选择区域语言: EN CN HK

05-系统分册

09-系统基本配置

本章节下载  (334.94 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/TYWX/SecPath_U200/Configure/Operation_Manual/H3C_SecPath_U_OM-5PW103/05/201611/959944_30005_0.htm

09-系统基本配置


1 系统基本配置

本章节各配置任务互相独立,均为设备的可选配置,配置时没有先后顺序要求。

 

1.1  显示设备的配置

为了了解设备的当前配置情况,避免重复配置以及配置冲突的情况发生,在进行设备的配置之前可以使用display命令查看设备的配置。设备的配置大体可以分成如下三种:

l   出厂配置:设备在出厂时,通常会被安装一些基本的配置,称为出厂配置,用来保证设备在没有配置文件或者配置文件丢失、损坏的情况下,能够正常启动、运行。

l   当前配置:设备上正在运行的配置。如无特殊说明(比如该命令需要重启设备才能生效),这些配置只在设备的本次运行过程中生效,设备重启后,将不再生效。

l   保存配置:保存在配置文件中的配置。使用配置文件能够简便的进行配置恢复。

表1-1 显示设备的配置

操作

命令

说明

显示设备的出厂配置

display default-configuration

该命令在任意视图下执行

显示设备当前生效的配置

display current-configuration [ [ configuration [ configuration ] | | interface [ interface-type ] [ interface-number ] ] [ by-linenum ] [ | { begin | exclude | include } regular-expression ] ]

该命令在任意视图下执行

查看保存配置(即显示配置文件的内容)

more file-url

如果该文件为设备的下次启动配置文件,还可以使用命令:display saved-configuration [ by-linenum ]

more命令在用户视图下执行

display saved-configuration命令在任意视图下执行

 

moredisplay saved-configuration命令的详细介绍请参见“系统分册”中的“文件系统管理命令”。

 

1.2  进入系统视图

当用户登录到设备后,会自动进入用户视图,此时屏幕显示的提示符是:<设备名>。用户视图可执行的操作有限(比如查看操作、文件操作、FTP和Telnet操作等),需要进入系统视图,才能进一步对设备进行配置。

表1-2 进入系统视图

操作

命令

说明

进入系统视图

system-view

必选

该命令在用户视图下执行

 

1.3  退出当前视图

系统将命令行接口划分为若干个命令视图,命令视图采用分层结构,比如用户视图下有系统视图,系统视图下又有接口视图、VLAN视图等。当前视图下的功能配置完成,需要退出当前视图时,可以进行如下操作。

表1-3 退出当前视图

操作

命令

说明

从当前视图返回上一级视图

quit

必选

如果当前视图是用户视图,执行该操作会中断用户终端与设备之间的当前连接

该命令可在任意视图下执行

 

1.4  退回用户视图

本特性为用户提供了一种快捷的、从任意的非用户视图返回到用户视图的方式,而不需要多次执行quit命令。用户也可以直接按组合键<Ctrl+Z>从当前视图退回到用户视图。

表1-4 退回用户视图

操作

命令

说明

退回用户视图

return

必选

该命令可在任意的非用户视图下执行

 

1.5  配置设备名称

设备名称用于在网络中标志某台设备,在系统内部,设备名称对应于命令行接口的提示符,如设备的名称为Sysname,则用户视图的提示符为<Sysname>。

表1-5 配置设备名称

操作

命令

说明

进入系统视图

system-view

-

设置设备名称

sysname sysname

可选

 

1.6  配置系统时间

1.6.1  系统时间的配置

系统时间是系统信息时间戳显示的时间。该时间由配置的相对时间、时区和夏令时三个参数运算之后联合决定,通过display clock命令可以查看。为了保证与其它设备协调工作,用户需要将系统时间配置准确。

表1-6 配置系统时间

操作

命令

说明

配置时间和日期

clock datetime time date

可选

该命令在用户视图下执行

进入系统视图

system-view

-

配置系统所在的时区

clock timezone zone-name { add | minus } zone-offset

可选

缺省情况下,本地时区采用UTC(Universal Time Coordinated,世界调整时间)时区

配置夏令时

设置从“起始日期”的“起始时间”到“结束日期”的“结束时间”这个时间段内采用夏令时制,夏令时间要比设备的当前时间增加“add-time

clock summer-time zone-name one-off start-time start-date end-time end-date add-time

二者选其一

缺省情况下,设备上没有配置夏令时,采用UTC时间

设置设备重复采用夏令时制

clock summer-time zone-name repeating start-time start-date end-time end-date add-time

 

1.6.2  系统时间的显示

系统时间由clock datetimeclock timezoneclock summer-time三条命令联合决定。如果以上三条命令都不配置,则display clock命令显示的为原系统时间。如果把三条以上命令任意组合进行配置,配置后的系统时间请参见表1-7。表中配置列各参数的含义为:

l   1:表示执行clock datetime命令配置了时间date-time

l   2:表示执行clock timezone命令配置了时区参数,时间偏移量为zone-offset

l   3:表示执行clock summer-time命令配置了夏令时参数,时间偏移量为summer-offset

l   [1]:表示clock datetime命令是可选配置,可执行也可不执行。

表中举例默认原系统时间为2005/1/1 1:00:00。

表1-7 系统时间配置示例表

配置

配置后的系统时间

举例

1

date-time

配置:clock datetime 1:00 2007/1/1

配置后的系统时间:01:00:00 UTC Mon 01/01/2007

2

原系统时间±"zone-offset"

配置:clock timezone zone-time add 1

配置后的系统时间:02:00:00 zone-time Sat 01/01/2005

1、2

"date-time"±"zone-offset"

