- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-登錄設備命令
本章節下載: 03-登錄設備命令 (439.30 KB)
目 錄
1.1.18 history-command max-size
1.1.25 ip https certificate access-control-policy
1.1.28 ip https ssl-server-policy
1.1.37 set authentication password
1.1.43 telnet server acl-deny-log enable
1.1.47 telnet server ipv6 dscp
1.1.48 telnet server ipv6 port
1.1.55 web https-authorization mode
對於同時支持用戶線視圖和用戶線類視圖的命令,本文中的命令描述隻描述用戶線視圖下命令的作用,對於用戶線類視圖下該命令的作用,請按照下列規則進行類推:
· 用戶線視圖下的配置隻對該用戶線生效,用戶線類視圖下的配置對該類用戶線生效。
· 非缺省配置優先於缺省配置。如果在用戶線視圖、用戶線類視圖下都是非缺省配置,則用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 用戶線類視圖下的配置修改不會立即生效,當用戶下次登錄後所修改的配置值才會生效。
activation-key命令用來配置啟動終端會話的快捷鍵。
undo activation-key命令用來恢複缺省情況。
【命令】
activation-key key-string
undo activation-key
【缺省情況】
按<Enter>鍵啟動終端會話。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
key-string:定義啟動終端會話的快捷鍵,可以是區分大小寫的單個字符,也可以是單個字符或組合鍵對應的ACSII碼(0~127)。比如設置activation-key 1,此時生效快捷鍵為Ctrl+A;如果設置activation-key a,生效的快捷鍵為a。單個字符的快捷鍵對應的ASCII碼與標準的ASCII碼表一致,組合鍵對應的ASCII碼請參見表1-1。
【使用指導】
VTY用戶線視圖/VTY用戶線類視圖不支持該命令。
在用戶線/用戶線類視圖下,該命令的配置結果將立即生效。
如果使用activation-key命令設置了其他快捷鍵,則新的快捷鍵將代替<Enter>鍵來啟動終端會話。新設置的快捷鍵可以使用display current-configuration | include activation-key命令查看。
如果用戶線視圖下配置activation-key為缺省值,並且此時用戶線類視圖下配置了activation-key,則用戶線類視圖下的配置生效;如果用戶線類視圖下未配置,則生效的為缺省值。
表1-1 Ctrl+X組合鍵對應的ASCII碼表
|
Ctrl+X組合鍵 |
對應的ASCII碼 |
|
CTRL+A |
1 |
|
CTRL+B |
2 |
|
CTRL+C |
3 |
|
CTRL+D |
4 |
|
CTRL+E |
5 |
|
CTRL+F |
6 |
|
CTRL+G |
7 |
|
CTRL+H |
8 |
|
CTRL+I |
9 |
|
CTRL+J |
10 |
|
CTRL+K |
11 |
|
CTRL+L |
12 |
|
CTRL+M |
13 |
|
CTRL+N |
14 |
|
CTRL+O |
15 |
|
CTRL+P |
16 |
|
CTRL+Q |
17 |
|
CTRL+R |
18 |
|
CTRL+S |
19 |
|
CTRL+T |
20 |
|
CTRL+U |
21 |
|
CTRL+V |
22 |
|
CTRL+W |
23 |
|
CTRL+X |
24 |
|
CTRL+Y |
25 |
|
CTRL+Z |
26 |
【舉例】
# 指定啟動Console用戶線終端會話的快捷鍵為<s>。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] activation-key s
驗證過程如下:
· 退出終端會話。
[Sysname-line-console0] return
<Sysname> quit
· 重新登錄設備,能看到如下顯示信息。
Press ENTER to get started.
· 此時,<Enter>鍵失效,需要按<s>鍵才能出現用戶視圖提示符,啟動終端會話。
<Sysname>
authentication-mode命令用來設置用戶登錄設備時的認證方式。
undo authentication-mode命令用來恢複缺省情況。
【命令】
authentication-mode { none | password | scheme }
undo authentication-mode
【缺省情況】
使用Console口登錄時認證方式為none,用戶可直接登錄。
使用VTY用戶線登錄設備的認證方式為password。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
none:不進行認證。
password:進行密碼認證方式。
scheme:進行AAA認證方式。AAA的相關內容請參見“用戶接入與控製配置指導”中的“AAA”。
【使用指導】
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
用戶線視圖下,authentication-mode與protocol inbound相關聯:
· 當這兩條命令均配置為缺省值,此時該用戶線視圖下的這兩條命令配置值均取該類用戶線類視圖下的相應的配置;若該類用戶線類視圖下沒有進行相應的配置,則均取缺省值。
· 當兩條命令中的任意一條配置了非缺省值,那麼另外一條取缺省值。
· 當兩條命令都配置成非缺省值,則均取用戶線下的配置值。
僅具有network-admin或者level-15用戶角色的用戶可以執行該命令。其他角色的用戶,即使授權了該命令的操作權限,也不能執行該命令。
在用戶線視圖/用戶線類視圖下,該命令的配置結果將在下次登錄設備時生效。
【舉例】
# 設置用戶使用VTY 0用戶線登錄設備時,不需要認證。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode none
# 設置用戶使用VTY 0用戶線登錄設備時,需要密碼認證,認證密碼為hello12345。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple hello12345
# 設置用戶使用VTY 0用戶線,采用Telnet方式登錄設備時采用本地AAA認證,用戶名為123,認證密碼為hello12345,服務類型為Telnet,用戶角色為network-admin。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode scheme
[Sysname-line-vty0] quit
[Sysname] local-user 123
[Sysname-luser-manage-123] password simple hello12345
[Sysname-luser-manage-123] service-type telnet
[Sysname-luser-manage-123] authorization-attribute user-role network-admin
【相關命令】
· set authentication password
auto-execute command命令用來設置自動執行命令。
undo auto-execute command命令用來恢複缺省情況。
【命令】
auto-execute command command
undo auto-execute command
【缺省情況】
未配置自動執行命令。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
command:需要自動執行的某條命令。
【使用指導】
· 在配置auto-execute command命令之前,請確保可以通過其他用戶線(例如Console用戶線)登錄係統,以便出現問題後,能刪除該配置。
· 執行該命令後,可能導致用戶不能通過該終端線對本係統進行配置,需謹慎使用。
用戶在登錄時設備會自動執行auto-execute command配置好的命令,執行完命令後,自動斷開用戶連接。
在用戶線視圖/用戶線類視圖下配置該命令時,需要注意:
· Console用戶線視圖/Console用戶線類視圖不支持該命令。
· 如果用戶線視圖下配置auto-execute command為缺省值,並且此時用戶線類視圖下配置了auto-execute command,那麼用戶線類視圖下的配置生效;如果用戶線類視圖下未配置,則用戶線視圖下的配置生效。
使用該命令設置的自動執行命令將在下次登錄設備時生效。
【舉例】
# 配置用戶從VTY0登錄本設備(IP地址為192.168.1.40)後,自動Telnet到IP地址為192.168.1.41的設備。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] auto-execute command telnet 192.168.1.41
This action will lead to configuration failure through line-vty0. Are you sure?
