02-登录设备命令
本章节下载: 02-登录设备命令 (314.21 KB)
1.1.1 acl (User interface view)
1.1.10 display telnet client configuration
1.1.17 history-command max-size
1.1.23 ip https certificate access-control-policy
1.1.26 ip https ssl-server-policy
1.1.32 set authentication password
1.1.34 speed (User interface view)
1.1.43 web https-authorization mode
基本/高级ACL支持:
acl [ ipv6 ] acl-number { inbound | outbound }
undo acl [ ipv6 ] acl-number { inbound | outbound }
WLAN/二层ACL支持:
VTY用户界面视图
2:系统级
ipv6:支持IPv6协议,不带该参数表示支持IPv4协议。
acl-number:访问控制列表号,取值范围如下:
· 100~199:WLAN ACL编号;
· 2000~2999:基本ACL编号;
· 3000~3999:高级ACL编号;
· 4000~4999:二层ACL编号。
inbound:表示对使用该用户界面建立的Telnet或者SSH连接进行限制,当设备收到的Telnet或者SSH连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet server或SSH server时,通常使用该参数对Telnet client或SSH client进行限制。
outbound:表示对使用该用户界面建立的Telnet连接进行限制,当设备发送的Telnet连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet client时,通常使用该参数对可以访问的Telnet server进行限制。
acl命令用来引用访问控制列表(ACL),对当前用户界面的使用权限进行限制。undo acl命令用来取消指定ACL对用户界面的使用权限的限制。(ACL的相关内容可参考“ACL和QoS配置指导”中的“ACL”。)
· 如果VTY用户界面下没有配置ACL,则使用该用户界面建立Telnet或者SSH连接时不进行限制;
· 如果VTY用户界面下配置了ACL,则只有匹配上permit规则的允许建立连接。
需要注意的是,系统将带outbound参数的基本/高级ACL、带inbound参数的基本/高级ACL、WLAN ACL、二层ACL看成是四种不同类型的ACL,在同一个VTY用户界面下,不同类型的ACL可以共存,如果同时配置了不同类型的ACL,则匹配的顺序由先到后为WLAN ACL、基本/高级ACL、二层ACL;相同类型的ACL只能配置一条,以最新的配置为准。
# 当使用Telnet或者SSH方式访问设备时,只允许IP地址为192.168.1.26的用户访问,不允许其它IP地址的用户使用该界面进行访问。
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 192.168.1.26 0
[Sysname-acl-basic-2001] quit
[Sysname] user-interface vty 0
[Sysname-ui-vty0] acl 2001 inbound
当UserA(IP地址为192.168.1.26)Telnet到设备时,可以连接成功;当UserB(IP地址为192.168.1.60)Telnet到设备时,连接建立失败,系统提示“%connection closed by remote host!”。
# 仅允许设备使用Telnet方式访问IP地址为192.168.1.41的Telnet server,不允许访问其它Telnet server。
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit tcp destination 192.168.1.41 0
[Sysname-acl-adv-3001] quit
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 3001 outbound
[Sysname-ui-vty0-4] return
<Sysname>
此时执行telnet 192.168.1.46,连接建立失败:
%Can't access the host from this terminal!
如果执行telnet 192.168.1.41,连接建立成功:
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
# 仅允许SSID为Admin的无线用户使用用户界面VTY 0访问设备。
[Sysname] acl number 100
[Sysname-acl-wlan-100] rule permit ssid Admin
[Sysname-acl-wlan-100] quit
[Sysname] user-interface vty 0
[Sysname-ui-vty0] acl 100 inbound
3:管理级
character:定义启动终端会话的快捷键,可以是字符或组合键对应的ACSII码(0~127)或者为1~3个字符的字符串。当输入的为非数字的字符串或输入的数字的值大于127时,实际生效的是参数所标志的第一个字符。比如设置activation-key 987,此时生效快捷键为9,通过display current-configuration查看可以看到生效的为9对应的ASCII码57;如果设置activation-key abc,生效的快捷键为a。
activation-key命令用来配置启动终端会话的快捷键。undo activation-key命令用来恢复缺省情况。
缺省情况下,按<Enter>键启动终端会话。
如果使用activation-key命令设置了别的快捷键,则新的快捷键将代替<Enter>键来启动终端会话,新设置的快捷键可以使用display current-configuration | include activation-key命令查看。
VTY用户界面不支持该命令。
# 指定启动Console口终端会话的快捷键为<s>。
[Sysname] user-interface console 0
[Sysname-ui-console0] activation-key s
· 退出console口终端会话。
<Sysname> quit
· 重新使用Console口登录设备,能看到如下显示信息。
********************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
********************************************************************************
User interface con0 is available.
Please press ENTER.