配置:clock datetime 2:00 2007/2/2和clock timezone zone-time add 1

配置后的系统时间:03:00:00 zone-time Fri 02/02/2007

[1]、2、1

date-time

配置:clock timezone zone-time add 1和clock datetime 3:00 2007/3/3

配置后的系统时间:03:00:00 zone-time Sat 03/03/2007

3

原系统时间不在夏令时段内,则为原系统时间

配置:clock summer-time ss one-off 1:00 2006/1/1 1:00 2006/8/8 2

配置后的系统时间:01:00:00 UTC Sat 01/01/2005

原系统时间在夏令时段内,则为原系统时间+”summer-offset

配置:clock summer-time ss one-off 00:30 2005/1/1 1:00 2005/8/8 2

配置后的系统时间:03:00:00 ss Sat 01/01/2005

1、3

date-time不在夏令时段内,则为date-time

配置:clock datetime 1:00 2007/1/1和clock summer-time ss one-off 1:00 2006/1/1 1:00 2006/8/8 2

配置后的系统时间:01:00:00 UTC Mon 01/01/2007

date-time在夏令时段内,则为“date-time”+”summer-offset

配置:clock datetime 8:00 2007/1/1和clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2

配置后的系统时间:10:00:00 ss Mon 01/01/2007

[1]、3、1

date-time不在夏令时段内,则为date-time

配置:clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2和clock datetime 1:00 2008/1/1

配置后的系统时间:01:00:00 UTC Tue 01/01/2008

date-time在夏令时段内,再根据“date-time”-”summer-offset”的值是否在夏令时段内来判断。如果该值不在夏令时段内,则为“date-time”-”summer-offset”;如果在夏令时段内,则为date-time

配置:clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2和clock datetime 1:30 2007/1/1

配置后的系统时间:23:30:00 UTC Sun 12/31/2006

配置:clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2和clock datetime 3:00 2007/1/1

配置后的系统时间:03:00:00 ss Mon 01/01/2007

2、3或者

3、2

如果原系统时间±"zone-offset"的值不在夏令时段内,则为原系统时间±"zone-offset"

配置:clock timezone zone-time add 1和clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2

配置后的系统时间:02:00:00 zone-time Sat 01/01/2005

如果原系统时间±"zone-offset"的值在夏令时段内,则为原系统时间±"zone-offset"+”summer-offset

配置:clock timezone zone-time add 1和clock summer-time ss one-off 1:00 2005/1/1 1:00 2005/8/8 2

配置后的系统时间:04:00:00 ss Sat 01/01/2005

1、2、3或者1、3、2

如果"date-time"±"zone-offset"的值不在夏令时段内,则为"date-time"±"zone-offset"

配置:clock datetime 1:00 2007/1/1、clock timezone zone-time add 1和clock summer-time ss one-off 1:00 2008/1/1 1:00 2008/8/8 2

配置后的系统时间:02:00:00 zone-time Mon 01/01/2007

如果"date-time"±"zone-offset"的值在夏令时段内,则为"date-time"±"zone-offset"+”summer-offset

配置:clock datetime 1:00 2007/1/1、clock timezone zone-time add 1和clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2

配置后的系统时间:04:00:00 ss Mon 01/01/2007

[1]、2、3、1或者[1]、3、2、1

date-time不在夏令时段内,则为date-time

配置:clock timezone zone-time add 1、clock summer-time ss one-off 1:00 2008/1/1 1:00 2008/8/8 2和clock datetime 1:00 2007/1/1

配置后的系统时间:01:00:00 zone-time Mon 01/01/2007

date-time在夏令时段内,再根据“date-time”-”summer-offset”的值是否在夏令时段内来判断。如果不在夏令时段内,则为“date-time”-”summer-offset”;如果在夏令时段内,则为date-time

配置:clock timezone zone-time add 1、clock summer-time ss one-off 1:00 2008/1/1 1:00 2008/8/8 2和clock datetime 1:30 2008/1/1

配置后的系统时间:23:30:00 zone-time Mon 12/31/2007

配置:clock timezone zone-time add 1、clock summer-time ss one-off 1:00 2008/1/1 1:00 2008/8/8 2和clock datetime 3:00 2008/1/1

配置后的系统时间:03:00:00 ss Tue 01/01/2008

 

1.7  使能/禁止显示版权信息

l   使能显示版权信息后,使用Telnet或SSH方式登录设备时会显示版权信息,使用Console口登录设备再退出用户视图时会显示版权信息,其它情况不显示版权信息。显示的版权信息形如:

******************************************************************************

* Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

l   禁止显示版权信息后,在任何情况下都不会显示版权信息。

表1-8 使能/禁止显示版权信息

操作

命令

说明

进入系统视图

system-view

-

使能显示版权信息

copyright-info enable

可选

缺省情况下,显示版权信息处于使能状态

禁止显示版权信息

undo copyright-info enable

必选

缺省情况下,显示版权信息处于使能状态

 

1.8  配置欢迎信息

1.8.1  欢迎信息简介

欢迎信息是用户在连接到设备、进行登录验证以及开始交互配置时系统显示的一段提示信息。管理员可以根据需要,设置相应的提示信息。

目前,系统支持的欢迎信息有五种:

l   shell欢迎信息,也称session条幅。进入控制台会话时显示;

l   用户接口欢迎信息,也称incoming条幅。主要用于Modem激活用户接口时显示;

l   登录欢迎信息,也称login条幅。主要用于配置密码验证和scheme认证时显示;

l   MOTD(Message Of The Day)欢迎信息。在启动认证前显示;

l   授权欢迎信息,也称legal条幅。系统在用户登录前会给出一些版权或者授权信息,然后显示legal条幅,并等待用户确认是否继续进行认证或者登录。如果用户输入“Y”或者直接按<Enter>键,则进入认证或登录过程;如果输入“N”,则退出认证或登录过程。“Y”和“N”不区分大小写。

1.8.2  配置欢迎信息

配置欢迎信息时,系统支持两种输入方式:

