15-登录设备
本章节下载: 15-登录设备 (731.17 KB)
4.1.18 history-command max-size
4.1.23 ip https certificate access-control-policy
4.1.26 ip https ssl-server-policy
4.1.36 set authentication password
4.1.44 telnet server ipv6 dscp
4.1.45 telnet server ipv6 port
4.1.52 web https-authorization mode
4.1.53 web https-authorization username
· CLI方式登录设备主要用于设备调试,如无特殊情况,建议用户使用BBU Web配置和管理基站。
· 手册主要介绍通过CLI和Web方式登录设备。
设备支持以下登录方式:
· 通过CLI(Command Line Interface,命令行接口)登录设备。登录成功后,可以直接输入命令行,来配置和管理设备。CLI方式下又根据使用的登录接口以及登录协议不同,分为:通过Console口、Telnet或SSH登录方式。
· 通过Web登录设备。登录成功后,用户可以使用Web界面直观地配置和管理网络设备。
· 通过SNMP登录设备。登录成功后,NMS可以通过Set和Get等操作来配置和管理设备。
手册主要介绍通过CLI和Web方式登录设备。
通过CLI初次登录设备是指首次通过设备Console口登录设备。通过Console口登录设备是配置通过其他CLI方式登录设备的基础。
在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点。这些程序的详细介绍和使用方法请参见该程序的使用指导。
通过Console口登录设备时,请按照以下步骤进行操作:
(1) 将PC机断电。
因为PC机串口不支持热插拔,请不要在PC机带电的情况下,将串口线插入或者拔出PC机。
(2) 请使用配置口电缆连接PC机和设备。请先将配置口电缆的DB-9(孔)插头插入PC机的9芯(针)串口中,再将RJ-45插头端插入设备的Console口中。
· 连接时请认准接口上的标识,以免误插入其他接口。
· 在拆下配置口电缆时,请先拔出RJ-45端,再拔下DB-9端。
图1-1 将设备与PC机通过配置口电缆进行连接示意图
(3) 给PC上电。
(4) 打开终端仿真程序,按如下要求设置终端参数:
¡ 波特率:9600
¡ 数据位:8
¡ 停止位:1
¡ 奇偶校验:无
¡ 流量控制:无
(5) 设备上电。
在设备自检结束后,用户可通过键入回车进入命令交互界面。出现命令行提示符后即可键入命令来配置设备或查看设备运行状态,需要帮助可以随时键入?。
设备支持Web访问方式。出厂时已经启用了HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)服务,并且设置了Web登录信息,用户可以直接使用出厂登录信息通过HTTPS方式登录基站BBU Web界面。出厂时的Web登录信息包括:
· IP地址:192.168.0.1/24
· 用户名:admin
· 密码:admin
(1) 连接BBU和本地维护终端。
用以太网线将本地维护终端(例如PC机)和BBU上的接口FE/GE 2相连。
(2) 为本地维护终端配置IP地址。
保证本地维护终端能与192.168.0.1/24互通,手册以本地维护终端IP地址为192.168.0.2/24为例进行介绍。
(3) 启动浏览器。
在本地维护终端上启动浏览器,在地址栏中输入设备地址,然后回车,进入基站BBU Web登录页面。通过HTTPS方式访问基站BBU Web时,输入的设备地址格式为“https://ip-address:443”。其中,ip-address为基站BBU FE/GE 2接口的IP地址;443为HTTPS服务的缺省端口号,可以省略。
(4) 通过Web登录设备。
在登录页面中输入出厂用户名和密码,单击<登录>按钮即可登录基站BBU Web。
如图2-1所示,使用SNMP协议,用户可通过NMS(Network Management System,网络管理系统)登录到设备上,通过Set和Get等操作对设备进行管理、配置。
图1-2 通过SNMP登录设备组网图
BBU作为SNMP Agent时:
· 支持V1、V2C和V3版本的SNMP。
· 出厂配置中的只读团体名为public,读写团体名为private。
· NMS使用只读团体名public访问BBU时只能执行读操作,使用读写团体名private访问BBU时可以执行读、写操作。
· 通过SNMP登录设备的详细介绍,请参见特性手册中的“SNMP”。
CLI登录用户的访问行为需要由用户线管理、限制,即网络管理员可以给每个用户线配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等。当用户通过CLI登录到设备的时候,系统会给用户分配一个用户线,登录用户将受到该用户线下配置参数的约束。
设备提供如下类型的用户线:
· Console用户线:用来管理和监控通过Console口登录的用户。
· VTY(Virtual Type Terminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户。
用户线的编号有绝对编号方式和相对编号方式。
· 绝对编号方式。
使用绝对编号方式,可以唯一的指定一个用户线。绝对编号从0开始自动编号,每次增长1,先给所有Console用户线编号,其次是所有VTY用户线。使用display line(不带参数)可查看到设备当前支持的用户线以及它们的绝对编号。
· 相对编号方式。
相对编号是每种类型用户线的内部编号,表现形式为“用户线类型 编号”。设备用户线的编号从0开始以1为单位递增。需要注意的是Console用户线编号固定为0。
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束。用户与用户线并没有固定的对应关系:
· 同一用户登录的方式不同,分配的用户线不同。比如用户A使用Console口登录设备时,将受到Console用户线视图下配置的约束;当使用Telnet登录设备时,将受到VTY用户线视图下配置的约束。
· 同一用户登录的时间不同,分配的用户线可能不同。比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY 1。当该用户下次再Telnet登录时,设备可能已经把VTY 1分配给其他Telnet用户了,只能为该用户分配其他的用户线。
如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备。
在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性。设备支持配置如下认证方式:
· 认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。
认证方式不同,配置不同,具体配置如表2-1所示。
认证方式 |
认证所需配置 |
none |
设置登录用户的认证方式为不认证 |
password |
设置登录用户的认证方式为password认证 设置密码认证的密码 |
系统预定义了多种用户角色,用户角色名和对应的权限如表2-2所示。这些用户角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。
在所有系统预定义的用户角色当中,仅network-admin或者level-15角色的用户具有执行创建/修改/删除本地用户和本地用户组的权限。其它角色的用户,即使被授权对本地用户和本地用户组的操作权限,也仅仅具有修改自身密码的权限,没有除此之外的对本地用户和本地用户组的任何操作权限。
用户以任意角色登录设备,在某视图下输入<?>会显示该视图下系统定义的缺省别名帮助信息,但用户对帮助信息中的命令行别名未必具有实际操作权限,命令行别名的实际操作权限以原命令行的操作权限为准。
用户以任意角色登录设备,均具有执行system-view、quit和exit命令的权限。
系统预定义的用户角色中,仅level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限,但这种修改对于display history-command all命令不生效,即不能通过添加对应的规则来更改它的缺省执行权限。
用户角色名 |
权限 |
network-admin |
可操作系统所有功能和资源(除安全日志文件管理相关命令display security-logfile summary、info-center security-logfile directory、security-logfile save之外) |
network-operator |
· 可执行系统所有功能和资源的相关display命令(除display history-command all、display security-logfile summary等命令,具体请通过display role命令查看) · 如果用户采用本地认证方式登录系统并被授予该角色,则可以修改自己的密码 · 可执行进入XML视图的命令 · 可允许用户操作所有读类型的Web菜单选项 · 可允许用户操作所有读类型的XML元素 · 可允许用户操作所有读类型的OID |
level-n (n = 0~15) |
· level-0:可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为其配置权限 · level-1:具有level-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display history-command all之外),以及管理员可以为其配置权限 · level-2~level-8和level-10~level-14:无缺省权限,需要管理员为其配置权限 · level-9:可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操作display history-command all命令、文件管理、设备管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码 · level-15:具有与network-admin角色相同的权限 |
security-audit |
安全日志管理员,仅具有安全日志文件的读、写、执行权限,具体如下: · 可执行安全日志文件管理相关的命令(display security-logfile summary、info-center security-logfile directory、security-logfile save) · 可执行安全日志文件操作相关的命令,例如more显示安全日志文件内容;dir、mkdir操作安全日志文件目录等 以上权限,仅安全日志管理员角色独有,其它任何角色均不具备 该角色不能被授权给从当前用户线登录系统的用户 |
guest-manager |
来宾用户管理员,只能查看和配置与来宾有关的web页面,没有控制命令行的权限 |
通过CLI登录设备时,有以下限制和指导:
· 用户线视图下的配置优先于用户线类视图下的配置。
· 当用户线或用户线类视图下的属性配置为缺省值时,将优先采用配置为非缺省值的视图下的配置。
· 用户线视图下的配置只对该用户线生效。
· 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
通过Console口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护。如图2-1所示。具体登录步骤,请参见1.2.1 通过CLI初次登录设备。
图2-1 通过Console口登录设备示意图
缺省情况下,通过Console口登录时认证方式为none,可直接登录。登录成功之后用户角色为network-admin,具有网络管理员权限。
首次登录后,建议修改认证方式以及其他参数来增强设备的安全性。
改变Console口登录的认证方式后,新认证方式对新登录的用户生效。
通过Console口登录设备配置任务如下:
¡ 配置通过Console口登录设备时采用密码认证(password)
(2) (可选)配置Console口登录方式的公共属性
(1) 进入系统视图。
system-view
(2) 进入Console用户线或Console用户线类视图。
¡ 进入Console用户线视图。
line console first-number
¡ 进入Console用户线类视图。
line class console
(3) 设置登录用户的认证方式为不认证。
authentication-mode none
缺省情况下,用户通过Console口登录,认证方式为none。
(4) 配置从当前用户线登录设备的用户角色。
user-role role-name
缺省情况下,通过Console口登录设备的用户角色为network-admin。
(1) 进入系统视图。
system-view
(2) 进入Console用户线或Console用户线类视图。
¡ 进入Console用户线视图。
line console first-number
¡ 进入Console用户线类视图。
line class console
(3) 设置登录用户的认证方式为密码认证。
authentication-mode password
缺省情况下,用户通过Console口登录,认证方式为none。
(4) 设置认证密码。
set authentication password { hash | simple } string
缺省情况下,未设置认证密码。
(5) 配置从当前用户线登录设备的用户角色。
user-role role-name
缺省情况下,通过Console口登录设备的用户角色为network-admin。
改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。
若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。否则,连接失败。
(1) 进入系统视图。
system-view
(2) 进入Console用户线或Console用户线类视图。
¡ 进入Console用户线视图。
line console first-number
¡ 进入Console用户线类视图。
line class console
(3) 配置设备与访问终端之间的通信参数。
¡ 配置设备与访问终端之间的传输速率。
speed speed-value
缺省情况下,用户线的传输速率为9600bit/s。
用户线类视图下不支持该命令。
¡ 配置校验方式。
parity { even | mark | none | odd | space }
缺省情况下,设备校验位的校验方式为none,即不进行校验。
用户线类视图下不支持该命令。
¡ 配置流量控制方式。
flow-control { hardware | none | software }
flow-control hardware direction1 [ software direction2 ]
flow-control software direction1 [ hardware direction2 ]
缺省情况下,没有配置流量控制方式。
用户线类视图下不支持该命令。
¡ 配置数据位。
databits { 7 | 8 }
缺省情况下,用户线的数据位为8位。
用户线类视图下不支持该命令。
类型 |
支持的数据位 |
传送字符的编码类型为标准ASCII码 |
7 |
传送字符的编码类型为扩展ASCII码 |
8 |
(4) 配置用户线的终端属性。
¡ 在用户线上启动终端服务。
shell
缺省情况下,所有用户线的终端服务功能处于开启状态。
Console用户线视图下不允许关闭shell终端服务。
¡ 配置终端的显示类型。
terminal type { ansi | vt100 }
缺省情况下,终端显示类型为ANSI。
建议设备的终端类型与客户端的终端类型都配置为VT100,或者均配置为ANSI的同时保证当前编辑的命令行的总字符数不超过80。否则客户端的终端屏幕不能正常显示。
¡ 配置终端屏幕一屏显示的行数。
screen-length screen-length
缺省情况下,终端屏幕一屏显示的行数为24行。
screen-length 0表示关闭分屏显示功能。
¡ 设置历史命令缓冲区大小。
history-command max-size value
缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令。
¡ 设置用户线的空闲超时时间。
idle-timeout minutes [ seconds ]
缺省情况下,所有的用户线的超时时间为10分钟,如果直到超时时间到达,某用户线一直没有用户进行操作,则该用户线将自动断开。
超时时间为0表示永远不会超时。
(5) 设置终端线路的自动执行的命令。
auto-execute command command
缺省情况下,终端线路未设置自动执行命令。
用户登录到终端线路后,设备会自动依次执行command,然后退出当前连接。
(6) 配置快捷键。
¡ 配置启动终端会话的快捷键。
activation-key character
缺省情况下,按<Enter>键启动终端会话。
¡ 配置中止当前运行任务的快捷键。
