- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-登录设备命令
本章节下载: 03-登录设备命令 (686.90 KB)
目 录
1.1.7 display | original-encoding
1.1.8 display https ssl-server-policy
1.1.15 display websocket connection
1.1.21 history-command max-size
1.1.27 http slow-attack defense enable
1.1.44 redirect refuse-negotiation
1.1.48 set authentication password
1.1.52 stopbit-error intolerance
1.1.58 telnet server acl-deny-log enable
1.1.62 telnet server ipv6 dscp
1.1.63 telnet server ipv6 port
1.1.64 telnet server login-failed threshold-alarm
1.1.66 terminal character-encoding
1.1.72 web https-authorization mode
TTY用户线的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
MSR1008 |
不支持 |
|
MSR1004-G |
不支持 |
|
MSR1004-G-5GCN |
不支持 |
|
MSR2630E-X1 |
支持 |
|
MSR3610E-X1、MSR3610E-X1-DP |
不支持 |
|
MSR3610-G-X3-DP、MSR3610-G-X3、MSR3610-G-X3-DP-DC、 MSR3610-G-X3-DC |
支持 |
|
MSR3620-G-X3 |
支持 |
|
型号 |
说明 |
|
MSR2660-XS |
不支持 |
|
MSR2680-XS |
不支持 |
|
型号 |
说明 |
|
MSR2600-12X-WiNet |
不支持 |
|
MSR2610-13X-WiNet |
不支持 |
对于同时支持用户线视图和用户线类视图的命令,本文中的命令描述只描述用户线视图下命令的作用,对于用户线类视图下该命令的作用,请按照下列规则进行类推:
· 用户线视图下的配置只对该用户线生效,用户线类视图下的配置对该类用户线生效。
· 非缺省配置优先于缺省配置。如果在用户线视图、用户线类视图下都是非缺省配置,则用户线视图下的配置优先于用户线类视图下的配置。
· 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
activation-key命令用来配置启动终端会话的快捷键。
undo activation-key命令用来恢复缺省情况。
【命令】
activation-key key-string
undo activation-key
【缺省情况】
按<Enter>键启动终端会话。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
key-string:定义启动终端会话的快捷键,可以是区分大小写的单个字符,也可以是单个字符或组合键对应的ACSII码(0~127)。比如设置activation-key 1,此时生效快捷键为Ctrl+A;如果设置activation-key a,生效的快捷键为a。单个字符的快捷键对应的ASCII码与标准的ASCII码表一致,组合键对应的ASCII码请参见表1-1。
【使用指导】
VTY用户线视图/VTY用户线类视图不支持该命令。
在用户线/用户线类视图下,该命令的配置结果将立即生效。
如果使用activation-key命令设置了其他快捷键,则新的快捷键将代替<Enter>键来启动终端会话。新设置的快捷键可以使用display current-configuration | include activation-key命令查看。
如果用户线视图下配置activation-key为缺省值,并且此时用户线类视图下配置了activation-key,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
表1-1 Ctrl+X组合键对应的ASCII码表
|
Ctrl+X组合键 |
对应的ASCII码 |
|
CTRL+A |
1 |
|
CTRL+B |
2 |
|
CTRL+C |
3 |
|
CTRL+D |
4 |
|
CTRL+E |
5 |
|
CTRL+F |
6 |
|
CTRL+G |
7 |
|
CTRL+H |
8 |
|
CTRL+I |
9 |
|
CTRL+J |
10 |
|
CTRL+K |
11 |
|
CTRL+L |
12 |
|
CTRL+M |
13 |
|
CTRL+N |
14 |
|
CTRL+O |
15 |
|
CTRL+P |
16 |
|
CTRL+Q |
17 |
|
CTRL+R |
18 |
|
CTRL+S |
19 |
|
CTRL+T |
20 |
|
CTRL+U |
21 |
|
CTRL+V |
22 |
|
CTRL+W |
23 |
|
CTRL+X |
24 |
|
CTRL+Y |
25 |
|
CTRL+Z |
26 |
|
CTRL+ [ |
27 |
|
CTRL+\ |
28 |
|
CTRL+] |
29 |
|
CTRL+^ |
30 |
|
CTRL+_ |
31 |
【举例】
# 指定启动Console用户线终端会话的快捷键为<s>。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] activation-key s
验证过程如下:
· 退出终端会话。
[Sysname-line-console0] return
<Sysname> quit
· 重新使用登录设备,能看到如下显示信息。
Press ENTER to get started.
· 此时,<Enter>键失效,需要按<s>键才能出现用户视图提示符,启动终端会话。
<Sysname>
authentication-mode命令用来设置用户登录设备时的认证方式。
undo authentication-mode命令用来恢复缺省情况。
【命令】
authentication-mode { none | password | scheme }
undo authentication-mode
【缺省情况】
通过Console口登录时认证方式为none,用户可直接登录。
通过VTY用户线登录设备的认证方式为password。
通过TTY用户线登录设备的认证方式为none。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
none:不进行认证。
password:进行密码认证方式。
scheme:进行AAA认证方式。AAA的相关内容请参见“用户接入与认证配置指导”中的“AAA”。
【使用指导】
· 当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。
· 如果设置认证方式为password或scheme,但是没有配置认证密码或者认证用户,会影响下次登录设备。
用户线视图下,authentication-mode与protocol inbound相关联:
· 当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则均取缺省值。
· 当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值。
· 当两条命令都配置成非缺省值,则均取用户线下的配置值。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
在用户线视图/用户线类视图下,该命令的配置结果将在下次登录设备时生效。
【举例】
# 设置用户使用VTY 0用户线登录设备时,不需要认证。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode none
# 设置用户使用VTY 0用户线登录设备时,需要密码认证,认证密码为hello12345。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple hello12345
# 设置用户使用VTY 0用户线,采用Telnet方式登录设备时采用本地AAA认证,用户名为test,认证密码为hello12345,服务类型为Telnet,用户角色为network-admin。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode scheme
[Sysname-line-vty0] quit
[Sysname] local-user test
[Sysname-luser-manage-test] password simple hello12345
[Sysname-luser-manage-test] service-type telnet
[Sysname-luser-manage-test] authorization-attribute user-role network-admin
【相关命令】
· set authentication password
auto-execute command命令用来设置自动执行命令。
undo auto-execute command命令用来恢复缺省情况。
【命令】
auto-execute command command
undo auto-execute command
【缺省情况】
未配置自动执行命令。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
command:需要自动执行的某条命令。
【使用指导】
· 在配置auto-execute command命令之前,请确保可以通过其他用户线登录系统,以便出现问题后,能删除该配置。
· 执行该命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用。
用户在登录时设备会自动执行auto-execute command配置好的命令,执行完命令后,自动断开用户连接。
在用户线视图/用户线类视图下配置该命令时,需要注意:
· Console用户线视图/Console用户线类视图不支持该命令。
· 如果用户线视图下配置auto-execute command为缺省值,并且此时用户线类视图下配置了auto-execute command,那么用户线类视图下的配置生效;如果用户线类视图下未配置,则用户线视图下的配置生效。
使用该命令设置的自动执行命令将在下次登录设备时生效。
【举例】
# 配置用户从VTY0登录本设备(IP地址为192.168.1.40)后,自动Telnet到IP地址为192.168.1.41的设备。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] auto-execute command telnet 192.168.1.41
This action will lead to configuration failure through line-vty0. Are you sure?
[Y/N]:y
[Sysname-line-vty0]
结果验证:
重新Telnet登录到本设备,设备会自动执行telnet 192.168.1.41命令,在Telnet客户端会看到以下显示信息。
C:\> telnet 192.168.1.40
******************************************************************************
* Copyright (c) 2004-2020 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
******************************************************************************
* Copyright (c) 2004-2020 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
此时相当于用户直接登录了192.168.1.41设备。如果用户断开与192.168.1.41的Telnet连接,用户与192.168.1.40设备的Telnet连接也会同时自动断开。
command accounting命令用来开启命令行计费功能。
undo command accounting命令用来关闭命令行计费功能。
【命令】
command accounting
undo command accounting
【缺省情况】
命令行计费功能处于关闭状态,即计费服务器不会记录用户执行的命令行。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【使用指导】
开启命令行计费功能后,如果未配置命令行授权功能,则当前用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。
在用户线视图/用户线类视图下,该命令的配置结果将在下次登录设备时生效。
如果在用户线类视图下使用command accounting命令使能了命令行计费功能,则该类型用户线视图都使能命令行计费功能,且用户线视图下无法使用undo command accounting恢复缺省情况。
【举例】
# 设置用户使用VTY 0用户线登录设备时,执行的命令需要在HWTACACS服务器上做记录。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] command accounting
【相关命令】
· accounting command(用户接入与认证命令参考/AAA)
· command authorization
command authorization命令用来开启命令行授权功能。
undo command authorization命令用来关闭命令行授权功能。
【命令】
command authorization
undo command authorization
【缺省情况】
命令行授权功能处于关闭状态,即用户登录后执行命令行不需要服务器授权。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【使用指导】
开启命令行授权功能后,使用该用户线登录的用户只能执行服务器授权的命令,服务器没有授权的命令不能执行。
系统进行命令行授权时会用到登录用户的用户名和密码,所以,必须设置登录用户的认证方式为AAA认证(scheme)。如果将登录用户的认证方式设置为无需认证(none)或者使用密码认证(password),同时配置了命令行授权功能,此时,命令行授权功能不生效。
在用户线视图/用户线类视图下该命令的配置结果将在下次登录设备时生效。
如果在用户线类视图下使用command authorization命令开启了命令行授权功能,则该类型用户线视图都开启命令行授权功能,且用户线视图下无法使用undo command authorization恢复缺省情况。
【举例】
# 设置用户使用VTY 0用户线登录设备时,需要服务器授权才能执行命令。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] command authorization
【相关命令】
· command accounting
· authorization command(用户接入与认证命令参考/AAA)
databits命令用来设置数据位的个数。
undo databits命令用来恢复缺省情况。
【命令】
databits { 7 | 8 }
undo databits
【缺省情况】
用户线的数据位为8位。
【视图】
用户线视图
【缺省用户角色】
network-admin
【参数】
7:数据位为7位,即使用7比特来表示一个字符。
8:数据位为8位,即使用8比特来表示一个字符。
【使用指导】
VTY用户线类视图不支持该命令。
访问终端和设备相应用户线下数据位的设置必须一致,双方才能正常通信。
【举例】
