- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-登录交换机命令
本章节下载: 02-登录交换机命令 (239.22 KB)
【命令】
authentication-mode { none | password | scheme [ command-authorization ] }
【视图】
用户界面视图
【参数】
none:不认证。
password:进行本地口令认证。
scheme:进行本地或远端用户名和口令认证。
command-authorization:在TACACS认证服务器上进行命令行授权。
【描述】
authentication-mode命令用来设置登录用户的认证方式。
表1-1 authentication-mode命令部分参数解释
|
参数 |
解释 |
|
|
password |
使用参数password表示需要进行本地口令认证。设置authentication-mode password后,只有通过set authentication password命令设置了登录口令,本地认证才算设置完成。否则: l 对于AUX用户,无需输入密码即可成功登录交换机; l 对于VTY用户,只有配置了登录口令,且输入正确密码方可成功登录交换机。 |
|
|
scheme |
使用参数scheme表示需要进行本地或远端用户名和口令认证。具体采用本地认证还是远端认证视域的AAA方案配置而定。 |
|
|
scheme command-authorization |
使用参数scheme command-authorization表示用户在执行命令时,首先要到TACACS认证服务器上进行命令行授权。TACACS认证服务器上对不同用户可以使用的命令进行了定义。只有通过了TACACS认证服务器上的命令授权,用户才能执行该命令,否则拒绝用户执行该命令。 |
缺省情况下,AUX用户认证方式为none,VTY用户认证方式为password。
对于VTY用户界面,若配置登录用户的认证方式为none或password,请务必先确认相应用户界面支持的协议不能为SSH,否则配置将失败。相关配置请参考命令protocol inbound。
为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,Telnet及SSH服务对应的TCP 23及TCP 22端口会在进行相应的配置后开启/关闭:
l 当认证方式为none时,TCP 23端口打开,TCP 22端口关闭;
l 当认证方式为password且已经设置了相应的密码后,TCP 23端口打开,TCP 22端口关闭;
l 当认证方式为scheme时,如果支持的协议指定为telnet,则TCP 23端口打开;如果支持的协议指定为ssh,则TCP 22端口打开;如果支持的协议指定为all,则两端口全打开。
【举例】
# 配置Console口的认证方式为本地口令认证,且认证口令为明文cdw。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
[Sysname-ui-aux0] authentication-mode password
[Sysname-ui-aux0] set authentication password simple cdw
配置完成后,当用户使用Console口登录交换机时,只有输入正确的口令才能实现成功登录交换机。
# 配置通过Telnet登录的VTY用户认证方式为scheme认证。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0
[Sysname-ui-vty0] authentication-mode scheme
[Sysname-ui-vty0] quit
# 指定system域为缺省域,并设置该域Scheme认证方式local。
[Sysname] domain default enable system
[Sysname] domain system
[Sysname-isp-system] authentication default local
# 设置本地认证的用户名和密码。
[Sysname] local-user guest
[Sysname-luser-guest] password simple 123456
配置完成后,若有用户通过VTY0用户界面登录交换机时,只有输入设置的用户名和密码才能成功登录交换机。
【命令】
auto-execute command text
undo auto-execute command
【视图】
VTY用户界面视图
【参数】
text:需要自动执行的某条命令。
【描述】
auto-execute command命令用来设置自动执行命令,当某条命令被设置后,在用户登录时将自动执行该命令。undo auto-execute command命令用来取消自动执行命令。
缺省情况下,没有配置自动执行的命令。
通常的用法是在终端用auto-execute command配置telnet命令,使用户自动连接到指定的设备。
l auto-execute command命令的使用可能会导致不能使用该用户界面对本系统进行常规的配置,需谨慎使用。
l 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其它手段登录系统以取消此配置。
【举例】
# 设置用户从VTY0登录后,自动执行telnet 10.110.100.1命令。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0
[Sysname-ui-vty0] auto-execute command telnet 10.110.100.1
% This action will lead to configuration failure through ui-vty0. Are you sure?[Y/N]y
完成命令配置后,当用户通过VTY0用户界面登录设备时,设备将自动执行所设置的命令,并注销当前用户。
【命令】
copyright-info enable
undo copyright-info enable
系统视图
【参数】
无
【描述】
copyright-info enable命令用来设置用户登录时终端显示版权声明提示信息。undo copyright-info enable命令用来设置用户登录时终端不显示版权声明提示信息。
缺省情况下,用户登录时终端显示版权声明提示信息。
需要注意的是,本命令对通过Console口和Telnet方式登录的用户均生效。
【举例】
# 设置用户登录时终端不显示版权声明提示信息。
****************************************************************************
* Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