escape-key { character | default }
缺省情况下,键入<Ctrl+C>中止当前运行的任务。
¡ 配置对当前用户线进行锁定并重新认证的快捷键。
lock-key key-string
缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键。
设备可以作为Telnet服务器,以便用户能够Telnet登录到设备进行远程管理和监控。具体配置请参见“2.4.3 配置设备作为Telnet服务器配置”。
设备也可以作为Telnet客户端,Telnet到其他设备,对别的设备进行管理和监控。具体配置请参见“2.4.4 配置设备作为Telnet客户端登录其他设备”。
改变Telnet登录的认证方式后,新认证方式对新登录的用户生效。
设备作为Telnet服务器配置任务如下:
(1) 开启Telnet服务
(2) 配置设备作为Telnet服务器时的认证方式
¡ 配置Telnet登录设备时采用密码认证(password)
(3) (可选)配置Telnet服务器发送报文的公共属性
(4) (可选)配置VTY用户线的公共属性
(1) 进入系统视图。
system-view
(2) 开启设备的Telnet服务。
telnet server enable
缺省情况下,Telnet服务处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置登录用户的认证方式为不认证。
authentication-mode none
缺省情况下,Telnet用户的认证方式为password。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(4) 配置从当前用户线登录设备的用户角色。
user-role role-name
缺省情况下,通过Telnet登录设备的用户角色为network-operator。
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置登录用户的认证方式为密码认证。
authentication-mode password
缺省情况下,Telnet用户的认证方式为password。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(4) 设置密码认证的密码。
set authentication password { hash | simple } password
缺省情况下,未设置密码认证的密码。
(5) (可选)配置从当前用户线登录设备的用户角色。
user-role role-name
缺省情况下,通过Telnet登录设备的用户角色为network-operator。
(1) 进入系统视图。
system-view
(2) 配置Telnet服务器发送报文的DSCP优先级。
(IPv4网络)
telnet server dscp dscp-value
(IPv6网络)
telnet server ipv6 dscp dscp-value
缺省情况下,Telnet服务器发送Telnet报文的DSCP优先级为48。
(3) 配置Telnet协议的端口号。
(IPv4网络)
telnet server port port-number
(IPv6网络)
telnet server ipv6 port port-number
缺省情况下,Telnet协议的端口号为23。
(4) 配置Telnet登录同时在线的最大用户连接数。
aaa session-limit telnet max-sessions
缺省情况下,Telnet方式登录同时在线的最大用户连接数为32。
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置VTY终端属性。
¡ 设置在终端线路上启动终端服务。
shell
缺省情况下,所有用户线的终端服务功能处于开启状态。
¡ 配置终端的显示类型。
terminal type { ansi | vt100 }
缺省情况下,终端显示类型为ANSI。
¡ 设置终端屏幕一屏显示的行数。
screen-length screen-length
缺省情况下,终端屏幕一屏显示的行数为24行。
取值为0表示关闭分屏显示功能。
¡ 设置设备历史命令缓冲区大小。
history-command max-size value
缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令。
¡ 设置VTY用户线的空闲超时时间。
idle-timeout minutes [ seconds ]
缺省情况下,所有的用户线的超时时间为10分钟。如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开。
取值为0表示永远不会超时。
(4) 配置VTY用户线支持的协议。
protocol inbound { all | pad | ssh | telnet }
缺省情况下,设备同时支持Telnet和SSH协议。
该配置将在用户下次使用该用户线登录时生效。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(5) 设置从用户线登录后自动执行的命令。
auto-execute command command
缺省情况下,未配置自动执行命令。
在配置auto-execute command命令并退出登录之前,要确保可以通过其他VTY用户登录并更改配置,以便出现问题后,能删除该配置。
配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发了一个任务,系统会等这个任务执行完毕后再断开连接。
(6) 配置快捷键。
¡ 配置中止当前运行任务的快捷键。
escape-key { key-string | default }
缺省情况下,键入<Ctrl+C>中止当前运行的任务。
¡ 配置对当前用户线进行锁定并重新认证的快捷键。
lock-key key-string
缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键。
用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图2-2所示。
先配置设备IP地址并获取Telnet服务器的IP地址。如果设备与Telnet服务器相连的端口不在同一子网内,请保证两台设备间路由可达。
(1) 进入系统视图。
system-view
(2) (可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口。
telnet client source { interface interface-type interface-number | ip ip-address }
缺省情况下,未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址。
(3) 退回用户视图。
quit
(4) 设备作为Telnet客户端登录到Telnet服务器。
(IPv4网络)
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]
(IPv6网络)
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]
用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(Secure Shell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
· 设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控。具体配置请参见“2.5.2 配置设备作为SSH服务器”。
· 设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控。具体配置请参见“2.5.3 配置设备作为SSH客户端登录其他设备”。
(1) 进入系统视图。
system-view
(2) 生成本地密钥对。
public-key local create { dsa | ecdsa secp256r1 | rsa }
(3) 开启SSH服务器功能。
ssh server enable
缺省情况下,SSH服务器功能处于关闭状态。
(4) (可选)建立SSH用户,并指定SSH用户的认证方式。
ssh user username service-type stelnet authentication-type password
(5) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(6) 配VTY用户线的认证方式为scheme方式。
authentication-mode scheme
缺省情况下,VTY用户线的认证方式为password方式。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(7) (可选)配置VTY用户线支持的SSH协议。
protocol inbound { all | pad | ssh | telnet }
缺省情况下,设备同时支持Telnet和SSH协议。
本配置将在用户下次使用该用户线登录时生效。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(8) (可选)配置SSH方式登录设备时,同时在线的最大用户连接数。
aaa session-limit ssh max-sessions
缺省情况下,SSH方式登录同时在线的最大用户连接数为32。
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。
(9) (可选)退回系统视图并配置VTY用户线的公共属性。
a. 退回系统视图。
quit
b. 配置VTY用户线的公共属性。
详细配置请参见“2.4.3 6. 配置VTY用户线的公共属性”。
用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其他设备上进行操作,如图2-3所示。
先配置设备IP地址并获取SSH服务器的IP地址。如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达。
请在用户视图下执行本命令,配置设备作为SSH客户端登录到SSH服务器。
(IPv4网络)
ssh2 server
(IPv6网络)
ssh2 ipv6 server
表2-3 CLI显示和维护
操作 |
命令 |
说明 |
显示用户线的相关信息 |
display line [ num1 | { console | vty } num2 ] [ summary ] |
在任意视图下执行 |
显示设备作为Telnet客户端的相关配置信息 |
display telnet client |
在任意视图下执行 |
显示当前正在使用的用户线以及用户的相关信息 |
display users |
在任意视图下执行 |
显示设备支持的所有用户线以及用户的相关信息 |
display users all |
在任意视图下执行 |
释放指定的用户线 |
free line { num1 | { console | vty } num2 } |
在用户视图下执行 系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接 不能使用该命令释放用户当前自己使用的连接和已建立的Telnet重定向连接 |
锁定当前用户线并设置解锁密码,防止未授权的用户操作该线 |
lock |
在用户视图下执行 缺省情况下,系统不会自动锁定当前用户线 |
锁定当前用户线并对其进行重新认证 |
lock reauthentication |
在任意视图下执行 缺省情况下,系统不会自动锁定当前用户线并对其进行重新认证 请使用设备登录密码解除锁定并重新登录设备 |
向指定的用户线发送消息 |
send { all | num1 | { console | vty } num2 } |
在用户视图下执行 |
为了方便用户对网络设备进行配置和维护,设备提供Web功能。用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。
设备支持两种Web登录方式:
· HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层,传输层采用面向连接的TCP。设备同时支持HTTP协议1.0和1.1版本。
· HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。设备出厂时已配置HTTPS登录方式。
同一浏览器下只允许一个用户登录设备。如果多个用户在同一浏览器下登录设备,则最新登录的用户有效。
如果设备只开启了HTTP服务,为了增强设备的安全性,HTTPS服务的端口号也会被自动打开,且在HTTP服务开启的状态下无法通过undo ip https enable命令关闭。
Web登录配置任务如下:
(1) 配置通过Web登录设备
请选择其中一项进行配置:
(2) 配置用于Web登录的本地用户
(3) 管理Web登录用户连接
(4) 开启Web操作日志输出功能
在通过Web登录设备前,需要确保设备与Web登录用户间路由可达。
(1) (可选)请在用户视图下执行本命令,配置用户访问Web的固定校验码。
web captcha verification-code
缺省情况下,用户只能使用Web页面显示的校验码访问Web。
(2) 进入系统视图。
system-view
(3) 开启HTTP服务。
ip http enable
缺省情况下,HTTP服务处于关闭状态。
(4) (可选)配置HTTP服务的端口号。
ip http port port-number
缺省情况下,HTTP服务的端口号为80。
(5) (可选)配置HTTP服务在响应OPTIONS请求时返回的方法列表。
http method { delete | get | head | options | post | put } *
缺省情况下,未配置任何方法。
HTTPS登录方式分为以下两种:
· 简便登录方式:采用这种方式时,设备上只需开启HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。这种方式简化了配置,但是存在安全隐患。(自签名证书指的是服务器自己生成的证书,无需从CA获取)
· 安全登录方式:采用这种方式时,设备上不仅要开启HTTPS服务,还需要配置SSL服务器端策略、PKI域等。这种方式配置复杂,但是具有更高的安全性。
· HTTPS服务和SSL VPN服务使用相同的端口号时,二者引用的SSL服务器端策略必须相同,否则无法同时开启HTTPS服务和SSL VPN服务。若要修改引用的SSL服务器端策略,则需要先关闭HTTPS服务和SSL VPN服务,修改SSL服务器端策略后,再开启HTTPS服务和SSL VPN服务,修改后的SSL服务器端策略才能生效。
· 更改HTTPS服务与SSL服务器端的关联策略,需要先关闭HTTP和HTTPS服务,再重新配置HTTPS服务与SSL服务器端策略关联,最后重新开启HTTP服务和HTTPS服务,新的策略即可生效。
· 如需恢复HTTPS使用自签名证书的情况,必须先关闭HTTP和HTTPS服务,再执行undo ip https ssl-server-policy,最后重新开启HTTP服务和HTTPS服务即可。
· 开启HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。此时,需要多次执行ip https enable命令,HTTPS服务才能正常启动。
· 如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,且证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。
(1) (可选)请在用户视图下执行本命令,配置用户访问Web的固定校验码。
web captcha verification-code
缺省情况下,用户只能使用Web页面显示的校验码访问Web。
(2) 进入系统视图。
system-view
(3) (可选)配置HTTPS服务与其他策略的关联。
¡ 配置HTTPS服务与SSL服务器端策略关联。
ip https ssl-server-policy policy-name
缺省情况下,HTTPS服务未与SSL服务器端策略关联,HTTPS使用自签名证书。
¡ 配置HTTPS服务与证书属性访问控制策略关联。
ip https certificate access-control-policy policy-name
缺省情况下,HTTPS服务未与证书属性访问控制策略关联。
通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制。
(4) 开启HTTPS服务。
ip https enable
缺省情况下,HTTPS服务处于关闭状态。
(5) (可选)配置HTTPS服务的端口。
ip https port port-number
缺省情况下,HTTPS服务的端口号为443。
(6) (可选)配置使用HTTPS登录设备时的方式。
web https-authorization mode { auto | certificate | certificate-manual | manual }
