- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-登錄設備命令
本章節下載: 02-登錄設備命令 (409.88 KB)
1.1.1 acl (User interface view)
1.1.10 display telnet client configuration
1.1.18 history-command max-size
1.1.24 ip http log-file frequency
1.1.26 ip https certificate access-control-policy
1.1.29 ip https ssl-server-policy
1.1.36 redirect refuse-negotiation
1.1.37 redirect refuse-teltransfer
1.1.38 redirect return-deal from-telnet
1.1.39 redirect return-deal from-terminal
1.1.43 set authentication password
1.1.45 speed (User interface view)
1.1.46 stopbit-error intolerance
1.1.56 web https-authorization mode
【命令】
基本/高級ACL支持:
acl [ ipv6 ] acl-number { inbound | outbound }
undo acl [ ipv6 ] acl-number { inbound | outbound }
WLAN/二層ACL支持:
acl acl-number inbound
undo acl acl-number inbound
【視圖】
VTY用戶界麵視圖
【缺省級別】
2:係統級
【參數】
ipv6:支持IPv6協議,不帶該參數表示支持IPv4協議。
acl-number:訪問控製列表號,取值範圍如下:
· 100~199:WLAN ACL編號;
· 2000~2999:基本ACL編號;
· 3000~3999:高級ACL編號;
· 4000~4999:二層ACL編號。
· 5000~5999:用戶自定義ACL編號。
inbound:表示對使用該用戶界麵建立的Telnet或者SSH連接進行限製,當設備收到的Telnet或者SSH連接報文符合ACL規則時,才允許建立連接。當設備作為Telnet server或SSH server時,通常使用該參數對Telnet client或SSH client進行限製。
outbound:表示對使用該用戶界麵建立的Telnet連接進行限製,當設備發送的Telnet連接報文符合ACL規則時,才允許建立連接。當設備作為Telnet client時,通常使用該參數對可以訪問的Telnet server進行限製。
【描述】
acl命令用來引用訪問控製列表(ACL),對當前用戶界麵的使用權限進行限製。undo acl命令用來取消指定ACL對用戶界麵的使用權限的限製。(ACL的相關內容可參考“ACL和QoS配置指導”中的“ACL”。)
缺省情況下,係統不對用戶界麵的使用權限進行限製。
· 如果VTY用戶界麵下沒有配置ACL,則使用該用戶界麵建立Telnet或者SSH連接時不進行限製;
· 如果VTY用戶界麵下配置了ACL,則隻有匹配上permit規則的允許建立連接。
需要注意的是,係統將帶outbound參數的基本/高級ACL、帶inbound參數的基本/高級ACL、WLAN ACL、二層ACL看成是四種不同類型的ACL,在同一個VTY用戶界麵下,不同類型的ACL可以共存,如果同時配置了不同類型的ACL,則匹配的順序由先到後為WLAN ACL、基本/高級ACL、二層ACL;相同類型的ACL隻能配置一條,以最新的配置為準。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
acl |
acl-number |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
|
MSR 900 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR900-E |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 930 |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20-1X |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20 |
|||
|
MSR 30 |
|||
|
MSR 50 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL MPU-G2不支持WLAN ACL |
||
|
MSR 2600 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR3600-51F |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
【舉例】
# 當使用Telnet或者SSH方式訪問設備時,隻允許IP地址為192.168.1.26的用戶訪問,不允許其它IP地址的用戶使用該界麵進行訪問。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 192.168.1.26 0
[Sysname-acl-basic-2001] quit
[Sysname] user-interface vty 0
[Sysname-ui-vty0] acl 2001 inbound
當UserA(IP地址為192.168.1.26)Telnet到設備時,可以連接成功;當UserB(IP地址為192.168.1.60)Telnet到設備時,連接建立失敗,係統提示“%connection closed by remote host!”。
# 僅允許設備使用Telnet方式訪問IP地址為192.168.1.41的Telnet server,不允許訪問其它Telnet server。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit tcp destination 192.168.1.41 0
[Sysname-acl-adv-3001] quit
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 3001 outbound
[Sysname-ui-vty0-4] return
<Sysname>
此時執行telnet 192.168.1.46,連接建立失敗:
<Sysname> telnet 192.168.1.46
%Can't access the host from this terminal!
如果執行telnet 192.168.1.41,連接建立成功:
<Sysname> telnet 192.168.1.41
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
# 僅允許SSID為Admin的無線用戶使用用戶界麵VTY 0訪問設備。
<Sysname> system-view
[Sysname] acl number 100
[Sysname-acl-wlan-100] rule permit ssid Admin
[Sysname-acl-wlan-100] quit
[Sysname] user-interface vty 0
[Sysname-ui-vty0] acl 100 inbound
【命令】
activation-key character
undo activation-key
【視圖】
用戶界麵視圖
【缺省級別】
3:管理級
【參數】
character:定義啟動終端會話的快捷鍵,可以是字符或者字符對應的ASCII碼值(0~127)。如果輸入1~3個字符的字符串,則隻有第一個字符生效。比如,設置時使用的參數是ASCII碼值97,係統會將快捷鍵設置成<a>;如果設置時使用的參數是字符串b@c,係統會將快捷鍵設置成<b>。
【描述】
activation-key命令用來配置啟動終端會話的快捷鍵。undo activation-key命令用來恢複缺省情況。
缺省情況下,按<Enter>鍵啟動終端會話。
如果使用activation-key命令設置了別的快捷鍵,則新的快捷鍵將代替<Enter>鍵來啟動終端會話,新設置的快捷鍵可以使用display current-configuration | include activation-key命令查看。
VTY用戶界麵不支持該命令。
【舉例】
# 指定啟動Console口終端會話的快捷鍵為<s>。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] activation-key s
驗證過程如下:
· 退出console口終端會話。
[Sysname-ui-console0] return
<Sysname> quit
· 重新使用Console口登錄設備,能看到如下顯示信息。
******************************************************************************
* Copyright (c) 2004-2009 New H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
User interface con0 is available.
Please press ENTER.
· 此時,<ENTER>鍵失效,需要按<s>鍵才能出現用戶視圖提示符,啟動Console口終端會話。
<Sysname>
%Mar 2 18:40:27:981 2005 Sysname SHELL/5/LOGIN: Console login from con0
【命令】
auto-execute command command
undo auto-execute command
【視圖】
用戶界麵視圖
【缺省級別】
3:管理級
【參數】
command:需要自動執行的某條命令。
【描述】
auto-execute command命令用來設置自動執行命令。undo auto-execute command命令用來取消自動執行命令。
缺省情況下,未設定自動執行命令。
· Console用戶界麵不支持該命令。
· 如果設備上隻有一個AUX口,沒有Console口(Console口和AUX口共用),則此AUX用戶界麵也不支持該命令。
用戶在登錄時自動執行用auto-execute command配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發起了一個任務,係統會等這個任務執行完畢後再斷開連接。
該命令通常的用法是:在設備的用戶界麵視圖下執行auto-execute command telnet,使用戶通過該用戶界麵登錄設備時能自動連接到指定的主機。用戶斷開與指定主機的連接後,用戶與該設備的連接也會自動斷開。
· 在配置auto-execute command命令之前,要確保可以通過其他方式登錄係統,以便出現問題後,能刪除該配置。
· 執行auto-execute command命令後,可能導致用戶不能通過該終端線對本係統進行配置,需謹慎使用。
【舉例】
# 配置用戶從VTY0登錄後,自動Telnet到IP地址為192.168.1.41的設備。
<Sysname> system-view
[Sysname] user-interface vty 0
[Sysname -ui-vty0] auto-execute command telnet 192.168.1.41
% This action will lead to configuration failure through ui-vty0. Are you sure?
