- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-入门操作
本章节下载 (453.54 KB)
目 录
H3C S9500系列路由交换机是大容量、模块化的L2/L3层线速交换设备,主要应用在大型企业网及园区网的网络骨干、交换核心、汇聚中心和宽带城域网中。它提供丰富的业务功能,可以满足高端用户对多业务、高可靠、大容量和模块化的需求。它适于应用在网络的多种不同位置和复杂网络环境,可以构建稳定可靠的高性能IP网络。目前包含的型号为:
l S9505路由交换机
l S9508路由交换机
l S9512路由交换机
H3C S9500系列路由交换机采用一体化机柜式结构,整个机柜由电源区、单板区、背板、风扇区等几个部分组成。S9505路由交换机的单板区共有7个槽位,最上面两个(即Slot 0、S lot 1)是交换路由板槽位,其余5个为业务板槽位。S9508路由交换机的单板区共有10个槽位,中间2个(即Slot 4、Slot 5)是交换机路由板槽位,上、下各4个为业务板槽位。S9512路由交换机的单板区共有14个槽位,中间2个(即Slot 6、Slot 7)是交换路由板槽位,上、下各6个为业务板槽位。两块交换路由板可以配合实现冗余备份功能。用户可以根据组网环境的需要自行选配适合的业务板,各种业务板可以混插。关于混插的具体配置请参见“MPLS”中的BGP/MPLS VPN配置部分。
H3C S9500系列路由交换机支持的业务如下:
l Internet宽带接入
l 城域网组网、企业/园区网组网
l 提供组播服务和组播路由功能,支持组播音、视频服务
在本文中H3C S9500系列路由交换机简称为S9500系列交换机。
|
特性 |
说明 |
|
VLAN |
支持符合IEEE 802.1Q标准的VLAN(Virtual Local Area Network) 支持基于端口的VLAN 支持GVRP(GARP VLAN Registration Protocol) 支持Super VLAN 支持Guest VLAN |
|
生成树协议 |
支持STP(Spanning Tree Protocol)/MSTP(Multiple Spanning Tree Protocol),符合IEEE 802.1D/IEEE 802.1s标准 |
|
流控 |
支持IEEE 802.3流控(全双工) 支持背压式流控(半双工) |
|
广播风暴抑制 |
支持广播风暴抑制 |
|
组播 |
支持IGMP Snooping(Internet Group Management Protocol Snooping) 支持IGMP(Internet Group Management Protocol) 支持PIM-DM(Protocol-Independent Multicast-Dense Mode) 支持PIM-SM(Protocol-Independent Multicast-Sparse Mode) 支持MSDP(Multicast Source Discovery Protocol) 支持MBGP(Multiprotocol BGP) |
|
IP路由 |
支持静态路由 支持RIP(Routing Information Protocol)v1/v2 支持OSPF(Open Shortest Path First) 支持BGP(Border Gateway Protocol) 支持IS-IS(Intermediate System-to-Intermediate System intra-domain routing information exchange protocol) 支持等价路由 支持策略路由 支持路由策略 |
|
DHCP |
支持DHCP(Dynamic Host Configuration Protocol)Relay 支持DHCP Server |
|
端口汇聚 |
支持端口汇聚,包括手工汇聚、动态LACP(Link Aggregation Control Protocol,链路聚合控制协议)汇聚和静态LACP汇聚 |
|
镜像 |
支持基于端口的镜像 支持将报文复制到CPU的流镜像 |
|
QoS(Quality of Service) |
支持流分类 支持带宽控制 支持拥塞避免 支持流量整形和流量监管 支持端口优先级队列 队列调度:支持SP(Strict Priority Queueing)、WRR(Weighted Round Robin)、SP+WRR |
|
安全特性 |
支持用户分级管理和口令保护 支持802.1X认证 支持包过滤 支持AAA/RADIUS/HWTACACS 支持IDS联动 |
|
MPLS |
支持MPLS(Multiprotocol Label Switching)基本功能 支持MPLS L3 VPN 支持VLL,包括:Martini、Kompella和CCC方式 支持VPLS |
|
专用业务处理 |
支持NAT 支持URPF |
|
管理与维护 |
支持命令行接口配置 支持通过Console口或AUX口进行配置 支持通过以太网端口利用Telnet进行配置 支持通过AUX口利用Modem拨号进行配置 支持SNMP管理(支持RMON(Remote Monitoring)1,2,3,9组MIB) 支持系统日志 支持分级告警 支持调试信息输出 支持PING、Tracert 支持通过Modem拨号、Telnet进行远程维护 支持SSH(Secure Shell,安全外壳) 2.0 |
|
加载与升级 |
支持通过XModem协议实现加载升级 支持通过FTP(File Transfer Protocol)、TFTP(Trivial File Transfer Protocol)实现加载升级 |
第一步:如图2-1所示,建立本地配置环境,只需将计算机(或终端)的串口通过配置电缆与交换机的Console口连接。
第二步:在计算机上运行终端仿真程序(如如Windows 2000或Windows XP的超级终端等,下面以Windows XP 为例)并设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100,如图2-2至图2-4所示。
第三步:交换机上电,终端上显示交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如< H3C>)。
第四步:键入命令,配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本书中以后各章节的内容。
如果用户已经通过Console口正确配置交换机某VLAN接口的IP地址(在VLAN接口视图下使用ip address命令),并已指定与终端相连的以太网端口属于该VLAN(在VLAN视图下使用port命令),这时可以利用Telnet登录到交换机,然后对交换机进行配置。
第一步:在通过Telnet登录交换机之前,需要通过Console口在交换机上配置欲登录的Telnet用户名和认证口令。
& 说明:
Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Telnet登录,则系统会提示“Login password has not been set !”。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] user-interface vty 0
[H3C-ui-vty0] set authentication password simple xxxx
xxxx是欲设置的该Telnet用户登录口令。
第二步:如图2-5所示,建立配置环境,只需将计算机以太网口通过局域网与交换机的以太网口连接。
第三步:在计算机上运行Telnet程序,输入与计算机相连的以太网口所属VLAN的IP地址,如图2-6所示。
第四步:终端上显示“Login authentication”,并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如< H3C>)。如果出现“All user interfaces are used, please try later! The connection was closed by the remote host!”的提示,表示当前Telnet到交换机的用户数已达最大值,则请稍候再连(H3C系列交换机最多允许5个Telnet用户同时登录)。
