国家 / 地区

05-终端接入配置指导

03-IP终端接入配置

本章节下载  (390.88 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG(V5)-R2516-V1.16/05/201807/1094072_30005_0.htm

03-IP终端接入配置


1 IP终端接入

1.1  IP终端接入简介

IP终端接入是指终端设备通过以太网接口连接到路由器,通过该路由器完成终端(也称为网点)与远端Unix/Linux服务器(也称为前置机)之间的数据交互。IP终端接入利用路由器作为终端接入发起方,将Unix/Linux服务器作为终端接入接收方,路由器负责其连接的终端和Unix/Linux服务器之间数据的透明传输。应用业务通过运行于Unix/Linux服务器上的Etelnet Server程序、ttyd程序或者sshd程序与发起方路由器交互,并通过路由器把业务画面推送到网点的终端上,完成业务交互处理。IP终端接入解决方案实现了根据IP终端的IP地址指定相应的终端号,完成同前置机服务之间的信息交换,同时具有加密、存屏、锁定终端等一系列功能。

IP终端接入的典型组网如图1-1所示:

图1-1 IP终端接入典型应用组网图

 

在上图中,虚线的箭头方向表示TCP连接的建立方向,即从发起方到接收方。银行网点使用具有终端接入功能的路由器(发起方),通过网络最终连接到支行的前置机上。银行业务运行于前置机上,网点营业员在终端上输入的信息通过发起方传送到前置机上,前置机把各种业务界面通过发起方推送到业务终端上,从而完成网点和支行的数据交互。

1.1.2  IP终端接入的功能特点

路由器IP终端接入功能如图1-2所示,IP终端通过以太口连接到具有IP终端接入功能的路由器上,再由路由器连接到前置机上,进行数据交互。

图1-2 IP终端接入功能示意图

 

IP终端接入可以实现以下功能:

1. 终端地址绑定功能

绑定主要是为了防止非法的用户接入路由器。绑定方式主要有两种:

·     IP地址与终端绑定

·     IP地址和MAC地址的组合与终端绑定

只有提供的接入信息(包括IP地址或IP地址与MAC地址的组合)与路由器上事先定义的终端用户信息完全符合时,才认为该终端用户是合法用户,发起的连接才允许接入路由器。否则,连接被拒绝。

当终端接入路由器的方式为非直连,即中间经过三层网络设备进行连接时,由于路由器收到的报文携带的MAC地址不是终端本身的MAC地址,将导致认证失败。因此,这种情况下,请不要使用MAC地址进行认证。

 

2. 服务器连接认证

在实际应用中,一些用户需要通过前置机对连接的路由器进行必要的认证来提高数据安全。目前支持的认证方式有两种:一种是基于字符串的认证方式;另一种是基于MAC地址的认证方式。

字符串认证与密码认证相同,即在前置机和路由器上配置相同的认证字符串。路由器与前置机建立连接时,将该认证字符串发送到前置机,前置机检查认证字符串是否正确。如果正确,认证通过;如果不正确,认证不通过,连接建立失败。

MAC地址认证与字符串认证类似,不同点在于在前置机和路由器上配置的是相同的MAC地址,该MAC地址是路由器上某个接口的MAC地址(可以通过命令指定)。

3. 终端超时锁定功能

终端超时锁定是指当某一终端在指定时间内没有与接入路由器进行任何数据交互时,路由器将锁定终端,此时,用户只有重新通过认证后才能再次操作终端。如果路由器没有配置认证,锁定功能失效。

需要注意的是解除锁定使用的用户名必须与锁定前终端认证的用户名一致。

4. 热键锁定功能

当用户需要暂时离开终端时,为了安全,可以对终端进行锁定,接入路由器为终端提供热键锁定功能。终端锁定后,只有通过认证界面的认证后才能再次获得操作权限。如果终端没有配置认证,锁定功能失效。

需要注意的是解除锁定使用的用户名必须与锁定前终端认证的用户名一致。

5. 终端超时断链功能

终端超时断开是指当终端和路由器之间的连接在指定时间内没有数据交互时,主动断开本连接以及路由器和前置机之间的对应连接,并释放该连接占用的网络资源,但不应影响其他连接的操作。