****************************************************************************
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] undo copyright-info enable
# 用户重新登录以太网交换机后,可以看到终端没有显示版权声明提示信息。
<Sysname>
【命令】
databits { 5 | 6 | 7 | 8 }
undo databits
【视图】
AUX用户界面视图
【参数】
5:数据位为5位。
6:数据位为6位。
7:数据位为7位。
8:数据位为8位。
【描述】
databits命令用来设置用户界面的数据位。undo databits命令用来将用户界面的数据位复原为缺省配置。
l 本命令只对AUX用户界面有效。
l 访问终端和设备相应用户界面下数据位的设置必须一致,双方才能正常通信。
【举例】
# 配置数据位为7位。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
[Sysname-ui-aux0] databits 7
【命令】
display user-interface [ type number | number ] [ summary ]
【视图】
任意视图
【参数】
type:用户界面的类型,包括AUX用户界面和VTY用户界面。
number:用户界面的编号。
l 相对编号:指定type参数时表示该类型中的相对用户界面编号,当用户界面类型为AUX时,取值为0;当用户界面类型为VTY时,取值范围为0~4。
l 绝对编号:如果不指定type参数,则表示绝对用户界面编号,取值范围为0~5。
summary:显示用户界面的摘要信息。
【描述】
display user-interface命令用来显示用户界面的相关信息。不带参数summary将显示用户界面类型、绝对/相对编号、传输速率、从该用户界面登录可以访问的命令级别、验证方式及物理位置;带参数summary将显示正在使用和未使用的用户界面数目和类型。
【举例】
# 显示用户界面0的相关信息。
<Sysname> display user-interface 0
Idx Type Tx/Rx Modem Privi Auth Int Super
F 0 AUX 0 9600 - 3 N - S
+ : Current user-interface is active.
F : Current user-interface is active and work in async mode.
Idx : Absolute index of user-interface.
Type : Type and relative index of user-interface.
Privi: The privilege of user-interface.
Auth : The authentication mode of user-interface.
Int : The physical location of UIs.
Super: The Super authentication mode of UIs.
A : Authentication use AAA.
N : Current UI need not authentication.
P : Authentication use current UI's password.
S : Authentication use super password.
表1-2 display user-interface命令显示信息描述表
|
字段 |
描述 |
|
+ |
表示当前正在使用的用户界面 |
|
F |
表示当前正在使用的用户界面,且工作在异步方式 |
|
Idx |
用户界面的绝对编号 |
|
Type |
用户界面的类型及相对编号 |
|
Tx/Rx |
用户界面的速率 |
|
Modem |
Modem的工作方式 |
|
Privi |
从该用户界面登录可以访问的命令级别 |
|
Auth |
用户界面的认证方式 |
|
Int |
用户界面的物理位置 |
|
Super |
用户在从当前级别切换到高级别时的认证方式,包括S、A、SA和AS。关于这四种认证方式的详细介绍请参考“命令行接口”部分 |
|
A |
当前用户认证方式为scheme |
|
N |
当前用户认证方式为none |
|
P |
当前用户认证方式为password |
|
S |
Super password认证方式 |
# 显示用户界面摘要信息。
<Sysname> display user-interface summary
User interface type : [AUX]
0:X
User interface type : [VTY]
1:UUXX X
2 character mode users. (U)
4 UI never used. (X)
2 total UI in use
表1-3 display user-interface summary命令显示信息描述表
|
字段 |
描述 |
|
User interface type |
用户界面类型(AUX/VTY) |
|
0: X/1:UUXX X |
0和1分别表示AUX和VTY用户界面的最小绝对编号,U和X分别表示各个用户界面的使用情况,U表示当前有用户使用该用户界面,X表示当前没有用户使用该用户界面(字符X和U的个数和表示系统支持的用户界面的总数) |
|
character mode users. (U) |
当前配置用户的数量(即U字符的个数) |
|
UI never used. (X) |
当前没有被使用的用户界面数(即X字符的个数) |
|
total UI in use. |
当前正在被使用的用户界面总数(即设备当前的用户总数) |
【命令】
display users [ all ]
【视图】
任意视图
【参数】
all:显示所有用户界面的用户信息。
【描述】
display users命令用来显示用户界面的登录用户信息,包括AUX用户界面、VTY用户界面,可以查看到相应用户界面下的登录用户信息。
如果不指定参数,则只显示当前正在使用用户界面的用户信息。
【举例】
# 显示当前用户界面的使用信息。
<Sysname> display users
The user application information of the user interface(s):
Idx UI Delay Type Userlevel
1 VTY 0 00:00:03 TEL 3
+ 2 VTY 1 00:00:00 TEL 3
Following are more details.