# 设置数据位为7位。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] databits 7
display | original-encoding命令用来将显示命令的显示信息转换成指定编码输出。
【命令】
display command | original-encoding { gb18030 | utf-8 }
【缺省情况】
原始编码格式为系统编码。
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
gb18030:表示使用GB18030作为字符集编码格式。
utf-8:表示使用UTF-8作为字符集编码格式。
【使用指导】
执行display command命令,设备将使用当前的系统编码格式输出显示信息;执行display command | original-encoding { gb18030 | utf-8 }命令,设备将显示信息转换成指定的编码格式输出。
display | original-encoding命令主要用来帮助用户检查当前配置或者显示信息在新的编码格式下能否正常解析,如果不能正常解析,请修改不能正常解析的命令行,再重启设备切换编码格式,或者重启设备切换编码格式后,重新配置不能正常解析的命令行。
【举例】
# 将原始信息转换成UTF-8编码格式显示。
<Sysname> display current-configuration | include sysname | origin-encoding utf-8
sysname 中文
【相关命令】
· display character-encoding
· terminal character-encoding
display https ssl-server-policy命令用来显示与HTTPS服务关联的SSL服务器端策略相关信息。
【命令】
display https ssl-server-policy [ port port-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
port port-number:显示指定特定服务端口的相关信息。port-number表示HTTPS服务的端口号,取值范围为1~65535。如果不指定该参数,则显示所有HTTPS服务端口的相关信息。
【使用指导】
通过本命令可以查看与HTTPS服务关联的SSL服务器端策略相关信息,包括打开的服务端口,注册的URL,策略名称等。
【举例】
# 显示与HTTPS服务关联的SSL服务器端策略相关信息。
<Sysname>display https ssl-server-policy
HTTPS port: 832
Address family: IPv4
SSL server policy: Not configured
URL: /soap/netconf/
------------------------------------------
HTTPS port: 832
Address family: IPv6
SSL server policy: Not configured
URL: /soap/netconf/
------------------------------------------
HTTPS port: 443
Address family: IPv4
SSL server policy: policy-test
URL: /doc/
/websocket/cli/
/api/v1/deviceList
/doc/
/websocket/cli
/wnm/
/wnm/check.j
/wnm/frame/changepswd.php
/wnm/frame/login.php
/wnm/frame/redirect.php
/wnm/vcode.bmp
/wnm/weakPasswordLog.j
------------------------------------------
HTTPS port: 443
Address family: IPv6
SSL server policy: policy-test
URL: /doc/
/websocket/cli/
/api/v1/deviceList
/doc/
/websocket/cli
/wnm/
/wnm/check.j
/wnm/frame/changepswd.php
/wnm/frame/login.php
/wnm/frame/redirect.php
/wnm/vcode.bmp
/wnm/weakPasswordLog.j
------------------------------------------
表1-2 display https ssl-server-policy命令显示信息描述表
|
字段 |
描述 |
|
HTTPS port |
HTTPS服务使用的端口号 |
|
Address family |
地址族类型,取值包括: · IPv4 · IPv6 |
|
SSL server policy |
与HTTPS服务关联的SSL服务器端策略名,Not configured表示未配 |
|
URL |
注册服务的URL |
【相关命令】
· display ssl server-policy(安全命令参考/SSL)
· ip https ssl-server-policy
· ssl server-policy(安全命令参考/SSL)
display line命令用来显示用户线的相关信息。
【命令】
display line [ number1 | { console | tty | vty } number2 ] [ summary ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
number1:用户线的编号(绝对编号方式) 。
console:Console用户线。
tty:TTY用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式)。
summary:显示用户线的摘要信息。不使用该参数时,将显示用户线类型、绝对/相对编号、传输速率、认证方式及接入接口;使用该参数时,将显示正在使用和未使用的用户线数目和类型。
【举例】
# 显示用户线0的相关信息。
<Sysname> display line 0
Idx Type Tx/Rx Modem Auth Int Location
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表1-3 display line命令显示信息描述表
|
字段 |
描述 |
|
+ |
表示当前正在使用的用户线 |
|
F |
表示当前正在使用的用户线,且工作在异步方式 |
|
Idx |
用户线的绝对编号 |
|
Type |
用户线的类型及相对编号 |
|
Tx/Rx |
用户线的速率 |
|
Modem |
(暂不支持)Modem的呼入/呼出开关,取值有in(允许呼入)、out(允许呼出)、inout(允许呼入呼出),缺省显示“-”(表示未配置) |
|
Auth |
使用该用户线登录的用户的认证方式,取值有A、L、N和P四种方式 |
|
Int |
用户线对应的物理接口的简称表示(Console口以及没有对应接口的用户线均显示“-”) |
|
Location |
用户线的物理位置,显示为“槽位号/CPU编号” |
|
A |
表示使用AAA认证方式,对应的authentication-mode为scheme |
|
N |
表示无需认证,对应的authentication-mode为none |
|
P |
表示使用当前用户线的密码进行认证,对应的authentication-mode为password |
# 显示所有用户线的摘要信息。
<Sysname> display line summary
Line type : [VTY]
10:UUXX XXXX XXXX XXXX
26:XXXX XXXX XXXX XXXX
42:XXXX XXXX XXXX XXXX
58:XXXX XXXX XXXX XXXX
2 lines used. (U)
72 lines not used. (X)
表1-4 display line summary命令显示信息描述表
|
字段 |
描述 |
|
Line type |
用户线类型: · CON表示Console用户线 · TTY表示TTY用户线 · VTY表示VTY用户线 |
|
0:UXXX XXXX XX |
0表示用户线的绝对编号 X表示当前没有用户使用该用户线 U表示当前有用户使用该用户线 |
|
lines used. (U) |
当前正在使用的用户线的数目(即U字符数量) |
|
lines not used. (X) |
当前未使用的用户线的数目(即X字符数量) |
display telnet client命令用来显示设备作为Telnet客户端的配置信息。
【命令】
display telnet client
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
目前该命令显示的是Telnet客户端源IPv4地址或源接口的配置信息。用户可以使用telnet client source命令指定Telnet客户端源IPv4地址或源接口。
【举例】
# 显示设备作为Telnet客户端的相关配置信息。
<Sysname> display telnet client
The source IP address is 1.1.1.1.
以上显示信息表示设备作为Telnet客户端时,发送Telnet报文的源IPv4地址为1.1.1.1。
【相关命令】
· telnet client source
display user-interface命令用来显示用户线的相关信息。
【命令】
display user-interface [ number1 | { console | tty | vty } number2 ] [ summary ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
number1:用户线的编号(绝对编号方式) 。
console:Console用户线。
tty:TTY用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式) 。
summary:显示用户线的摘要信息。不使用该参数时,将显示用户线类型、绝对/相对编号、传输速率、认证方式及接入接口;使用该参数时,将显示正在使用和未使用的用户线数目和类型。
【使用指导】
该命令实现与display line一致,仅为与旧版本兼容保留,请使用display line。
【举例】
# 显示用户线0的相关信息。
<Sysname> display user-interface 0
Idx Type Tx/Rx Modem Auth Int Location
+ 3 VTY 0 - N - 0/0
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表1-5 display user-interface命令显示信息描述表
|
字段 |
描述 |
|
+ |
表示当前正在使用的用户线 |
|
F |
表示当前正在使用的用户线,且工作在异步方式 |
|
Idx |
用户线的绝对编号 |
|
Type |
用户线的类型及相对编号 |
|
Tx/Rx |
用户线的速率 |
|
Modem |
(暂不支持)Modem的呼入/呼出开关,取值有in(允许呼入)、out(允许呼出)、inout(允许呼入呼出),缺省显示“-”(表示未配置) |
|
Auth |
使用该用户线登录的用户的认证方式,取值有A、L、N和P四种方式 |
|
Int |
用户线对应的物理接口的简称表示(Console口以及没有对应接口的用户线均显示“-”) |
|
Location |
用户线的物理位置,显示为“槽位号/CPU编号” |
|
A |
表示使用AAA认证方式,对应的authentication-mode为scheme |
|
N |
表示无需认证,对应的authentication-mode为none |
|
P |
表示使用当前用户线的密码进行认证,对应的authentication-mode为password |
# 显示所有用户线的摘要信息。
<Sysname> display user-interface summary
Line type : [VTY]
10:UXUX XXXX XXXX XXXX
26:XXXX XXXX XXXX XXXX
42:XXXX XXXX XXXX XXXX
58:XXXX XXXX XXXX XXXX
2 lines used. (U)
72 lines not used. (X)
表1-6 display user-interface summary命令显示信息描述表
|
字段 |
描述 |
|
Line type |
用户线类型: · CON表示Console用户线 · TTY表示TTY用户线 · VTY表示VTY用户线 |
|
0:UXXX XXXX XX |
0表示用户线的绝对编号 X表示当前没有用户使用该用户线 U表示当前有用户使用该用户线 |
|
lines used. (U) |
当前正在使用的用户线的数目(即U字符数量) |
|
lines not used. (X) |
当前未使用的用户线的数目(即X字符数量) |
display users命令用来显示正在使用的用户线以及用户的相关信息。
【命令】
display users [ all ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示设备支持的所有用户线以及用户的相关信息。
【举例】
# 显示正在使用的用户线以及用户的相关信息。
<Sysname> display users
Idx Line Idle Time Pid Type
+ 10 VTY 0 00:00:00 Jan 01 00:33:10 484 TEL
12 VTY 2 00:06:22 Jan 01 00:33:22 495 TEL
Following are more details.
VTY 0 :
User role list: network-admin network-operator
Location: 192.168.1.107
VTY 2 :
User role list: level-0 network-admin network-operator
Location: 192.168.1.134
+ : Current operation user.
F : Current operation user works in async mode.
表1-7 display users命令显示信息描述表
|
字段 |
描述 |
|
Idx |
用户线的绝对编号 |
|
Line |
用户线的相对编号,第一列(例如VTY)表示用户线的类型,第二列(例如0)表示用户线的相对编号 |
|
Idle |
空闲时间,表明用户和设备没有报文交互的时间长度,格式为hh:mm:ss。当空闲时间大于等于24小时时,显示为old |
|
Time |
用户本次登录的时间 |
|
Pid |
用户对应的进程ID(CLI用户登录时,系统会自动运行一个用户登录进程来监控用户的操作) |
|
Type |
显示用户的登录方式: · TEL表示用户通过Telnet方式登录设备 · SSH表示用户通过SSH方式登录设备 · 无显示信息表示用户通过Console口方式登录设备 |
|
+ |
当前操作用户 |
|
User role list |
使用该用户线登录的用户的用户角色列表 |
|
Location |
使用该用户线登录的用户的位置信息(即用户的IP地址) |
|
F |
当前操作用户工作在异步模式 |
display web menu命令用来显示Web的页面菜单树。
【命令】
display web menu [ chinese ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
chinese:显示Web的页面中文菜单树。不指定该参数时,显示Web的页面英文菜单树。
【使用指导】
配置用户角色对应的Web菜单项时,可以使用该命令查看系统支持的全部菜单树。
【举例】
# 显示全部Web菜单信息。
<Sysname> display web menu
.