· 此时,<ENTER>键失效,需要按<s>键才能出现用户视图提示符,启动Console口终端会话。
%Mar 2 18:40:27:981 2005 Sysname SHELL/5/LOGIN: Console login from con0
3:管理级
command:需要自动执行的某条命令。
auto-execute command命令用来设置自动执行命令。undo auto-execute command命令用来取消自动执行命令。
· Console用户界面不支持该命令。
· 如果设备上只有一个AUX口,没有Console口(Console口和AUX口共用),则此AUX用户界面也不支持该命令。
用户在登录时自动执行用auto-execute command配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。
该命令通常的用法是:在设备的用户界面视图下执行auto-execute command telnet,使用户通过该用户界面登录设备时能自动连接到指定的主机。用户断开与指定主机的连接后,用户与该设备的连接也会自动断开。
· 在配置auto-execute command命令之前,要确保可以通过其他方式登录系统,以便出现问题后,能删除该配置。
· 执行auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用。
# 配置用户从VTY0登录后,自动Telnet到IP地址为192.168.1.41的设备。
[Sysname] user-interface vty 0
[Sysname -ui-vty0] auto-execute command telnet 192.168.1.41
% This action will lead to configuration failure through ui-vty0. Are you sure?
[Y/N]:y
[Sysname-ui-vty0]
重新Telnet登录到设备(IP地址为192.168.1.40)时,设备会自动执行telnet 192.168.1.41命令,在Telnet客户端会看到以下显示信息。
********************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
********************************************************************************
<Sysname>
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
********************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
********************************************************************************
<Sysname.41>
此时相当于用户直接登录了192.168.1.41设备。如果用户断开与192.168.1.41的Telnet连接,用户与192.168.1.40设备的Telnet连接也会同时自动断开。
authentication-mode { none | password | scheme }
3:管理级
none:设置不进行认证,该参数在FIPS模式下不可用。
password:指定进行本地密码认证方式,该参数在FIPS模式下不可用。
scheme:指定进行AAA认证方式。AAA的相关内容请参见“安全配置指导”中的“AAA”。
authentication-mode命令用来设置用户使用当前用户界面登录设备时的认证方式。undo authentication-mode命令用来恢复缺省情况。
使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console界面登录的用户不需要认证。
需要注意的是,在FIPS模式下必须指定用户的认证方式为scheme。
相关配置可参考命令set authentication password。
# 设置用户使用VTY 0用户界面登录设备时,不需要认证。(注意:该方式存在安全隐患。)
[Sysname] user-interface vty 0
[Sysname-ui-vty0] authentication-mode none
# 设置用户使用VTY 0用户界面登录设备时,需要密码认证,认证密码为321。
[Sysname] user-interface vty 0
[Sysname-ui-vty0] authentication-mode password
[Sysname-ui-vty0] set authentication password simple 321
# 设置用户使用VTY 0用户界面登录设备时,需要用户名和密码认证,用户名为123,认证密码为321。
[Sysname] user-interface vty 0
[Sysname-ui-vty0] authentication-mode scheme
[Sysname-ui-vty0] quit
[Sysname] local-user 123
[Sysname-luser-123] password simple 321
[Sysname-luser-123] service-type telnet
[Sysname-luser-123] authorization-attribute level 3
3:管理级
command accounting命令用来使能命令行计费功能。undo command accounting命令用来恢复缺省情况。
缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行。
command accounting命令执行成功后,如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。
# 设置用户使用VTY 0用户界面登录设备时,执行的命令需要在HWTACACS服务器上做记录。
[Sysname] user-interface vty 0
[Sysname-ui-vty0] command accounting
3:管理级
command authorization命令用来使能命令行授权功能。undo command authorization命令用来恢复缺省情况。
缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要服务器授权。
使能命令行授权功能后,使用该用户界面登录的用户只能执行服务器授权的命令,服务器没有授权的命令不能执行。
# 设置用户使用VTY 0用户界面登录设备时,需要服务器授权才能执行命令。
[Sysname] user-interface vty 0
[Sysname-ui-vty0] command authorization
2:系统级
7:数据位为7位,即使用7个比特来表示一个字符。
8:数据位为8位,即使用8个比特来表示一个字符。
databits命令用来设置数据位的个数。undo databits命令用来恢复缺省的数据位。
· 本命令只对异步串口(包括AUX、Console口)有效。
# 设置数据位为7位。
[Sysname] user-interface aux 0
[Sysname-ui-aux0] databits 7
display ip http [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display ip http命令用来显示HTTP的状态信息。
# 显示HTTP的状态信息。
HTTP port: 80
WLAN ACL: 100
Basic ACL: 2222
Current connection: 0
Operation status: Running
表1-1 display ip http命令显示信息描述表
HTTP服务使用的端口号 |
|
与HTTP服务关联的WLAN访问控制列表号 |
|
与HTTP服务关联的基本访问控制列表号 |
|
· Running:表示HTTP服务处于开启状态 · Stopped:表示HTTP服务处于关闭状态 |
display ip https [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display ip https命令用来显示HTTPS的状态信息。
# 显示HTTPS的状态信息。
HTTPS port: 443
SSL server policy: test
Certificate access-control-policy:
WLAN ACL: 100
Basic ACL: 2222
Operation status: Running
表1-2 display ip https命令显示信息描述表
HTTPS服务使用的端口号 |
|
与HTTPS服务关联的SSL服务器端策略 |
|
与HTTPS服务关联的证书属性访问控制策略 |
|
与HTTPS服务关联的WLAN访问控制列表号 |
|
与HTTPS服务关联的基本访问控制列表号 |
|
· Running:表示HTTPS服务处于开启状态 · Stopped:表示HTTPS服务处于关闭状态 |
display telnet client configuration [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display telnet client configuration命令用来显示设备作为Telnet客户端的相关配置信息。
目前该命令显示的是Telnet客户端源IPv4地址或源接口的配置信息。
需要注意的是,本命令在FIPS模式下不可用。
相关配置可参考telnet client source命令。
# 显示设备作为Telnet客户端的相关配置信息。
<Sysname> display telnet client configuration
The source IP address is 1.1.1.1.