6. 手动断开链路功能

为了对IP终端的属性进行调整,或者当TCP连接不正常时,可以在接入路由器上手动断开IP终端与接入路由器的TCP连接。

7. 加密功能

由于IP终端接入功能在银行的大量使用,对数据的安全性要求越来越高。可以通过终端接入的数据加密功能对路由器和前置机之间传输的数据进行加密,增强数据安全性。

图1-3所示,Router A和前置机之间的数据流是采用密文传输的。Router A和前置机(运行了Etelnet Server程序、ttyd程序或者sshd程序)都可以进行数据加密/解密处理,TTY接入方式下,目前支持对数据进行AES加密和quick加密(私有加密算法);SSH接入方式下,目前支持RSA和DSA这两种非对称加密算法。

图1-3 路由器和前置机之间数据加密过程示意图

 

8. 源地址绑定功能

源IP地址绑定的原理是先在路由器上状态比较稳定的接口(建议使用Loopback接口或Dailer接口)上配置好IP地址,然后通过IP地址借用,作为路由器上行TCP连接的源IP地址。

由于前置机的ttyd程序需要对接入的路由器IP地址进行认证,当在广域网使用拨号备份功能时,如果主链路异常断开,路由器会启用备份口,这时路由器的IP地址将发生改变,如果不进行源IP地址绑定就会导致认证失败。为避免这种情况的发生,可以在路由器上配置源IP地址绑定,使用固定的IP地址与前置机建立TCP连接。

有时出于安全或其它方面的考虑,需要隐藏路由器上行TCP连接中真正的IP地址,而使用其它的IP地址,这时,也需要配置源IP地址绑定功能。

需要注意的是,应确保前置机与该绑定的接口IP地址之间路由可达。

9. VPN绑定功能

VPN绑定功能是指IP终端接入支持VPN多实例,即可以将连接到路由器的终端划分到不同的VPN域中。这样终端能够访问与自己位于同一个VPN域的前置机或远端路由器。

10. 支持AAA认证功能

为了提高IP终端接入的安全性,接入路由器提供对IP终端用户进行AAA认证的功能,以阻止非法用户的登录。IP终端接入支持的认证分两大类:密码认证和scheme认证。密码认证用户只需输入密码,路由器在本地对密码进行检验,密码正确时继续正常业务,否则将要求用户重新输入密码;scheme认证方式支持通过RADIUS等AAA认证服务器进行认证。

11. 支持应用备份功能

接入路由器支持同时配置多个前置机作为接收方,其中一个为主用,其它为备用。当接入路由器向前置机发起连接时,若主前置机因为故障等原因不可用,路由器能将终端的业务请求发送到备份前置机上去,从而更好的保证IP终端业务的持续进行。

12. 对特定字符的可选处理

由于终端对前置机的一些特殊字符(如回车)的认定存在差异,为了兼容更多的终端设备,需要支持将回车换行符(CRLF,对应的ASCII码为0d0a或0d00)或回车符(CR,对应的ASCII码为0d)统一作为终端可以正确识别的字符(CR或者CRLF)来进行处理。

13. 链路检测功能

使用该功能,当IP终端与终端接入路由器或者终端接入路由器与前置机之间的链路出现故障时,能够及时发现链路故障,并释放相应的网络资源。

14. TCP缓存参数设置

IP终端接入提供了两种TCP缓存:一种用来存储路由器与前置机之间交互的数据,另外一种用来存储路由器与终端之间交互的数据。用户可配置的TCP缓存参数包括接收缓冲区大小和发送缓冲区大小。

15. 过滤流控字符串

接入设备从终端上接收到流控字符后,会将流控字符传给前置机去处理,当流控字符(0x13)和取消流控字符(0x11)被置于同一个报文中发送到前置机后,前置机只处理其中的流控命令,而不处理取消流控命令,这就导致前置机仅执行流控而停止向终端发送数据,出现终端屏幕停顿,不再有任何显示的现象,除非终端上再次输入取消流控的快捷键才能恢复正常。所以需要设备直接屏蔽终端发送的数据中携带的流控字符,不再发送到前置机,流控完全由设备完成。