第五步:使用相应命令配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本书中以后各章节的内容。
& 说明:
l 通过Telnet配置交换机时,不要删除或修改对应本telnet连接的交换机上的VLAN接口的IP地址,否则会导致Telnet连接断开。
l Telnet用户通过口令认证登录交换机时,缺省可以访问命令级别为0级的命令。
如果用户已经通过Telnet登录到一台交换机上,则可以通过该交换机Telnet到另一台交换机上进行配置。本交换机作为Telnet客户端,对端交换机作为Telnet服务器端。如果两台交换机相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台交换机必须存在互相到达的路由。
配置环境如图2-7所示,用户Telnet到一台交换机后,可以输入telnet命令再登录其它交换机,对其进行配置管理。
第一步:先通过Console口在作为Telnet Server的交换机上配置欲登录的Telnet用户名和认证口令。
& 说明:
Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Telnet登录,则系统会提示“Login password has not been set !”。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] user-interface vty 0
[H3C-ui-vty0] set authentication password simple xxxx
xxxx是欲设置的该Telnet用户登录口令。
第二步:用户登录到作为Telnet Client的交换机(登录过程请参考本章“通过计算机Telnet到交换机”一节)。
第三步:在Telnet Client的交换机上作如下操作:
<H3C> telnet xxxx
xxxx是作为Telnet Server的交换机的主机名或IP地址,若为主机名,则需是已通过ip host 命令配置的主机名或通过DNS客户端 解析的主机名。
第四步:输入已设置的登录口令,然后出现命令行提示符(如< H3C>),如果出现“All user interfaces are used, please try later! The connection was closed by the remote host!”的提示,表示当前Telnet到交换机的用户达到最大值,则请稍候再连。
第五步:使用相应命令配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本书中以后各章节的内容。
第一步:在通过Modem拨号登录交换机之前,先通过Console口在交换机上对欲登录的Modem用户进行授权验证:
& 说明:
Modem用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Modem登录,则系统会提示“Login password has not been set !”。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] user-interface aux 0
[H3C-ui-aux0] set authentication password simple xxxx
xxxx是欲设置的该Modem用户登录口令。
第二步:如图2-8所示,建立远程配置环境,在计算机(或终端)的串口和交换机的AUX口分别挂接Modem。
第三步:在远端通过终端仿真程序和Modem向交换机拨号(所拨号码应该是与交换机相连的Modem的电话号码),与交换机建立连接,如图2-9至图2-10所示。
第四步:在远端的终端仿真程序上输入已设置的登录口令,出现命令行提示符(如 <H3C>),即可对交换机进行配置或管理。需要帮助可以随时键入“?”,具体的配置命令请参考本书中以后各章节的内容。
& 说明:
Modem用户登录时,缺省可以访问命令级别为0级的命令。
H3C系列交换机向用户提供一系列配置命令以及命令行接口,方便用户配置和管理交换机。命令行接口有如下特性:
l 通过Console口或AUX口进行本地配置。
l 通过以太网端口利用Telnet进行本地或远程登录配置。
l 通过AUX口利用Modem拨号进行远程配置。
l 配置命令分级保护,确保未授权用户无法侵入交换机。
l 用户可以随时键入<?>以获得在线帮助。
l 提供网络测试命令,如Tracert、Ping等,迅速诊断网络是否正常。
l 提供种类丰富、内容详尽的调试信息,帮助诊断网络故障。
l 用Telnet命令直接登录并管理其它交换机。
l 提供FTP服务,方便用户上载、下载文件。
l 提供类似Doskey的功能,可以执行某条历史命令。
l 命令行解释器对关键字采取不完全匹配的搜索方法,用户只需键入无冲突关键字即可解释。
H3C系列交换机的命令行采用分级保护方式,防止未授权用户的非法侵入。
命令行划分为参观级、监控级、配置级、管理级4个级别,简介如下:
l 参观级:该级别包含的命令有网络诊断工具命令(ping、tracert)、用户界面的语言模式切换命令(language-mode)以及telnet命令等,该级别命令不允许进行配置文件保存的操作。
l 监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作。
l 配置级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提供直接网络服务。
l 管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP、XModem下载、用户管理命令、级别设置命令等。
同时对登录用户也划分为4个级别,分别与命令级别相对应,即不同级别的用户登录后,只能使用等于或低于自己级别的命令。
为了防止未授权用户的非法侵入,用户在使用super [ level ]命令从低级别切换到高级别时,要进行用户身份验证,即需要输入切换口令(如果用户已经使用命令super password [ level level ] { simple | cipher } password设置了切换口令)。为了保密,用户在屏幕上看不到所键入的口令,如果三次以内输入正确的口令,则切换到高级别用户,否则保持原用户级别不变。
各命令行视图是针对不同的配置要求实现的,它们之间有联系又有区别,比如,与交换机建立连接即进入用户视图,它只完成查看运行状态和统计信息的简单功能,再键入system-view进入系统视图,在系统视图下,可以键入不同的命令进入相应的视图。
命令行提供如下视图:
l 用户视图
l 系统视图
l 端口视图
l VLAN视图
l VLAN接口视图
l 本地用户视图
l 用户界面视图
l FTP Client命令视图
l SFTP Client视图
l MST域视图
l PIM视图
l MSDP视图
l IPv4组播子地址族视图
l RIP视图
l OSPF视图
l OSPF区域视图
l BGP视图
l IS-IS视图
l 路由策略视图
l 基本ACL视图
l 高级ACL视图
l 二层ACL视图
l 遵守级别视图
l WRED索引视图
l RADIUS服务器组视图
l ISP域视图
l MPLS视图
l VPNv4子地址族视图
l VPN实例子地址族视图
l BGP-VPNv4子地址族视图
l MPLS L2VPN视图
l L2VPN地址族视图
l Route-Policy视图
l vpn-instance视图
l OSPF协议视图
l Remote-peer视图
l VSI-LDP视图
l VSI视图
l HWTACACS视图
l 端口组视图
l Lanswitch视图
l HGMP视图
各命令视图的功能特性、进入各视图的命令等细则如表3-1所示。
|
视图 |
功能 |
提示符 |
进入命令 |
退出命令 |
|
用户视图 |
查看交换机的简单运行状态和统计信息 |
<H3C> |
与交换机建立连接即进入 |
quit断开与交换机连接 |
|
系统视图 |
配置系统参数 |
[H3C] |
在用户视图下键入system-view |
quit或return返回用户视图 |
|
端口视图 |
以太网端口视图:配置以太网端口参数 |
