02-登录设备
本章节下载: 02-登录设备 (559.69 KB)
目 录
您可以通过以下几种方式登录到设备的命令行界面,对设备进行配置和管理。
表1-1 登录方式简介
登录方式 |
缺省状况 |
|
缺省情况下,您可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3 |
||
缺省情况下,您不能直接通过AUX口本地登录设备。如需通过AUX口本地登录,请先通过Console口本地登录设备、并完成如下配置: · 配置AUX用户的认证方式(缺省情况下,AUX用户采用Password认证方式) · 配置AUX用户的用户级别(缺省情况下,AUX用户的用户级别为0) |
||
缺省情况下,您不能直接通过Telnet方式登录设备。如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 开启设备Telnet功能 · 配置设备网管口或VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址) · 配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式) · 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0) |
||
缺省情况下,您不能直接通过SSH方式登录设备。如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 开启设备SSH功能并完成SSH属性的配置 · 配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址) · 配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式) · 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0) |
||
缺省情况下,您不能直接通过AUX口利用Modem拨号远程登录设备。如需通过AUX口登录,请先通过Console口本地登录设备、并完成如下配置: · 配置AUX用户的认证方式(缺省情况下,AUX用户采用Password认证方式) · 配置AUX用户的用户级别(缺省情况下,AUX用户的用户级别为0) |
||
通过设备Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。缺省情况下,设备只能通过Console口进行本地登录。
用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上。设备Console口的缺省配置如下:
表1-2 设备Console口缺省配置
属性 |
缺省配置 |
传输速率 |
9600bit/s |
流控方式 |
不进行流控 |
校验方式 |
不进行校验 |
停止位 |
1 |
数据位 |
8 |
(1) 如图1-1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的Console口连接。
图1-1 通过Console口搭建本地配置环境
(2) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-2至图1-4所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参见软件的使用指导或联机帮助。
(3) 设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现如下命令行提示符:
#May 24 09:27:29:947 2010 R5 SHELL/4/LOGIN:
Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogIn>: login from Console
%May 24 09:27:29:947 2010 R5 SHELL/5/SHELL_LOGIN: Console logged in from con0.
<Device>
(4) 键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”。
(5) 执行完以上步骤后,您就可以登录设备的CLI界面,使用命令行对设备进行配置和管理了。缺省情况下,使用Console用户界面登录设备时,是不需要进行身份认证的,为了设备的安全,建议修改Console用户界面的认证方式。下面给出password认证方式的配置步骤,请参照。
<Device> system-view
[Device]user-interface console 0
[Device-ui-console0]authentication-mode password
[Device-ui-console0]set authentication password cipher 123
执行以上操作后,用户使用Console用户界面重新登录设备时,需要输入认证密码123才能通过身份验证,成功登录设备。
· 您还可以将Console用户界面的认证方式配置为none(无认证)或者scheme(用户名和密码认证),关于认证方式的介绍和详细配置请参见2.9 配置用户的认证方式。
· 用户使用Console口登录后,除了认证方式,还可以对其它登录参数进行配置,详细介绍请参见2.3 配置异步串口属性和2.4 配置终端属性。
在使用AUX口进行本地登录之前,需要通过Console口修改AUX口的默认配置,否则将无法登录设备。
请参考下面的步骤修改AUX口的默认配置:
(1) 通过Console口登录设备(具体步骤请参见“1.2.2 登录步骤”)。
(2) 配置AUX口登录设备的认证方式:
(3) 设置从AUX用户界面登录后可以访问的命令级别为3级。
<Device> system-view
[Device] user-interface aux 0
[Device-ui-aux0] user privilege level 3
用户通过AUX口登录设备时,缺省只能访问命令级别为0级的命令。有关命令级别的描述请参见2.6 通过用户界面配置用户级别。
用户终端的通信参数配置要和设备AUX口的缺省配置保持一致,才能通过AUX口登录到设备上。设备AUX口的缺省配置如下:
表1-3 设备AUX口缺省配置
属性 |
缺省配置 |
传输速率 |
9600bit/s |
流控方式 |
不进行流控 |
校验方式 |
不进行校验 |
停止位 |
1 |
