国家 / 地区

01-基础配置命令参考

02-登录设备命令

本章节下载  (409.88 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Command/Command_Manual/H3C_MSR_CR(V5)-R2516-V1.16/01/201807/1093830_30005_0.htm

02-登录设备命令

目  录

1 登录设备

1.1 登录设备命令

1.1.1 acl (User interface view)

1.1.2 activation-key

1.1.3 auto-execute command

1.1.4 authentication-mode

1.1.5 command accounting

1.1.6 command authorization

1.1.7 databits

1.1.8 display ip http

1.1.9 display ip https

1.1.10 display telnet client configuration

1.1.11 display user-interface

1.1.12 display users

1.1.13 display web users

1.1.14 escape-key

1.1.15 flow-control

1.1.16 free user-interface

1.1.17 free web-users

1.1.18 history-command max-size

1.1.19 idle-timeout

1.1.20 ip alias

1.1.21 ip http acl

1.1.22 ip http enable

1.1.23 ip http port

1.1.24 ip http log-file frequency

1.1.25 ip https acl

1.1.26 ip https certificate access-control-policy

1.1.27 ip https enable

1.1.28 ip https port

1.1.29 ip https ssl-server-policy

1.1.30 lock

1.1.31 parity

1.1.32 protocol inbound

1.1.33 redirect disconnect

1.1.34 redirect enable

1.1.35 redirect listen-port

1.1.36 redirect refuse-negotiation

1.1.37 redirect refuse-teltransfer

1.1.38 redirect return-deal from-telnet

1.1.39 redirect return-deal from-terminal

1.1.40 redirect timeout

1.1.41 screen-length

1.1.42 send

1.1.43 set authentication password

1.1.44 shell

1.1.45 speed (User interface view)

1.1.46 stopbit-error intolerance

1.1.47 stopbits

1.1.48 telnet

1.1.49 telnet client source

1.1.50 telnet ipv6

1.1.51 telnet server enable

1.1.52 terminal type

1.1.53 user privilege level

1.1.54 user-interface

1.1.55 web captcha

1.1.56 web https-authorization mode

1.1.57 web idle-timeout

1.1.58 web logbuffer size

 


1 登录设备

1.1  登录设备命令

1.1.1  acl (User interface view)

【命令】

基本/高级ACL支持:

acl [ ipv6 ] acl-number { inbound | outbound }

undo acl [ ipv6 ] acl-number { inbound | outbound }

WLAN/二层ACL支持:

acl acl-number inbound

undo acl acl-number inbound

【视图】

VTY用户界面视图

【缺省级别】

2:系统级

【参数】

ipv6:支持IPv6协议,不带该参数表示支持IPv4协议。

acl-number:访问控制列表号,取值范围如下:

·     100~199:WLAN ACL编号;

·     2000~2999:基本ACL编号;

·     3000~3999:高级ACL编号;

·     4000~4999:二层ACL编号。

·     5000~5999:用户自定义ACL编号。

inbound:表示对使用该用户界面建立的Telnet或者SSH连接进行限制,当设备收到的Telnet或者SSH连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet server或SSH server时,通常使用该参数对Telnet client或SSH client进行限制。

outbound:表示对使用该用户界面建立的Telnet连接进行限制,当设备发送的Telnet连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet client时,通常使用该参数对可以访问的Telnet server进行限制。

【描述】

acl命令用来引用访问控制列表(ACL),对当前用户界面的使用权限进行限制。undo acl命令用来取消指定ACL对用户界面的使用权限的限制。(ACL的相关内容可参考“ACL和QoS配置指导”中的“ACL”。)

缺省情况下,系统不对用户界面的使用权限进行限制。

·     如果VTY用户界面下没有配置ACL,则使用该用户界面建立Telnet或者SSH连接时不进行限制;

·     如果VTY用户界面下配置了ACL,则只有匹配上permit规则的允许建立连接。

需要注意的是,系统将带outbound参数的基本/高级ACL、带inbound参数的基本/高级ACL、WLAN ACL、二层ACL看成是四种不同类型的ACL,在同一个VTY用户界面下,不同类型的ACL可以共存,如果同时配置了不同类型的ACL,则匹配的顺序由先到后为WLAN ACL、基本/高级ACL、二层ACL;相同类型的ACL只能配置一条,以最新的配置为准。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

参数

描述

MSR800

acl

acl-number

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 900

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR900-E

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 930

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20-1X

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20

MSR 30

MSR 50

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MPU-G2不支持WLAN ACL

MSR 2600

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR3600-51F

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

 

【举例】

# 当使用Telnet或者SSH方式访问设备时,只允许IP地址为192.168.1.26的用户访问,不允许其它IP地址的用户使用该界面进行访问。

<Sysname> system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 192.168.1.26 0

[Sysname-acl-basic-2001] quit

[Sysname] user-interface vty 0

[Sysname-ui-vty0] acl 2001 inbound

当UserA(IP地址为192.168.1.26)Telnet到设备时,可以连接成功;当UserB(IP地址为192.168.1.60)Telnet到设备时,连接建立失败,系统提示“%connection closed by remote host!”。

# 仅允许设备使用Telnet方式访问IP地址为192.168.1.41的Telnet server,不允许访问其它Telnet server。

<Sysname> system-view

[Sysname] acl number 3001

[Sysname-acl-adv-3001] rule permit tcp destination 192.168.1.41 0

[Sysname-acl-adv-3001] quit

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] acl 3001 outbound

[Sysname-ui-vty0-4] return

<Sysname>

此时执行telnet 192.168.1.46,连接建立失败:

<Sysname> telnet 192.168.1.46

%Can't access the host from this terminal!

如果执行telnet 192.168.1.41,连接建立成功:

<Sysname> telnet 192.168.1.41

Trying 192.168.1.41 ...

Press CTRL+K to abort

Connected to 192.168.1.41 ...

# 仅允许SSID为Admin的无线用户使用用户界面VTY 0访问设备。

<Sysname> system-view

[Sysname] acl number 100

[Sysname-acl-wlan-100] rule permit ssid Admin

[Sysname-acl-wlan-100] quit

[Sysname] user-interface vty 0

[Sysname-ui-vty0] acl 100 inbound

1.1.2  activation-key

【命令】

activation-key character

undo activation-key

【视图】

用户界面视图

【缺省级别】

3:管理级

【参数】

character:定义启动终端会话的快捷键,可以是字符或者字符对应的ASCII码值(0~127)。如果输入1~3个字符的字符串,则只有第一个字符生效。比如,设置时使用的参数是ASCII码值97,系统会将快捷键设置成<a>;如果设置时使用的参数是字符串b@c,系统会将快捷键设置成<b>。

【描述】

activation-key命令用来配置启动终端会话的快捷键。undo activation-key命令用来恢复缺省情况。

缺省情况下,按<Enter>键启动终端会话。

如果使用activation-key命令设置了别的快捷键,则新的快捷键将代替<Enter>键来启动终端会话,新设置的快捷键可以使用display current-configuration | include activation-key命令查看。

VTY用户界面不支持该命令。

 

【举例】

# 指定启动Console口终端会话的快捷键为<s>。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0] activation-key s

验证过程如下:

·     退出console口终端会话。

[Sysname-ui-console0] return

<Sysname> quit

·     重新使用Console口登录设备,能看到如下显示信息。

******************************************************************************

* Copyright (c) 2004-2009 New H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

User interface con0 is available.

 

 

 

Please press ENTER.

·     此时,<ENTER>键失效,需要按<s>键才能出现用户视图提示符,启动Console口终端会话。

<Sysname>

%Mar  2 18:40:27:981 2005 Sysname SHELL/5/LOGIN: Console login from con0

1.1.3  auto-execute command

【命令】

auto-execute command command

undo auto-execute command

【视图】

用户界面视图

【缺省级别】

3:管理级

【参数】

command:需要自动执行的某条命令。

【描述】

auto-execute command命令用来设置自动执行命令。undo auto-execute command命令用来取消自动执行命令。

缺省情况下,未设定自动执行命令。

·     Console用户界面不支持该命令。

·     如果设备上只有一个AUX口,没有Console口(Console口和AUX口共用),则此AUX用户界面也不支持该命令。

用户在登录时自动执行用auto-execute command配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。

该命令通常的用法是:在设备的用户界面视图下执行auto-execute command telnet,使用户通过该用户界面登录设备时能自动连接到指定的主机。用户断开与指定主机的连接后,用户与该设备的连接也会自动断开。

·     在配置auto-execute command命令之前,要确保可以通过其他方式登录系统,以便出现问题后,能删除该配置。

·     执行auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用。

 

【举例】

# 配置用户从VTY0登录后,自动Telnet到IP地址为192.168.1.41的设备。

<Sysname> system-view

[Sysname] user-interface vty 0

[Sysname -ui-vty0] auto-execute command telnet 192.168.1.41

% This action will lead to configuration failure through ui-vty0. Are you sure?