缺省情况下,用户使用HTTPS登录设备时的方式为manual。
(1) 进入系统视图。
system-view
(2) 创建本地用户用于Web登录,并进入本地用户视图。
local-user user-name [ class manage ]
(3) (可选)配置通过数字证书登录设备时使用的用户名。
web https-authorization username { cn | email-prefix | oid oid-value }
缺省情况下,使用数字证书中的CN(Common Name,公用名称)字段,作为通过数字证书登录设备时使用的用户名。
(4) (可选)设置本地用户的密码。
password [ { hash | simple } password ]
缺省情况下,不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其他属性验证通过即可认证成功。
(5) 配置Web登录用户的属性。
¡ 配置Web登录的用户角色。
authorization-attribute user-role user-role
缺省情况下,Web登录的用户角色为network-operator。
¡ 配置Web登录用户的服务类型。
service-type { http | https }
缺省情况下,未配置用户的服务类型。
(1) 进入系统视图。
system-view
(2) 配置Web登录用户连接的超时时间。
web idle-timeout minutes
缺省情况下,Web闲置超时时间为10分钟。
(1) 进入系统视图。
system-view
(2) 配置同时在线的最大Web用户连接数。
aaa session-limit { http | https } max-sessions
缺省情况下,同时在线的最大Web用户连接数为32。
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。
请在用户视图下执行本命令,强制在线Web用户下线。
free web users { all | user-id user-id | user-name user-name }
(1) 进入系统视图。
system-view
(2) 开启Web操作日志输出功能。
webui log enable
缺省情况下,Web操作日志输出功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息、HTTP的状态信息和HTTPS的状态信息,通过查看显示信息验证配置的效果;可以在用户视图下执行free web users命令来强制在线Web用户下线。
表3-1 Web用户显示
操作 |
命令 |
显示HTTP的状态信息 |
display ip http |
显示HTTPS的状态信息 |
display ip https |
显示Web的页面菜单树 |
display web menu [ chinese ] |
显示Web用户的相关信息 |
display web users |
强制在线Web用户下线 |
free web users { all | user-id user-id | user-name user-name } |
PC与设备通过IP网络相连且路由可达,PC和设备GigabitEthernet1/2的IP地址分别为192.168.101.99/24和192.168.100.99/24。
图3-1 配置HTTP方式登录组网图
# 配置Web用户名为admin,认证密码为admin,服务类型为http,用户角色为network-admin。
[Sysname] local-user admin
[Sysname-luser-manage-admin] service-type http
[Sysname-luser-manage-admin] authorization-attribute user-role network-admin
[Sysname-luser-manage-admin] password simple admin
[Sysname-luser-manage-admin] quit
# 配置开启HTTP服务。
[Sysname] ip http enable
在PC的浏览器地址栏内输入设备的IP地址并回车,浏览器将显示Web登录页面。
在“Web用户登录”对话框中输入用户名、密码及验证码,点击<登录>按钮后即可登录,显示Web初始页面。成功登录后,用户可以在配置区对设备进行相关配置。
用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。
为了满足上述需求,需要进行如下配置:
· 配置Device作为HTTPS服务器,并为Device申请证书。
· 为HTTPS客户端Host申请证书,以便Device验证其身份。
其中,负责为Device和Host颁发证书的CA(Certificate Authority,证书颁发机构)名称为new-ca。
· 本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
· 进行下面的配置之前,需要确保Device、Host、CA之间路由可达。
图3-2 HTTPS配置组网图
(1) 配置HTTPS服务器Device
# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server1
[Device-pki-entity-en] fqdn ssl.security.com
[Device-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。
[Device] pki domain 1
[Device-pki-domain-1] ca identifier new-ca
[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Device-pki-domain-1] certificate request from ra
[Device-pki-domain-1] certificate request entity en
# 指定证书申请使用的RSA密钥对名称为“hostkey”,用途为“通用”,密钥对长度为1024比特。
[Device-pki-domain-1] public-key rsa general name hostkey length 1024
[Device-pki-domain-1] quit
# 生成本地的RSA密钥对。
[Device] public-key local create rsa
# 获取CA的证书。
[Device] pki retrieve-certificate domain 1 ca
# 为Device申请证书。
[Device] pki request-certificate domain 1
# 创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain 1
[Device-ssl-server-policy-myssl] client-verify enable
[Device-ssl-server-policy-myssl] quit
# 创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(Distinguished Name,识别名)中包含new-ca。
[Device] pki certificate attribute-group mygroup1
[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Device-pki-cert-attribute-group-mygroup1] quit
# 创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测。
[Device] pki certificate access-control-policy myacp
[Device-pki-cert-acp-myacp] rule 1 permit mygroup1
[Device-pki-cert-acp-myacp] quit
# 配置HTTPS服务与SSL服务器端策略myssl关联。
[Device] ip https ssl-server-policy myssl
# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器。
[Device] ip https certificate access-control-policy myacp
# 开启HTTPS服务。
[Device] ip https enable
# 创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin。
[Device] local-user usera
[Device-luser-usera] password simple 123
[Device-luser-usera] service-type https
[Device-luser-usera] authorization-attribute user-role network-admin
(2) 配置HTTPS客户端Host
在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。
在Host上打开IE浏览器,输入网址https://10.1.1.1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制。
HTTPS服务器的URL地址以“https://”开始,HTTP服务器的URL地址以“http://”开始。
对于同时支持用户线视图和用户线类视图的命令,本文中的命令描述只描述用户线视图下命令的作用,对于用户线类视图下该命令的作用,请按照下列规则进行类推:
· 用户线视图下的配置只对该用户线生效,用户线类视图下的配置对该类用户线生效。
· 非缺省配置优先于缺省配置。如果在用户线视图、用户线类视图下都是非缺省配置,则用户线视图下的配置优先于用户线类视图下的配置。
· 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
activation-key命令用来配置启动终端会话的快捷键。
undo activation-key命令用来恢复缺省情况。
【命令】
activation-key key-string
undo activation-key
【缺省情况】
按<Enter>键启动终端会话。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
key-string:定义启动终端会话的快捷键,可以是区分大小写的单个字符,也可以是单个字符或组合键对应的ACSII码(0~127)。比如设置activation-key 1,此时生效快捷键为Ctrl+A;如果设置activation-key a,生效的快捷键为a。单个字符的快捷键对应的ASCII码与标准的ASCII码表一致,组合键对应的ASCII码请参见表4-1。
【使用指导】
VTY用户线视图/VTY用户线类视图不支持该命令。
在用户线/用户线类视图下,该命令的配置结果将立即生效。
如果使用activation-key命令设置了其他快捷键,则新的快捷键将代替<Enter>键来启动终端会话。新设置的快捷键可以使用display current-configuration | include activation-key命令查看。
如果用户线视图下配置activation-key为缺省值,并且此时用户线类视图下配置了activation-key,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
表4-1 Ctrl+X组合键对应的ASCII码表
Ctrl+X组合键 |
对应的ASCII码 |
CTRL+A |
1 |
CTRL+B |
2 |
CTRL+C |
3 |
CTRL+D |
4 |
CTRL+E |
5 |
CTRL+F |
6 |
CTRL+G |
7 |
CTRL+H |
8 |
CTRL+I |
9 |
CTRL+J |
10 |
CTRL+K |
11 |
CTRL+L |
12 |
CTRL+M |
13 |
CTRL+N |
14 |
CTRL+O |
15 |
CTRL+P |
16 |
CTRL+Q |
17 |
CTRL+R |
18 |
CTRL+S |
19 |
CTRL+T |
20 |
CTRL+U |
21 |
CTRL+V |
22 |
CTRL+W |
23 |
CTRL+X |
24 |
CTRL+Y |
25 |
CTRL+Z |
26 |
【举例】
# 指定启动Console用户线终端会话的快捷键为<s>。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] activation-key s
验证过程如下:
· 退出终端会话。
[Sysname-line-console0] return
<Sysname> quit
· 重新登录设备,能看到如下显示信息。
Press ENTER to get started.
· 此时,<Enter>键失效,需要按<s>键才能出现用户视图提示符,启动终端会话。
<Sysname>
authentication-mode命令用来设置用户登录设备时的认证方式。
undo authentication-mode命令用来恢复缺省情况。
【命令】
authentication-mode { none | password }
undo authentication-mode
【缺省情况】
使用VTY用户线登录的用户的认证方式为password,使用Console用户线登录的用户不需要认证。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
none:不进行认证。
password:进行密码认证方式。
【使用指导】
当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。
用户线视图下,authentication-mode与protocol inbound相关联:
· 当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则均取缺省值。
· 当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值。
· 当两条命令都配置成非缺省值,则均取用户线下的配置值。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
在用户线视图/用户线类视图下,该命令的配置结果将在下次登录设备时生效。
【举例】
# 设置用户使用VTY 0用户线登录设备时,不需要认证。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode none
# 设置用户使用VTY 0用户线登录设备时,需要密码认证,认证密码为321。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple 321
【相关命令】
· set authentication password
auto-execute command命令用来设置自动执行命令。
undo auto-execute command命令用来恢复缺省情况。
【命令】
auto-execute command command
undo auto-execute command
【缺省情况】
未配置自动执行命令。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
command:需要自动执行的某条命令。
【使用指导】
· 在配置auto-execute command命令之前,请确保可以通过其他用户线(例如Console用户线)登录系统,以便出现问题后,能删除该配置。
· 执行该命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用。
用户在登录时设备会自动执行auto-execute command配置好的命令,执行完命令后,自动断开用户连接。
在用户线视图/用户线类视图下配置该命令时,需要注意:
· Console用户线视图/Console用户线类视图不支持该命令。
· 如果用户线视图下配置auto-execute command为缺省值,并且此时用户线类视图下配置了auto-execute command,那么用户线类视图下的配置生效;如果用户线类视图下未配置,则用户线视图下的配置生效。
使用该命令设置的自动执行命令将在下次登录设备时生效。
【举例】
# 配置用户从VTY0登录本设备(IP地址为192.168.1.40)后,自动Telnet到IP地址为192.168.1.41的设备。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] auto-execute command telnet 192.168.1.41
This action will lead to configuration failure through line-vty0. Are you sure?