数据位 |
8 |
(1) 如图1-5所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的AUX口连接。
图1-5 通过AUX口搭建本地配置环境
(2) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-6至图1-8示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参见软件的使用指导或联机帮助。
(3) 设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现如下命令行提示符(假设设备名称为sysname):
<Sysname>
(4) 键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”。
执行完以上步骤后,您就可以登录设备的CLI界面,使用命令行对设备进行配置和管理了。
设备支持Telnet功能,用户可以通过Telnet方式对设备进行远程管理和维护。
设备和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录设备。
表1-4 通过Telnet登录设备需要具备的条件
对象 |
需要具备的条件 |
设备 |
· 配置设备网管口或以太网接口的IP地址,设备与Telnet用户间路由可达 · 开启设备Telnet服务器功能(在系统视图下使用命令telnet server enable)。 |
Telnet用户 |
运行了Telnet程序 |
获取设备网管口或以太网接口的IP地址 |
通过Telnet方式登录设备时,用户可以通过下面两种方式Telnet到设备:
· 通过终端Telent到设备:使用PC机作为Telnet客户端,Telnet到设备上,对其进行配置。
· 通过设备Telnet到设备:使用一台设备作为Telnet客户端,Telnet到另一台设备上,对其进行配置。
(1) 通过Console口正确配置设备网络管理口(以下简称“网管口”)的IP地址。
除了网管口,您也可以通过设备的普通业务接口进行Telnet登录。
· 通过Console口搭建配置环境。如图1-9所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的Console口连接。
图1-9 通过Console口搭建本地配置环境
· 在PC机上运行终端仿真程序(如Windows95/Windows98/Windows NT/Windows2000/ Windows XP的超级终端),设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控。
· 设备上电,PC机终端上将显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符,如图1-10所示。
· 通过Console口在超级终端中执行以下命令,配置设备网管口的IP地址为202.38.160.92/24。
<Sysname> system-view
[Sysname] interface M-Ethernet 0/0/0
[Sysname-M-Ethernet0/0/0] ip address 202.38.160.92 255.255.255.0
如果通过业务接口进行Telnet登录,这时需要配置vlan-interface1的IP地址为202.38.160.92/24(因为业务接口缺省属于VLAN 1)。
(2) 在通过Telnet登录设备之前,针对用户需要的不同认证方式,在设备上进行相应配置。请参见2.9 配置用户的认证方式。
(3) 如图1-11所示,建立配置环境,将PC机以太网口通过网络与设备的网管口连接,确保PC机和网管口之间路由可达。
(4) 在PC机上运行Telnet程序,输入设备网管口的IP地址,如图1-12所示。
(5) 如果配置验证方式为Password,则终端上显示“Login authentication”,并提示用户输入已设置的登录密码,密码输入正确后则出现命令行提示符(如<Sysname>)。如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
(6) 使用相应命令配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
· 通过Telnet配置设备时,请不要删除或修改设备上对应本Telnet连接的网管口(或VLAN接口)的IP地址,否则会导致Telnet连接断开。
· 用户通过Telnet登录设备时,缺省只能访问命令级别为0级的命令。有关命令级别的描述请参见2.6 通过用户界面配置用户级别。
用户可以从一台设备Telnet到另一台设备上,对其进行配置。本端设备作为Telnet客户端,对端设备作为Telnet服务器端。如果两台设备相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台设备必须路由可达。
配置环境如图1-13所示,用户登录到一台设备后,输入telnet命令再登录其它设备,对其进行配置管理。
图1-13 通过设备登录到其它设备
(1) 针对用户需要的不同认证方式,在作为Telnet Server的设备上进行相应配置。请参见2.9 配置用户的认证方式。
(2) 用户登录到作为Telnet Client的设备。
(3) 在Telnet Client的设备上作如下操作:
<Sysname> telnet xxxx
其中xxxx是作为Telnet Server的设备的主机名、IP地址或VPN实例名,若为主机名,则需是已通过ip host命令配置的主机名。详细命令行请参见表1-5:
表1-5 设备作为Telnet Client登录到其它设备
操作 |
命令 |
说明 |
设备作为Telnet Client登录到其它设备(IPv4网络) |
telnet remote-host [ service-port ] [ [ vpn-instance vpn-instance-name ] | [ source { interface interface-type interface-number | ip ip-address } ] ] |
二者必选其一 此命令在用户视图下执行 |
设备作为Telnet Client登录到其它设备(IPv6网络) |
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] |