[Y/N]:y

[Sysname-ui-vty0]

结果验证:

重新Telnet登录到设备(IP地址为192.168.1.40)时,设备会自动执行telnet 192.168.1.41命令,在Telnet客户端会看到以下显示信息。

C:\> telnet 192.168.1.40

******************************************************************************

* Copyright (c) 2004-2010 New H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<Sysname>

Trying 192.168.1.41 ...

Press CTRL+K to abort

Connected to 192.168.1.41 ...

******************************************************************************

* Copyright (c) 2004-2010 New H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<Sysname.41>

此时相当于用户直接登录了192.168.1.41设备。如果用户断开与192.168.1.41的Telnet连接,用户与192.168.1.40设备的Telnet连接也会同时自动断开。

1.1.4  authentication-mode

【命令】

authentication-mode { none | password | scheme }

undo authentication-mode

【视图】

用户界面视图

【缺省级别】

3:管理级

【参数】

none:设置不进行认证,该参数在FIPS模式下不可用。

password:指定进行本地密码认证方式,该参数在FIPS模式下不可用。

scheme:指定进行AAA认证方式。AAA的相关内容请参见“安全配置指导”中的“AAA”。

【描述】

authentication-mode命令用来设置用户使用当前用户界面登录设备时的认证方式。undo authentication-mode命令用来恢复缺省情况。

使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console、TTY用户界面登录的用户不需要认证。

需要注意的是,在FIPS模式下必须指定用户的认证方式为scheme

相关配置可参考命令set authentication password

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 设置用户使用VTY 0用户界面登录设备时,不需要认证。(注意:该方式存在安全隐患。)

<Sysname> system-view

[Sysname] user-interface vty 0

[Sysname-ui-vty0] authentication-mode none

# 设置用户使用VTY 0用户界面登录设备时,需要密码认证,认证密码为321。

<Sysname> system-view

[Sysname] user-interface vty 0

[Sysname-ui-vty0] authentication-mode password

[Sysname-ui-vty0] set authentication password simple 321

# 设置用户使用VTY 0用户界面登录设备时,需要用户名和密码认证,用户名为123,认证密码为321。

<Sysname> system-view

[Sysname] user-interface vty 0

[Sysname-ui-vty0] authentication-mode scheme

[Sysname-ui-vty0] quit

[Sysname] local-user 123

[Sysname-luser-123] password simple 321

[Sysname-luser-123] service-type telnet

[Sysname-luser-123] authorization-attribute level 3

1.1.5  command accounting

【命令】

command accounting

undo command accounting

【视图】

用户界面视图

【缺省级别】

3:管理级

【参数】

【描述】

command accounting命令用来使能命令行计费功能。undo command accounting命令用来恢复缺省情况。

缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行。

command accounting命令执行成功后,如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。

【举例】

# 设置用户使用VTY 0用户界面登录设备时,执行的命令需要在HWTACACS服务器上做记录。

<Sysname> system-view

[Sysname] user-interface vty 0

[Sysname-ui-vty0] command accounting

1.1.6  command authorization

【命令】

command authorization

undo command authorization

【视图】

用户界面视图

【缺省级别】

3:管理级

【参数】

【描述】

command authorization命令用来使能命令行授权功能。undo command authorization命令用来恢复缺省情况。

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要服务器授权。

使能命令行授权功能后,使用该用户界面登录的用户只能执行服务器授权的命令,服务器没有授权的命令不能执行。

【举例】

# 设置用户使用VTY 0用户界面登录设备时,需要服务器授权才能执行命令。

<Sysname> system-view

[Sysname] user-interface vty 0

[Sysname-ui-vty0] command authorization

1.1.7  databits

【命令】

databits { 5 | 6 | 7 | 8 }

undo databits

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

5:数据位为5位,即使用5个比特来表示一个字符。

6:数据位为6位,即使用6个比特来表示一个字符。

7:数据位为7位,即使用7个比特来表示一个字符。

8:数据位为8位,即使用8个比特来表示一个字符。

【描述】

databits命令用来设置数据位的个数。undo databits命令用来恢复缺省的数据位。

缺省情况下,用户界面的数据位为8位。

·     本命令只对异步串口(包括AUX、Console口)有效。

·     访问终端和设备相应用户界面下数据位的设置必须一致,双方才能正常通信。

 

【举例】

# 设置数据位为5位。

<Sysname> system-view

[Sysname] user-interface aux 0

[Sysname-ui-aux0] databits 5

1.1.8  display ip http

【命令】

display ip http [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ip http命令用来显示HTTP的状态信息。

需要注意的是,本命令在FIPS模式下不可用。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 显示HTTP的状态信息。

<Sysname> display ip http

HTTP port: 80

WLAN ACL: 100

Basic ACL: 2222

Current connection: 0

Operation status: Running

表1-1 display ip http命令显示信息描述表

字段

描述

HTTP port

HTTP服务使用的端口号

WLAN ACL

与HTTP服务关联的WLAN访问控制列表号

Basic ACL

与HTTP服务关联的基本访问控制列表号

Current connection

当前连接数

Operation status

操作状态,取值为:

·     Running:表示HTTP服务处于开启状态

·     Stopped:表示HTTP服务处于关闭状态

 

1.1.9  display ip https

【命令】

display ip https [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ip https命令用来显示HTTPS的状态信息。

【举例】

# 显示HTTPS的状态信息。

<Sysname> display ip https

HTTPS port: 443

SSL server policy: test

Certificate access-control-policy:

WLAN ACL: 100

Basic ACL: 2222

Current connection: 0

Operation status: Running

表1-2 display ip https命令显示信息描述表

字段

描述

HTTPS port

HTTPS服务使用的端口号

SSL server policy

与HTTPS服务关联的SSL服务器端策略

Certificate access-control-policy

与HTTPS服务关联的证书属性访问控制策略

WLAN ACL

与HTTPS服务关联的WLAN访问控制列表号

Basic ACL

与HTTPS服务关联的基本访问控制列表号

Current connection

当前连接数

Operation status

操作状态,取值为:

·     Running:表示HTTPS服务处于开启状态

·     Stopped:表示HTTPS服务处于关闭状态

 

1.1.10  display telnet client configuration

【命令】

display telnet client configuration [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display telnet client configuration命令用来显示设备作为Telnet客户端的相关配置信息。

目前该命令显示的是Telnet客户端源IPv4地址或源接口的配置信息。

需要注意的是,本命令在FIPS模式下不可用。

相关配置可参考telnet client source命令。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 显示设备作为Telnet客户端的相关配置信息。

<Sysname> display telnet client configuration

 The source IP address is 1.1.1.1.

以上显示信息表示设备作为Telnet客户端时,发送Telnet报文的源IPv4地址为1.1.1.1。

1.1.11  display user-interface

【命令】

display user-interface [ num1 | { aux | console | tty | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

num1:用户界面的编号(绝对编号方式),一般从0开始。

aux:AUX用户界面。

console:Console用户界面。

tty:TTY用户界面。

vty:VTY用户界面。

num2:用户界面的编号(相对编号方式)。

summary:显示用户界面的摘要信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display user-interface命令用来显示用户界面的相关信息。

·     不输入关键字summary,将显示用户界面类型、绝对/相对编号、传输速率、从该用户界面登录可以访问的命令级别、认证方式及接入接口。

·     输入关键字summary,将显示正在使用和未使用的用户界面数目和类型。

【举例】

# 显示用户界面0的相关信息。

<Sysname> display user-interface 0

  Idx  Type     Tx/Rx      Modem Privi Auth  Int

+ 0    CON 0    9600       -     3     N     -

 

  +    : Current user-interface is active.

  F    : Current user-interface is active and work in async mode.