[H3C-Ethernet2/1/1] |
百兆以太网端口视图 在系统视图下键入interface ethernet 2/1/1 |
quit返回系统视图 return返回用户视图 |
|
[H3C-GigabitEthernet2/1/1] |
千兆以太网端口视图 在系统视图下键入interface gigabitethernet 2/1/1 |
|||
|
[H3C-GigabitEthernet2/1/1] |
万兆以太网端口视图 在系统视图下键入interface gigabitethernet 2/1/1 |
|||
|
POS端口视图:配置POS端口参数 |
[H3C-Pos2/1/1] |
在系统视图下键入interface pos 2/1/1 |
||
|
RPR逻辑端口视图:配置RPR端口参数 |
[H3C-rpr2/1/1] |
在系统视图下键入interface rpr2/1/1 |
||
|
RPR POS物理端口视图:配置RPR端口下物理参数 |
[H3C-rpr2/1/1.1] |
在系统视图下键入interface rpr2/1/1.1 |
||
|
VLAN视图 |
配置VLAN参数 |
[H3C-Vlan1] |
在系统视图下键入vlan 1 |
quit返回系统视图 return返回用户视图 |
|
VLAN接口视图 |
配置VLAN和VLAN汇聚对应的IP接口参数 |
[H3C-Vlan-interface1] |
在系统视图下键入interface vlan-interface 1 |
quit返回系统视图 return返回用户视图 |
|
本地用户视图 |
配置本地用户参数 |
[H3C-luser-user1] |
在系统视图下键入local-user user1 |
quit返回系统视图 return返回用户视图 |
|
用户界面视图 |
配置用户界面参数 |
[H3C-ui0] |
在系统视图下键入user-interface 0 |
quit返回系统视图 return返回用户视图 |
|
FTP Client命令视图 |
配置FTP Client参数 |
[ftp] |
在用户视图下键入ftp |
quit返回用户视图 |
|
SFTP Client视图 |
配置SFTP Client参数 |
sftp-client> |
在系统视图下键入sftp ip-address |
quit返回系统视图 return返回用户视图 |
|
MST域视图 |
配置MST域的参数 |
[H3C-mst-region] |
在系统视图下键入stp region-configuration |
quit返回系统视图 return返回用户视图 |
|
PIM视图 |
配置PIM参数 |
[H3C-PIM] |
在系统视图下键入pim |
quit返回系统视图 return返回用户视图 |
|
MSDP视图 |
配置MSDP参数 |
[H3C-msdp] |
在系统视图下键入msdp |
quit返回系统视图 return返回用户视图 |
|
IPv4组播子地址族视图 |
配置MBGP组播扩展参数 |
[H3C-bgp-af-mul] |
在BGP视图下键入ipv4-family multicast |
quit返回BGP视图 return返回用户视图 |
|
RIP视图 |
配置RIP协议参数 |
[H3C-rip] |
在系统视图下键入rip |
quit返回系统视图 return返回用户视图 |
|
OSPF视图 |
配置OSPF协议参数 |
[H3C-ospf] |
在系统视图下键入ospf |
quit返回系统视图 return返回用户视图 |
|
OSPF区域视图 |
配置OSPF区域相关的参数 |
[H3C-ospf-0.0.0.1] |
在OSPF视图下键入area 1 |
quit返回OSPF视图 return返回用户视图 |
|
BGP视图 |
配置BGP协议参数 |
[H3C-bgp] |
在系统视图下键入bgp 100 |
quit返回系统视图 return返回用户视图 |
|
IS-IS视图 |
配置IS-IS协议参数 |
[H3C-isis] |
在系统视图下键入isis |
quit返回系统视图 return返回用户视图 |
|
路由策略视图 |
配置路由策略 |
[H3C-route-policy] |
在系统视图下键入 route-policy policy1 permit node 10 |
quit返回系统视图 return返回用户视图 |
|
基本ACL视图 |
定义基本ACL的子规则 |
[H3C-acl-basic-2000] |
在系统视图下键入acl number 2000 |
quit返回系统视图 return返回用户视图 |
|
高级ACL视图 |
定义高级ACL的子规则 |
[H3C-acl-adv-3000] |
在系统视图下键入acl number 3000 |
quit返回系统视图 return返回用户视图 |
|
二层ACL视图 |
定义二层ACL的子规则 |
[H3C-acl-link-4000] |
在系统视图下键入acl number 4000 |
quit返回系统视图 return返回用户视图 |
|
遵守级别视图 |
配置遵守级别下的“DSCP + Conform-level—>服务参数”映射表、“EXP + Conform-level—>服务参数”映射表和“Local-precedence + Conform-level—>802.1p优先级”映射表 |
[H3C-conform-level-0] |
在系统视图下键入qos conform-level 0 |
quit返回系统视图 return返回用户视图 |
|
WRED 索引视图 |
配置WRED参数 |
[H3C-wred-0] |
在系统视图下键入wred 0 |
quit返回系统视图 return返回用户视图 |
|
RADIUS服务器组视图 |
配置Radius协议参数 |
[H3C-radius-1] |
在系统视图下键入radius scheme 1 |
quit返回系统视图 return返回用户视图 |
|
ISP域视图 |
配置ISP域的相关属性 |
[H3C-isp-H3C163.net] |
在系统视图下键入domain H3C163 .net |
quit返回系统视图 return返回用户视图 |
|
MPLS视图 |
配置MPLS相关参数 |
[H3C-mpls] |
在系统视图下键入mpls |
quit返回系统视图 return返回用户视图 |
|
VPNv4子地址族视图 |
配置VPNv4的地址族参数 |
[H3C-bgp-af-vpn] |
在BGP视图下键入ipv4-family vpnv4 |
quit返回系统视图 return返回用户视图 |
|
VPN实例子地址族视图 |
配置VPN实例的地址族参数 |
[H3C-bgp-af-vpn-instance] |
在BGP、RIP视图下键入ipv4-family vpn-instance vpna |
quit返回系统视图 return返回用户视图 |
|
BGP-VPNv4子地址族视图 |
配置BGP-VPNv4实例的子地址族参数 |
[H3C-bgp-af-vpn] |
在BGP、RIP视图下键入ipv4-family vpn-instance |
quit返回系统视图 return返回用户视图 |
|
MPLS L2VPN视图 |
配置MPLS L2VPN服务参数 |
[H3C-mpls-l2vpn-vpna] |
在系统视图下键入mpls l2vpn vpna encapsulation ethernet |
quit返回系统视图 return返回用户视图 |
|
L2VPN地址族视图 |
配置L2VPN服务参数 |
[H3C-bgp-af-l2vpn] |
在BGP视图下键入l2vpn-family |
quit返回系统视图 return返回用户视图 |
|
Route-Policy视图 |
配置Route-Policy服务参数 |
[H3C-route-policy] |
在系统视图下键入route-policy route-policy-name { permit | deny } node node-number |
quit返回系统视图 return返回用户视图 |
|
vpn-instance视图 |
配置vpn-instance视图参数 |