[Y/N]:y
[Sysname-line-vty0]
结果验证:
重新Telnet登录到本设备,设备会自动执行telnet 192.168.1.41命令,在Telnet客户端会看到以下显示信息。
C:\> telnet 192.168.1.40
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname.41>
此时相当于用户直接登录了192.168.1.41设备。如果用户断开与192.168.1.41的Telnet连接,用户与192.168.1.40设备的Telnet连接也会同时自动断开。
databits命令用来设置数据位的个数。
undo databits命令用来恢复缺省情况。
【命令】
databits { 7 | 8 }
undo databits
【缺省情况】
用户线的数据位为8位。
【视图】
用户线视图
【缺省用户角色】
network-admin
【参数】
7:数据位为7位,即使用7比特来表示一个字符。
8:数据位为8位,即使用8比特来表示一个字符。
【使用指导】
VTY用户线类视图不支持该命令。
访问终端和设备相应用户线下数据位的设置必须一致,双方才能正常通信。
【举例】
# 设置数据位为7位。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] databits 7
display ip http命令用来显示HTTP的状态信息。
【命令】
display ip http
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示HTTP的状态信息。
<Sysname> display ip http
HTTP port: 80
ACL: 2222(basic)
Operation status: Enabled
表4-2 display ip http命令显示信息描述表
字段 |
描述 |
HTTP port |
HTTP服务使用的端口号 |
ACL |
与HTTP服务关联的基本访问控制列表号或名称 基本访问控制列表号为0表示未配置,有如下几种类型: · basic,表示基本ACL · advanced,表示高级ACL · layer 2,表示二层ACL |
Operation status |
HTTP服务是否开启: Enabled:表示HTTP服务处于开启状态 Disabled:表示HTTP服务处于关闭状态 |
【相关命令】
· ip http port
· ip http enable
display ip https命令用来显示HTTPS的状态信息。
【命令】
display ip https
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示HTTPS的状态信息。
<Sysname> display ip https
HTTPS port: 443
SSL server policy: test
Certificate access-control-policy: Not configured
ACL: 3333(advanced)
Operation status: Enabled
表4-3 display ip https命令显示信息描述表
字段 |
描述 |
HTTPS port |
HTTPS服务使用的端口号 |
SSL server policy |
与HTTPS服务关联的SSL服务器端策略,Not configured表示未配置 |
Certificate access-control-policy |
与HTTPS服务关联的证书属性访问控制策略,Not configured表示未配置 |
ACL |
与HTTPS服务关联的基本访问控制列表号或名称,基本访问控制列表号为0表示未配置,有如下几种类型: · basic,表示基本ACL · advanced,表示高级ACL · layer 2,表示二层ACL |
Operation status |
HTTPS服务是否开启: Enabled:表示HTTPS服务处于开启状态 Disabled:表示HTTPS服务处于关闭状态 |
【相关命令】
· ip https port
· ip https enable
· ip https ssl-server-policy
· ip https certificate access-control-policy
display line命令用来显示用户线的相关信息。
【命令】
display line [ number1 | { console | vty } number2 ] [ summary ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
number1:用户线的编号(绝对编号方式),从0开始。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值为0,对于VTY用户线取值范围为0~63。
summary:显示用户线的摘要信息。不使用该参数时,将显示用户线类型、绝对/相对编号、传输速率、Modem属性、认证方式及接入接口;使用该参数时,将显示正在使用和未使用的用户线数目和类型。
【举例】
# 显示用户线0的相关信息。
<Sysname> display line 0
Idx Type Tx/Rx Modem Auth Int Location
+ 0 CON 0 9600 - N - 0/0
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表4-4 display line命令显示信息描述表
字段 |
描述 |
+ |
表示当前正在使用的用户线 |
F |
表示当前正在使用的用户线,且工作在异步方式 |
Idx |
用户线的绝对编号 |
Type |
用户线的类型及相对编号 |
Tx/Rx |
用户线的速率 |
Modem |
Modem的呼入/呼出开关,取值有in(允许呼入)、out(允许呼出)、inout(允许呼入呼出),缺省显示“-”(表示未配置) |
Auth |
使用该用户线登录的用户的认证方式,取值有A、L、N和P四种方式 |
Int |
用户线对应的物理接口的简称表示(Console口以及没有对应接口的用户线均显示“-”) |
Location |
用户线的物理位置 |
A |
表示使用AAA认证方式 |
N |
表示无需认证,对应的authentication-mode为none |
P |
表示使用当前用户线的密码进行认证,对应的authentication-mode为password |
# 显示所有用户线的摘要信息。
<Sysname> display line summary
Line type : [CON]
0:X
Line type : [TTY]
1:XXXX XXXX XXXX XXXX
17:XXXX XXXX XXXX XXXX
33:XXXX XXXX XXXX XXXX
49:XXXX XXXX XXXX XXXX
65:XXXX XXXX XXXX XXXX
81:XXXX XXXX XXXX XXXX
97:XXXX XXXX XXXX XXXX
113:XXXX XXXX XXXX XXXX
129:XXXX XXXX XXXX XXXX
145:XXXX XXXX XXXX XXXX
161:XXXX XXXX XXXX XXXX
Line type : [VTY]
177:UXXX XXXX XXXX XXXX
193:XXXX XXXX XXXX XXXX
209:XXXX XXXX XXXX XXXX
225:XXXX XXXX XXXX XXXX
1 lines used. (U)
240 lines not used. (X)
表4-5 display line summary命令显示信息描述表
字段 |
描述 |
Line type |
用户线类型: · CON表示Console用户线 · TTY表示TTY用户线(暂不支持) · VTY表示VTY用户线 |
0:UXXX XXXX XX |
0表示用户线的绝对编号 X表示当前没有用户使用该用户线 U表示当前有用户使用该用户线 |
lines used. (U) |
当前正在使用的用户线的数目(即U字符数量) |
lines not used. (X) |
当前未使用的用户线的数目(即X字符数量) |
display telnet client命令用来显示设备作为Telnet客户端的配置信息。
【命令】
display telnet client
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
目前该命令显示的是Telnet客户端源IPv4地址或源接口的配置信息。用户可以使用telnet client source命令指定Telnet客户端源IPv4地址或源接口。
【举例】
# 显示设备作为Telnet客户端的相关配置信息。
<Sysname> display telnet client
The source IP address is 1.1.1.1.
以上显示信息表示设备作为Telnet客户端时,发送Telnet报文的源IPv4地址为1.1.1.1。
【相关命令】
· telnet client source
display user-interface命令用来显示用户线的相关信息。
【命令】
display user-interface [ number1 | { console | vty } number2 ] [ summary ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
number1:用户线的编号(绝对编号方式),取值范围为0~240。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值为0,对于VTY用户线取值范围为0~63。
summary:显示用户线的摘要信息。不使用该参数时,将显示用户线类型、绝对/相对编号、传输速率、Modem属性、认证方式及接入接口;使用该参数时,将显示正在使用和未使用的用户线数目和类型。
【使用指导】
该命令实现与display line一致,仅为与旧版本兼容保留,请使用display line。
【举例】
# 显示用户线0的相关信息。
<Sysname> display user-interface 0
Idx Type Tx/Rx Modem Auth Int Location
0 CON 0 9600 - P - 0/0
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表4-6 display user-interface命令显示信息描述表
字段 |
描述 |
+ |
表示当前正在使用的用户线 |
F |
表示当前正在使用的用户线,且工作在异步方式 |
Idx |
用户线的绝对编号 |
Type |
用户线的类型及相对编号 |
Tx/Rx |
用户线的速率 |
Modem |
Modem的呼入/呼出开关,取值有in(允许呼入)、out(允许呼出)、inout(允许呼入呼出),缺省显示“-”(表示未配置) |
Auth |
使用该用户线登录的用户的认证方式,取值有A、L、N和P四种方式 |
Int |
用户线对应的物理接口的简称表示(Console口以及没有对应接口的用户线均显示“-”) |
Location |
用户线的物理位置 |
A |
表示使用AAA认证方式 |
N |
表示无需认证,对应的authentication-mode为none |
P |
表示使用当前用户线的密码进行认证,对应的authentication-mode为password |
# 显示所有用户线的摘要信息。
<Sysname> display user-interface summary
Line type : [CON]
0:X
Line type : [TTY]
1:XXXX XXXX XXXX XXXX
17:XXXX XXXX XXXX XXXX
33:XXXX XXXX XXXX XXXX
49:XXXX XXXX XXXX XXXX
65:XXXX XXXX XXXX XXXX
81:XXXX XXXX XXXX XXXX
97:XXXX XXXX XXXX XXXX
113:XXXX XXXX XXXX XXXX
129:XXXX XXXX XXXX XXXX
145:XXXX XXXX XXXX XXXX
161:XXXX XXXX XXXX XXXX
Line type : [VTY]
177:UXXX XXXX XXXX XXXX
193:XXXX XXXX XXXX XXXX
209:XXXX XXXX XXXX XXXX
225:XXXX XXXX XXXX XXXX
1 lines used. (U)
240 lines not used. (X)
表4-7 display user-interface summary命令显示信息描述表
字段 |
描述 |
Line type |
用户线类型: · CON表示Console用户线 · TTY表示TTY用户线(暂不支持) · VTY表示VTY用户线 |
0:UXXX XXXX XX |
0表示用户线的绝对编号 X表示当前没有用户使用该用户线 U表示当前有用户使用该用户线 |
lines used. (U) |
当前正在使用的用户线的数目(即U字符数量) |
lines not used. (X) |
当前未使用的用户线的数目(即X字符数量) |
display users命令用来显示正在使用的用户线以及用户的相关信息。
【命令】
display users [ all ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示设备支持的所有用户线以及用户的相关信息。
【举例】
# 显示正在使用的用户线以及用户的相关信息。
<Sysname> display users
Idx Line Idle Time Pid Type
+ 10 VTY 0 00:00:00 Jan 01 00:33:10 484 TEL
12 VTY 2 00:06:22 Jan 01 00:33:22 495 TEL
Following are more details.
VTY 0 :
Location: 192.168.1.107
VTY 2 :
Location: 192.168.1.134
+ : Current operation user.
F : Current operation user works in async mode.
表4-8 display users命令显示信息描述表
字段 |
描述 |
Idx |
用户线的绝对编号 |
Line |
用户线的相对编号,第一列(例如VTY)表示用户线的类型,第二列(例如0)表示用户线的相对编号 |
Idle |
空闲时间,表明用户和设备没有报文交互的时间长度,格式为hh:mm:ss。当空闲时间大于等于24小时时,显示为old |
Time |
用户本次登录的时间 |
Pid |
用户对应的进程ID(CLI用户登录时,系统会自动运行一个用户登录进程来监控用户的操作) |
Type |
显示用户的登录方式: · TEL表示用户通过Telnet方式登录设备 · SSH表示用户通过SSH方式登录设备 · 无显示信息表示用户通过Console口登录设备 |
+ |
当前操作用户 |
User name |
使用该用户线登录的用户的用户名,用户通过用户名和密码认证后登录设备的情况下会显示该字段 |
Location |
使用该用户线登录的用户的位置信息(即用户的IP地址) |
F |
当前操作用户工作在异步模式 |
display web menu命令用来显示Web的页面菜单树。
【命令】
display web menu [ chinese ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
chinese:显示Web的页面中文菜单树。不指定该参数时,显示Web的页面英文菜单树。
【使用指导】
配置用户角色对应的Web菜单项时,可以使用该命令查看系统支持的全部菜单树。
【举例】
# 显示全部Web菜单信息。
<Sysname> display web menu
.