[Y/N]:y
[Sysname-line-vty0]
結果驗證:
重新Telnet登錄到本設備,設備會自動執行telnet 192.168.1.41命令,在Telnet客戶端會看到以下顯示信息。
C:\> telnet 192.168.1.40
******************************************************************************
* Copyright (c) 2004-2020 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
******************************************************************************
* Copyright (c) 2004-2020 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname.41>
此時相當於用戶直接登錄了192.168.1.41設備。如果用戶斷開與192.168.1.41的Telnet連接,用戶與192.168.1.40設備的Telnet連接也會同時自動斷開。
command accounting命令用來開啟命令行計費功能。
undo command accounting命令用來關閉命令行計費功能。
【命令】
command accounting
undo command accounting
【缺省情況】
命令行計費功能處於關閉狀態,即計費服務器不會記錄用戶執行的命令行。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟命令行計費功能後,如果未配置命令行授權功能,則當前用戶執行的每一條合法命令都會發送到計費服務器上做記錄;如果配置了命令行授權功能,則當前用戶執行的並且授權成功的命令都會發送到計費服務器上做記錄。
在用戶線視圖/用戶線類視圖下,該命令的配置結果將在下次登錄設備時生效。
如果在用戶線類視圖下使用command accounting命令使能了命令行計費功能,則該類型用戶線視圖都使能命令行計費功能,且用戶線視圖下無法使用undo command accounting恢複缺省情況。
【舉例】
# 設置用戶使用VTY 0用戶線登錄設備時,執行的命令需要在計費服務器上做記錄。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] command accounting
【相關命令】
· accounting command(用戶接入與認證命令參考/AAA)
· command authorization
command authorization命令用來開啟命令行授權功能。
undo command authorization命令用來關閉命令行授權功能。
【命令】
command authorization
undo command authorization
【缺省情況】
命令行授權功能處於關閉狀態,即用戶登錄後執行命令行不需要服務器授權。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟命令行授權功能後,使用該用戶線登錄的用戶隻能執行服務器授權的命令,服務器沒有授權的命令不能執行。
在用戶線視圖/用戶線類視圖下該命令的配置結果將在下次登錄設備時生效。
如果在用戶線類視圖下使用command authorization命令開啟了命令行授權功能,則該類型用戶線視圖都開啟命令行授權功能,且用戶線視圖下無法使用undo command authorization恢複缺省情況。
【舉例】
# 設置用戶使用VTY 0用戶線登錄設備時,需要服務器授權才能執行命令。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] command authorization
【相關命令】
· authorization command(用戶接入與認證命令參考/AAA)
· command accounting
display ip http命令用來顯示HTTP的狀態信息。
【命令】
display ip http
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示HTTP的狀態信息。
<Sysname> display ip http
HTTP port: 80
ACL: 2222(basic)
Operation status: Enabled
表1-2 display ip http命令顯示信息描述表
|
字段 |
描述 |
|
HTTP port |
HTTP服務使用的端口號 |
|
ACL |
與HTTP服務關聯的基本訪問控製列表號或名稱 基本訪問控製列表號為0表示未配置,有如下幾種類型: · basic,表示基本ACL · advanced,表示高級ACL · layer 2,表示二層ACL |
|
Operation status |
HTTP服務是否開啟: Enabled:表示HTTP服務處於開啟狀態 Disabled:表示HTTP服務處於關閉狀態 |
【相關命令】
· ip http port
· ip http acl
· ip http enable
display ip https命令用來顯示HTTPS的狀態信息。
【命令】
display ip https
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示HTTPS的狀態信息。
<Sysname> display ip https
HTTPS port: 443
SSL server policy: test
Certificate access-control-policy: Not configured
ACL: 3333(advanced)
Operation status: Enabled
表1-3 display ip https命令顯示信息描述表
|
字段 |
描述 |
|
HTTPS port |
HTTPS服務使用的端口號 |
|
SSL server policy |
與HTTPS服務關聯的SSL服務器端策略,Not configured表示未配置 |
|
Certificate access-control-policy |
與HTTPS服務關聯的證書屬性訪問控製策略,Not configured表示未配置 |
|
ACL |
與HTTPS服務關聯的基本訪問控製列表號或名稱,基本訪問控製列表號為0表示未配置,有如下幾種類型: · basic,表示基本ACL · advanced,表示高級ACL · layer 2,表示二層ACL |
|
Operation status |
HTTPS服務是否開啟: Enabled:表示HTTPS服務處於開啟狀態 Disabled:表示HTTPS服務處於關閉狀態 |
【相關命令】
· ip https port
· ip https acl
· ip https enable
· ip https ssl-server-policy
· ip https certificate access-control-policy
display line命令用來顯示用戶線的相關信息。
【命令】
display line [ number1 | { console | vty } number2 ] [ summary ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
number1:用戶線的編號(絕對編號方式),取值範圍為0~64。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式),對於Console用戶線取值為0,對於VTY用戶線取值範圍為0~63。
summary:顯示用戶線的摘要信息。不使用該參數時,將顯示用戶線類型、絕對/相對編號、傳輸速率、認證方式及接入接口;使用該參數時,將顯示正在使用和未使用的用戶線數目和類型。
【舉例】
# 顯示用戶線0的相關信息。
<Sysname> display line 0
Idx Type Tx/Rx Modem Auth Int Location
+ 0 CON 0 9600 - N - 1/0
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表1-4 display line命令顯示信息描述表
|
字段 |
描述 |
|
+ |
表示當前正在使用的用戶線 |
|
F |
表示當前正在使用的用戶線,且工作在異步方式 |
|
Idx |
用戶線的絕對編號 |
|
Type |
用戶線的類型及相對編號 |
|
Tx/Rx |
用戶線的速率 |
|
Modem |
(暫不支持)Modem的呼入/呼出開關,取值有in(允許呼入)、out(允許呼出)、inout(允許呼入呼出),缺省顯示“-”(表示未配置) |
|
Auth |
使用該用戶線登錄的用戶的認證方式,取值有A、L、N和P四種方式 |
|
Int |
用戶線對應的物理接口的簡稱表示(Console口以及沒有對應接口的用戶線均顯示“-”) |
|
Location |
用戶線的物理位置 |
|
A |
表示使用AAA認證方式,對應的authentication-mode為scheme |
|
N |
表示無需認證,對應的authentication-mode為none |
|
P |
表示使用當前用戶線的密碼進行認證,對應的authentication-mode為password |
# 顯示所有用戶線的摘要信息。
<Sysname> display line summary
Line type : [CON]
0:X
Line type : [VTY]
1:UXUU UUUU UUXX XXXX
17:XXXX XXXX XXXX XXXX
33:XXXX XXXX XXXX XXXX
49:XXXX XXXX XXXX XXXX
9 lines used. (U)
56 lines not used. (X)
表1-5 display line summary命令顯示信息描述表
|
字段 |
描述 |
|
Line type |
用戶線類型: · CON表示Console用戶線 · VTY表示VTY用戶線 |
|
0:UXXX XXXX XX |
0表示用戶線的絕對編號 X表示當前沒有用戶使用該用戶線 U表示當前有用戶使用該用戶線 |
|
lines used. (U) |
當前正在使用的用戶線的數目(即U字符數量) |
|
lines not used. (X) |
當前未使用的用戶線的數目(即X字符數量) |
display telnet client命令用來顯示設備作為Telnet客戶端的配置信息。
【命令】
display telnet client
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
目前該命令顯示的是Telnet客戶端源IPv4地址或源接口的配置信息。用戶可以使用telnet client source命令指定Telnet客戶端源IPv4地址或源接口。
【舉例】
# 顯示設備作為Telnet客戶端的相關配置信息。
<Sysname> display telnet client
The source IP address is 1.1.1.1.
以上顯示信息表示設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址為1.1.1.1。
【相關命令】
· telnet client source
display user-interface命令用來顯示用戶線的相關信息。
【命令】
display user-interface [ number1 | { console | vty } number2 ] [ summary ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
number1:用戶線的編號(絕對編號方式),取值範圍為0~64。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式),對於Console用戶線取值為0,對於VTY用戶線取值為0~63。
summary:顯示用戶線的摘要信息。不使用該參數時,將顯示用戶線類型、絕對/相對編號、傳輸速率、認證方式及接入接口;使用該參數時,將顯示正在使用和未使用的用戶線數目和類型。
【使用指導】
該命令實現與display line一致,僅為與舊版本兼容保留,請使用display line。
【舉例】
# 顯示用戶線0的相關信息。
<Sysname> display user-interface 0
Idx Type Tx/Rx Modem Auth Int Location
+ 0 CON 0 9600 - N - 1/0
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表1-6 display user-interface命令顯示信息描述表
|
字段 |
描述 |
|
+ |
表示當前正在使用的用戶線 |
|
F |
表示當前正在使用的用戶線,且工作在異步方式 |
|
Idx |
用戶線的絕對編號 |
|
Type |
用戶線的類型及相對編號 |
|
Tx/Rx |
用戶線的速率 |
|
Modem |
(暫不支持)Modem的呼入/呼出開關,取值有in(允許呼入)、out(允許呼出)、inout(允許呼入呼出),缺省顯示“-”(表示未配置) |
|
Auth |
使用該用戶線登錄的用戶的認證方式,取值有A、L、N和P四種方式 |
|
Int |
用戶線對應的物理接口的簡稱表示(Console口以及沒有對應接口的用戶線均顯示“-”) |
|
Location |
用戶線的物理位置 |
|
A |
表示使用AAA認證方式,對應的authentication-mode為scheme |
|
N |
表示無需認證,對應的authentication-mode為none |
|
P |
表示使用當前用戶線的密碼進行認證,對應的authentication-mode為password |
# 顯示所有用戶線的摘要信息。
<Sysname> display user-interface summary
Line type : [CON]
0:X
Line type : [VTY]
1:UXUU UUUU UUXX XXXX
17:XXXX XXXX XXXX XXXX
33:XXXX XXXX XXXX XXXX
49:XXXX XXXX XXXX XXXX
9 lines used. (U)
56 lines not used. (X)
表1-7 display user-interface summary命令顯示信息描述表
|
字段 |
描述 |
|
Line type |
用戶線類型: · CON表示Console用戶線 · VTY表示VTY用戶線 |
|
0:UXXX XXXX XX |
0表示用戶線的絕對編號 X表示當前沒有用戶使用該用戶線 U表示當前有用戶使用該用戶線 |
|
lines used. (U) |
當前正在使用的用戶線的數目(即U字符數量) |
|
lines not used. (X) |
當前未使用的用戶線的數目(即X字符數量) |
display users命令用來顯示正在使用的用戶線以及用戶的相關信息。
【命令】
display users [ all ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
all:顯示設備支持的所有用戶線以及用戶的相關信息。
【舉例】
# 顯示正在使用的用戶線以及用戶的相關信息。
<Sysname> display users
Idx Line Idle Time Pid Type
+ 10 VTY 0 00:00:00 Jan 01 00:33:10 484 TEL
12 VTY 2 00:06:22 Jan 01 00:33:22 495 TEL
Following are more details.
VTY 0 :
Location: 192.168.1.107
VTY 2 :
Location: 192.168.1.134
+ : Current operation user.
F : Current operation user works in async mode.