[Y/N]:y
[Sysname-ui-vty0]
結果驗證:
重新Telnet登錄到設備(IP地址為192.168.1.40)時,設備會自動執行telnet 192.168.1.41命令,在Telnet客戶端會看到以下顯示信息。
C:\> telnet 192.168.1.40
******************************************************************************
* Copyright (c) 2004-2010 New H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
******************************************************************************
* Copyright (c) 2004-2010 New H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname.41>
此時相當於用戶直接登錄了192.168.1.41設備。如果用戶斷開與192.168.1.41的Telnet連接,用戶與192.168.1.40設備的Telnet連接也會同時自動斷開。
【命令】
authentication-mode { none | password | scheme }
undo authentication-mode
【視圖】
用戶界麵視圖
【缺省級別】
3:管理級
【參數】
none:設置不進行認證,該參數在FIPS模式下不可用。
password:指定進行本地密碼認證方式,該參數在FIPS模式下不可用。
scheme:指定進行AAA認證方式。AAA的相關內容請參見“安全配置指導”中的“AAA”。
【描述】
authentication-mode命令用來設置用戶使用當前用戶界麵登錄設備時的認證方式。undo authentication-mode命令用來恢複缺省情況。
使用VTY、AUX用戶界麵登錄的用戶的認證方式為password,使用Console、TTY用戶界麵登錄的用戶不需要認證。
需要注意的是,在FIPS模式下必須指定用戶的認證方式為scheme。
相關配置可參考命令set authentication password。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 設置用戶使用VTY 0用戶界麵登錄設備時,不需要認證。(注意:該方式存在安全隱患。)
<Sysname> system-view
[Sysname] user-interface vty 0
[Sysname-ui-vty0] authentication-mode none
# 設置用戶使用VTY 0用戶界麵登錄設備時,需要密碼認證,認證密碼為321。
<Sysname> system-view
[Sysname] user-interface vty 0
[Sysname-ui-vty0] authentication-mode password
[Sysname-ui-vty0] set authentication password simple 321
# 設置用戶使用VTY 0用戶界麵登錄設備時,需要用戶名和密碼認證,用戶名為123,認證密碼為321。
<Sysname> system-view
[Sysname] user-interface vty 0
[Sysname-ui-vty0] authentication-mode scheme
[Sysname-ui-vty0] quit
[Sysname] local-user 123
[Sysname-luser-123] password simple 321
[Sysname-luser-123] service-type telnet
[Sysname-luser-123] authorization-attribute level 3
【命令】
command accounting
undo command accounting
【視圖】
用戶界麵視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
command accounting命令用來使能命令行計費功能。undo command accounting命令用來恢複缺省情況。
缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行。
command accounting命令執行成功後,如果沒有配置命令行授權功能,則當前用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則當前用戶執行的並且授權成功的命令都會發送到HWTACACS服務器上做記錄。
【舉例】
# 設置用戶使用VTY 0用戶界麵登錄設備時,執行的命令需要在HWTACACS服務器上做記錄。
<Sysname> system-view
[Sysname] user-interface vty 0
[Sysname-ui-vty0] command accounting
【命令】
command authorization
undo command authorization
【視圖】
用戶界麵視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
command authorization命令用來使能命令行授權功能。undo command authorization命令用來恢複缺省情況。
缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要服務器授權。
使能命令行授權功能後,使用該用戶界麵登錄的用戶隻能執行服務器授權的命令,服務器沒有授權的命令不能執行。
【舉例】
# 設置用戶使用VTY 0用戶界麵登錄設備時,需要服務器授權才能執行命令。
<Sysname> system-view
[Sysname] user-interface vty 0
[Sysname-ui-vty0] command authorization
【命令】
databits { 5 | 6 | 7 | 8 }
undo databits
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
5:數據位為5位,即使用5個比特來表示一個字符。
6:數據位為6位,即使用6個比特來表示一個字符。
7:數據位為7位,即使用7個比特來表示一個字符。
8:數據位為8位,即使用8個比特來表示一個字符。
【描述】
databits命令用來設置數據位的個數。undo databits命令用來恢複缺省的數據位。
缺省情況下,用戶界麵的數據位為8位。
· 本命令隻對異步串口(包括AUX、Console口)有效。
· 訪問終端和設備相應用戶界麵下數據位的設置必須一致,雙方才能正常通信。
【舉例】
# 設置數據位為5位。
<Sysname> system-view
[Sysname] user-interface aux 0
[Sysname-ui-aux0] databits 5
【命令】
display ip http [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ip http命令用來顯示HTTP的狀態信息。
需要注意的是,本命令在FIPS模式下不可用。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 顯示HTTP的狀態信息。
<Sysname> display ip http
HTTP port: 80
WLAN ACL: 100
Basic ACL: 2222
Current connection: 0
Operation status: Running
表1-1 display ip http命令顯示信息描述表
|
字段 |
描述 |
|
HTTP port |
HTTP服務使用的端口號 |
|
WLAN ACL |
與HTTP服務關聯的WLAN訪問控製列表號 |
|
Basic ACL |
與HTTP服務關聯的基本訪問控製列表號 |
|
Current connection |
當前連接數 |
|
Operation status |
操作狀態,取值為: · Running:表示HTTP服務處於開啟狀態 · Stopped:表示HTTP服務處於關閉狀態 |
【命令】
display ip https [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ip https命令用來顯示HTTPS的狀態信息。
【舉例】
# 顯示HTTPS的狀態信息。
<Sysname> display ip https
HTTPS port: 443
SSL server policy: test
Certificate access-control-policy:
WLAN ACL: 100
Basic ACL: 2222
Current connection: 0
Operation status: Running
表1-2 display ip https命令顯示信息描述表
|
字段 |
描述 |
|
HTTPS port |
HTTPS服務使用的端口號 |
|
SSL server policy |
與HTTPS服務關聯的SSL服務器端策略 |
|
Certificate access-control-policy |
與HTTPS服務關聯的證書屬性訪問控製策略 |
|
WLAN ACL |
與HTTPS服務關聯的WLAN訪問控製列表號 |
|
Basic ACL |
與HTTPS服務關聯的基本訪問控製列表號 |
|
Current connection |
當前連接數 |
|
Operation status |
操作狀態,取值為: · Running:表示HTTPS服務處於開啟狀態 · Stopped:表示HTTPS服務處於關閉狀態 |
【命令】
display telnet client configuration [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display telnet client configuration命令用來顯示設備作為Telnet客戶端的相關配置信息。
目前該命令顯示的是Telnet客戶端源IPv4地址或源接口的配置信息。
需要注意的是,本命令在FIPS模式下不可用。
相關配置可參考telnet client source命令。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 顯示設備作為Telnet客戶端的相關配置信息。
<Sysname> display telnet client configuration
The source IP address is 1.1.1.1.
以上顯示信息表示設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址為1.1.1.1。
【命令】
display user-interface [ num1 | { aux | console | tty | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
num1:用戶界麵的編號(絕對編號方式),一般從0開始。
aux:AUX用戶界麵。
console:Console用戶界麵。
tty:TTY用戶界麵。
vty:VTY用戶界麵。
num2:用戶界麵的編號(相對編號方式)。
summary:顯示用戶界麵的摘要信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display user-interface命令用來顯示用戶界麵的相關信息。
· 不輸入關鍵字summary,將顯示用戶界麵類型、絕對/相對編號、傳輸速率、從該用戶界麵登錄可以訪問的命令級別、認證方式及接入接口。
· 輸入關鍵字summary,將顯示正在使用和未使用的用戶界麵數目和類型。
【舉例】
# 顯示用戶界麵0的相關信息。
<Sysname> display user-interface 0
Idx Type Tx/Rx Modem Privi Auth Int
+ 0 CON 0 9600 - 3 N -
+ : Current user-interface is active.
F : Current user-interface is active and work in async mode.
Idx : Absolute index of user-interface.
Type : Type and relative index of user-interface.
Privi: The privilege of user-interface.
Auth : The authentication mode of user-interface.
Int : The physical location of UIs.
A : Authentication use AAA.
L : Authentication use local database.
N : Current UI need not authentication.
P : Authentication use current UI's password.
