08-用户界面配置
本章节下载: 08-用户界面配置 (283.19 KB)
目 录
l 手册中标有请以设备实际情况为准的地方,请参见“用户手册”中的“特性差异化列表”部分的描述。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l 本手册中所述的AP设备如无特殊情况说明,可以指代一般意义下的无线Mesh设备。
当用户使用Console口或者Telnet方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证、是否重定向到别的设备以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。
目前系统支持的命令行配置方式有:
l Console口本地配置
l Telnet本地或远程配置
以上配置方式对应以下2种类型的用户界面:
l Console用户界面:用来管理和监控通过Console口登录的用户。Console口是一种线设备端口。设备提供一个Console口,端口类型为EIA/TIA-232 DCE。
l VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户。VTY口属于逻辑终端线,用于对设备进行Telnet访问。
用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY 1登录设备时,将受到VTY 1用户界面视图下配置的约束。
一台设备上只有一个Console口和一个AUX口,但可能有多个以太网接口,所以设备可能支持多个VTY用户界面,这些用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。绝对编号从0开始自动编号,每次增长1,先给Console用户界面编号,然后是所有VTY用户界面。使用display user-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号。
相对编号是每种类型用户界面的内部编号。该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。
相对编号方式的形式是:“用户界面类型 编号”,遵守如下规则:
l 控制台的编号:CON 0。
l VTY的编号:第一个为VTY 0,第二个为VTY 1,依次类推。
配置任务 |
说明 |
详细配置 |
配置异步串口属性 |
可选 |
|
配置终端属性 |
可选 |
|
配置自动执行命令 |
可选 |
|
配置用户界面所能访问的命令级别 |
可选 |
|
配置VTY用户界面访问限制 |
可选 |
|
配置VTY用户界面支持的协议 |
可选 |
|
配置用户的认证方式 |
可选 |
|
配置启动终端会话及终止当前运行任务的快捷键 |
可选 |
|
向指定的用户界面发送消息 |
可选 |
|
释放指定用户界面上建立的连接 |
可选 |
串口通信最重要的参数包括:
l 传输速率:表示设备给访问终端每秒钟传送的比特的个数,它是一个衡量通信速度的参数。传输速率和距离成反比,高传输速率常常用于放置的很近的仪器间的通信。
l 数据位:是指通信双方使用多少比特位来表示一个字符,如何设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8。
l 奇偶校验位:在串口通信中一种简单的检错方式,用来检查数据在传输过程种是否出错。
l 停止位:用来表示单个包的结束。停止位的位数越多,传输效率越低。
对于两个通信的端口,这些参数必须一致才能正常通信。用户可以通过以下步骤,来配置异步串口属性,使得设备与访问终端的特性能够匹配。
表1-2 配置异步串口属性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
设置传输速率 |
speed speed-value |
可选 缺省情况下,传输速率为9600bps |
设置数据位的个数 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,用户界面的数据位为8位 |
设置校验位的解析和生成方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,设备校验位的校验方式为none,即不进行校验 |
访问终端和设备相应用户界面下传输速率、数据位、校验位的设置必须一致,双方才能正常通信。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
启动终端服务 |
shell |
可选 缺省情况下,系统在所有的用户界面上启动终端服务 |
设置用户连接的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,用户连接的超时时间为10分钟 |
设置下一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,下一屏显示24行数据 |
设置当前用户界面下的终端显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI |
设置历史命令缓冲区可存放的历史命令的条数 |
history-command max-size size-value |
可选 缺省情况下,历史命令缓冲区可存放10条历史命令 |
退回用户视图 |
return |
- |
锁定用户界面,防止未授权的用户操作该界面 |
lock |
可选 缺省情况下,系统不会自动锁住当前用户界面 |
设备支持两种终端显示类型:ANSI和VT100。当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型。
配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { vty } first-num2 [ last-num2 ] } |
- |
配置自动执行命令 |
auto-execute command command |
必选 缺省情况下,未设定自动执行命令 |
auto-execute command命令使用时有如下的限制:
l Console口不支持auto-execute command。
l 对其他类型的接口不作限制。
l 使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。
l 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、CON用户登录进来更改配置,以便出现问题后,能删除该配置。
用户级别用来限制不同用户对设备的访问权限。如果用户登录时使用的认证方式为none或者password(即不需要输入用户名),则用户级别等于用户界面的级别。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
配置从当前用户界面登录系统的用户所能访问的命令级别 |
user privilege level level |
可选 缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0 |
l 关于用户级别的详细介绍请参见“系统分册”中的“系统基本配置操作”。
l 用户级别可以通过用户界面也可以通过AAA认证参数来配置。哪种配置对用户生效由用户登录时使用的认证方式决定。详细介绍请参见“系统分册”中的“系统基本配置操作”。
该配置通过引用ACL,对VTY用户界面的访问权限进行限制。ACL的相关内容请参见“安全分册”中的“ACL配置”。
l 如果VTY用户界面下没有配置ACL,则使用该用户界面建立Telnet连接时不进行限制;
l 如果VTY用户界面下配置了ACL,分两种情况:如果能够匹配上ACL,则按规则中定义的是permit还是deny来决定是否允许建立连接;如果没有匹配上ACL规则,则直接拒绝建立连接。
表1-6 配置VTY用户界面访问限制
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY用户界面视图 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } |
- |
|
配置系统对VTY用户界面的访问权限进行限制 |
引用基本/高级ACL对访问权限进行限制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选(二者必选其一) 缺省情况下,系统不对访问权限进行限制 |
引用WLAN/二层ACL对访问权限进行限制 |
acl acl-number inbound |
系统将带inbound参数的基本/高级ACL、带outbound参数的基本/高级ACL、WLAN ACL、二层ACL看成是四种不同类型的ACL,在同一个VTY用户界面下,不同类型的ACL可以共存,如果同时配置了不同类型的ACL,则匹配的顺序由先到后为WLAN ACL、基本/高级ACL、二层ACL;相同类型的ACL只能配置一条,以最新的配置为准。
表1-7 配置VTY用户界面支持的协议
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VTY用户界面视图 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } |
- |
设置所在用户界面支持的协议 |
protocol inbound { all | telnet } |
可选 缺省情况下,系统支持Telnet协议 |
使用protocol inbound命令配置的协议将在用户下次使用该用户界面登录时生效。
通过在用户界面下配置认证方式,可以实现当用户使用指定用户界面登录时是否需要认证,以提高设备的安全性。设备支持的认证方式有none、password和scheme三种。
l 如果指定认证方式为none,则下次使用该用户界面登录时不需要进行用户名和密码认证,这种情况可能会带来安全隐患。
l 如果指定认证方式为password,则下次使用该用户界面登录时需要进行密码认证,输入空的或者错误密码,均会导致登录失败。如果没有设置认证密码:对于VTY用户,重新登录时,系统将提示“Login password has not been set !”,登录失败;对于其他用户界面,重新登录时(比如Console),为了保证设备的可操作性,可以直接登录,不需要输入密码。关闭连接前,请务必设置该用户界面的登录密码。
l 如果指定认证方式为scheme,则下次使用该用户界面登录时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。关闭连接前,请务设置认证用户名和密码。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数(如表1-10所示);如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全分册”中的“AAA配置”。缺省情况下,设备对访问用户采用本地认证方式。
表1-8 配置用户的认证方式为none
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
配置用户的认证方式为none |
authentication-mode none |
必选 缺省情况下,使用VTY用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户的不需要认证 |
表1-9 配置用户的认证方式为password
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
配置用户的认证方式为password |
authentication-mode password |
必选 缺省情况下,VTY用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证 |
设置本地认证的密码 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的密码 |
表1-10 配置用户的认证方式为scheme(本地认证)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
配置用户的认证方式为scheme |
authentication-mode scheme |
必选 缺省情况下,VTY用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证 |
配置用户界面所能访问的命令级别 |
请参见“1.6 通过用户界面配置用户级别” |
可选 缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0 |
退回到系统视图 |
quit |
- |
设置认证的用户名,并进入本地用户视图 |
local-user user-name |
必选 缺省情况下,设备中没有设置本地用户 |
设置认证的密码 |
password { cipher | simple } password |
必选 |
设置用户可以使用的服务类型 |
service-type { telnet | terminal } * [ level level ] } |
必选 当使用VTY用户界面用户登录时服务类型需要配置为telnet,当使用Console用户界面用户登录时服务类型需要配置terminal |
配置用户的属性 |
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } * |
可选 缺省情况下,FTP/SFTP用户可以访问设备的根目录,用户的级别为0。可以使用该命令进行修改 |
local-user、password、service-type和authorization-attribute命令的详细介绍请参见“安全分册”中的“AAA命令”。
缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。
因为授权服务器是通过用户名来查找用户可授权使用的命令行列表的,所以命令行授权功能的配置分为三步:
(1) 配置用户认证方式为sheme。
(2) 使能命令行授权功能,请参见表1-11。
(3) 配置命令行授权方案,在方案中配置授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全分册”中“AAA配置”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
使能命令行授权功能 |
command authorization |
必选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 |
命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(不管执行成功或者失败都会记录),以便集中控制、监控用户对设备的操作。命令行记录功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。
命令行计费功能的配置分为两步:
(1) 使能命令行计费功能,请参见表1-12。
(2) 配置命令行计费方案,在方案中配置计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全分册”中“AAA配置”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
使能命令行计费功能 |
command accounting |
必选 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
配置启动终端会话的快捷键 |
activation-key character |
可选 缺省情况下,按<Enter>键启动终端会话 |
配置终止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,按<Ctrl+C>组合键终止当前运行的任务 |
VTY用户界面不支持activation-key命令。
表1-14 向指定的用户界面发送消息
操作 |