VTY 0 :
Location: 192.168.0.6
VTY 1 :
Location: 192.168.0.125
+ : Current operation user.
F : Current operation user work in async mode.
表1-4 display users命令显示信息描述表
|
字段 |
描述 |
|
Idx |
用户界面的绝对编号 |
|
UI |
用户界面的相对编号 |
|
Delay |
表示用户自最近一次输入到现在的时间间隔,单位是秒 |
|
Type |
用户类型 |
|
Userlevel |
显示使用该用户界面的用户级别 |
|
Location |
用户界面连接的主机IP地址 |
|
F |
表示当前正在使用的用户界面,且工作在异步方式 |
|
+ |
当前正在使用的用户界面 |
【命令】
free user-interface [ type ] number
【视图】
用户视图
【参数】
type:用户界面的类型,包括AUX用户界面和VTY用户界面。
number:用户界面的编号。
l 相对编号:指定type参数时表示该类型中的用户界面编号,当用户界面类型为AUX时,取值为0;当用户界面类型为VTY时,取值范围为0~4。
l 绝对编号:如果不指定type参数,则表示绝对用户界面编号,取值范围为0~5。
【描述】
free user-interface命令用来释放指定的用户界面,命令执行后对应的用户连接将被断开。管理级用户可以通过此操作来控制其他用户界面的使用情况。
系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰的话,管理员可以使用以下命令强制断开该用户的连接。
需要注意的是,当前用户正在使用的用户界面不能被释放。
【举例】
#通过AUX 0登录交换机的用户,用户级别为3级(管理级用户),释放用户界面VTY0。
<Sysname>display users
Idx UI Delay Type Userlevel
1 VTY 0 00:06:48 TEL 3
+ 2 VTY 1 00:00:00 TEL 3
3 VTY 2 00:00:10 TEL 3
Following are more details.
VTY 0 :
Location: 192.168.0.6
VTY 1 :
Location: 192.168.0.125
VTY 2 :
Location: 192.168.0.18
+ : Current operation user.
F : Current operation user work in async mode.
<Sysname> free user-interface vty 0
Are you sure you want to free user-interface vty0 [Y/N]? y
[OK]
执行该命令后,VTY0上的用户连接将被断开,只有再次登录才能连接上交换机。
【命令】
history-command max-size value
undo history-command max-size
【视图】
用户界面视图
【参数】
value:历史缓冲区的大小,取值范围为0~256。
【描述】
history-command max-size命令用来设置从当前用户界面登录用户的历史命令缓冲区的大小。undo history-command max-size命令用来恢复缺省情况。
缺省情况下,每个用户的历史命令缓冲区的大小为10,即可存放10条历史命令。
每个用户界面对应一个历史命令缓冲区,缓冲区里保存了当前用户最近执行成功的命令,缓冲区的容量决定了可以保存的历史命令的数目。用户使用display history-command命令、上光标键↑或下光标键↓可以随时了解近期成功执行了哪些操作。同时登录设备的不同用户拥有不同的历史命令缓冲区,互不影响。
用户退出当前会话时,系统会自动清除相应历史命令缓冲区内保存的历史命令。
相关命令可参考display history-command。
【举例】
# 设置从AUX0用户界面登录用户的历史命令缓冲区的大小为20,即可以保存20条历史命令。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
[Sysname-ui-aux0] history-command max-size 20
idle-timeout minutes [ seconds ]
undo idle-timeout
【视图】
用户界面视图
【参数】
minutes:分钟数,取值范围为0~35791。
seconds:秒数,取值范围为0~59。
【描述】
idle-timeout命令用来配置用户超时断开连接的时间,如果在所设定的时间内登录到当前用户界面上的用户没有对交换机执行任何操作,则交换机将断开与该用户的连接。undo idle-timeout命令用来恢复超时断开连接的缺省值。
缺省情况下,用户超时断开连接的时间为10分钟。
设置idle-timeout 0即关闭超时中断连接功能。
【举例】
# 设置AUX0用户界面的超时断开连接时间为1分钟。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
[Sysname-ui-aux0] idle-timeout 1
【命令】
lock
【视图】
用户视图
【参数】
无
【描述】
lock命令用来锁住当前用户界面,防止未授权的用户操作该界面。
用户输入lock命令后,系统提示输入密码,并提示再次输入密码,只有两次输入的密码相同,锁定操作才能成功。
如果用户需要结束锁定,请按<回车>键,然后按照提示输入刚才配置的密码,密码正确则结束锁定,进入系统。
需要注意的是:如果用户设定的密码长度超过16个字符,系统在取消锁定时只匹配前16个字符。即,只要密码的前16个字符正确,系统就取消锁定。