表1-3 display user-interface命令顯示信息描述表
|
字段 |
描述 |
|
+ |
表示當前正在使用的用戶界麵 |
|
F |
表示當前正在使用的用戶界麵,且工作在異步方式 |
|
Idx |
用戶界麵的絕對編號 |
|
Type |
用戶界麵的類型及相對編號 |
|
Tx/Rx |
用戶界麵的速率 |
|
Modem |
Modem的呼入/呼出開關,取值有in(允許呼入)、out(允許呼出)、inout(允許呼入呼出)、缺省顯示“-”(表示沒有配置) |
|
Privi |
從該用戶界麵登錄可以訪問的命令級別 |
|
Auth |
使用該用戶界麵登錄的用戶的認證方式,取值有A、L、N和P四種方式 |
|
Int |
用戶界麵的物理位置,用用戶界麵對應的物理接口的簡稱表示(隻有TTY用戶界麵會顯示具體的接口信息,Console、AUX 和VTY用戶界麵均顯示”-”) |
|
A |
表示使用AAA認證方式,對應的authentication-mode為scheme |
|
L |
表示使用本地認證方式(目前暫時不支持) |
|
N |
表示無需認證,對應的authentication-mode為none |
|
P |
表示使用當前用戶界麵的密碼進行認證,對應的authentication-mode為password |
# 顯示所有用戶界麵的摘要信息。
<Sysname> display user-interface summary
User interface type : [CON]
0:X
User interface type : [TTY]
1:XXXX XXXX XXXX XXXX
17:XXXX XXXX XXXX XXXX
33:XXXX XXXX XXXX XXXX
49:XXXX XXXX XXXX XXXX
65:XXXX XXXX XXXX XXXX
User interface type : [AUX]
81:X
User interface type : [VTY]
82:XUXU U
3 character mode users. (U)
83 UI never used. (X)
3 total UI in use
表1-4 display user-interface summary命令顯示信息描述表
|
字段 |
描述 |
|
User interface type |
用戶界麵類型(CON/TTY/AUX/VTY) |
|
0:X |
0表示用戶界麵的絕對編號,X表示當前沒有用戶使用該用戶界麵(U表示當前有用戶使用該用戶界麵)。比如“82:XUXU U”表示該行第一個用戶界麵的絕對編號是82,沒有用戶使用;第83號用戶界麵,有用戶使用;第84號用戶界麵,沒有用戶使用;第85、86號用戶界麵,有用戶使用 |
|
character mode users. (U) |
當前配置用戶的數量(即U字符的個數) |
|
UI never used. (X) |
當前沒有被使用的用戶界麵數(即X字符的個數) |
|
total UI in use. |
當前正在被使用的用戶界麵總數(即設備當前的用戶總數) |
【命令】
display users [ all ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
all:顯示設備支持的所有用戶界麵的相關信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display users命令用來顯示當前正在使用的用戶界麵的相關信息。
display users all命令用來顯示設備支持的所有用戶界麵的相關信息。
【舉例】
# 顯示當前正在使用的用戶界麵的相關信息。
<Sysname> display users
The user application information of the user interface(s):
Idx UI Delay Type Userlevel
+ 178 VTY 0 00:00:00 TEL 3
179 VTY 1 00:02:34 TEL 3
Following are more details.
VTY 0 :
Location: 192.168.1.54
VTY 1 :
Location: 192.168.1.58
+ : Current operation user.
F : Current operation user work in async mode.
以上顯示信息表明,當前有兩個用戶已經登錄設備,用戶自己使用的是VTY 0用戶界麵,用戶的IP地址為192.168.1.54;另一個用戶使用的是VTY 1用戶界麵,該用戶的IP地址為192.168.1.58。
表1-5 display users命令顯示信息描述表
|
字段 |
描述 |
|
Idx |
用戶界麵的絕對編號 |
|
UI |
用戶界麵的相對編號,第一列(比如VTY)表示用戶界麵的類型,第二列(比如0)表示用戶界麵的相對編號 |
|
Delay |
表明用戶最近一次輸入到執行display users命令時的時間間隔,格式為hh:mm:ss |
|
Type |
顯示用戶類型,如Telnet、SSH、PAD |
|
Userlevel |
顯示用戶的權限,即用戶級別(0-VISIT訪問,1-MONITOR監控,2-SYSTEM係統,3-MANAGE管理) |
|
+ |
當前操作用戶 |
|
Location |
使用該用戶界麵登錄的用戶的位置信息(即用戶的IP地址) |
|
F |
當前操作用戶工作在異步模式 |
【命令】
display web users [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display web users命令用來顯示當前Web用戶的相關信息。
【舉例】
# 顯示當前Web用戶的相關信息。
<Sysname> display web users
UserID Name Language Level State LinkCount LoginTime LastTime
ab890000 admin Chinese Management Enable 0 14:13:46 14:14:18
表1-6 display web users顯示信息描述表
|
字段 |
描述 |
|
UserID |
Web用戶的ID號 |
|
Name |
Web用戶的用戶名 |
|
Language |
Web用戶登錄時使用的語言 |
|
Level |
Web用戶的級別 |
|
State |
Web用戶的狀態 |
|
LinkCount |
Web用戶運行的任務數量 |
|
LoginTime |
Web用戶的登錄時間 |
|
LastTime |
Web用戶的最後訪問時間 |
【命令】
escape-key { default | character }
undo escape-key
【視圖】
用戶界麵視圖
【缺省級別】
3:管理級
【參數】
character:定義終止當前運行任務的快捷鍵,可以是字符對應的ASCII碼值(0~127)或者為1~3個字符的字符串,但實際生效的快捷鍵是參數所標誌的第一個字符。比如,設置時使用的參數是ASCII碼值113,係統會將快捷鍵設置成<q>;如果設置時使用的參數是字符串q@c,係統會將快捷鍵設置成<q>。
default:恢複為缺省的快捷鍵<Ctrl+C>。
【描述】
escape-key命令用來配置終止當前運行任務(比如ping命令、telnet進程等)的快捷鍵。undo escape-key命令用來禁止使用該功能,即不能通過快捷鍵終止當前運行的任務。
缺省情況下,按<Ctrl+C>組合鍵終止當前運行的任務。
如果使用escape-key命令設置了別的快捷鍵,則新的快捷鍵將代替<Ctrl+C>鍵來終止當前運行的任務,新設置的快捷鍵可以使用display current-configuration命令來查看。
需要注意的是,如果在某用戶界麵下設置了character,當使用該用戶界麵登錄到設備,又通過該設備telnet到別的設備,這時的character將被視為控製字符,隻能用來中止當前的任務,不能作為編輯字符輸入。比如,在Device A的VTY 0用戶界麵下指定character為e,此時,PC(超級終端)使用VTY 0界麵登錄設備,在PC上e可以作為編輯字符輸入,也可以用e來中止Device A上正在運行的任務。如果通過Device A再telnet到Device B,則此時,PC上隻能使用e來中止Device B上正在運行的任務,但不能作為編輯字符輸入。所以,建議用戶盡量將character指定為組合鍵。
【舉例】
# 定義終止當前運行任務的快捷鍵為<a>。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] escape-key a
驗證過程如下:
# 使用ping命令檢查IP地址為192.168.1.49的設備是否可達,並用-c參數指定發送ICMP回顯請求報文的數目為20。
<Sysname> ping -c 20 192.168.1.49
PING 192.168.1.49: 56 data bytes, press a to break
Reply from 192.168.1.49: bytes=56 Sequence=1 ttl=255 time=3 ms
Reply from 192.168.1.49: bytes=56 Sequence=2 ttl=255 time=3 ms
# 鍵入<a>,任務立即終止,並返回到當前視圖。
--- 192.168.1.49 ping statistics ---
2 packet(s) transmitted
2 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
<Sysname>
【命令】
flow-control { hardware | none | software }
flow-control hardware flow-control-type1 [ software flow-control-type2 ]
flow-control software flow-control-type1 [ hardware flow-control-type2 ]
undo flow-control
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
hardware:進行硬件方式的流量控製。
none:不進行流量控製。
software:進行軟件方式的流量控製。
flow-control-type1、flow-control-type2:表示流量控製的方向,取值為in或out,in表示入方向,即本設備接受遠端設備流控;out表示出方向,即本設備流控遠端設備。
【描述】
flow-control命令用來配置流量控製方式。undo flow-control命令用來恢複缺省情況。
缺省情況下,獨立AUX口進行硬件流控,AUX與Console合一接口或者獨立Console口不進行流量控製。
流量控製分為in和out兩個方向,in表示本設備能夠接受遠端設備流控,out表示本設備能夠流控遠端設備。流控方式又分為hardware、software和none三種,同一個方向,隻能配置一種流控方式。
· 如果要給in和out方向配置相同的流控方式,請使用命令flow-control { hardware | software | none }。
· 如果要給in和out方向配置不同的流控方式,請使用命令flow-control hardware flow-control-type1 [ software flow-control-type2 ]或flow-control software flow-control-type1 [ hardware flow-control-type2 ]。當不指定可選參數時,表示另一個方向的流量控製方式為none(比如配置flow-control hardware in,則係統會自動將out方向配置為無流控)。
要使流量控製生效,雙方才能正常通信,本設備上in(out)方向配置的流控方式和對端設備上out(in)方向配置的流控方式必須相同。
本命令隻對異步串口(包括AUX、Console口)有效。
【舉例】
# 配置Console0用戶界麵視圖下,入方向和出方向都采用軟件流量控製方式。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] flow-control software
# 配置Console0用戶界麵視圖下,入方向采用硬件流量控製方式,出方向不進行流量控製。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] flow-control hardware in
# 配置Console0用戶界麵視圖下,入方向采用硬件流量控製方式,出方向采用軟件流量控製方式。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] flow-control hardware in software out
【命令】
free user-interface { num1 | { aux | console | tty | vty } num2 }
【視圖】
用戶視圖
【缺省級別】
3:管理級
【參數】
num1:用戶界麵的編號(絕對編號方式),一般從0開始。
aux:AUX用戶界麵。
console:Console用戶界麵。
tty:TTY用戶界麵。
vty:VTY用戶界麵。
num2:用戶界麵的編號(相對編號方式)。
【描述】
free user-interface命令用來釋放指定用戶界麵上建立的連接。
需要注意的是,用戶不能使用該命令釋放自己的連接。
【舉例】
# 釋放用戶界麵上VTY 1建立的連接。
· 查看當前有哪些用戶正在操作設備。
<Sysname> display users
The user application information of the user interface(s):
Idx UI Delay Type Userlevel
+ 82 VTY 0 00:00:00 TEL 3
83 VTY 1 00:00:03 TEL 3
Following are more details.