`--Device: ID = m_device
|--Summary: ID = m_panel
| |--System Information: ID = i_main
| `--Device Information: ID = i_panel
|--Basic Settings: ID = m_device_basic
| |--Device Name: ID = i_device_sysname
| `--Web Idle Timeout: ID = i_device_webidle
|--Device Maintenance: ID = m_maintains
| `--Reboot: ID = i_reboot
|--System Time: ID = m_datetime
| |--UTC Time: ID = i_systime
| `--Time Zone: ID = i_timezone
|--System Log: ID = m_log
| |--Log List: ID = i_syslog
| |--Log Host: ID = i_loghost
| `--Log Setup: ID = i_logsetup
|--Port Management: ID = m_port
| |--Summary: ID = i_portsummary
| `--Setup: ID = i_portsetup
|--Interface Statistics: ID = m_int_statistic
| `--Interface Statistics: ID = i_statistic_summary
`--Configuration: ID = m_config
|--Save: ID = i_save
|--Backup: ID = i_backup
|--Restore: ID = i_restore
|--Import: ID = i_import
`--Export: ID = i_export
display web users命令用来显示Web用户的相关信息。
【命令】
display web users
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示当前Web用户的相关信息。
<Sysname> display web users
UserID Name Type Language JobCount LoginTime LastOperation
AB2039483271293 Administrator HTTP Chinese 3 12:00:23 14:10:05
F09382BA2014AC8 user HTTPS English 1 13:05:00 14:11:00
表1-8 display web users命令显示信息描述表
|
字段 |
描述 |
|
UserID |
Web用户的ID号,用来唯一标识一个登录用户 |
|
Name |
Web用户的登录用户名 |
|
Type |
Web用户登录使用的协议类型: · HTTP表示Hypertext Transfer Protocol · HTTPS表示基于安全套接字的Hypertext Transfer Protocol |
|
Language |
Web用户登录时使用的语言: · Chinese表示中文 · English表示英文 |
|
JobCount |
Web用户建立的连接数量 |
|
LoginTime |
Web用户的登录时间 |
|
LastOperation |
Web用户的最后操作时间 |
display websocket connection命令用来显示WebSocket服务当前的连接信息。
【命令】
display websocket connection
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
设备作为WebSocket服务器与客户端创建连接后,可以主动向客户端推送数据,客户端也可以向服务器发送信息,两者间保持一种双向的连接,使用此命令可以随时查看WebSocket服务器与客户端的连接信息。
【举例】
# 显示WebSocket服务当前的连接信息。
<Sysname> display websocket connection
Connection ID: 1
Status: established
Established at: 2022-01-23T15:11:19
PktSendCount: 10
PktRecvCount: 22
PktRecvErrCount: 1
表1-9 display websocket connection命令显示信息描述表
|
字段 |
描述 |
|
Connection ID |
客户端建立的WebSocket连接ID编号 |
|
Status |
WebSocket连接的状态: · Connecting:握手阶段 · Established:连接建立 |
|
Established at |
连接建立的时间,connecting阶段该字段不显示 |
|
PktSendCount |
基于当前连接向Web前端页面发送的WebSocket报文数 |
|
PktRecvCount |
基于当前连接从Web前端页面接收的WebSocket报文数 |
|
PktRecvErrCount |
基于当前连接从Web前端页面接收的错误WebSocket报文数 |
escape-key命令用来配置终止运行任务(比如ping命令等)的快捷键。
undo escape-key命令用来取消快捷键的配置,包括缺省快捷键。
【命令】
escape-key { key-string | default }
undo escape-key
【缺省情况】
按<Ctrl+C>组合键终止运行的任务。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
key-string:定义终止运行任务的快捷键,可以是区分大小写的单个字符(字符“d”和“D”除外),也可以是单个字符或组合键对应的ACSII码(0~127)。比如设置escape-key 1,此时生效快捷键为Ctrl+A;如果设置escape-key a,生效的快捷键为a。配置字符“d”和“D”作为终止运行任务的快捷键时系统不会生效,此时<Ctrl+C>为实际的生效快捷键。如确实需要使用字符“d”和“D”作为终止运行任务的快捷键,可以配置key-string为字符“d”和“D”对应的ACSII码。单个字符的快捷键对应的ASCII码与标准的ASCII码表一致,组合键对应的ASCII码请参见“activation-key”命令中的 “Ctrl+X组合键对应的ASCII码表”。
default:恢复为缺省的快捷键<Ctrl+C>。
【使用指导】
用户可以按<Ctrl+C>组合键来终止ping、tracert等正在执行的任务,以便输入新的命令。如果配置了escape-key,则用户可以用新配置的快捷键来代替<Ctrl+C>。命令行是否支持<Ctrl+C>终止与功能模块的软件实现有关,请参见相关命令行的描述。
如果设置的快捷键为单个字符,且有任务可终止,则输入快捷键会终止命令的执行;如果没有任务可终止,则输入的快捷键会作为普通的编辑字符。
如果在Device A某用户线下设置了单个字符key-string为任务终止快捷键,当使用该用户线登录到Device A,又通过Device A以telnet方式到Device B,这时的key-string在Device B上将被视为编辑字符进行输入。如果telnet到Device B时所使用的用户线下配置了相同的key-string,此时key-string在有任务运行时可以中止任务。
新设置的快捷键可以使用display current-configuration | include escape-key命令来查看。
如果用户线视图下配置escape-key为缺省值,并且此时用户线类视图下配置了escape-key,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
用户线视图下使用本命令配置的快捷键立即生效;用户线类视图下配置的快捷键将在下次登录时生效。
【举例】
# 配置VTY0终止运行任务的快捷键为a。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] escape-key a
验证过程如下:
· 使用ping命令检查IP地址为192.168.1.49的设备是否可达,并用-c参数指定发送ICMP回显请求报文的数目为20。
<Sysname> ping -c 20 192.168.1.49
Ping 192.168.1.49 (192.168.1.49): 56 data bytes, press 'a' to break
56 bytes from 192.168.1.49: icmp_seq=0 ttl=255 time=1.000 ms
56 bytes from 192.168.1.49: icmp_seq=1 ttl=255 time=0.000 ms
· 键入a,任务立即终止,并返回到当前视图。
--- Ping statistics for 192.168.1.49 ---
20 packet(s) transmitted, 20 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.200/1.000/0.400 ms
<Sysname>
flow-control命令用来配置流量控制方式。
undo flow-control命令用来恢复缺省情况。
【命令】
flow-control { hardware | none | software }
flow-control hardware direction1 [ software direction2 ]
flow-control software direction1 [ hardware direction2 ]
undo flow-control
flow-control hardware direction1 [ software direction2 ]和flow-control software direction1 [ hardware direction2 ]命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
MSR1008 |
不支持 |
|
MSR1004-G |
不支持 |
|
MSR1004-G-5GCN |
不支持 |
|
MSR2630E-X1 |
支持 |
|
MSR3610E-X1、MSR3610E-X1-DP |
不支持 |
|
MSR3610-G-X3-DP、MSR3610-G-X3、MSR3610-G-X3-DP-DC、 MSR3610-G-X3-DC |
支持 |
|
MSR3620-G-X3 |
支持 |
|
型号 |
说明 |
|
MSR2660-XS |
不支持 |
|
MSR2680-XS |
不支持 |
|
型号 |
说明 |
|
MSR2600-12X-WiNet |
不支持 |
|
MSR2610-13X-WiNet |
不支持 |
【缺省情况】
没有配置流量控制方式。
【视图】
用户线视图
【缺省用户角色】
network-admin
【参数】
hardware:进行硬件方式的流量控制。
none:不进行流量控制。
software:进行软件方式的流量控制。
direction1、direction2:表示流量控制的方向,取值为in或out,in表示入方向,即本设备接受远端设备流量控制;out表示出方向,即本设备流量控制远端设备。
【使用指导】
VTY用户线视图不支持该命令。
流量控制分为in和out两个方向,in表示本设备能够接受远端设备流量控制,out表示本设备能够流量控制远端设备。流量控制方式又分为hardware、software和none三种,同一个方向,只能配置一种流量控制方式。
· 如果要给in和out方向配置相同的流量控制方式,请使用命令flow-control { hardware | software | none }。
· 如果要给in和out方向配置不同的流量控制方式,请使用命令flow-control hardware direction1 [ software direction2 ]或flow-control software direction1 [ hardware direction2 ]。当不指定可选参数时,表示另一个方向的流量控制方式为none(比如配置flow-control hardware in,则系统会自动将out方向配置为无流量控制)。
本设备上in(out)方向配置的流量控制方式和对端设备上out(in)方向配置的流量控制方式必须相同。
【举例】
# 配置Console 0用户线视图下,入方向和出方向都采用软件流量控制方式。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] flow-control software
free line命令用来释放用户线上建立的连接。
【命令】
free line { number1 | { console | tty | vty } number2 }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
number1:用户线的编号(绝对编号方式) 。
console:Console用户线。
tty:TTY用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式)。
【使用指导】
用户不能使用该命令释放自己的连接。
【举例】
# 释放用户线上VTY 1建立的连接。
<Sysname> free line vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free user-interface命令用来释放用户线上建立的连接。
【命令】
free user-interface { number1 | { console | tty | vty } number2 }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
number1:用户线的编号(绝对编号方式)。
console:Console用户线。
tty:TTY用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式)。
【使用指导】
用户不能使用该命令释放自己的连接。
该命令实现与free line一致,仅为与旧版本兼容保留,请使用free line。
【举例】
# 释放用户线上VTY 1建立的连接。
<Sysname> free user-interface vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free web users命令用来强制在线Web用户下线。
【命令】
free web users { all | user-id user-id | user-name user-name }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:所有Web用户。
user-id:Web用户的ID号,为15位十六进制数。系统会自动为每位成功登录的Web用户分配一个用户ID,用户ID用于唯一标识Web用户。
user-name user-name:Web用户的用户名,为1~255个字符的字符串,区分大小写。
【举例】
# 强制所有在线Web用户下线。
<Sysname> free web users all
【相关命令】
· display web users
history-command max-size命令用来设置可以存储的当前用户线下历史命令的条数。
undo history-command max-size命令用来恢复缺省情况。
【命令】
history-command max-size size-value
undo history-command max-size
【缺省情况】
历史命令缓冲区可存储10条历史命令。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
size-value:可存储的历史命令的条数,取值范围为0~256。
【使用指导】
每个用户线对应一个历史命令缓冲区,缓冲区里保存了当前用户最近执行成功的命令,缓冲区的容量决定了可以保存的历史命令的数目。用户使用display history-command命令、上光标键↑或下光标键↓可以随时了解近期成功执行了哪些操作(display history-command命令的详细介绍请参见“基础配置命令参考”中的“CLI”)。同时登录设备的不同用户拥有不同的历史命令缓冲区,互不影响。
用户退出当前会话时,系统会自动清除相应历史命令缓冲区内保存的历史命令。
如果用户线视图下配置history-command max-size为缺省值,并且此时用户线类视图下配置了history-command max-size,那么用户线视图下的生效配置值为用户线类视图下的配置;如果用户线类视图下未配置,则生效的为缺省值。