表1-8 display users命令顯示信息描述表
|
字段 |
描述 |
|
Idx |
用戶線的絕對編號 |
|
Line |
用戶線的相對編號,第一列(例如VTY)表示用戶線的類型,第二列(例如0)表示用戶線的相對編號 |
|
Idle |
空閑時間,表明用戶和設備沒有報文交互的時間長度,格式為hh:mm:ss。當空閑時間大於等於24小時時,顯示為old |
|
Time |
用戶本次登錄的時間 |
|
Pid |
用戶對應的進程ID(CLI用戶登錄時,係統會自動運行一個用戶登錄進程來監控用戶的操作) |
|
Type |
顯示用戶的登錄方式: · TEL表示用戶通過Telnet方式登錄設備 · SSH表示用戶通過SSH方式登錄設備 · 無顯示信息表示用戶通過Console口方式登錄設備 |
|
+ |
當前操作用戶 |
|
Location |
使用該用戶線登錄的用戶的位置信息(即用戶的IP地址) |
|
F |
當前操作用戶工作在異步模式 |
display web menu命令用來顯示Web的頁麵菜單樹。
【命令】
display web menu [ chinese ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
chinese:顯示Web的頁麵中文菜單樹。不指定該參數時,顯示Web的頁麵英文菜單樹。
【使用指導】
配置用戶角色對應的Web菜單項時,可以使用該命令查看係統支持的全部菜單樹。
【舉例】
# 顯示全部Web菜單信息。
<Sysname> display web menu
.
|--m_system: ID = m_system
| |--m_dashboard: ID = m_dashboard
| |--m_clientinfor: ID = m_clientinfor
| |--m_rateanalyse: ID = m_rateanalyse
| |--m_deviceinfor: ID = m_deviceinfor
| `--m_networkinfor: ID = m_networkinfor
|--m_quicknav: ID = m_quicknav
| `--i_quicknav: ID = i_quicknav
|--m_networkcfg: ID = m_networkcfg
| `--i_networkcfg: ID = i_networkcfg
|--m_wirelesscfg: ID = m_wirelesscfg
| `--i_wirelesscfg: ID = i_wirelesscfg
|--m_usermanager: ID = m_usermanager
| `--i_usermanager: ID = i_usermanager
|--m_securitypolicy: ID = m_securitypolicy
| `--i_securitypolicy: ID = i_securitypolicy
|--m_appmanager: ID = m_appmanager
| `--i_appmanager: ID = i_appmanager
`--m_systemcfg: ID = m_systemcfg
`--i_systemcfg: ID = i_systemcfg
display web users命令用來顯示Web用戶的相關信息。
【命令】
display web users
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示當前Web用戶的相關信息。
<Sysname> display web users
UserID Name Type Language JobCount LoginTime LastOperation
AB2039483271293 Administrator HTTP Chinese 3 12:00:23 14:10:05
F09382BA2014AC8 user HTTPS English 1 13:05:00 14:11:00
表1-9 display web users命令顯示信息描述表
|
字段 |
描述 |
|
UserID |
Web用戶的ID號,用來唯一標識一個登錄用戶 |
|
Name |
Web用戶的登錄用戶名 |
|
Type |
Web用戶登錄使用的協議類型: · HTTP表示Hypertext Transfer Protocol · HTTPS表示基於安全套接字的Hypertext Transfer Protocol |
|
Language |
Web用戶登錄時使用的語言: · Chinese表示中文 · English表示英文 |
|
JobCount |
Web用戶建立的連接數量 |
|
LoginTime |
Web用戶的登錄時間 |
|
LastOperation |
Web用戶的最後操作時間 |
escape-key命令用來配置終止運行任務(比如ping命令等)的快捷鍵。
undo escape-key命令用來取消快捷鍵的配置,包括缺省快捷鍵。
【命令】
escape-key { key-string | default }
undo escape-key
【缺省情況】
按<Ctrl+C>組合鍵終止運行的任務。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
key-string:定義終止運行任務的快捷鍵,可以是區分大小寫的單個字符(字符“d”和“D”除外),也可以是單個字符或組合鍵對應的ACSII碼(0~127)。比如設置escape-key 1,此時生效快捷鍵為Ctrl+A;如果設置escape-key a,生效的快捷鍵為a。配置字符“d”和“D”作為終止運行任務的快捷鍵時係統不會生效,此時<Ctrl+C>為實際的生效快捷鍵。如確實需要使用字符“d”和“D”作為終止運行任務的快捷鍵,可以配置key-string為字符“d”和“D”對應的ACSII碼。單個字符的快捷鍵對應的ASCII碼與標準的ASCII碼表一致,組合鍵對應的ASCII碼請參見表1-1。
default:恢複為缺省的快捷鍵<Ctrl+C>。
【使用指導】
用戶可以按<Ctrl+C>組合鍵來終止ping、tracert等正在執行的任務,以便輸入新的命令。如果配置了escape-key,則用戶可以用新配置的快捷鍵來代替<Ctrl+C>。命令行是否支持<Ctrl+C>終止與功能模塊的軟件實現有關,請參見相關命令行的描述。
如果設置的快捷鍵為單個字符,且有任務可終止,則輸入快捷鍵會終止命令的執行;如果沒有任務可終止,則輸入的快捷鍵會作為普通的編輯字符。
如果在Device A某用戶線下設置了單個字符key-string為任務終止快捷鍵,當使用該用戶線登錄到Device A,又通過Device A以telnet方式到Device B,這時的key-string在Device B上將被視為編輯字符進行輸入。如果telnet到Device B時所使用的用戶線下配置了相同的key-string,此時key-string在有任務運行時可以中止任務。
新設置的快捷鍵可以使用display current-configuration | include escape-key命令來查看。
如果用戶線視圖下配置escape-key為缺省值,並且此時用戶線類視圖下配置了escape-key,則用戶線類視圖下的配置生效;如果用戶線類視圖下未配置,則生效的為缺省值。
用戶線視圖下使用本命令配置的快捷鍵立即生效;用戶線類視圖下配置的快捷鍵將在下次登錄時生效。
【舉例】
# 配置VTY0終止運行任務的快捷鍵為a。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] escape-key a
驗證過程如下:
· 使用ping命令檢查IP地址為192.168.1.49的設備是否可達,並用-c參數指定發送ICMP回顯請求報文的數目為20。
<Sysname> ping -c 20 192.168.1.49
PING 192.168.1.49: 56 data bytes, press a to break
Reply from 192.168.1.49: bytes=56 Sequence=1 ttl=255 time=3 ms
Reply from 192.168.1.49: bytes=56 Sequence=2 ttl=255 time=3 ms
· 鍵入a,任務立即終止,並返回到當前視圖。
--- 192.168.1.49 ping statistics ---
2 packet(s) transmitted
2 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
<Sysname>
free line命令用來釋放用戶線上建立的連接。
【命令】
free line { number1 | { console | vty } number2 }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
number1:用戶線的編號(絕對編號方式),取值範圍為0~64。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式),對於Console用戶線取值為0,對於VTY用戶線取值範圍為0~63。
【使用指導】
用戶不能使用該命令釋放自己的連接。
【舉例】
# 釋放用戶線上VTY 1建立的連接。
<Sysname> free line vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free user-interface命令用來釋放用戶線上建立的連接。
【命令】
free user-interface { number1 | { console | vty } number2 }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
number1:用戶線的編號(絕對編號方式),取值範圍為0~64。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式),對於Console用戶線取值為0,對於VTY用戶線取值範圍為0~63。
【使用指導】
用戶不能使用該命令釋放自己的連接。
該命令實現與free line一致,僅為與舊版本兼容保留,請使用free line。
【舉例】
# 釋放用戶線上VTY 1建立的連接。
<Sysname> free user-interface vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free web users命令用來強製在線Web用戶下線。
【命令】
free web users { all | user-id user-id | user-name user-name }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
all:所有Web用戶。
user-id user-id:Web用戶的ID號,為15位十六進製數。係統會自動為每位成功登錄的Web用戶分配一個用戶ID,用戶ID用於唯一標識Web用戶。
user-name user-name:Web用戶的用戶名,為1~255個字符的字符串,區分大小寫。
【舉例】
# 強製所有在線Web用戶下線。
<Sysname> free web users all
【相關命令】
· display web users
history-command max-size命令用來設置可以存儲的當前用戶線下曆史命令的條數。
undo history-command max-size命令用來恢複缺省情況。
【命令】
history-command max-size size-value
undo history-command max-size
【缺省情況】
曆史命令緩衝區可存儲10條曆史命令。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
size-value:可存儲的曆史命令的條數,取值範圍為0~256。
【使用指導】
每個用戶線對應一個曆史命令緩衝區,緩衝區裏保存了當前用戶最近執行成功的命令,緩衝區的容量決定了可以保存的曆史命令的數目。用戶使用display history-command命令、上光標鍵↑或下光標鍵↓可以隨時了解近期成功執行了哪些操作(display history-command命令的詳細介紹請參見“基礎配置命令參考”中的“CLI”)。同時登錄設備的不同用戶擁有不同的曆史命令緩衝區,互不影響。
用戶退出當前會話時,係統會自動清除相應曆史命令緩衝區內保存的曆史命令。
如果用戶線視圖下配置history-command max-size為缺省值,並且此時用戶線類視圖下配置了history-command max-size,那麼用戶線視圖下的生效配置值為用戶線類視圖下的配置;如果用戶線類視圖下未配置,則生效的為缺省值。