[H3C-vpn-vpn-instance_blue] |
在系统视图下键入ip vpn-instance vpn-instance_ vpna |
quit返回系统视图 return返回用户视图 |
|
OSPF协议视图 |
配置OSPF协议参数 |
[H3C-ospf-100] |
在系统视图下键入ospf process-id [ router-id router-id-number ] [ vpn-instance vpn-instance-name ] |
quit返回系统视图 return返回用户视图 |
|
Remote-peer视图 |
配置MPLS对等体参数 |
[H3C-mpls-remote1] |
在系统视图下键入mpls ldp remote-peer 1 |
quit返回系统视图 return返回用户视图 |
|
VSI-LDP视图 |
配置VPLS的一些特性 |
[9500-vsi-H3C-ldp] |
在系统视图下键入vsi H3C,在vsi视图下键入pwsignal ldp |
quit返回vsi视图,return返回用户视图 |
|
VSI视图 |
指明VPLS使用的方式 |
[9500-vsi-H3C] |
在系统视图下键入vsi H3C |
quit返回系统视图 return返回用户视图 |
|
HWTACACS视图 |
配置HWTACACS协议参数 |
[9500-hwtacacs-H3C] |
在系统视图下键入hwtacacs scheme H3C |
quit返回系统视图 return返回用户视图 |
|
端口组视图 |
将配置相同的端口合并为一组,省略重复配置过程 |
[9500-port-group X] |
在系统视图下键入port-group X |
quit返回系统视图 return返回用户视图 |
|
HGMP视图 |
配置HGMP的一些特性 |
[H3C-hgmp] |
在系统视图下键入hgmpserver enable |
quit返回系统视图 return返回用户视图 |
|
Lanswitch视图 |
用户可以对指定的以太网交换机进行操作 |
[H3C-lanswitchX/X/X-/] |
在HGMP视图下键入lanswitch X/X/X-/ |
quit返回HGMP视图,return返回用户视图 |
命令行接口提供如下几种在线帮助:
l 完全帮助
l 部分帮助
通过上述各种在线帮助能够获取到帮助信息,分别描述如下:
(1) 在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。
<H3C> ?
User view commands:
language-mode Specify the language environment
ping Ping function
quit Exit from current command view
super Privilege current user a specified priority level
telnet Establish one TELNET connection
tracert Trace route function
(2) 键入一命令,后接以空格分隔的<?>,如果该位置为关键字,则列出全部关键字及其简单描述。
<H3C> language-mode ?
chinese Chinese environment
english English environment
(3) 键入一命令,后接以空格分隔的<?>,如果该位置为参数,则列出有关的参数描述。
[H3C] garp timer leaveall ?
INTEGER<65-32765> Value of timer in centiseconds
(LeaveAllTime > (LeaveTime [On all ports]))
Time must be multiple of 5 centiseconds
[H3C] garp timer leaveall 300 ?
<cr>
<cr>表示该位置无参数,在紧接着的下一个命令行该命令被复述,直接键入回车即可执行。
(4) 键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<H3C> p?
ping pwd
(5) 键入一命令,后接一字符串紧接<?>,列出命令以该字符串开头的所有关键字。
<H3C> display ver?
version
(6) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。
(7) 以上帮助信息,均可通过执行language-mode命令切换为中文显示。
命令行接口提供了如下的显示特性:
l 为方便用户,提示信息和帮助信息可以用中英文两种语言显示。
l 在一次显示信息超过一屏时,提供了暂停功能,这时用户可以有三种选择,如表3-2所示。
|
按键或命令 |
功能 |
|
暂停显示时键入<Ctrl+C> |
停止显示和命令执行 |
|
暂停显示时键入空格键 |
继续显示下一屏信息 |
|
暂停显示时键入回车键 |
继续显示下一行信息 |
命令行接口提供类似Doskey功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行。命令行接口为每个用户缺省保存10条历史命令。操作如表3-3所示。
|
操作 |
按键 |
结果 |
|
显示历史命令 |
display history-command |
显示用户输入的历史命令 |
|
访问上一条历史命令 |
上光标键↑或<Ctrl+P> |
如果还有更早的历史命令,则取出上一条历史命令 |
|
访问下一条历史命令 |
下光标键↓或<Ctrl+N> |
如果还有更晚的历史命令,则取出下一条历史命令 |
& 说明:
用光标键对历史命令进行访问,在Windows 3.X的Terminal和Telnet下都是有效的,但对于Windows 9X超级终端,↑、↓光标键会无效,这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替↑、↓光标键达到同样目的。
所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见表3-4。
|
英文错误信息 |
错误原因 |
|
Unrecognized command |
没有查找到命令 |
|
没有查找到关键字 |
|
|
参数类型错误 |
|
|
参数值越界 |
|
|
Incomplete command |
输入命令不完整 |
|
Too many parameters |
输入参数太多 |
|
Ambiguous command |
输入参数不明确 |
命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为256个字符,如表3-5所示。
|
按键 |
功能 |
|
普通按键 |
若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标 |
|
退格键Backspace |
删除光标位置的前一个字符,光标前移 |
|
左光标键←或<Ctrl+B> |
光标向左移动一个字符位置 |
|
右光标键→或<Ctrl+F> |
光标向右移动一个字符位置 |
|
上光标键↑或<Ctrl+P> 下光标键↓或<Ctrl+N> |
显示历史命令 |
|
Tab键 |
输入不完整的关键字后按下Tab键,系统自动执行部分帮助:如果与之匹配的关键字唯一,则系统用此完整的关键字替代原输入并换行显示;对于命令字的参数、不匹配或者匹配的关键字不唯一的情况,系统不作任何修改,重新换行显示原输入 |
为了方便用户管理系统,交换机提供了用户界面配置,用来配置和管理端口属性,目前S9500系列路由交换机支持的用户界面配置方式有:
l 通过Console或AUX口进行本地配置
l 通过以太网端口利用Telnet进行本地或远程登录配置
l 通过AUX口利用Modem拨号进行远程配置
与这些配置方式对应的是三种类型的用户界面:
l Console用户界面(Console)
Console用户界面用于通过Console口对交换机进行访问,每台交换机最多只有一个。
l AUX用户界面(AUX)
AUX用户界面用于本地和通过Modem拨号远端对交换机进行访问,每台交换机只有一个。在本地配置时与Console用户界面相似。