16. 业务存屏功能

业务存屏功能是指被超时锁定或手动锁定的IP终端在解除锁定后,能重新推出锁定前的屏幕,使用户能继续前面的工作,最大程度保证用户工作的连续性。

17. 终端屏幕显示模式

终端屏幕的显示模式是指终端屏幕上一次最多允许显示的内容的行数和列数。缺省情况下,终端屏幕上一次最多允许显示24行、每行80个字符。可通过调节终端屏幕的显示模式,来适应不同类型的业务信息显示要求。

1.1.3  IP终端接入的主要规格

1. 发起方的主要规格

表1-1 发起方的主要规格

规格名称

描述

路由器支持的最大连接个数

最大可以支持256个来自IP终端的连接

路由器支持的最大服务个数

最大可以支持64个服务

每个IP终端支持的最大连接个数

最大可以支持每个IP终端发起16个连接

每个服务支持的最大终端个数

最大可以支持256个终端使用本服务

 

2. 接收方主要规格

表1-2 接收方主要规格

规格名称

描述

Unix前置机支持的最大虚终端个数

256

Linux前置机支持的最大虚终端个数

4096

AIX前置机支持的最大虚终端个数

8192

支持的Unix/Linux版本

·     Suse Linux

·     Turbo Linux

·     Redflag Linux

·     Redhat

·     SCO Unix 5.0.5~5.0.7

·     AIX

·     Red Hat Linux 9.0

 

1.2  IP终端接入配置任务简介

用户在配置时要根据需要分别对IP终端接入的发起方和接收方进行配置。IP终端接入发起方为路由器,接收方为Unix/Linux前置机。

表1-3 IP终端接入配置任务简介

配置任务

说明

详细配置

配置发起方

使能IP终端接入功能

必选

TTY、ETelnet和SSH接入方式均支持

1.3.1 

创建IP终端接入服务

必选

TTY、ETelnet和SSH接入方式均支持

1.3.2 

创建IP终端

必选

TTY、ETelnet和SSH接入方式均支持

1.3.3 

配置服务的接入方式

必选

TTY、ETelnet和SSH接入方式均支持

1.3.4 

配置接收方参数以及应用备份功能

必选

TTY、ETelnet和SSH接入方式均支持

1.3.5 

配置终端地址绑定功能

可选

TTY、ETelnet和SSH接入方式均支持

1.3.6 

配置服务器连接认证

可选

只有TTY接入方式支持

1.3.7 

配置终端超时锁定功能

可选

TTY、ETelnet和SSH接入方式均支持

1.3.8 

配置热键锁定功能

可选

TTY、ETelnet和SSH接入方式均支持

1.3.9 

配置终端超时断链功能

可选

TTY、ETelnet和SSH接入方式均支持

1.3.10 

手动断开链路

可选

TTY、ETelnet和SSH接入方式均支持

1.3.11 

配置加密功能

可选

只有TTY接入方式支持

1.3.12 

配置源地址绑定功能

可选

TTY、ETelnet和SSH接入方式均支持

1.3.13 

配置VPN绑定功能

可选

TTY、ETelnet和SSH接入方式均支持

1.3.14 

配置AAA认证功能

可选

TTY、ETelnet和SSH接入方式均支持

1.3.15 

配置对特定字符的处理

可选

TTY、ETelnet和SSH接入方式均支持

1.3.16 

配置链路检测功能

可选

TTY、ETelnet和SSH接入方式均支持

1.3.17 

配置TCP缓存参数

可选

TTY、ETelnet和SSH接入方式均支持

1.3.18 

配置Telnet参数协商功能

可选

TTY、ETelnet和SSH接入方式均支持

1.3.19 

配置过滤控制字符

可选

TTY、ETelnet和SSH接入方式均支持

1.3.20 

配置存屏功能

可选

ETelnet和SSH接入方式均支持

1.3.21 

配置终端屏幕显示模式

可选

ETelnet和SSH接入方式均支持

1.3.22 

配置终端接入类型

可选

ETelnet和SSH接入方式均支持

1.3.23 

配置接收方

必选

TTY、ETelnet和SSH接入方式均支持

1.4 

 