  Idx  : Absolute index of user-interface.

  Type : Type and relative index of user-interface.

  Privi: The privilege of user-interface.

  Auth : The authentication mode of user-interface.

  Int  : The physical location of UIs.

  A    : Authentication use AAA.

  L    : Authentication use local database.

  N    : Current UI need not authentication.

  P    : Authentication use current UI's password.

表1-3 display user-interface命令显示信息描述表

字段

描述

+

表示当前正在使用的用户界面

F

表示当前正在使用的用户界面,且工作在异步方式

Idx

用户界面的绝对编号

Type

用户界面的类型及相对编号

Tx/Rx

用户界面的速率

Modem

Modem的呼入/呼出开关,取值有in(允许呼入)、out(允许呼出)、inout(允许呼入呼出)、缺省显示“-”(表示没有配置)

Privi

从该用户界面登录可以访问的命令级别

Auth

使用该用户界面登录的用户的认证方式,取值有A、L、N和P四种方式

Int

用户界面的物理位置,用用户界面对应的物理接口的简称表示(只有TTY用户界面会显示具体的接口信息,Console、AUX 和VTY用户界面均显示”-”)

A

表示使用AAA认证方式,对应的authentication-modescheme

L

表示使用本地认证方式(目前暂时不支持)

N

表示无需认证,对应的authentication-modenone

P

表示使用当前用户界面的密码进行认证,对应的authentication-modepassword

 

# 显示所有用户界面的摘要信息。

<Sysname> display user-interface summary

  User interface type : [CON]

            0:X

  User interface type : [TTY]

            1:XXXX XXXX XXXX XXXX

           17:XXXX XXXX XXXX XXXX

           33:XXXX XXXX XXXX XXXX

           49:XXXX XXXX XXXX XXXX

           65:XXXX XXXX XXXX XXXX

  User interface type : [AUX]

           81:X

  User interface type : [VTY]

           82:XUXU U

 

    3 character mode users.      (U)

   83 UI never used.             (X)

    3 total UI in use 

表1-4 display user-interface summary命令显示信息描述表

字段

描述

User interface type

用户界面类型(CON/TTY/AUX/VTY)

0:X

0表示用户界面的绝对编号,X表示当前没有用户使用该用户界面(U表示当前有用户使用该用户界面)。比如“82:XUXU U”表示该行第一个用户界面的绝对编号是82,没有用户使用;第83号用户界面,有用户使用;第84号用户界面,没有用户使用;第85、86号用户界面,有用户使用

character mode users.     (U)

当前配置用户的数量(即U字符的个数)

UI never used.             (X)

当前没有被使用的用户界面数(即X字符的个数)

total UI in use.

当前正在被使用的用户界面总数(即设备当前的用户总数)

 

1.1.12  display users

【命令】

display users [ all ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all:显示设备支持的所有用户界面的相关信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display users命令用来显示当前正在使用的用户界面的相关信息。

display users all命令用来显示设备支持的所有用户界面的相关信息。

【举例】

# 显示当前正在使用的用户界面的相关信息。

<Sysname> display users

The user application information of the user interface(s):

  Idx UI      Delay    Type Userlevel

+ 178 VTY 0   00:00:00 TEL  3

  179 VTY 1   00:02:34 TEL  3

 

Following are more details.

VTY 0   :

        Location: 192.168.1.54

VTY 1   :

        Location: 192.168.1.58

+   : Current operation user.

F   : Current operation user work in async mode.

以上显示信息表明,当前有两个用户已经登录设备,用户自己使用的是VTY 0用户界面,用户的IP地址为192.168.1.54;另一个用户使用的是VTY 1用户界面,该用户的IP地址为192.168.1.58。

表1-5 display users命令显示信息描述表

字段

描述

Idx

用户界面的绝对编号

UI

用户界面的相对编号,第一列(比如VTY)表示用户界面的类型,第二列(比如0)表示用户界面的相对编号

Delay

表明用户最近一次输入到执行display users命令时的时间间隔,格式为hh:mm:ss

Type

显示用户类型,如Telnet、SSH、PAD

Userlevel

显示用户的权限,即用户级别(0-VISIT访问,1-MONITOR监控,2-SYSTEM系统,3-MANAGE管理)

+

当前操作用户

Location

使用该用户界面登录的用户的位置信息(即用户的IP地址)

F

当前操作用户工作在异步模式

 

1.1.13  display web users

【命令】

display web users [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display web users命令用来显示当前Web用户的相关信息。

【举例】

# 显示当前Web用户的相关信息。

<Sysname> display web users

UserID    Name       Language  Level      State    LinkCount LoginTime LastTime

ab890000  admin      Chinese   Management Enable      0      14:13:46  14:14:18

表1-6 display web users显示信息描述表

字段

描述

UserID

Web用户的ID号

Name

Web用户的用户名

Language

Web用户登录时使用的语言

Level

Web用户的级别

State

Web用户的状态

LinkCount

Web用户运行的任务数量

LoginTime

Web用户的登录时间

LastTime

Web用户的最后访问时间

 

1.1.14  escape-key

【命令】

escape-key { default | character }

undo escape-key

【视图】

用户界面视图

【缺省级别】

3:管理级

【参数】

character:定义终止当前运行任务的快捷键,可以是字符对应的ASCII码值(0~127)或者为1~3个字符的字符串,但实际生效的快捷键是参数所标志的第一个字符。比如,设置时使用的参数是ASCII码值113,系统会将快捷键设置成<q>;如果设置时使用的参数是字符串q@c,系统会将快捷键设置成<q>。

default:恢复为缺省的快捷键<Ctrl+C>。

【描述】

escape-key命令用来配置终止当前运行任务(比如ping命令、telnet进程等)的快捷键。undo escape-key命令用来禁止使用该功能,即不能通过快捷键终止当前运行的任务。

缺省情况下,按<Ctrl+C>组合键终止当前运行的任务。

如果使用escape-key命令设置了别的快捷键,则新的快捷键将代替<Ctrl+C>键来终止当前运行的任务,新设置的快捷键可以使用display current-configuration命令来查看。

需要注意的是,如果在某用户界面下设置了character,当使用该用户界面登录到设备,又通过该设备telnet到别的设备,这时的character将被视为控制字符,只能用来中止当前的任务,不能作为编辑字符输入。比如,在Device A的VTY 0用户界面下指定character为e,此时,PC(超级终端)使用VTY 0界面登录设备,在PC上e可以作为编辑字符输入,也可以用e来中止Device A上正在运行的任务。如果通过Device A再telnet到Device B,则此时,PC上只能使用e来中止Device B上正在运行的任务,但不能作为编辑字符输入。所以,建议用户尽量将character指定为组合键。

【举例】

# 定义终止当前运行任务的快捷键为<a>。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0] escape-key a

验证过程如下:

# 使用ping命令检查IP地址为192.168.1.49的设备是否可达,并用-c参数指定发送ICMP回显请求报文的数目为20。

<Sysname> ping -c 20 192.168.1.49

  PING 192.168.1.49: 56  data bytes, press a to break

    Reply from 192.168.1.49: bytes=56 Sequence=1 ttl=255 time=3 ms

    Reply from 192.168.1.49: bytes=56 Sequence=2 ttl=255 time=3 ms

# 键入<a>,任务立即终止,并返回到当前视图。

  --- 192.168.1.49 ping statistics ---

    2 packet(s) transmitted

    2 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 3/3/3 ms

 

<Sysname>

1.1.15  flow-control

【命令】

flow-control { hardware | none | software }

flow-control hardware flow-control-type1 [ software flow-control-type2 ]

flow-control software flow-control-type1 [ hardware flow-control-type2 ]

undo flow-control

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

hardware:进行硬件方式的流量控制。

none:不进行流量控制。

software:进行软件方式的流量控制。

flow-control-type1flow-control-type2:表示流量控制的方向,取值为inoutin表示入方向,即本设备接受远端设备流控;out表示出方向,即本设备流控远端设备。

【描述】

flow-control命令用来配置流量控制方式。undo flow-control命令用来恢复缺省情况。

缺省情况下,独立AUX口进行硬件流控,AUX与Console合一接口或者独立Console口不进行流量控制。

流量控制分为inout两个方向,in表示本设备能够接受远端设备流控,out表示本设备能够流控远端设备。流控方式又分为hardwaresoftwarenone三种,同一个方向,只能配置一种流控方式。

