- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-登录交换机 用户界面配置
本章节下载: 02-登录交换机 用户界面配置 (514.7 KB)
目 录
下表列出了本章所包含的内容。
|
如果您需要…… |
请阅读…… |
|
通过Console口搭建配置环境 |
|
|
通过Telnet搭建配置环境 |
|
|
通过Modem拨号搭建配置环境 |
第一步:如图1-1所示,建立本地配置环境,只需将计算机(或终端)的串口通过配置电缆与交换机的Console口连接。
图1-1 通过Console口搭建本地配置环境
第二步:在计算机上运行终端仿真程序(如Windows 2000或Windows XP的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100,如图1-2至图1-4所示。
第三步:交换机上电,终端上显示交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>)。
第四步:键入命令,配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本书中以后各章节的内容。
通过终端Telnet到以太网交换机需要具备如下条件:
l 在以太网交换机上正确配置管理VLAN接口的IP地址(在VLAN接口视图下使用ip address命令);
l 指定与终端相连的以太网端口属于该管理VLAN(在VLAN视图下使用port命令);
l 如果终端和交换机相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,终端和交换机必须路由可达。
这时可以利用Telnet登录到以太网交换机,然后对以太网交换机进行配置。
第一步:在通过Telnet登录交换机之前,需要通过Console口在交换机上配置欲登录的Telnet用户名和认证口令。
& 说明:
Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Telnet登录,则系统会提示密码未设置而无法登录。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] user-interface vty 0
[H3C-ui-vty0] set authentication password simple xxxx
xxxx是欲设置的该Telnet用户登录口令。
第二步:如图2-5所示,建立配置环境,只需将计算机以太网口通过局域网与交换机的以太网口连接。
第三步:在计算机上运行Telnet程序,输入与计算机相连的以太网口所属VLAN的IP地址,如图1-6所示。
第四步:终端上显示“Login authentication”,并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如<H3C>)。如果出现“All user interfaces are used, please try later! The connection was closed by the remote host!”的提示,表示当前Telnet到交换机的用户数已达最大值,则请稍候再连(H3C系列交换机最多允许5个Telnet用户同时登录)。
第五步:使用相应命令配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本书中以后各章节的内容。
& 说明:
l 通过Telnet配置交换机时,不要删除或修改对应本telnet连接的交换机上的VLAN接口的IP地址,否则会导致Telnet连接断开。
l Telnet用户通过口令认证登录交换机时,缺省可以访问命令级别为0级的命令。
可分为两种情况:
l 如果用户已经通过Telnet登录到一台交换机上,则可以通过该交换机Telnet到另一台交换机上进行配置。本交换机作为Telnet客户端,对端交换机作为Telnet服务器端。
l 如果两台交换机相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台交换机必须存在互相到达的路由。
配置环境如图1-7所示,用户Telnet到一台交换机后,可以输入telnet命令再登录其它交换机,对其进行配置管理。
第一步:先通过Console口在作为Telnet Server的交换机上配置欲登录的Telnet用户名和认证口令。
& 说明:
Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Telnet登录,则系统会提示“Login password has not been set !”。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] user-interface vty 0
[H3C-ui-vty0] set authentication password simple xxxx
xxxx是欲设置的该Telnet用户登录口令。
第二步:用户登录到作为Telnet Client的交换机(登录过程请参考本章“通过计算机Telnet到交换机”一节)。
第三步:在Telnet Client的交换机上作如下操作:
<H3C> telnet xxxx
xxxx是作为Telnet Server的交换机的主机名或IP地址,若为主机名,则需是已通过ip host命令配置的主机名或通过DNS客户端解析的主机名。
第四步:输入已设置的登录口令,然后出现命令行提示符(如<H3C>),如果出现“All user interfaces are used, please try later! The connection was closed by the remote host!”的提示,表示当前Telnet到交换机的用户达到最大值,则请稍候再连。