在用戶線視圖下使用本命令配置的當前用戶線下可存儲的曆史命令條數立即生效;用戶線類視圖下配置的可存儲的曆史命令條數將在下次登錄時生效。
【舉例】
# 設置VTY0用戶線下曆史命令緩衝區最多可以存儲20條曆史命令。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] history-command max-size 20
http method命令用來配置HTTP服務在響應OPTIONS請求時返回的方法列表。
undo http method命令用來從響應OPTIONS請求的方法列表中刪除指定的方法。
【命令】
http method { delete | get | head | options | post | put } *
undo http method { delete | get | head | options | post | put } *
【缺省情況】
未配置任何方法。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
delete:將DELETE方法添加到返回的方法列表中。
get:將GET方法添加到返回的方法列表中。
head:將HEAD方法添加到返回的方法列表中。
options:將OPTIONS方法添加到返回的方法列表中。
post:將POST方法添加到返回的方法列表中。
put:將PUT方法添加到返回的方法列表中。
【使用指導】
用戶通過向設備發送HTTP OPTIONS請求,以探測設備支持的HTTP方法。如果用戶請求的URL資源中沒有任何服務注冊OPTIONS方法,則設備將會根據本配置響應用戶請求,否則由被請求服務來響應這個請求。若由設備響應此OPTIONS請求,則響應方式如下:
· 若未配置options參數,則返回405 Method Not Allowed。
· 若配置了options參數,則根據配置生成OPTIONS請求響應返回給用戶。
本命令不影響除OPTIONS外的其他任何HTTP請求。
【舉例】
# 配置HTTP服務在響應OPTIONS請求時返回的方法列表為GET、HEAD、POST、OPTIONS。
<Sysname> system-view
[Sysname] http method get head post options
idle-timeout命令用來設置用戶連接的超時時間。
undo idle-timeout命令用來恢複缺省情況。
【命令】
idle-timeout minutes [ seconds ]
undo idle-timeout
【缺省情況】
超時時間為10分鍾。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
minutes:指定超時時間,取值範圍為0~35791,單位為分鍾。
seconds:指定超時時間,取值範圍為0~59,單位為秒,缺省值為0。
【使用指導】
用戶登錄後,如果在超時時間內設備和用戶間沒有消息交互,則超時時間到達時設備會自動斷開用戶連接。
當超時時間設置為0時,表示設備不會因為超時自動斷開用戶連接。
如果用戶線視圖下配置idle-timeout為缺省值,並且此時用戶線類視圖下配置了idle-timeout,那麼用戶線視圖下的生效配置值為用戶線類視圖下的配置;如果用戶線類視圖下未配置,則生效的為缺省值。
用戶線視圖下使用本命令配置的連接超時時間立即生效;用戶線類視圖下配置的連接超時時間將在下次登錄時生效。
【舉例】
# 設置VTY0用戶線下用戶連接超時時間為1分鍾30秒。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] idle-timeout 1 30
ip http acl命令用來配置HTTP服務與ACL關聯。
undo ip http acl命令用來恢複缺省情況。
【命令】
ip http acl [ advanced | mac ] { acl-number | name acl-name }
undo ip http acl
【缺省情況】
HTTP服務沒有與ACL關聯。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
advanced:指定高級ACL。
mac:指定二層ACL。
acl-number:指定ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。僅當指定名稱的ACL存在時生效。
【使用指導】
如果未指定advanced和mac參數,則表示指定IPv4基本ACL。
目前,對於高級ACL,僅針對源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議設置的匹配條件才能生效;對於二層ACL,僅針對源MAC地址設置的匹配條件才能生效。
配置ACL限製HTTP客戶端時:
· 當未引用ACL時,允許所有HTTP客戶端通過web方式登錄設備;
· 當引用的ACL不存在或者為空時,允許所有HTTP客戶端通過web方式登錄設備;
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,禁止其他用戶訪問設備,以避免非法用戶訪問設備;
· 如果多次使用該命令配置HTTP服務與ACL關聯,最新配置生效。
關於ACL的詳細描述和介紹請參見“安全配置指導”中的“ACL”。
【舉例】
# 配置HTTP服務與ACL 2001關聯,隻允許10.10.0.0/16網段的客戶端通過Web訪問設備。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ip http acl 2001
【相關命令】
· acl(安全命令參考/ACL)
ip http enable命令用來開啟HTTP服務。
undo ip http enable命令用來關閉HTTP服務。
【命令】
ip http enable
undo ip http enable
【缺省情況】
HTTP服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟HTTP服務後,用戶才能通過Web使用HTTP方式登錄設備。
開啟HTTP服務後,為了增強設備的安全性,HTTPS服務的端口號也會被自動打開,且在HTTP服務開啟的狀態下無法通過undo ip https enable命令關閉。
【舉例】
# 使能HTTP服務。
<Sysname> system-view
[Sysname] ip http enable
【相關命令】
· ip https enable
ip http port命令用來配置HTTP服務的端口號。
undo ip http port命令用來恢複缺省情況。
【命令】
ip http port port-number
undo ip http port
【缺省情況】
HTTP服務的端口號為80。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
port-number:HTTP服務的端口號,取值範圍為1~65535。
【使用指導】
如果修改端口號前HTTP服務是開啟的,則修改端口號後係統會自動重啟HTTP服務,正在訪問的用戶將被斷開,用戶需要在瀏覽器的地址欄中重新輸入新的地址後才可以繼續訪問。
【舉例】
# 配置HTTP服務的端口號為80。
<Sysname> system-view
[Sysname] ip http port 80
ip https acl命令用來配置HTTPS服務與ACL關聯。
undo ip https acl命令用來恢複缺省情況。
【命令】
ip https acl [ advanced | mac ] {acl-number | name acl-name }
undo ip https acl
【缺省情況】
HTTPS服務未與ACL關聯。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
advanced:指定高級ACL。
mac:指定二層ACL。
acl-number:ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。僅當指定名稱的ACL存在時生效。
【使用指導】
如果未指定advanced和mac參數,則表示指定IPv4基本ACL。
目前,對於高級ACL,僅針對源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議設置的匹配條件才能生效;對於二層ACL,僅針對源MAC地址設置的匹配條件才能生效。
配置ACL限製HTTPS客戶端時:
· 當未引用ACL時,允許所有HTTPS客戶端通過web方式登錄設備;
· 當引用的ACL不存在或者為空時,允許所有HTTPS客戶端通過web方式登錄設備;
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,禁止其他用戶訪問設備,以避免非法用戶訪問設備;
· 如果多次使用該命令配置HTTPS服務與ACL關聯,最新配置生效。
關於ACL的詳細描述和介紹請參見“安全配置指導”中的“ACL”。
Web登錄時用戶輸入的用戶名和密碼屬於敏感信息,Web登錄請求采用HTTPS方式發送到Web服務器。所以,如果本命令中的ACL規則拒絕客戶端通過HTTPS服務訪問Web頁麵,那麼該客戶端也無法通過HTTP服務訪問Web頁麵。
【舉例】
# 配置HTTPS服務與ACL 2001關聯,隻允許10.10.0.0/16網段的客戶端通過Web訪問設備。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ip https acl 2001
【相關命令】
· acl(安全命令參考/ACL)
ip https certificate access-control-policy命令用來配置HTTPS服務與證書屬性訪問控製策略關聯。
undo ip https certificate access-control-policy命令用來恢複缺省情況。
【命令】
ip https certificate access-control-policy policy-name
undo ip https certificate access-control-policy
【缺省情況】
HTTPS服務未與證書屬性訪問控製策略關聯。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:證書屬性訪問控製策略名,為1~31個字符的字符串,區分大小寫。
【使用指導】
通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製。證書屬性訪問控製策略的相關介紹請參見“安全配置指導”中“PKI”。
【舉例】
# 設置HTTPS服務使用的證書屬性訪問控製策略為myacl。
<Sysname> system-view
[Sysname] ip https certificate access-control-policy myacl
【相關命令】
· pki certificate access-control-policy(安全命令參考/PKI)
ip https enable命令用來開啟HTTPS服務。
undo ip https enable命令用來關閉HTTPS服務。
【命令】
ip https enable
undo ip https enable
【缺省情況】
HTTPS服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有使能該功能後,用戶才能通過Web方式使用HTTPS登錄設備。
使能HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果設備的本地證書已經存在,則SSL協商可以成功,HTTPS服務可以正常啟動;如果設備的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。因此,在這種情況下,需要多次執行ip https enable命令,這樣HTTPS服務才能正常啟動。
【舉例】
# 使能HTTPS服務。
<Sysname> system-view
[Sysname] ip https enable
【相關命令】
· ip https ssl-server-policy
· ip https certificate access-control-policy
ip https port命令用來配置HTTPS服務的端口號。
undo ip https port命令用來恢複缺省情況。
【命令】
ip https port port-number
undo ip https port
【缺省情況】
HTTPS服務的端口號為443。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
port-number:HTTPS服務的端口號,取值範圍為1~65535。