|--System Information: ID = m_dashboard
|--Configure: ID = m_ltemml
|--Monitor: ID = m_ltemonitor
|--System Monitor: ID = m_system_monitor
| |--BBU Performance: ID = m_lte_performance
| |--Capture Manage: ID = m_packetcapture
| `--System Alarm: ID = m_sysalarm
|--Trace: ID = m_ltetrace
| |--Trace S1: ID = m_ltetraces1
| `--Trace Ue: ID = m_ltetraceuu
|--Station Manage: ID = m_ptpmanage
| |--PTPInfo: ID = m_ptpinfo_m
| | |--PTPperformance: ID = m_performance
| | |--PTPPackets: ID = m_interfacesstatistics
| | `--PTPParent: ID = m_parent
| `--PTPInfo: ID = m_ptpcfg_m
| |--PTP Source IP: ID = m_ptpsource
| `--PTP Interface: ID = m_ptpinterface
|--Transmission Management: ID = m_transmissionmanage
| |--IPv4: ID = m_ipv4_m
| | |--IPv4: ID = m_ip
| | `--ARP: ID = m_arp
| |--IPv6: ID = m_ipv6_m
| | |--IPv6: ID = m_ipv6
| | `--ND: ID = m_nd
| |--Static Routing: ID = m_staticrouting_m
| | |--IPv4: ID = m_ipv4staticrouting
| | `--IPv6: ID = m_ipv6staticrouting
| |--Port Management: ID = m_interface
| | `--Wan: ID = m_wan
| |--Ping: ID = m_ping_m
| | `--m_ping: ID = m_ping
| `--Tracert: ID = m_tracert_m
| `--m_tracert: ID = m_tracert
`--System Tool: ID = m_system
|--Admin: ID = m_admin_m
| `--m_admin: ID = m_admin
|--File Management: ID = m_filesystem_m
| `--m_filesystem: ID = m_filesystem
|--System Log: ID = m_log
| `--m_syslog: ID = m_syslog
|--Settings: ID = m_devicesettings
| |--Device information: ID = m_devinfo
| `--Date/Time: ID = m_datetime
|--Config Manegement: ID = m_config
| |--Restore Config: ID = m_setting
| `--Save Config: ID = m_save
|--Reboot: ID = m_reboot
| `--m_rebootsys: ID = m_rebootsys
`--Download FTP Tool: ID = m_ftptool_m
`--m_ftptool: ID = m_ftptool
display web users命令用来显示Web用户的相关信息。
【命令】
display web users
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示当前Web用户的相关信息。
<Sysname> display web users
UserID Name Type Language JobCount LoginTime LastOperation
AB2039483271293 Administrator HTTP Chinese 3 12:00:23 14:10:05
F09382BA2014AC8 user HTTPS English 1 13:05:00 14:11:00
表4-9 display web users命令显示信息描述表
字段 |
描述 |
UserID |
Web用户的ID号,用来唯一标识一个登录用户 |
Name |
Web用户的登录用户名 |
Type |
Web用户登录使用的协议类型: · HTTP表示Hypertext Transfer Protocol · HTTPS表示基于安全套接字的Hypertext Transfer Protocol |
Language |
Web用户登录时使用的语言: · Chinese表示中文 · English表示英文 |
JobCount |
Web用户建立的连接数量 |
LoginTime |
Web用户的登录时间 |
LastOperation |
Web用户的最后操作时间 |
escape-key命令用来配置终止运行任务(比如ping命令等)的快捷键。
undo escape-key命令用来取消快捷键的配置,包括缺省快捷键。
【命令】
escape-key { key-string | default }
undo escape-key
【缺省情况】
按<Ctrl+C>组合键终止运行的任务。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
key-string:定义终止运行任务的快捷键,可以是区分大小写的单个字符(字符“d”和“D”除外),也可以是单个字符或组合键对应的ACSII码(0~127)。比如设置escape-key 1,此时生效快捷键为Ctrl+A;如果设置escape-key a,生效的快捷键为a。配置字符“d”和“D”作为终止运行任务的快捷键时系统不会生效,此时<Ctrl+C>为实际的生效快捷键。如确实需要使用字符“d”和“D”作为终止运行任务的快捷键,可以配置key-string为字符“d”和“D”对应的ACSII码。单个字符的快捷键对应的ASCII码与标准的ASCII码表一致,组合键对应的ASCII码请参见表4-1。
default:恢复为缺省的快捷键<Ctrl+C>。
【使用指导】
用户可以按<Ctrl+C>组合键来终止ping、tracert等正在执行的任务,以便输入新的命令。如果配置了escape-key,则用户可以用新配置的快捷键来代替<Ctrl+C>。命令行是否支持<Ctrl+C>终止与功能模块的软件实现有关,请参见相关命令行的描述。
如果设置的快捷键为单个字符,且有任务可终止,则输入快捷键会终止命令的执行;如果没有任务可终止,则输入的快捷键会作为普通的编辑字符。
如果在Device A某用户线下设置了单个字符key-string为任务终止快捷键,当使用该用户线登录到Device A,又通过Device A以telnet方式到Device B,这时的key-string在Device B上将被视为编辑字符进行输入。如果telnet到Device B时所使用的用户线下配置了相同的key-string,此时key-string在有任务运行时可以中止任务。
新设置的快捷键可以使用display current-configuration | include escape-key命令来查看。
如果用户线视图下配置escape-key为缺省值,并且此时用户线类视图下配置了escape-key,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
用户线视图下使用本命令配置的快捷键立即生效;用户线类视图下配置的快捷键将在下次登录时生效。
【举例】
# 配置VTY0终止运行任务的快捷键为a。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] escape-key a
验证过程如下:
· 使用ping命令检查IP地址为192.168.1.49的设备是否可达,并用-c参数指定发送ICMP回显请求报文的数目为20。
<Sysname> ping -c 20 192.168.1.49
PING 192.168.1.49: 56 data bytes, press a to break
Reply from 192.168.1.49: bytes=56 Sequence=1 ttl=255 time=3 ms
Reply from 192.168.1.49: bytes=56 Sequence=2 ttl=255 time=3 ms
· 键入a,任务立即终止,并返回到当前视图。
--- 192.168.1.49 ping statistics ---
2 packet(s) transmitted
2 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
<Sysname>
flow-control命令用来配置流量控制方式。
undo flow-control命令用来恢复缺省情况。
【命令】
flow-control { hardware | none | software }
flow-control hardware direction1 [ software direction2 ]
flow-control software direction1 [ hardware direction2 ]
undo flow-control
【缺省情况】
没有配置流量控制方式。
【视图】
用户线视图
【缺省用户角色】
network-admin
【参数】
hardware:进行硬件方式的流量控制。
none:不进行流量控制。
software:进行软件方式的流量控制。
direction1、direction2:表示流量控制的方向,取值为in或out,in表示入方向,即本设备接受远端设备流量控制;out表示出方向,即本设备流量控制远端设备。
【使用指导】
VTY用户线视图不支持该命令。
流量控制分为in和out两个方向,in表示本设备能够接受远端设备流量控制,out表示本设备能够流量控制远端设备。流量控制方式又分为hardware、software和none三种,同一个方向,只能配置一种流量控制方式。
· 如果要给in和out方向配置相同的流量控制方式,请使用命令flow-control { hardware | software | none }。
· 如果要给in和out方向配置不同的流量控制方式,请使用命令flow-control hardware direction1 [ software direction2 ]或flow-control software direction1 [ hardware direction2 ]。当不指定可选参数时,表示另一个方向的流量控制方式为none(比如配置flow-control hardware in,则系统会自动将out方向配置为无流量控制)。
本设备上in(out)方向配置的流量控制方式和对端设备上out(in)方向配置的流量控制方式必须相同。
【举例】
# 配置Console 0用户线视图下,入方向和出方向都采用软件流量控制方式。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] flow-control software
free line命令用来释放用户线上建立的连接。
【命令】
free line { number1 | { console | vty } number2 }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
number1:用户线的编号(绝对编号方式),取值范围为0~240。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值为0,对于VTY用户线取值范围为0~63。
【使用指导】
用户不能使用该命令释放自己的连接。
【举例】
# 释放用户线上VTY 1建立的连接。
<Sysname> free line vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free user-interface命令用来释放用户线上建立的连接。
【命令】
free user-interface { number1 | { console | vty } number2 }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
number1:用户线的编号(绝对编号方式),取值范围为0~240。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值为0~9,对于VTY用户线取值范围为0~63。
【使用指导】
用户不能使用该命令释放自己的连接。
该命令实现与free line一致,仅为与旧版本兼容保留,请使用free line。
【举例】
# 释放用户线上VTY 1建立的连接。
<Sysname> free user-interface vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free web users命令用来强制在线Web用户下线。
【命令】
free web users { all | user-id user-id | user-name user-name }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:所有Web用户。
user-id user-id:Web用户的ID号,为15位十六进制数。系统会自动为每位成功登录的Web用户分配一个用户ID,用户ID用于唯一标识Web用户。
user-name user-name:Web用户的用户名,为1~255个字符的字符串,区分大小写。
【举例】
# 强制所有在线Web用户下线。
<Sysname> free web users all
【相关命令】
· display web users
history-command max-size命令用来设置可以存储的当前用户线下历史命令的条数。
undo history-command max-size命令用来恢复缺省情况。
【命令】
history-command max-size size-value
undo history-command max-size
【缺省情况】
历史命令缓冲区可存储10条历史命令。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
size-value:可存储的历史命令的条数,取值范围为0~256。
【使用指导】
每个用户线对应一个历史命令缓冲区,缓冲区里保存了当前用户最近执行成功的命令,缓冲区的容量决定了可以保存的历史命令的数目。用户使用display history-command命令、上光标键↑或下光标键↓可以随时了解近期成功执行了哪些操作。同时登录设备的不同用户拥有不同的历史命令缓冲区,互不影响。
用户退出当前会话时,系统会自动清除相应历史命令缓冲区内保存的历史命令。
如果用户线视图下配置history-command max-size为缺省值,并且此时用户线类视图下配置了history-command max-size,那么用户线视图下的生效配置值为用户线类视图下的配置;如果用户线类视图下未配置,则生效的为缺省值。
在用户线视图下使用本命令配置的当前用户线下可存储的历史命令条数立即生效;用户线类视图下配置的可存储的历史命令条数将在下次登录时生效。
【举例】
# 设置VTY0用户线下历史命令缓冲区最多可以存储20条历史命令。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] history-command max-size 20
http method命令用来配置HTTP服务在响应OPTIONS请求时返回的方法列表。
undo http method命令用来从响应OPTIONS请求的方法列表中删除指定的方法。
【命令】
http method { delete | get | head | options | post | put } *
undo http method { delete | get | head | options | post | put } *
【缺省情况】
未配置任何方法。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
delete:将DELETE方法添加到返回的方法列表中。
get:将GET方法添加到返回的方法列表中。
head:将HEAD方法添加到返回的方法列表中。
options:将OPTIONS方法添加到返回的方法列表中。
post:将POST方法添加到返回的方法列表中。
put:将PUT方法添加到返回的方法列表中。
【使用指导】
用户通过向设备发送HTTP OPTIONS请求,以探测设备支持的HTTP方法。如果用户请求的URL资源中没有任何服务注册OPTIONS方法,则设备将会根据本配置响应用户请求,否则由被请求服务来响应这个请求。若由设备响应此OPTIONS请求,则响应方式如下:
· 若未配置options参数,则返回405 Method Not Allowed。
· 若配置了options参数,则根据配置生成OPTIONS请求响应返回给用户。
本命令不影响除OPTIONS外的其他任何HTTP请求。
【举例】
# 配置HTTP服务在响应OPTIONS请求时返回的方法列表为GET、HEAD、POST、OPTIONS。
<Sysname> system-view
[Sysname] http method get head post options
idle-timeout命令用来设置用户连接的超时时间。
undo idle-timeout命令用来恢复缺省情况。
【命令】
idle-timeout minutes [ seconds ]
undo idle-timeout
【缺省情况】
超时时间为10分钟。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
minutes:指定超时时间,取值范围为0~35791,单位为分钟。
seconds:指定超时时间,取值范围为0~59,单位为秒,缺省值为0。