(4) 登录后,出现命令行提示符(如<Sysname>),如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
(5) 使用相应命令配置设备或查看设备运行状态。需要帮助可以随时键入“?”。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图1-14所示。
表1-6 采用SSH方式登录需要具备的条件
对象 |
需要具备的条件 |
SSH Server |
配置SSH Server的IP地址,SSH Server与SSH Client间路由可达 |
配置SSH登录的认证方式和其它配置(根据SSH Server的情况而定) |
|
SSH Client |
如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序 |
获取要登录的SSH Server的IP地址 |
路由器既可以充当SSH Server,也可以充当SSH Client。
作为SSH Server:
· 可在SSH Server上进行一系列的配置,实现对不同SSH Client的登录权限的控制。
· 缺省情况下,路由器的SSH Server功能处于关闭状态,因此当您使用SSH方式登录路由器前,首先需要通过Console口登录到路由器上,开启路由器的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到路由器。
作为SSH Client:
· 可通过路由器登录到SSH Server上,从而对SSH Server进行操作。
· 缺省情况下,路由器的SSH Client功能处于开启状态。
通过Console口本地登录路由器,具体请参见1.2 通过Console口进行本地登录。
路由器作为SSH Server,需要首先完成以下配置。
表1-7 路由器充当SSH SERVER时的配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
生成本地DSA或RSA密钥对 |
public-key local create { dsa | rsa } |
必选 缺省情况下,没有生成DSA和RSA密钥对 |
|
使能SSH SERVER功能 |
ssh server enable |
必选 缺省情况下,SSH SERVER功能处于关闭状态 |
|
退出至系统视图 |
quit |
- |
|
进入VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
配置登录用户界面的认证方式为scheme方式 |
authentication-mode scheme |
必选 缺省情况下,用户界面认证为password方式 |
|
配置所在用户界面支持SSH协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,系统支持所有的协议,即支持Telnet和SSH |
|
使能命令行授权功能 |
command authorization |
可选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA” · 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA” |
|
使能命令行计费功能 |
command accounting |
可选 · 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 |
|
退出至系统视图 |
quit |
- |
|
配置设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的配置请参见“安全配置指导”中的“AAA” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
退出至系统视图 |
quit |
||
创建本地用户,并进入本地用户视图 |
local-user user-name |
必选 缺省情况下,没有配置本地用户 |
|
设置本地认证密码 |
password { cipher | simple } password |
必选 缺省情况下,没有配置本地认证密码 |
|
设置本地用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置本地用户的服务类型 |
service-type ssh |
必选 缺省情况下,不对用户授权任何服务 |
|
退回系统视图 |
quit |
- |
|
建立SSH用户,并指定SSH用户的认证方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } |
可选 缺省情况下,没有配置SSH用户及SSH用户的认证方式 |
|
配置VTY用户界面的公共属性 |
- |
可选 |
· 从SSH Client登录到路由器(SSH Server)的具体步骤,与充当SSH Client的设备型号有关,请参考SSH Client设备配套的用户手册。
· 本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;
· 需要在ISP域中引用已创建的HWTACACS方案。
详细介绍请参见“安全配置指导”中的“AAA”。
· 用户采用password认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。有关AAA、RADIUS、HWTACACS的详细内容,请参见“AAA配置指导”中的“AAA”。
· 用户采用publickey认证方式登录设备时,其所能访问的命令级别取决于用户界面上通过user privilege level命令配置的级别
通过Console口本地登录路由器,具体请参见1.2 通过Console口进行本地登录。
图1-15 通过路由器登录到其它设备
如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。
表1-8 路由器作为SSH Client登录到其它设备的配置
操作 |
命令 |
说明 |
路由器作为SSH Client登录到SSH IPv4服务器端 |
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
必选 server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写 此命令在用户视图下执行 |
路由器作为SSH Client登录到SSH IPv6服务器端 |