【使用指導】
如果修改端口號前HTTPS服務是開啟的,則修改端口號後係統會自動重啟HTTPS服務,正在訪問的用戶將被斷開,用戶需要在瀏覽器的地址欄中重新輸入新的地址後才可以繼續訪問。
【舉例】
# 配置HTTPS服務的端口號為8080。
<Sysname> system-view
[Sysname] ip https port 8080
ip https ssl-server-policy命令用來配置HTTPS服務與SSL服務器端策略關聯。
undo ip https ssl-server-policy命令用來恢複缺省情況。
【命令】
ip https ssl-server-policy policy-name
undo ip https ssl-server-policy
【缺省情況】
HTTPS服務未與SSL服務器端策略關聯,HTTPS使用自簽名證書。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:SSL服務器端策略名,為1~31個字符的字符串。
【使用指導】
HTTP服務和HTTPS服務處於使能狀態時,對與HTTPS服務關聯的SSL服務器端策略進行的修改不會生效。如需修改HTTPS服務與SSL服務器端的關聯策略,首先執行undo ip http enable和undo ip https enable兩條命令,再執行ip https ssl-server-policy policy-name命令,最後重新使能HTTP服務和HTTPS服務,新的策略即可生效。
如需恢複缺省情況,必須先執行undo ip http enable和undo ip https enable兩條命令,再執行undo ip https ssl-server-policy,最後重新使能HTTP服務和HTTPS服務即可。
【舉例】
# 設置HTTPS服務使用的SSL服務器端策略為myssl。
<Sysname> system-view
[Sysname] ip https ssl-server-policy myssl
【相關命令】
· ssl server-policy(安全命令參考/SSL)
line命令用來進入一個或多個用戶線視圖。
【命令】
line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
first-number1:第一個用戶線的編號(絕對編號方式),取值範圍為0~64。
last-number1:最後一個用戶線的編號(絕對編號方式),取值範圍為1~64,取值必須大於first-number1。
console:Console用戶線。
vty:VTY用戶線。
first-number2:第一個用戶線的編號(相對編號方式),對於Console用戶線取值範圍為0,對於VTY用戶線取值範圍為0~63。
last-number2:最後一個用戶線的編號(相對編號方式),對於Console用戶線不支持,對於VTY用戶線取值範圍為1~63,取值必須大於first-number2。
【舉例】
# 進入VTY 0用戶線視圖。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0]
# 進入VTY 0~31用戶線視圖。
<Sysname> system-view
[Sysname] line vty 0 31
[Sysname-line-vty0-31]
【相關命令】
· line class
line class命令用來進入用戶線類視圖。
【命令】
line class { console | vty }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
console:Console用戶線類。
vty:VTY用戶線類。
【使用指導】
用戶線視圖下的配置隻對該用戶線生效。
用戶線類視圖下的配置修改不會立即生效,當用戶下次登錄後所修改的配置值才會生效。
line class命令用來進入用戶線類視圖,line命令用來進入一個或多個用戶線視圖。對於同時支持這兩種視圖的命令:
· 用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。如果用戶線類視圖下的屬性配置也為缺省值時,則直接采用該屬性的缺省值。
用戶線類視圖下支持的命令有:
· activation-key
· authentication-mode
· auto-execute command
· command accounting
· command authorization
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【舉例】
# 在VTY用戶線類視圖下,將用戶連接的超時時間的缺省值設置為15分鍾。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] idle-timeout 15
# 在Console用戶線類視圖下,將終端會話的快捷鍵設置為<s>。
<Sysname> system-view
[Sysname] line class console
[Sysname-line-class-console] activation-key s
[Sysname-line-class-console] quit
· 在Console用戶線視圖下,將終端會話的快捷鍵設置為缺省值(可以使用undo activation-key或者直接使用activation-key 13進行配置)。
[Sysname] line console 0
[Sysname-line-console0] undo activation-key
· 此時生效的快捷鍵為用戶線類視圖下的配置,驗證過程如下:
· 退出終端會話。
[Sysname-line-console0] return
<Sysname> quit
· 重新登錄設備,能看到如下顯示信息。
Press ENTER to get started.
· 此時,<Enter>鍵失效,需要按<s>鍵才能出現用戶視圖提示符,啟動終端會話。
<Sysname>
【相關命令】
· line
lock命令用來鎖定當前用戶線並配置解鎖密碼,防止未授權的用戶操作該用戶線。
【命令】
lock
【缺省情況】
係統不會自動鎖定當前用戶線。
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【使用指導】
用戶輸入lock命令後,係統提示輸入密碼(密碼最大長度為16個字符),並提示再次輸入密碼,隻有兩次輸入的密碼相同,Lock操作才能成功。如果用戶線被鎖定,用戶需要輸入解鎖密碼才能結束鎖定,進入係統。
【舉例】
# 鎖住當前用戶線然後解鎖。
<Sysname> lock
Please input password<1 to 16> to lock current line:
Password:
Again:
locked !
此時,命令行用戶線被鎖定。鍵入回車,並輸入正確的密碼後,可以解鎖。
Password:
<Sysname>
lock reauthentication命令用來鎖定當前用戶線並對其進行重新認證。
【命令】
lock reauthentication
【缺省情況】
係統不會對當前用戶線進行重新認證。
【視圖】
任意視圖
【缺省用戶角色】
network-admin
【使用指導】
執行該命令後,當前用戶線會被鎖定。用戶需要輸入設備登錄密碼對當前用戶線進行重新認證才能結束鎖定,進入係統。如果設備未配置登錄密碼,用戶按回車鍵後將直接進入係統。
需要注意的是,如果在設備登錄後修改了登錄設備的認證方式或密碼,那麼鎖定用戶線後的解鎖過程將使用新配置的認證方式及密碼。
【舉例】
# 輸入命令鎖定當前用戶線,並使用設備登錄密碼重新登錄設備。
<Sysname> lock reauthentication
Please press Enter to unlock the screen.
# 按回車鍵後,提示輸入密碼對當前用戶線進行重新認證並登錄設備。
Password:
<Sysname>
【相關命令】
· lock-key
lock-key命令用來配置對當前用戶線進行鎖定並重新認證的快捷鍵。
undo lock-key命令用來恢複缺省情況。
【命令】
lock-key key-string
undo lock-key
【缺省情況】
未設置對當前用戶線進行鎖定並重新認證的快捷鍵。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
key-string:指定對當前用戶線進行重新認證的快捷鍵。可以是區分大小寫的單個字符,也可以是單個字符或組合鍵對應的ACSII碼(0~127)。例如設置lock-key 1,則快捷鍵為Ctrl+A;如設置lock-key a,生效的快捷鍵為a。使用ASCII碼設置快捷鍵時,單個字符對應的ASCII碼與標準ASCII碼表一致,組合鍵對應的ASCII碼請參照表1-1。
【使用指導】
通常情況下,建議用戶使用組合鍵而不使用單個字符作為快捷鍵,避免用戶在輸入命令時輸入完快捷鍵字符後出現鎖定,影響正常命令行的輸入。用戶設置了快捷鍵之後,可以輸入對應的快捷鍵代替lock reauthentication命令完成對當前用戶線進行鎖定並重新認證的操作。
在用戶線/用戶線類視圖下,該命令的配置的快捷鍵將立即生效。
新設置的快捷鍵可以使用display current-configuration | include lock-key命令來查看。
【舉例】
# 配置鎖定當前用戶線的快捷鍵為Ctrl+A。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] lock-key 1
[Sysname-line-vty] quit
驗證過程如下:
· 用戶鍵入Ctrl+A組合鍵後,係統鎖定當前用戶線並切換到重新認證界麵:
[Sysname]
Please press Enter to unlock the screen.
· 按回車鍵後,係統提示輸入密碼對當前用戶線進行重新認證並登錄設備。
Password:
[Sysname]
【相關命令】
· lock reauthentication
protocol inbound命令用來指定所在用戶線支持的協議。
undo protocol inbound命令用來恢複缺省情況。
【命令】
protocol inbound { all | ssh | telnet }
undo protocol inbound
【缺省情況】
係統支持所有協議。
【視圖】
VTY用戶線視圖
VTY用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
all:支持所有的協議,包括Telnet和SSH。
ssh:支持SSH協議。
telnet:支持Telnet協議。
【使用指導】
用戶線視圖下,該命令的配置結果將在下次登錄時生效。
如果要配置用戶線支持SSH協議,必須先將該用戶的認證方式配置為scheme,否則protocol inbound ssh命令會執行失敗。
用戶線視圖下,對authentication-mode和protocol inbound進行關聯綁定。
· 當這兩條命令均配置為缺省值,此時該用戶線視圖下的這兩條命令配置值均取該類用戶線類視圖下的相應的配置;若該類用戶線類視圖下沒有進行相應的配置,則均取缺省值。
· 當兩條命令中的任意一條配置了非缺省值,那麼另外一條取缺省值。當兩條命令都配置成非缺省值,則均取用戶線下的配置值。
僅具有network-admin或者level-15用戶角色的用戶可以執行該命令。其他角色的用戶,即使授權了該命令的操作權限,也不能執行該命令。
【舉例】
# 設置用戶線VTY 0到VTY 4隻支持SSH協議。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] authentication-mode scheme
[Sysname-line-vty0-4] protocol inbound ssh
# 設置VTY用戶線類支持SSH協議,認證方式為scheme。同時設置用戶線VTY 0到VTY 4不進行登錄認證,支持所有的協議。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] authentication-mode scheme
[Sysname-line-class-vty] protocol inbound ssh
[Sysname-line-class-vty] line vty 0 4
[Sysname-line-vty0-4] authentication-mode none
驗證過程如下:
· 使用Telnet方式登錄,無需認證即可成功登錄。
<Client> telnet 192.168.1.241
Trying 192.168.1.241 ...
Press CTRL+K to abort
Connected to 192.168.1.241 ...