【使用指导】
用户登录后,如果在超时时间内设备和用户间没有消息交互,则超时时间到达时设备会自动断开用户连接。
当超时时间设置为0时,表示设备不会因为超时自动断开用户连接。
如果用户线视图下配置idle-timeout为缺省值,并且此时用户线类视图下配置了idle-timeout,那么用户线视图下的生效配置值为用户线类视图下的配置;如果用户线类视图下未配置,则生效的为缺省值。
用户线视图下使用本命令配置的连接超时时间立即生效;用户线类视图下配置的连接超时时间将在下次登录时生效。
【举例】
# 设置VTY0用户线下用户连接超时时间为1分钟30秒。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] idle-timeout 1 30
ip http enable命令用来开启HTTP服务。
undo ip http enable命令用来关闭HTTP服务。
【命令】
ip http enable
undo ip http enable
【缺省情况】
HTTP服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启HTTP服务后,用户才能通过Web使用HTTP方式登录设备。
开启HTTP服务后,为了增强设备的安全性,HTTPS服务的端口号也会被自动打开,且在HTTP服务开启的状态下无法通过undo ip https enable命令关闭。
【举例】
# 使能HTTP服务。
<Sysname> system-view
[Sysname] ip http enable
【相关命令】
· ip https enable
ip http port命令用来配置HTTP服务的端口号。
undo ip http port命令用来恢复缺省情况。
【命令】
ip http port port-number
undo ip http port
【缺省情况】
HTTP服务的端口号为80。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:HTTP服务的端口号,取值范围为1~65535。
【使用指导】
如果修改端口号前HTTP服务是开启的,则修改端口号后系统会自动重启HTTP服务,正在访问的用户将被断开,用户需要在浏览器的地址栏中重新输入新的地址后才可以继续访问。
【举例】
# 配置HTTP服务的端口号为80。
<Sysname> system-view
[Sysname] ip http port 80
ip https certificate access-control-policy命令用来配置HTTPS服务与证书属性访问控制策略关联。
undo ip https certificate access-control-policy命令用来恢复缺省情况。
【命令】
ip https certificate access-control-policy policy-name
undo ip https certificate access-control-policy
【缺省情况】
HTTPS服务未与证书属性访问控制策略关联。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:证书属性访问控制策略名,为1~31个字符的字符串,区分大小写。
【使用指导】
通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制。
【举例】
# 设置HTTPS服务使用的证书属性访问控制策略为myacl。
<Sysname> system-view
[Sysname] ip https certificate access-control-policy myacl
ip https enable命令用来开启HTTPS服务。
undo ip https enable命令用来关闭HTTPS服务。
【命令】
ip https enable
undo ip https enable
【缺省情况】
HTTPS服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
只有使能该功能后,用户才能通过Web方式使用HTTPS登录设备。
使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。
【举例】
# 使能HTTPS服务。
<Sysname> system-view
[Sysname] ip https enable
【相关命令】
· ip https ssl-server-policy
· ip https certificate access-control-policy
ip https port命令用来配置HTTPS服务的端口号。
undo ip https port命令用来恢复缺省情况。
【命令】
ip https port port-number
undo ip https port
【缺省情况】
HTTPS服务的端口号为443。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:HTTPS服务的端口号,取值范围为1~65535。
【使用指导】
如果修改端口号前HTTPS服务是开启的,则修改端口号后系统会自动重启HTTPS服务,正在访问的用户将被断开,用户需要在浏览器的地址栏中重新输入新的地址后才可以继续访问。
【举例】
# 配置HTTPS服务的端口号为8080。
<Sysname> system-view
[Sysname] ip https port 8080
ip https ssl-server-policy命令用来配置HTTPS服务与SSL服务器端策略关联。
undo ip https ssl-server-policy命令用来恢复缺省情况。
【命令】
ip https ssl-server-policy policy-name
undo ip https ssl-server-policy
【缺省情况】
HTTPS服务未与SSL服务器端策略关联,HTTPS使用自签名证书。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:SSL服务器端策略名,为1~31个字符的字符串。
【使用指导】
HTTP服务和HTTPS服务处于使能状态时,对与HTTPS服务关联的SSL服务器端策略进行的修改不会生效。如需修改HTTPS服务与SSL服务器端的关联策略,首先执行undo ip http enable和undo ip https enable两条命令,再执行ip https ssl-server-policy policy-name命令,最后重新使能HTTP服务和HTTPS服务,新的策略即可生效。
如需恢复缺省情况,必须先执行undo ip http enable和undo ip https enable两条命令,再执行undo ip https ssl-server-policy,最后重新使能HTTP服务和HTTPS服务即可。
【举例】
# 设置HTTPS服务使用的SSL服务器端策略为myssl。
<Sysname> system-view
[Sysname] ip https ssl-server-policy myssl
line命令用来进入一个或多个用户线视图。
【命令】
line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
first-number1:第一个用户线的编号(绝对编号方式),取值范围为0~240。
last-number1:最后一个用户线的编号(绝对编号方式),取值范围为1~240,取值必须大于first-number1。
console:Console用户线。
vty:VTY用户线。
first-number2:第一个用户线的编号(相对编号方式),对于Console用户线取值为0,对于VTY用户线取值范围为0~63。
last-number2:最后一个用户线的编号(相对编号方式),对于VTY用户线取值范围为1~63,取值必须大于first-number2。
【举例】
# 进入VTY 0用户线视图。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0]
# 进入VTY 0~63用户线视图。
<Sysname> system-view
[Sysname] line vty 0 63
[Sysname-line-vty0-63]
【相关命令】
· line class
line class命令用来进入用户线类视图。
【命令】
line class { console | vty }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
console:Console用户线类。
vty:VTY用户线类。
【使用指导】
用户线视图下的配置只对该用户线生效。
用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
line class命令用来进入用户线类视图,line命令用来进入一个或多个用户线视图。对于同时支持这两种视图的命令:
· 用户线视图下的配置优先于用户线类视图下的配置。
· 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值。
用户线类视图下支持的命令有:
· activation-key
· auto-execute command
· authentication-mode
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【举例】
# 在VTY用户线类视图下,将用户连接的超时时间的缺省值设置为15分钟。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] idle-timeout 15
# 在Console用户线类视图下,将终端会话的快捷键设置为<s>。
<Sysname> system-view
[Sysname] line class console
[Sysname-line-class-console] activation-key s
[Sysname-line-class-console] quit
· 在Console用户线视图下,将终端会话的快捷键设置为缺省值(可以使用undo activation-key或者直接使用activation-key 13进行配置)。
[Sysname] line console 0
[Sysname-line-console0] undo activation-key
· 此时生效的快捷键为用户线类视图下的配置,验证过程如下:
· 退出终端会话。
[Sysname-line-console0] return
<Sysname> quit
· 重新登录设备,能看到如下显示信息。
Press ENTER to get started.
· 此时,<Enter>键失效,需要按<s>键才能出现用户视图提示符,启动终端会话。
<Sysname>
【相关命令】
· line
lock命令用来锁定当前用户线并配置解锁密码,防止未授权的用户操作该用户线。
【命令】
lock
【缺省情况】
系统不会自动锁定当前用户线。
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
用户输入lock命令后,系统提示输入密码(密码最大长度为16个字符),并提示再次输入密码,只有两次输入的密码相同,Lock操作才能成功。如果用户线被锁定,用户需要输入解锁密码才能结束锁定,进入系统。
【举例】
# 锁住当前用户线然后解锁。
<Sysname> lock
Please input password<1 to 16> to lock current line:
Password:
Again:
locked !
此时,命令行用户线被锁定。键入回车,并输入正确的密码后,可以解锁。
Password:
<Sysname>
lock reauthentication命令用来锁定当前用户线并对其进行重新认证。
【命令】
lock reauthentication
【缺省情况】
系统不会对当前用户线进行重新认证。
【视图】
任意视图
【缺省用户角色】
network-admin
【使用指导】
执行该命令后,当前用户线会被锁定。用户需要输入设备登录密码对当前用户线进行重新认证才能结束锁定,进入系统。如果设备未配置登录密码,用户按回车键后将直接进入系统。
需要注意的是,如果在设备登录后修改了登录设备的认证方式或密码,那么锁定用户线后的解锁过程将使用新配置的认证方式及密码。
【举例】
# 输入命令锁定当前用户线,并使用设备登录密码重新登录设备。
<Sysname> lock reauthentication
Please press Enter to unlock the screen.
# 按回车键后,提示输入密码对当前用户线进行重新认证并登录设备。
Password:
<Sysname>
【相关命令】
· lock-key
lock-key命令用来配置对当前用户线进行锁定并重新认证的快捷键。
undo lock-key命令用来恢复缺省情况。
【命令】
lock-key key-string
undo lock-key
【缺省情况】
未设置对当前用户线进行锁定并重新认证的快捷键。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
key-string:指定对当前用户线进行重新认证的快捷键。可以是区分大小写的单个字符,也可以是单个字符或组合键对应的ACSII码(0~127)。例如设置lock-key 1,则快捷键为Ctrl+A;如设置lock-key a,生效的快捷键为a。使用ASCII码设置快捷键时,单个字符对应的ASCII码与标准ASCII码表一致,组合键对应的ASCII码请参照表4-1。
【使用指导】
通常情况下,建议用户使用组合键而不使用单个字符作为快捷键,避免用户在输入命令时输入完快捷键字符后出现锁定,影响正常命令行的输入。用户设置了快捷键之后,可以输入对应的快捷键代替lock reauthentication命令完成对当前用户线进行锁定并重新认证的操作。
在用户线/用户线类视图下,该命令的配置的快捷键将立即生效。
新设置的快捷键可以使用display current-configuration | include lock-key命令来查看。
【举例】
# 配置锁定当前用户线的快捷键为Ctrl+A。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] lock-key 1
[Sysname-line-vty] quit
验证过程如下:
· 用户键入Ctrl+A组合键后,系统锁定当前用户线并切换到重新认证界面:
[Sysname]
Please press Enter to unlock the screen.
· 按回车键后,系统提示输入密码对当前用户线进行重新认证并登录设备。
Password:
[Sysname]
【相关命令】
· lock reauthentication
parity命令用来设置校验位的解析和生成方式。
undo parity命令用来恢复缺省情况。
【命令】
parity { even | mark | none | odd | space }
undo parity
【缺省情况】
设备校验位的校验方式为none,即不进行校验。
【视图】
用户线视图
【缺省用户角色】
network-admin
【参数】
even:进行偶校验。
mark:进行标记校验。
none:无校验。
odd:进行奇校验。
space:进行空格校验。
【使用指导】
VTY用户线视图不支持该命令。
访问终端和设备相应用户线下校验位的设置必须一致,双方才能正常通信。
【举例】
# 将Console用户线传输校验位设为奇校验。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] parity odd
protocol inbound命令用来指定所在用户线支持的协议。
undo protocol inbound命令用来恢复缺省情况。
【命令】
protocol inbound { all | pad | ssh | telnet }
undo protocol inbound
【缺省情况】
系统支持所有协议。
【视图】
VTY用户线视图
VTY用户线类视图
【缺省用户角色】
network-admin
【参数】
all:支持所有的协议,包括Telnet、SSH和PAD。
pad:支持PAD协议。
ssh:支持SSH协议。
telnet:支持Telnet协议。
【使用指导】
用户线视图下,该命令的配置结果将在下次登录时生效。
如果要配置用户线支持SSH协议,必须先将该用户的认证方式配置为scheme,否则protocol inbound ssh命令会执行失败。
用户线视图下,对authentication-mode和protocol inbound进行关联绑定。
· 当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则均取缺省值。
· 当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值。当两条命令都配置成非缺省值,则均取用户线下的配置值。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
【举例】
# 设置用户线VTY 0到VTY 4只支持SSH协议。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] authentication-mode scheme
[Sysname-line-vty0-4] protocol inbound ssh
# 设置VTY用户线类支持SSH协议,认证方式为scheme。同时设置用户线VTY 0到VTY 4不进行登录认证,支持所有的协议。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] authentication-mode scheme
[Sysname-line-class-vty] protocol inbound ssh
[Sysname-line-class-vty] line vty 0 4
[Sysname-line-vty0-4] authentication-mode none
验证过程如下:
· 使用Telnet方式登录,无需认证即可成功登录。
<Client> telnet 192.168.1.241
Trying 192.168.1.241 ...