在用户线视图下使用本命令配置的当前用户线下可存储的历史命令条数立即生效;用户线类视图下配置的可存储的历史命令条数将在下次登录时生效。
【举例】
# 设置VTY0用户线下历史命令缓冲区最多可以存储20条历史命令。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] history-command max-size 20
http acl命令用来使用ACL限制IPv4 HTTP客户端和设备建立TCP连接。
undo http acl命令用来恢复缺省情况。
【命令】
http acl { advanced-acl-number | basic-acl-number }
undo http acl
【缺省情况】
允许所有IPv4 HTTP客户端和设备建立TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
advanced-acl-number:表示高级IPv4 ACL的编号,取值范围为3000~3999。
basic-acl-number:表示基本IPv4 ACL的编号,取值范围为2000~2999。
【使用指导】
执行本命令后,设备只会过滤IPv4 HTTP客户端和设备新建立的TCP连接,不会影响已建立的TCP连接。请注意:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有IPv4 HTTP客户端和设备建立TCP连接。
· 当引用的ACL非空时,只有匹配ACL中permit规则的IPv4 HTTP客户端可以和设备建立TCP连接。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
本命令只限制IPv4 HTTP客户端和设备建立TCP连接。连接建立后,能否访问具体的服务,还要看具体服务的配置。例如:
· NETCONF over Soap会话:只有当本命令和netconf soap acl命令的配置同时允许IPv4 HTTP客户端访问设备时,客户端才能和设备建立会话。
· 通过Web登录设备:只有当本命令和ip http acl命令的配置同时允许IPv4 HTTP客户端访问设备时,客户端才能访问设备。
有关netconf soap acl命令的详细介绍,请参见“可编程网络管理命令参考”中的“NETCONF”。
【举例】
# 配置HTTP服务和IPv4 ACL关联,只允许IPv4地址为1.1.1.1的HTTP客户端和设备建立TCP连接。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] http acl 2001
【相关命令】
· ip http acl
· netconf soap acl(可编程网络管理命令参考/NETCONF)
http idle-timeout命令用来设置HTTP连接空闲超时时间。
undo http idle-timeout命令用来恢复缺省情况。
【命令】
http idle-timeout minutes
undo http idle-timeout
【缺省情况】
HTTP连接空闲超时时间为30分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:指定HTTP连接空闲超时时间,取值范围为1~60,单位为分钟。
【使用指导】
用户登录到HTTP服务器并和服务器建立TCP连接,当连接异常中断时,HTTP服务器无法感知,虽然没有报文传输,连接仍然会维持,造成资源浪费。为解决该问题,可以执行此命令配置HTTP连接空闲超时时间,当连接在配置的时间内没有报文交互,HTTP服务器便认为连接已经失效,断开与客户端的TCP连接。
【举例】
# 设置HTTP连接空闲超时时间为30分钟。
<Sysname> system-view
[Sysname] http idle-timeout 30
http ipv6 acl命令用来使用ACL限制IPv6 HTTP客户端和设备建立TCP连接。
undo http ipv6 acl命令用来恢复缺省情况。
【命令】
http ipv6 acl { advanced-acl-number | basic-acl-number }
undo http ipv6 acl
【缺省情况】
允许所有IPv6 HTTP客户端和设备建立TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
advanced-acl-number:表示高级IPv6 ACL的编号,取值范围为3000~3999。
basic-acl-number:表示基本IPv6 ACL的编号,取值范围为2000~2999。
【使用指导】
执行本命令后,设备只会过滤IPv6 HTTP客户端和设备新建立的TCP连接,不会影响已建立的TCP连接。请注意:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有IPv6 HTTP客户端和设备建立TCP连接。
· 当引用的ACL非空时,只有匹配ACL中permit规则的IPv6 HTTP客户端可以和设备建立TCP连接。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 配置HTTP服务和IPv6 ACL关联,只允许IPv6地址为2001::1的HTTP客户端和设备建立TCP连接。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl-ipv6-basic-2001] rule permit source 2001::1 128
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] http ipv6 acl 2001
http method命令用来配置HTTP服务在响应OPTIONS请求时返回的方法列表。
undo http method命令用来从响应OPTIONS请求的方法列表中删除指定的方法。
【命令】
http method { delete | get | head | options | post | put } *
undo http method { delete | get | head | options | post | put } *
【缺省情况】
未配置任何方法。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
delete:将DELETE方法添加到返回的方法列表中。
get:将GET方法添加到返回的方法列表中。
head:将HEAD方法添加到返回的方法列表中。
options:将OPTIONS方法添加到返回的方法列表中。
post:将POST方法添加到返回的方法列表中。
put:将PUT方法添加到返回的方法列表中。
【使用指导】
用户通过向设备发送HTTP OPTIONS请求,以探测设备支持的HTTP方法。如果用户请求的URL资源中没有任何服务注册OPTIONS方法,则设备将会根据本配置响应用户请求,否则由被请求服务来响应这个请求。若由设备响应此OPTIONS请求,则响应方式如下:
· 若未配置options参数,则返回405 Method Not Allowed。
· 若配置了options参数,则根据配置生成OPTIONS请求响应返回给用户。
本命令不影响除OPTIONS外的其他任何HTTP请求。
【举例】
# 配置HTTP服务在响应OPTIONS请求时返回的方法列表为GET、HEAD、POST、OPTIONS。
<Sysname> system-view
[Sysname] http method get head post options
http slow-attack命令用来配置慢速攻击的超时时间。
undo http slow-attack命令用来恢复缺省情况。
【命令】
http slow-attack { packet-header-timeout seconds | packet-body-timeout seconds | client-read-timeout seconds } *
undo http slow-attack [ packet-header-timeout seconds | packet-body-timeout seconds | client-read-timeout seconds ] *
【缺省情况】
Slow headers攻击的超时时间为10秒。
Slow body攻击的超时时间为20秒。
Slow read攻击的超时时间为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
packet-header-timeout:Slow headers攻击的超时时间,即客户端向服务端发送一个完整的HTTP请求报文头部的超时时间。
packet-body-timeout:Slow body攻击的超时时间,即客户端向服务端发送一个完整的HTTP请求内容的超时时间。
client-read-timeout:Slow read攻击的超时时间为30秒,即服务端向客户端传输数据的超时时间。
seconds:指定慢速攻击的超时时间,取值范围为1~65535,单位为秒。
【使用指导】
慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。命令的三种超时时间packet-header-timeout、packet-body-timeout、client-read-timeout分别对WEB服务器的三种攻击传输的最大许可时间进行限制,当超时时间到达时设备会自动断开用户连接,以抵御慢速的HTTP拒绝服务攻击。
【举例】
# 配置Slow headers攻击的超时时间为15秒,Slow body攻击的超时时间为25秒,Slow read攻击的超时时间为35秒。
<Sysname> system-view
[Sysname] http slow-attack packet-header-timeout 15 packet-body-timeout 25 client-read-timeout 35
http slow-attack defense enable命令用来开启HTTP慢速攻击防御功能。
undo http slow-attack defense enable命令用来关闭HTTP慢速攻击防御功能。
【命令】
http slow-attack defense enable
undo http slow-attack defense enable
【缺省情况】
HTTP慢速攻击防御功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
HTTP慢速攻击(slow http attack)是一种DoS攻击方式。此攻击根据HTTP和TCP协议发送合法的HTTP流量,但速度非常慢,这种行为消耗了服务器的大量资源,它必须保持连接打开,等待完整的请求到达。这使得HTTP连接一直被占用,导致正常的HTTP请求无法获得回应。
HTTP慢速攻击主要有三种类型:Slow headers、Slow body、Slow read。
· Slow headers(也称slowloris):Web应用在处理HTTP请求之前都要先接收完整的HTTP头部,Web服务器在没接收到2个连续的\r\n时,会认为客户端没有发送完HTTP头部。Slow headers攻击者将一个HTTP请求报文头部分多次慢速发送给服务器,从而一直占用服务器的连接和内存资源。
· Slow body(也称Slow HTTP POST):攻击者发送一个HTTP POST请求,该请求的头部值很大,使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据,但攻击客户端每次只发送很少量的数据,使该连接一直保持存活,消耗服务器的连接和内存资源。
· Slow read(也称Slow Read attack):客户端与服务器建立连接并发送了一个完整的HTTP请求给服务器端,然后一直保持这个连接,以很低的速度读取Response,让服务器误以为客户端很忙,直到连接快超时前才读取一个字节,以消耗服务器的连接和内存资源。
HTTP慢速攻击防御功能开启后,可通过http slow-attack命令来配置慢速攻击的超时时间,设备将根据超时时间来判断设备是否受到攻击,如果受到攻击设备会立即关闭超过会话超时时间的会话连接。
【举例】
# 开启HTTP慢速攻击防御功能。
<Sysname> system-view
[Sysname] http slow-attack defense enable
http url allowlist命令用来配置HTTP访问的URL白名单。
undo http url allowlist命令用来删除指定的URL白名单。
【命令】
http url allowlist url
undo http url allowlist url
【缺省情况】
未指定HTTP访问的URL白名单。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url:表示用户可访问页面的相对路径,为1~255个字符的字符串,不区分大小写。相对路径是指绝对路径除去“协议”、“域名(IP地址)”、“端口号”后剩余的部分。
【使用指导】
当用户通过Web页面登录设备,设备作为HTTP服务器时,若用户点击当前Web页面上的页签或链接,设备会自动生成一个访问目标Web页面的HTTP请求。这个HTTP请求报文中通常会包含Referer字段和Host字段,其中:
· Referer字段取值为当前Web页面的URL,用于标明HTTP请求的来源地址。
· Host字段取值为目标Web页面的URL,用于标明目标HTTP服务器的域名(或IP地址)和端口号。
设备会校验HTTP请求报文中Referer字段和Host字段包含的IP地址部分是否相同,如果两者相同,则认为当前HTTP请求合法,设备会继续处理。如果两者不同,则认为当前HTTP请求非法,可能为攻击报文,而拒绝该请求。
当目标URL为域名格式,或者目标HTTP服务器非本机,请使用本命令将目标URL添加到URL白名单中。当Host字段取值为白名单中的URL时,设备会直接认为该HTTP请求合法,而不再校验HTTP请求报文中的Referer字段和Host字段。
最多支持配置16个URL白名单。
【举例】
# 配置URL白名单。
<Sysname> system-view
[Sysname] http url allowlist /web/frame/login.html
https acl命令用来使用ACL限制IPv4 HTTPS客户端和设备建立TCP连接。
undo https acl命令用来恢复缺省情况。
【命令】
https acl { advanced-acl-number | basic-acl-number }
undo https acl
【缺省情况】
允许所有IPv4 HTTPS客户端和设备建立TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
advanced-acl-number:表示高级IPv4 ACL的编号,取值范围为3000~3999。
basic-acl-number:表示基本IPv4 ACL的编号,取值范围为2000~2999。
【使用指导】
执行本命令后,设备只会过滤IPv4 HTTPS客户端和设备新建立的TCP连接,不会影响已建立的TCP连接。请注意:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有IPv4 HTTPS客户端和设备建立TCP连接。
· 当引用的ACL非空时,只有匹配ACL中permit规则的IPv4 HTTPS客户端可以和设备建立TCP连接。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
本命令只限制IPv4 HTTPS客户端和设备建立TCP连接。连接建立后,能否访问具体的服务,还要看具体服务的配置。例如:
· NETCONF over Soap会话:只有当本命令和netconf soap acl命令的配置同时允许IPv4 HTTPS客户端访问设备时,客户端才能和设备建立会话。
· 通过Web登录设备:只有当本命令和ip https acl命令的配置同时允许IPv4 HTTPS客户端访问设备时,客户端才能访问设备。
有关netconf soap acl命令的详细介绍,请参见“可编程网络管理命令参考”中的“NETCONF”。
【举例】
# 配置HTTPS服务和ACL关联,只允许IPv4地址为1.1.1.1的HTTPS客户端和设备建立TCP连接。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] https acl 2001
【相关命令】
· ip https acl
· netconf soap acl(可编程网络管理命令参考/NETCONF)
https ipv6 acl命令用来使用ACL限制IPv6 HTTPS客户端和设备建立TCP连接。
undo https ipv6 acl命令用来恢复缺省情况。
【命令】
https ipv6 acl { advanced-acl-number | basic-acl-number }
undo https ipv6 acl
【缺省情况】