1.3  配置发起方

1.3.1  使能IP终端接入功能

表1-4 使能IP终端接入功能

操作

命令

说明

进入系统视图

system-view

-

启动IP终端接入功能

ipta server enable

必选

缺省情况下,IP终端接入功能处于关闭状态

 

1.3.2  创建IP终端接入服务

IP终端接入服务即接收方可以提供的业务。服务被创建以后,命令行接口会从系统视图转进入IPTA(IP Terminal Access,IP终端接入)服务视图,在该视图下,用户可以配置服务的一系列属性(比如认证方式、加密功能等),当用户上线使用该服务时,设备将使用这些配置信息来创建相应的终端连接。

表1-5 创建IP终端接入服务

操作

命令

说明

进入系统视图

system-view

-

创建IP终端接入服务

ipta service service-name

必选

 

1.3.3  创建IP终端

在创建IP终端时,需要为终端指定编号。在同一台路由器上,该编号唯一的标志一个终端,再通过终端地址绑定功能,将编号和具体的终端对应起来。终端被创建以后,命令行接口会从系统视图进入终端视图,在该视图下,用户可以配置终端的一系列属性(比如IP地址、MAC地址等)。

表1-6 配置IP终端

操作

命令

说明

进入系统视图

system-view

-

创建IP终端

ipta terminal ttyid

必选

 

1.3.4  配置服务的接入方式

用户可以为指定服务配置不同的接入方式,目前IP终端接入支持的接入方式有ETelnet方式、TTY方式和SSH方式。

·     ETelnet终端接入方式发起方软件由H3C开发,接收方软件为专有设备支持的etelnetd程序。发起方和接收方之间使用私有协议交互,支持数据加密,但加密算法强度不高。

·     TTY终端接入方式发起方和接收方软件均由H3C开发。发起方和接收方之间使用私有协议交互,支持的功能较多而且方便扩展。TTY解决方案不仅实现了固定终端号的基本功能,而且还提供多业务动态切换、屏幕实时存储、终端复位、数据加密等许多增强的功能。

·     SSH终端接入方式发起方由H3C开发(实现了SSH client功能),接收方可以是其他厂商的设备(只要具有SSH server功能),发起方和接收方之间使用标准的SSH协议交互。当用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用其强大的加密和认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。若需要高安全性能的数据加密功能,建议IP终端采用此种接入方式。

表1-7 配置服务的接入方式

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

配置服务的接入方式

service type { etelnet index | ssh | tty }

必选

缺省情况下,服务接入方式为TTY方式

 

1.3.5  配置接收方参数以及应用备份功能

用户可以为设备配置多个接收方,并给不同的接收方配置不同的优先级,这样,设备在向接收方发起连接的时候,将优先选用优先级高的远端服务器作为接收方,优先级低的服务器作为备份服务器存在。

表1-8 配置接收方参数以及应用备份功能

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

配置前置机参数

server ip ip-address port port-number [ priority priority-level ]

必选

缺省情况下,IPTA功能没有绑定前置机,前置机的优先级为0

指定允许使用该服务的终端

terminal ttyid [ to ttyid ]

必选

配置该服务的监听端口

listen port port-number

必选

缺省情况下,IPTA服务的监听端口没有设置

 

1.3.6  配置终端地址绑定功能

表1-9 配置终端地址绑定功能

操作

命令

说明

进入系统视图

system-view

-

进入终端视图

ipta terminal ttyid

-

配置当前终端与指定的IP/MAC地址绑定

ip ip-address [ mac mac-address ]

必选

缺省情况下,终端没有与IP/MAC地址绑定

 

1.3.7  配置服务器连接认证

本特性只有TTY接入方式支持,ETelnet和SSH接入方式不支持。

 

表1-10 配置服务器连接认证

操作

命令

说明

进入系统视图

system-view

-

配置用于服务器连接认证的MAC地址或字符串

ipta bind { mac-address interface interface-type interface-number | string string }

必选

缺省情况下,路由器连接接收方时不需要认证

 