******************************************************************************
* Copyright (c) 2004-2020 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Server>
· 查看當前正在使用的用戶線以及用戶的相關信息,用戶線為line 0,則證明該配置下用戶線下配置生效。
<Server> display users
Idx Line Idle Time Pid Type
+ 50 VTY 0 00:00:00 Jan 17 15:29:27 189 TEL
Following are more details.
VTY 0 :
Location: 192.168.1.186
+ : Current operation user.
F : Current operation user works in async mode.
· authentication-mode
screen-length命令用來設置分屏顯示時,每屏所顯示的行數。
undo screen-length命令用來恢複缺省情況。
【命令】
screen-length screen-length
undo screen-length
【缺省情況】
每屏顯示24行數據。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
screen-length:指定每屏所顯示的行數,取值範圍為0~512。0表示一次性顯示全部信息,即不進行分屏顯示,此時與執行screen-length disable命令效果相同。
【使用指導】
該命令設置的是每一屏所顯示的行數,但顯示終端實際顯示的行數由終端的規格決定。比如,設置screen-length的值為40,但顯示終端的規格為24行,當暫停顯示按空格鍵時,設備發送給顯示終端的信息為40行,但當前屏幕顯示的是第18~第40行的信息,前麵的17行信息,需要通過<Page Up>/<Page Down>鍵來翻看。
設備支持分屏顯示信息,在暫停顯示時按空格鍵,能繼續顯示下一屏信息。
缺省情況下,分屏顯示功能處於開啟狀態。
如果用戶線視圖下配置screen-length為缺省值,並且此時用戶線類視圖下配置了screen-length,則用戶線類視圖下的配置生效;如果用戶線類視圖下未配置,則生效的為缺省值。
用戶線視圖下使用本命令配置的分屏顯示信息行數立即生效;在用戶線類視圖下配置的分屏顯示信息行數將在下次登錄時生效。
【舉例】
# 設置VTY用戶線分屏顯示時,每屏顯示30行數據。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] screen-length 30
【相關命令】
· screen-length disable(基礎配置指導/CLI)
send命令用來向用戶線發送消息。
【命令】
send { all | number1 | { console | vty } number2 }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
all:所有的用戶線。
number1:用戶線的編號(絕對編號方式),取值範圍為0~64。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式),對於Console用戶線取值為0,對於VTY用戶線取值範圍為0~63。
【使用指導】
輸入本命令後回車,係統會提示您可以輸入消息內容。在輸入消息內容時,按<Enter>鍵結束輸入,按<Ctrl+C>組合鍵取消此次操作。
【舉例】
# 使用VTY 0用戶線上線的用戶想重啟設備,於是發信息“Note please, I will reboot the system in 3 minutes.”來提醒VTY 1。
<Sysname> send vty 1
Input message, end with Enter; abort with CTRL+C:
Your attention, please. I will reboot the system in 3 minutes.
Send message? [Y/N]:y
使用VTY 1用戶線登錄的用戶將收到如下消息:
[Sysname]
***
***
***Message from vty0 to vty1
***
Your attention, please. I will reboot the system in 3 minutes.
set authentication password命令用來設置認證密碼。
undo set authentication password命令用來恢複缺省情況。
【命令】
set authentication password { hash | simple } string
undo set authentication password
【缺省情況】
未配置認證密碼。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
hash:以哈希方式設置密碼。
simple:以明文方式設置密碼,該密碼將以密文方式存儲。
string:密碼字符串,區分大小寫。明文密碼為4~16個字符的字符串,密碼元素的最少組合類型為2;哈希密碼為1~110個字符的字符串。
【使用指導】
以明文或哈希方式設置的密碼,均以哈希計算後的密文形式保存在配置文件中。
如果用戶線視圖下配置set authentication password為缺省值,並且此時用戶線類視圖下配置了set authentication password,則用戶線類視圖下的配置生效;如果用戶線類視圖下未配置,則生效的為缺省值。
僅具有network-admin或者level-15用戶角色的用戶可以執行該命令。其他角色的用戶,即使授權了該命令的操作權限,也不能執行該命令。
在用戶線視圖/用戶線類視圖下,使用該命令設置的認證密碼將在下次登錄設備時生效。
設備會在用戶登錄時,對當前使用的密碼進行複雜度檢查:
· 如果用戶登錄設備時使用的是缺省密碼,則係統會強製要求用戶將密碼修改為符合係統要求的字符串。
· 如果用戶登錄設備時使用的是非缺省密碼,且密碼複雜度較低,係統會提示用戶修改密碼。為了保證設備的安全性,建議用戶根據係統提示,將密碼修改為符合要求的字符串。
【舉例】
# 設置用戶線VTY 0的認證密碼為hello12345。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple hello12345
設置完後如果退出係統,則隻有在密碼提示信息後輸入hello12345字符串才能再進入係統。
【相關配置】
· authentication-mode
shell命令用來在當前用戶線上開啟終端服務。
undo shell命令用來在當前用戶線上關閉終端服務。
【命令】
shell
undo shell
【缺省情況】
所有用戶線的終端服務功能處於開啟狀態。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【使用指導】
Console用戶線視圖/Console用戶線類視圖不支持undo shell命令。
用戶不能在自己登錄的用戶線上使用undo shell命令。
當設備作為Telnet/SSH服務器的時候,不能配置undo shell命令。
如果在用戶線類視圖下使用undo shell命令關閉了終端服務,那麼用戶線視圖下無法使用shell啟動終端服務。
【舉例】
# 在VTY0到VTY4上終止終端服務(用戶將不能通過VTY0~4登錄設備)。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] undo shell
Disable line-vty0-4 , are you sure? [Y/N]:y
[Sysname-line-vty0-4]
telnet命令用於Telnet登錄到遠端設備,以便進行遠程管理。
【命令】
telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
remote-host:遠端設備的IPv4地址或主機名。其中,主機名為1~253個字符的字符串,不區分大小寫,字符串僅可包含字母、數字、“-”、“_”或“.”。
service-port:遠端設備提供Telnet服務的TCP端口號,取值範圍為0~65535,缺省值為23。
source:指定Telnet報文的源接口或源IPv4地址。如果未指定本參數,則使用路由出接口的主IP地址作為設備發送的Telnet報文的源IPv4地址。
interface interface-type interface-number:指定源接口,發送的Telnet報文的源IPv4地址為該接口的地址。interface-type interface-number為接口類型和接口編號。
ip ip-address:指定Telnet報文的源IPv4地址。
dscp-value:Telnet客戶端向服務器端發送Telnet報文的DSCP優先級,取值範圍為0~63,缺省值為48。
escape character:指定退出字符,該退出字符需要與字符“.”配合使用來斷開當前Telnet連接,並返回到上一級連接。character為一個字符,區分大小寫。退出字符不能與登錄用戶名相同,建議使用~,即輸入~.來中斷當前連接。
【使用指導】
用戶可以使用<Ctrl+K>組合鍵、quit命令或指定退出字符來中斷當前Telnet連接。這三種方式的使用如下:
· <Ctrl+K>組合鍵:斷開所有的連接。可在任意情況下使用。
· quit:斷開當前連接,並返回到上一級連接。在服務器端重啟或發生異常時該命令無法使用。
· 退出字符:斷開當前連接,並返回到上一級連接。可在任意情況下使用。
如果指定了退出字符,<Ctrl+K>組合鍵將失效。
使用退出字符時,必須在一行中首先輸入退出字符和.,該操作才能生效。若該行中曾經輸入過其它字符或執行了其它操作(比如退格),則需要重新換行輸入才能生效。
本命令指定的源IPv4地址或源接口隻對當前Telnet連接有效。
【舉例】
# Telnet登錄到遠程主機(IP地址為1.1.1.2),並指定發送Telnet報文的源IP地址為1.1.1.1。
<Sysname> telnet 1.1.1.2 source ip 1.1.1.1
【相關命令】
· telnet client source
telnet client source命令用來指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口。
undo telnet client source命令用來恢複缺省情況。
【命令】
telnet client source { interface interface-type interface-number | ip ip-address }
undo telnet client source
【缺省情況】
未指定發送Telnet報文的源IPv4地址和源接口,使用報文路由出接口的主IPv4地址作為Telnet報文的源地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定源接口,發送的Telnet報文的源IPv4地址為該接口的地址。interface-type interface-number為接口類型和接口編號。
ip ip-address:指定發送Telnet報文的源IPv4地址。
【使用指導】
本命令指定的源IPv4地址或源接口對所有Telnet連接有效。
若同時使用本命令和telnet命令指定源IPv4地址或源接口,則以telnet命令指定的源IP地址或源接口為準。
【舉例】
# 設備作為Telnet客戶端時,指定發送的Telnet報文的源IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] telnet client source ip 1.1.1.1
【相關命令】
· display telnet client
telnet ipv6命令用於IPv6組網環境下,Telnet登錄到遠程主機,以便進行遠程管理。
【命令】
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
remote-host:遠端設備的IPv6地址或主機名。其中,主機名為1~253個字符的字符串,不區分大小寫,字符串僅可包含字母、數字、“-”、“_”或“.”。
-i interface-type interface-number:指定Telnet報文的出接口。interface-type interface-number為接口類型和接口編號。當Telnet指定的服務端IPv6地址是全球單播地址時,則不能指定該參數;當指定的服務端IPv6地址為鏈路本地地址時,必須指定該參數。