l VTY用户界面(VTY)
VTY用户界面用于通过Telnet对交换机进行访问,每台交换机最多可以有5个。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
S9500路由交换机用户界面共分3类,并按照一定的先后顺序排列:
分别是控制台(CON)、辅助接口(AUX)、虚拟接口(VTY)三种类型。控制台和辅助接口分别只有一个;VTY类型的用户界面有多个。绝对编号的起始编号是0,依次类推。绝对编号可以唯一的指定一个用户界面或一组用户界面。
绝对编号方式遵守的规则如下:
l Console用户界面编号排在第一位,为0;
l AUX用户界面编号排在第二位,为1;
l VTY用户界面排在AUX用户界面之后。第一个VTY的绝对编号比AUX大1。
相对编号方式的形式是:“用户界面类型”+“编号”。此编号是每种类型的用户界面的内部编号。此种编号方式只能指定某中类型的用户界面中的一个或一组,而不能跨类型操作。相对编号方式遵守的规则如下:
l Console用户界面的编号:console 0;
l AUX用户界面的编号:aux 0;
l VTY用户界面的编号:第一条为vty 0,第二条为vty 1,依此类推。
用户界面配置包括:
l 进入用户界面视图
l 设置会话建立标题
l 配置异步口属性
l 配置终端属性
l 用户管理
l Modem属性配置
l 配置重定向功能
可以通过下面的命令进入相应的用户界面视图。可以进入单一用户界面视图对一个用户界面进行配置,也可以进入多个用户界面视图同时配置多个用户界面。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
进入单一用户界面视图或多个用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
当用户登录交换机时,可以通过以下命令设置交换机向用户提示的相关信息,激活终端连接后,login标题就被发送到终端。如果用户成功登录,显示shell标题。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置会话建立标题 |
header [ shell | incoming | login ] text |
|
取消显示会话建立标题 |
undo header [ shell | incoming | login ] |
需要注意的是,当header命令后输入shell、login、incoming任一个参数后直接回车,则该参数为登录信息login的内容,而不是标题。
可以通过下面的命令配置异步口的属性,包括速率、流控方式、校验方式、停止位和数据位。这些配置命令都只有工作在异步交互方式下才有效。
请在用户界面视图下进行下列配置(只能在Console和AUX用户界面视图下进行)。
|
操作 |
命令 |
|
配置传输速率 |
speed speed-value |
|
恢复传输速率为缺省值 |
undo speed |
缺省情况下,异步口支持的传输速率为9600bit/s。
|
操作 |
命令 |
|
配置流控方式 |
flow-control { hardware | none | software } |
|
恢复流控方式为缺省方式 |
undo flow-control |
缺省情况下,异步口的流控方式为none,即不进行流控。
|
操作 |
命令 |
|
配置校验方式 |
parity { even | mark | none | odd | space } |
|
恢复校验方式为缺省方式 |
undo parity |
缺省情况下,异步口的校验方式为none,即无校验位。
|
操作 |
命令 |
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
|
恢复停止位为缺省值 |
undo stopbits |
缺省情况下,异步口的停止位为1。
需要注意的是:目前S9500系列交换机不支持将停止位设置为1.5位。
|
操作 |
命令 |
|
配置数据位 |
databits { 7 | 8 } |
|
恢复数据位为缺省值 |
undo databits |
缺省情况下,异步口支持的数据位为8位。
可以通过下面的命令配置终端属性,包括启动/关闭终端服务、超时断开设定、锁住用户界面、配置终端屏幕的一屏长度以及配置历史命令缓冲区大小。
请在用户界面视图下进行下列配置,其中锁住用户界面操作请在用户视图下进行。
当关闭某用户界面的终端服务后,通过该用户界面将不能登录交换机。对于在关闭之前已经通过该用户界面登录的用户,仍然可以进行操作。但当用户退出该用户界面后,将不能再次登录。只有启动该用户界面的终端服务后,才能通过该用户界面登录交换机。
|
操作 |
命令 |
|
启动终端服务 |
shell |
|
关闭终端服务 |
undo shell |
缺省情况下,在所有的用户界面上启动终端服务。
需要注意的是:
l undo shell命令在Console用户界面不支持,其它用户界面均支持。
l 用户不能在自己登录的用户界面上使用本命令。
l 在任何合法的用户界面上使用undo shell命令,都需要经过用户的确认。
|
操作 |
命令 |
|
设置用户超时断连功能 |
idle-timeout minutes [ seconds ] |
|
恢复用户超时断连为缺省值 |
undo idle-timeout |
缺省情况下,在所有的用户界面上启动了超时断开连接功能,时间为10分钟。也就是说,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开。
idle-timeout 0表示关闭超时中断连接功能。
该配置任务用来锁住当前使用的用户界面,并提示用户输入密码。防止当用户离开时,其它人对该用户界面进行操作。
|
操作 |
命令 |
|
锁住用户界面 |
lock |
当某命令显示信息的行数多于一屏中能够显示的范围时,可以使用以下命令设置一屏中可以显示的行数,以便将信息分成几段,方便查看。
|
操作 |
命令 |
|
设置终端屏幕的一屏长度 |
screen-length screen-length |
|
恢复终端屏幕一屏长度为缺省值 |
undo screen-length |
需要注意的是,当参数screen-length设置为1或者2时,一屏中可以显示的行数相同。
缺省情况下,屏幕分屏显示的行数为24(包括分屏标志行)。
screen-length 0表示关闭分屏功能。
|
操作 |
命令 |
|
设置历史命令缓冲区大小 |
history-command max-size value |
|
恢复历史命令缓冲区大小为缺省值 |
undo history-command max-size |
缺省情况下,历史缓冲区为10,即可存放10条历史命令。
用户管理包括用户登录验证方式的设置、用户登录后可以访问的命令级别的设置、从用户界面登录后可以访问的命令级别的设置以及命令级别的设置。
可以使用以下命令设置用户登录时是否需要进行验证,以防止非法用户的侵入。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置登录用户的认证方式 |
authentication-mode { password | scheme | none } |
缺省情况下,Console口登录不需要进行终端验证;而AUX口本地和远程Modem登录、Telnet用户登录均需要进行口令验证。
需要注意的是:将Console口设置为本地口令认证后,即便不配置密码用户也可以直接登录系统。而其它用户接口如AUX口用户以及Vty用户在设置为本地口令认证后,必须要设置密码才可以登录。
(1) 本地口令验证
使用authentication-mode password命令,表示需要进行本地口令认证,此时需要使用以下命令配置口令后,才能成功登录。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置本地验证的口令 |
set authentication password { cipher | simple } password |
|
取消本地验证的口令 |
undo set authentication password |