第五步:使用相应命令配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本书中以后各章节的内容。
第一步:在通过Modem拨号登录交换机之前,先通过Console口在交换机上对欲登录的Modem用户进行授权验证。
& 说明:
Modem用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Modem登录,则系统会提示“Login password has not been set !”。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] user-interface aux 0
[H3C-ui-aux0] set authentication password simple xxxx
xxxx是欲设置的该Modem用户登录口令。
第二步:如图1-8所示,建立远程配置环境,在计算机(或终端)的串口和交换机的AUX口分别挂接Modem。
第三步:在远端通过终端仿真程序和Modem向交换机拨号(所拨号码应该是与交换机相连的Modem的电话号码),与交换机建立连接,如图1-9至图1-10所示。
第四步:在远端的终端仿真程序上输入已设置的登录口令,出现命令行提示符(如<H3C>),即可对交换机进行配置或管理。需要帮助可以随时键入“?”,具体的配置命令请参考本书中以后各章节的内容。
& 说明:
Modem用户登录时,缺省可以访问命令级别为0级的命令。
下表列出了本章所包含的内容。
|
如果您需要…… |
请阅读…… |
|
了解用户界面配置的基本原理和概念 |
|
|
了解用户界面配置的配置任务及配置过程 |
|
|
显示用户界面配置后的运行情况、清除用户界面配置的统计信息等 |
为了方便用户管理系统,交换机提供了用户界面配置,用来配置和管理端口属性,目前S9500系列路由交换机支持的用户界面配置方式有:
l 通过Console或AUX口进行本地配置
l 通过以太网端口利用Telnet进行本地或远程登录配置
l 通过AUX口利用Modem拨号进行远程配置
与这些配置方式对应的是三种类型的用户界面:
l Console用户界面(Console)
Console用户界面用于通过Console口对交换机进行访问,每台交换机最多只有一个。
l AUX用户界面(AUX)
AUX用户界面用于本地和通过Modem拨号远端对交换机进行访问,每台交换机只有一个。在本地配置时与Console用户界面相似。
l VTY用户界面(VTY)
VTY用户界面用于通过Telnet对交换机进行访问,每台交换机最多可以有5个。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
S9500路由交换机用户界面共分3类,并按照一定的先后顺序排列:
分别是控制台(CON)、辅助接口(AUX)、虚拟接口(VTY)三种类型。控制台和辅助接口分别只有一个;VTY类型的用户界面有多个。绝对编号的起始编号是0,依次类推。绝对编号可以唯一地指定一个用户界面或一组用户界面。
绝对编号方式遵守的规则如下:
l Console用户界面编号排在第一位,为0;
l AUX用户界面编号排在第二位,为1;
l VTY用户界面排在AUX用户界面之后。第一个VTY的绝对编号比AUX大1。
相对编号方式的形式是:“用户界面类型”+“编号”。此编号是每种类型的用户界面的内部编号。此种编号方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。相对编号方式遵守的规则如下:
l Console用户界面的编号:console 0;
l AUX用户界面的编号:aux 0;
l VTY用户界面的编号:第一条为vty 0,第二条为vty 1,依此类推。
用户界面配置包括:
l 进入用户界面视图
l 设置会话建立标题
l 配置异步口属性
l 配置终端属性
l 用户管理
l 远程登录配置
l 配置重定向功能
可以通过下面的命令进入相应的用户界面视图。可以进入单一用户界面视图对一个用户界面进行配置,也可以进入多个用户界面视图同时配置多个用户界面。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
进入单一用户界面视图或多个用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
当用户登录交换机时,可以通过以下命令设置交换机向用户提示的相关信息,激活终端连接后,login标题就被发送到终端。如果用户成功登录,显示shell标题。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置会话建立标题 |
header [ shell | incoming | login ] text |
|
取消显示会话建立标题 |
undo header [ shell | incoming | login ] |
需要注意的是,当header命令后输入shell、login、incoming任一个参数后直接回车,则该参数为登录信息login的内容,而不是标题。
可以通过下面的命令配置异步口的属性,包括速率、流控方式、校验方式、停止位和数据位。这些配置命令都只有工作在异步交互方式下才有效。
请在用户界面视图下进行下列配置(只能在Console和AUX用户界面视图下进行)。
|
操作 |
命令 |
|
配置传输速率 |
speed speed-value |
|
恢复传输速率为缺省值 |
undo speed |
缺省情况下,异步口支持的传输速率为9600bit/s。
|
操作 |
命令 |
|
配置流控方式 |
flow-control { hardware | none | software } |
|
恢复流控方式为缺省方式 |
undo flow-control |