·     如果要给inout方向配置相同的流控方式,请使用命令flow-control { hardware | software | none }。

·     如果要给inout方向配置不同的流控方式,请使用命令flow-control hardware flow-control-type1 [ software flow-control-type2 ]或flow-control software flow-control-type1 [ hardware flow-control-type2 ]。当不指定可选参数时,表示另一个方向的流量控制方式为none(比如配置flow-control hardware in,则系统会自动将out方向配置为无流控)。

要使流量控制生效,双方才能正常通信,本设备上inout)方向配置的流控方式和对端设备上outin)方向配置的流控方式必须相同。

本命令只对异步串口(包括AUX、Console口)有效。

 

【举例】

# 配置Console0用户界面视图下,入方向和出方向都采用软件流量控制方式。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0] flow-control software

# 配置Console0用户界面视图下,入方向采用硬件流量控制方式,出方向不进行流量控制。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0] flow-control hardware in

# 配置Console0用户界面视图下,入方向采用硬件流量控制方式,出方向采用软件流量控制方式。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0] flow-control hardware in software out

1.1.16  free user-interface

【命令】

free user-interface { num1 | { aux | console | tty | vty } num2 }

【视图】

用户视图

【缺省级别】

3:管理级

【参数】

num1:用户界面的编号(绝对编号方式),一般从0开始。

aux:AUX用户界面。

console:Console用户界面。

tty:TTY用户界面。

vty:VTY用户界面。

num2:用户界面的编号(相对编号方式)。

【描述】

free user-interface命令用来释放指定用户界面上建立的连接。

需要注意的是,用户不能使用该命令释放自己的连接。

【举例】

# 释放用户界面上VTY 1建立的连接。

·     查看当前有哪些用户正在操作设备。

<Sysname> display users

The user application information of the user interface(s):

  Idx UI      Delay    Type Userlevel

+ 82  VTY 0   00:00:00 TEL  3

  83  VTY 1   00:00:03 TEL  3

Following are more details.

VTY 0   :

        Location: 192.168.1.26

VTY 1   :

        Location: 192.168.1.20

 +    : Current operation user.

 F    : Current operation user work in async mode.

·     如果VTY 1用户的操作影响到网络管理员当前的操作,将他强制下线。

<Sysname> free user-interface vty 1

Are you sure to free user-interface vty1? [Y/N]:y

1.1.17  free web-users

【命令】

free web-users { all | user-id user-id | user-name user-name }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

all:所有Web用户。

user-id:Web用户的ID号,为8位十六进制数。

user-name:Web用户的用户名,取值范围为1~80个字符。

【描述】

free web-users命令用来强制在线Web用户下线。

相关配置可参考命令display web users

【举例】

# 强制所有在线Web用户下线。

<Sysname> free web-users all

1.1.18  history-command max-size

【命令】

history-command max-size size-value

undo history-command max-size

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

size-value:历史缓冲区的容量,取值范围为0~256。

【描述】

history-command max-size命令用来设置当前用户界面历史命令缓冲区的容量。undo history-command max-size命令用来恢复缺省情况。

缺省情况下,历史命令缓冲区可存储10条历史命令。

每个用户界面对应一个历史命令缓冲区,缓冲区里保存了当前用户最近执行成功的命令,缓冲区的容量决定了可以保存的历史命令的数目。用户使用display history-command命令、上光标键↑或下光标键↓可以随时了解近期成功执行了哪些操作(display history-command命令的详细介绍请参见“基础配置命令参考”中的“CLI”)。同时登录设备的不同用户拥有不同的历史命令缓冲区,互不影响。

用户退出当前会话时,系统会自动清除相应历史命令缓冲区内保存的历史命令。

【举例】

# 设置历史命令缓冲区的容量为20。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0] history-command max-size 20

1.1.19  idle-timeout

【命令】

idle-timeout minutes [ seconds ]

undo idle-timeout

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

minutes:指定超时时间,取值范围为0~35791,单位为分钟。

seconds:指定超时时间,取值范围为0~59,单位为秒,缺省值为0秒。

【描述】

idle-timeout命令用来设置用户连接的超时时间。undo idle-timeout命令用来恢复超时时间的缺省值。

缺省情况下,超时时间为10分钟。

·     如果在超时时间段内设备和用户间没有消息交互,设备就自动断开用户连接。

·     当超时时间设置为0时,表示关闭超时断开连接的功能。

 

【举例】

# 设置超时时间为1分钟30秒。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0] idle-timeout 1 30

1.1.20  ip alias

【命令】

ip alias ip-address port-number

undo ip alias ip-address

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:与Telnet重定向监听端口映射的IP地址。该地址不能为设备上接口的地址,但可以和接口地址同一网段。

port-number:Telnet重定向的监听端口,取值范围为2000~50000

【描述】

ip alias命令用来建立Telnet重定向监听端口与IP地址的对应关系。undo ip alias命令用来恢复缺省情况。

缺省情况下,Telnet重定向监听端口与IP地址没有对应关系。

用户和设备A相连,设备A通过异步串口和设备B相连。在设备A上配置redirect enableredirect listen-port port-number后,用户就可以使用“telnet 设备A的IP地址 port-number”来登录设备B,相当于用户直接Telnet登录设备B。如果再使用ip alias ip-address port-number建立Telnet重定向监听端口与IP地址的对应关系后,用户就可以直接执行“telnet ip-address”来登录设备B。

相关配置请参考命令redirect enableredirect listen-port

【举例】

# 配置Telnet重定向监听端口2000与IP地址1.1.1.1的映射。

<Sysname> system-view

[Sysname] ip alias 1.1.1.1 2000

1.1.21  ip http acl

【命令】

同时支持WLAN ACL和基本ACL的产品:

ip http acl acl-number

undo ip http acl acl-number

只支持基本ACL的产品:

ip http acl acl-number

undo ip http acl acl-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

acl-number:ACL的编号,取值范围为:

·     100~199:WLAN ACL

·     2000~2999:基本IPv4 ACL

【描述】

ip http acl命令用来配置HTTP服务与ACL关联。undo ip http acl命令用来取消HTTP服务与ACL的关联。

缺省情况下,没有ACL与HTTP服务关联。

配置HTTP服务与ACL关联后,将只允许通过ACL过滤的客户端访问设备。

需要注意的是:

·     HTTP服务可以与WLAN ACL和基本ACL关联,且两种类型的ACL之间不会相互覆盖。但是,同种类型的ACL之间会相互覆盖,即如果重复执行ip http acl命令关联同种类型的ACL,HTTP服务将只与最后一次配置的ACL关联。

·     HTTP服务与WLAN ACL关联时,HTTP服务仅利用该ACL过滤无线客户端,不会利用该ACL过滤有线方式访问的客户端。

·     本命令在FIPS模式下不可用。

相关配置可参考命令display ip http和“ACL和QoS命令参考/ACL”中的命令acl number

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

参数

描述

MSR800

ip http acl

acl-number

2000~2999:基本IPv4 ACL

MSR 900

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

MSR900-E

2000~2999:基本IPv4 ACL

MSR 930

2000~2999:基本IPv4 ACL

MSR 20-1X

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

MSR 20

MSR 30

MSR 50

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

MPU-G2不支持WLAN ACL

MSR 2600

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

MSR3600-51F

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

 

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 配置HTTP服务与ACL 100关联,只允许SSID为user-ssid-name的无线客户端通过Web访问设备。

<Sysname> system-view

[Sysname] acl number 100

[Sysname-acl-wlan-100] rule permit ssid user-ssid-name

[Sysname-acl-wlan-100] quit

[Sysname] ip http acl 100

# 配置HTTP服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。

<Sysname> system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255

[Sysname-acl-basic-2001] quit

[Sysname] ip http acl 2001

1.1.22  ip http enable

【命令】

ip http enable

undo ip http enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

ip http enable命令用来使能HTTP服务。undo ip http enable命令用来关闭HTTP服务。

缺省情况下,设备HTTP服务状态与设备型号有关,请参见下表。

只有使能该功能后,设备才能作为HTTP服务器,允许用户通过Web功能访问和控制设备。

相关配置可参考命令display ip http

需要注意的是,本命令在FIPS模式下不可用。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

特性

描述

MSR800

HTTP服务缺省状态

开启

MSR 900

开启

MSR900-E

开启

MSR 930

开启

MSR 20-1X

开启

MSR 20

关闭

MSR 30

关闭

MSR 50

关闭

MSR 2600

开启

MSR3600-51F

关闭

 