Press CTRL+K to abort
Connected to 192.168.1.241 ...
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Server>
· 查看当前正在使用的用户线以及用户的相关信息,用户线为line 0,则证明该配置下用户线下配置生效。
<Server> display users
Idx Line Idle Time Pid Type
+ 50 VTY 0 00:00:00 Jan 17 15:29:27 189 TEL
Following are more details.
VTY 0 :
Location: 192.168.1.186
+ : Current operation user.
F : Current operation user works in async mode.
· authentication-mode
screen-length命令用来设置分屏显示时,每屏所显示的行数。
undo screen-length命令用来恢复缺省情况。
【命令】
screen-length screen-length
undo screen-length
【缺省情况】
每屏显示24行数据。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
screen-length:指定每屏所显示的行数,取值范围为0~512。0表示一次性显示全部信息,即不进行分屏显示,此时与执行screen-length disable命令效果相同。
【使用指导】
该命令设置的是每一屏所显示的行数,但显示终端实际显示的行数由终端的规格决定。比如,设置screen-length的值为40,但显示终端的规格为24行,当暂停显示按空格键时,设备发送给显示终端的信息为40行,但当前屏幕显示的是第18~第40行的信息,前面的17行信息,需要通过<Page Up>/<Page Down>键来翻看。
设备支持分屏显示信息,在暂停显示时按空格键,能继续显示下一屏信息。
缺省情况下,分屏显示功能处于开启状态。
如果用户线视图下配置screen-length为缺省值,并且此时用户线类视图下配置了screen-length,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
用户线视图下使用本命令配置的分屏显示信息行数立即生效;在用户线类视图下配置的分屏显示信息行数将在下次登录时生效。
【举例】
# 设置VTY用户线分屏显示时,每屏显示30行数据。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] screen-length 30
send命令用来向用户线发送消息。
【命令】
send { all | number1 | { console | vty } number2 }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:所有的用户线。
number1:用户线的编号(绝对编号方式),取值范围为0~240。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值为0,对于VTY用户线取值范围为0~63。
【使用指导】
输入本命令后回车,系统会提示您可以输入消息内容。在输入消息内容时,按<Enter>键结束输入,按<Ctrl+C>组合键取消此次操作。
【举例】
# 使用VTY 0用户线上线的用户想重启设备,于是发信息“Note please, I will reboot the system in 3 minutes.”来提醒VTY 1。
<Sysname> send vty 1
Input message, end with Enter; abort with CTRL+C:
Your attention, please. I will reboot the system in 3 minutes.
Send message? [Y/N]:y
使用VTY 1用户线登录的用户将收到如下消息:
[Sysname]
***
***
***Message from vty0 to vty1
***
Your attention, please. I will reboot the system in 3 minutes.
set authentication password命令用来设置认证密码。
undo set authentication password命令用来恢复缺省情况。
【命令】
set authentication password { hash | simple } string
undo set authentication password
【缺省情况】
未配置认证密码。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
hash:以哈希方式设置密码。
simple:以明文方式设置密码,该密码将以密文方式存储。
string:密码字符串,区分大小写。明文密码为1~16个字符的字符串,哈希密码为1~110个字符的字符串。
【使用指导】
以明文或哈希方式设置的密码,均以哈希计算后的密文形式保存在配置文件中。
如果用户线视图下配置set authentication password为缺省值,并且此时用户线类视图下配置了set authentication password,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
在用户线视图/用户线类视图下,使用该命令设置的认证密码将在下次登录设备时生效。
【举例】
# 设置用户线VTY 0的认证密码为hello。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple hello
设置完后如果退出系统,则只有在密码提示信息后输入hello字符串才能再进入系统。
【相关配置】
· authentication-mode
shell命令用来在当前用户线上开启终端服务。
undo shell命令用来在当前用户线上关闭终端服务。
【命令】
shell
undo shell
【缺省情况】
所有用户线的终端服务功能处于开启状态。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【使用指导】
Console用户线视图/Console用户线类视图不支持undo shell命令。
用户不能在自己登录的用户线上使用undo shell命令。
当设备作为Telnet/SSH服务器的时候,不能配置undo shell命令。
如果在用户线类视图下使用undo shell命令关闭了终端服务,那么用户线视图下无法使用shell启动终端服务。
【举例】
# 在VTY0到VTY4上终止终端服务(用户将不能通过VTY0~4登录设备)。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] undo shell
Disable line-vty0-4 , are you sure? [Y/N]:y
[Sysname-line-vty0-4]
speed命令用来设置用户线的传输速率。
undo speed命令用来恢复缺省情况。
【命令】
speed speed-value
undo speed
【缺省情况】
用户线的传输速率为9600bps。
【视图】
用户线视图
【缺省用户角色】
network-admin
【参数】
speed-value:传输速率,单位为bps。异步串口的传输速率有:300bps、600bps、1200bps、2400bps、4800bps、9600bps、19200bps、38400bps、57600bps和115200bps。异步串口的传输速率和配置时的网络环境相关,请根据网络环境配置异步串口的传输速率。
【使用指导】
VTY用户线视图不支持该命令。
访问终端和设备相应用户线下传输速率的设置必须一致,双方才能正常通信。
【举例】
# 将用户线Console 0的传输速率设置为19200bps。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] speed 19200
telnet命令用于Telnet登录到远端设备,以便进行远程管理。
【命令】
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
remote-host:远端设备的IPv4地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
service-port:远端设备提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
vpn-instance vpn-instance-name:指定远端设备所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示远端设备位于公网中。
source:指定Telnet报文的源接口或源IPv4地址。如果未指定本参数,则使用路由出接口的主IP地址作为设备发送的Telnet报文的源IPv4地址。
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。
ip ip-address:指定Telnet报文的源IPv4地址。
dscp-value:Telnet客户端向服务器端发送Telnet报文的DSCP优先级,取值范围为0~63,缺省值为48。
escape character:指定退出字符,该退出字符需要与字符“.”配合使用来断开当前Telnet连接,并返回到上一级连接。character为一个字符,区分大小写。退出字符不能与登录用户名相同,建议使用~,即输入~.来中断当前连接。
【使用指导】
用户可以使用<Ctrl+K>组合键、quit命令或指定退出字符来中断当前Telnet连接。这三种方式的使用如下:
· <Ctrl+K>组合键:断开所有的连接。可在任意情况下使用。
· quit:断开当前连接,并返回到上一级连接。在服务器端重启或发生异常时该命令无法使用。
· 退出字符:断开当前连接,并返回到上一级连接。可在任意情况下使用。
如果指定了退出字符,<Ctrl+K>组合键将失效。
使用退出字符时,必须在一行中首先输入退出字符和.,该操作才能生效。若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。
本命令指定的源IPv4地址或源接口只对当前Telnet连接有效。
【举例】
# Telnet登录到远程主机(IP地址为1.1.1.2),并指定发送Telnet报文的源IP地址为1.1.1.1。
<Sysname> telnet 1.1.1.2 source ip 1.1.1.1
【相关命令】
· telnet client source
telnet client source命令用来指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口。
undo telnet client source命令用来恢复缺省情况。
【命令】
telnet client source { interface interface-type interface-number | ip ip-address }
undo telnet client source
【缺省情况】
未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。
ip ip-address:指定发送Telnet报文的源IPv4地址。
【使用指导】
本命令指定的源IPv4地址或源接口对所有Telnet连接有效。
若同时使用本命令和telnet命令指定源IPv4地址或源接口,则以telnet命令指定的源IP地址或源接口为准。
【举例】
# 设备作为Telnet客户端时,指定发送的Telnet报文的源IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] telnet client source ip 1.1.1.1
【相关命令】
· display telnet client
telnet ipv6命令用于IPv6组网环境下,Telnet登录到远程主机,以便进行远程管理。
【命令】
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
remote-host:远端设备的IPv6地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
-i interface-type interface-number:指定Telnet报文的出接口。interface-type interface-number为接口类型和接口编号。当Telnet指定的服务端IPv6地址是全球单播地址时,则不能指定该参数;当指定的服务端IPv6地址为链路本地地址时,必须指定该参数。
port-number:远端设备提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
vpn-instance vpn-instance-name:指定远端设备所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示远端设备位于公网中。
source:指定Telnet报文的源接口或源IPv6地址。如果未指定本参数,则使用路由出接口的主IPv6地址作为Telnet报文的源IPv6地址。
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv6地址为该接口的主地址。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定Telnet报文的源IPv6地址。
dscp-value:IPv6 Telnet客户端向服务器端发送Telnet报文的DSCP优先级,取值范围为0~63,缺省值为48。
escape character:指定退出字符,该退出字符需要与字符“.”配合使用来断开当前Telnet连接,并返回到上一级连接。character为一个字符,区分大小写。退出字符不能与登录用户名相同,建议使用~,即输入~.来中断当前连接。
【使用指导】
用户可以使用<Ctrl+K>组合键、quit命令或指定退出字符来中断当前Telnet连接。这三种方式的使用如下:
· <Ctrl+K>组合键:断开所有的连接。可在任意情况下使用。
· quit:断开当前连接,并返回到上一级连接。在服务器端重启或发生异常时该命令无法使用。
· 退出字符:断开当前连接,并返回到上一级连接。可在任意情况下使用。
如果指定了退出字符,<Ctrl+K>组合键将失效。
使用退出字符时,必须在一行中首先输入退出字符和.,该操作才能生效。若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。
【举例】
# Telnet登录到远程主机,IPv6地址为5000::1。
<Sysname> telnet ipv6 5000::1
# Telnet登录到远程主机,IPv6地址为2000::1,并指定Telnet报文的源IPv6地址为1000::1。
<Sysname> telnet ipv6 2000::1 source ipv6 1000::1
telnet server dscp命令用来配置Telnet服务器发送Telnet报文的DSCP优先级。
undo telnet server dscp命令用来恢复缺省情况。
【命令】
telnet server dscp dscp-value
undo telnet server dscp
【缺省情况】
Telnet服务器发送Telnet报文的DSCP优先级为48。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dscp-value:Telnet报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
【举例】
# 配置Telnet服务器发送报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] telnet server dscp 30
telnet server enable命令用来开启Telnet服务。
undo telnet server enable命令用来关闭Telnet服务。
【命令】
telnet server enable
undo telnet server enable
【缺省情况】
Telnet服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
只有使能Telnet服务后,才允许网络管理员通过Telnet协议登录设备。
【举例】
# 使能Telnet服务。
<Sysname> system-view
[Sysname] telnet server enable
telnet server ipv6 dscp命令用来配置IPv6 Telnet服务器发送报文的DSCP优先级。
undo telnet server ipv6 dscp命令用来恢复缺省情况。
【命令】
telnet server ipv6 dscp dscp-value
undo telnet server ipv6 dscp
【缺省情况】