缺省情况下,异步口的流控方式为none,即不进行流控。
|
操作 |
命令 |
|
配置校验方式 |
parity { even | mark | none | odd | space } |
|
恢复校验方式为缺省方式 |
undo parity |
缺省情况下,异步口的校验方式为none,即无校验位。
|
操作 |
命令 |
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
|
恢复停止位为缺省值 |
undo stopbits |
缺省情况下,异步口的停止位为1。
需要注意的是:目前S9500系列交换机不支持将停止位设置为1.5位。
|
操作 |
命令 |
|
配置数据位 |
databits { 7 | 8 } |
|
恢复数据位为缺省值 |
undo databits |
缺省情况下,异步口支持的数据位为8位。
可以通过下面的命令配置终端属性,包括启动/关闭终端服务、超时断开设定、锁住用户界面、配置终端屏幕的一屏长度以及配置历史命令缓冲区大小。
请在用户界面视图下进行下列配置,其中锁住用户界面操作请在用户视图下进行。
当关闭某用户界面的终端服务后,通过该用户界面将不能登录交换机。对于在关闭之前已经通过该用户界面登录的用户,仍然可以进行操作。但当用户退出该用户界面后,将不能再次登录。只有启动该用户界面的终端服务后,才能通过该用户界面登录交换机。
表2-8 启动/关闭终端服务
|
操作 |
命令 |
|
启动终端服务 |
shell |
|
关闭终端服务 |
undo shell |
缺省情况下,在所有的用户界面上启动终端服务。
注意:
l undo shell命令在Console用户界面不支持,其它用户界面均支持。
l 用户不能在自己登录的用户界面上使用本命令。
l 在任何合法的用户界面上使用undo shell命令,都需要经过用户的确认。
|
操作 |
命令 |
|
设置用户超时断连功能 |
idle-timeout minutes [ seconds ] |
|
恢复用户超时断连为缺省值 |
undo idle-timeout |
缺省情况下,在所有的用户界面上启动了超时断开连接功能,时间为10分钟。也就是说,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开。
idle-timeout 0表示关闭超时断开连接功能。
该配置任务用来锁住当前使用的用户界面,并提示用户输入密码。防止当用户离开时,其他人对该用户界面进行操作。
|
操作 |
命令 |
|
锁住用户界面 |
lock |
当某命令显示信息的行数多于一屏中能够显示的范围时,可以使用以下命令设置一屏中可以显示的行数,以便将信息分成几段,方便查看。
|
操作 |
命令 |
|
配置终端屏幕上一屏中能够显示的终端信息的行数 |
screen-length screen-length |
|
恢复终端屏幕上一屏中能够显示的终端信息的行数为缺省值 |
undo screen-length |
需要注意的是,当参数screen-length设置为1或者2时,一屏中可以显示的行数相同。
缺省情况下,屏幕分屏显示的行数为24(包括分屏标志行)。
screen-length 0表示关闭分屏功能。
|
操作 |
命令 |
|
设置历史命令缓冲区大小 |
history-command max-size value |
|
恢复历史命令缓冲区大小为缺省值 |
undo history-command max-size |
缺省情况下,历史缓冲区为10,即可存放10条历史命令。
用户管理包括用户登录验证方式的设置、用户登录后可以访问的命令级别的设置、从用户界面登录后可以访问的命令级别的设置以及命令级别的设置。
可以使用以下命令设置用户登录时是否需要进行验证,以防止非法用户的侵入。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置登录用户的认证方式 |
authentication-mode { password | scheme [ command-authorization ] | none } |
缺省情况下,Console口登录不需要进行终端验证;而AUX口本地和远程Modem登录、Telnet用户登录均需要进行口令验证。
需要注意的是:将Console口设置为本地口令认证后,即便不配置密码用户也可以直接登录系统。而其它用户接口如AUX口用户以及Vty用户在设置为本地口令认证后,必须要设置密码才可以登录。
(1) 本地口令验证
使用authentication-mode password命令,表示需要进行本地口令认证,此时需要使用以下命令配置口令后,才能成功登录。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置本地验证的口令 |
set authentication password { cipher | simple } password |
|
取消本地验证的口令 |
undo set authentication password |
# 设置用户从VTY 0用户界面登录时需要进行口令验证,且验证口令为test。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] user-interface vty 0
[H3C-ui-vty0] authentication-mode password
[H3C-ui-vty0] set authentication password simple test
(2) 使用ISP域指定的AAA方案进行验证
使用authentication-mode scheme [ command-authorization ]命令,表示使用ISP域配置的AAA方案进行认证,选择ISP域的规则如下:
l 如果登录时输入的用户名中不含“@”符号,则选择缺省的ISP域;