1. 单行输入

该方式下欢迎信息的所有内容与命令关键字在同一行中输入。输入内容的开始字符和结束字符必须相同,但这两字符不作为欢迎信息的内容,此时包括命令关键字、开始和结束字符在内总共可以输入510个字符;该方式下输入的欢迎信息不能包含换行。

2. 多行输入

该方式下欢迎信息的所有内容通过按<Enter>键分多行输入,此时可以输入长达2000个字符。多行输入又分为三种方式:

l   命令关键字后直接回车(按<Enter>键):以“%”结束设置,“回车”及“%”符号不属于欢迎信息的内容。

l   命令关键字后输入一个字符后回车:以首行输入的字符结束设置,首行的字符及结束符不属于欢迎信息的内容。

l   命令关键字后输入多个字符(首尾不相同)后回车:以输入的第一个字符结束设置。输入信息的第一个字符及结束符不属于欢迎信息的内容,输入过程中的回车符也属于欢迎信息的内容。

表1-9 配置欢迎信息

操作

命令

说明

进入系统视图

system-view

-

配置登录进入用户视图时的欢迎信息(Modem登录方式适用)

header incoming text

可选

配置登录验证时的欢迎信息

header login text

可选

配置登录终端界面前的授权信息

header legal text

可选

配置登录进入用户视图时的欢迎信息

(非Modem登录方式适用)

header shell text

可选

配置登录终端界面前的欢迎信息

header motd text

可选

 

1.8.3  欢迎信息配置举例

# 将登录进入用户视图时的欢迎信息设置为“Welcome to H3C!”。

l   使用单行输入方式设置:

<System> system-view

[System] header shell %Welcome to H3C!%

l   使用多行输入方式设置(方式一):

<System> system-view

[System] header shell

Please input banner content, and quit with the character '%'.

Welcome to H3C!

               %

l   使用多行输入方式设置(方式二):

<System> system-view

[System] header shell W

Please input banner content, and quit with the character 'W'.

Welcome to H3C!

               W

1.9  配置命令行的快捷键

为便于用户对常用命令进行快捷操作,系统提供了五个快捷键供用户自定义。只要用户按下某个快捷键,系统即可执行对应的命令。

表1-10 配置命令行的快捷键

操作

命令

说明

进入系统视图

system-view

-

配置命令行的快捷键

hotkey { CTRL_G | CTRL_L | CTRL_O | CTRL_T | CTRL_U } command

可选

缺省情况请参见表下方的说明

显示系统中快捷键的分配信息

display hotkey

可在任意视图下执行,系统保留的快捷键请参见表1-11

 

缺省情况下,系统为<Ctrl+G>、<Ctrl+L>、<Ctrl+O>三个快捷键指定了对应的命令,其它两个快捷键<Ctrl+T>、<Ctrl+U>缺省值为NULL(空)。

l   <Ctrl+G>对应命令display current-configuration(显示当前配置);

l   <Ctrl+L>对应命令display ip routing-table(显示IPv4路由表信息);

l   <Ctrl+O>对应命令undo debugging all(关闭所有模块的调试信息开关)。

 

表1-11 系统保留的快捷键

快捷键

功能

<Ctrl+A>

将光标移动到当前行的开头

<Ctrl+B>

将光标向左移动一个字符

<Ctrl+C>

停止当前正在执行的功能

<Ctrl+D>

删除当前光标所在位置的字符

<Ctrl+E>

将光标移动到当前行的末尾

<Ctrl+F>

将光标向右移动一个字符

<Ctrl+H>

删除光标左侧的一个字符

<Ctrl+K>

终止呼出的连接

<Ctrl+N>

显示历史命令缓冲区中的后一条命令

<Ctrl+P>

显示历史命令缓冲区中的前一条命令

<Ctrl+R>

重新显示当前行信息

<Ctrl+V>

粘贴剪贴板的内容

<Ctrl+W>

删除光标左侧连续字符串内的所有字符

<Ctrl+X>

删除光标左侧所有的字符

<Ctrl+Y>

删除光标右侧所有的字符

<Ctrl+Z>

退回到用户视图

<Ctrl+]>

终止呼入的连接或重定向连接

<Esc+B>

将光标移动到左侧连续字符串的首字符处

<Esc+D>

删除光标所在位置及其右侧连续字符串内的所有字符

<Esc+F>

将光标向右移到下一个连续字符串之前

<Esc+N>

将光标向下移动一行(键入回车前有效)

<Esc+P>

将光标向上移动一行(键入回车前有效)

<Esc+<>

将光标所在位置指定为剪贴板的开始位置

<Esc+>>

将光标所在位置指定为剪贴板的结束位置

 

以上快捷键为设备所定义,当用户使用终端软件与设备进行交互时,这些快捷键可能在终端软件中被定义为其它指令。此时,快捷键的操作优先遵从终端软件的定义,而不会对设备生效。

 

1.10  配置命令行的别名

通过配置命令行别名,用户可以将设备当前支持的命令行的第一个关键字替换为自己惯用的关键字。比如将display的别名设置为show,这样在设备上执行display xx命令时只需要输入show xx即可。

在配置命令行别名时,需要遵循以下约定:

l   当查看当前配置信息以及保存配置信息时,用户输入的带别名的命令将以系统原始的命令形式被显示或存储,而不会以别名的形式。即用户的别名命令可以使用,但不会参与配置保存和恢复。

l   配置命令行别名时,输入的cmdkeyalias参数必须是完整的形式。

l   在用户启动别名功能的情况下,当用户输入不完整关键字,且该关键字与用户已匹配的别名以及现有某关键字同时部分匹配时,以别名替换优先。用户想输入现有关键字对应的命令需要完整输入该关键字。如果用户输入的字符串与多个所设置的别名部分匹配,则输出歧义匹配信息。

l   当用户对别名关键字使用<Tab>键时,将联想出所对应的原始关键字。

l   不支持对整个命令行的替换。只支持对第一关键字的别名设置,以及undo命令的第二关键字的别名替换

表1-12 配置命令行的别

操作

命令

说明

进入系统视图

system-view

-

使能命令行别名功能

command-alias enable

必选

缺省情况下,命令行别名功能处于关闭状态,即用户不能给命令行指定别名

给指定的命令行配置别名

command-alias mapping cmdkey alias

必选

缺省情况下,命令行没有配置别名

 

