选择区域语言: EN CN HK

01-入门命令参考

03-用户管理命令

本章节下载  (93.06 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/TYWX/SecPath_U200/Command/Command_Manual/H3C_SecPath_U_CR(R5116)-6PW104/01/201112/735092_30005_0.htm

03-用户管理命令


1 用户管理

1.1  用户管理命令

1.1.1  acl

【命令】

基本/高级ACL支持:

acl acl-number { inbound | outbound }

undo acl  acl-number { inbound | outbound }

二层ACL支持:

acl acl-number inbound

undo acl acl-number inbound

【视图】

VTY用户界面视图

【缺省级别】

2:系统级

【参数】

acl-number:访问控制列表号,取值范围如下:

·              2000~2999:基本ACL编号;

·              3000~3999:高级ACL编号;

·              4000~4999:二层ACL编号。

inbound:表示对使用该用户界面建立的Telnet或者SSH连接进行限制,当设备收到的Telnet或者SSH连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet server或SSH server时,通常使用该参数对Telnet client或SSH client进行限制。

outbound:表示对使用该用户界面建立的Telnet连接进行限制,当设备发送的Telnet连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet client时,通常使用该参数对可以访问的Telnet server进行限制。

【描述】

acl命令用来引用访问控制列表(ACL),对当前用户界面的使用权限进行限制。undo acl命令用来取消指定ACL对用户界面的使用权限的限制。(ACL的相关内容可参考“NAT和ALG配置指导”中的“ACL”。)

缺省情况下,系统不对用户界面的使用权限进行限制。

·              如果VTY用户界面下没有配置ACL,则使用该用户界面建立Telnet或者SSH连接时不进行限制;

·              如果VTY用户界面下配置了ACL,则只有匹配上permit规则的允许建立连接。

需要注意的是,系统将带inbound参数的基本/高级ACL、带outbound参数的基本/高级ACL、二层ACL看成是三种不同类型的ACL,在同一个VTY用户界面下,不同类型的ACL可以共存,如果同时配置了不同类型的ACL,则匹配的顺序由先到后为基本/高级ACL、二层ACL;相同类型的ACL只能配置一条,以最新的配置为准。

【举例】

# 当使用Telnet或者SSH方式访问设备时,只允许IP地址为192.168.1.26的用户访问,不允许其它IP地址的用户使用该界面进行访问。

<Sysname> system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 192.168.1.26 0

[Sysname-acl-basic-2001] quit

[Sysname] user-interface vty 0

[Sysname-ui-vty0] acl 2001 inbound

当UserA(IP地址为192.168.1.26)Telnet到设备时,可以连接成功;当UserB(IP地址为192.168.1.60)Telnet到设备时,连接建立失败,系统提示“%connection closed by remote host!”。

# 仅允许设备使用Telnet方式访问IP地址为192.168.1.41的Telnet server,不允许访问其它Telnet server。

<Sysname> system-view

[Sysname] acl number 3001

[Sysname-acl-adv-3001] rule permit tcp destination 192.168.1.41 0

[Sysname-acl-adv-3001] quit

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] acl 3001 outbound

[Sysname-ui-vty0-4] return

<Sysname>

此时执行telnet 192.168.1.46,连接建立失败:

<Sysname> telnet 192.168.1.46

%Can't access the host from this terminal!

如果执行telnet 192.168.1.41,连接建立成功:

<Sysname> telnet 192.168.1.41

Trying 192.168.1.41 ...

Press CTRL+K to abort

Connected to 192.168.1.41 ...

1.1.2  free web-users

【命令】

free web-users { all | user-id user-id | user-name user-name }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

all:所有Web用户。

user-id:Web用户的ID号,为8位十六进制数。

user-name:Web用户的用户名,取值范围为1~80个字符。

【描述】

free web-users命令用来强制在线Web用户下线。

相关配置可参考命令display web users

【举例】

# 强制所有在线Web用户下线。

<Sysname> free web-users all

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!