l 如果登录时输入的用户名中含有“@”符号:对于Local方案,以第一个“@”之前的字符串为纯用户名,最后一个“@”之后的字符串为ISP域名;对于Radius和Hwtacacs方案,以最后一个“@”之前的字符串为纯用户名,最后一个“@”之后的字符串为ISP域名。
配置了command-authorization关键字后,表示需要对用户执行的命令行进行授权,具体授权方式也取决于ISP域所配置的AAA方案,如果ISP域下配置了多个AAA方案,则首先使用用户登录认证时采用的方案。在所有的AAA方案中:
Hwtacacs方案:根据Hwtacacs服务器上配置的规则进行命令行授权;
Local方案:根据本地用户配置的级别进行命令行授权;
None方案:允许所有命令行授权通过;
Radius方案:拒绝所有命令行授权请求。
下面仅以本地用户名和口令认证为例介绍配置过程。
# 设置用户从VTY 0用户界面登录时需要进行用户名和口令验证,且登录用户名和口令分别为zbr和test。
[H3C-ui-vty0] authentication-mode scheme
[H3C-ui-vty0] quit
[H3C] local-user zbr
[H3C-luser-zbr] password simple test
[H3C-luser-zbr] service-type telnet
(3) 不验证
[H3C-ui-vty0] authentication-mode none
& 说明:
l AUX口本地和远程Modem登录、Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而登录,则系统会提示“Login password has not been set !”。
l 如果使用authentication-mode none命令,则AUX口本地和远程Modem登录、Telnet用户登录时不需要进行口令的验证。
可以使用以下的命令设置某用户登录后可以访问的命令级别。
请在本地用户视图下进行下列配置。
|
操作 |
命令 |
|
设置指定用户登录后可以访问的命令级别 |
service-type telnet [ level level ] |
|
恢复指定用户登录后可以访问的命令级别为缺省级别 |
undo service-type telnet |
缺省情况下,指定用户登录可以访问的命令级别为2级。
可以使用以下命令设置从某用户界面登录后可以访问的命令级别,执行该级别范围内的命令。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置从用户界面登录后可以访问的命令级别 |
user privilege level level |
|
恢复从用户界面登录后可以访问的命令级别为缺省级别 |
undo user privilege level |
缺省情况下,从Console用户界面登录后可以访问的命令级别为3级,而从AUX或VTY用户界面登录后可以访问的命令级别为0级。
& 说明:
用户登录交换机时,其所能访问的命令级别取决于用户自身可以访问的命令级别与从用户界面登录所能访问的命令级别的设置,如果两者不同,则以用户自身可以访问的命令级别为准。例如:某用户可以访问的命令级别是3级,而从VTY 0用户界面登录所能访问的命令级别是1级,则该用户从VTY 0登录系统时,可以访问3级及以下的命令。
可以使用以下命令设置指定视图内指定命令的级别。命令权限共分为参观、监控、配置、管理4个级别,分别对应标识0、1、2、3。管理员可以根据用户需要指定命令权限。
请在系统视图下进行下列操作。
|
操作 |
命令 |
|
设置指定视图中指定命令的级别 |
command-privilege level level view view command |
|
恢复指定视图中指定命令的级别为缺省值 |
undo command-privilege view view command |
可以使用下面的命令设置用户终端的输入协议。输入协议类型可以设置为TELNET或SSH协议,也可以允许输入所有协议。
请在用户界面视图下进行下列操作。
|
操作 |
命令 |
|
设置用户终端的输入协议 |
protocol inbound { all | telnet | ssh } |
缺省情况下用户终端允许输入所有协议。
开启命令行记账功能后,用户每执行一条命令,系统就向TACACS(Terminal Access Controller Access Control System,终端访问控制器访问控制系统)服务器发送一次包含该命令信息的统计报文,即记账报文,用以实现命令行的统计和记账。
目前只有TACACS协议支持命令行记账功能。在开启了命令行记账功能后,还必须同时满足以下两个条件,系统才会将命令行记账报文发送给TACACS服务器:
l 用户没有使能命令行授权功能;或者用户使能了命令行授权功能且该命令行被授权成功;
l 用户通过了TACACS认证。
表2-19 设置用户对命令行进行记账
|
操作 |
命令 |
说明 |
|
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
|
设置对命令行进行记账 |
accounting commands scheme |
缺省情况下,命令行记账功能关闭 |
& 说明:
l 在配置了TACACS命令行记账功能后,如果由于某种原因记账报文不可到达TACACS服务器时,用户仍可以正常地执行命令,但命令记账功能终止。对于此情况,系统不会给出任何提示信息,也不进行任何的记录。
l 使能命令行授权的有关内容请参考authentication-mode { password | scheme [ command-authorization ] | none }命令。
为了使用户可以方便地从当前交换机登录到其它交换机进行远程管理,可以采取远程登录措施。
请在用户视图下进行下列操作。
表2-20 远程登录配置
|
操作 |
命令 |
|
远程登录配置 |
telnet [ vpn-instance vpn-instance-name ] { hostname | ip-address } [ service-port ] [ source { ip ip-address | interface interface-type interface-number } ] |
用户可以键入<Ctrl+k>来中断本次Telnet登录。
缺省情况下,在不指定service-port时,缺省的Telnet端口号为23。
如果指定源地址或源接口,则使用指定的IP地址或指定接口的主IP地址作为源地址。
通过Modem登录交换机时,可以通过下面的命令配置Modem的有关参数。
请在用户界面视图下进行下列配置(只能在AUX用户界面视图下进行)。
|
操作 |
命令 |
|
设置系统收到了RING信号到等待CD_UP的时间间隔 |
modem timer answer seconds |
|
恢复系统缺省的收到RING信号到等待CD_UP的时间间隔 |
undo modem timer answer |
|
设置自动应答 |
modem auto-answer |
|
设置手动应答 |
undo modem auto-answer |
|
设置允许呼入 |
modem call-in |
|
设置禁止呼入 |
undo modem call-in |
|
设置允许呼入呼出 |
modem both |
|
设置禁止呼入呼出 |
undo modem both |
可以通过下面的命令实现用户界面之间传递消息的功能。
请在用户视图下进行下列配置。
|
操作 |
命令 |
|
设置在用户界面之间传递消息 |
send { all | number | type number } |
可以通过下面的命令配置登录时自动执行命令。某条命令被配置为自动执行后,当用户重新登录时,系统将自动执行该命令。
通常的用法是在终端使用以下命令配置telnet命令,使用户自动连接到指定的设备。
请在用户界面视图下进行下列配置。
|
操作 |
命令 |
|
设置自动执行命令 |
auto-execute command text |
|
取消自动执行命令 |
undo auto-execute command |
需要注意的是:
l 该命令的使用将导致不能使用该用户界面对本系统进行常规的配置,需谨慎使用。
l 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其它手段登录系统以去掉此配置。
例:# 配置用户从VTY 0上登录后,自动执行telnet 10.110.100.1命令。
[H3C-ui-vty0] auto-execute command telnet 10.110.100.1
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户界面的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行free命令可以释放用户界面的连接。
|
操作 |
命令 |
|
释放指定的用户界面连接 |
free user-interface [ type ] number |
|
显示用户界面的使用信息 |
display users [ all ] |
|
显示用户界面的物理属性和一些配置 |
display user-interface [ type number | number ] [ summary ] |
|
有选择性地查询历史命令 |
display history-command [ Command-Number ] [ | { begin | include | exclude } Match-string ] |
|
打开Modem调试信息开关 |
debugging modem |
下表列出了本章所包含的内容。
|
如果您需要…… |
请阅读…… |
|
了解管理用以太网口配置的基本原理和概念 |
|
|
了解管理用以太网口的配置任务及配置过程 |
|
|
了解IP报文隔离功能配置的基本原理和概念 |
S9500系列交换机的交换路由板提供一个10/100Base-TX的管理用以太网口。该接口有以下用途:
l 连接后台计算机,进行系统的程序加载、调试等工作;
l 连接远端的网管工作站等设备,实现系统的远程管理。
在管理用以太网接口视图下可进行以下配置:
l 配置接口IP地址
l 打开/关闭接口
l 设置接口描述信息
l 显示当前系统信息
l 网络连通性测试(ping,tracert)
l IP报文隔离配置
具体配置操作请参见“以太网端口”和“系统维护与调试”部分的相关章节。
注意:
管理用以太网口只有配置了IP地址以后才能正常使用。
IP报文隔离的主要功能是实现网管口和业务口之间的报文隔离,即二者之间不存在路由,不进行报文转发,进而增强网管口的安全性。由于网管可以通过网管口管理交换机,网管口和业务口之间的报文隔离后,交换机的数据通信业务并不受影响。
如果配置了该特性,网管口和业务口之间不能通信,交换机将丢弃网管口和业务口之间的转发报文。如果未配置IP报文隔离特性,则交换机可以转发网管口和业务口之间的报文。
可以使用下面的命令启动网管口和业务口之间的IP报文隔离功能。
表3-1 IP报文隔离特性基本配置过程
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入网管口接口视图 |
interface M-Ethernet m-ethernet |
- |
|
启动IP isolation网管口和业务口的报文隔离功能 |
ip isolation |
缺省情况下,此功能关闭 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