以上显示信息表示设备作为Telnet客户端时,发送Telnet报文的源IPv4地址为1.1.1.1。
1:监控级
num1:用户界面的编号(绝对编号方式),不同型号的设备支持的取值范围不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍,一般从0开始。
aux:AUX用户界面。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
console:Console用户界面。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
vty:VTY用户界面。
num2:用户界面的编号(相对编号方式),具体取值如下:
· 对于AUX口,取值为0;
· 对于Console口:取值为0;
· 对于VTY用户界面,取值范围为0~4。
summary:显示用户界面的摘要信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display user-interface命令用来显示用户界面的相关信息。
· 不输入关键字summary,将显示用户界面类型、绝对/相对编号、传输速率、从该用户界面登录可以访问的命令级别、认证方式及接入接口。
· 输入关键字summary,将显示正在使用和未使用的用户界面数目和类型。
# 显示用户界面0的相关信息。
<Sysname> display user-interface 0
Idx Type Tx/Rx Modem Privi Auth Int
+ 0 CON 0 9600 - 3 N -
+ : Current user-interface is active.
F : Current user-interface is active and work in async mode.
Idx : Absolute index of user-interface.
Type : Type and relative index of user-interface.
Privi: The privilege of user-interface.
Auth : The authentication mode of user-interface.
Int : The physical location of UIs.
A : Authentication use AAA.
L : Authentication use local database.
N : Current UI need not authentication.
P : Authentication use current UI's password.
表1-3 display user-interface命令显示信息描述表
使用该用户界面登录的用户的认证方式,取值有A、L、N和P四种方式 |
|
用户界面的物理位置,用用户界面对应的物理接口的简称表示(Console、AUX 和VTY用户界面均显示”-”) |
|
表示使用AAA认证方式,对应的authentication-mode为scheme |
|
# 显示所有用户界面的摘要信息。
<Sysname> display user-interface summary
表1-4 display user-interface summary命令显示信息描述表
0表示用户界面的绝对编号,X表示当前没有用户使用该用户界面(U表示当前有用户使用该用户界面)。比如“2:XUXU U”表示该行第一个用户界面的绝对编号是2,没有用户使用;第3号用户界面,有用户使用;第4号用户界面,没有用户使用;第5、6号用户界面,有用户使用 |
|
当前配置用户的数量(即U字符的个数) |
|
当前没有被使用的用户界面数(即X字符的个数) |
|
display users [ all ] [ | { begin | exclude | include } regular-expression ]
1:监控级
all:显示设备支持的所有用户界面的相关信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display users命令用来显示当前正在使用的用户界面的相关信息。
display users all命令用来显示设备支持的所有用户界面的相关信息。
# 显示当前正在使用的用户界面的相关信息。
The user application information of the user interface(s):
Idx UI Delay Type Userlevel
+ 178 VTY 0 00:00:00 TEL 3
179 VTY 1 00:02:34 TEL 3
Following are more details.
VTY 0 :
Location: 192.168.1.54
VTY 1 :
Location: 192.168.1.58
+ : Current operation user.
F : Current operation user work in async mode.