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 使能HTTP服务。

<Sysname> system-view

[Sysname] ip http enable

# 关闭HTTP服务。

<Sysname> system-view

[Sysname] undo ip http enable

1.1.23  ip http port

【命令】

ip http port port-number

undo ip http port

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

port-number:HTTP服务的端口号,取值范围为1~65535。

【描述】

ip http port命令用来配置HTTP服务的端口号。undo ip http port命令用来恢复缺省情况。

缺省情况下,HTTP服务的端口号为80。

需要注意的是:

·     此命令不会检查配置的端口是否与已有服务使用的端口冲突,修改前必须保证该端口没有被其他服务使用。

·     此命令在FIPS模式下不可用。

相关配置可参考命令display ip http

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 配置HTTP服务的端口号为8080。

<Sysname> system-view

[Sysname] ip http port 8080

1.1.24  ip http log-file frequency

【命令】

ip http log-file frequency frequency

undo ip http log-file frequency

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

frequency:HTTP服务日志写入日志文件周期,取值范围为10~240,单位是分钟。

【描述】

ip http log-file frequency命令用来配置HTTP服务日志写入日志文件周期。undo ip http log-file frequency命令用来恢复缺省情况。

缺省情况下,HTTP服务日志写入日志文件周期为30分钟。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 配置HTTP服务日志写入日志文件周期为100分钟。

<Sysname> system-view

[Sysname] ip http log-file frequency 100

1.1.25  ip https acl

【命令】

同时支持WLAN ACL和基本ACL的产品:

ip https acl acl-number

undo ip https acl acl-number

只支持基本ACL的产品:

ip https acl acl-number

undo ip https acl acl-number

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

acl-number:ACL的编号,取值范围为:

·     100~199:WLAN ACL

·     2000~2999:基本IPv4 ACL

【描述】

ip https acl 命令用来配置HTTPS服务与ACL关联。undo ip https acl命令用来取消HTTPS服务与ACL的关联。

缺省情况下,没有ACL与HTTPS服务关联。

配置HTTPS服务与ACL关联后,将只允许通过ACL过滤的客户端访问设备。

需要注意的是:

·     HTTPS服务可以与WLAN ACL和基本ACL关联,且两种类型的ACL之间不会相互覆盖。但是,同种类型的ACL之间会相互覆盖,即如果重复执行ip https acl命令关联同种类型的ACL,HTTPS服务将只与最后一次配置的ACL关联。

·     HTTPS服务与WLAN ACL关联,HTTPS服务仅利用该ACL过滤无线客户端,不会利用该ACL过滤有线方式访问的客户端。

相关配置可参考命令display ip https和“ACL和QoS命令参考/ACL”中的命令acl number

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

参数

描述

MSR800

ip https acl

acl-number

2000~2999:基本IPv4 ACL

MSR 900

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

MSR900-E

2000~2999:基本IPv4 ACL

MSR 930

2000~2999:基本IPv4 ACL

MSR 20-1X

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

MSR 20

MSR 30

MSR 50

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

MPU-G2不支持WLAN ACL

MSR 2600

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

MSR3600-51F

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

 

【举例】

# 配置HTTPS服务与ACL 100关联,只允许SSID为user-ssid-name的无线客户端通过Web访问设备。

<Sysname> system-view

[Sysname] acl number 100

[Sysname-acl-wlan-100] rule permit ssid user-ssid-name

[Sysname-acl-wlan-100] quit

[Sysname] ip https acl 100

# 配置HTTPS服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。

<Sysname> system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255

[Sysname-acl-basic-2001] quit

[Sysname] ip https acl 2001

1.1.26  ip https certificate access-control-policy

【命令】

ip https certificate access-control-policy policy-name

undo ip https certificate access-control-policy

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

policy-name:证书属性访问控制策略名,为1~16个字符的字符串。

【描述】

ip https certificate access-control-policy命令用来配置HTTPS服务与证书属性访问控制策略关联。undo ip https certificate access-control-policy命令用来取消HTTPS服务与证书属性访问控制策略的关联。

缺省情况下,没有证书属性访问控制策略与HTTPS服务关联。

通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制。

相关配置可参考命令display ip https和“安全命令参考/PKI”中的命令pki certificate access-control-policy

【举例】

# 设置HTTPS服务使用的证书属性访问控制策略为myacl。

<Sysname> system-view

[Sysname] ip https certificate access-control-policy myacl

1.1.27  ip https enable

【命令】

ip https enable

undo ip https enable

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

【描述】

ip https enable命令用来使能HTTPS服务。undo ip https enable命令用来关闭HTTPS服务。

缺省情况下,HTTPS服务处于关闭状态。

只有使能该功能后,设备才能作为HTTPS服务器,允许用户通过Web功能访问和控制设备。

需要注意的是,使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。

相关配置可参考命令display ip https

【举例】

# 使能HTTPS服务。

<Sysname> system-view

[Sysname] ip https enable

1.1.28  ip https port

【命令】

ip https port port-number

undo ip https port

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

port-number:HTTPS服务的端口号,取值范围为1~65535。

【描述】

ip https port命令用来配置HTTPS服务的端口号。undo ip https port命令用来恢复缺省情况。

缺省情况下,HTTPS服务的端口号为443。

需要注意的是,此命令不会检查配置的端口是否与已有服务使用的端口冲突,修改前必须保证该端口没有被其他服务使用。

相关配置可参考命令display ip https

【举例】

# 配置HTTPS服务的端口号为6000。

<Sysname> system-view

[Sysname] ip https port 6000

1.1.29  ip https ssl-server-policy

【命令】

ip https ssl-server-policy policy-name

undo ip https ssl-server-policy

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

policy-name:SSL服务器端策略名,为1~16个字符的字符串。

【描述】

ip https ssl-server-policy命令用来配置HTTPS服务与SSL服务器端策略关联。undo ip https ssl-server-policy命令用来取消HTTPS服务与SSL服务器端策略的关联。

缺省情况下,没有SSL服务器端策略与HTTPS服务关联,HTTPS使用自签名证书(自签名证书指的是服务器自己生成的证书,无需从CA获取)。

需要注意的是:

·     只有此命令设置成功,才能使能HTTPS服务。

·     HTTPS服务使能后不允许修改SSL服务器端策略,也不允许取消HTTPS服务与SSL服务器端策略的关联。

相关配置可参考命令display ip https和“安全命令参考/SSL”中的命令ssl server-policy

【举例】

# 设置HTTPS服务使用的SSL服务器端策略为myssl。

<Sysname> system-view

[Sysname] ip https ssl-server-policy myssl

1.1.30  lock

【命令】

lock

【视图】

用户视图

【缺省级别】

3:管理级

【参数】

【描述】

lock命令用来锁住当前用户界面,防止未授权的用户操作该界面。

用户输入lock命令后,系统提示输入密码(密码最大长度为16个字符),并提示再次输入密码,只有两次输入的密码相同,Lock操作才能成功。之后,如果用户要再进入系统,需要按回车键,并输入刚才配置的密码后,才能结束锁定,进入系统。

需要注意的是,本命令在FIPS模式下不可用。

缺省情况下,系统不会自动锁住当前用户界面。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 锁住当前用户界面。

<Sysname> lock

Please input password<1 to 16> to lock current user terminal interface:

Password:

Again:

 

 

 

 

 

 

 

                   locked !