缺省情况下,不会自动锁定当前用户界面。
【举例】
# 锁住当前用户界面。
<Sysname> lock
回车后,系统提示输入及确认密码,输入的密码为隐藏状态。
Password:
Again:
locked !
此时用户界面处于锁定状态,再对界面进行操作,系统会提示用户输入密码,输入正确的密码后,才能进入用户视图。
Password:
<Sysname>
【命令】
parity { even | mark | none | odd | space }
undo parity
【视图】
AUX用户界面视图
【参数】
even:进行偶校验。
mark:进行标记校验。
none:无校验。
odd:进行奇校验。
space:进行空格校验。
【描述】
parity命令用来设置用户界面的校验方式。undo parity命令用来恢复用户界面的校验方式为缺省情况。
缺省情况下,不进行校验。
l 本命令只对AUX用户界面有效。
l 访问终端和设备相应用户界面下校验方式的设置必须一致,双方才能正常通信。
【举例】
# 设置AUX0用户界面的校验方式为偶校验。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
[Sysname-ui-aux0] parity even
【命令】
protocol inbound { all | ssh | telnet }
【视图】
VTY用户界面视图
【参数】
all:支持所有的协议,包括Telnet和SSH。
ssh:支持SSH协议。
telnet:支持Telnet协议。
【描述】
protocol inbound命令用来配置用户界面支持的协议。
缺省情况下,系统对Telnet和SSH协议均支持。
相关配置可参考命令user-interface vty。
为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,Telnet及SSH服务对应的TCP 23及TCP 22端口会在进行相应的配置后开启/关闭:
l 当认证方式为none时,TCP 23端口打开,TCP 22端口关闭;
l 当认证方式为password且已经设置了相应的密码后,TCP 23端口打开,TCP 22端口关闭;
l 当认证方式为scheme时,如果支持的协议指定为telnet,则TCP 23端口打开;如果支持的协议指定为ssh,则TCP 22端口打开;如果支持的协议指定为all,则两端口全打开。
如果配置用户界面支持SSH协议,为确保登录成功,请务必先配置相应的认证方式为scheme;若配置登录用户的认证方式为password或none,则protocol inbound ssh配置将失败。相关配置可参考命令authentication-mode。
【举例】
# 配置VTY0用户界面只支持SSH协议。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0
[Sysname-ui-vty0] protocol inbound ssh
【命令】
screen-length screen-length
undo screen-length
【视图】
用户界面视图
【参数】
screen-length:屏幕分屏显示的行数,取值范围为0~512。
【描述】
screen-length命令用来配置终端屏幕上一屏中能够显示的终端信息的行数。undo screen-length命令用来恢复终端屏幕上一屏中能够显示的终端信息的行数为缺省值。
缺省情况下,每屏显示24行。
取值为0表示关闭分屏显示功能。
【举例】
# 设置终端屏幕的一屏行数为20行。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
[Sysname-ui-aux0] screen-length 20
【命令】
send { all | number | type number }
【视图】
用户视图
【参数】
all:向所有用户界面发送消息。
type:用户界面的类型,包括AUX用户界面和VTY用户界面。
number:用户界面的相对或绝对编号。
l 相对编号:指定type参数时表示该类型中的用户界面编号,当用户界面类型为AUX时,取值为0;当用户界面类型为VTY时,取值范围为0~4。
l 绝对编号:如果不指定type参数,则表示绝对用户界面编号,取值范围为0~5。
【描述】
send命令用来在用户界面之间传递消息。
【举例】
# 向所有用户界面发送消息hello。
<Sysname> send all
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
hello^Z
Send message? [Y/N]y
当前用户界面会收到如下信息:
<Sysname>
***
***
***Message from vty1 to vty1
***
hello
【命令】
service-type { ftp | lan-access | { ssh | telnet | terminal }* }
undo service-type { ftp | lan-access | { ssh | telnet | terminal }* }
【视图】
本地用户视图
【参数】
ftp:指定用户为ftp类型。
lan-access:指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户)。
ssh:指定用户为SSH类型。
telnet:指定用户为Telnet类型。
terminal:授权用户可以使用terminal服务(即从Console口登录)。
【描述】
service-type命令用来设置某用户登录类型。undo service-type命令用来取消对用户登录类型的设置。