1.11  配置用户级别和命令级别

1.11.1  级别简介

为了限制不同用户对设备的访问权限,系统对用户进行了分级管理。用户的级别与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令。

命令的级别由低到高分为访问级、监控级、系统级和管理级四种,分别对应级别值0、1、2、3。详细介绍请见表1-13

表1-13 命令级别简介

级别值

级别名称

描述

0

访问级

用于网络诊断等功能的命令、从本设备出发访问外部设备的命令。该级别命令配置后不允许保存,设备重启后,该级别命令会恢复到缺省状态

缺省情况下,访问级的命令包括:pingtracerttelnetssh2

1

监控级

用于系统维护、业务故障诊断等功能的命令。该级别命令配置后不允许保存,设备重启后,该级别命令会恢复到缺省状态

缺省情况下,监控级的命令包括:debuggingterminalrefreshresetsend

2

系统级

业务配置命令,包括路由、各个网络层次的命令,这些命令用于向用户提供直接网络服务

缺省情况下,系统级的命令包括:所有配置命令(管理级的命令除外)

3

管理级

关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用

缺省情况下,管理级的命令包括:文件系统命令、FTP命令、TFTP命令、XModem命令下载、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规定、非RFC规定)等

 

1.11.2  配置用户级别

用户级别可以通过AAA认证参数或者用户界面来配置:

1. 通过AAA认证参数配置用户级别

如果用户登录时使用的用户界面的认证方式为scheme,并且用户登录时需要输入用户名和密码,则用户级别以及用户可使用的命令,在配置AAA认证时指定。

表1-14 通过AAA认证参数配置用户级别

操作

命令

说明

进入系统视图

system-view

-

进入用户界面视图

user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] }

-

设置登录用户界面的认证方式为scheme

authentication-mode scheme

必选

缺省情况下,VTY用户界面认证方式为password,Console用户界面不需要认证

退回系统视图

quit

-

配置SSH用户的认证方式为password方式

相关内容请参见“安全分册”中的“SSH2.0配置”

如果用户使用SSH方式登录,并且认证时要求输入用户名和密码,则该步骤必选

通过认证参数设置用户的级别

使用本地认证时

l  使用local-user命令创建本地用户并进入本地用户视图

l  使用authorization-attribute命令的level参数配置用户本身的级别

二者必选其一

使用本地认证时,如果没有配置用户级别,则用户级别为0,即只能使用0级别的命令

使用远程认证时,如果没有配置用户级别,则用户级别由认证服务器的缺省配置决定

使用远程认证(RADIUS认证、HWTACACS认证及LDAP认证)时

在认证服务器上进行配置

 

l   关于用户界面的介绍请参见“系统分册”中的“用户界面配置”。有关user-interfaceauthentication-modeuser privilege level命令的介绍请参见“系统分册”中的“用户界面命令”。

l   有关AAA认证的介绍请参见“防火墙功能Web配置手册”中的“RADIUS”。

l   有关SSH的介绍请参见“安全分册”中的“SSH2.0配置”。

 

2. 通过AAA认证参数配置用户级别举例

# 设置使用VTY 1的Telnet用户登录设备时,需要本地验证用户名和口令,用户级别为3。

<Sysname> system-view

[Sysname] user-interface vty 1

[Sysname-ui-vty1] authentication-mode scheme

[Sysname-ui-vty1] quit

[Sysname] local-user test

[Sysname-luser-test] password cipher 123

[Sysname-luser-test] service-type telnet

通过以上配置,用户使用VTY 1 Telnet登录设备时,需要输入用户名test,密码123,认证通过后只能使用级别为0的命令,想要使用级别为0、1、2、3的命令还需要配置:

[Sysname-luser-test] authorization-attribute level 3

3. 通过用户界面配置用户级别

l   如果用户登录时使用的用户界面的认证方式为scheme,而且是SSH的publickey认证方式时(该方式只需要输入用户名,不需要输入密码),则用户级别等于用户界面的级别;

l   如果用户登录时使用的用户界面的认证方式为none或者password(即不需要输入用户名),用户级别也等于用户界面的级别。

表1-15 通过用户界面配置用户级别(SSH的publickey认证方式)

操作

命令

说明

配置SSH用户的认证方式为publickey方式

相关内容请参见“安全分册”中的“SSH2.0配置”

如果用户使用SSH方式登录,并且认证时只要输入用户名,不用输入密码,则该步骤必选

配置该步骤后,相应的用户界面的认证方式必须设置为scheme

进入系统视图

system-view

-

进入用户界面视图

user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] }

-

设置用户使用当前用户界面登录设备时的认证方式

authentication-mode scheme

可选

缺省情况下,VTY用户界面认证方式为password,Console用户界面不需要认证

配置从当前用户界面登录系统的用户的级别

user privilege level level

可选

缺省情况下,通过Console口登录系统的用户级别是3,通过其它用户界面登录系统的用户级别是0

 

表1-16 通过用户界面配置用户级别(none或者password认证方式)

操作

命令

说明

进入系统视图

system-view

-

进入用户界面视图

user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] }

-

设置用户使用当前用户界面登录设备时的认证方式

authentication-mode { none | password }

可选

缺省情况下,VTY用户界面认证方式为password,Console用户界面不需要认证

配置从当前用户界面登录系统的用户的级别

user privilege level level

可选

缺省情况下,通过Console口登录系统的用户级别是3,通过其它用户界面登录系统的用户级别是0

 

4. 通过用户界面配置用户级别举例

l   设置所有的Telnet用户登录设备时,不需要身份认证,用户级别为1。(不设置身份认证可能存在安全隐患,请确保在安全性较高的网络环境中使用本配置)

<Sysname> system-view

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] authentication-mode none

[Sysname-ui-vty0-4] user privilege level 1

缺省情况下,用户使用Telnet方式登录设备,通过口令验证后,只能使用以下命令:

<Sysname> ?