 

 

 

 

Password:

<Sysname>

1.1.31  parity

【命令】

parity { even | mark | none | odd | space }

undo parity

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

even:进行偶校验。

mark:进行标记校验。

none:无校验。

odd:进行奇校验。

space:进行空格校验。

【描述】

parity命令用来设置校验位的解析和生成方式。undo parity命令用来恢复缺省情况。

缺省情况下,设备校验位的校验方式为none,即不进行校验。

·     本命令只对异步串口(包括AUX、Console口)有效。

·     访问终端和设备相应用户界面下校验位的设置必须一致,双方才能正常通信。

 

【举例】

# 将AUX口传输校验位设为奇校验。

<Sysname> system-view

[Sysname] user-interface aux 0

[Sysname-ui-aux0] parity odd

1.1.32  protocol inbound

【命令】

在非FIPS模式下:

protocol inbound { all | pad | ssh | telnet }

undo protocol inbound

在FIPS模式下:

protocol inbound { all | pad | ssh }

undo protocol inbound

【视图】

VTY用户界面视图

【缺省级别】

3:管理级

【参数】

all:支持所有的协议,在非FIPS模式下包括Telnet、SSH和PAD;在FIPS模式下包括PAD和SSH。

pad:支持PAD协议。

ssh:支持SSH协议。

telnet:支持Telnet协议,该参数在FIPS模式下不可用。

【描述】

protocol inbound命令用来指定所在用户界面支持的协议。undo protocol inbound命令用来恢复缺省情况。

缺省情况下,系统支持所有协议。

配置结果将在下次登录时生效。

·     如果要配置用户界面支持SSH协议,必须先将该用户的认证方式配置为scheme,否则protocol inbound ssh命令会执行失败。相关配置可参考命令authentication-mode

·     Telnet协议的缺省认证方式是password

 

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 设置用户界面VTY 0到VTY 4只支持SSH协议。

<Sysname> system-view

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] authentication-mode scheme

[Sysname-ui-vty0-4] protocol inbound ssh

1.1.33  redirect disconnect

【命令】

redirect disconnect

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

【描述】

redirect disconnect命令用来强制断开已经建立的Telnet重定向连接。

·     目前只有AUX和TTY类型的用户界面支持本命令。

·     执行该命令前,请先执行redirect enable命令使能用户界面的重定向功能。

 

【举例】

# 强制断开已经建立的Telnet重定向连接。

<Sysname> system-view

[Sysname] user-interface tty 1

[Sysname-ui-tty1] redirect disconnect

1.1.34  redirect enable

【命令】

redirect enable

undo redirect enable

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

【描述】

redirect enable命令用来使能当前用户界面的Telnet重定向功能。undo redirect enable命令用来禁止当前用户界面的Telnet重定向功能。

缺省情况下,用户界面的Telnet重定向功能被禁止。

相关配置可参考命令telnetdisplay tcp status

·     目前只有AUX和TTY类型的用户界面支持本命令。

·     如果要使用重定向功能或配置重定向的相关参数,必须先使用该命令使能用户界面的重定向功能。

·     重定向设备与被登录设备相连端口对应的用户界面的停止位设置(stopbits)必须相同,否则重定向将失败。可以在重定向前,使用stopbit-error intolerance命令检测重定向设备与被登录设备的停止位设置是否相同。

 

【举例】

# 使能用户界面TTY 7的重定向功能。

<Sysname> system-view

[Sysname] user-interfac tty 7

[Sysname-ui-tty7] redirect enable

1.1.35  redirect listen-port

【命令】

redirect listen-port port-number

undo redirect listen-port

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

port-number:监听端口号,取值范围为2000~50000。

【描述】

redirect listen-port命令用来设置Telnet重定向的监听端口。设备只对该端口收到的数据包进行重定向。undo redirect listen-port命令用来恢复缺省的监听端口。

缺省情况下,Telnet重定向的监听端口号为用户界面的绝对编号加2000。

相关配置可参考命令ip alias

·     目前只有AUX和TTY类型的用户界面支持本命令。

·     执行该命令前,请先执行redirect enable命令使能用户界面的重定向功能。

 

【举例】

# 设置Telnet重定向的监听端口号为3000。

<Sysname> system-view

[Sysname] user-interface tty 1

[Sysname-ui-tty1] redirect listen-port 3000

1.1.36  redirect refuse-negotiation

【命令】

redirect refuse-negotiation

undo redirect refuse-negotiation

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

【描述】

redirect refuse-negotiation命令用来强制设置在建立Telnet重定向连接时不进行Telnet选项协商。undo redirect refuse-negotiation命令用来设置在建立Telnet重定向连接时进行Telnet选项协商。

缺省情况下,进行Telnet选项协商。

·     目前只有AUX和TTY类型的用户界面支持本命令。

·     执行该命令前,请先执行redirect enable命令使能用户界面的重定向功能。

 

【举例】

# 设置在建立Telnet重定向连接时不进行Telnet选项协商。

<Sysname> system-view

[Sysname] user-interface tty 1

[Sysname-ui-tty1] redirect refuse-negotiation

1.1.37  redirect refuse-teltransfer

【命令】

redirect refuse-teltransfer

undo redirect refuse-teltransfer

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

【描述】

redirect refuse-teltransfer命令用来设置在建立Telnet重定向连接时不对ACSII码0xff进行转义。undo redirect refuse-teltransfer命令用来恢复缺省情况。

缺省情况下,在建立Telnet重定向连接时会将ACSII码0xff转义为0xff 0xff。

·     Telnet重定向设备收到Telnet客户端发送的0xff字符时,会将0xff作为Telnet协议字过滤掉,从而导致0xff字符的丢失。为了保证字符能正确发送到Telnet服务器,需要在Telnet重定向设备上将0xff转义为0xff 0xff,转义后,Telnet重定向设备会过滤掉一个0xff,将另一个0xff发送给Telnet服务器,以保证0xff字符不丢失。

·     如果确定Telnet客户端不会发送0xff字符,则可以不对ACSII码0xff进行转义。

·     目前只有AUX和TTY类型的用户界面支持本命令。

·     执行该命令前,请先执行redirect enable命令使能用户界面的重定向功能。

 

【举例】

# 设置在建立Telnet重定向连接时不对ACSII码0xff进行转义。

<Sysname> system-view

[Sysname] user-interface tty 1

[Sysname-ui-tty1] redirect refuse-teltransfer

1.1.38  redirect return-deal from-telnet

【命令】

redirect return-deal from-telnet

undo redirect return-deal from-telnet

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

【描述】

redirect return-deal from-telnet命令用来设置Telnet重定向设备对从Telnet客户端接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d”。undo redirect return-deal from-telnet命令用来恢复缺省情况。

缺省情况下,设备不对从Telnet客户端接收到的回车符进行处理。

·     目前只有AUX和TTY类型的用户界面支持本命令。

·     执行该命令前,请先执行redirect enable命令使能用户界面的重定向功能。

 

【举例】

# 设置Telnet重定向设备对从Telnet客户端接收到的回车符进行处理。

<Sysname> system-view

[Sysname] user-interface tty 1

[Sysname-ui-tty1] redirect return-deal from-telnet

1.1.39  redirect return-deal from-terminal

【命令】

redirect return-deal from-terminal

undo redirect return-deal from-terminal

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

【描述】

redirect return-deal from-terminal命令用来设置当设备进行Telnet重定向时对从终端(例如从Console口连接的PC)接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d”。undo redirect return-deal from-terminal命令用来恢复缺省情况。

缺省情况下,当设备进行Telnet重定向时不会对从终端接收到的回车符进行处理,而是直接转发。

·     目前只有AUX和TTY类型的用户界面支持本命令。

·     执行该命令前,请先执行redirect enable命令使能用户界面的重定向功能。

 

【举例】

# 当设备进行Telnet重定向时对从终端接收到的回车符进行处理。

<Sysname> system-view

[Sysname] user-interface tty 1

[Sysname-ui-tty1] redirect return-deal from-terminal

1.1.40  redirect timeout

【命令】

redirect timeout time

undo redirect timeout

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

time:超时时间,取值范围为30~86400,单位为秒。

【描述】

redirect timeout命令用来设置Telnet重定向的空闲超时时间。如果在指定的时间内没有从Telnet客户端接收到数据,则断开Telnet重定向连接。undo redirect timeout命令用来设置Telnet重定向连接永远不超时。

缺省情况下,设备Telnet重定向的空闲超时时间为360秒。

·     目前只有AUX和TTY类型的用户界面支持本命令。

·     执行该命令前,请先执行redirect enable命令使能用户界面的重定向功能。

 