VTY 0 :
Location: 192.168.1.26
VTY 1 :
Location: 192.168.1.20
+ : Current operation user.
F : Current operation user work in async mode.
· 如果VTY 1用戶的操作影響到網絡管理員當前的操作,將他強製下線。
<Sysname> free user-interface vty 1
Are you sure to free user-interface vty1? [Y/N]:y
【命令】
free web-users { all | user-id user-id | user-name user-name }
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
all:所有Web用戶。
user-id:Web用戶的ID號,為8位十六進製數。
user-name:Web用戶的用戶名,取值範圍為1~80個字符。
【描述】
free web-users命令用來強製在線Web用戶下線。
相關配置可參考命令display web users。
【舉例】
# 強製所有在線Web用戶下線。
<Sysname> free web-users all
【命令】
history-command max-size size-value
undo history-command max-size
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
size-value:曆史緩衝區的容量,取值範圍為0~256。
【描述】
history-command max-size命令用來設置當前用戶界麵曆史命令緩衝區的容量。undo history-command max-size命令用來恢複缺省情況。
缺省情況下,曆史命令緩衝區可存儲10條曆史命令。
每個用戶界麵對應一個曆史命令緩衝區,緩衝區裏保存了當前用戶最近執行成功的命令,緩衝區的容量決定了可以保存的曆史命令的數目。用戶使用display history-command命令、上光標鍵↑或下光標鍵↓可以隨時了解近期成功執行了哪些操作(display history-command命令的詳細介紹請參見“基礎配置命令參考”中的“CLI”)。同時登錄設備的不同用戶擁有不同的曆史命令緩衝區,互不影響。
用戶退出當前會話時,係統會自動清除相應曆史命令緩衝區內保存的曆史命令。
【舉例】
# 設置曆史命令緩衝區的容量為20。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] history-command max-size 20
【命令】
idle-timeout minutes [ seconds ]
undo idle-timeout
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
minutes:指定超時時間,取值範圍為0~35791,單位為分鍾。
seconds:指定超時時間,取值範圍為0~59,單位為秒,缺省值為0秒。
【描述】
idle-timeout命令用來設置用戶連接的超時時間。undo idle-timeout命令用來恢複超時時間的缺省值。
缺省情況下,超時時間為10分鍾。
· 如果在超時時間段內設備和用戶間沒有消息交互,設備就自動斷開用戶連接。
· 當超時時間設置為0時,表示關閉超時斷開連接的功能。
【舉例】
# 設置超時時間為1分鍾30秒。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] idle-timeout 1 30
【命令】
ip alias ip-address port-number
undo ip alias ip-address
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ip-address:與Telnet重定向監聽端口映射的IP地址。該地址不能為設備上接口的地址,但可以和接口地址同一網段。
port-number:Telnet重定向的監聽端口,取值範圍為2000~50000。
【描述】
ip alias命令用來建立Telnet重定向監聽端口與IP地址的對應關係。undo ip alias命令用來恢複缺省情況。
缺省情況下,Telnet重定向監聽端口與IP地址沒有對應關係。
用戶和設備A相連,設備A通過異步串口和設備B相連。在設備A上配置redirect enable和redirect listen-port port-number後,用戶就可以使用“telnet 設備A的IP地址 port-number”來登錄設備B,相當於用戶直接Telnet登錄設備B。如果再使用ip alias ip-address port-number建立Telnet重定向監聽端口與IP地址的對應關係後,用戶就可以直接執行“telnet ip-address”來登錄設備B。
相關配置請參考命令redirect enable和redirect listen-port。
【舉例】
# 配置Telnet重定向監聽端口2000與IP地址1.1.1.1的映射。
<Sysname> system-view
[Sysname] ip alias 1.1.1.1 2000
【命令】
同時支持WLAN ACL和基本ACL的產品:
ip http acl acl-number
undo ip http acl acl-number
隻支持基本ACL的產品:
ip http acl acl-number
undo ip http acl acl-number
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
acl-number:ACL的編號,取值範圍為:
· 100~199:WLAN ACL
· 2000~2999:基本IPv4 ACL
【描述】
ip http acl命令用來配置HTTP服務與ACL關聯。undo ip http acl命令用來取消HTTP服務與ACL的關聯。
缺省情況下,沒有ACL與HTTP服務關聯。
配置HTTP服務與ACL關聯後,將隻允許通過ACL過濾的客戶端訪問設備。
需要注意的是:
· HTTP服務可以與WLAN ACL和基本ACL關聯,且兩種類型的ACL之間不會相互覆蓋。但是,同種類型的ACL之間會相互覆蓋,即如果重複執行ip http acl命令關聯同種類型的ACL,HTTP服務將隻與最後一次配置的ACL關聯。
· HTTP服務與WLAN ACL關聯時,HTTP服務僅利用該ACL過濾無線客戶端,不會利用該ACL過濾有線方式訪問的客戶端。
· 本命令在FIPS模式下不可用。
相關配置可參考命令display ip http和“ACL和QoS命令參考/ACL”中的命令acl number。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
ip http acl |
acl-number |
2000~2999:基本IPv4 ACL |
|
MSR 900 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL |
||
|
MSR900-E |
2000~2999:基本IPv4 ACL |
||
|
MSR 930 |
2000~2999:基本IPv4 ACL |
||
|
MSR 20-1X |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL |
||
|
MSR 20 |
|||
|
MSR 30 |
|||
|
MSR 50 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL MPU-G2不支持WLAN ACL |
||
|
MSR 2600 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL |
||
|
MSR3600-51F |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL |
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置HTTP服務與ACL 100關聯,隻允許SSID為user-ssid-name的無線客戶端通過Web訪問設備。
<Sysname> system-view
[Sysname] acl number 100
[Sysname-acl-wlan-100] rule permit ssid user-ssid-name
[Sysname-acl-wlan-100] quit
[Sysname] ip http acl 100
# 配置HTTP服務與ACL 2001關聯,隻允許10.10.0.0/16網段的客戶端通過Web訪問設備。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-basic-2001] quit
[Sysname] ip http acl 2001
【命令】
ip http enable
undo ip http enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ip http enable命令用來使能HTTP服務。undo ip http enable命令用來關閉HTTP服務。
缺省情況下,設備HTTP服務狀態與設備型號有關,請參見下表。
隻有使能該功能後,設備才能作為HTTP服務器,允許用戶通過Web功能訪問和控製設備。
相關配置可參考命令display ip http。
需要注意的是,本命令在FIPS模式下不可用。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
HTTP服務缺省狀態 |
開啟 |
|
MSR 900 |
開啟 |
|
|
MSR900-E |
開啟 |
|
|
MSR 930 |
開啟 |
|
|
MSR 20-1X |
開啟 |
|
|
MSR 20 |
關閉 |
|
|
MSR 30 |
關閉 |
|
|
MSR 50 |
關閉 |
|
|
MSR 2600 |
開啟 |
|
|
MSR3600-51F |
關閉 |
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 使能HTTP服務。
<Sysname> system-view
[Sysname] ip http enable
# 關閉HTTP服務。
<Sysname> system-view
[Sysname] undo ip http enable
【命令】
ip http port port-number
undo ip http port
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
port-number:HTTP服務的端口號,取值範圍為1~65535。
【描述】
ip http port命令用來配置HTTP服務的端口號。undo ip http port命令用來恢複缺省情況。
缺省情況下,HTTP服務的端口號為80。