【举例】
# 设置用户名为zbr的用户登录登录类型为telnet。
System View: return to User View with Ctrl+Z.
[Sysname] local-user zbr
[Sysname-luser-zbr] service-type telnet
【命令】
set authentication password { cipher | simple } password
undo set authentication password
【视图】
用户界面视图
【参数】
cipher:设置本地认证口令以密文方式存储。
simple:设置本地认证口令以明文方式存储
password:口令字符串。如果验证方式是simple,则password必须是明文口令。如果验证方式是cipher,则用户在设置password时有两种方式:
l 一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式;
l 另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:明文“123456”对应的密文是“OUM!K%F<+$[Q=^Q`MAF4<1!!”。
【描述】
set authentication password命令用来设置本地认证的口令。undo set authentication password命令用来取消本地认证的口令。
需要注意的是,不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令。
【举例】
# 设置VTY0的本地认证明文口令为123。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0
[Sysname-ui-vty0] set authentication password simple 123
【命令】
shell
undo shell
【视图】
用户界面视图
【参数】
无
【描述】
shell命令用来启动某用户界面的终端服务。undo shell命令用来关闭某用户界面的终端服务。
缺省情况下,所有的用户界面启动终端服务。
在使用undo shell命令时,需要注意以下几点:
l AUX用户界面不支持undo shell命令。
l 用户不能在当前登录的用户界面上使用本命令。
l 执行本命令时需要经过用户的确认。
【举例】
# 通过AUX用户界面登录以太网交换机,设置在用户界面VTY0到VTY4上关闭终端服务。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] undo shell
% Disable ui-vty0-4 , are you sure ? [Y/N]y
【命令】
speed speed-value
undo speed
【视图】
AUX用户界面视图
【参数】
speed-value:传输速率,单位为bit/s,可以取值为:300、600、1200、2400、4800、9600、19200、38400、57600和115200。
【描述】
speed命令用来配置用户界面的传输速率。undo speed命令用来恢复用户界面的传输速率为缺省值。
缺省情况下,传输速率为9600bit/s。
l 本命令只对AUX用户界面有效。
l 访问终端和设备相应用户界面下传输速率的设置必须一致,双方才能正常通信。
【举例】
# 配置AUX 0用户界面的传输速率为115200bit/s。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
[Sysname-ui-aux0] speed 115200
【命令】
stopbits { 1 | 1.5 | 2 }
undo stopbits
【视图】
AUX用户界面视图
【参数】
1:停止位为1位。
1.5:停止位为1.5位。
2:停止位为2位。
【描述】
stopbits命令用来配置用户界面的停止位。undo stopbits命令用来恢复用户界面的停止位为缺省值。
缺省情况下,停止位为1位。
访问终端和交换机相应用户界面下停止位的设置必须一致,双方才能正常通信。
【举例】
# 设置AUX 0用户界面的停止位为2。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
[Sysname-ui-aux0] stopbits 2
【命令】
telnet { hostname | ip-address } [ service-port ] [ source interface interface-type interface-number | source ip ip-address ]
【视图】
用户视图
【参数】
hostname:远端设备的主机名,为1~20个字符的字符串。
ip-address:远端设备的IPv4地址。
service-port:远端设备提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
source interface interface-type interface-number:需要设置的源接口的类型和编号。
source ip ip-address:需要设置的源IP地址。
【描述】
telnet命令用来使用户可以方便地从当前以太网交换机登录到其它设备进行远程管理。用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。
【举例】
# 从当前以太网交换机Switch A登录到另外一台以太网交换机Switch B(IP地址为129.102.0.1)。
<SwitchA> telnet 129.102.0.1
Trying 129.102.0.1 ...