port-number:遠端設備提供Telnet服務的TCP端口號,取值範圍為0~65535,缺省值為23。
source:指定Telnet報文的源接口或源IPv6地址。如果未指定本參數,則使用路由出接口的主IPv6地址作為Telnet報文的源IPv6地址。
interface interface-type interface-number:指定源接口,發送的Telnet報文的源IPv6地址為該接口的主地址。interface-type interface-number為接口類型和接口編號。
ipv6 ipv6-address:指定Telnet報文的源IPv6地址。
dscp-value:IPv6 Telnet客戶端向服務器端發送Telnet報文的DSCP優先級,取值範圍為0~63,缺省值為48。
escape character:指定退出字符,該退出字符需要與字符“.”配合使用來斷開當前Telnet連接,並返回到上一級連接。character為一個字符,區分大小寫。退出字符不能與登錄用戶名相同,建議使用~,即輸入~.來中斷當前連接。
【使用指導】
用戶可以使用<Ctrl+K>組合鍵、quit命令或指定退出字符來中斷當前Telnet連接。這三種方式的使用如下:
· <Ctrl+K>組合鍵:斷開所有的連接。可在任意情況下使用。
· quit:斷開當前連接,並返回到上一級連接。在服務器端重啟或發生異常時該命令無法使用。
· 退出字符:斷開當前連接,並返回到上一級連接。可在任意情況下使用。
如果指定了退出字符,<Ctrl+K>組合鍵將失效。
使用退出字符時,必須在一行中首先輸入退出字符和.,該操作才能生效。若該行中曾經輸入過其它字符或執行了其它操作(比如退格),則需要重新換行輸入才能生效。
【舉例】
# Telnet登錄到遠程主機,IPv6地址為5000::1。
<Sysname> telnet ipv6 5000::1
# Telnet登錄到遠程主機,IPv6地址為2000::1,並指定Telnet報文的源IPv6地址為1000::1。
<Sysname> telnet ipv6 2000::1 source ipv6 1000::1
telnet server acl命令用來使用ACL(Access Controle List,訪問控製列表)限製哪些Telnet客戶端可以訪問設備。
undo telnet server acl命令用來恢複缺省情況。
【命令】
telnet server acl [ mac ] acl-number
undo telnet server acl
【缺省情況】
未使用ACL限製Telnet客戶端。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
mac:指定二層ACL。若不指定該關鍵字,則表示IPv4 ACL。
acl-number:ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv4基本ACL。
· 3000~3999:表示IPv4高級ACL。
· 4000~4999:需指定mac關鍵字,表示二層ACL。
【使用指導】
配置ACL限製Telnet客戶端時:
· 當未引用ACL時,允許所有登錄用戶訪問設備;
· 當引用的ACL不存在、或者引用的ACL為空時,禁止所有登錄用戶訪問設備;
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其他用戶不允許訪問設備,以免非法用戶使用Telnet訪問設備。
· 如果多次使用該命令配置Telnet服務與ACL關聯,最新配置生效。
關於ACL的詳細描述和介紹請參見“安全配置指導”中的“ACL”。
該配置隻過濾新建立的Telnet連接,不會對已建立的Telnet連接和操作造成影響。
【舉例】
# 僅允許地址為1.1.1.1的用戶通過Telnet訪問本設備。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] telnet server acl 2001
telnet server acl-deny-log enable命令用來開啟匹配ACL deny規則後打印日誌信息功能。
undo telnet server acl-deny-log enable命令用來關閉匹配ACL deny規則後打印日誌信息功能。
【命令】
telnet server acl-deny-log enable
undo telnet server acl-deny-log enable
【缺省情況】
匹配ACL deny規則後打印日誌信息功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
通過配置telnet server acl或telnet server ipv6 acl命令,可限製Telnet客戶端對設備的訪問。此時,可通過開啟Telnet客戶端匹配ACL deny規則後打印日誌信息功能,記錄訪問Telnet服務器受限的Telnet客戶端信息。
執行本配置後,Telnet客戶端匹配ACL deny規則時,將產生日誌信息。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。
【舉例】
# 開啟Telnet客戶端匹配ACL deny規則後打印日誌信息功能。
<Sysname> system-view
[Sysname] telnet server acl-deny-log enable
【相關命令】
· telnet server acl
· telnet server ipv6 acl
telnet server dscp命令用來配置Telnet服務器發送Telnet報文的DSCP優先級。
undo telnet server dscp命令用來恢複缺省情況。
【命令】
telnet server dscp dscp-value
undo telnet server dscp
【缺省情況】
Telnet服務器發送Telnet報文的DSCP優先級為48。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dscp-value:Telnet報文的DSCP優先級,取值範圍為0~63。
【使用指導】
DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【舉例】
# 配置Telnet服務器發送報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] telnet server dscp 30
telnet server enable命令用來開啟Telnet服務。
undo telnet server enable命令用來關閉Telnet服務。
【命令】
telnet server enable
undo telnet server enable
【缺省情況】
Telnet服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有使能Telnet服務後,才允許網絡管理員通過Telnet協議登錄設備。
【舉例】
# 使能Telnet服務。
<Sysname> system-view
[Sysname] telnet server enable
telnet server ipv6 acl命令用來使用ACL限製哪些IPv6 Telnet客戶端可以訪問設備。
undo telnet server ipv6 acl命令用來恢複缺省情況。
【命令】
telnet server ipv6 acl { ipv6 | mac } acl-number
undo telnet server ipv6 acl
【缺省情況】
未使用ACL限製Telnet客戶端。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定IPv6 ACL。
mac:指定二層ACL。
acl-number:ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:需指定ipv6關鍵字,表示IPv6基本ACL。
· 3000~3999:需指定ipv6關鍵字,表示IPv6高級ACL。
· 4000~4999:需指定mac關鍵字,表示二層ACL。
【使用指導】
配置ACL限製IPv6 Telnet客戶端時:
· 當未引用ACL時,允許所有登錄用戶訪問設備;
· 當引用的ACL不存在、或者引用的ACL為空時,禁止所有登錄用戶訪問設備;
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其他用戶不允許訪問設備,以免非法用戶使用Telnet訪問設備。
· 如果多次使用該命令配置Telnet服務與ACL關聯,最新配置生效。
關於ACL的詳細描述和介紹請參見“安全配置指導”中的“ACL”。
該配置隻過濾新建立的Telnet連接,不會對已建立的Telnet連接和操作造成影響。
【舉例】
# 僅允許地址為2000::1的用戶通過Telnet訪問本設備。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl6-ipv6-basic-2001] rule permit source 2000::1 128
[Sysname-acl6-ipv6-basic-2001] quit
[Sysname] telnet server ipv6 acl ipv6 2001
telnet server ipv6 dscp命令用來配置IPv6 Telnet服務器發送報文的DSCP優先級。
undo telnet server ipv6 dscp命令用來恢複缺省情況。
【命令】
telnet server ipv6 dscp dscp-value
undo telnet server ipv6 dscp
【缺省情況】
IPv6 Telnet服務器發送IPv6 Telnet報文的DSCP優先級為48。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dscp-value:IPv6 Telnet報文的DSCP優先級,取值範圍為0~63。
【使用指導】
DSCP攜帶在IPv6報文中的Traffic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【舉例】
# 配置IPv6 Telnet服務器發送的報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] telnet server ipv6 dscp 30
telnet server ipv6 port命令用來配置IPv6網絡Telnet協議的端口號。
undo telnet server ipv6 port命令用來恢複缺省情況。
【命令】
telnet server ipv6 port port-number
undo telnet server ipv6 port
【缺省情況】
IPv6網絡Telnet協議的端口號為23。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
port-number:IPv6網絡Telnet協議端口號,取值範圍為23或1025~65535。
【使用指導】
配置IPv6網絡Telnet協議的端口號後,當前所有與Telnet服務器的IPv6網絡Telnet連接將被斷開,此時需要重新建立Telnet連接。
【舉例】
# 配置IPv6網絡Telnet協議的端口號為1026。
<Sysname> system-view
[Sysname] telnet server ipv6 port 1026
telnet server port命令用來配置IPv4網絡Telnet協議的端口號。
undo telnet server port命令用來恢複缺省情況。
【命令】
telnet server port port-number
undo telnet server port
【缺省情況】
IPv4網絡Telnet協議的端口號為23。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
port-number:IPv4網絡Telnet協議的端口號,取值範圍為23或1025~65535。
【使用指導】
配置IPv4網絡Telnet協議的端口號後,當前所有與Telnet服務器的IPv4網絡Telnet連接將被斷開,此時需要重新建立Telnet連接。
【舉例】
# 配置IPv4網絡Telnet協議的端口號為1025。
<Sysname> system-view
[Sysname] telnet server port 1025
terminal type命令用來設置當前用戶線下的終端顯示類型。
undo terminal type命令用來恢複缺省情況。
【命令】
terminal type { ansi | vt100 }
undo terminal type