1.3.8  配置终端超时锁定功能

表1-11 配置终端超时锁定功能

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

配置超时锁定IP终端的定时器值

timer idle-timeout seconds lock

可选

缺省情况下,超时锁定IP终端定时器的值为600秒

 

1.3.9  配置热键锁定功能

表1-12 配置热键锁定功能

操作

命令

说明

进入系统视图

system-view

-

设置手动锁定IP终端的快捷键

ipta lock-key ascii-cod &<1-3>

必选

缺省情况下,系统没有配置IP终端手动锁定快捷键

 

1.3.10  配置终端超时断链功能

表1-13 配置终端超时断链功能

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

配置终端超时断开链接的定时器的值

timer idle-timeout seconds disconnect

可选

缺省情况下,超时断开链接的定时器的值为0秒

 

1.3.11  手动断开链路

表1-14 配置手动断开链路

操作

命令

说明

进入系统视图

system-view

-

手动强制断开IP终端、接入路由器和前置机之间的TCP连接

ipta disconnect { all | service service-name | terminal ttyid [ service service-name ] }

必选

 

1.3.12  配置加密功能

本特性只有TTY接入方式支持,ETelnet和SSH接入方式不支持。ETelnet和SSH接入方式通过各自的协议来完成加密,不需要进行命令行配置。

 

表1-15 配置加密功能

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

使能数据加密功能,并配置加密算法

encryption algorithm { aes | quick }

必选

缺省情况下,系统没有启用数据加密功能

 

1.3.13  配置源地址绑定功能

表1-16 配置源地址绑定功能

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

配置源地址绑定功能

source ip ip-address

必选

缺省情况下,系统不对服务启用源地址绑定功能,TCP连接的源地址使用的是出接口的IP地址

 

1.3.14  配置VPN绑定功能

配置终端与VPN的绑定有两种方式:一种是在系统视图下进行配置,一种是在终端视图下进行配置。两种方式的配置效果一样,任选一种既可。

表1-17 配置VPN绑定功能(系统视图)

操作

命令

说明

进入系统视图

system-view

-

配置终端与VPN实例的绑定关系

ipta bind vpn-instance vpn-name terminal ttyid-list

必选

缺省情况下,终端没有与任何VPN实例绑定

 

表1-18 配置VPN绑定功能(终端视图)

操作

命令

说明

进入系统视图

system-view

-

进入终端视图

ipta terminal ttyid

-

配置当前终端与VPN实例的绑定关系

bind vpn-instance vpn-name

必选

缺省情况下,终端没有与任何VPN实例绑定

 

1.3.15  配置AAA认证功能

IP终端接入支持的认证方式有none、passwordscheme三种。

·     如果指定认证方式为none,则下次使用该服务时不需要进行用户名和密码认证。这种情况可能会带来安全隐患。

·     如果指定认证方式为password,则下次使用该服务时需要进行密码认证,输入空的或者错误密码均会导致登录失败。所以,请务必提前设置好登录密码。

·     如果指定认证方式为scheme,则下次使用该服务时需要进行用户名和密码认证,用户名或密码错误均会导致登录失败。所以,请务必提前设置好认证用户名和密码。scheme认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数,用户类型为telnet;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码,用户类型为设备管理用户,服务类型为telnet。例如,网管软件对IP终端接入用户的支持时,则需配置用户类型为设备管理用户,服务类型为telnet。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。缺省情况下,设备采用本地认证方式。

表1-19 配置IP终端的认证方式为none

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

设置IP终端的认证方式为none

authentication-mode none

必选

缺省情况下,IP终端的认证方式为none,即系统不对终端进行认证

 

表1-20 配置IP终端的认证方式为password

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

设置IP终端的认证方式为password

authentication-mode password

必选

缺省情况下,IP终端的认证方式为none,即系统不对终端进行认证

设置IP终端的登录密码

set authentication password { cipher | simple } password

必选

缺省情况下,IP终端登录不需要认证,也没有设置登录密码

 

表1-21 配置IP终端的认证方式为scheme(本地认证)