# 设置用户从VTY 0用户界面登录时需要进行口令验证,且验证口令为H3C。
[H3C] user-interface vty 0
[H3C-ui-vty0] authentication-mode password
[H3C-ui-vty0] set authentication password simple H3C
(2) 本地或远端用户名和口令验证
使用authentication-mode scheme命令,表示需要进行本地或远端用户名和口令认证。究竟是采用本地认证还是远端认证视配置而定,详细内容请见“安全”模块的介绍。
下面仅以本地用户名和口令认证为例介绍配置过程。
# 设置用户从VTY 0用户界面登录时需要进行用户名和口令验证,且登录用户名和口令分别为zbr和H3C。
[H3C-ui-vty0] authentication-mode scheme
[H3C-ui-vty0] quit
[H3C] local-user zbr
[H3C-luser-zbr] password simple H3C
[H3C-luser-zbr] service-type telnet
(3) 不验证
[H3C-ui-vty0] authentication-mode none
& 说明:
AUX口本地和远程Modem登录、Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而登录,则系统会提示“Login password has not been set !”。
如果使用authentication-mode none命令,则AUX口本地和远程Modem登录、Telnet用户登录时不需要进行口令的验证。
可以使用以下的命令设置某用户登录后可以访问的命令级别。
请在本地用户视图下进行下列配置。
|
操作 |
命令 |
|
设置指定用户登录后可以访问的命令级别 |
service-type telnet [ level level ] |
|
恢复指定用户登录后可以访问的命令级别为缺省级别 |
undo service-type telnet |
缺省情况下,指定用户登录可以访问的命令级别为2级。
可以使用以下命令设置从某用户界面登录后可以访问的命令级别,执行该级别范围内的命令。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置从用户界面登录后可以访问的命令级别 |
user privilege level level |
|
恢复从用户界面登录后可以访问的命令级别为缺省级别 |
undo user privilege level |
缺省情况下,从Console用户界面登录后可以访问的命令级别为3级,而从AUX或VTY用户界面登录后可以访问的命令级别为0级。
& 说明:
用户登录交换机时,其所能访问的命令级别取决于用户自身可以访问的命令级别与从用户界面登录所能访问的命令级别的设置,如果两者不同,则以用户自身可以访问的命令级别为准。例如:某用户可以访问的命令级别是3级,而从VTY 0用户界面登录所能访问的命令级别是1级,则该用户从VTY 0登录系统时,可以访问3级及以下的命令。
可以使用以下命令设置指定视图内指定命令的级别。命令权限共分为参观、监控、配置、管理4个级别,分别对应标识0、1、2、3。管理员可以根据用户需要指定命令权限。
请在系统视图下进行下列操作。
|
操作 |
命令 |
|
设置指定视图中指定命令的级别 |
command-privilege level level view view command |
|
恢复指定视图中指定命令的级别为缺省值 |
undo command-privilege view view command |
可以使用下面的命令设置用户终端的输入协议。输入协议类型可以为TELNET、SSH协议或所有协议。
请在用户界面视图下进行下列操作。
|
操作 |
命令 |
|
设置用户终端的输入协议 |
protocol inbound { all | telnet | ssh } |
缺省情况下用户终端的输入协议为所有协议。
通过Modem登录交换机时,可以通过下面的命令配置Modem的有关参数。
请在用户界面视图下进行下列配置(只能在AUX用户界面视图下进行)。
|
操作 |
命令 |
|
设置系统收到了RING信号到等待CD_UP的时间间隔 |
modem timer answer seconds |
|
恢复系统缺省的收到RING信号到等待CD_UP的时间间隔 |
undo modem timer answer |
|
设置自动应答 |
modem auto-answer |
|
设置手动应答 |
undo modem auto-answer |
|
设置允许呼入 |
modem call-in |
|
设置禁止呼入 |
undo modem call-in |
|
设置允许呼入呼出 |
modem both |
|
设置禁止呼入呼出 |
undo modem both |
可以通过下面的命令实现用户界面之间传递消息的功能。
请在用户视图下进行下列配置。
|
操作 |
命令 |
|
设置在用户界面之间传递消息 |
send { all | number | type number } |
可以通过下面的命令配置登录时自动执行命令。某条命令被配置为自动执行后,当用户重新登录时,系统将自动执行该命令。
通常的用法是在终端使用以下命令配置telnet命令,使用户自动连接到指定的设备。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置自动执行命令 |
auto-execute command text |
|
取消自动执行命令 |
undo auto-execute command |
需要注意的是:
l 该命令的使用将导致不能使用该用户界面对本系统进行常规的配置,需谨慎使用。
l 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其它手段登录系统以去掉此配置。
# 配置用户从VTY 0上登录后,自动执行telnet 10.110.100.1命令。
[H3C-ui-vty0] auto-execute command telnet 10.110.100.1
当用户从VTY 0登录时,将自动执行telnet 10.110.100.1命令。
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户界面的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行free命令可以释放用户界面的连接。
|
操作 |
命令 |
|
释放指定的用户界面连接 |
free user-interface [ type ] number |
|
显示用户界面的使用信息 |
display users [ all ] |
|
显示用户界面的物理属性和一些配置 |
display user-interface [ type number | number ] [ summary ] |
|
有选择性地查询历史命令 |
display history-command { Command-Number } { | { begin | include | exclude } Match-string } |
S9500系列交换机的交换路由板提供一个10/100Base-TX的管理用以太网口。该接口可用来连接后台计算机,进行系统的程序加载、调试等工作;也可以接远端的网管工作站等设备,实现系统的远程管理。
在管理用以太网接口视图下可进行以下配置:
l 配置接口IP地址
l 打开/关闭接口
l 设置接口描述信息
l 显示当前系统信息
l 网络连通性测试(ping,tracert)
具体配置操作请参见“端口”和“系统管理”部分的相关章节。
注意:
管理用以太网口只有配置了IP地址以后才能正常使用。
以太网交换机能够向用户提供密码管理功能,在登录以太网交换机之前需要先配置系统的登录密码,配置密码之后每次登录交换机都要先输入密码,系统认证通过后才允许用户登录交换机进行后续操作。对于密码验证失败的用户则无法登录成功。
用户可以使用缺省的密码配置,也可以自行进行密码管理配置,自行进行密码管理的时候遵循以下步骤:
(1) 配置系统登录密码
当用户进入系统需要输入密码验证身份时,系统对密码加以保护。命令行将不会显示输入的密码。在系统的配置文件或者终端上,均不能显示该密码的明文,必须以加密方式存储。