允许所有IPv6 HTTPS客户端和设备建立TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
advanced-acl-number:表示高级IPv6 ACL的编号,取值范围为3000~3999。
basic-acl-number:表示基本IPv6 ACL的编号,取值范围为2000~2999。
【使用指导】
执行本命令后,设备只会过滤IPv6 HTTPS客户端和设备新建立的TCP连接,不会影响已建立的TCP连接。请注意:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有IPv6 HTTPS客户端和设备建立TCP连接。
· 当引用的ACL非空时,只有匹配ACL中permit规则的IPv6 HTTPS客户端可以和设备建立TCP连接。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 配置HTTPS服务和IPv6 ACL关联,只允许IPv6地址为2001::1的HTTPS客户端和设备建立TCP连接。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl-ipv6-basic-2001] rule permit source 2001::1 128
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] https ipv6 acl 2001
idle-timeout命令用来设置用户连接的超时时间。
undo idle-timeout命令用来恢复缺省情况。
【命令】
idle-timeout minutes [ seconds ]
undo idle-timeout
【缺省情况】
超时时间为10分钟。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
minutes:指定超时时间,取值范围为0~35791,单位为分钟。
seconds:指定超时时间,取值范围为0~59,单位为秒,缺省值为0。
【使用指导】
用户登录后,如果在超时时间内设备和用户间没有消息交互,则超时时间到达时设备会自动断开用户连接。
当超时时间设置为0时,表示设备不会因为超时自动断开用户连接。
如果用户线视图下配置idle-timeout为缺省值,并且此时用户线类视图下配置了idle-timeout,那么用户线视图下的生效配置值为用户线类视图下的配置;如果用户线类视图下未配置,则生效的为缺省值。
用户线视图下使用本命令配置的连接超时时间立即生效;用户线类视图下配置的连接超时时间将在下次登录时生效。
【举例】
# 设置VTY0用户线下用户连接超时时间为1分钟30秒。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] idle-timeout 1 30
ip alias命令用来建立Telnet重定向监听端口与IP地址的对应关系。
undo ip alias命令用来恢复缺省情况。
【命令】
ip alias ip-address port-number
undo ip alias ip-address
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
MSR1008 |
不支持 |
|
MSR1004-G |
不支持 |
|
MSR1004-G-5GCN |
不支持 |
|
MSR2630E-X1 |
支持 |
|
MSR3610E-X1、MSR3610E-X1-DP |
不支持 |
|
MSR3610-G-X3-DP、MSR3610-G-X3、MSR3610-G-X3-DP-DC、 MSR3610-G-X3-DC |
支持 |
|
MSR3620-G-X3 |
支持 |
|
型号 |
说明 |
|
MSR2660-XS |
不支持 |
|
MSR2680-XS |
不支持 |
|
型号 |
说明 |
|
MSR2600-12X-WiNet |
不支持 |
|
MSR2610-13X-WiNet |
不支持 |
【缺省情况】
未配置Telnet重定向监听端口与IP地址的对应关系。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:与Telnet重定向监听端口对应的IP地址。该地址不能为设备上接口的地址,但可以和接口地址同一网段。
port-number:Telnet重定向的监听端口,取值范围为2000~50000。
【使用指导】
用户和设备A相连,能够Telnet登录到设备A,设备A通过异步串口和设备B相连。在设备A上配置redirect enable和redirect listen-port port-number后,用户就可以使用“telnet 设备A的IP地址 port-number”来登录设备B,相当于用户直接Telnet登录设备B。如果再使用ip alias ip-address port-number建立Telnet重定向监听端口与IP地址的对应关系后,用户就可以直接执行“telnet ip-address”来登录设备B。
【举例】
# 配置Telnet重定向监听端口2000对应的IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] ip alias 1.1.1.1 2000
【相关命令】
· redirect enable
· redirect listen-port
· display tcp(三层技术-IP业务命令参考/IP性能优化)
line命令用来进入一个或多个用户线视图。
【命令】
line { first-number1 [ last-number1 ] | { console | tty |vty } first-number2 [ last-number2 ] }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
first-number1:第一个用户线的编号(绝对编号方式) 。
last-number1:最后一个用户线的编号(绝对编号方式),取值范围为1~73 ,取值必须大于first-number1。
console:Console用户线。
tty:TTY用户线。
vty:VTY用户线。
first-number2:第一个用户线的编号(相对编号方式) 。
last-number2:最后一个用户线的编号(相对编号方式) ,取值必须大于first-number2。
【举例】
# 进入VTY 0用户线视图。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0]
# 进入VTY 0~63用户线视图。
<Sysname> system-view
[Sysname] line vty 0 63
[Sysname-line-vty0-63]
【相关命令】
· line class
line class命令用来进入用户线类视图。
【命令】
line class { console | tty | vty }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
console:Console用户线类。
tty:TTY用户线类。
vty:VTY用户线类。
【使用指导】
用户线视图下的配置只对该用户线生效。
用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
line class命令用来进入用户线类视图,line命令用来进入一个或多个用户线视图。对于同时支持这两种视图的命令:
· 用户线视图下的配置优先于用户线类视图下的配置。
· 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值。
用户线类视图下支持的命令有:
· activation-key
· auto-execute command
· authentication-mode
· command accounting
· command authorization
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【举例】
# 在VTY用户线类视图下,将用户连接的超时时间的缺省值设置为15分钟。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] idle-timeout 15
【相关命令】
· line
lock命令用来锁定当前用户线并配置解锁密码,防止未授权的用户操作该用户线。
【命令】
lock
【缺省情况】
系统不会自动锁定当前用户线。
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
用户输入lock命令后,系统提示输入密码(密码最大长度为16个字符),并提示再次输入密码,只有两次输入的密码相同,Lock操作才能成功。如果用户线被锁定,用户需要输入解锁密码才能结束锁定,进入系统。
【举例】
# 锁住当前用户线然后解锁。
<Sysname> lock
Please input password<1 to 16> to lock current line:
Password:
Again:
locked !
此时,命令行用户线被锁定。键入回车,并输入正确的密码后,可以解锁。
Password:
<Sysname>
lock reauthentication命令用来锁定当前用户线并对其进行重新认证。
【命令】
lock reauthentication
【缺省情况】
系统不会对当前用户线进行重新认证。
【视图】
任意视图
【缺省用户角色】
network-admin
【使用指导】
执行该命令后,当前用户线会被锁定。用户需要输入设备登录密码对当前用户线进行重新认证才能结束锁定,进入系统。如果设备未配置登录密码,用户按回车键后将直接进入系统。
需要注意的是,如果在设备登录后修改了登录设备的认证方式或密码,那么锁定用户线后的解锁过程将使用新配置的认证方式及密码。
【举例】
# 输入命令锁定当前用户线,并使用设备登录密码重新登录设备。
<Sysname> lock reauthentication
Please press Enter to unlock the screen.
# 按回车键后,提示输入密码对当前用户线进行重新认证并登录设备。
Password:
<Sysname>
【相关命令】
· lock-key
lock-key命令用来配置对当前用户线进行锁定并重新认证的快捷键。
undo lock-key命令用来恢复缺省情况。
【命令】
lock-key key-string
undo lock-key
【缺省情况】
未设置对当前用户线进行锁定并重新认证的快捷键。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
key-string:指定对当前用户线进行重新认证的快捷键。可以是区分大小写的单个字符,也可以是单个字符或组合键对应的ACSII码(0~127)。例如设置lock-key 1,则快捷键为Ctrl+A;如设置lock-key a,生效的快捷键为a。使用ASCII码设置快捷键时,单个字符对应的ASCII码与标准ASCII码表一致,组合键对应的ASCII码请参见“activation-key”命令中的“Ctrl+X组合键对应的ASCII码表”。
【使用指导】
通常情况下,建议用户使用组合键而不使用单个字符作为快捷键,避免用户在输入命令时输入完快捷键字符后出现锁定,影响正常命令行的输入。用户设置了快捷键之后,可以输入对应的快捷键代替lock reauthentication命令完成对当前用户线进行锁定并重新认证的操作。
在用户线/用户线类视图下,该命令的配置的快捷键将立即生效。
新设置的快捷键可以使用display current-configuration | include lock-key命令来查看。
【举例】
# 配置锁定当前用户线的快捷键为Ctrl+A。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] lock-key 1
[Sysname-line-vty] quit
验证过程如下:
· 用户键入Ctrl+A组合键后,系统锁定当前用户线并切换到重新认证界面:
[Sysname]
Please press Enter to unlock the screen.
· 按回车键后,系统提示输入密码对当前用户线进行重新认证并登录设备。
Password:
[Sysname]
【相关命令】
· lock reauthentication
parity命令用来设置校验位的解析和生成方式。
undo parity命令用来恢复缺省情况。
【命令】
parity { even | mark | none | odd | space }
undo parity
【缺省情况】
设备校验位的校验方式为none,即不进行校验。
【视图】
用户线视图
【缺省用户角色】
network-admin
【参数】
even:进行偶校验。
mark:进行标记校验。
none:无校验。
odd:进行奇校验。
space:进行空格校验。
【使用指导】
VTY用户线视图不支持该命令。
访问终端和设备相应用户线下校验位的设置必须一致,双方才能正常通信。
【举例】
# 将Console用户线传输校验位设为奇校验。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] parity odd
protocol inbound命令用来指定所在用户线支持的协议。
undo protocol inbound命令用来恢复缺省情况。
【命令】
protocol inbound { all | pad | ssh | telnet }
undo protocol inbound
【缺省情况】
系统支持所有协议。
【视图】
VTY用户线视图
VTY用户线类视图
【缺省用户角色】
network-admin
【参数】
all:支持所有的协议,包括Telnet、SSH和PAD。
pad:支持PAD协议。
ssh:支持SSH协议。
telnet:支持Telnet协议。
【使用指导】
用户线视图下,该命令的配置结果将在下次登录时生效。
如果要配置用户线支持SSH协议,必须先将该用户的认证方式配置为scheme,否则protocol inbound ssh命令会执行失败。
用户线视图下,对authentication-mode和protocol inbound进行关联绑定。
· 当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则均取缺省值。
· 当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值。当两条命令都配置成非缺省值,则均取用户线下的配置值。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
【举例】
# 设置用户线VTY 0到VTY 4只支持SSH协议。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] authentication-mode scheme
[Sysname-line-vty0-4] protocol inbound ssh
# 设置VTY用户线类支持SSH协议,认证方式为scheme。同时设置用户线VTY 0到VTY 4不进行登录认证,支持所有的协议。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] authentication-mode scheme
[Sysname-line-class-vty] protocol inbound ssh
[Sysname-line-class-vty] line vty 0 4
[Sysname-line-vty0-4] authentication-mode none
验证过程如下:
· 使用Telnet方式登录,无需认证即可成功登录。
<Client> telnet 192.168.1.241
Trying 192.168.1.241 ...
Press CTRL+K to abort
Connected to 192.168.1.241 ...
******************************************************************************
* Copyright (c) 2004-2020 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Server>
· 查看当前正在使用的用户线以及用户的相关信息,用户线为line 0,则证明该配置下用户线下配置生效。
<Server> display users
Idx Line Idle Time Pid Type
+ 50 VTY 0 00:00:00 Jan 17 15:29:27 189 TEL
Following are more details.
VTY 0 :
Location: 192.168.1.186
+ : Current operation user.
F : Current operation user works in async mode.