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

设置IP终端的认证方式为scheme

authentication-mode scheme

必选

缺省情况下,IP终端的认证方式为none,即系统不对终端进行认证

退回到系统视图

quit

-

设置认证的用户名,并进入本地用户视图

local-user user-name

必选

缺省情况下,设备中没有设置本地用户

设置认证的密码

password { cipher | simple } password

必选

设置终端接入用户可以使用的服务类型

service-type telnet

必选

 

·     local-userpasswordservice-type命令的详细介绍请参见“安全命令参考”中的“AAA”。

·     IP终端接入用户的用户类型必须为Telnet,且不支持用户级别授权。

·     若采用远程AAA认证,则接入设备上还需要配置相应的认证方案,相关配置请参考“安全配置指导”中的“AAA”。

 

1.3.16  配置对特定字符的处理

表1-22 配置对特定字符的处理

操作

命令

说明

进入系统视图

system-view

-

进入终端视图

ipta terminal ttyid

-

启用对CR和CRLF字符的特殊处理功能

transform enter { cr | crlf }

必选

缺省情况下,系统对CR和CRLF字符不做特殊处理

 

1.3.17  配置链路检测功能

系统通过周期发送keepalive报文来检测路由器与终端之间,以及路由器与前置机之间的TCP连接是否有效。

表1-23 配置链路检测功能

操作

命令

说明

进入系统视图

system-view

-

配置路由器与终端通信的keepalive报文的发送参数

ipta terminal-tcp keepalive time counter

可选

缺省情况下,路由器与终端通信的keepalive报文的发送时间间隔为300秒,发送次数为3次

进入IPTA服务视图

ipta service service-name

-

配置路由器与前置机通信的keepalive报文的发送参数

tcp keepalive time counter

可选

缺省情况下,路由器与前置机通信的keepalive报文的发送时间间隔为300秒,发送次数为3次

 

keepalive报文参数的配置只对新建立的连接有效,对当前已建立的连接无效。

 

1.3.18  配置TCP缓存参数

表1-24 配置TCP缓存参数

操作

命令

说明

进入系统视图

system-view

-

配置路由器与终端通信的TCP接收缓冲区大小

ipta terminal-tcp recvbuf-size recvsize

可选

缺省情况下,路由器与终端通信的TCP接收缓冲区大小为2048字节

配置路由器与终端通信的TCP发送缓冲区大小

ipta terminal-tcp sendbuf-size sendsize

可选

缺省情况下,路由器与终端通信的TCP发送缓冲区大小为2048字节

进入IPTA服务视图

ipta service service-name

-

配置路由器与前置机通信的TCP接收缓冲区大小

tcp recvbuf-size recvsize

可选

缺省情况下,路由器与前置机通信的TCP接收缓冲区大小为2048字节

配置路由器与前置机通信的TCP发送缓冲区大小

tcp sendbuf-size sendsize

可选

缺省情况下,路由器与前置机通信的TCP发送缓冲区大小为2048字节

 

1.3.19  配置Telnet参数协商功能

如果使能了Telnet参数协商功能,则在建立Telnet连接前,会协商终端类型和终端速率等参数。

表1-25 配置Telnet参数协商功能

操作

命令

说明

进入系统视图

system-view

-

进入终端视图

ipta terminal ttyid

-

使能Telnet参数协商功能

telnet negotiation enable

必选

缺省情况下,系统没有使能telnet参数协商功能

 

1.3.20  配置过滤流控字符

用户可以为设备配置该命令,对终端向前置机发出的流量控制命令进行过滤,从而避免前置机不向终端转发数据。

表1-26 配置过滤控制字符

操作

命令

说明

进入系统视图

system-view

-

进入终端视图

ipta terminal ttyid

-

配置过滤流控字符

filter flow-control character

必选

缺省情况下,不对收到的流控字符进行过滤操作

 

该命令只对终端接入设备向前置机发出的数据流中携带0x11和0x13控制字符过滤。

·     0x13:终端设备向前置机发出数据流量控制命令字符。

·     0x11:终端设备向前置机发出取消对数据流量控制命令字符。

 