需要注意的是:
· 此命令不會檢查配置的端口是否與已有服務使用的端口衝突,修改前必須保證該端口沒有被其他服務使用。
· 此命令在FIPS模式下不可用。
相關配置可參考命令display ip http。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置HTTP服務的端口號為8080。
<Sysname> system-view
[Sysname] ip http port 8080
【命令】
ip http log-file frequency frequency
undo ip http log-file frequency
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
frequency:HTTP服務日誌寫入日誌文件周期,取值範圍為10~240,單位是分鍾。
【描述】
ip http log-file frequency命令用來配置HTTP服務日誌寫入日誌文件周期。undo ip http log-file frequency命令用來恢複缺省情況。
缺省情況下,HTTP服務日誌寫入日誌文件周期為30分鍾。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置HTTP服務日誌寫入日誌文件周期為100分鍾。
<Sysname> system-view
[Sysname] ip http log-file frequency 100
【命令】
同時支持WLAN ACL和基本ACL的產品:
ip https acl acl-number
undo ip https acl acl-number
隻支持基本ACL的產品:
ip https acl acl-number
undo ip https acl acl-number
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
acl-number:ACL的編號,取值範圍為:
· 100~199:WLAN ACL
· 2000~2999:基本IPv4 ACL
【描述】
ip https acl 命令用來配置HTTPS服務與ACL關聯。undo ip https acl命令用來取消HTTPS服務與ACL的關聯。
缺省情況下,沒有ACL與HTTPS服務關聯。
配置HTTPS服務與ACL關聯後,將隻允許通過ACL過濾的客戶端訪問設備。
需要注意的是:
· HTTPS服務可以與WLAN ACL和基本ACL關聯,且兩種類型的ACL之間不會相互覆蓋。但是,同種類型的ACL之間會相互覆蓋,即如果重複執行ip https acl命令關聯同種類型的ACL,HTTPS服務將隻與最後一次配置的ACL關聯。
· HTTPS服務與WLAN ACL關聯,HTTPS服務僅利用該ACL過濾無線客戶端,不會利用該ACL過濾有線方式訪問的客戶端。
相關配置可參考命令display ip https和“ACL和QoS命令參考/ACL”中的命令acl number。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
ip https acl |
acl-number |
2000~2999:基本IPv4 ACL |
|
MSR 900 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL |
||
|
MSR900-E |
2000~2999:基本IPv4 ACL |
||
|
MSR 930 |
2000~2999:基本IPv4 ACL |
||
|
MSR 20-1X |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL |
||
|
MSR 20 |
|||
|
MSR 30 |
|||
|
MSR 50 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL MPU-G2不支持WLAN ACL |
||
|
MSR 2600 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL |
||
|
MSR3600-51F |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL |
【舉例】
# 配置HTTPS服務與ACL 100關聯,隻允許SSID為user-ssid-name的無線客戶端通過Web訪問設備。
<Sysname> system-view
[Sysname] acl number 100
[Sysname-acl-wlan-100] rule permit ssid user-ssid-name
[Sysname-acl-wlan-100] quit
[Sysname] ip https acl 100
# 配置HTTPS服務與ACL 2001關聯,隻允許10.10.0.0/16網段的客戶端通過Web訪問設備。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-basic-2001] quit
[Sysname] ip https acl 2001
【命令】
ip https certificate access-control-policy policy-name
undo ip https certificate access-control-policy
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
policy-name:證書屬性訪問控製策略名,為1~16個字符的字符串。
【描述】
ip https certificate access-control-policy命令用來配置HTTPS服務與證書屬性訪問控製策略關聯。undo ip https certificate access-control-policy命令用來取消HTTPS服務與證書屬性訪問控製策略的關聯。
缺省情況下,沒有證書屬性訪問控製策略與HTTPS服務關聯。
通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製。
相關配置可參考命令display ip https和“安全命令參考/PKI”中的命令pki certificate access-control-policy。
【舉例】
# 設置HTTPS服務使用的證書屬性訪問控製策略為myacl。
<Sysname> system-view
[Sysname] ip https certificate access-control-policy myacl
【命令】
ip https enable
undo ip https enable
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
ip https enable命令用來使能HTTPS服務。undo ip https enable命令用來關閉HTTPS服務。
缺省情況下,HTTPS服務處於關閉狀態。
隻有使能該功能後,設備才能作為HTTPS服務器,允許用戶通過Web功能訪問和控製設備。
需要注意的是,使能HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果設備的本地證書已經存在,則SSL協商可以成功,HTTPS服務可以正常啟動;如果設備的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。因此,在這種情況下,需要多次執行ip https enable命令,這樣HTTPS服務才能正常啟動。
相關配置可參考命令display ip https。
【舉例】
# 使能HTTPS服務。
<Sysname> system-view
[Sysname] ip https enable
【命令】
ip https port port-number
undo ip https port
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
port-number:HTTPS服務的端口號,取值範圍為1~65535。
【描述】
ip https port命令用來配置HTTPS服務的端口號。undo ip https port命令用來恢複缺省情況。
缺省情況下,HTTPS服務的端口號為443。
需要注意的是,此命令不會檢查配置的端口是否與已有服務使用的端口衝突,修改前必須保證該端口沒有被其他服務使用。
相關配置可參考命令display ip https。
【舉例】
# 配置HTTPS服務的端口號為6000。
<Sysname> system-view
[Sysname] ip https port 6000
【命令】
ip https ssl-server-policy policy-name
undo ip https ssl-server-policy
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
policy-name:SSL服務器端策略名,為1~16個字符的字符串。
【描述】
ip https ssl-server-policy命令用來配置HTTPS服務與SSL服務器端策略關聯。undo ip https ssl-server-policy命令用來取消HTTPS服務與SSL服務器端策略的關聯。
缺省情況下,沒有SSL服務器端策略與HTTPS服務關聯,HTTPS使用自簽名證書(自簽名證書指的是服務器自己生成的證書,無需從CA獲取)。
需要注意的是:
· 隻有此命令設置成功,才能使能HTTPS服務。
· HTTPS服務使能後不允許修改SSL服務器端策略,也不允許取消HTTPS服務與SSL服務器端策略的關聯。
相關配置可參考命令display ip https和“安全命令參考/SSL”中的命令ssl server-policy。
【舉例】
# 設置HTTPS服務使用的SSL服務器端策略為myssl。
<Sysname> system-view
[Sysname] ip https ssl-server-policy myssl
【命令】
lock
【視圖】
用戶視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
lock命令用來鎖住當前用戶界麵,防止未授權的用戶操作該界麵。
用戶輸入lock命令後,係統提示輸入密碼(密碼最大長度為16個字符),並提示再次輸入密碼,隻有兩次輸入的密碼相同,Lock操作才能成功。之後,如果用戶要再進入係統,需要按回車鍵,並輸入剛才配置的密碼後,才能結束鎖定,進入係統。
需要注意的是,本命令在FIPS模式下不可用。
缺省情況下,係統不會自動鎖住當前用戶界麵。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 鎖住當前用戶界麵。
<Sysname> lock
Please input password<1 to 16> to lock current user terminal interface:
Password:
Again:
locked !