以上显示信息表明,当前有两个用户已经登录设备,用户自己使用的是VTY 0用户界面,用户的IP地址为192.168.1.54;另一个用户使用的是VTY 1用户界面,该用户的IP地址为192.168.1.58。
表1-5 display users命令显示信息描述表
用户界面的相对编号,第一列(比如VTY)表示用户界面的类型,第二列(比如0)表示用户界面的相对编号 |
|
表明用户最近一次输入到执行display users命令时的时间间隔,格式为hh:mm:ss |
|
显示用户类型,如Telnet、SSH |
|
显示用户的权限,即用户级别(0-VISIT访问,1-MONITOR监控,2-SYSTEM系统,3-MANAGE管理) |
|
display web users [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display web users命令用来显示当前Web用户的相关信息。
# 显示当前Web用户的相关信息。
UserID Name Lang Level State Links Login LastOp Ip
ab830100 admin zn Manage Enabled 0 17:22:53 17:31:43 192.168.1
表1-6 display web users显示信息描述表
Web用户的ID号 |
|
Web用户的用户名 |
|
Web用户登录时使用的语言 |
|
Web用户的级别 |
|
Web用户的状态 |
|
Web用户运行的任务数量 |
|
Web用户的登录时间 |
|
Web用户的最后访问时间 |
|
Web用户的IP地址 |
escape-key { default | character }
3:管理级
character:定义终止当前运行任务的快捷键,可以是字符或组合键对应的ACSII码(0~127)或者为1~3个字符的字符串。当输入的为非数字的字符串或输入的数字的值大于127时,实际生效的是参数所标志的第一个字符。比如设置escpke-key 987,此时生效快捷键为9,通过display current-configuration查看可以看到生效的为9对应的ASCII码57;如果设置escpke-key abc,生效的快捷键为a。
default:恢复为缺省的快捷键<Ctrl+C>。
escape-key命令用来配置终止当前运行任务(比如ping命令、telnet进程等)的快捷键。undo escape-key命令用来禁止使用该功能,即不能通过快捷键终止当前运行的任务。
缺省情况下,按<Ctrl+C>组合键终止当前运行的任务。
如果使用escape-key命令设置了别的快捷键,则新的快捷键将代替<Ctrl+C>键来终止当前运行的任务,新设置的快捷键可以使用display current-configuration命令来查看。
需要注意的是,如果在某用户界面下设置了character,当使用该用户界面登录到设备,又通过该设备telnet到别的设备,这时的character将被视为控制字符,只能用来中止当前的任务,不能作为编辑字符输入。比如,在Device A的VTY 0用户界面下指定character为e,此时,PC(超级终端)使用VTY 0界面登录设备,在PC上e可以作为编辑字符输入,也可以用e来中止Device A上正在运行的任务。如果通过Device A再telnet到Device B,则此时,PC上只能使用e来中止Device B上正在运行的任务,但不能作为编辑字符输入。所以,建议用户尽量将character指定为组合键。
# 定义终止当前运行任务的快捷键为<a>。
[Sysname] user-interface console 0
[Sysname-ui-console0] escape-key a
# 使用ping命令检查IP地址为192.168.1.49的设备是否可达,并用-c参数指定发送ICMP回显请求报文的数目为20。
<Sysname> ping -c 20 192.168.1.49
PING 192.168.1.49: 56 data bytes, press a to break
Reply from 192.168.1.49: bytes=56 Sequence=1 ttl=255 time=3 ms
Reply from 192.168.1.49: bytes=56 Sequence=2 ttl=255 time=3 ms
# 键入<a>,任务立即终止,并返回到当前视图。
--- 192.168.1.49 ping statistics ---
2 packet(s) transmitted
2 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
<Sysname>
free user-interface { num1 | { aux | console | vty } num2 }
3:管理级
num1:用户界面的编号(绝对编号方式),不同型号的设备支持的取值范围不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍,一般从0开始。
aux:Console用户界面。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
console:AUX用户界面。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
vty:VTY用户界面。
num2:用户界面的编号(相对编号方式),具体取值如下:
· 对于AUX口,取值为0;
· 对于Console口:取值为0;
· 对于VTY用户界面,取值范围为0~4。
free user-interface命令用来释放指定用户界面上建立的连接。
# 释放用户界面上VTY 1建立的连接。
The user application information of the user interface(s):
Idx UI Delay Type Userlevel
+ 82 VTY 0 00:00:00 TEL 3
83 VTY 1 00:00:03 TEL 3
Following are more details.
VTY 0 :
Location: 192.168.1.26
VTY 1 :
Location: 192.168.1.20
+ : Current operation user.
F : Current operation user work in async mode.
· 如果VTY 1用户的操作影响到网络管理员当前的操作,将他强制下线。
<Sysname> free user-interface vty 1
Are you sure to free user-interface vty1? [Y/N]:y
free web-users { all | user-id user-id | user-name user-name }
2:系统级
all:所有Web用户。
user-id:Web用户的ID号,为8位十六进制数。
user-name:Web用户的用户名,取值范围为1~80个字符。
free web-users命令用来强制在线Web用户下线。
# 强制所有在线Web用户下线。
history-command max-size size-value
2:系统级
size-value:历史缓冲区的容量,取值范围为0~256。
history-command max-size命令用来设置当前用户界面历史命令缓冲区的容量。undo history-command max-size命令用来恢复缺省情况。
缺省情况下,历史命令缓冲区可存储10条历史命令。