当用户输入密码时,终端上采用显示******的方式,没有用户密码的明文显示。用户配置密码需要输入两次,以便确认。密码配置时,命令行显示为******,配置文件中显示为密文。
(2) 启动系统密码管理功能
密码配置之后用户可以进行密码管理,密码管理包括以下几个方面:
l 启动密码管理老化功能
l 启动限制密码管理最小长度功能
l 配置系统支持历史密码记录功能
当登录系统的密码过期之后,系统会要求用户输入新的密码,并且自动保存。通过记录历史密码可以阻止用户在修改密码的时候使用单一或者重复的密码,加强安全性。
系统将历史密码记录存放到flash的私有文件中,该文件对任何用户均为不可读,不可修改。同时系统对密码历史记录以及黑名单记录还具有自动备份功能,详细分为下列几种情况:
l 系统增加或删除一个历史密码记录时,通知备板进行备份。
l 系统清空所有历史纪录或者某个用户的历史记录时,通知备板进行备份。
l 系统增加或删除一个黑名单中用户时,通知备板进行备份。
l 主板备板上的flash中具有保存一致 的历史密码的记录和黑名单记录。
(3) 配置系统密码参数
密码配置之后管理员可以在下次登录时进行修改,密码的参数包含以下几个方面:
l 系统密码老化的时间
l 提醒用户密码过期的时间
l 系统密码长度的最小值
l 配置输入密码时的尝试次数及尝试失败后的处理方式
l 用户密码个数的最大历史记录
l 用户认证超时时间
(4) 配置super密码参数
用户级别是配置用户的时候管理员配置的,super命令是给用户更换权限的命令比如,一个用户的级别为3,但在允许其以较低级别登录,成功登录到系统后,如果想更换级别,就需要super命令,同时需要super密码验证,对该密码需要密码管理,也就是有老化功能和最小长度的限制。
(5) 删除用户密码的历史记录
删除用户密码的历史记录之后,再重新配置密码的时候就不会受到之前所配置的历史密码记录的限制,系统可以删除所有用户的密码历史记录也可以删除特定用户的密码历史记录。
用户端PC与一台S9500交换机连接,并且各自都处于正常工作状态。
密码管理的基本配置任务如下:
l 配置系统登录密码
l 启动系统密码管理功能
l 配置系统密码参数功能
l 配置super密码参数
l 删除用户密码记录
配置完毕后,在任意视图下执行display password-control命令可以查看所有用户密码管理的信息,包括密码老化是否启动,老化时间是多少,密码最小长度是否启动,最小值是多少,密码历史记录是否启动,密码过期提醒时间,密码认证时间,密码尝试次数,最大历史纪录的个数,尝试失败后的行为,上次清除历史记录的时间等。
密码尝试失败后,系统会将该用户加入黑名单中,在任意视图下执行display password-control blacklist命令可以查看的黑名单中用户信息以及其IP地址信息。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入本地用户视图 |
local-user username |
- |
|
配置系统登录密码 |
password |
根据系统提示输入密码并确认两次输入一致 |
|
启动系统密码管理功能 |
password-control { aging | length | history } enable |
缺省情况下该密码管理的功能均启动 |
|
配置系统密码参数 |
password-control { aging aging-time | length length | login-attempt login-times | history max-record-num | alert-before-expire alert-time | authentication-timeout authentication-timeout | exceed { lock | unlock | locktime time } } |
参见下文对系统密码参数配置的详细介绍 password-control aging aging-time 命令与 password-control length length命令也可以在本地用户视图下配置 |
|
配置super密码参数 |
password-control super { aging aging-time | length length } |
缺省情况下super密码老化的时间为90天,super密码长度的最小值为10个字符 |
|
删除用户密码的历史记录 |
reset password-control history-record [ username username ] |
- |
|
删除super密码的历史记录 |
reset password-control history-record super [ level level-value ] |
- |
|
显示所有用户的密码管理信息 |
display password-control |
display命令可以在任意视图下执行 |
|
显示super密码管理信息 |
display password-control super |
display命令可以在任意视图下执行 |
取消相关配置可以使用相应的undo命令。
注意:
l 当密码历史记录功能未启动时,密码的清除命令reset password-control history-record同样可以清除全部或者某个用户的历史密码。
l 当密码管理功能未启动时,密码老化参数可以进行配置,但不起作用。
系统在启动密码老化功能后,用户登录进行密码验证时,系统读取该用户的密码创建时间并且将该密码的创建时间与与该用户的密码老化时间进行比较,具体可有下列三种情况:
(1) 如果密码距离过期的时间在提醒时间范围内,则系统提示用户密码还有几天过期,并且询问用户是否修改密码。输出提示如:
Your password will expire in 2 days ,Will you change it ? [Y/N]
l 如果用户选择修改且修改密码成功,则记录新的密码,并且记录新密码的设定时间,允许用户正常登录。
l 如果用户选择不修改或者修改不成功,则在密码没过期的情况下可以正常登录。
(2) 如果该用户的密码已经过期,则系统通知用户密码已经过期,输出提示:
your password has expired ,please enter a new password :
password: **********
confirm :**********
即要求用户必须输入新的密码,在用户输入新的密码后确认该新的密码。如果密码不符合要求,或者两次输入的密码不同,系统要求用户重新输入,否则无法登录成功。
(3) 如果该用户密码没有过期,且老化时间与过期时间的间隔不在提醒时间范围内,该用户正常登录。
用户修改密码成功后,将当前密码保存到flash文件中。
对super命令的密码作类似处理,但对super密码没有提醒功能,只有在使用时通知其是否过期。
对于ftp用户,同样没有提醒功能,并且只通知用户密码错误,不能进行密码修改,需要通过管理员进行修改。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置系统密码参数 |
password-control aging aging-time |
密码老化时间的范围为1~365天,缺省情况下,密码老化时间是90天 该命令也可以在本地用户视图下配置 |
该老化时间的配置命令分别在系统视图和用户视图下,系统视图下配置全局参数,用户视图下配置该用户的参数,用户参数与系统参数冲突时,使用该用户视图参数。
在用户密码即将过期前的设定时间内,系统会自动发出提示,输出提示如:Your password will expire in 2 days ,Will you change it ? [Y/N],提醒用户密码还有几天过期,并且询问用户是否修改密码。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置提醒用户密码过期的时间 |
password-control alert-before-expire alert-time |
提醒用户密码过期时间的范围为1~30天,缺省情况下,提醒用户密码过期的时间是7天 |