【举例】

# 设置Telnet重定向的空闲超时时间为200秒。

<Sysname> system-view

[Sysname] user-interface tty 1

[Sysname-ui-tty1] redirect timeout 200

1.1.41  screen-length

【命令】

screen-length screen-length

undo screen-length

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

screen-length:指定下一屏所显示的行数,取值范围为0~512,0表示一次性显示全部信息,即不进行分屏显示。

【描述】

screen-length命令用来设置下一屏所显示的行数。undo screen-length命令用来恢复缺省情况。

缺省情况下,下一屏显示24行数据。

设备支持分屏显示信息,在暂停显示时按空格键,能继续显示下一屏信息。该命令设置的是下一屏所显示的行数,但显示终端实际显示的行数由终端的规格决定。比如,设置screen-length的值为40,但显示终端的规格为24行,当暂停显示按空格键时,设备发送给显示终端的信息为40行,但当前屏幕显示的是第18~第40行的信息,前面的17行信息,需要通过<Page Up>/<Page Down>键来翻看。

该命令设置的是指定用户界面的分屏显示行数,但用户可以使用screen-length disable命令关闭当前界面的分屏显示功能。screen-length disable命令的详细介绍请参见“基础配置命令参考”中的“CLI”。

【举例】

# 设置Console用户界面下一屏显示的行数为30。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0] screen-length 30

1.1.42  send

【命令】

send { all | num1 | { aux | console | tty | vty } num2 }

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

all:所有的用户界面。

num1:用户界面的编号(绝对编号方式),一般从0开始。

aux:AUX用户界面。

console:Console用户界面。

tty:TTY用户界面。

vty:VTY用户界面。

num2:用户界面的编号(相对编号方式)。

【描述】

send命令用来向指定的用户界面发送消息。

在输入消息内容时,按<Ctrl+Z>组合键结束输入,按<Ctrl+C>组合键取消此次操作。

【举例】

# Console用户界面给自己发送消息hello abc。

<Sysname> send console 0

Enter message, end with CTRL+Z or Enter; abort with CTRL+C:

hello abc^Z

Send message? [Y/N]:y

<Sysname>

 

***

***

***Message from con0 to con0

***

hello abc

 

 

<Sysname>

# 使用VTY 0用户界面上线的用户想重启设备,为了提醒其它并行操作用户做好相应准备(比如保存当前配置),于是向其它用户界面发送消息“Note please, I will reboot the system!”。

·     VTY 0终端上的配置。

<Sysname> display users

The user application information of the user interface(s):

  Idx UI      Delay    Type Userlevel

+ 82  VTY 0   00:00:00 TEL  3

  83  VTY 1   00:00:03 TEL  3

 

Following are more details.

VTY 0   :

        Location: 192.168.1.26

VTY 1   :

        Location: 192.168.1.20

 +    : Current operation user.

 F    : Current operation user work in async mode.

// 通过以上操作可以查看当前有哪些用户正在操作设备

<Sysname> send vty 1

Enter message, end with CTRL+Z or Enter; abort with CTRL+C:

Note please, I will reboot the system in 3 minutes!^Z

Send message? [Y/N]:y

// 通过以上操作可以给VTY 1发送消息,告诉他“我将在3分钟内重启系统”,以便其他用户做好相关备份工作

·     如果有用户使用VTY 1用户界面登录,则用户的终端上将收到如下消息(该例为VTY 1正在输入interface ethernet命令的过程中收到了VTY 0的消息):

[Sysname] interface eth

 

***

***

***Message from vty0 to vty1

***

Note please, I will reboot the system in 3 minutes!

1.1.43  set authentication password

【命令】

set authentication password [ [ hash ] { cipher | simple } password ]

undo set authentication password

【视图】

用户界面视图

【缺省级别】

3:管理级

【参数】

hash:表示以哈希值的方式保存并显示设置的密码。若不指定该参数,则表示以密文的形式保存并显示设置的密码。

cipher:以密文方式设置本地认证的密码。

simple:以明文方式设置本地认证的密码。

password:设置的明文密码或密文密码,区分大小写。明文密码的长度范围是1~16;密文密码的长度范围是1~53,如果指定了hash参数,密文密码的长度范围是1~110。

【描述】

set authentication password命令用来设置本地认证的密码。undo set authentication password命令用来取消本地认证的密码。

缺省情况下,没有设置本地认证的密码。

以明文或密文方式设置的密码,均以密文方式保存在配置文件中。

需要注意的是,本命令在FIPS模式下不可用。

相关配置可参考命令authentication-mode

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 设置用户界面Console 0的本地认证密码为hello。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0] authentication-mode password

[Sysname-ui-console0] set authentication password simple hello

1.1.44  shell

【命令】

shell

undo shell

【视图】

用户界面视图

【缺省级别】

3:管理级

【参数】

【描述】

shell命令用来在当前用户界面上启动终端服务。undo shell命令用来在当前用户界面上禁止终端服务。

缺省情况下,系统在所有的用户界面上启动终端服务。

undo shell命令有以下几点限制:

·     Console口不支持该命令;

·     如果设备上只有一个AUX口,而没有Console口(Console口与AUX口共用),则此AUX口不支持该命令;

·     用户不能在自己登录的用户界面上使用该命令。

【举例】

# 在虚拟终端VTY0到VTY4上终止终端服务(用户将不能通过VTY0-4登录设备)。

<Sysname> system-view

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] undo shell

% Disable ui-vty0-4 , are you sure? [Y/N]:y

[Sysname-ui-vty0-4]

对于Telnet终端,登录后将提示:

The connection was closed by the remote host!

1.1.45  speed (User interface view)

【命令】

speed speed-value

undo speed

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

speed-value:传输速率,单位为bps。异步串口的传输速率有:300bps、600bps、1200bps、2400bps、4800bps、9600bps、19200bps、38400bps、57600bps和115200bps。设备对以上速率的支持由产品和配置时的网络环境决定。

【描述】

speed命令用来设置用户界面的传输速率。undo speed命令用来恢复缺省情况。

缺省情况下,用户界面的传输速率为9600bps。

·     本命令只对异步串口(包括AUX、Console口)有效。

·     访问终端和设备相应用户界面下传输速率的设置必须一致,双方才能正常通信。

 

【举例】

# 将用户界面AUX 0的传输速率设置为19200bps。

<Sysname> system-view

[Sysname] user-interface aux 0

[Sysname-ui-aux0] speed 19200

1.1.46  stopbit-error intolerance

【命令】

stopbit-error intolerance

undo stopbit-error intolerance

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

【描述】

stopbit-error intolerance命令用来检测停止位。undo stopbit-error intolerance命令用来恢复缺省情况。

缺省情况下,不检测停止位。

相关配置可参考命令stopbits

本命令只对异步串口(包括AUX、Console口)有效。

 

【举例】

# 设置对用户界面AUX 0检测停止位。

<Sysname> system-view

[Sysname] user-interface aux 0

[Sysname-ui-aux0] stopbit-error intolerance

1.1.47  stopbits

【命令】

stopbits { 1 | 1.5 | 2 }

undo stopbits

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

1:停止位为1个比特。

1.5:停止位为1.5个比特。

2:停止位为2个比特。

【描述】

stopbits命令用来设置停止位的个数。undo stopbits命令用来恢复缺省的用户界面停止位。

缺省情况下,停止位为1个比特。

相关配置可参考命令stopbit-error intolerance

·     本命令只对异步串口(包括AUX、Console口)有效。

·     访问终端和设备相应用户界面下停止位的设置必须一致,双方才能正常通信。

 

【举例】

# 设置AUX用户界面的停止位为1.5个比特。

<Sysname> system-view

[Sysname] user-interface aux 0

[Sysname-ui-aux0] stopbits 1.5

1.1.48  telnet

【命令】

telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ]

【视图】

用户视图

【缺省级别】

0:访问级

【参数】

remote-host:远端系统的IPv4地址或主机名,为1~20个字符的字符串,不区分大小写。

service-port:远端系统提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。

vpn-instance vpn-instance-name:指定远端系统所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示远端系统位于公网中。

source:指定Telnet报文的源接口或源IPv4地址。

interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。

ip ip-address:指定Telnet报文的源IPv4地址。

【描述】

telnet命令用于Telnet登录到远程主机,以便进行远程管理。用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。

需要注意的是:

·     本命令指定的源IPv4地址或源接口只对当前Telnet连接有效。

·     本命令在FIPS模式下不可用。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# Telnet登录到远程主机(IP地址为1.1.1.2),并指定发送Telnet报文的源IP地址为1.1.1.1。