User view commands:

  display  Display current system information

  ping     Ping function

  quit     Exit from current command view

  rsh      Establish one RSH connection

  ssh2     Establish a secure shell client connection

  super    Set the current user priority level

  telnet   Establish one TELNET connection

  tftp     Open TFTP connection

  tracert  Trace route function

通过用户界面设置级别后,用户不需要认证就可以Telnet登录设备并使用以下命令:

<Sysname> ?

User view commands:

  debugging      Enable system debugging functions

  dialer         Dialer disconnect

  display        Display current system information

  ping           Ping function

  quit           Exit from current command view

  refresh        Do soft reset

  reset          Reset operation

  rsh            Establish one RSH connection

  screen-length  Specify the lines displayed on one screen

  send           Send information to other user terminal interface

  ssh2           Establish a secure shell client connection

  super          Set the current user priority level

  telnet         Establish one TELNET connection

  terminal       Set the terminal line characteristics

  tftp           Open TFTP connection

  tracert        Trace route function

  undo           Cancel current setting

l   设置所有的Telnet用户登录设备时,需要验证口令,用户级别为2。

<Sysname> system-view

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] authentication-mode password

[Sysname-ui-vty0-4] set authentication password cipher 123

[Sysname-ui-vty0-4] user privilege level 2

缺省情况下,用户使用Telnet方式登录设备,通过口令验证后,只能使用级别为0的命令。通过用户界面设置级别后,用户使用Telnet方式登录设备,输入密码123后,就可以使用级别为0、1、2的命令。

1.11.3  切换用户级别

1. 用户级别切换功能简介

切换用户级别是指在不退出当前登录、不断开当前连接的前提下暂时的修改用户级别。级别修改后不需要重新登录,可以继续配置设备,只是可以执行的命令会不一样。比如用户的级别为3,可以对系统参数进行设置,如果将用户的级别切换到0,则只能执行简单的pingtracert和很少一部分display命令等。切换后的级别是临时的,只对当前登录生效,用户重新登录后,又会恢复到原有级别。

l   为了防止对设备的误操作,通常情况下建议管理员使用较低级别的用户登录设备、查看设备运行参数,当需要对设备进行维护时,再临时切换到较高的级别;

l   当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时,为了安全起见,可以临时切换到较低的级别,来限制其它人员的操作。

2. 配置用户级别切换时的认证方式

l   从高级别切换到低级别或相同级别时,可以直接切换,不需要进行身份验证。

l   从低级别切换到高级别时,为了保证操作的安全性,需要进行身份认证。认证方式有四种:

认证方式

涵义

说明

local

本地密码认证

设备验证用户输入的级别切换密码

使用该方式时,需要在设备上使用super password命令设置级别切换密码

scheme

通过HWTACACS/RADIUS进行远程AAA认证

设备将级别切换用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证

使用该方式时,需要进行以下相关配置:

l  在设备上配置HWTACACS/RADIUS方案,并在ISP域中引用已创建的HWTACACS/RADIUS方案,详细介绍请参见“防火墙功能Web配置手册”中的“RADIUS

l  在HWTACACS/RADIUS服务器上创建相应的用户并配置密码

local scheme

本地密码认证和远程AAA认证相结合

先本地密码认证,若设备上没有设置本地级别切换密码,使用Console用户界面登录的用户会直接进行级别切换,其它用户(使用VTY用户界面登录的用户)则转为远程AAA认证

scheme local

远程AAA认证和本地密码认证相结合

先远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA配置无效时,转为本地密码认证

 

表1-17 配置用户级别切换时的认证方式

操作

命令

说明

进入系统视图

system-view

-

配置用户级别切换时的认证方式

super authentication-mode { local | scheme } *

可选

缺省情况下,采用local认证方式

配置用户级别切换的密码

super password [ level user-level ] { simple | cipher } password

如果使用本地认证(即认证方式配置时选择了local参数),则该步骤必选

缺省情况下,没有设置切换用户级别的密码

 

l   在使用super password命令时,若不指定用户级别,则配置的是切换到3级用户的密码。

l   如果指定simple参数,则配置文件中保存的是明文形式的密码,容易被盗取;如果指定cipher参数,配置文件中保存的是密文形式的密码,更安全。

l   AAA认证的超时时间为120s,超时后设备会认为AAA认证无响应。

l   当用户使用Console用户界面登录设备进行低级别到高级别的切换时,即便认证方式为local,没有配置对应的用户级别切换密码,也可以成功的实现级别切换。

 

3. 切换用户级别

表1-18 切换用户级别

操作

命令

说明

切换用户级别

super [ level ]

必选

用户的登录设备时,已经具有了一定的级别,该级别由用户界面或者认证用户级别决定

该命令在用户视图下执行

 

切换用户级别时,根据用户界面认证方式和Super认证方式的不同组合设置,系统会要求用户输入不同的信息:

表1-19 用户级别切换时输入信息描述表

用户界面认证方式

用户级别切换认证方式

第一种认证方式下切换用户级别需要输入的信息

认证方式转换后切换用户级别需要输入的信息

none/password

local

本地级别切换密码(设备上设置)