【相关命令】
· authentication-mode
redirect disconnect命令用来强制断开已经建立的Telnet重定向连接。
【命令】
redirect disconnect
【视图】
TTY用户线视图
【缺省用户角色】
network-admin
【使用指导】
强制断开已经建立的Telnet重定向连接,会导致通过Telnet重定向登录到目标设备的用户下线。
【举例】
# 强制断开已经建立的Telnet重定向连接。
<Sysname> system-view
[Sysname] line tty 1
[Sysname-line-tty1] redirect disconnect
【相关命令】
· redirect enable
· display tcp
redirect enable命令用来开启当前用户线的Telnet重定向功能。
undo redirect enable命令用来关闭当前用户线的Telnet重定向功能。
【命令】
redirect enable
undo redirect enable
【缺省情况】
当前用户线的重定向功能处于关闭状态。
【视图】
TTY用户线视图
【缺省用户角色】
network-admin
【使用指导】
重定向服务器与目的设备相连端口对应的用户线的传输速率和停止位的设置必须相同,否则重定向将失败。
传输速率可以通过speed命令进行设置。
停止位的设置,请先使用stopbit-error intolerance命令检测重定向设备与目的设备的停止位设置是否相同。如不相同,可以通过stopbits命令进行设置。
【举例】
# 使能TTY 7用户线的Telnet重定向功能。
<Sysname> system-view
[Sysname] line tty 7
[Sysname-line-tty7] redirect enable
【相关命令】
· display tcp (三层技术-IP业务命令参考/IP性能优化)
· redirect listen-port
· redirect disconnect
· telnet
redirect listen-port命令用来设置Telnet重定向的监听端口。
undo redirect listen-port命令用来恢复缺省情况。
【命令】
redirect listen-port port-number
undo redirect listen-port
【缺省情况】
Telnet重定向的监听端口号为用户线的绝对编号加2000。
【视图】
TTY用户线视图
【缺省用户角色】
network-admin
【参数】
port-number:监听端口号,取值范围为2000~50000。
【使用指导】
设备只对从该监听端口收到的数据进行重定向。
【举例】
# 设置Telnet重定向的监听端口号为3000。
<Sysname> system-view
[Sysname] line tty 1
[Sysname-line-tty1] redirect listen-port 3000
【相关命令】
· display tcp (三层技术-IP业务命令参考/IP性能优化)
· redirect enable
redirect passthrough命令用来设置在Telnet重定向时对数据不进行任何处理直接转发。
undo redirect passthrough命令用来恢复缺省情况。
【命令】
redirect passthrough
undo redirect passthrough
【缺省情况】
在建立Telnet重定向连接后,将对数据按照Telnet协议规定处理。
【视图】
TTY用户线视图
【缺省用户角色】
network-admin
【使用指导】
配置该命令后,对经过Telnet重定向设备的数据不进行任何处理直接转发。某些情况下,Telnet重定向服务器连接的用户和目的设备之间的报文传输是不遵循Telnet标准协议的,因此只需要用户与目的设备能够解析双方交互的数据报文即可完成登录过程。在此情况下,Telnet重定向服务器需要配置redirect passthrough命令保证对这些交互报文仅仅是转发而不进行任何处理,否则将导致用户和目的设备之间的数据解析错误。
【举例】
# 设置在建立Telnet重定向时对数据不进行任何处理直接转发。
<Sysname> system-view
[Sysname] line tty 1
[Sysname-line-tty1] redirect passthrough
【相关命令】
· redirect disconnect
· redirect enable
redirect refuse-negotiation命令用来强制设置在建立Telnet重定向连接时不进行Telnet选项协商。
undo redirect refuse-negotiation命令用来恢复缺省情况。
【命令】
redirect refuse-negotiation
undo redirect refuse-negotiation
【缺省情况】
在建立Telnet重定向连接时,会进行Telnet选项协商。
【视图】
TTY用户线视图
【缺省用户角色】
network-admin
【举例】
# 设置在建立Telnet重定向连接时不进行Telnet选项协商。
<Sysname> system-view
[Sysname] line tty 1
[Sysname-line-tty1] redirect refuse-negotiation
【相关命令】
· redirect enable
redirect timeout命令用来设置Telnet重定向的空闲超时时间。
undo redirect timeout命令用来恢复缺省情况。
【命令】
redirect timeout time
undo redirect timeout
【缺省情况】
设备Telnet重定向的空闲超时时间为360秒。
【视图】
TTY用户线视图
【缺省用户角色】
network-admin
【参数】
time:超时时间,取值范围为0~86400,单位为秒。0表示不超时。
【使用指导】
如果在指定的时间内没有从Telnet客户端接收到数据,则断开Telnet重定向连接。
【举例】
# 设置Telnet重定向的空闲超时时间为200秒。
<Sysname> system-view
[Sysname] line tty 1
[Sysname-line-tty1] redirect timeout 200
【相关命令】
· redirect enable
screen-length命令用来设置分屏显示时,每屏所显示的行数。
undo screen-length命令用来恢复缺省情况。
【命令】
screen-length screen-length
undo screen-length
【缺省情况】
每屏显示24行数据。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
screen-length:指定每屏所显示的行数,取值范围为0~512。0表示一次性显示全部信息,即不进行分屏显示,此时与执行screen-length disable命令效果相同。
【使用指导】
该命令设置的是每一屏所显示的行数,但显示终端实际显示的行数由终端的规格决定。比如,设置screen-length的值为40,但显示终端的规格为24行,当暂停显示按空格键时,设备发送给显示终端的信息为40行,但当前屏幕显示的是第18~第40行的信息,前面的17行信息,需要通过<Page Up>/<Page Down>键来翻看。
设备支持分屏显示信息,在暂停显示时按空格键,能继续显示下一屏信息。
缺省情况下,分屏显示功能处于开启状态。
如果用户线视图下配置screen-length为缺省值,并且此时用户线类视图下配置了screen-length,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
用户线视图下使用本命令配置的分屏显示信息行数立即生效;在用户线类视图下配置的分屏显示信息行数将在下次登录时生效。
【举例】
# 设置VTY用户线分屏显示时,每屏显示30行数据。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] screen-length 30
【相关命令】
· screen-length disable(基础配置指导/CLI)
send命令用来向用户线发送消息。
【命令】
send { all | number1 | { console | tty | vty } number2 }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:所有的用户线。
number1:用户线的编号(绝对编号方式) 。
console:Console用户线。
tty:TTY用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式)。
【使用指导】
输入本命令后回车,系统会提示您可以输入消息内容。在输入消息内容时,按<Enter>键结束输入,按<Ctrl+C>组合键取消此次操作。
【举例】
# 使用VTY 0用户线上线的用户想重启设备,于是发信息“Note please, I will reboot the system in 3 minutes.”来提醒VTY 1。
<Sysname> send vty 1
Input message, end with Enter; abort with CTRL+C:
Your attention, please. I will reboot the system in 3 minutes.
Send message? [Y/N]:y
使用VTY 1用户线登录的用户将收到如下消息:
[Sysname]
***
***
***Message from vty0 to vty1
***
Your attention, please. I will reboot the system in 3 minutes.
set authentication password命令用来设置认证密码。
undo set authentication password命令用来恢复缺省情况。
【命令】
set authentication password { hash | simple } string
undo set authentication password
【缺省情况】
未配置认证密码。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
hash:以哈希方式设置密码。
simple:以明文方式设置密码,该密码将以密文方式存储。
string:密码字符串,区分大小写。明文密码为4~16个字符的字符串,密码元素的最少组合类型为2;哈希密码为1~110个字符的字符串。
【使用指导】
以明文或哈希方式设置的密码,均以哈希计算后的密文形式保存在配置文件中。
如果用户线视图下配置set authentication password为缺省值,并且此时用户线类视图下配置了set authentication password,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
在用户线视图/用户线类视图下,使用该命令设置的认证密码将在下次登录设备时生效。
【举例】
# 设置用户线VTY 0的认证密码为hello12345。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple hello12345
设置完后如果退出系统,则只有在密码提示信息后输入hello12345字符串才能再进入系统。
【相关配置】
· authentication-mode
shell命令用来在当前用户线上开启终端服务。
undo shell命令用来在当前用户线上关闭终端服务。
【命令】
shell
undo shell
【缺省情况】
所有用户线的终端服务功能处于开启状态。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【使用指导】
Console用户线视图/Console用户线类视图不支持undo shell命令。
用户不能在自己登录的用户线上使用undo shell命令。
当设备作为Telnet/SSH服务器的时候,不能配置undo shell命令。
如果在用户线类视图下使用undo shell命令关闭了终端服务,那么用户线视图下无法使用shell启动终端服务。
当设备作为重定向服务器时,如果使用本命令在用户线上关闭了终端服务,则该用户线只能用于重定向服务功能,其他设备无法通过该用户线登录到本设备;如果未关闭终端服务,则该用户线既能用于重定向服务,也能用于终端服务使其他设备通过该用户线登录到本设备,但需要注意的是两者不能同时占用该用户线。
【举例】
# 在VTY0到VTY4上终止终端服务(用户将不能通过VTY0~4登录设备)。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] undo shell
Disable line-vty0-4 , are you sure? [Y/N]:y
[Sysname-line-vty0-4]
shortcutname shortcutname url命令用来添加Web页面链接到快捷访问区块。
undo shortcutname shortcutname命令用来删除快捷访问区块中的页面链接。
【命令】
shortcutname shortcutname url url
undo shortcutname shortcutname
【缺省情况】
未将Web页面链接添加到快捷访问区块。
【视图】
Web用户视图
【缺省用户角色】
network-admin
【参数】
shortcutname:表示快捷访问区块中页面链接名称,为1~80个字符的字符串,区分大小写。
url:表示Web页面链接,为1~256个字符的字符串,区分大小写。
【使用指导】
在Web用户视图下设置快捷访问Web页面链接,系统会将设置的页面链接添加到快捷访问区块中。通过点击该链接可直接访问目标页面,无需通过导航栏逐层查找,从而节约时间并提高工作效率。
将指定的Web页面链接添加到快捷入口有以下两种方式:
· 通过Web页面直接添加:用户可以在Web页面中直接选择并添加指定页面链接到快捷入口。
· 通过命令行添加:执行shortcutname shortcutname url命令,设置快捷访问Web页面链接,从而将页面链接添加到快捷入口。
使用display this命令,可以查看当前用户设置的快捷访问Web页面链接。
一个Web用户最多可添加15个Web页面链接名称到快捷访问区块中,每个名称只能对应一个URL。
多次执行本命令,且shortcutname相同时,最后一次执行的命令生效。
建议单独打开Web页面上的目标页面,然后从地址栏中复制链接。
【举例】
# 设置快捷访问LANSettings页面的URL为https://example/index.html#/LANSettings
<Sysname> system-view
[Sysname] web user-view admin
[Sysname-web-user-admin] shortcutname LANSettings url https://example/index.html#/LANSettings
【相关命令】
· web user-view
speed命令用来设置用户线的传输速率。
undo speed命令用来恢复缺省情况。
【命令】
speed speed-value
undo speed
【缺省情况】
用户线的传输速率为9600bps。
【视图】
用户线视图
【缺省用户角色】
network-admin
【参数】
speed-value:传输速率,单位为bps。异步串口的传输速率有:300bps、600bps、1200bps、2400bps、4800bps、9600bps、19200bps、38400bps、57600bps和115200bps。异步串口的传输速率和配置时的网络环境相关,请根据网络环境配置异步串口的传输速率。
【使用指导】
VTY用户线视图不支持该命令。
访问终端和设备相应用户线下传输速率的设置必须一致,双方才能正常通信。
【举例】
# 将用户线Console 0的传输速率设置为19200bps。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] speed 19200
stopbit-error intolerance命令用来开启设备与访问终端停止位配置一致性检测功能。
undo stopbit-error intolerance命令用来关闭停止位检测功能。
【命令】
stopbit-error intolerance
undo stopbit-error intolerance
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
MSR1008 |
不支持 |
|
MSR1004-G |
不支持 |
|
MSR1004-G-5GCN |
不支持 |
|
MSR2630E-X1 |
支持 |
|
MSR3610E-X1、MSR3610E-X1-DP |
不支持 |
|
MSR3610-G-X3-DP、MSR3610-G-X3、MSR3610-G-X3-DP-DC、 MSR3610-G-X3-DC |
支持 |
|
MSR3620-G-X3 |
支持 |
|
型号 |
说明 |
|
MSR2660-XS |
不支持 |
|
MSR2680-XS |
不支持 |
|
型号 |
说明 |
|
MSR2600-12X-WiNet |
不支持 |
|
MSR2610-13X-WiNet |
不支持 |
【缺省情况】
设备与访问终端停止位配置一致性检测功能处于关闭状态。
【视图】
用户线视图
【缺省用户角色】
network-admin
【使用指导】
VTY用户线视图不支持该命令。
配置stopbit-error intolerance命令后,当设备当前用户线下设置的停止位与访问终端设置的停止位不一致时,报文将被丢弃,双方无法正常通信。