<Sysname> telnet 1.1.1.2 source ip 1.1.1.1

1.1.49  telnet client source

【命令】

telnet client source { interface interface-type interface-number | ip ip-address }

undo telnet client source

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。

ip ip-address:指定发送Telnet报文的源IPv4地址。

【描述】

telnet client source命令用来指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口。undo telnet client source命令用来删除发送Telnet报文的源IPv4地址和源接口的配置。

缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址。

需要注意的是:

·     本命令指定的源IPv4地址或源接口对所有Telnet连接有效。

·     若同时使用本命令和telnet命令指定源IPv4地址或源接口,则以telnet命令指定的源IP地址或源接口为准。

·     本命令在FIPS模式下不可用。

相关配置可参考命令display telnet client configuration

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 设备作为Telnet客户端时,指定发送的Telnet报文的源IP地址为1.1.1.1。

<Sysname> system-view

[Sysname] telnet client source ip 1.1.1.1

1.1.50  telnet ipv6

【命令】

telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ]

【视图】

用户视图

【缺省级别】

0:访问级

【参数】

remote-host:远端系统的IPv6地址或主机名,为1~46个字符的字符串,不区分大小写。

-i interface-type interface-number:Telnet报文的出接口。interface-type interface-number为接口类型和接口编号。当目的地址是链路本地地址时,需要指定此参数。

port-number:远端系统提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。

vpn-instance vpn-instance-name:指定远端系统所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示远端系统位于公网中。

【描述】

telnet ipv6命令用于IPv6组网环境下,Telnet登录到远程主机,以便进行远程管理。用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。

需要注意的是,本命令在FIPS模式下不可用。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# Telnet登录到远程主机,IPv6地址为5000::1。

<Sysname> telnet ipv6 5000::1

1.1.51  telnet server enable

【命令】

telnet server enable

undo telnet server enable

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

【描述】

telnet server enable命令用来启动Telnet服务。undo telnet server enable命令用来关闭Telnet服务。

缺省情况下,Telnet服务处于关闭状态。

需要注意的是,本命令在FIPS模式下不可用。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 启动Telnet服务。

<Sysname> system-view

[Sysname] telnet server enable

1.1.52  terminal type

【命令】

terminal type { ansi | vt100 }

undo terminal type

【视图】

用户界面视图

【缺省级别】

2:系统级

【参数】

ansi:终端显示类型为ANSI类型。

vt100:终端显示类型为VT100类型。

【描述】

terminal type命令用来设置当前用户界面下的终端显示类型。undo terminal type命令用来恢复缺省情况。

缺省情况下,终端显示类型为ANSI。

需要注意的是,设备支持ANSI和VT100两种终端显示类型。当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI时,但当前编辑行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型。

【举例】

# 设置终端显示类型为VT100类型。

<Sysname> system-view

[Sysname] user-interface vty 0

[Sysname-ui-vty0] terminal type vt100

1.1.53  user privilege level

【命令】

user privilege level level

undo user privilege level

【视图】

用户界面视图

【缺省级别】

3:管理级

【参数】

level:命令级别,取值范围为0~3。

命令级别共分为访问、监控、系统、管理4个级别,分别对应标识0、1、2、3。管理员可以根据需要改变用户所能访问的命令级别,使其在相应的权限下工作。

 

【描述】

user privilege level命令用来配置从当前用户界面登录系统的用户所能访问的命令级别。undo user privilege level命令用来恢复缺省情况。

缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0。

需要注意的是,FIPS模式只支持AAA认证,本命令在FIPS模式下不可用。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

FIPS模式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

支持

MSR 30

支持,仅MSR 3016不支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 设置通过用户界面VTY 0登录系统的用户能访问的命令级别为0。

<Sysname> system-view

[Sysname] user-interface vty 0

[Sysname-ui-vty0] user privilege level 0

以Telnet方式从VTY 0用户界面登录设备后,通过帮助信息可以看到终端上只显示了命令级别为0级的命令,具体操作和显示信息如下:

<Sysname> ?

User view commands:

  cluster  Run cluster command

  display  Display current system information

  ping     Ping function

  quit     Exit from current command view

  rsh      Establish one RSH connection

  ssh2     Establish a secure shell client connection

  super    Set the current user priority level

  telnet   Establish one TELNET connection

  tracert  Trace route function   

1.1.54  user-interface

【命令】

user-interface { first-num1 [ last-num1 ] | { aux | console | tty | vty } first-num2 [ last-num2 ] }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

first-num1:第一个用户界面的编号(绝对编号方式),一般从0开始。

last-num1:最后一个用户界面的编号(绝对编号方式),一般从0开始,但不能小于first-num1

aux:AUX用户界面。

console:Console用户界面。

tty:TTY用户界面。

vty:VTY用户界面。

first-num2:第一个用户界面的编号(相对编号方式)。

last-num2:最后一个用户界面的编号(相对编号方式),但不能小于first-num2

【描述】

user-interface命令用来进入单一或多个用户界面视图。

·     进入单一用户界面视图进行配置后,该配置只对该用户视图有效。

·     进入多个用户界面视图进行配置后,该配置对这些用户视图均有效。

【举例】

# 进入Console用户界面视图。

<Sysname> system-view

[Sysname] user-interface console 0

[Sysname-ui-console0]

# 进入VTY 0~4用户界面视图。

<Sysname> system-view

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4]

1.1.55  web captcha

【命令】

web captcha verification-code

undo web captcha

【视图】

用户视图

【缺省级别】

3:管理级

【参数】

verification-code:访问Web的固定校验码,为4个字符的字符串,区分大小写。

【描述】

web captcha命令用来配置用户访问Web的固定校验码。undo web captcha命令用来恢复缺省情况。

缺省情况下,用户只能使用Web页面显示的校验码访问Web。

配置该命令后,不管Web登录页面显示的校验码是什么,用户只要输入该固定的校验码,即可访问设备。本命令主要用于测试环境,当需要对设备的Web功能进行测试时,可以配置一个固定的校验码,使用脚本即可登录设备,以免每次测试都要手工输入变化的校验码,影响测试效率。

设备在网络中正常使用的时候,建议不要配置该命令,以免降低Web访问的安全性。

多次配置该命令,最新配置生效。

该命令不能保存到配置文件,设备重启后失效。

【举例】

# 设置访问Web的固定校验码。

<Sysname> web captcha test

1.1.56  web https-authorization mode

【命令】

web https-authorization mode { auto | manual }

undo web https-authorization mode

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

auto:表示用户通过HTTPS登录设备时,使用客户端的PKI证书自动认证登录。

manual:表示用户通过HTTPS登录设备时,设备给出登录页面,用户必须输入合法的用户名和密码后才能登录。

【描述】

web https-authorization mode命令用来配置用户使用HTTPS登录设备时采用的认证模式。undo web https-authorization mode命令用来恢复缺省情况。

缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual

当选用auto认证模式时,设备客户端的PKI证书自动认证登录:

·     当用户侧的证书正确且未超期,则读取证书中的CN字段作为用户名,进行AAA认证。如果认证成功,则自动进入设备的Web界面;

·     当用户侧的证书有效且未超期,但AAA认证失败,则回到登录界面(如果此时用户输入合法的用户名和密码仍然能够登录);

·     当用户侧的证书错误或超期,则断开HTTPS连接。

【举例】

# 设置使用HTTPS访问Web时自动认证。

<Sysname> system-view

[Sysname] web https-authorization mode auto

1.1.57  web idle-timeout

【命令】

web idle-timeout minutes

undo web idle-timeout

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

minutes:超时时间,取值范围为1~999,单位为分钟。

【描述】

web idle-timeout命令用来设置Web登录用户连接的超时时间。undo web idle-timeout命令用来恢复缺省情况。

缺省情况下,Web登录用户连接的超时时间为10分钟。

【举例】

# 设置超时时间为20分钟。

<System> system-view

[System] web idle-timeout 20

1.1.58  web logbuffer size

【命令】

web logbuffer size pieces

undo web logbuffer size

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

pieces:指定日志缓冲区的大小(可容纳消息的条数),取值范围为0~1024。

【描述】

web logbuffer size命令用来设置Web日志缓冲区容量。undo web logbuffer size命令用来恢复缺省情况。

缺省情况下,日志缓冲区容量为512条。

【举例】

# 设置日志缓冲区容量为800条。

<System> system-view

[System] web logbuffer size 800

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!