命令 |
说明 |
向指定的用户界面发送消息 |
send { all | num1 | {console | vty } num2 } |
必选 该命令在用户视图下执行 |
系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰的话,管理员可以使用以下命令强制断开该用户的连接。
表1-15 释放指定用户界面上建立的连接
操作 |
命令 |
说明 |
释放指定用户界面上建立的连接 |
free user-interface { num1 | { console | vty } num2 } |
必选 该命令在用户视图下执行 |
不能使用该命令释放用户当前自己使用的连接。
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户界面的运行情况,通过查看显示信息验证配置的效果。
操作 |
命令 |
显示当前正在使用的用户界面以及用户的相关信息 |
display users |
显示设备支持的所有用户界面以及用户的相关信息 |
display users all |
显示用户界面的相关信息 |
display user-interface [ num1 | { console | vty } num2 ] [ summary ] |
显示当前用户配置过的历史命令 |
display history-command |
为了保证AP的安全,需要对登录用户进行限制:
l 设备管理员Host A通过Console口接入设备,登录设备时,不需要输入用户名和密码即可登录、操作设备。
l 用户Host B通过以太网接入设备,登录设备时不需要输入用户名,只需要输入密码,认证通过后才可登录、操作设备。
图1-1 用户认证配置组网图
# 在设备上配置IP地址,以保证AP分别与Host A、Host B之间路由可达。(配置步骤略)
# 开启设备的Telnet服务器功能,以便私网和公网用户访问。
<AP> system-view
[AP] telnet server enable
# 配置Console用户的认证方式为none,即用户通过Console口登录设备时,不需要输入用户名和密码,因为是管理员,所以权限设置为3,可以使用设备支持的所有命令。
[AP] user-interface console 0
[AP-ui-console0] authentication-mode none
[AP-ui-console0] user privilege level 3
[AP-ui-console0] quit
# 配置VTY用户的认证方式为password,即Host B登录设备时,不需要输入用户名,但需要输入密码123,可以使用缺省级别为2的命令。
[AP] user-interface vty 0 4
[AP-ui-vty0-4] authentication-mode password
[AP-ui-vty0-4] set authentication password cipher 123
[AP-ui-vty0-4] user privilege level 2
[AP-ui-vty0-4] quit
为了保证AP的安全,需要对登录用户执行命令的权限进行限制:
用户Host A登录设备后,输入的命令必须先获得HWTACACS服务器的授权,才能执行。否则,不能执行该命令。如果HWTACACS服务器故障导致授权失败,则采用本地授权。
图1-2 命令行授权配置组网图
# 在设备上配置IP地址,以保证AP和Host A、HWTACACS server之间互相路由可达。(配置步骤略)
# 开启设备的Telnet服务器功能,以便用户访问。
<AP> system-view
[AP] telnet server enable
# 配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定。
[AP] user-interface vty 0 4
[AP-ui-vty0-4] authentication-mode scheme
# 使能命令行授权功能,限制用户只能使用授权成功的命令。
[AP-ui-vty0-4] command authorization
[AP-ui-vty0-4] quit
# 配置HWTACACS方案:授权服务器的IP地址:UDP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[AP] hwtacacs scheme tac
[AP-hwtacacs-tac] primary authentication 192.168.2.20 49
[AP-hwtacacs-tac] primary authorization 192.168.2.20 49
[AP-hwtacacs-tac] key authentication expert
[AP-hwtacacs-tac] key authorization expert
[AP-hwtacacs-tac] server-type standard
[AP-hwtacacs-tac] user-name-format without-domain
[AP-hwtacacs-tac] quit
# 配置缺省域的命令行授权AAA方案,使用HWTACACS方案。
[AP] domain system
[AP-isp-system] authentication login hwtacacs-scheme tac local
[AP-isp-system] authorization command hwtacacs-scheme tac local
[AP-isp-system] quit
# 配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令。
[AP] local-user monitor
[AP-luser-admin] password cipher 123
[AP-luser-admin] service-type telnet
[AP-luser-admin] authorization-attribute level 1
为便于集中控制、监控用户对设备的操作,需要登录用户执行的命令发送到HWTACACS服务器进行记录。
图1-3 命令行计费配置组网图
# 开启设备的Telnet服务器功能,以便用户访问。
<AP> system-view
[AP] telnet server enable
# 配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录。
[AP] user-interface console 0
[AP-ui-console0] command accounting
[AP-ui-console0] quit
# 配置使用Telnet登录的用户执行的命令需要发送到HWTACACS服务器进行记录。
[AP] user-interface vty 0 4
[AP-ui-vty0-4] command accounting
[AP-ui-vty0-4] quit
# 配置HWTACACS方案:计费服务器的IP地址:UDP端口号为192.168.2.20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[AP] hwtacacs scheme tac
[AP-hwtacacs-tac] primary accounting 192.168.2.20 49
[AP-radius-rad] key accounting expert
[AP-radius-rad] user-name-format without-domain
[AP-radius-rad] quit
# 配置缺省域的命令行计费AAA方案,使用HWTACACS方案。
[AP] domain system
[AP-isp-system] accounting command hwtacacs-scheme tac
[AP-isp-system] quit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!