每个用户界面对应一个历史命令缓冲区,缓冲区里保存了当前用户最近执行成功的命令,缓冲区的容量决定了可以保存的历史命令的数目。用户使用display history-command命令、上光标键↑或下光标键↓可以随时了解近期成功执行了哪些操作(display history-command命令的详细介绍请参见“基础配置命令参考”中的“CLI”)。同时登录设备的不同用户拥有不同的历史命令缓冲区,互不影响。
用户退出当前会话时,系统会自动清除相应历史命令缓冲区内保存的历史命令。
# 设置历史命令缓冲区的容量为20。
[Sysname] user-interface console 0
[Sysname-ui-console0] history-command max-size 20
idle-timeout minutes [ seconds ]
2:系统级
minutes:指定超时时间,取值范围为0~35791,单位为分钟。
seconds:指定超时时间,取值范围为0~59,单位为秒,缺省值为0秒。
idle-timeout命令用来设置用户连接的超时时间。undo idle-timeout命令用来恢复超时时间的缺省值。
· 如果在超时时间段内设备和用户间没有消息交互,设备就自动断开用户连接。
· 当超时时间设置为0时,表示关闭超时断开连接的功能。
# 设置超时时间为1分钟30秒。
[Sysname] user-interface console 0
[Sysname-ui-console0] idle-timeout 1 30
2:系统级
acl-number:ACL的编号,取值范围为:
· 100~199:WLAN ACL
· 2000~2999:基本IPv4 ACL
ip http acl命令用来配置HTTP服务与ACL关联。undo ip http acl命令用来取消HTTP服务与ACL的关联。
缺省情况下,没有ACL与HTTP服务关联。
配置HTTP服务与ACL关联后,将只允许通过ACL过滤的客户端访问设备。
· HTTP服务可以与WLAN ACL和基本ACL关联,且两种类型的ACL之间不会相互覆盖。但是,同种类型的ACL之间会相互覆盖,即如果重复执行ip http acl命令关联同种类型的ACL,HTTP服务将只与最后一次配置的ACL关联。
· HTTP服务与WLAN ACL关联时,HTTP服务仅利用该ACL过滤无线客户端,不会利用该ACL过滤有线方式访问的客户端。
相关配置可参考命令display ip http和“ACL和QoS命令参考/ACL”中的命令acl number。
# 配置HTTP服务与ACL 100关联,只允许SSID为user-ssid-name的无线客户端通过Web访问设备。
[Sysname] acl number 100
[Sysname-acl-wlan-100] rule permit ssid user-ssid-name
[Sysname-acl-wlan-100] quit
[Sysname] ip http acl 100
# 配置HTTP服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-basic-2001] quit
[Sysname] ip http acl 2001
2:系统级
ip http enable命令用来使能HTTP服务。undo ip http enable命令用来关闭HTTP服务。
缺省情况设备的HTTP服务是使能状态。
只有使能该功能后,设备才能作为HTTP服务器,允许用户通过Web功能访问和控制设备。
# 使能HTTP服务。
[Sysname] ip http enable
# 关闭HTTP服务。
[Sysname] undo ip http enable
ip http port port-number
3:管理级
port-number:HTTP服务的端口号,取值范围为1~65535。
ip http port命令用来配置HTTP服务的端口号。undo ip http port命令用来恢复缺省情况。
缺省情况下,HTTP服务的端口号为80。
需要注意的是,此命令不会检查配置的端口是否与已有服务使用的端口冲突,修改前必须保证该端口没有被其他服务使用。
# 配置HTTP服务的端口号为8080。
[Sysname] ip http port 8080
3:管理级
acl-number:ACL的编号,取值范围为:
· 100~199:WLAN ACL
· 2000~2999:基本IPv4 ACL
ip https acl 命令用来配置HTTPS服务与ACL关联。undo ip https acl命令用来取消HTTPS服务与ACL的关联。
缺省情况下,没有ACL与HTTPS服务关联。
配置HTTPS服务与ACL关联后,将只允许通过ACL过滤的客户端访问设备。
· HTTPS服务可以与WLAN ACL和基本ACL关联,且两种类型的ACL之间不会相互覆盖。但是,同种类型的ACL之间会相互覆盖,即如果重复执行ip https acl命令关联同种类型的ACL,HTTPS服务将只与最后一次配置的ACL关联。
· HTTPS服务与WLAN ACL关联,HTTPS服务仅利用该ACL过滤无线客户端,不会利用该ACL过滤有线方式访问的客户端。
相关配置可参考命令display ip https和“ACL和QoS命令参考/ACL”中的命令acl number。
# 配置HTTPS服务与ACL 100关联,只允许SSID为user-ssid-name的无线客户端通过Web访问设备。
[Sysname] acl number 100
[Sysname-acl-wlan-100] rule permit ssid user-ssid-name
[Sysname-acl-wlan-100] quit
[Sysname] ip https acl 100
# 配置HTTPS服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-basic-2001] quit
[Sysname] ip https acl 2001
ip https certificate access-control-policy policy-name
undo ip https certificate access-control-policy
3:管理级
policy-name:证书属性访问控制策略名,为1~16个字符的字符串。
ip https certificate access-control-policy命令用来配置HTTPS服务与证书属性访问控制策略关联。undo ip https certificate access-control-policy命令用来取消HTTPS服务与证书属性访问控制策略的关联。
通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制。
相关配置可参考命令display ip https和“安全命令参考/PKI”中的命令pki certificate access-control-policy。
# 设置HTTPS服务使用的证书属性访问控制策略为myacl。
[Sysname] ip https certificate access-control-policy myacl
3:管理级
ip https enable命令用来使能HTTPS服务。undo ip https enable命令用来关闭HTTPS服务。
缺省情况下,HTTPS服务处于关闭状态。
只有使能该功能后,设备才能作为HTTPS服务器,允许用户通过Web功能访问和控制设备。
需要注意的是,使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。
# 使能HTTPS服务。
[Sysname] ip https enable