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
必选 server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写 此命令在用户视图下执行 |
为配合SSH Server,路由器充当SSH Client时还可进一步进行其它配置,具体请参见“安全配置指导”中的“SSH”。
配置完成后,路由器即可登录到相应的SSH Server上。
网络管理员可以通过远端设备的AUX口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)对远端的设备进行远程维护。这种方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程配置、日志/告警信息查询、故障定位。
设备和网络管理员端都要进行相应的配置,才能保证通过AUX口利用Modem拨号进行远程登录设备。
表1-9 通过AUX口利用Modem拨号进行远程登录需要具备的条件
配置对象 |
需要具备的条件 |
网络管理员端 |
PC终端与Modem正确连接 |
Modem与可正常使用的电话线正确相连 |
|
获取了远程设备端AUX口所连Modem上对应的电话号码 |
|
远程设备端 |
AUX口与Modem正确连接 |
在Modem上进行了正确的配置 |
|
Modem与可正常使用的电话线正确相连 |
|
PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端AUX口所连Modem上对应的电话号码。
在与设备直接相连的Modem上进行以下配置(与终端相连的Modem不需要进行配置)。
AT&F ----------------------- Modem恢复出厂配置
ATS0=1 ----------------------- 配置自动应答(振铃一声)
AT&D ----------------------- 忽略DTR信号
AT&K0 ----------------------- 禁止流量控制
AT&R1 ----------------------- 忽略RTS信号
AT&S0 ----------------------- 强制DSR为高电平
ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
各种Modem配置命令及显示的结果有可能不一样,具体操作请参见Modem的说明书进行。
通过AUX口利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:
· AUX口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。
· AUX口的其它属性(AUX口校验方式、AUX口的停止位、AUX的数据位)均采用缺省值。
(1) 在通过Modem拨号登录设备之前,请在设备上进行相应配置,参见1.3.1 1. 修改AUX口默认配置。
(2) 在与设备直接相连的Modem上进行以下配置。
AT&F ----------------------- Modem恢复出厂配置
ATS0=1 ----------------------- 配置自动应答(振铃一声)
AT&D ----------------------- 忽略DTR信号
AT&K0 ----------------------- 禁止流量控制
AT&R1 ----------------------- 忽略RTS信号
AT&S0 ----------------------- 强制DSR为高电平
ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
(3) 如图1-16所示,建立远程配置环境,在PC机(或终端)的串口和设备的AUX口分别挂接Modem。
(4) 在远端通过终端仿真程序和Modem向设备拨号(所拨号码应该是与设备相连的Modem的电话号码),与设备建立连接,如图图1-18至图1-19所示。
图1-17 新建连接
图1-19 在远端PC机上拨号
(5) 如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录密码,出现命令行提示符(如<Sysname>),即可对设备进行配置或管理。需要帮助可以随时键入“?”。
当用户使用Console口、AUX口、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证、是否重定向到别的设备以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。
目前系统支持的配置方式有:
· Console口本地配置
· AUX口本地或远程配置
· Telnet或SSH本地或远程配置
与这些配置方式对应的是三种类型的用户界面:
· Console用户界面:用来管理和监控通过Console口登录的用户。Console口是一种线设备端口。设备提供Console口,端口类型为EIA/TIA-232 DCE。
· AUX用户界面:用来管理和监控通过AUX口登录的用户。AUX口(Auxiliary port,辅助端口)也是一种线设备端口。设备提供AUX口,端口类型为EIA/TIA-232 DTE,通常用于通过Modem进行拨号访问。
· VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户。VTY口属于逻辑终端线,用于对设备进行Telnet或SSH访问。目前每台设备最多支持16个VTY用户同时访问。
用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY 1登录设备时,将受到VTY 1用户界面视图下配置的约束。
根据设备的硬件配备情况,一台设备上可能有多个Console口、AUX口,所以设备可能支持多个Console、AUX、VTY用户界面,这些用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。绝对编号从0开始自动编号,每次增长1,先给所有Console用户界面编号,其次是所有AUX用户界面,最后是所有VTY用户界面。使用display user-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号。
相对编号是每种类型用户界面的内部编号。该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。