【举例】
# 开启对用户线TTY 0的停止位检测功能。
<Sysname> system-view
[Sysname] line tty 0
[Sysname-line-tty0] stopbit-error intolerance
stopbits命令用来设置停止位的个数。
undo stopbits命令用来恢复缺省情况。
【命令】
stopbits { 1 | 1.5 | 2 }
undo stopbits
【缺省情况】
停止位为1比特。
【视图】
用户线视图
【缺省用户角色】
network-admin
【参数】
1:停止位为1比特。
1.5:停止位为1.5比特。目前,设备不支持该参数,配置后实际生效的是命令行stopbits 2。
2:停止位为2比特。
【使用指导】
VTY用户线视图不支持该命令。
访问终端和设备相应用户线下停止位的设置必须一致,双方才能正常通信。
【举例】
# 设置Console用户线的停止位为1比特。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] stopbits 1
telnet命令用于Telnet登录到远端设备,以便进行远程管理。
【命令】
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } | dscp dscp-value ] * [ escape character ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
remote-host:远端设备的IPv4地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
service-port:远端设备提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
vpn-instance vpn-instance-name:指定远端设备所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示远端设备位于公网中。
source:指定Telnet报文的源接口或源IPv4地址。如果未指定本参数,则使用路由出接口的主IP地址作为设备发送的Telnet报文的源IPv4地址。
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。
ip ip-address:指定Telnet报文的源IPv4地址。
dscp-value:Telnet客户端向服务器端发送Telnet报文的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
escape character:指定退出字符,该退出字符需要与字符“.”配合使用来断开当前Telnet连接,并返回到上一级连接。character为一个字符,区分大小写。退出字符不能与登录用户名相同,建议使用~,即输入~.来中断当前连接。
【使用指导】
用户可以使用<Ctrl+K>组合键或quit命令或指定退出字符来中断当前Telnet连接。这三种方式的使用如下:
· <Ctrl+K>组合键:断开所有的连接。可在任意情况下使用。
· quit:断开当前连接,并返回到上一级连接。在服务器端重启或发生异常时该命令无法使用。
· 退出字符:断开当前连接,并返回到上一级连接。可在任意情况下使用。
如果指定了退出字符,<Ctrl+K>组合键将失效。
使用退出字符时,必须在一行中首先输入退出字符和.,该操作才能生效。若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。
本命令指定的源IPv4地址或源接口只对当前Telnet连接有效。
【举例】
# Telnet登录到远程主机(IP地址为1.1.1.2),并指定发送Telnet报文的源IP地址为1.1.1.1。
<Sysname> telnet 1.1.1.2 source ip 1.1.1.1
【相关命令】
· telnet client source
telnet client source命令用来指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口。
undo telnet client source命令用来恢复缺省情况。
【命令】
telnet client source { interface interface-type interface-number | ip ip-address }
undo telnet client source
【缺省情况】
未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。
ip ip-address:指定发送Telnet报文的源IPv4地址。
【使用指导】
本命令指定的源IPv4地址或源接口对所有Telnet连接有效。
若同时使用本命令和telnet命令指定源IPv4地址或源接口,则以telnet命令指定的源IP地址或源接口为准。
【举例】
# 设备作为Telnet客户端时,指定发送的Telnet报文的源IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] telnet client source ip 1.1.1.1
【相关命令】
· display telnet client configuration
telnet ipv6命令用于IPv6组网环境下,Telnet登录到远程主机,以便进行远程管理。
【命令】
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } | dscp dscp-value ] *
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
remote-host:远端设备的IPv6地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
-i interface-type interface-number:指定Telnet报文的出接口。interface-type interface-number为接口类型和接口编号。当Telnet指定的服务端IPv6地址是全球单播地址时,则不能指定该参数;当指定的服务端IPv6地址为链路本地地址时,必须指定该参数。
port-number:远端设备提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
vpn-instance vpn-instance-name:指定远端设备所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示远端设备位于公网中。
source:指定Telnet报文的源接口或源IPv6地址。如果未指定本参数,则使用路由出接口的主IPv6地址作为Telnet报文的源IPv6地址。
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv6地址为该接口的主地址。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定Telnet报文的源IPv6地址。
dscp-value:IPv6 Telnet客户端向服务器端发送Telnet报文的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
【使用指导】
用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。
【举例】
# Telnet登录到远程主机,IPv6地址为5000::1。
<Sysname> telnet ipv6 5000::1
# Telnet登录到远程主机,IPv6地址为2000::1,并指定Telnet报文的源IPv6地址为1000::1。
<Sysname> telnet ipv6 2000::1 source ipv6 1000::1
telnet server acl命令用来使用ACL(Access Control List,访问控制列表)限制哪些Telnet客户端可以访问设备。
undo telnet server acl命令用来恢复缺省情况。
【命令】
telnet server acl [ mac ] acl-number
undo telnet server acl
【缺省情况】
未使用ACL限制Telnet客户端。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
mac:指定二层ACL。若不指定该关键字,则表示IPv4 ACL。
acl-number:ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示IPv4基本ACL。
· 3000~3999:表示IPv4高级ACL。
· 4000~4999:需指定mac关键字,表示二层ACL。
【使用指导】
配置ACL限制Telnet客户端时:
· 当未引用ACL时,允许所有登录用户访问设备;
· 当引用的ACL不存在、或者引用的ACL为空时,禁止所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其他用户不允许访问设备,以免非法用户使用Telnet访问设备。
· 如果多次使用该命令配置Telnet服务与ACL关联,最新配置生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。
该配置只过滤新建立的Telnet连接,不会对已建立的Telnet连接和操作造成影响。
【举例】
# 仅允许地址为1.1.1.1的用户通过Telnet访问本设备。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] telnet server acl 2001
telnet server acl-deny-log enable命令用来开启Telnet客户端被ACL禁止访问后打印日志信息功能。
undo telnet server acl-deny-log enable命令用来关闭Telnet客户端被ACL禁止访问后打印日志信息功能。
【命令】
telnet server acl-deny-log enable
undo telnet server acl-deny-log enable
【缺省情况】
Telnet客户端被ACL禁止访问后打印日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
通过配置telnet server acl或telnet server ipv6 acl命令,可限制Telnet客户端对设备的访问。此时,可通过开启Telnet客户端被ACL禁止访问后打印日志信息功能,记录访问Telnet服务器受限的Telnet客户端信息。
执行本配置后,Telnet客户端被ACL禁止访问时,将产生日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。
【举例】
# 开启Telnet客户端被ACL禁止访问后打印日志信息功能。
<Sysname> system-view
[Sysname] telnet server acl-deny-log enable
【相关命令】
· telnet server acl
· telnet server ipv6 acl
telnet server dscp命令用来配置Telnet服务器发送Telnet报文的DSCP优先级。
undo telnet server dscp命令用来恢复缺省情况。
【命令】
telnet server dscp dscp-value
undo telnet server dscp
【缺省情况】
Telnet服务器发送Telnet报文的DSCP优先级为48。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dscp-value:Telnet报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
【举例】
# 配置Telnet服务器发送报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] telnet server dscp 30
telnet server enable命令用来开启Telnet服务。
undo telnet server enable命令用来关闭Telnet服务。
【命令】
telnet server enable
undo telnet server enable
【缺省情况】
Telnet服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
只有使能Telnet服务后,才允许网络管理员通过Telnet协议登录设备。
【举例】
# 使能Telnet服务。
<Sysname> system-view
[Sysname] telnet server enable
telnet server ipv6 acl命令用来使用ACL限制哪些IPv6 Telnet客户端可以访问设备。
undo telnet server ipv6 acl命令用来恢复缺省情况。
【命令】
telnet server ipv6 acl { ipv6 | mac } acl-number
undo telnet server ipv6 acl
【缺省情况】
未使用ACL限制Telnet客户端。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定IPv6 ACL。
mac:指定二层ACL。
acl-number:ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:需指定ipv6关键字,表示IPv6基本ACL。
· 3000~3999:需指定ipv6关键字,表示IPv6高级ACL。
· 4000~4999:需指定mac关键字,表示二层ACL。
【使用指导】
配置ACL限制IPv6 Telnet客户端时:
· 当未引用ACL时,允许所有登录用户访问设备;
· 当引用的ACL不存在、或者引用的ACL为空时,禁止所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其他用户不允许访问设备,以免非法用户使用Telnet访问设备。
· 如果多次使用该命令配置Telnet服务与ACL关联,最新配置生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。
该配置只过滤新建立的Telnet连接,不会对已建立的Telnet连接和操作造成影响。
【举例】
# 仅允许地址为2000::1的用户通过Telnet访问本设备。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl6-ipv6-basic-2001] rule permit source 2000::1 128
[Sysname-acl6-ipv6-basic-2001] quit
[Sysname] telnet server ipv6 acl ipv6 2001
telnet server ipv6 dscp命令用来配置IPv6 Telnet服务器发送报文的DSCP优先级。
undo telnet server ipv6 dscp命令用来恢复缺省情况。
【命令】
telnet server ipv6 dscp dscp-value
undo telnet server ipv6 dscp
【缺省情况】
IPv6 Telnet服务器发送IPv6 Telnet报文的DSCP优先级为48。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dscp-value:IPv6 Telnet报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
【举例】
# 配置IPv6 Telnet服务器发送的报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] telnet server ipv6 dscp 30
telnet server ipv6 port命令用来配置IPv6网络Telnet协议的端口号。
undo telnet server ipv6 port命令用来恢复缺省情况。
【命令】
telnet server ipv6 port port-number
undo telnet server ipv6 port
【缺省情况】
IPv6网络Telnet协议的端口号为23。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:IPv6网络Telnet协议端口号,取值范围为23或1025~65535。
【使用指导】
配置IPv6网络Telnet协议的端口号后,当前所有与Telnet服务器的IPv6网络Telnet连接将被断开,此时需要重新建立Telnet连接。
【举例】
# 配置IPv6网络Telnet协议的端口号为1026。
<Sysname> system-view
[Sysname] telnet server ipv6 port 1026
telnet server login-failed threshold-alarm命令用来配置在指定统计时间内,Telnet用户登录失败的告警上报和取消阈值。
undo telnet server login-failed threshold-alarm命令用来恢复缺省情况。
【命令】
telnet server login-failed threshold-alarm upper-limit report-times lower-limit resume-times period period-time
undo telnet server login-failed threshold-alarm
【缺省情况】