ip https port port-number
3:管理级
port-number:HTTPS服务的端口号,取值范围为1~65535。
ip https port命令用来配置HTTPS服务的端口号。undo ip https port命令用来恢复缺省情况。
缺省情况下,HTTPS服务的端口号为443。
需要注意的是,此命令不会检查配置的端口是否与已有服务使用的端口冲突,修改前必须保证该端口没有被其他服务使用。
# 配置HTTPS服务的端口号为6000。
[Sysname] ip https port 6000
ip https ssl-server-policy policy-name
undo ip https ssl-server-policy
3:管理级
policy-name:SSL服务器端策略名,为1~16个字符的字符串。
ip https ssl-server-policy命令用来配置HTTPS服务与SSL服务器端策略关联。undo ip https ssl-server-policy命令用来取消HTTPS服务与SSL服务器端策略的关联。
缺省情况下,没有SSL服务器端策略与HTTPS服务关联,HTTPS使用自签名证书(自签名证书指的是服务器自己生成的证书,无需从CA获取)。
· 只有此命令设置成功,才能使能HTTPS服务。
· HTTPS服务使能后不允许修改SSL服务器端策略,也不允许取消HTTPS服务与SSL服务器端策略的关联。
相关配置可参考命令display ip https和“安全命令参考/SSL”中的命令ssl server-policy。
# 设置HTTPS服务使用的SSL服务器端策略为myssl。
[Sysname] ip https ssl-server-policy myssl
3:管理级
lock命令用来锁住当前用户界面,防止未授权的用户操作该界面。
用户输入lock命令后,系统提示输入密码(密码最大长度为16个字符),并提示再次输入密码,只有两次输入的密码相同,Lock操作才能成功。之后,如果用户要再进入系统,需要按回车键,并输入刚才配置的密码后,才能结束锁定,进入系统。
需要注意的是,本命令在FIPS模式下不可用。
# 锁住当前用户界面。
Please input password<1 to 16> to lock current user terminal interface:
Password:
Again:
locked !
Password:
<Sysname>
2:系统级
even:进行偶校验。
none:无校验。
odd:进行奇校验。
parity命令用来设置校验位的解析和生成方式。undo parity命令用来恢复缺省情况。
缺省情况下,设备校验位的校验方式为none,即不进行校验。
· 本命令只对异步串口(包括AUX、Console口)有效。
# 将AUX口传输校验位设为奇校验。
[Sysname] user-interface aux 0
[Sysname-ui-aux0] parity odd
在非FIPS模式下:
protocol inbound { all | ssh | telnet }
在FIPS模式下:
protocol inbound { all | ssh }
VTY用户界面视图
3:管理级
all:支持所有的协议,在非FIPS模式下包括Telnet和SSH;在FIPS模式下只包括SSH。
ssh:支持SSH协议。
telnet:支持Telnet协议,该参数在FIPS模式下不可用。
protocol inbound命令用来指定所在用户界面支持的协议。undo protocol inbound命令用来恢复缺省情况。
· 如果要配置用户界面支持SSH协议,必须先将该用户的认证方式配置为scheme,否则protocol inbound ssh命令会执行失败。相关配置可参考命令authentication-mode。
· Telnet协议的缺省认证方式是password。
# 设置用户界面VTY 0到VTY 4只支持SSH协议。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
[Sysname-ui-vty0-4] protocol inbound ssh
2:系统级
screen-length:指定下一屏所显示的行数,取值范围为0~512,0表示一次性显示全部信息,即不进行分屏显示。
screen-length命令用来设置下一屏所显示的行数。undo screen-length命令用来恢复缺省情况。
缺省情况下,下一屏显示24行数据。
设备支持分屏显示信息,在暂停显示时按空格键,能继续显示下一屏信息。该命令设置的是下一屏所显示的行数,但显示终端实际显示的行数由终端的规格决定。比如,设置screen-length的值为40,但显示终端的规格为24行,当暂停显示按空格键时,设备发送给显示终端的信息为40行,但当前屏幕显示的是第18~第40行的信息,前面的17行信息,需要通过<Page Up>/<Page Down>键来翻看。
该命令设置的是指定用户界面的分屏显示行数,但用户可以使用screen-length disable命令关闭当前界面的分屏显示功能。screen-length disable命令的详细介绍请参见“基础配置命令参考”中的“CLI”。
# 设置Console用户界面下一屏显示的行数为30。
[Sysname] user-interface console 0
[Sysname-ui-console0] screen-length 30
send { all | num1 | { aux | console | vty } num2 }
1:监控级
all:所有的用户界面。
aux:Console用户界面。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
console:AUX用户界面。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
vty:VTY用户界面。
num1:用户界面的编号(绝对编号方式),不同型号的设备支持的取值范围不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍,一般从0开始。
num2:用户界面的编号(相对编号方式),具体取值如下:
· 对于AUX口,取值为0;
· 对于Console口:取值为0;
· 对于VTY用户界面,取值范围为0~4。
send命令用来向指定的用户界面发送消息。
在输入消息内容时,按<Ctrl+Z>组合键结束输入,按<Ctrl+C>组合键取消此次操作。
# Console用户界面给自己发送消息hello abc。
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
hello abc^Z
Send message? [Y/N]:y
<Sysname>
***
***
***Message from con0 to con0
***
hello abc
<Sysname>
# 使用VTY 0用户界面上线的用户想重启设备,为了提醒其它并行操作用户做好相应准备(比如保存当前配置),于是向其它用户界面发送消息“Note please, I will reboot the system!”。
· VTY 0终端上的配置。
The user application information of the user interface(s):
Idx UI Delay Type Userlevel
+ 82 VTY 0 00:00:00 TEL 3
83 VTY 1 00:00:03 TEL 3
Following are more details.