Password:
<Sysname>
【命令】
parity { even | mark | none | odd | space }
undo parity
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
even:進行偶校驗。
mark:進行標記校驗。
none:無校驗。
odd:進行奇校驗。
space:進行空格校驗。
【描述】
parity命令用來設置校驗位的解析和生成方式。undo parity命令用來恢複缺省情況。
缺省情況下,設備校驗位的校驗方式為none,即不進行校驗。
· 本命令隻對異步串口(包括AUX、Console口)有效。
· 訪問終端和設備相應用戶界麵下校驗位的設置必須一致,雙方才能正常通信。
【舉例】
# 將AUX口傳輸校驗位設為奇校驗。
<Sysname> system-view
[Sysname] user-interface aux 0
[Sysname-ui-aux0] parity odd
【命令】
在非FIPS模式下:
protocol inbound { all | pad | ssh | telnet }
undo protocol inbound
在FIPS模式下:
protocol inbound { all | pad | ssh }
undo protocol inbound
【視圖】
VTY用戶界麵視圖
【缺省級別】
3:管理級
【參數】
all:支持所有的協議,在非FIPS模式下包括Telnet、SSH和PAD;在FIPS模式下包括PAD和SSH。
pad:支持PAD協議。
ssh:支持SSH協議。
telnet:支持Telnet協議,該參數在FIPS模式下不可用。
【描述】
protocol inbound命令用來指定所在用戶界麵支持的協議。undo protocol inbound命令用來恢複缺省情況。
缺省情況下,係統支持所有協議。
配置結果將在下次登錄時生效。
· 如果要配置用戶界麵支持SSH協議,必須先將該用戶的認證方式配置為scheme,否則protocol inbound ssh命令會執行失敗。相關配置可參考命令authentication-mode。
· Telnet協議的缺省認證方式是password。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 設置用戶界麵VTY 0到VTY 4隻支持SSH協議。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
[Sysname-ui-vty0-4] protocol inbound ssh
【命令】
redirect disconnect
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
redirect disconnect命令用來強製斷開已經建立的Telnet重定向連接。
· 目前隻有AUX和TTY類型的用戶界麵支持本命令。
· 執行該命令前,請先執行redirect enable命令使能用戶界麵的重定向功能。
【舉例】
# 強製斷開已經建立的Telnet重定向連接。
<Sysname> system-view
[Sysname] user-interface tty 1
[Sysname-ui-tty1] redirect disconnect
【命令】
redirect enable
undo redirect enable
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
redirect enable命令用來使能當前用戶界麵的Telnet重定向功能。undo redirect enable命令用來禁止當前用戶界麵的Telnet重定向功能。
缺省情況下,用戶界麵的Telnet重定向功能被禁止。
相關配置可參考命令telnet和display tcp status。
· 目前隻有AUX和TTY類型的用戶界麵支持本命令。
· 如果要使用重定向功能或配置重定向的相關參數,必須先使用該命令使能用戶界麵的重定向功能。
· 重定向設備與被登錄設備相連端口對應的用戶界麵的停止位設置(stopbits)必須相同,否則重定向將失敗。可以在重定向前,使用stopbit-error intolerance命令檢測重定向設備與被登錄設備的停止位設置是否相同。
【舉例】
# 使能用戶界麵TTY 7的重定向功能。
<Sysname> system-view
[Sysname] user-interfac tty 7
[Sysname-ui-tty7] redirect enable
【命令】
redirect listen-port port-number
undo redirect listen-port
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
port-number:監聽端口號,取值範圍為2000~50000。
【描述】
redirect listen-port命令用來設置Telnet重定向的監聽端口。設備隻對該端口收到的數據包進行重定向。undo redirect listen-port命令用來恢複缺省的監聽端口。
缺省情況下,Telnet重定向的監聽端口號為用戶界麵的絕對編號加2000。
相關配置可參考命令ip alias。
· 目前隻有AUX和TTY類型的用戶界麵支持本命令。
· 執行該命令前,請先執行redirect enable命令使能用戶界麵的重定向功能。
【舉例】
# 設置Telnet重定向的監聽端口號為3000。
<Sysname> system-view
[Sysname] user-interface tty 1
[Sysname-ui-tty1] redirect listen-port 3000
【命令】
redirect refuse-negotiation
undo redirect refuse-negotiation
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
redirect refuse-negotiation命令用來強製設置在建立Telnet重定向連接時不進行Telnet選項協商。undo redirect refuse-negotiation命令用來設置在建立Telnet重定向連接時進行Telnet選項協商。
缺省情況下,進行Telnet選項協商。
· 目前隻有AUX和TTY類型的用戶界麵支持本命令。
· 執行該命令前,請先執行redirect enable命令使能用戶界麵的重定向功能。
【舉例】
# 設置在建立Telnet重定向連接時不進行Telnet選項協商。
<Sysname> system-view
[Sysname] user-interface tty 1
[Sysname-ui-tty1] redirect refuse-negotiation
【命令】
redirect refuse-teltransfer
undo redirect refuse-teltransfer
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
redirect refuse-teltransfer命令用來設置在建立Telnet重定向連接時不對ACSII碼0xff進行轉義。undo redirect refuse-teltransfer命令用來恢複缺省情況。
缺省情況下,在建立Telnet重定向連接時會將ACSII碼0xff轉義為0xff 0xff。
· Telnet重定向設備收到Telnet客戶端發送的0xff字符時,會將0xff作為Telnet協議字過濾掉,從而導致0xff字符的丟失。為了保證字符能正確發送到Telnet服務器,需要在Telnet重定向設備上將0xff轉義為0xff 0xff,轉義後,Telnet重定向設備會過濾掉一個0xff,將另一個0xff發送給Telnet服務器,以保證0xff字符不丟失。
· 如果確定Telnet客戶端不會發送0xff字符,則可以不對ACSII碼0xff進行轉義。
· 目前隻有AUX和TTY類型的用戶界麵支持本命令。
· 執行該命令前,請先執行redirect enable命令使能用戶界麵的重定向功能。
【舉例】
# 設置在建立Telnet重定向連接時不對ACSII碼0xff進行轉義。
<Sysname> system-view
[Sysname] user-interface tty 1
[Sysname-ui-tty1] redirect refuse-teltransfer
【命令】
redirect return-deal from-telnet
undo redirect return-deal from-telnet
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
redirect return-deal from-telnet命令用來設置Telnet重定向設備對從Telnet客戶端接收到的回車符進行處理,即將接收到的“0x0d 0x0a”和“0x0d 0x00”統一修改為“0x0d”。undo redirect return-deal from-telnet命令用來恢複缺省情況。
缺省情況下,設備不對從Telnet客戶端接收到的回車符進行處理。
· 目前隻有AUX和TTY類型的用戶界麵支持本命令。
· 執行該命令前,請先執行redirect enable命令使能用戶界麵的重定向功能。
【舉例】
# 設置Telnet重定向設備對從Telnet客戶端接收到的回車符進行處理。
<Sysname> system-view
[Sysname] user-interface tty 1
[Sysname-ui-tty1] redirect return-deal from-telnet
【命令】
redirect return-deal from-terminal
undo redirect return-deal from-terminal
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
redirect return-deal from-terminal命令用來設置當設備進行Telnet重定向時對從終端(例如從Console口連接的PC)接收到的回車符進行處理,即將接收到的“0x0d 0x0a”和“0x0d 0x00”統一修改為“0x0d”。undo redirect return-deal from-terminal命令用來恢複缺省情況。
缺省情況下,當設備進行Telnet重定向時不會對從終端接收到的回車符進行處理,而是直接轉發。
· 目前隻有AUX和TTY類型的用戶界麵支持本命令。
· 執行該命令前,請先執行redirect enable命令使能用戶界麵的重定向功能。
【舉例】
# 當設備進行Telnet重定向時對從終端接收到的回車符進行處理。
<Sysname> system-view
[Sysname] user-interface tty 1
[Sysname-ui-tty1] redirect return-deal from-terminal
【命令】
redirect timeout time
undo redirect timeout
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
time:超時時間,取值範圍為30~86400,單位為秒。
【描述】
redirect timeout命令用來設置Telnet重定向的空閑超時時間。如果在指定的時間內沒有從Telnet客戶端接收到數據,則斷開Telnet重定向連接。undo redirect timeout命令用來設置Telnet重定向連接永遠不超時。
缺省情況下,設備Telnet重定向的空閑超時時間為360秒。
· 目前隻有AUX和TTY類型的用戶界麵支持本命令。
· 執行該命令前,請先執行redirect enable命令使能用戶界麵的重定向功能。
【舉例】
# 設置Telnet重定向的空閑超時時間為200秒。
<Sysname> system-view
[Sysname] user-interface tty 1
[Sysname-ui-tty1] redirect timeout 200
【命令】
screen-length screen-length
undo screen-length
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
screen-length:指定下一屏所顯示的行數,取值範圍為0~512,0表示一次性顯示全部信息,即不進行分屏顯示。
【描述】
screen-length命令用來設置下一屏所顯示的行數。undo screen-length命令用來恢複缺省情況。
缺省情況下,下一屏顯示24行數據。
設備支持分屏顯示信息,在暫停顯示時按空格鍵,能繼續顯示下一屏信息。該命令設置的是下一屏所顯示的行數,但顯示終端實際顯示的行數由終端的規格決定。比如,設置screen-length的值為40,但顯示終端的規格為24行,當暫停顯示按空格鍵時,設備發送給顯示終端的信息為40行,但當前屏幕顯示的是第18~第40行的信息,前麵的17行信息,需要通過<Page Up>/<Page Down>鍵來翻看。
該命令設置的是指定用戶界麵的分屏顯示行數,但用戶可以使用screen-length disable命令關閉當前界麵的分屏顯示功能。screen-length disable命令的詳細介紹請參見“基礎配置命令參考”中的“CLI”。
【舉例】
# 設置Console用戶界麵下一屏顯示的行數為30。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] screen-length 30
【命令】
send { all | num1 | { aux | console | tty | vty } num2 }
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
all:所有的用戶界麵。
num1:用戶界麵的編號(絕對編號方式),一般從0開始。
aux:AUX用戶界麵。
console:Console用戶界麵。
tty:TTY用戶界麵。
vty:VTY用戶界麵。
num2:用戶界麵的編號(相對編號方式)。
【描述】
send命令用來向指定的用戶界麵發送消息。
在輸入消息內容時,按<Ctrl+Z>組合鍵結束輸入,按<Ctrl+C>組合鍵取消此次操作。
【舉例】
# Console用戶界麵給自己發送消息hello abc。
<Sysname> send console 0
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
hello abc^Z
Send message? [Y/N]:y
<Sysname>
***
***
***Message from con0 to con0
***
hello abc
<Sysname>
# 使用VTY 0用戶界麵上線的用戶想重啟設備,為了提醒其它並行操作用戶做好相應準備(比如保存當前配置),於是向其它用戶界麵發送消息“Note please, I will reboot the system!”。
· VTY 0終端上的配置。
<Sysname> display users
The user application information of the user interface(s):
Idx UI Delay Type Userlevel
+ 82 VTY 0 00:00:00 TEL 3
83 VTY 1 00:00:03 TEL 3
Following are more details.