Press CTRL+K to abort
Connected to 129.102.0.1 ...
****************************************************************************
* Copyright(c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
****************************************************************************
<SwitchB>
【命令】
user-interface [ type ] first-number [ last-number ]
【视图】
系统视图
【参数】
type:用户界面的类型,包括AUX用户界面和VTY用户界面。
first-number:需要配置的第一个用户界面。
l 指定type参数时表示该类型中的用户界面编号,当用户界面类型为AUX时,取值为0;当用户界面类型为VTY时,取值范围为0~4。
l 如果不指定type参数,则表示绝对用户界面编号,取值范围为0~5。
last-number:需要配置的最后一个用户界面,取值必须大于first-number。
【描述】
user-interface命令用来进入单一用户界面视图或多个用户界面视图,从而对相应的用户界面进行配置。
【举例】
# 进入VTY0用户界面进行配置。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0
【命令】
user privilege level level
undo user privilege level
【视图】
用户界面视图
【参数】
level:从用户界面登录后可以访问的命令级别,取值范围为0~3。
【描述】
user privilege level命令用来设置从某用户界面登录后可以访问的命令级别。undo user privilege level命令用来恢复缺省情况。
缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级,从VTY用户界面登录后可以访问的命令级别为0级。
命令级别共分为访问、监控、系统、管理4个级别,分别对应标识0、1、2、3,简介如下:
l 访问级(0级):用于网络诊断等功能的命令。包括ping、tracert、telnet等命令,执行该级别命令的结果不能被保存到配置文件中。
l 监控级(1级):用于系统维护、业务故障诊断等功能的命令。包括debugging、terminal等命令,执行该级别命令的结果不能被保存到配置文件中。
l 系统级(2级):用于业务配置的命令。包括路由等网络层次的命令,用于向用户提供网络服务。
l 管理级(3级):关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用。包括文件系统、FTP、TFTP、XModem下载、用户管理命令、级别设置命令等。
有关命令级别的详细信息,请参见手册“系统配置与维护”中命令行特性部分。
【举例】
# 设置从VTY0用户界面登录后可以访问的命令级别为1。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0
[Sysname-ui-vty0] user privilege level 1
# 通过Telnet方式从VTY0用户界面登录交换机后,可以看到终端上只显示了命令级别为1级的命令。
User view commands:
cluster Run cluster command
debugging Enable system debugging functions
display Display current system information
msdp-tracert MSDP trace route to source RP
mtracert Trace route to multicast source
nslookup Query Internet name servers
ping Ping function
quit Exit from current command view
reset Reset operation
send Send information to other user terminal interfaces
super Set the current user priority level
telnet Establish one TELNET connection
terminal Set the terminal line characteristics
tracert Trace route function
【命令】
acl acl-number { inbound | outbound }
undo acl acl-number { inbound | outbound }
【视图】
用户界面视图
【参数】
acl-number:访问控制列表的数字标识,取值范围为:
l 2000~2999:表示基本ACL。
l 3000~3999:表示高级ACL。
l 4000~4999:表示二层ACL。
inbound:对通过当前用户界面Telnet登录到本交换机的用户进行ACL过滤。
outbound:对当前用户界面的用户Telnet登录到其他设备进行ACL过滤。配置二层ACL时没有此参数。
【描述】
acl命令用来引用访问控制列表,实现对Telnet用户的ACL控制。undo acl命令用来取消对Telnet用户的ACL控制。
缺省情况下,不对Telnet用户进行ACL控制。
【举例】
# 对Telnet到本交换机的用户使用基本访问控制列表2000进行控制(基本访问控制列表2000已经定义完毕)。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
【命令】
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]*
undo snmp-agent community community-name
【视图】