VTY 0 :
Location: 192.168.1.26
VTY 1 :
Location: 192.168.1.20
+ : Current operation user.
F : Current operation user work in async mode.
// 通过以上操作可以查看当前有哪些用户正在操作设备
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
Note please, I will reboot the system in 3 minutes!^Z
Send message? [Y/N]:y
// 通过以上操作可以给VTY 1发送消息,告诉他“我将在3分钟内重启系统”,以便其他用户做好相关备份工作
· 如果有用户使用VTY 1用户界面登录,则用户的终端上将收到如下消息(该例为VTY 1正在输入interface gigabitethernet命令的过程中收到了VTY 0的消息):
[Sysname] interface gigabiteth
***
***
***Message from vty0 to vty1
***
Note please, I will reboot the system in 3 minutes!
set authentication password [ hash ] { cipher | simple } password
undo set authentication password
3:管理级
hash:密码配置支持哈希加密算法。
cipher:以密文方式设置本地认证的密码。
simple:以明文方式设置本地认证的密码。
password:设置的明文密码或密文密码,区分大小写。密码字符串的长度范围随着hash、cipher、simple参数组合的不同而变化,各参数组合对应的密码长度范围参见下表。
1~110 |
||
明文字符串/密文字符串 |
||
set authentication password命令用来设置本地认证的密码。undo set authentication password命令用来取消本地认证的密码。
需要注意的是,本命令在FIPS模式下不可用。
# 设置用户界面Console 0的本地认证密码为hello。
[Sysname] user-interface console 0
[Sysname-ui-console0] authentication-mode password
[Sysname-ui-console0] set authentication password simple hello
3:管理级
shell命令用来在当前用户界面上启动终端服务。undo shell命令用来在当前用户界面上禁止终端服务。
undo shell命令有以下几点限制:
· Console口不支持该命令;
· 如果设备上只有一个AUX口,而没有Console口(Console口与AUX口共用),则此AUX口不支持该命令;
# 在虚拟终端VTY0到VTY4上终止终端服务(用户将不能通过VTY0-4登录设备)。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] undo shell
% Disable ui-vty0-4 , are you sure? [Y/N]:y
[Sysname-ui-vty0-4]
对于Telnet终端,登录后将提示:
The connection was closed by the remote host!
2:系统级
speed-value:传输速率,单位为bps。异步串口的传输速率有:1200bps、2400bps、9600bps、19200bps、38400bps、57600bps和115200bps。设备对以上速率的支持由产品和配置时的网络环境决定。
speed命令用来设置用户界面的传输速率。undo speed命令用来恢复缺省情况。
· 本命令只对异步串口(包括AUX、Console口)有效。
# 将用户界面AUX 0的传输速率设置为19200bps。
[Sysname] user-interface aux 0
[Sysname-ui-aux0] speed 19200
2:系统级
1:停止位为1个比特。
2:停止位为2个比特。
stopbits命令用来设置停止位的个数。undo stopbits命令用来恢复缺省的用户界面停止位。
缺省情况下,停止位为1个比特。
相关配置可参考命令stopbit-error intolerance。
· 本命令只对异步串口(包括AUX、Console口)有效。
# 设置AUX用户界面的停止位为1个比特。
[Sysname] user-interface aux 0
[Sysname-ui-aux0] stopbits 1
0:访问级
remote-host:远端系统的IPv4地址或主机名,为1~20个字符的字符串,不区分大小写。
service-port:远端系统提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
source:指定Telnet报文的源接口或源IPv4地址。
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。
ip ip-address:指定Telnet报文的源IPv4地址。
telnet命令用于Telnet登录到远程主机,以便进行远程管理。用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。
· 本命令指定的源IPv4地址或源接口只对当前Telnet连接有效。
· 本命令在FIPS模式下不可用。
# Telnet登录到远程主机(IP地址为1.1.1.2),并指定发送Telnet报文的源IP地址为1.1.1.1。
<Sysname> telnet 1.1.1.2 source ip 1.1.1.1
telnet client source { interface interface-type interface-number | ip ip-address }
2:系统级
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。
ip ip-address:指定发送Telnet报文的源IPv4地址。
telnet client source命令用来指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口。undo telnet client source命令用来删除发送Telnet报文的源IPv4地址和源接口的配置。
缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址。
· 本命令指定的源IPv4地址或源接口对所有Telnet连接有效。
· 若同时使用本命令和telnet命令指定源IPv4地址或源接口,则以telnet命令指定的源IP地址或源接口为准。
· 本命令在FIPS模式下不可用。
相关配置可参考命令display telnet client configuration。
# 设备作为Telnet客户端时,指定发送的Telnet报文的源IP地址为1.1.1.1。
[Sysname] telnet client source ip 1.1.1.1
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ]
0:访问级
remote-host:远端系统的IPv6地址或主机名,为1~46个字符的字符串,不区分大小写。
-i interface-type interface-number:Telnet报文的出接口。interface-type interface-number为接口类型和接口编号。当目的地址是链路本地地址时,需要指定此参数。