VTY 0 :
Location: 192.168.1.26
VTY 1 :
Location: 192.168.1.20
+ : Current operation user.
F : Current operation user work in async mode.
// 通過以上操作可以查看當前有哪些用戶正在操作設備
<Sysname> send vty 1
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
Note please, I will reboot the system in 3 minutes!^Z
Send message? [Y/N]:y
// 通過以上操作可以給VTY 1發送消息,告訴他“我將在3分鍾內重啟係統”,以便其他用戶做好相關備份工作
· 如果有用戶使用VTY 1用戶界麵登錄,則用戶的終端上將收到如下消息(該例為VTY 1正在輸入interface ethernet命令的過程中收到了VTY 0的消息):
[Sysname] interface eth
***
***
***Message from vty0 to vty1
***
Note please, I will reboot the system in 3 minutes!
【命令】
set authentication password [ [ hash ] { cipher | simple } password ]
undo set authentication password
【視圖】
用戶界麵視圖
【缺省級別】
3:管理級
【參數】
hash:表示以哈希值的方式保存並顯示設置的密碼。若不指定該參數,則表示以密文的形式保存並顯示設置的密碼。
cipher:以密文方式設置本地認證的密碼。
simple:以明文方式設置本地認證的密碼。
password:設置的明文密碼或密文密碼,區分大小寫。明文密碼的長度範圍是1~16;密文密碼的長度範圍是1~53,如果指定了hash參數,密文密碼的長度範圍是1~110。
【描述】
set authentication password命令用來設置本地認證的密碼。undo set authentication password命令用來取消本地認證的密碼。
缺省情況下,沒有設置本地認證的密碼。
以明文或密文方式設置的密碼,均以密文方式保存在配置文件中。
需要注意的是,本命令在FIPS模式下不可用。
相關配置可參考命令authentication-mode。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 設置用戶界麵Console 0的本地認證密碼為hello。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] authentication-mode password
[Sysname-ui-console0] set authentication password simple hello
【命令】
shell
undo shell
【視圖】
用戶界麵視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
shell命令用來在當前用戶界麵上啟動終端服務。undo shell命令用來在當前用戶界麵上禁止終端服務。
缺省情況下,係統在所有的用戶界麵上啟動終端服務。
undo shell命令有以下幾點限製:
· Console口不支持該命令;
· 如果設備上隻有一個AUX口,而沒有Console口(Console口與AUX口共用),則此AUX口不支持該命令;
· 用戶不能在自己登錄的用戶界麵上使用該命令。
【舉例】
# 在虛擬終端VTY0到VTY4上終止終端服務(用戶將不能通過VTY0-4登錄設備)。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] undo shell
% Disable ui-vty0-4 , are you sure? [Y/N]:y
[Sysname-ui-vty0-4]
對於Telnet終端,登錄後將提示:
The connection was closed by the remote host!
【命令】
speed speed-value
undo speed
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
speed-value:傳輸速率,單位為bps。異步串口的傳輸速率有:300bps、600bps、1200bps、2400bps、4800bps、9600bps、19200bps、38400bps、57600bps和115200bps。設備對以上速率的支持由產品和配置時的網絡環境決定。
【描述】
speed命令用來設置用戶界麵的傳輸速率。undo speed命令用來恢複缺省情況。
缺省情況下,用戶界麵的傳輸速率為9600bps。
· 本命令隻對異步串口(包括AUX、Console口)有效。
· 訪問終端和設備相應用戶界麵下傳輸速率的設置必須一致,雙方才能正常通信。
【舉例】
# 將用戶界麵AUX 0的傳輸速率設置為19200bps。
<Sysname> system-view
[Sysname] user-interface aux 0
[Sysname-ui-aux0] speed 19200
【命令】
stopbit-error intolerance
undo stopbit-error intolerance
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
stopbit-error intolerance命令用來檢測停止位。undo stopbit-error intolerance命令用來恢複缺省情況。
缺省情況下,不檢測停止位。
相關配置可參考命令stopbits。
本命令隻對異步串口(包括AUX、Console口)有效。
【舉例】
# 設置對用戶界麵AUX 0檢測停止位。
<Sysname> system-view
[Sysname] user-interface aux 0
[Sysname-ui-aux0] stopbit-error intolerance
【命令】
stopbits { 1 | 1.5 | 2 }
undo stopbits
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
1:停止位為1個比特。
1.5:停止位為1.5個比特。
2:停止位為2個比特。
【描述】
stopbits命令用來設置停止位的個數。undo stopbits命令用來恢複缺省的用戶界麵停止位。
缺省情況下,停止位為1個比特。
相關配置可參考命令stopbit-error intolerance。
· 本命令隻對異步串口(包括AUX、Console口)有效。
· 訪問終端和設備相應用戶界麵下停止位的設置必須一致,雙方才能正常通信。
【舉例】
# 設置AUX用戶界麵的停止位為1.5個比特。
<Sysname> system-view
[Sysname] user-interface aux 0
[Sysname-ui-aux0] stopbits 1.5
【命令】
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ]
【視圖】
用戶視圖
【缺省級別】
0:訪問級
【參數】
remote-host:遠端係統的IPv4地址或主機名,為1~20個字符的字符串,不區分大小寫。
service-port:遠端係統提供Telnet服務的TCP端口號,取值範圍為0~65535,缺省值為23。
vpn-instance vpn-instance-name:指定遠端係統所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示遠端係統位於公網中。
source:指定Telnet報文的源接口或源IPv4地址。
interface interface-type interface-number:指定源接口,發送的Telnet報文的源IPv4地址為該接口的地址。interface-type interface-number為接口類型和接口編號。
ip ip-address:指定Telnet報文的源IPv4地址。
【描述】
telnet命令用於Telnet登錄到遠程主機,以便進行遠程管理。用戶可以使用<Ctrl+K>組合鍵或quit命令來中斷本次Telnet登錄。
需要注意的是:
· 本命令指定的源IPv4地址或源接口隻對當前Telnet連接有效。
· 本命令在FIPS模式下不可用。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# Telnet登錄到遠程主機(IP地址為1.1.1.2),並指定發送Telnet報文的源IP地址為1.1.1.1。
<Sysname> telnet 1.1.1.2 source ip 1.1.1.1
【命令】
telnet client source { interface interface-type interface-number | ip ip-address }
undo telnet client source
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
interface interface-type interface-number:指定源接口,發送的Telnet報文的源IPv4地址為該接口的地址。interface-type interface-number為接口類型和接口編號。
ip ip-address:指定發送Telnet報文的源IPv4地址。
【描述】
telnet client source命令用來指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口。undo telnet client source命令用來刪除發送Telnet報文的源IPv4地址和源接口的配置。
缺省情況下,沒有指定發送Telnet報文的源IPv4地址和源接口,此時通過路由選擇源IPv4地址。
需要注意的是:
· 本命令指定的源IPv4地址或源接口對所有Telnet連接有效。
· 若同時使用本命令和telnet命令指定源IPv4地址或源接口,則以telnet命令指定的源IP地址或源接口為準。
· 本命令在FIPS模式下不可用。
相關配置可參考命令display telnet client configuration。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 設備作為Telnet客戶端時,指定發送的Telnet報文的源IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] telnet client source ip 1.1.1.1
【命令】