1.3.21  配置存屏功能

表1-27 配置存屏功能

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

开启存屏功能

screen save enable

必选

缺省情况下,存屏功能处于开启状态

设置终端存屏的高度和宽度

screen-size height height width width

可选

缺省情况下,终端存屏的高度和宽度分别为24和80

 

对于已经建立的终端连接,配置更改后不会生效。

 

1.3.22  配置终端屏幕显示模式

表1-28 配置终端屏幕显示模式

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

配置终端屏幕显示模式

screen-size height height-in-characters width width-in-characters

必选

缺省情况下,终端屏幕的显示模式为高度24个字符、宽度80个字符

 

说明

对于已经建立的终端连接,配置更改后不会生效。

 

1.3.23  配置终端类型

表1-29 配置终端类型

操作

命令

说明

进入系统视图

system-view

-

进入IPTA服务视图

ipta service service-name

-

配置终端类型

terminal type { vt100 | vt220 }

必选

缺省情况下,终端类型为vt100

 

·     对于已经建立的终端连接,配置更改后不会生效。

·     使用存屏功能时需要将终端类型和实际的终端匹配,避免在终端解除锁定之后,因为终端类型不匹配造成重绘的屏幕混乱。

 

1.4  配置接收方

IP终端接入接收方为前置机,不同接入方式下的接收方配置不同,具体如下:

·     Etelnet接入方式下,前置机侧的主程序为etelnetd程序,接收方的配置请参考专有设备的相关配置资料。

·     TTY接入方式下,前置机侧的主程序为ttyd(ttyd可执行文件)程序,接收方的配置请用户根据所要安装的前置机类型,参考“终端接入配置指导”中的“前置机的安装与配置”来完成前置机的配置。

·     SSH接入方式下,前置机侧的主程序为sshd程序,接收方的配置请参考SSH服务器端(比如OpenSSH)的相关资料来完成前置机的配置。

1.5  IP终端接入显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后的运行情况,通过查看显示信息了解配置情况。

在用户视图下输入reset命令用来清除对应的统计信息。

表1-30 IP终端接入显示和维护

操作

命令

显示IP终端接入的相关信息

display ipta { status | statistics } { service [ service-name ] | terminal [ ttyid [ service service-name ] ] } [ | { begin | exclude | include } regular-expression ]

清除对应终端/服务的统计信息

reset ipta statistics { service [ service-name ] | terminal ttyid [ service service-name ] }

 

1.6  IP终端接入典型配置举例

1. 组网需求

Unix服务器上运行对公业务和储蓄业务,IP地址为2.2.2.2,使用TTY方式接入,Unix服务器上ttyd程序的监听端口号为9010和9020。

4个终端通过以太网接口连接到交换机,再通过交换机连接到路由器的以太网口,要求路由器绑定源IP地址为6.6.1.1。

2. 组网图

图1-4 配置IP终端接入组网图

 

3. 配置步骤

(1)     配置Router(发送方)