port-number:远端系统提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
telnet ipv6命令用于IPv6组网环境下,Telnet登录到远程主机,以便进行远程管理。用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。
需要注意的是,本命令在FIPS模式下不可用。
# Telnet登录到远程主机,IPv6地址为5000::1。
3:管理级
telnet server enable命令用来启动Telnet服务。undo telnet server enable命令用来关闭Telnet服务。
缺省情况下,Telnet服务处于开启状态。
需要注意的是,本命令在FIPS模式下不可用。
# 启动Telnet服务。
[Sysname] telnet server enable
terminal type { ansi | vt100 }
2:系统级
ansi:终端显示类型为ANSI类型。
vt100:终端显示类型为VT100类型。
terminal type命令用来设置当前用户界面下的终端显示类型。undo terminal type命令用来恢复缺省情况。
需要注意的是,设备支持ANSI和VT100两种终端显示类型。当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI时,但当前编辑行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型。
# 设置终端显示类型为VT100类型。
[Sysname] user-interface vty 0
[Sysname-ui-vty0] terminal type vt100
3:管理级
level:命令级别,取值范围为0~3。
命令级别共分为访问、监控、系统、管理4个级别,分别对应标识0、1、2、3。管理员可以根据需要改变用户所能访问的命令级别,使其在相应的权限下工作。
user privilege level命令用来配置从当前用户界面登录系统的用户所能访问的命令级别。undo user privilege level命令用来恢复缺省情况。
缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0。
需要注意的是,FIPS模式只支持AAA认证,本命令在FIPS模式下不可用。
# 设置通过用户界面VTY 0登录系统的用户能访问的命令级别为0。
[Sysname] user-interface vty 0
[Sysname-ui-vty0] user privilege level 0
以Telnet方式从VTY 0用户界面登录设备后,通过帮助信息可以看到终端上只显示了命令级别为0级的命令,具体操作和显示信息如下:
User view commands:
cluster Run cluster command
display Display current system information
ping Ping function
quit Exit from current command view
rsh Establish one RSH connection
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
tracert Trace route function
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] }
2:系统级
first-num1:第一个用户界面的编号(绝对编号方式),不同型号的设备支持的取值范围不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍,一般从0开始。
last-num1:最后一个用户界面的编号(绝对编号方式),不同型号的设备支持的取值范围不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍,一般从0开始,但不能小于first-num1。
aux:AUX用户界面。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
console: Console用户界面。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
vty:VTY用户界面。
first-num2:第一个用户界面的编号(相对编号方式),具体取值如下:
· 对于AUX口,取值为0;
· 对于Console口:取值为0;
· 对于VTY用户界面,取值范围为0~4。
last-num2:最后一个用户界面的编号(相对编号方式),不能小于first-num2,对于VTY用户界面,取值范围为(first-num2+1)~4。
user-interface命令用来进入单一或多个用户界面视图。
· 进入单一用户界面视图进行配置后,该配置只对该用户视图有效。
· 进入多个用户界面视图进行配置后,该配置对这些用户视图均有效。
# 进入Console用户界面视图。
[Sysname] user-interface console 0
[Sysname-ui-console0]
# 进入VTY 0~4用户界面视图。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4]
web https-authorization mode { auto | manual }
undo web https-authorization mode
2:系统级
auto:表示用户通过HTTPS登录设备时,使用客户端的PKI证书自动认证登录。
manual:表示用户通过HTTPS登录设备时,设备给出登录页面,用户必须输入合法的用户名和密码后才能登录。
web https-authorization mode命令用来配置用户使用HTTPS登录设备时采用的认证模式。undo web https-authorization mode命令用来恢复缺省情况。
缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual。
当选用auto认证模式时,设备客户端的PKI证书自动认证登录:
· 当用户侧的证书正确且未超期,则读取证书中的CN字段作为用户名,进行AAA认证。如果认证成功,则自动进入设备的Web界面;
· 当用户侧的证书有效且未超期,但AAA认证失败,则回到登录界面(如果此时用户输入合法的用户名和密码仍然能够登录);
· 当用户侧的证书错误或超期,则断开HTTPS连接。
# 设置使用HTTPS访问Web时自动认证。
[Sysname] web https-authorization mode auto
2:系统级
minutes:超时时间,取值范围为1~999,单位为分钟。
web idle-timeout命令用来设置Web登录用户连接的超时时间。undo web idle-timeout命令用来恢复缺省情况。
本命令的缺省值为10分钟。
# 设置超时时间为20分钟。
<System> system-view
[System] web idle-timeout 20
2:系统级
pieces:指定日志缓冲区的大小(可容纳消息的条数),取值范围为1~1024,缺省值为512。
web logbuffer size命令用来设置Web日志缓冲区容量。undo web logbuffer size命令用来恢复缺省情况。
# 设置日志缓冲区容量为800条。
<System> system-view
[System] web logbuffer size 800
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!