-

local scheme

本地级别切换密码

级别切换用户名和密码(AAA服务器上设置)

scheme

级别切换用户名和密码

-

scheme local

级别切换用户名和密码

本地级别切换密码

scheme

local

本地级别切换密码

-

local scheme

本地级别切换密码

级别切换密码(AAA服务器上设置),系统使用登录用户名作为级别切换用户名

scheme

级别切换密码(AAA服务器上设置),系统使用登录用户名作为级别切换用户名

-

scheme local

级别切换密码(AAA服务器上设置),系统使用登录用户名作为级别切换用户名

本地级别切换密码

 

l   当使用的认证方式中有local时,切换用户级别前需要配置用户级别切换的密码。

l   当使用的认证方式中有scheme时,切换用户级别前需要配置AAA相关参数。

l   用户最多可以连续输入三次密码,如果三次密码都错误则本次切换失败。

l   关于用户界面认证方式的相关描述请参见“系统分册”中的“用户界面配置”。

 

1.11.4  修改命令级别

缺省情况,各个视图下的每条命令都有指定的级别(如表1-13所示)。管理员也可以根据用户需要改变命令的级别:实现低级别用户可以使用部分高级别命令的需求;或者将命令的级别提高,增加设备的安全性。

表1-20 修改命令的级别

操作

命令

说明

进入系统视图

system-view

-

设置指定视图下的命令的级别

command-privilege level level view view command

可选

缺省情况请参见表1-13

 

通常情况下,建议用户不要修改缺省的命令级别或者在专业人员的指导下进行修改,以免造成操作和维护上的不便甚至给设备带来安全隐患。

 

1.12  配置并发配置用户数

用户可以使用configure-user count命令来设置可以同时进入系统视图的用户数。

表1-21 配置并发配置用户数

操作

命令

说明

进入系统视图

system-view

-

配置并发配置用户数

configure-user count number

可选

缺省情况下,允许两个用户在系统视图下进行配置

 

l   当多个用户同时进入系统视图并对某个特性进行配置的时候,系统以最新配置为准。

l   如果当前并发配置用户数目已达到所设置的限制数目,新登录的用户将无法再进入系统视图。

 

1.13  系统基本配置显示和维护

在完成上述配置后,在任意视图下执行display命令可以查看系统相应的配置信息和运行信息。

表1-22 系统基本配置显示和维护

操作

命令

显示系统版本信息

display version

显示系统当前的时间和日期

display clock

显示当前用户设置的命令行及其别名

display command-alias

显示终端用户的信息

display users [ all ]

显示已经登录设备且当前命令视图不是用户视图的用户的信息

display configure-user

显示当前视图下生效的配置

display this [ by-linenum ]

显示剪贴板的内容

display clipboard

显示或保存系统当前多个功能模块运行的统计信息

display diagnostic-information

 

在日常维护或系统出现故障时,为了便于问题定位,用户需要查看各个功能模块的运行信息。因为各个功能模块都有其对应的运行信息,所以一般情况下,用户需要逐条运行相应的display命令。为便于一次性收集更多信息,用户可以在任意视图下执行display diagnostic-information命令,显示或保存系统当前多个功能模块运行的统计信息。display diagnostic-information命令一次性收集的信息等效于依次执行display clockdisplay versiondisplay devicedisplay current-configuration等命令后终端显示的信息。

l   display users命令的详细介绍请参见“系统分册”中的“用户界面命令”。

l   以上只介绍了与全局有关的display命令,有关各协议和各种接口的display命令请参见对应章节。

 


2 命令行特性

2.1  命令行接口简介

命令行接口是设备与用户之间的交互界面。通过命令行接口,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备。

为提高设备的可管理性和可操作性,命令行接口还提供了如下的特性:

l   支持对命令进行分级保护,未授权用户不能使用高于其等级的命令对设备进行配置,详情请参见1.11  配置用户级别和命令级别

l   用户随时可以键入“?”以获得在线帮助,详情请参见2.2  命令行在线帮助

l   提供种类丰富、内容详尽的调试信息,帮助用户诊断、定位网络故障;

l   提供命令历史记录功能,用户可以方便地查看曾经执行过的命令,并再次执行;

l   支持不完整关键字输入。在执行命令时,用户可以输入关键字的部分字符而无须输入关键字的全部字符,但为了让用户进一步确认即将执行的操作,用户输入的字符必须能精确匹配一条命令才会执行(如果第一个字符匹配不了,就需要输入第二个,以此类推)。比如以s开头的命令有savestartup saved-configurationsystem-view等,如果要保存当前配置,至少要输入sa;如果要设置下次启动配置文件,至少要输入st s;如果要进入系统视图,至少要输入sy,而不能只输入s。关键字的全部字符可以按<Tab>键由系统自动补全,也可以手工全部输入。

2.2  命令行在线帮助

命令行接口提供如下几种在线帮助:

l   完全帮助

l   部分帮助

通过上述各种在线帮助能够获取到帮助信息,分别描述如下:

(1)      在任意视图下,键入<?>获取该视图下所有的命令及其简单描述。

<Sysname> ?

User view commands:

  backup             Backup next startup-configuration file to TFTP server

  boot-loader        Set boot loader

  bootrom            Update/read/backup/restore bootrom

  cd                 Change current directory

  clock              Specify the system clock

  cluster            Run cluster command

  copy               Copy from one file to another

  debugging          Enable system debugging functions

  delete             Delete a file

  dir                List files on a file system

  display            Show running system information

……略……

(2)      键入一条命令,后接以空格分隔的<?>,如果该位置为关键字,则列出全部关键字及其简单描述。

<Sysname> terminal ?

  debugging  Send debug information to terminal

  logging    Send log information to terminal

  monitor    Send information output to current terminal

  trapping   Send trap information to terminal

(3)      键入一条命令,后接以空格分隔的<?>,如果该位置为参数,则列出有关的参数描述。

<Sysname> system-view

[Sysname] interface vlan-interface ?