相对编号方式的形式是:“用户界面类型 编号”,遵守如下规则:
· Console/AUX口的编号:位于0号槽位主控板上的Console/AUX口的编号为con 0/aux 0,位于1号槽位主控板上的Console/AUX口编号为con 1/aux 1。(独立运行模式)
· Console/AUX口的编号分两种形式:第一种方式采用一维格式,按照成员编号、主控板槽位号来为Console/AUX口编号(成员编号小的编号小,成员编号相同时主控板槽位号小的编号小),成员编号1上槽位小的主控板Console/AUX口编号为con 0/aux 0,槽位大的主控板Console/AUX口编号为con 1/aux 1,依次类推;第二种方式采用二维格式,成员编号/所在主控板槽位编号,比如成员编号2上的1号槽位主控板上的Console/AUX口,采用第一种方式编号为con 3/aux 3,采用第二种方式编号为con 2/1和aux 2/1。(IRF模式)
· VTY的编号:第一个为VTY 0,第二个为VTY 1,依次类推。
配置任务 |
说明 |
详细配置 |
配置异步串口属性 |
可选 |
|
配置终端属性 |
可选 |
|
配置自动执行命令 |
可选 |
|
配置用户界面所能访问的命令级别 |
可选 |
|
配置VTY用户界面访问限制 |
可选 |
|
配置VTY用户界面支持的协议 |
可选 |
|
配置用户的认证方式 |
可选 |
|
配置启动终端会话及终止当前运行任务的快捷键 |
可选 |
|
向指定的用户界面发送消息 |
可选 |
|
释放指定用户界面上建立的连接 |
可选 |
用户可以通过以下步骤,来配置异步串口属性,使得设备与访问终端的特性能够匹配。
表2-2 配置异步串口属性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
建立Telnet重定向监听端口与IP地址的对应关系 |
ip alias ip-address port-number |
可选 缺省情况下,Telnet重定向监听端口与IP地址没有对应关系 用户和设备A相连,设备A通过异步串口和设备B相连。在设备A上配置redirect enable和redirect listen-port port-number后,用户就可以使用“telnet 设备A的IP地址 port-number”来登录设备B,相当于用户直接Telnet登录设备B。如果再使用ip alias ip-address port-number建立Telnet重定向监听端口与IP地址的对应关系后,用户就可以直接执行“telnet ip-address”来登录设备B |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console } first-num2 [ last-num2 ] } |
- |
设置传输速率 |
speed speed-value |
可选 缺省情况下,传输速率为9600bps |
设置数据位的个数 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,用户界面的数据位为8位 设备不支持配置用户界面的数据位为5位和6位 |
设置校验位的解析和生成方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,设备校验位的校验方式为none,即不进行校验 |
设置停止位 |
stopbits { 1 | 1.5 | 2 } |
可选 缺省情况下,停止位为1,设备不支持配置停止位为1.5位 |
配置流量控制方式 |
flow-control { hardware | software | none } |
可选 缺省情况下,流量控制方式为none 设备目前不支持hardware和software参数 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
启动终端服务 |
shell |
可选 缺省情况下,系统在所有的用户界面上启动终端服务 |
设置用户连接的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,用户连接的超时时间为10分钟 |
设置下一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,下一屏显示24行数据 |
设置当前用户界面下的终端显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI |
设置历史命令缓冲区可存放的历史命令的条数 |
history-command max-size size-value |
可选 缺省情况下,历史命令缓冲区可存放10条历史命令 |
退回用户视图 |
return |
- |
锁定用户界面,防止未授权的用户操作该界面 |
lock |
可选 缺省情况下,系统不会自动锁住当前用户界面 |
设备支持两种终端显示类型:ANSI和VT100。当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型。
配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | vty } first-num2 [ last-num2 ] } |
- |
配置自动执行命令 |
auto-execute command command |
必选 缺省情况下,未设定自动执行命令 |
· Console口不支持auto-execute command命令。
· 使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。
· 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、CON、AUX用户登录进来更改配置,以便出现问题后,能删除该配置。
用户级别用来限制不同用户对设备的访问权限。如果用户登录时使用的认证方式为scheme(即需要输入用户名和密码),而且是SSH的publickey认证方式时,则用户级别等于用户界面的级别,该级别在用户界面视图下配置,缺省情况下为0;如果用户登录时使用的认证方式为none或者password(即不需要输入用户名),则用户级别等于用户界面的级别。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置从当前用户界面登录系统的用户所能访问的命令级别 |
user privilege level level |