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ]
【視圖】
用戶視圖
【缺省級別】
0:訪問級
【參數】
remote-host:遠端係統的IPv6地址或主機名,為1~46個字符的字符串,不區分大小寫。
-i interface-type interface-number:Telnet報文的出接口。interface-type interface-number為接口類型和接口編號。當目的地址是鏈路本地地址時,需要指定此參數。
port-number:遠端係統提供Telnet服務的TCP端口號,取值範圍為0~65535,缺省值為23。
vpn-instance vpn-instance-name:指定遠端係統所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示遠端係統位於公網中。
【描述】
telnet ipv6命令用於IPv6組網環境下,Telnet登錄到遠程主機,以便進行遠程管理。用戶可以使用<Ctrl+K>組合鍵或quit命令來中斷本次Telnet登錄。
需要注意的是,本命令在FIPS模式下不可用。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# Telnet登錄到遠程主機,IPv6地址為5000::1。
<Sysname> telnet ipv6 5000::1
【命令】
telnet server enable
undo telnet server enable
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
telnet server enable命令用來啟動Telnet服務。undo telnet server enable命令用來關閉Telnet服務。
缺省情況下,Telnet服務處於關閉狀態。
需要注意的是,本命令在FIPS模式下不可用。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 啟動Telnet服務。
<Sysname> system-view
[Sysname] telnet server enable
【命令】
terminal type { ansi | vt100 }
undo terminal type
【視圖】
用戶界麵視圖
【缺省級別】
2:係統級
【參數】
ansi:終端顯示類型為ANSI類型。
vt100:終端顯示類型為VT100類型。
【描述】
terminal type命令用來設置當前用戶界麵下的終端顯示類型。undo terminal type命令用來恢複缺省情況。
缺省情況下,終端顯示類型為ANSI。
需要注意的是,設備支持ANSI和VT100兩種終端顯示類型。當設備的終端類型與客戶端(如超級終端或者Telnet客戶端等)的終端類型不一致,或者均設置為ANSI時,但當前編輯行的總字符數超過80個字符時,客戶端會出現光標錯位、終端屏幕不能正常顯示的現象。建議兩端都設置為VT100類型。
【舉例】
# 設置終端顯示類型為VT100類型。
<Sysname> system-view
[Sysname] user-interface vty 0
[Sysname-ui-vty0] terminal type vt100
【命令】
user privilege level level
undo user privilege level
【視圖】
用戶界麵視圖
【缺省級別】
3:管理級
【參數】
level:命令級別,取值範圍為0~3。
命令級別共分為訪問、監控、係統、管理4個級別,分別對應標識0、1、2、3。管理員可以根據需要改變用戶所能訪問的命令級別,使其在相應的權限下工作。
【描述】
user privilege level命令用來配置從當前用戶界麵登錄係統的用戶所能訪問的命令級別。undo user privilege level命令用來恢複缺省情況。
缺省情況下,通過Console口登錄係統的用戶所能訪問的命令級別是3,通過其它用戶界麵登錄係統所能訪問的命令級別是0。
需要注意的是,FIPS模式隻支持AAA認證,本命令在FIPS模式下不可用。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 設置通過用戶界麵VTY 0登錄係統的用戶能訪問的命令級別為0。
<Sysname> system-view
[Sysname] user-interface vty 0
[Sysname-ui-vty0] user privilege level 0
以Telnet方式從VTY 0用戶界麵登錄設備後,通過幫助信息可以看到終端上隻顯示了命令級別為0級的命令,具體操作和顯示信息如下:
<Sysname> ?
User view commands:
cluster Run cluster command
display Display current system information
ping Ping function
quit Exit from current command view
rsh Establish one RSH connection
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
tracert Trace route function
【命令】
user-interface { first-num1 [ last-num1 ] | { aux | console | tty | vty } first-num2 [ last-num2 ] }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
first-num1:第一個用戶界麵的編號(絕對編號方式),一般從0開始。
last-num1:最後一個用戶界麵的編號(絕對編號方式),一般從0開始,但不能小於first-num1。
aux:AUX用戶界麵。
console:Console用戶界麵。
tty:TTY用戶界麵。
vty:VTY用戶界麵。
first-num2:第一個用戶界麵的編號(相對編號方式)。
last-num2:最後一個用戶界麵的編號(相對編號方式),但不能小於first-num2。
【描述】
user-interface命令用來進入單一或多個用戶界麵視圖。
· 進入單一用戶界麵視圖進行配置後,該配置隻對該用戶視圖有效。
· 進入多個用戶界麵視圖進行配置後,該配置對這些用戶視圖均有效。
【舉例】
# 進入Console用戶界麵視圖。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0]
# 進入VTY 0~4用戶界麵視圖。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4]
【命令】
web captcha verification-code
undo web captcha
【視圖】
用戶視圖
【缺省級別】
3:管理級
【參數】
verification-code:訪問Web的固定校驗碼,為4個字符的字符串,區分大小寫。
【描述】
web captcha命令用來配置用戶訪問Web的固定校驗碼。undo web captcha命令用來恢複缺省情況。
缺省情況下,用戶隻能使用Web頁麵顯示的校驗碼訪問Web。
配置該命令後,不管Web登錄頁麵顯示的校驗碼是什麼,用戶隻要輸入該固定的校驗碼,即可訪問設備。本命令主要用於測試環境,當需要對設備的Web功能進行測試時,可以配置一個固定的校驗碼,使用腳本即可登錄設備,以免每次測試都要手工輸入變化的校驗碼,影響測試效率。
設備在網絡中正常使用的時候,建議不要配置該命令,以免降低Web訪問的安全性。
多次配置該命令,最新配置生效。
該命令不能保存到配置文件,設備重啟後失效。
【舉例】
# 設置訪問Web的固定校驗碼。
<Sysname> web captcha test
【命令】
web https-authorization mode { auto | manual }
undo web https-authorization mode
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
auto:表示用戶通過HTTPS登錄設備時,使用客戶端的PKI證書自動認證登錄。
manual:表示用戶通過HTTPS登錄設備時,設備給出登錄頁麵,用戶必須輸入合法的用戶名和密碼後才能登錄。
【描述】
web https-authorization mode命令用來配置用戶使用HTTPS登錄設備時采用的認證模式。undo web https-authorization mode命令用來恢複缺省情況。
缺省情況下,用戶使用HTTPS登錄設備時采用的認證模式為manual。
當選用auto認證模式時,設備客戶端的PKI證書自動認證登錄:
· 當用戶側的證書正確且未超期,則讀取證書中的CN字段作為用戶名,進行AAA認證。如果認證成功,則自動進入設備的Web界麵;
· 當用戶側的證書有效且未超期,但AAA認證失敗,則回到登錄界麵(如果此時用戶輸入合法的用戶名和密碼仍然能夠登錄);
· 當用戶側的證書錯誤或超期,則斷開HTTPS連接。
【舉例】
# 設置使用HTTPS訪問Web時自動認證。
<Sysname> system-view
[Sysname] web https-authorization mode auto
【命令】
web idle-timeout minutes
undo web idle-timeout
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
minutes:超時時間,取值範圍為1~999,單位為分鍾。
【描述】
web idle-timeout命令用來設置Web登錄用戶連接的超時時間。undo web idle-timeout命令用來恢複缺省情況。
缺省情況下,Web登錄用戶連接的超時時間為10分鍾。
【舉例】
# 設置超時時間為20分鍾。
<System> system-view
[System] web idle-timeout 20
【命令】
web logbuffer size pieces
undo web logbuffer size
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
pieces:指定日誌緩衝區的大小(可容納消息的條數),取值範圍為0~1024。
【描述】
web logbuffer size命令用來設置Web日誌緩衝區容量。undo web logbuffer size命令用來恢複缺省情況。
缺省情況下,日誌緩衝區容量為512條。
【舉例】
# 設置日誌緩衝區容量為800條。
<System> system-view
[System] web logbuffer size 800
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