  <1-4094>  VLAN interface number

[Sysname] interface vlan-interface 1 ?

  <cr>

[Sysname] interface vlan-interface 1

<cr>表示该位置无参数,在紧接着的下一个命令行该命令被复述,直接键入回车即可执行。

(4)      键入字符串,其后紧接<?>,列出以该字符串开头的所有命令。

<Sysname> c?

   cd

   clock

   copy

(5)      键入命令,后接字符串,字符串紧接<?>,列出命令以该字符串开头的所有关键字。

<Sysname> display cl?

   clipboard

   clock

(6)      键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字;如果不唯一,则显示最先匹配到的完整的关键字(匹配规则为:将下一个字母按字母序排列,排在最前面的最先被匹配),反复按<Tab>键,则可以循环显示所有以输入字母开头的关键字,用户可以从中选择所需要的关键字。

2.3  命令行同步信息输出功能

同步信息输出是指当用户的输入被系统信息输出打断时,系统将回显用户的上一步输入或操作,用户可以接着输入或者执行上一步的操作。

使用info-center synchronous命令可以开启同步信息输出功能,关于该功能的详细介绍请参见“系统分册”中的“信息中心配置”。

2.4  命令行的undo格式

在命令前加undo关键字,即为命令的undo形式。几乎每条配置命令都有对应的undo形式,undo命令一般用来恢复缺省情况、禁用某个功能或者删除某项设置。例如,info-center enable命令用来开启信息中心功能;undo info-center enable命令用来关闭信息中心功能。(缺省情况下,信息中心处于开启状态。)

2.5  命令行编辑功能

命令行接口提供了基本的命令编辑功能,支持多行编辑(每行达到指定字符时,系统会自动换行。不能按<Enter>键换行,输入<Enter>键后,系统会自动执行该命令),每条命令的最大长度为510个字符,如表2-1所示。

表2-1 编辑功能表

按键

功能

普通按键

若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标

退格键<Backspace>

删除光标位置的前一个字符,光标前移

左光标键←或<Ctrl+B>

光标向左移动一个字符位置

右光标键→或<Ctrl+F>

光标向右移动一个字符位置

上光标键↑或<Ctrl+P>

显示历史命令

下光标键↓或<Ctrl+N>

<Tab>键

输入不完整的关键字后按下<Tab>键,系统自动执行部分帮助:

l  如果与之匹配的关键字唯一,则系统用此完整的关键字替代原输入并换行显示;

l  如果与之匹配的关键字不唯一,则反复按<Tab>键,可以循环显示所有以输入字母开头的关键字;

l  如果没有与之匹配的关键字,系统会不作任何修改,重新换行显示原输入

 

编辑命令行时,除了表2-1中的快捷键,用户还可以使用其它快捷键(详细介绍请参见表1-11)或者自定义快捷键(详细介绍请参见1.9  配置命令行快捷键”)。

 

2.6  命令行显示

使用过滤显示功能可以帮助用户迅速查找到自己关心的信息。如果显示的信息较多,一屏不能全部显示时,系统会自动进行分屏显示。分屏显示的时候也可以使用过滤显示功能提取出用户关心的信息。

2.6.1  过滤显示

设备提供了过滤显示功能,用户通过指定正则表达式(即指定显示规则),可以帮助迅速查找所需的信息。

过滤显示的使用方法有两种:

l   在命令行中通过输入beginexcludeinclude关键字加正则表达式的方式来过滤显示;

l   在分屏显示时,使用“/”、“-”或“+”符号加正则表达式的方式,它将对剩余的信息使用正则表达式进行过滤显示。其中,“/”等同关键字begin;“-”等同关键字exclude;“+”等同关键字include

beginexcludeinclude关键字的含义如下:

l   begin:显示特定行及其以后的所有行,该特定行必须包含指定正则表达式。

l   exclude:显示不包含指定正则表达式的所有行。

l   include:只显示包含指定正则表达式的所有行。

正则表达式为1~256个字符的字符串,区分大小写,它还支持多种特殊字符,特殊字符的匹配规则如表2-2所示。

表2-2 正则表达式中的特殊字符

特殊字符

含义

使用说明

^string

行首匹配符,string只能出现在每行的开始

如:^user只能匹配以user开始的行,不能匹配以Auser开始的行

string$

行尾匹配符,string只能出现在每行的末尾

如:user$只能匹配以user结尾的行,不能匹配以userA结尾的行

.

句点,通配符,匹配任何一个字符,包括单个字符、特殊字符和空格等

如:.l可以配置vlan和mpls等

*

星号,匹配星号前面的字符或字符组零次或多次

如:zo*可以匹配z以及zoo;(zo)*可以匹配zo以及zozo

+

加号,匹配加号前面的字符或字符组一次或多次

如:zo+可以匹配zo以及zoo,但不能匹配z

|

竖线,匹配|左边的整个字符串或者右边的整个字符串

如:def|int只能匹配包含def或者int的字符串

_

下划线,该字符出现在表达式的开头或结尾时,等效于行首匹配符或行尾匹配符(即特殊字符^或$),其它情况下等效于逗号、空格或者作为普通字符时的左括号、右括号、左大括号、右大括号

如:a_b可以匹配a b和a(b等;_ab只能匹配以ab开头的行;ab_只能匹配以ab结束的行

-

连接符,用于连接两个数值或字母(小的在前,大的在后),与“[ ]”符号连用表示一个范围

如:从1到9表示为1-9(包括1和9);从a到h表示为a-h(包括a和h)

[ ]

表示字符选择范围,将以选择范围内的单个字符为条件进行匹配,只要字符串里包含该范围的某个字符就能匹配到

如:[16A]表示可以匹配到的字符串只需要包含1、6或A中任意一个;[1-36A] 表示可以匹配到的字符串只需要包含1、2、3、6或A中任意一个(-为连接符)