IPv6 Telnet服务器发送IPv6 Telnet报文的DSCP优先级为48。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dscp-value:IPv6 Telnet报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
【举例】
# 配置IPv6 Telnet服务器发送的报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] telnet server ipv6 dscp 30
telnet server ipv6 port命令用来配置IPv6网络Telnet协议的端口号。
undo telnet server ipv6 port命令用来恢复缺省情况。
【命令】
telnet server ipv6 port port-number
undo telnet server ipv6 port
【缺省情况】
IPv6网络Telnet协议的端口号为23。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:IPv6网络Telnet协议端口号,取值范围为23或1025~65535。
【使用指导】
配置IPv6网络Telnet协议的端口号后,当前所有与Telnet服务器的IPv6网络Telnet连接将被断开,此时需要重新建立Telnet连接。
【举例】
# 配置IPv6网络Telnet协议的端口号为1026。
<Sysname> system-view
[Sysname] telnet server ipv6 port 1026
telnet server port命令用来配置IPv4网络Telnet协议的端口号。
undo telnet server port命令用来恢复缺省情况。
【命令】
telnet server port port-number
undo telnet server port
【缺省情况】
IPv4网络Telnet协议的端口号为23。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:IPv4网络Telnet协议的端口号,取值范围为23或1025~65535。
【使用指导】
配置IPv4网络Telnet协议的端口号后,当前所有与Telnet服务器的IPv4网络Telnet连接将被断开,此时需要重新建立Telnet连接。
【举例】
# 配置IPv4网络Telnet协议的端口号为1025。
<Sysname> system-view
[Sysname] telnet server port 1025
terminal type命令用来设置当前用户线下的终端显示类型。
undo terminal type命令用来恢复缺省情况。
【命令】
terminal type { ansi | vt100 }
undo terminal type
【缺省情况】
终端显示类型为ANSI。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
ansi:终端显示类型为ANSI类型。
vt100:终端显示类型为VT100类型。
【使用指导】
设备支持ANSI和VT100两种终端显示类型。当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI时,并且当前编辑行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型。
当用户线视图下的配置为缺省值时,将采用用户线类视图下配置的值;如果用户线类视图下的属性配置也为缺省值时,则采用该用户线下配置的缺省值。
用户线视图/用户线类视图下配置的终端显示类型都在下次登录时生效。
【举例】
# 设置终端显示类型为VT100类型。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] terminal type vt100
user-interface命令用来进入一个或多个用户线视图。
【命令】
user-interface { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
first-number1:第一个用户线的编号(绝对编号方式),取值范围为0~240。
last-number1:最后一个用户线的编号(绝对编号方式),取值范围为1~240,该参数取值必须大于first-number1。
console:Console用户线。
vty:VTY用户线。
first-number2:第一个用户线的编号(相对编号方式),对于Console用户线取值为0,对于VTY用户线取值范围为0~63。
last-number2:最后一个用户线的编号(相对编号方式),对于VTY用户线取值范围为1~63,该参数取值必须大于first-number2。
【使用指导】
该命令实现与line一致,仅为与旧版本兼容保留,请使用line。
进入一个用户线视图进行配置后,该配置只对该用户视图有效。
进入多个用户线视图进行配置后,该配置对这些用户视图均有效。
【举例】
# 进入Console 0用户线视图。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-line-console0]
# 进入VTY 0~4用户线视图。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-line-vty0-4]
【相关命令】
· user-interface class
user-interface class命令用来进入用户线类视图。
【命令】
user-interface class { console | vty }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
console:Console用户线类。
vty:VTY用户线类。
【使用指导】
该命令实现与line class一致,仅为与旧版本兼容保留,请使用line class。
用户线视图下的配置只对该用户线生效。
用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
user-interface class命令用来进入用户线类视图,user-interface命令用来进入一个或多个用户线视图。对于同时支持这两种视图的命令:
· 用户线视图下的配置优先于用户线类视图下的配置。
· 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值。
用户线类视图下支持的命令有:
· activation-key
· auto-execute command
· authentication-mode
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【举例】
# 在VTY用户线类视图下,将用户连接的超时时间的缺省值设置为15分钟。
<Sysname> system-view
[Sysname] user-interface class vty
[Sysname-line-class-vty] idle-timeout 15
# 在Console用户线类视图下,将终端会话的快捷键设置为<s>。
<Sysname> system-view
[Sysname] user-interface class console
[Sysname-line-class-console] activation-key s
[Sysname-line-class-console] quit
· 在Console用户线视图下,将终端会话的快捷键设置为缺省值(可以使用undo activation-key或者直接使用activation-key 13进行配置)。
[Sysname] user-interface console 0
[Sysname-line-console0] undo activation-key
· 此时生效的快捷键为用户线类视图下的配置,验证过程如下:
· 退出终端会话。
[Sysname-line-console0] return
<Sysname> quit
· 重新登录设备,能看到如下显示信息。
Press ENTER to get started.
· 此时,<Enter>键失效,需要按<s>键才能出现用户视图提示符,启动终端会话。
<Sysname>
【相关命令】
· user-interface
user-role命令用来配置从当前用户线登录系统的用户角色。
undo user-role命令用来删除用户角色或恢复缺省情况。
【命令】
user-role role-name
undo user-role [ role-name ]
【缺省情况】
通过Console口登录系统的缺省用户角色为network-admin,通过其他接口登录系统的缺省用户角色为network-operator。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
【参数】
role-name:用户角色名称,为1~63个字符的字符串,区分大小写。可以是系统预定义的角色名称,包括network-admin、network-operator、level-0~level-15,也可以是自定义的用户角色名称。不指定该参数时,表示恢复到缺省情况。系统预定义角色security-audit和guest-manager不支持在用户线/用户线类视图下进行配置。
【使用指导】
在用户线视图/用户线类视图下使用该命令设置的用户角色将在下次登录设备时生效。
当用户线视图下的属性配置为缺省值时,将采用该用户线类视图下配置的用户角色。如果用户线类视图下配置的用户角色也为缺省值时,则直接采用该用户线下的缺省值。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
可通过多次执行本命令,配置多个用户角色,最多可配置64个。用户登录后具有的权限是这些角色权限的集合。
【举例】
# 设置从VTY用户线登录系统的用户角色为network-admin。
<Sysname> system-view
[Sysname] line vty 0 63
[Sysname-line-vty0-63] user-role network-admin
web captcha命令用来配置用户访问Web的固定校验码。
undo web captcha命令用来恢复缺省情况。
【命令】
web captcha verification-code
undo web captcha
【缺省情况】
用户只能使用Web页面显示的校验码访问Web。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
verification-code:访问Web的固定校验码,为4个字符的字符串,区分大小写。
【使用指导】
配置该命令后,不管Web登录页面显示的校验码是什么,用户只要输入该固定的校验码,即可访问设备。本命令主要用于测试环境,当需要对设备的Web功能进行测试时,可以配置一个固定的校验码,使用脚本即可登录设备,以免每次测试都要手工输入变化的校验码,影响测试效率。
设备在网络中正常使用的时候,建议不要配置该命令,以免降低Web访问的安全性。
多次配置该命令,最新配置生效。
该命令不能保存到配置文件,设备重启后失效。
【举例】
# 设置访问Web的固定校验码为test。
<Sysname> web captcha test
web https-authorization mode命令用来设置使用HTTPS登录设备时的方式。
undo web https-authorization mode命令用来恢复缺省情况。
【命令】
web https-authorization mode { auto | certificate | certificate-manual | manual }
undo web https-authorization mode
【缺省情况】
使用HTTPS登录设备时的方式为manual。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
auto:表示用户可以使用用户名和密码登录方式,也可以使用数字证书登录方式。
certificate:表示用户只能使用数字证书登录方式。
certificate-manual:表示用户必须使用用户名和密码登录方式,但是登录时会使用数字证书重新建立HTTPS连接。
manual:表示用户只能使用用户名和密码登录方式。
【使用指导】
使用数字证书登录前,需要:
· 为HTTPS服务绑定SSL服务器端策略,并在策略中开启基于数字证书的身份验证功能。
· 配置web https-authorization username命令,并在本地创建同名的本地用户。
· 在建立HTTPS连接时,选择正确的数字证书。
【举例】
# 设置使用HTTPS登录设备时的方式为certificate。
<Sysname> system-view
[Sysname] web https-authorization mode certificate
【相关命令】
web https-authorization username
web https-authorization username命令用来配置通过数字证书登录设备时使用的用户名。
undo web https-authorization username命令用来恢复缺省情况。
【命令】
web https-authorization username { cn | email-prefix | oid oid-value }
undo web https-authorization username
【缺省情况】
使用数字证书中的CN(Common Name,公用名称)字段,作为通过数字证书登录设备时使用的用户名。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
cn:指定数字证书中的CN字段,作为通过数字证书登录设备时使用的用户名。
email-prefix:指定数字证书中emailAddress字段“@”字符前的字符串,作为通过数字证书登录设备时使用的用户名。
oid oid-value:指定数字证书中对象标识符oid-value对应的字段,作为通过数字证书登录设备时使用的用户名。对象标示符是以点分十进制形式表示的字符串,长度范围为1~255。
【使用指导】
以下两种情况下,需要使用本命令指定的用户名进行登录:
· 设置通过HTTPS登录设备的方式为certificate。
· 设置通过HTTPS登录设备的方式为auto,且是使用数字证书登录方式。
【举例】
# 指定数字证书中对象标识符1.2.840.113549.1.9.1对应的字段,作为通过数字证书登录设备时使用的用户名。
<Sysname> system-view
[Sysname] web https-authorization username oid 1.2.840.113549.1.9.1
【相关命令】
· web https-authorization mode
web idle-timeout命令用来设置Web闲置超时时间。
undo web idle-timeout命令用来恢复缺省情况。
【命令】
web idle-timeout idle-time
undo web idle-timeout
【缺省情况】
Web闲置超时时间为10分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
idle-time:Web闲置超时时间,取值范围为1~999,单位为分钟。
【使用指导】
当某Web用户在idle-time内一直没有操作Web页面,包括点击鼠标或键盘操作(只是移动鼠标,不会延长用户的下线时间),则系统会强制断开该用户的Web链接,使该用户下线。从而尽量避免在用户离开登录终端期间,非法用户对设备进行配置。
需要注意的是,修改Web线的闲置超时时间,会影响正在访问的用户。
【举例】
# 设置Web闲置超时时间为100分钟。
<Sysname> system-view
[Sysname] web idle-timeout 100
webui log enable命令用来开启Web操作日志功能。
undo webui log enable命令用来关闭Web操作日志功能。
【命令】
webui log enable
undo webui log enable
【缺省情况】
Web操作日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启Web操作日志功能,比较关键的Web操作(比如修改系统时间)会产生对应的Web操作日志,输出到信息中心。通过设置信息中心的参数,最终决定Web操作日志的输出规则(即是否允许输出以及输出方向)
Web操作日志,采用固定的模块名”WEB”;日志助记符有统一的前缀”WEBOPT_”;同时Web操作日志还包含Web用户信息:Web客户端IP地址和Web用户名。
【举例】
# 开启Web操作日志功能,Web用户执行修改系统时间的操作。
<Sysname> system-view
[Sysname] webui log enable
当Web用户执行修改系统时间的操作时,设备上将输出如下日志:
%Mar 25 14:32:38:802 2013 H3C WEB/6/WEBOPT_SET_TIME: -HostIP=192.168.100.235-User=Admin; Set the system date and time to 2013-05-27T10:00:00.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!