统计时间为5分钟,Telnet用户登录失败的告警上报和取消阈值分别为30和20。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
upper-limit report-times:指定Telnet用户登录失败的告警上报阈值,当在指定统计时间(通过period period-time参数配置)内Telnet用户登录失败的次数达到或者超过告警上报阈值时,设备将生成对应的上报告警信息。report-times表示Telnet用户登录失败的次数,取值范围为0~100。如果取值为0,表示Telnet用户登录失败不生成上报告警信息。
lower-limit resume-times:指定Telnet用户登录失败的告警取消阈值,当在指定统计时间(通过period period-time参数配置)内Telnet用户登录失败的次数小于告警取消阈值时,设备将生成对应的取消告警信息。resume-times表示Telnet用户登录失败的次数,当report-times配置的值小于等于45时,resume-times的取值范围为0~report-times;当report-times配置的值大于45时,resume-times的取值范围为0~45。取值为0和1,均表示在统计周期内,未出现Telnet用户登录失败时,才生成对应的取消告警信息。
period period-time:指定统计Telnet用户登录用户失败次数的周期,取值范围为1~120,单位为分钟,缺省值为5。
【使用指导】
缺省情况下,在5分钟内,当Telnet用户登录失败次数大于等于30次或者小于20次时,将分别产生上报告警信息和取消告警信息。用户可根据实际需求,进行如下配置:
· 当用户不关心Telnet用户登录失败次数,不希望Telnet用户登录失败产生告警信息时,可以将本命令中的report-times配置为0,关闭生成Telnet用户失败相关的告警信息。
· 当用户关心Telnet用户登录失败次数,希望及时了解Telnet用户登录的实时情况时,可以通过本命令,调整统计周期以及Telnet用户登录失败的告警上报和取消阈值。
本命令中配置的report-times必须大于等于resume-times。
【举例】
# 配置Telnet用户登录失败统计周期为3分钟,告警上报阈值和取消阈值分别为20和10。
<Sysname> system-view
[Sysname] telnet server login-failed threshold-alarm upper-limit 20 lower-limit 10 period 3
telnet server port命令用来配置IPv4网络Telnet协议的端口号。
undo telnet server port命令用来恢复缺省情况。
【命令】
telnet server port port-number
undo telnet server port
【缺省情况】
IPv4网络Telnet协议的端口号为23。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:IPv4网络Telnet协议的端口号,取值范围为23或1025~65535。
【使用指导】
配置IPv4网络Telnet协议的端口号后,当前所有与Telnet服务器的IPv4网络Telnet连接将被断开,此时需要重新建立Telnet连接。
【举例】
# 配置IPv4网络Telnet协议的端口号为1025。
<Sysname> system-view
[Sysname] telnet server port 1025
terminal character-encoding命令用来配置当前终端的字符集编码格式。
undo terminal character-encoding命令用来恢复缺省情况。
【命令】
terminal character-encoding { gb18030 | utf-8 }
undo terminal character-encoding
【缺省情况】
以缺省的命令行字符集编码格式为准。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
gb18030:表示使用GB18030作为字符集编码格式。
utf-8:表示使用UTF-8作为字符集编码格式。
【使用指导】
只有配置了系统编码,本命令才有意义。使用character-encoding命令配置了系统编码和终端编码后,如果用户在用户软件界面上设置了新的用户编码格式,可以执行此命令改变终端编码格式,使用户编码和终端编码保持一致,配置完成后无需重启设备即能生效。
【举例】
# 配置当前终端编码格式为UTF-8。
<Sysname> terminal character-encoding utf-8
【相关命令】
· character-encoding
· display character-encoding
terminal type命令用来设置当前用户线下的终端显示类型。
undo terminal type命令用来恢复缺省情况。
【命令】
terminal type { ansi | vt100 }
undo terminal type
【缺省情况】
终端显示类型为ANSI。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
ansi:终端显示类型为ANSI类型。
vt100:终端显示类型为VT100类型。
【使用指导】
设备支持ANSI和VT100两种终端显示类型。当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI时,并且当前编辑行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型。
当用户线视图下的配置为缺省值时,将采用用户线类视图下配置的值;如果用户线类视图下的属性配置也为缺省值时,则采用该用户线下配置的缺省值。
用户线视图/用户线类视图下配置的终端显示类型都在下次登录时生效。
【举例】
# 设置终端显示类型为VT100类型。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] terminal type vt100
user-interface命令用来进入一个或多个用户线视图。
【命令】
user-interface { first-number1 [ last-number1 ] | { console | tty | vty } first-number2 [ last-number2 ] }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
first-number1:第一个用户线的编号(绝对编号方式) 。
last-number1:最后一个用户线的编号(绝对编号方式) ,该参数取值必须大于first-number1。
console:Console用户线。
tty:TTY用户线。
vty:VTY用户线。
first-number2:第一个用户线的编号(相对编号方式)。
last-number2:最后一个用户线的编号(相对编号方式),该参数取值必须大于first-number2。
【使用指导】
该命令实现与line一致,仅为与旧版本兼容保留,请使用line。
进入一个用户线视图进行配置后,该配置只对该用户视图有效。
进入多个用户线视图进行配置后,该配置对这些用户视图均有效。
【举例】
# 进入VTY 0~4用户线视图。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-line-vty0-4]
【相关命令】
· user-interface class
user-interface class命令用来进入用户线类视图。
【命令】
user-interface class { console | tty | vty }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
console:Console用户线类。
tty:TTY用户线类。
vty:VTY用户线类。
【使用指导】
该命令实现与line class一致,仅为与旧版本兼容保留,请使用line class。
用户线视图下的配置只对该用户线生效。
用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
user-interface class命令用来进入用户线类视图,user-interface命令用来进入一个或多个用户线视图。对于同时支持这两种视图的命令:
· 用户线视图下的配置优先于用户线类视图下的配置。
· 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值。
用户线类视图下支持的命令有:
· activation-key
· auto-execute command
· authentication-mode
· command accounting
· command authorization
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【举例】
# 在VTY用户线类视图下,将用户连接的超时时间的缺省值设置为15分钟。
<Sysname> system-view
[Sysname] user-interface class vty
[Sysname-line-class-vty] idle-timeout 15
【相关命令】
· user-interface
user-role命令用来配置从当前用户线登录系统的用户角色。
undo user-role命令用来删除用户角色或恢复缺省情况。
【命令】
user-role role-name
undo user-role [ role-name ]
【缺省情况】
通过Console口登录系统的缺省用户角色为network-admin。通过其他接口登录系统的缺省用户角色为network-operator。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
role-name:用户角色名称,为1~63个字符的字符串,区分大小写。可以是系统预定义的角色名称,包括network-admin、network-operator、level-0~level-15,也可以是自定义的用户角色名称。不指定该参数时,表示恢复到缺省情况。系统预定义角色security-audit和guest-manager不支持在用户线/用户线类视图下进行配置。
【使用指导】
在用户线视图/用户线类视图下使用该命令设置的用户角色将在下次登录设备时生效。
当用户线视图下的属性配置为缺省值时,将采用该用户线类视图下配置的用户角色。如果用户线类视图下配置的用户角色也为缺省值时,则直接采用该用户线下的缺省值。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
可通过多次执行本命令,配置多个用户角色,最多可配置64个。用户登录后具有的权限是这些角色权限的集合。
关于用户角色的详细介绍请参见“基础配置指导”中的“RBAC”。
【举例】
# 设置从Console用户线登录系统的用户角色为network-admin。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] user-role network-admin
web captcha命令用来配置用户访问Web的固定校验码。
undo web captcha命令用来恢复缺省情况。
【命令】
web captcha verification-code
undo web captcha
【缺省情况】
用户只能使用Web页面显示的校验码访问Web。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
verification-code:访问Web的固定校验码,为4个字符的字符串,区分大小写。
【使用指导】
配置该命令后,不管Web登录页面显示的校验码是什么,用户只要输入该固定的校验码,即可访问设备。本命令主要用于测试环境,当需要对设备的Web功能进行测试时,可以配置一个固定的校验码,使用脚本即可登录设备,以免每次测试都要手工输入变化的校验码,影响测试效率。
设备在网络中正常使用的时候,建议不要配置该命令,以免降低Web访问的安全性。
多次配置该命令,最新配置生效。
该命令不能保存到配置文件,设备重启后失效。
【举例】
# 设置访问Web的固定校验码为test。
<Sysname> web captcha test
web https-authorization mode命令用来设置使用HTTPS登录设备的认证模式。
undo web https-authorization mode命令用来恢复缺省情况。
【命令】
web https-authorization mode { auto | manual }
undo web https-authorization mode
【缺省情况】
使用HTTPS登录设备的认证模式为manual。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
auto:表示用户通过HTTPS登录设备时,使用客户端的PKI证书自动认证登录。
manual:表示用户通过HTTPS登录设备时,设备给出登录页面,用户必须输入合法的用户名和密码后才能登录。
【使用指导】
当选用auto认证模式时,设备客户端的PKI证书自动认证登录:
· 当用户侧的证书正确且未超期,则读取证书中的CN字段作为用户名,进行AAA认证。如果认证成功,则自动进入设备的Web界面;
· 当用户侧的证书有效且未超期,但AAA认证失败,则回到登录界面(如果此时用户输入合法的用户名和密码仍然能够登录);
· 当用户侧的证书错误或超期,则断开HTTPS连接。
【举例】
# 设置Web的HTTPS认证模式为auto。
<Sysname> system-view
[Sysname] web https-authorization mode auto
web idle-timeout命令用来设置Web闲置超时时间。
undo web idle-timeout命令用来恢复缺省情况。
【命令】
web idle-timeout idle-time
undo web idle-timeout
【缺省情况】
Web闲置超时时间为10分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
idle-time:Web闲置超时时间,取值范围为1~999,单位为分钟。
【使用指导】
当某Web用户在idle-time内一直没有操作Web页面,包括点击鼠标或键盘操作(只是移动鼠标,不会延长用户的下线时间),则系统会强制断开该用户的Web链接,使该用户下线。从而尽量避免在用户离开登录终端期间,非法用户对设备进行配置。
需要注意的是,修改Web线的闲置超时时间,会影响正在访问的用户。
【举例】
# 设置Web闲置超时时间为100分钟。
<Sysname> system-view
[Sysname] web idle-timeout 100
webui log enable命令用来开启Web操作日志功能。
undo webui log enable命令用来关闭Web操作日志功能。
【命令】
webui log enable
undo webui log enable
【缺省情况】
Web操作日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启Web操作日志功能,比较关键的Web操作(比如修改系统时间)会产生对应的Web操作日志,输出到信息中心。通过设置信息中心的参数,最终决定Web操作日志的输出规则(即是否允许输出以及输出方向)
能够触发Web操作日志的Web操作动作和设备相关,请以实际设备情况为准。
Web操作日志,采用固定的模块名”WEB”;日志助记符有统一的前缀”WEBOPT_”;同时Web操作日志还包含Web用户信息:Web客户端IP地址和Web用户名。
【举例】
# 开启Web操作日志功能,Web用户执行修改系统时间的操作。
<Sysname> system-view
[Sysname] webui log enable
当Web用户执行修改系统时间的操作时,设备上将输出如下日志:
%Feb 25 14:32:38:802 2020 Sysname WEB/6/WEBOPT_SET_TIME: -HostIP=192.168.100.235-User=Admin; Set the system date and time to 2020-02-27T10:00:00.
web user-view命令用来创建Web用户视图。
undo web user-view命令用来删除Web用户视图及视图下的配置。
【命令】
web user-view user-name
undo web user-view user-name
【缺省情况】
不存在指定的Web用户视图。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-name:表示具有Web登录权限的用户名,为1~80个字符的字符串,区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”、“all”。
【使用指导】
设备支持快捷入口功能。在Web用户视图下设置快捷访问Web页面链接,系统会将设置的页面链接添加到快捷访问区块中。使用本命令中的用户名登录设备后,在快捷入口区块中点击页面链接,可直接访问相应的Web页面。
设备目前最多支持创建1024个Web用户视图。
【举例】
# 创建名为admin的Web用户视图。
<Sysname> system-view
[Sysname] web user-view admin
[Sysname-web-user-admin]
【相关命令】
shortcutname url
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