如果]需要作为普通字符出现在[ ]内时,必须把]写在[ ]的最前面,形如[]string],才能匹配到]。[没有这样的限制

( )

表示字符组,一般与“+”或“*”等符号一起使用

如:(123A)表示字符组123A;408(12)+可以匹配40812或408121212等字符串,但不能匹配408

\index

表示重复一次指定字符组,字符组是指\前用()括起来的字符串,index对应\前字符组的顺序号按从左至右的顺序从1开始编号):如果/前面只有一个字符组,则index只能为1;如果/前面有n个字符组,则index可以为1到n中的任意整数

如:(string)\1表示把string重复一次,匹配的字符串必须包含stringstring;(string1)(string2)\2表示把string2重复一次,匹配的字符串必须包含string1string2string2;(string1)(string2)\1\2表示先把string1重复一次,再重复一次string2,匹配的字符串必须包含string1string2string1string2

[^]

表示选择范围外的字符,将以单个字符为条件进行匹配,只要字符串里包含该范围外的某个字符就能匹配到

如:[^16A]表示可匹配的字符串只需要包含1、6和A之外的任意字符,该字符串也可以包含字符1、6或A,但不能只包含这三个字符。比如[^16A]可以匹配abc、m16,不能匹配1、16、16A

\<string

匹配以string开头的字符串

如:\<do可以匹配单词domain,还可以匹配字符串doa

string\>

匹配以string结尾的字符串

如:do\>可以匹配单词undo,还可以匹配字符串abcdo

\bcharacter2

匹配characte1character2,characte1可以是除了数字、字母和下划线外的任意字符,\b等效于[^A-Za-z0-9_]

如:\ba可以匹配-a,-为characte1,a为character2,但是不能匹配2a和ba等

\Bcharacter

匹配到的字符串中必须包含字符character,且character前不能是空格

如:\Bt可以匹配install里的t而不能匹配big top中的t

character1\w

匹配characte1character2,character2必须是数字、字母或下划线。\w相当于[A-Za-z0-9_]

如:v\w能匹配到vlan,v为characte1,l为character2,v\w还能匹配service,i为character2

\W

等效于\b

如:\Wa可以匹配-a,-为characte1,a为character2,但是不能匹配2a和ba等

\

转义操作符,\后紧跟本表列的单个特殊字符时,将去除特殊字符的特定含义

如:\\可以匹配包含\的字符串,\^可以匹配包含^的字符串,\\b可以匹配包含\b的字符串

 

2.6.2  分屏显示

当显示信息较多时,系统会自动将信息分屏显示。通常情况下,一屏将显示24行信息,用户也可以使用screen-length命令设置用户界面下一屏显示的行数(screen-length命令的详细介绍请参见“系统分册”中的“用户界面命令”)。当然,用户也可以通过以下配置禁用当前登录用户的分屏显示功能。

表2-3 禁止分屏显示

操作

命令

说明

禁用当前用户的分屏显示功能

screen-length disable

必选

缺省情况下,用户登录后将遵循用户界面下的screen-length设置。screen-length设置的缺省情况为:允许分屏显示,下一屏显示24行数据

该操作在用户视图下执行,仅对当前用户有效,用户重登录后将恢复到缺省情况

 

2.6.3  显示功能键

命令行接口提供了这样的显示特性:在一次显示信息超过一屏时,提供了暂停功能,这时用户可以有三种选择,如表2-4所示。

表2-4 显示功能表

按键或命令

功能

暂停显示时键入空格键

继续显示下一屏信息

暂停显示时键入回车键

继续显示下一行信息

暂停显示时键入<Ctrl+C>

停止显示和命令执行

<Ctrl+E>

将光标移动到当前行的末尾

<PageUp>

显示上一页信息

<PageDown>

显示下一页信息

 

2.7  命令行的历史记录功能

命令行接口将用户最近使用的历史命令自动保存到历史命令缓存区,用户可以随时了解最近执行成功了哪些操作以及调用保存的历史命令,并重复执行。

缺省情况下,命令行接口为每个用户保存10条历史命令,但用户可以通过history-command max-size命令来设置当前用户界面历史命令缓冲区的容量(关于history-command max-size命令的详细介绍请参见“系统分册”中的“用户界面命令”)。另外,

l   设备保存的历史命令与用户输入的命令格式相同,如果用户使用了命令的不完整形式,保存的历史命令也是不完整形式。

l   如果用户连续多次执行同一条命令,设备的历史命令中只保留最早的一次。但如果执行时输入的形式不同,将作为不同的命令对待。例如:多次执行display cu命令,历史命令中只保存一条。如果执行display cudisplay current-configuration,将保存为两条历史命令。

表2-5 访问历史命令

操作

命令或按键

结果

显示历史命令

display history-command

显示用户输入的有效历史命令

访问上一条历史命令

上光标键↑或<Ctrl+P>

如果还有更早的历史命令,则取出上一条历史命令

访问下一条历史命令

下光标键↓或<Ctrl+N>

如果还有更晚的历史命令,则取出下一条历史命令

 

用光标键对历史命令进行访问,在Windows 200X及XP的Terminal和Telnet下都是有效的,但对于Windows 9X超级终端,↑、↓光标键会无效。这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替↑、↓光标键达到同样目的。

 

2.8  命令行错误信息

所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见表2-6

表2-6 命令行常见错误信息表

英文错误信息

错误原因

% Unrecognized command found at '^' position.

没有查找到命令

没有查找到关键字

参数类型错误

参数值越界

% Incomplete command found at '^' position.

输入命令不完整

% Ambiguous command found at '^' position.

输入参数不明确,存在二义性

Too many parameters

输入参数太多

% Wrong parameter found at '^' position.

输入参数错误

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!