块预防单点硬/软件故障
- 低拥有成本
- 保护任务关键型光传输网络管理系统平台的正常运行
- 出现故障时通过CTM 智能HA代理自动恢复
- 降低故障造成的营业损失,减少对业务造成的破坏
- CTM HA解决方案由业界最出色厂家的产品组成:VERITAS, Oracle和Sun
下面对CTM HA本地和异地系统备份方案分别进行详细介绍。
4.1 CTM HA本地系统备份方案
4.1.1 本地HA方案的系统配置
CTM HA本地系统备份方案由安装在同一个网管中心的一组两台1:1互为备份,可自动切换工作的CTM管理系统组成。每台CTM管理系统除安装标准的CTM服务器软件、Oracle8i后台数据库等软件外还需要安装CTM智能HA代理软件和VERITAS公司开发的双机系统/数据库备份软件。具体需新增的软件清单如下:
- CTM HA Agent 2.1
- VERITAS Foundation Suite HA, Solaris, V3.5
- VERITAS Cluster Server Oracle8i Agent V2.0.1
注:由于一套CTM HA系统中同时只有一台CTM管理服务器为主用系统,所以每套HA系统只需配置一份CTM软件和一份CTM HA Agent 2.0软件;但其它第三方软件,如Oracle8i数据库软件和VERITAS双机备份软件,每台服务器都需要配置一份,并需要保证软件版本和配置的完全相。
为配合CTM HA系统的正常工作,每套系统中安装CTM软件的两台Sun服务器的硬件和操作系统配置需要保持完全相同。为实现服务器间工作状态的相互检测,还需要在两台Sun服务器间配置两条容余备份工作的交叉直连100BASE-T以太网“心跳”检测线,两条“心跳”检测线分别连接到Sun服务器中加配的两块以太网卡,并分别配置独立的IP地址。为提高安装CTM系统的Sun服务器本身的可用性,还可以考虑采取为Sun服务器配置镜像工作的操作系统硬盘、支持RAID5保护的外置磁盘阵列、N+1保护的电源、容余备份的网卡等措施。
#p#下图为CTM本地HA方案的系统结构图:
4.1.2 本地HA方案的工作方式
当CTM智能HA代理检测到一个软件故障出现时,它会对出现故障的软件进程进行三次修复,如果故障还不能恢复,CTM的智能HA代理会控制主用管理系统自动切换到备份管理系统服务器;当CTM智能HA代理检测到一个严重的硬件故障时,它不会对故障采取任何修复操作,将直接启动系统切换。在CTM管理系统切换到备用管理服务器之前,智能HA代理将关闭主用服务器中的所有的激活进程,并按顺序启动备用服务器中所有需要的服务进程,整个过程大致需要5分钟时间。
在CTM管理系统出现自动切换后,新的主用CTM管理系统会自动与网络中的Cisco ONS 15000系列光传输设备进行连接,同步网元设备中的管理数据和告警信息,确保在系统切换过程中出现的告警信息不丢失。同时CTM客户机软件和上层OSS系统也可以与新的主用CTM管理服务器进行连接,恢复所有网元管理和子网管理相关的操作。
4.1.3 虚拟IP地址
在安装/配置CTM HA方案时,需要为两台主备用的CTM管理服务器配置一个虚拟的IP地址。网络中所有CTM客户机,上层OSS系统和光传输网元设备都通过这个虚拟IP地址与主用的CTM管理服务器进行通信,而各CTM管理服务器上的真实IP地址将被隐藏。当出现主用CTM管理服务器切换到备用CTM管理服务器的情况时,备用管理服务器不但能接管主用服务器的所有职能,还将接管这个虚拟IP地址用于与被管理网元设备和其它管理模块进行通信且切换发生后所有通信连接都将自动恢复。
4.2 CTM HA异地系统备份方案
4.2.1 异地HA方案的系统配置
CTM异地HA方案是在本地HA方案的基础上发展起来的,除保留原有本地HA方案中的所有硬软件要求外,通过增加配置VERITAS公司开发的异地系统/数据库备份模块实现不同管理中心的CTM管理系统间1:1的容余备份。在不同管理中心的CTM管理系统既可以是单机系统,也可以是已经实现了本地HA方案的容余系统。
为实现CTM管理系统异地HA方案,需要在异地间互为容余备份的每台CTM管理服务器中配置下列相关控制软件:
- CTM HA Agent 2.1
- VERITAS Global Cluster Manager, Solaris, Disaster Recovery Option V3.5
- VERITAS Volume Replicator, Solaris, V3.5
- VERITAS Foundation Suite HA, Solaris, V3.5
- VERITAS Cluster Server Oracle8i Agent V2.0.1
注:由于一套CTM 异地HA系统中同时只有一台CTM管理服务器为主用系统,所以每套HA系统只需配置一份CTM软件和一份CTM HA Agent 2.0软件;但其它第三方软件,如Oracle8i数据库软件和VERITAS双机备份软件,每台服务器都需要配置一份,并需要保证软件版本和配置的完全相同。
在异地的两套主备用CTM管理系统间进行的管理信息同步和数据库复制是通过VERITAS Volume Replicator软件建立的一个TCP通道(RLINK)实现的。
下图为CTM异地HA方案的系统结构图,其中每个异地节点均为一套实施了本地HA保护的双机系统:
