目  录

1 登录设备方式介绍

2 通过Console口首次登录设备

3 配置通过CLI登录设备

3.1 通过CLI登录设备简介

3.1.1 用户线简介

3.1.2 认证方式简介

3.1.3 用户角色简介

3.2 CLI登录配置限制和指导

3.3 配置通过Console口登录设备

3.3.1 功能简介

3.3.2 配置限制和指导

3.3.3 通过Console口登录设备配置任务简介

3.3.4 配置通过Console口登录设备的认证方式

3.3.5 配置Console口登录方式的公共属性

3.4 配置通过Telnet登录设备

3.4.1 功能简介

3.4.2 配置限制和指导

3.4.3 配置设备作为Telnet服务器配置

3.4.4 配置设备作为Telnet客户端登录其他设备

3.5 通过CLI登录显示和维护

4 对登录用户的控制

4.1 登录用户控制简介

4.2 配置对Telnet用户的控制

4.2.1 配置对Telnet用户的控制

1 登录设备方式介绍

设备支持以下登录方式：

·              通过CLI登录设备。登录成功后，可以直接输入命令行，来配置和管理设备。CLI方式下又根据使用的登录接口以及登录协议不同，分为：通过Console口或Telnet登录方式。

用户首次登录设备时，只能通过Console口登录。只有通过Console口登录到设备，进行相应的配置后，才能通过其他方式登录。

‌

2 通过Console口首次登录设备

1. 功能简介

通过Console口进行本地登录是登录设备的最基本的方式，也是配置通过其他方式登录设备的基础。

2. 配置准备

在通过Console口搭建本地配置环境时，需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点。这些程序的详细介绍和使用方法请参见该程序的使用指导。

3. 配置步骤

通过Console口登录设备时，请按照以下步骤进行操作：

(1)      将PC断电。

因为PC机串口不支持热插拔，请不要在PC带电的情况下，将串口线插入或者拔出PC机。

(2)      请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置口电缆的DB-9（孔）插头插入PC机的9芯（针）串口中，再将RJ-45插头端插入设备的Console口中。

图2-1 将设备与PC通过配置口电缆进行连接

(3)      给PC上电。

(4)      打开终端仿真程序，按如下要求设置终端参数：

¡  波特率：9600

¡  数据位：8

¡  停止位：1

¡  奇偶校验：无

¡  流量控制：无

(5)      设备上电。

在设备自检结束后，用户可通过键入回车进入命令交互界面。出现命令行提示符后即可键入命令来配置设备或查看设备运行状态，需要帮助可以随时键入?。

3 配置通过CLI登录设备

3.1  通过CLI登录设备简介

CLI登录用户的访问行为需要由用户线管理、限制，即网络管理员可以给每个用户线配置一系列参数，比如用户登录时是否需要认证、用户登录后的角色等。当用户通过CLI登录到设备的时候，系统会给用户分配一个用户线，登录用户将受到该用户线下配置参数的约束。

3.1.1  用户线简介

1. 用户线类型

设备提供如下类型的用户线：

·              Console用户线：用来管理和监控通过Console口登录的用户。

·              VTY（Virtual Type Terminal，虚拟类型终端）用户线：用来管理和监控通过Telnet或SSH登录的用户。

2. 用户线编号

用户线的编号有绝对编号方式和相对编号方式。

·              绝对编号方式

使用绝对编号方式，可以唯一的指定一个用户线。绝对编号从0开始自动编号，每次增长1，先给所有Console用户线编号，然后是所有VTY用户线使用display line（不带参数）可查看到设备当前支持的用户线以及它们的绝对编号。

·              相对编号方式

相对编号是每种类型用户线的内部编号，表现形式为“用户线类型 编号”。用户线的编号从0开始以1为单位递增。

3. 用户线分配

用户登录时，系统会根据用户的登录方式，自动给用户分配一个当前空闲的、编号最小的某类型的用户线，整个登录过程将受该用户线视图下配置的约束。用户与用户线并没有固定的对应关系：

·              同一用户登录的方式不同，分配的用户线不同。比如用户A使用Console口登录设备时，将受到Console用户线视图下配置的约束；当使用Telnet登录设备时，将受到VTY用户线视图下配置的约束。

·              同一用户登录的时间不同，分配的用户线可能不同。比如用户本次使用Telnet登录设备，设备为其分配的用户线是VTY 1。当该用户下次再Telnet登录时，设备可能已经把VTY 1分配给其他Telnet用户了，只能为该用户分配其他的用户线。

如果没有空闲的、相应类型的用户线可分配，则用户不能登录设备。

3.1.2  认证方式简介

在用户线下配置认证方式，可以要求当用户使用指定用户线登录时是否需要认证，以提高设备的安全性。设备支持配置如下认证方式：

·              认证方式为none：表示下次使用该用户线登录时不需要进行用户名和密码认证，任何人都可以登录到设备上，这种情况可能会带来安全隐患。

·              认证方式为password：表示下次使用该用户线登录时，需要输入密码。只有密码正确，用户才能登录到设备上。配置认证方式为password后，请妥善保存密码。

认证方式不同，配置不同，具体配置如表3-1所示。

表3-1 不同认证方式下配置任务简介

3.1.3  用户角色简介

用户角色中定义了允许用户配置的系统功能以及资源对象，即用户登录后执行的命令。关于用户角色的详细描述以及配置请参见“基础配置指导”中的“RBAC”。

登录用户的角色由用户线下的用户角色配置决定。

3.2  CLI登录配置限制和指导

通过CLI登录设备时，有以下限制和指导：

·              用户线视图下的配置优先于用户线类视图下的配置。

·              当用户线或用户线类视图下的属性配置为缺省值时，将优先采用配置为非缺省值的视图下的配置。

·              用户线视图下的配置只对该用户线生效。

·              用户线类视图下的配置修改不会立即生效，当用户下次登录后所修改的配置值才会生效。

3.3  配置通过Console口登录设备

3.3.1  功能简介

通过Console口进行本地登录是登录设备的基本方式之一，用户可以使用本地链路登录设备，便于系统维护。如图3-1所示。具体登录步骤，请参见通过Console口首次登录设备。

图3-1 通过Console口登录设备示意图

缺省情况下，通过Console口登录时认证方式为none，可直接登录。登录成功之后用户角色为network-admin。

首次登录后，建议修改认证方式以及其他参数来增强设备的安全性。

3.3.2  配置限制和指导

改变Console口登录的认证方式后，新认证方式对新登录的用户生效。

3.3.3  通过Console口登录设备配置任务简介

通过Console口登录设备配置任务如下：

(1)      配置通过Console口登录设备的认证方式

¡  配置通过Console口登录设备时无需认证（none）

¡  配置通过Console口登录设备时采用密码认证（password）

(2)      （可选）配置Console口登录方式的公共属性

3.3.4  配置通过Console口登录设备的认证方式

1. 配置通过Console口登录设备时无需认证（none）

(1)      进入系统视图。

system-view

(2)      进入Console用户线或Console用户线类视图。

¡  进入Console用户线视图。

line console first-number [ last-number ]

¡  进入Console用户线类视图。

line class console

(3)      设置登录用户的认证方式为不认证。

authentication-mode none

缺省情况下，用户通过Console口登录，认证方式为none。

(4)      配置从当前用户线登录设备的用户角色。

user-role role-name

缺省情况下，通过Console口登录设备的用户角色为network-admin。

2. 配置通过Console口登录设备时采用密码认证（password）

(1)      进入系统视图。

system-view

(2)      进入Console用户线或Console用户线类视图。

¡  进入Console用户线视图。

line console first-number [ last-number ]

¡  进入Console用户线类视图。

line class console

(3)      设置登录用户的认证方式为密码认证。

authentication-mode password

缺省情况下，用户通过Console口登录，认证方式为none。

(4)      设置认证密码。

set authentication password { hash | simple } string

缺省情况下，未设置认证密码。

(5)      配置从当前用户线登录设备的用户角色。

user-role role-name

缺省情况下，通过Console口登录设备的用户角色为network-admin。

3.3.5  配置Console口登录方式的公共属性

1. 配置限制和指导

改变Console口属性后会立即生效，所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断，建议通过其他登录方式来配置Console口属性。

若用户需要通过Console口再次登录设备，需要改变PC机上运行的终端仿真程序的相应配置，使之与设备上配置的Console口属性保持一致。否则，连接失败。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入Console用户线或Console用户线类视图。

¡  进入Console用户线视图。

line console first-number [ last-number ]

¡  进入Console用户线类视图。

line class console

(3)      配置用户线的终端属性。

¡  在用户线上启动终端服务。

shell

缺省情况下，所有用户线的终端服务功能处于开启状态。

Console用户线视图下不允许关闭shell终端服务。

¡  配置终端的显示类型。

terminal type { ansi | vt100 }

缺省情况下，终端显示类型为ANSI。

建议设备的终端类型与客户端的终端类型都配置为VT100，或者均配置为ANSI的同时保证当前编辑的命令行的总字符数不超过80。否则客户端的终端屏幕不能正常显示。

¡  配置终端屏幕一屏显示的行数。

screen-length screen-length

缺省情况下，终端屏幕一屏显示的行数为24行。

screen-length 0表示关闭分屏显示功能。

¡  设置历史命令缓冲区大小。

history-command max-size value

缺省情况下，每个用户的历史缓冲区的大小为10，即可存放10条历史命令。

¡  设置用户线的空闲超时时间。

idle-timeout minutes [ seconds ]

缺省情况下，所有的用户线的超时时间为10分钟，如果直到超时时间到达，某用户线一直没有用户进行操作，则该用户线将自动断开。

超时时间为0表示永远不会超时。

(4)      配置快捷键。

¡  配置启动终端会话的快捷键。

activation-key character

缺省情况下，按<Enter>键启动终端会话。

¡  配置中止当前运行任务的快捷键。

escape-key { character | default }

缺省情况下，键入<Ctrl+C>中止当前运行的任务。

¡  配置对当前用户线进行锁定并重新认证的快捷键。

lock-key key-string

缺省情况下，不存在对当前用户线进行锁定并重新认证的快捷键。

3.4  配置通过Telnet登录设备

3.4.1  功能简介

设备可以作为Telnet服务器，以便用户能够Telnet登录到设备进行远程管理和监控。具体配置请参见“3.4.3  配置设备作为Telnet服务器配置”。

设备也可以作为Telnet客户端，Telnet到其他设备，对别的设备进行管理和监控。具体配置请参见“3.4.4  配置设备作为Telnet客户端登录其他设备”。

3.4.2  配置限制和指导

改变Telnet登录的认证方式后，新认证方式对新登录的用户生效。

3.4.3  配置设备作为Telnet服务器配置

1. 通过Telnet登录设备配置任务简介

设备作为Telnet服务器配置任务如下：

(1)      开启Telnet服务

(2)      配置设备作为Telnet服务器时的认证方式

¡  配置Telnet登录设备时无需认证（none）

¡  配置Telnet登录设备时采用密码认证（password）

(3)      （可选）配置Telnet服务器发送报文的公共属性

(4)      （可选）配置VTY用户线的公共属性

2. 开启Telnet服务

(1)      进入系统视图。

system-view

(2)      开启设备的Telnet服务。

telnet server enable

缺省情况下，Telnet服务处于关闭状态。

3. 配置Telnet登录设备时无需认证（none）

(1)      进入系统视图。

system-view

(2)      进入VTY用户线或VTY用户线类视图。

¡  进入VTY用户线视图。

line vty first-number [ last-number ]

¡  进入VTY用户线类视图。

line class vty

(3)      设置登录用户的认证方式为不认证。

authentication-mode none

缺省情况下，Telnet用户的认证方式为password。

用户线视图下，authentication-mode和protocol inbound存在关联绑定关系，当两条命令中的任意一条配置了非缺省值，那么另外一条取用户线下的值。

(4)      配置从当前用户线登录设备的用户角色。

user-role role-name

缺省情况下，通过Telnet登录设备的用户角色为network-operator。

4. 配置Telnet登录设备时采用密码认证（password）

(1)      进入系统视图。

system-view

(2)      进入VTY用户线或VTY用户线类视图。

¡  进入VTY用户线视图。

line vty first-number [ last-number ]

¡  进入VTY用户线类视图。

line class vty

(3)      设置登录用户的认证方式为密码认证。

authentication-mode password

缺省情况下，Telnet用户的认证方式为password。

用户线视图下，authentication-mode和protocol inbound存在关联绑定关系，当两条命令中的任意一条配置了非缺省值，那么另外一条取用户线下的值。

(4)      设置密码认证的密码。

set authentication password { hash | simple } password

缺省情况下，未设置密码认证的密码。

(5)      （可选）配置从当前用户线登录设备的用户角色。

user-role role-name

缺省情况下，通过Telnet登录设备的用户角色为network-operator。

5. 配置Telnet服务器发送报文的公共属性

(1)      进入系统视图。

system-view

(2)      配置Telnet服务器发送报文的DSCP优先级。

（IPv4网络）

telnet server dscp dscp-value

（IPv6网络）

telnet server ipv6 dscp dscp-value

缺省情况下，Telnet服务器发送Telnet报文的DSCP优先级为48。

(3)      配置Telnet协议的端口号。

（IPv4网络）

telnet server port port-number

（IPv6网络）

telnet server ipv6 port port-number

缺省情况下，Telnet协议的端口号为23。

6. 配置VTY用户线的公共属性

(1)      进入系统视图。

system-view

(2)      进入VTY用户线或VTY用户线类视图。

¡  进入VTY用户线视图。

line vty first-number [ last-number ]

¡  进入VTY用户线类视图。

line class vty

(3)      设置VTY终端属性。

¡  设置在终端线路上启动终端服务。

shell

缺省情况下，所有用户线的终端服务功能处于开启状态。

¡  配置终端的显示类型。

terminal type { ansi | vt100 }

缺省情况下，终端显示类型为ANSI。

¡  设置终端屏幕一屏显示的行数。

screen-length screen-length

缺省情况下，终端屏幕一屏显示的行数为24行。

取值为0表示关闭分屏显示功能。

¡  设置设备历史命令缓冲区大小。

history-command max-size value

缺省情况下，每个用户的历史缓冲区大小为10，即可存放10条历史命令。

¡  设置VTY用户线的空闲超时时间。

idle-timeout minutes [ seconds ]

缺省情况下，所有的用户线的超时时间为10分钟。如果10分钟内某用户线没有用户进行操作，则该用户线将自动断开。

取值为0表示永远不会超时。

(4)      配置VTY用户线支持的协议。

protocol inbound { all | ssh | telnet }

缺省情况下，设备同时支持Telnet和SSH协议。

该配置将在用户下次使用该用户线登录时生效。

用户线视图下，authentication-mode和protocol inbound存在关联绑定关系，当两条命令中的任意一条配置了非缺省值，那么另外一条取用户线下的值。

(5)      设置从用户线登录后自动执行的命令。

auto-execute command command

缺省情况下，未配置自动执行命令。

配置自动执行命令后，用户在登录时，系统会自动执行已经配置好的命令，执行完命令后，自动断开用户连接。如果这条命令引发了一个任务，系统会等这个任务执行完毕后再断开连接。

(6)      配置快捷键。

¡  配置中止当前运行任务的快捷键。

escape-key { key-string | default }

缺省情况下，键入<Ctrl+C>中止当前运行的任务。

¡  配置对当前用户线进行锁定并重新认证的快捷键。

lock-key key-string

缺省情况下，不存在对当前用户线进行锁定并重新认证的快捷键。

3.4.4  配置设备作为Telnet客户端登录其他设备

1. 功能简介

用户已经成功登录到了设备上，并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作，如图3-2所示。

图3-2 通过设备登录到其他设备

2. 配置准备

先配置设备IP地址并获取Telnet服务器的IP地址。如果设备与Telnet服务器相连的端口不在同一子网内，请保证两台设备间路由可达。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      （可选）指定设备作为Telnet客户端时，发送Telnet报文的源IPv4地址或源接口。

telnet client source { interface interface-type interface-number | ip ip-address }

缺省情况下，未指定发送Telnet报文的源IPv4地址和源接口，使用报文路由出接口的主IPv4地址作为Telnet报文的源地址。

(3)      退回用户视图。

quit

(4)      设备作为Telnet客户端登录到Telnet服务器。

（IPv4网络）

telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]

（IPv6网络）

telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]

3.5  通过CLI登录显示和维护

表3-2 CLI显示和维护

‌

4 对登录用户的控制

4.1  登录用户控制简介

通过引用ACL（Access Control List，访问控制列表），可以对访问设备的登录用户进行控制：

·              当未引用ACL时，允许所有登录用户访问设备；

·              当引用的ACL不存在、或者引用的ACL为空时，禁止所有登录用户访问设备；

·              当引用的ACL非空时，则只有ACL中permit的用户才能访问设备，其他用户不允许访问设备，以免非法用户访问设备。

关于ACL的详细描述和介绍请参见“安全配置指导”中的“ACL”。

4.2  配置对Telnet用户的控制

4.2.1  配置对Telnet用户的控制

(1)      进入系统视图。

system-view

(2)      配置对Telnet用户的访问控制。

（IPv4网络）

telnet server acl [ mac ] acl-number

（IPv6网络）

telnet server ipv6 acl { ipv6 | mac } acl-number

缺省情况下，未对Telnet用户进行ACL限制。

(3)      （可选）开启匹配ACL deny规则后打印日志信息功能。

telnet server acl-deny-log enable

缺省情况下，匹配ACL deny规则后打印日志信息功能处于关闭状态。