【缺省情況】
終端顯示類型為ANSI。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
ansi:終端顯示類型為ANSI類型。
vt100:終端顯示類型為VT100類型。
【使用指導】
設備支持ANSI和VT100兩種終端顯示類型。當設備的終端類型與客戶端(如超級終端或者Telnet客戶端等)的終端類型不一致,或者均設置為ANSI時,並且當前編輯行的總字符數超過80個字符時,客戶端會出現光標錯位、終端屏幕不能正常顯示的現象。建議兩端都設置為VT100類型。
當用戶線視圖下的配置為缺省值時,將采用用戶線類視圖下配置的值;如果用戶線類視圖下的屬性配置也為缺省值時,則采用該用戶線下配置的缺省值。
用戶線視圖/用戶線類視圖下配置的終端顯示類型都在下次登錄時生效。
【舉例】
# 設置終端顯示類型為VT100類型。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] terminal type vt100
user-interface命令用來進入一個或多個用戶線視圖。
【命令】
user-interface { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
first-number1:第一個用戶線的編號(絕對編號方式),取值範圍為0~64。
last-number1:最後一個用戶線的編號(絕對編號方式),取值範圍為1~64,該參數取值必須大於first-number1。
console:Console用戶線。
vty:VTY用戶線。
first-number2:第一個用戶線的編號(相對編號方式),對於Console用戶線取值為0,對於VTY用戶線取值範圍為0~63。
last-number2:最後一個用戶線的編號(相對編號方式),對於Console用戶線不支持,對於VTY用戶線取值範圍為1~63,該參數取值必須大於first-number2。
【使用指導】
該命令實現與line一致,僅為與舊版本兼容保留,請使用line。
進入一個用戶線視圖進行配置後,該配置隻對該用戶視圖有效。
進入多個用戶線視圖進行配置後,該配置對這些用戶視圖均有效。
【舉例】
# 進入Console 0用戶線視圖。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-line-console0]
# 進入VTY 0~4用戶線視圖。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-line-vty0-4]
【相關命令】
· user-interface class
user-interface class命令用來進入用戶線類視圖。
【命令】
user-interface class { console | vty }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
console:Console用戶線類。
vty:VTY用戶線類。
【使用指導】
該命令實現與line class一致,僅為與舊版本兼容保留,請使用line class。
用戶線視圖下的配置隻對該用戶線生效。
用戶線類視圖下的配置修改不會立即生效,當用戶下次登錄後所修改的配置值才會生效。
user-interface class命令用來進入用戶線類視圖,user-interface命令用來進入一個或多個用戶線視圖。對於同時支持這兩種視圖的命令:
· 用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。如果用戶線類視圖下的屬性配置也為缺省值時,則直接采用該屬性的缺省值。
用戶線類視圖下支持的命令有:
· activation-key
· authentication-mode
· auto-execute command
· command accounting
· command authorization
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【舉例】
# 在VTY用戶線類視圖下,將用戶連接的超時時間的缺省值設置為15分鍾。
<Sysname> system-view
[Sysname] user-interface class vty
[Sysname-line-class-vty] idle-timeout 15
# 在Console用戶線類視圖下,將終端會話的快捷鍵設置為<s>。
<Sysname> system-view
[Sysname] user-interface class console
[Sysname-line-class-console] activation-key s
[Sysname-line-class-console] quit
· 在Console用戶線視圖下,將終端會話的快捷鍵設置為缺省值(可以使用undo activation-key或者直接使用activation-key 13進行配置)。
[Sysname] user-interface console 0
[Sysname-line-console0] undo activation-key
· 此時生效的快捷鍵為用戶線類視圖下的配置,驗證過程如下:
· 退出終端會話。
[Sysname-line-console0] return
<Sysname> quit
· 重新登錄設備,能看到如下顯示信息。
Press ENTER to get started.
· 此時,<Enter>鍵失效,需要按<s>鍵才能出現用戶視圖提示符,啟動終端會話。
<Sysname>
【相關命令】
· user-interface
user-role命令用來配置從當前用戶線登錄係統的用戶角色。
undo user-role命令用來刪除用戶角色或恢複缺省情況。
【命令】
user-role role-name
undo user-role [ role-name ]
【缺省情況】
通過Console口登錄係統的缺省用戶角色為network-admin。通過其他接口登錄係統的缺省用戶角色為network-operator。
【視圖】
用戶線視圖
用戶線類視圖
【缺省用戶角色】
network-admin
【參數】
role-name:用戶角色名稱,為1~63個字符的字符串,區分大小寫。可以是係統預定義的角色名稱,包括network-admin、network-operator、level-0~level-15,也可以是自定義的用戶角色名稱。不指定該參數時,表示恢複到缺省情況。係統預定義角色security-audit和guest-manager不支持在用戶線/用戶線類視圖下進行配置。
【使用指導】
在用戶線視圖/用戶線類視圖下使用該命令設置的用戶角色將在下次登錄設備時生效。
當用戶線視圖下的屬性配置為缺省值時,將采用該用戶線類視圖下配置的用戶角色。如果用戶線類視圖下配置的用戶角色也為缺省值時,則直接采用該用戶線下的缺省值。
僅具有network-admin或者level-15用戶角色的用戶可以執行該命令。其他角色的用戶,即使授權了該命令的操作權限,也不能執行該命令。
可通過多次執行本命令,配置多個用戶角色,最多可配置64個。用戶登錄後具有的權限是這些角色權限的集合。
關於用戶角色的詳細介紹請參見“基礎配置指導”中的“RBAC”。
【舉例】
# 設置從VTY用戶線登錄係統的用戶角色為network-admin。
<Sysname> system-view
[Sysname] line vty 0 31
[Sysname-line-vty0-31] user-role network-admin
web captcha命令用來配置用戶訪問Web的固定校驗碼。
undo web captcha命令用來恢複缺省情況。
【命令】
web captcha verification-code
undo web captcha
【缺省情況】
用戶隻能使用Web頁麵顯示的校驗碼訪問Web。
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
verification-code:訪問Web的固定校驗碼,為4個字符的字符串,區分大小寫。
【使用指導】
配置該命令後,不管Web登錄頁麵顯示的校驗碼是什麼,用戶隻要輸入該固定的校驗碼,即可訪問設備。本命令主要用於測試環境,當需要對設備的Web功能進行測試時,可以配置一個固定的校驗碼,使用腳本即可登錄設備,以免每次測試都要手工輸入變化的校驗碼,影響測試效率。
設備在網絡中正常使用的時候,建議不要配置該命令,以免降低Web訪問的安全性。
多次配置該命令,最新配置生效。
該命令不能保存到配置文件,設備重啟後失效。
【舉例】
# 設置訪問Web的固定校驗碼為test。
<Sysname> web captcha test
web https-authorization mode命令用來設置使用HTTPS登錄設備的認證模式。
undo web https-authorization mode命令用來恢複缺省情況。
【命令】
web https-authorization mode { auto | manual }
undo web https-authorization mode
【缺省情況】
使用HTTPS登錄設備的認證模式為manual。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
auto:表示用戶通過HTTPS登錄設備時,使用客戶端的PKI證書自動認證登錄。
manual:表示用戶通過HTTPS登錄設備時,設備給出登錄頁麵,用戶必須輸入合法的用戶名和密碼後才能登錄。
【使用指導】
當選用auto認證模式時,設備客戶端的PKI證書自動認證登錄:
· 當用戶側的證書正確且未超期,則讀取證書中的CN字段作為用戶名,進行AAA認證。如果認證成功,則自動進入設備的Web界麵;
· 當用戶側的證書有效且未超期,但AAA認證失敗,則回到登錄界麵(如果此時用戶輸入合法的用戶名和密碼仍然能夠登錄);
· 當用戶側的證書錯誤或超期,則斷開HTTPS連接。
【舉例】
# 設置Web的HTTPS認證模式為auto。
<Sysname> system-view
[Sysname] web https-authorization mode auto
web idle-timeout命令用來設置Web閑置超時時間。
undo web idle-timeout命令用來恢複缺省情況。
【命令】
web idle-timeout idle-time
undo web idle-timeout
【缺省情況】
Web閑置超時時間為10分鍾。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
idle-time:Web閑置超時時間,取值範圍為1~999,單位為分鍾。
【使用指導】
當某Web用戶在idle-time內一直沒有操作Web頁麵,包括點擊鼠標或鍵盤操作(隻是移動鼠標,不會延長用戶的下線時間),則係統會強製斷開該用戶的Web鏈接,使該用戶下線。從而盡量避免在用戶離開登錄終端期間,非法用戶對設備進行配置。
需要注意的是,修改Web線的閑置超時時間,會影響正在訪問的用戶。
【舉例】
# 設置Web閑置超時時間為100分鍾。
<Sysname> system-view
[Sysname] web idle-timeout 100
webui log enable命令用來開啟Web操作日誌功能。
undo webui log enable命令用來關閉Web操作日誌功能。
【命令】
webui log enable
undo webui log enable
【缺省情況】
Web操作日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟Web操作日誌功能,比較關鍵的Web操作(比如修改係統時間)會產生對應的Web操作日誌,輸出到信息中心。通過設置信息中心的參數,最終決定Web操作日誌的輸出規則(即是否允許輸出以及輸出方向)
Web操作日誌,采用固定的模塊名”WEB”;日誌助記符有統一的前綴”WEBOPT_”;同時Web操作日誌還包含Web用戶信息:Web客戶端IP地址和Web用戶名。
【舉例】
# 開啟Web操作日誌功能,Web用戶執行修改係統時間的操作。
<Sysname> system-view
[Sysname] webui log enable
當Web用戶執行修改係統時間的操作時,設備上將輸出如下日誌:
%Mar 25 14:32:38:802 2013 H3C WEB/6/WEBOPT_SET_TIME: -HostIP=192.168.100.235-User=Admin; Set the system date and time to 2013-05-27T10:00:00.
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