可选 缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0 |
· 关于用户级别的详细介绍请参见“基础配置指导”中的“CLI”。
· 用户级别可以通过用户界面也可以通过AAA认证参数来配置。哪种配置对用户生效由用户登录时使用的认证方式决定。详细介绍请参见“基础配置指导”中的“CLI”。
该配置通过引用ACL,对VTY用户界面的访问权限进行限制。ACL的相关内容请参见“ACL和QoS配置指导”中的“ACL”。
表2-6 配置VTY用户界面访问限制
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY用户界面视图 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } |
- |
|
配置系统对VTY用户界面的访问权限进行限制 |
引用基本/高级ACL对访问权限进行限制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选(二者必选其一) 缺省情况下,系统不对访问权限进行限制 |
引用二层ACL对访问权限进行限制 |
acl acl-number inbound |
表2-7 配置VTY用户界面支持的协议
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VTY用户界面视图 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } |
- |
设置所在用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,系统支持Telnet和SSH协议 |
· 如果配置用户界面支持SSH协议,为确保登录成功,请您务必先配置相应的认证方式为scheme;若配置认证方式为password或none,则protocol inbound ssh配置结果将失败。
· 使用protocol inbound命令配置的协议将在用户下次使用该用户界面登录时生效。
通过在用户界面下配置认证方式,可以实现当用户使用指定用户界面登录时是否需要认证,以提高设备的安全性。设备支持的认证方式有none、password和scheme三种。
如果指定认证方式为none,则下次使用该用户界面登录时不需要进行用户名和密码认证,这种情况可能会带来安全隐患。
如果指定认证方式为password,则下次使用该用户界面登录时需要进行密码认证,输入空的或者错误密码,均会导致登录失败。如果没有设置认证密码:对于AUX、VTY、及MODEM拨号用户,重新登录时,系统将提示“Login password has not been set !”,登录失败;对于其他用户界面,重新登录时(比如Console),为了保证设备的可操作性,可以直接登录,不需要输入密码。关闭连接前,请务必设置该用户界面的登录密码。
如果指定认证方式为scheme,则下次使用该用户界面登录时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。关闭连接前,请务必设置认证用户名和密码。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数(如表2-10所示);如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。缺省情况下,设备对访问用户采用本地认证方式。当用户使用SSH方式登录设备时,该段描述只适用于password认证方式,不适用于publickey认证方式,有关SSH的详细介绍请参见“安全配置指导”中的“SSH”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置用户的认证方式为none |
authentication-mode none |
必选 缺省情况下, 使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证 |
表2-9 配置用户的认证方式为password
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置用户的认证方式为password |
authentication-mode password |
必选 缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证 |
设置本地认证的密码 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的密码 |
表2-10 配置用户的认证方式为scheme(本地认证)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置用户的认证方式为scheme |
authentication-mode scheme |
必选 缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证 |
配置用户界面所能访问的命令级别 |
请参见“2.6 通过用户界面配置用户级别” |
可选 缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0 |
退回到系统视图 |
quit |
- |
设置认证的用户名,并进入本地用户视图 |
local-user user-name |
必选 缺省情况下,设备中没有设置本地用户 |
设置认证的密码 |
password { cipher | simple } password |
必选 |
设置用户可以使用的服务类型 |
service-type { ssh | telnet | terminal } * |
必选 当使用VTY用户界面用户登录时服务类型需要配置为telnet或ssh,当使用Console或者Aux用户界面用户登录时服务类型需要配置terminal |
配置用户的属性 |
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } * |
可选 缺省情况下,FTP/SFTP用户可以访问设备的根目录,用户的级别为0。可以使用该命令进行修改。关于此命令的介绍请参见“安全配置指导” |
local-user、password、service-type和authorization-attribute命令的详细介绍请参见“安全命令参考”中的“AAA”。
缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。
因为授权服务器是通过用户名来查找用户可授权使用的命令行列表的,所以命令行授权功能的配置分为三步:
(1) 配置用户认证方式为scheme。
(2) 使能命令行授权功能,请参见表2-11。
(3) 配置命令行授权方案,在方案中配置授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
使能命令行授权功能 |
command authorization |
必选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 |
命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中控制、监控用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。
命令行计费功能的配置分为两步:
(1) 使能命令行计费功能,请参见表2-12。
(2) 配置命令行计费方案,在方案中配置计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
使能命令行计费功能 |
command accounting |
必选 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置启动终端会话的快捷键 |
activation-key character |
可选 缺省情况下,按<Enter>键启动终端会话 |
配置终止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,按<Ctrl+C>组合键终止当前运行的任务 |
VTY用户界面不支持activation-key命令。
表2-14 向指定的用户界面发送消息
操作 |
命令 |
说明 |
向指定的用户界面发送消息 |
send { all | num1 | { aux | console | vty } num2 } |
必选 该命令在用户视图下执行 |
系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰的话,管理员可以使用以下命令强制断开该用户的连接。
表2-15 释放指定用户界面上建立的连接
操作 |
命令 |
说明 |
释放指定用户界面上建立的连接 |
free user-interface { num1 | { aux | console | vty } num2 } |
必选 该命令在用户视图下执行 |
不能使用该命令释放用户当前自己使用的连接。
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户界面的运行情况,通过查看显示信息验证配置的效果。
操作 |
命令 |
显示设备作为Telnet客户端的相关配置信息 |
display telnet client configuration [ | { begin | exclude | include } regular-expression ] |
显示用户界面的使用信息 |
display users [ all ] [ | { begin | exclude | include } regular-expression ] |
显示用户界面的相关信息 |
display user-interface [ num1 | { aux | console | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ] |
为了保证Device的安全,需要对登录用户进行限制:
· 设备管理员Host A通过Console口接入设备,登录设备时,不需要输入用户名和密码即可登录、操作设备。
· 用户Host B通过以太网接入设备,登录设备时不需要输入用户名,只需要输入密码,认证通过后才可登录、操作设备。
· 用户Host C通过PSTN网络接入设备,拨号登录设备时需要输入用户名和密码,认证通过后才可登录、操作设备。优先使用RADIUS远程认证,如果RADIUS服务器故障或者链路故障,则使用本地认证(本地用户名为monitor,密码为123)。
图2-1 用户认证配置组网图
# 在设备上配置IP地址,以保证Device分别与Host B、RADIUS server之间路由可达。(配置步骤略)
# 开启设备的Telnet服务器功能,以便私网和公网用户访问。
<Device> system-view
[Device] telnet server enable
# 配置Console用户的认证方式为none,即用户通过Console口登录设备时,不需要输入用户名和密码,因为是管理员,所以权限设置为3,可以使用设备支持的所有命令。
[Device] user-interface console 0
[Device-ui-console0] authentication-mode none
[Device-ui-console0] user privilege level 3
[Device-ui-console0] quit
# 配置VTY用户0~4的认证方式为password,即Host B登录设备时,不需要输入用户名,但需要输入密码123,可以使用缺省级别为2的命令。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode password
[Device-ui-vty0-4] set authentication password cipher 123
[Device-ui-vty0-4] user privilege level 2
[Device-ui-vty0-4] quit
# 配置VTY用户5的认证方式为scheme,即Host C拨号登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令级别由AAA服务器上的配置决定。
[Device] user-interface vty 5
[Device-ui-vty5] authentication-mode scheme
[Device-ui-vty5] quit
# 配置RADIUS方案:认证服务器的IP地址:UDP端口号为192.168.2.20:1812(该端口号必须和RADIUS服务器上的设置一致),报文的加密密码是expert,支持与服务器交互扩展报文,登录时不需要输入域名,使用缺省域。
[Device] radius scheme rad