在用户配置密码的时候,密码长度有最小值的限制,系统获取用户输入的密码,进行密码长度的检验,发现用户输入的密码长度不符合系统要求,给出用户提示,通知用户密码长度不符合要求,要求重新输入用户密码。
如果输入的密码长度小于配置的最小长度,系统将不允许配置该密码,并显示出错信息“Password is too short. Please enter minimum length password.”提醒用户重新输入密码。
对super命令的密码同样处理。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置系统密码长度的最小值 |
password-control length length |
系统密码长度的最小值的取值范围是4~32个字符串,缺省情况下为10个字符 该命令也可以在本地用户视图下配置 |
密码最小长度的配置可以有全局配置命令和用户视图下配置某个用户的密码最小长度两种情况。同老化参数一样,两种参数一样时,按用户视图下的参数为准。
系统对用户进行密码尝试次数有所限制,当当用户输入错误密码达到配置次数时,系统将有三种选择:
l 将该用户加入黑名单禁止一段时间,即将用户名+IP 地址、被禁止的时间存放到黑名单中,每次用户登录,则在黑名单中进行查找,如果用户名+IP地址在黑名单中,则直接将该用户拒绝而不允许该用户进行密码验证。规定时间到达之后,将该用户从黑名单中删除,重新激活该用户。该禁止时间由系统管理员指定,范围为3~360分钟,缺省情况下,该禁止时间是120分钟。
l 将该用户永久禁止,只有系统管理员手动将该用户从黑名单中删除、将该用户激活,才能重新登录,黑名单的最大条数为1024。
l 不对用户做禁止,允许其继续登录。
系统管理员手动删除黑名单中的被禁止用户后,这些用户将被解除禁止,在尝试密码正确后可以重新登录到交换机。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置输入密码时的尝试次数 |
password-control login-attempt login-times |
输入密码时的尝试次数的范围 2~10次,缺省情况下为3次 |
|
配置输入系统密码尝试失败后的处理方式 |
password-control login-attempt attempt-time exceed { lock | unlock | locktime time } |
缺省情况下,系统将该用户禁止一段时间后再允许其登录 |
|
查看被加入黑名单中的用户信息 |
display password-control blacklist |
display命令可以在任意视图下执行 |
|
删除黑名单中的用户信息 |
reset password-control blacklist [ username username ] |
不带参数username时,表示删除黑名单中所有用户 带参数username时,表示删除黑名单中的指定用户 |
当登录系统的密码过期之后,系统会要求用户输入新的密码,并且系统自动保存该密码。用户可以配置系统允许的每个用户密码的最大历史记录个数,目的是让用户不要使用单一或者重复的密码,加强安全性。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置用户历史密码个数的最大记录 |
password-control history max-record-num |
用户历史密码个数的最大记录的取值范围是 2~10,缺省值为4 |
注意:
l 当记录的历史密码个数超过系统配置的最大历史记录个数时,新的历史密码记录将替代该用户最老的一条历史密码记录。
l 当进行历史密码个数配置时,查到某个用户的历史密码记录大于该配置值,则系统给出提示,允许用户进行配置。
l 用户修改密码时,不能和记录的历史密码重复。否则系统会输出提示信息:The system failed to assign password. It has been used previously.用户应当重新进行密码配置,否则修改密码不会生效。
认证过程的时间是从服务器获得用户名到该用户的密码验证结束的时间间隔。
如果在该规定的时间间隔内没有完成密码验证,则认证失败,断开用户连接,并且记录日志信息。如果没有超时,则用户正常登录。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置用户密码认证超时时间 |
password-control authentication-timeout authentication-timeout |
用户密码认证超时时间的取值范围是 30~120秒,缺省值为60秒 |
可以自动对以下事件进行日志记录:
l 用户登录成功,记录该用户的用户名、用户IP、VTY号
l 用户因ACL规则禁止,记录用户IP
l 用户认证失败,记录用户名、用户IP、VTY号、失败原因。
用户名密码过期,用户密码修改时,记录用户密码修改事件,管理员可以根据这些日志信息查询用户的登录情况。
一台PC同一台S9500交换机相连。用户可采用缺省配置,也可以根据各自实际要求自行配置密码参数。
# 配置系统登录密码
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] local-user test
[H3C-luser-test] password
Password:**********
confirm:**********
# 更改系统登录密码为0123456789
[H3C-luser-test] password
Password:**********
Confirm :**********
Updating password-file ,please waiting ...
# 启动密码老化功能。
[H3C] password-control aging enable
Password aging enabled for all users. Default: 90 days.
# 启动限制密码最小长度功能。
[H3C] password-control length enable
Password minimum length enabled for all users. Default: 10 characters.
# 启动密码历史记录功能。
[H3C] password-control history enable
Password history enabled for all users.
# 指定super命令的老化时间为10天。
[H3C] password-control super aging 10
# 显示所有用户的密码管理的信息
[H3C] display password-control
Global password settings for all users:
Password aging: Enabled(90 days)
Password length: Enabled(10 Characters)
Password history: Enabled(Max history records:4)
Password alert-before-expire : 7 days
Password authentication-timeout : 60 seconds
Password attempt times : 3 times
Password attempt-failed action : Lock for 120 minutes
# 显示密码尝试失败后,被加入黑名单中的用户以及IP地址。
[H3C] display password-control blacklist
USERNAME IP
The number of users in blacklist is :0
# 删除用户的历史密码记录
<H3C> reset password-control history-record
Are you sure to delete all the history record?[Y/N]
当用户输入“Y”,系统删除所有用户密码,并且给出提示:
Updating the password file, please wait...
All historical passwords have been cleared.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