# 启动IP终端接入功能。

<Sysname> system-view

[Sysname] ipta server enable

# 配置终端。

[Sysname] ipta terminal 1

[Sysname-ipta-terminal-1] ip 1.1.1.2 mac 11e0-fc12-433b

[Sysname-ipta-terminal-1] telnet negotiation enable

[Sysname-ipta-terminal-1] transform enter cr

# 配置过滤流控字符。(可选)

[Sysname-ipta-terminal-1] filter flow-control character

[Sysname-ipta-terminal-1] quit

以上为Terminal A的配置,Terminal B、Terminal C和Terminal D的配置与此相同,不再赘述。

# 为绑定源IP地址设置Dialer口。

[Sysname] interface dialer 0

[Sysname-Dialer0] ip address 6.6.1.1 255.255.255.0

[Sysname-Dialer0] quit

# 配置duigong服务。

[Sysname] ipta service duigong

[Sysname-ipta-service-duigong] service type tty

[Sysname-ipta-service-duigong] server ip 2.2.2.2 port 9010

[Sysname-ipta-service-duigong] listen port 1024

[Sysname-ipta-service-duigong] terminal 1 to 4

# 关闭存屏功能。(可选)

[Sysname-ipta-service-duigong] undo screen save enable

[Sysname-ipta-service-duigong] quit

# 配置chuxu服务。

[Sysname] ipta lock-key 27

[Sysname] ipta service chuxu

[Sysname-ipta-service-chuxu] service type tty

[Sysname-ipta-service-chuxu] server ip 2.2.2.2 port 9020 priority 0

[Sysname-ipta-service-chuxu] listen port 2048

[Sysname-ipta-service-chuxu] terminal 1 to 4

[Sysname-ipta-service-chuxu] timer idle-timeout 60 lock

[Sysname-ipta-service-chuxu] encryption algorithm aes

[Sysname-ipta-service-chuxu] tcp recvbuf-size 512

[Sysname-ipta-service-chuxu] tcp sendbuf-size 512

[Sysname-ipta-service-chuxu] tcp keepalive 1800 2

[Sysname-ipta-service-chuxu] set authentication password cipher ipta

[Sysname-ipta-service-chuxu] authentication-mode password

[Sysname-ipta-service-chuxu] source ip 6.6.1.1

[Sysname-ipta-service-chuxu] quit

# 配置以太网口。

[Sysname] interface ethernet 1/2

[Sysname-Ethernet1/2] ip address 1.1.1.1 255.255.0.0

[Sysname-Ethernet1/2] quit

[Sysname] interface ethernet 1/1

[Sysname-Ethernet1/1] ip address 2.2.2.1 255.255.0.0

[Sysname-Ethernet1/1] quit

(2)     配置Unix服务器(接收方)

# 安装ttyd程序。

在配置接收方之前,首先要明确接收方的操作系统及其版本情况。本章举例假定采用的是Sco openserver Unix 5.0.5。

使用存储介质或ftp等方法安装ttyd、ttyadmcmd和ttyadm程序,具体操作请参见“终端接入配置指导”中的“前置机的安装与配置”。

# 编写配置文件。

·     编写前置机2.2.2.2上的对公业务的配置文件ttyd_duigong.conf:

serverport 9010

ttyp50 6.6.1.1 1

ttyp51 6.6.1.1 2

ttyp52 6.6.1.1 3

ttyp53 6.6.1.1 4

·     编写前置机2.2.2.2上的储蓄业务的配置文件ttyd_chuxu.conf:

serverport 9020

ttyp31 6.6.1.1 1

ttyp32 6.6.1.1 2

ttyp33 6.6.1.1 3

ttyp34 6.6.1.1 4

# 修改路由配置文件。

·     在前置机2.2.2.2上增加以下路由:

# route add 6.6.1.0 -netmask 255.255.255.0 2.2.2.1

# route add 1.1.0.0 -netmask 255.255.0.0 2.2.2.1

·     添加后用以下命令查看Unix服务器中路由表是否正确:

# netstat -r

将增加路由的命令加入到/etc/rc2.d/S85tcp文件中,这样系统启动后会自动增加该项路由。

# 修改银行业务的配置文件。

每个银行的业务程序不同,因此每个银行业务的配置方法也不相同,各银行可以根据自己使用的业务,修改业务程序的终端配置文件,如终端仿真类型、刷卡器型号、打印机型号、密码键盘型号等。只有正确配置了银行业务的终端配置文件,终端才能正常操作。

# 运行ttyd程序

在前置机上启动ttyd程序

# /etc/ttyd /etc/ttyd_duigong.conf

# /etc/ttyd /etc/ttyd_chuxu.conf

或者,可以以下步骤,可以在开机时将自动启动ttyd程序。

·     编写/etc/rc2.d/S99ttyd文件,在该文件中写入启动ttyd程序的命令:

/etc/ttyd /etc/ttyd_duigong.conf

/etc/ttyd /etc/ttyd_chuxu.conf

·     然后修改文件执行模式为可执行模式:

# chmod u+x /etc/rc2.d/S99ttyd

这样,在开机时将自动启动ttyd程序。

说明

以上举例是在Sco openserver Unix 5.0.5上进行的操作和配置,对于不同Unix平台,具体的配置和操作有不一样的地方,请参见“终端接入配置指导”中的“前置机的安装与配置”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!