[Device-radius-rad] primary authentication 192.168.2.20 1812
[Device-radius-rad] key authentication expert
[Device-radius-rad] server-type extended
[Device-radius-rad] user-name-format without-domain
[Device-radius-rad] quit
# 配置缺省域的AAA方案,优先使用RADIUS方案,如果与RADIUS服务器的通信故障,则使用本地认证。
[Device] domain system
[Device-isp-system] authentication login radius-scheme rad local
[Device-isp-system] authorization login radius-scheme rad local
[Device-isp-system] quit
# 配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令。
[Device] local-user monitor
[Device-luser-admin] password cipher 123
[Device-luser-admin] service-type telnet
[Device-luser-admin] authorization-attribute level 1
为了保证Device的安全,需要对登录用户执行命令的权限进行限制:
用户Host A登录设备后,输入的命令必须先获得HWTACACS服务器的授权,才能执行。否则,不能执行该命令。如果HWTACACS服务器故障导致授权失败,则采用本地授权。
图2-2 命令行授权配置组网图
# 在设备上配置IP地址,以保证Device和Host A、Device和HWTACACS server之间互相路由可达。(配置步骤略)
# 开启设备的Telnet服务器功能,以便用户访问。
<Device> system-view
[Device] telnet server enable
# 配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定。
[Device] user-interface vty 0 15
[Device-ui-vty0-15] authentication-mode scheme
# 使能命令行授权功能,限制用户只能使用授权成功的命令。
[Device-ui-vty0-15] command authorization
[Device-ui-vty0-15] quit
# 配置HWTACACS方案:授权服务器的IP地址:UDP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary authentication 192.168.2.20 49
[Device-hwtacacs-tac] primary authorization 192.168.2.20 49
[Device-hwtacacs-tac] key authentication expert
[Device-hwtacacs-tac] key authorization expert
[Device-hwtacacs-tac] server-type standard
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行授权AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] authentication login hwtacacs-scheme tac local
[Device-isp-system] authorization command hwtacacs-scheme tac local
[Device-isp-system] quit
# 配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令。
[Device] local-user monitor
[Device-luser-admin] password cipher 123
[Device-luser-admin] service-type telnet
[Device-luser-admin] authorization-attribute level 1
为便于集中控制、监控用户对设备的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录。
图2-3 命令行计费配置组网图
# 开启设备的Telnet服务器功能,以便用户访问。
<Device> system-view
[Device] telnet server enable
# 配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Device] user-interface console 0
[Device-ui-console0] command accounting
[Device-ui-console0] quit
# 配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Device] user-interface vty 0 15
[Device-ui-vty0-15] command accounting
[Device-ui-vty0-15] quit
# 配置HWTACACS方案:计费服务器的IP地址:UDP端口号为192.168.2.20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary accounting 192.168.2.20 49
[Device-hwtacacs-tac] key accounting expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行计费AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] accounting command hwtacacs-scheme tac
[Device-isp-system] quit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!