系统视图
【参数】
read:表明该团体名在指定视图内有只读权限。
write:表明该团体名在指定视图内有读写权限。
community-name:团体名字符串,取值范围为1~32个字符。
acl acl-number:该团体名指定的基本访问控制列表,取值范围为2000~2999。
mib-view view-name:设置团体名可以访问的MIB视图名,取值范围为1~32个字符。
【描述】
snmp-agent community命令用来设置团体访问名、允许通过SNMP对交换机进行访问,并可以通过acl-number引用访问控制列表对网管用户进行访问控制。undo snmp-agent community命令用来取消团体访问名设置。
缺省情况下,SNMPv1和SNMPv2c使用团体名来进行访问。
【举例】
# 设置团体名为h123,并且允许使用该团体名进行只读访问,并引用基本访问控制列表2000对网管用户进行控制(基本访问控制列表2000已经定义完毕)。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] snmp-agent community read h123 acl 2000
【命令】
SNMPv1和v2c版本下的命令格式为:
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]
undo snmp-agent group { v1 | v2c } group-name
SNMPv3版本下的命令格式为:
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]
undo snmp-agent group v3 group-name [ authentication | privacy ]
【视图】
系统视图
【参数】
v1:SNMP v1版本。
v2c:SNMP v2c版本。
v3:SNMP v3版本。
group-name:组名,为1~32个字符的字符串。
authentication:指明对报文进行认证但不加密。
privacy:指明对报文进行认证和加密。
read-view:只读视图名,为1~32个字符的字符串。
write-view:读写视图名,为1~32个字符的字符串。
notify-view:通知视图名,为1~32个字符的字符串。
acl acl-number:基本访问控制列表的数字标识,取值范围为2000~2999。
【描述】
snmp-agent group命令用来配置一个新的SNMP组,并且可以通过参数acl acl-number引用访问控制列表对网管用户进行ACL控制。undo snmp-agent group命令用来删除一个指定的SNMP组。
缺省情况下,snmp-agent group v3命令配置的SNMP组采用不认证、不加密方式。
【举例】
# 创建一个SNMP组h123,并引用基本访问控制列表2001对网管用户进行控制(基本访问控制列表2001已经定义完毕)。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] snmp-agent group v1 h123 acl 2001
【命令】
SNMPv1和v2c版本下的命令格式为:
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ]
undo snmp-agent usm-user { v1 | v2c } user-name group-name
SNMPv3版本下的命令格式为:
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ]
undo snmp-agent usm-user v3 user-name group-name { engineid engineid-string | local }
【视图】
系统视图
【参数】
v1:SNMP v1版本。
v2c:SNMP v2c版本。
v3:SNMP v3版本。
user-name:用户名,为1~32个字符的字符串。
group-name:该用户对应的组名,为1~32个字符的字符串。
cipher:指明认证或者加密密码需采用密文形式。
authentication-mode:指明安全级别为需要认证。如果不输入该参数,则默认是无认证,无加密模式。
md5:指定认证协议为HMAC MD5算法。
sha:指定认证协议为HMAC SHA算法。
auth-password:认证密码,为1~64个字符的字符串。
privacy-mode:指明安全级别为加密。
des56:指定加密协议为DES(Data Encryption Standard,数据加密标准)。
aes128:指定加密协议为AES(Advanced Encryption Standard,高级加密标准)。
priv-password:加密密码,为1~64个字符的字符串。
acl-number:基本访问控制列表,取值范围为2000~2999。
local:表示本地实体用户。
engineid-string:指定与该用户相关联的引擎ID,为偶数个十六进制数,字符长度范围为10~64。
【描述】
snmp-agent usm-user命令用来为一个SNMP的组添加一个新用户,同时可以通过参数acl acl-number引用访问控制列表对网管用户进行ACL控制。undo snmp-agent usm-user命令用来把一个SNMP用户从相应的SNMP组中删除,同时也删除了对这个用户的ACL控制的配置。
【举例】
# 为SNMP组group1加入一个用户aaa,安全级别为需要认证、指定认证协议为HMAC-MD5-96、认证密码为123,并引用基本访问控制列表2002对网管用户进行控制(基本访问控制列表2002已经定义完毕)。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] snmp-agent usm-user v3 aaa group1 authentication-mode md5 123 acl 2002
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
