- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-登錄設備命令
本章節下載: 03-登錄設備命令 (440.46 KB)
目 錄
1.1.20 history-command max-size
1.1.26 ip https certificate access-control-policy
1.1.29 ip https ssl-server-policy
1.1.41 set authentication password
1.1.52 telnet server ipv6 dscp
1.1.53 telnet server ipv6 port
1.1.60 web https-authorization mode
對於同時支持用戶線視圖和用戶線類視圖的命令,本文中的命令描述隻描述用戶線視圖下命令的作用,對於用戶線類視圖下該命令的作用,請按照下列規則進行類推:
· 用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 用戶線視圖下的配置隻對該用戶線生效。
· 用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。如果用戶線類視圖下的屬性配置也為缺省值時,則直接采用該屬性的缺省值。
activation-key命令用來配置啟動終端會話的快捷鍵。
undo activation-key命令用來恢複缺省情況。
【命令】
activation-key key-string
undo activation-key
【缺省情況】
按<Enter>鍵啟動終端會話。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
key-string:定義啟動終端會話的快捷鍵,可以是區分大小寫的單個字符,也可以是單個字符或組合鍵對應的ACSII碼(0~127)。比如設置activation-key 1,此時生效快捷鍵為Ctrl+A;如果設置activation-key a,生效的快捷鍵為a。
【使用指導】
如果使用activation-key命令設置了其他快捷鍵,則新的快捷鍵將代替<Enter>鍵來啟動終端會話。使用ASCII碼配置相應的快捷鍵時,單個字符的快捷鍵對應的ASCII碼與標準的ASCII碼表一致,組合鍵對應的ASCII碼請參見表1-1。
新設置的快捷鍵可以使用display current-configuration | include activation-key命令查看。
如果用戶線視圖下配置activation-key為缺省值,並且此時用戶線類視圖下配置了activation-key,那麼用戶線視圖下的生效配置值為用戶線類視圖下的配置;如果用戶線類視圖下未配置,則生效的為缺省值。
在用戶線/用戶線類視圖下,該命令的配置結果將立即生效。
VTY用戶線視圖/VTY用戶線類視圖不支持該命令。
表1-1 Ctrl+X組合鍵對應的ASCII碼表
|
Ctrl+X組合鍵 |
對應的ASCII碼 |
|
CTRL+A |
1 |
|
CTRL+B |
2 |
|
CTRL+C |
3 |
|
CTRL+D |
4 |
|
CTRL+E |
5 |
|
CTRL+F |
6 |
|
CTRL+G |
7 |
|
CTRL+H |
8 |
|
CTRL+I |
9 |
|
CTRL+J |
10 |
|
CTRL+K |
11 |
|
CTRL+L |
12 |
|
CTRL+M |
13 |
|
CTRL+N |
14 |
|
CTRL+O |
15 |
|
CTRL+P |
16 |
|
CTRL+Q |
17 |
|
CTRL+R |
18 |
|
CTRL+S |
19 |
|
CTRL+T |
20 |
|
CTRL+U |
21 |
|
CTRL+V |
22 |
|
CTRL+W |
23 |
|
CTRL+X |
24 |
|
CTRL+Y |
25 |
|
CTRL+Z |
26 |
【舉例】
# 指定啟動Console口終端會話的快捷鍵為<s>。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] activation-key s
驗證過程如下:
· 退出Console口終端會話。
[Sysname-line-console0] return
<Sysname> quit
· 重新使用Console口登錄設備,能看到如下顯示信息。
Press ENTER to get started.
· 此時,<Enter>鍵失效,需要按<s>鍵才能出現用戶視圖提示符,啟動Console口終端會話。
<Sysname>
authentication-mode命令用來設置用戶使用當前用戶線登錄設備時的認證方式。
undo authentication-mode命令用來恢複缺省情況。
【命令】
authentication-mode { none | password | scheme }
undo authentication-mode
【缺省情況】
出廠配置中,使用VTY用戶線登錄的用戶的認證方式為scheme,使用Console用戶線登錄的認證方式為scheme。
缺省情況下,使用VTY用戶線登錄的用戶的認證方式為password,使用Console用戶線登錄的用戶不需要認證。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
none:指定不進行認證。
password:指定進行密碼認證方式。
scheme:指定進行AAA認證方式。AAA的相關內容請參見“安全配置指導”中的“AAA”。
【使用指導】
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
用戶線視圖下,對authentication-mode和protocol inbound進行關聯綁定。
當這兩條命令均配置為缺省值,此時該用戶線視圖下的這兩條命令配置值均取該類用戶線類視圖下的相應的配置;若該類用戶線類視圖下沒有進行相應的配置,則均取缺省值。
當兩條命令中的任意一條配置了非缺省值,那麼另外一條取缺省值。當兩條命令都配置成非缺省值,則均取用戶線下的配置值。
僅具有network-admin、context-admin或者level-15用戶角色的用戶可以執行該命令。其他角色的用戶,即使授權了該命令的操作權限,也不能執行該命令。
需要注意的是,在用戶線視圖/用戶線類視圖下,該命令的配置結果將在下次登錄設備時生效。
【舉例】
# 設置用戶使用VTY 0用戶線登錄設備時,不需要認證。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode none
# 設置用戶使用VTY 0用戶線登錄設備時,需要密碼認證,認證密碼為321。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple 321
# 設置用戶使用VTY 0用戶線,采用Telnet方式登錄設備時采用本地AAA認證,用戶名為123,認證密碼為321,用戶角色為network-admin。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode scheme
[Sysname-line-vty0] quit
[Sysname] local-user 123
[Sysname-luser-manage-123] password simple 321
[Sysname-luser-manage-123] service-type telnet
[Sysname-luser-manage-123] authorization-attribute user-role network-admin
【相關命令】
· set authentication password
auto-execute command命令用來設置自動執行命令。
undo auto-execute command命令用來恢複缺省情況。
【命令】
auto-execute command command
undo auto-execute command
【缺省情況】
未配置自動執行命令。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
command:需要自動執行的某條命令。
【使用指導】
用戶在登錄時設備會自動執行auto-execute command配置好的命令,執行完命令後,自動斷開用戶連接。
該命令通常的用法是:配置auto-execute command telnet X.X.X.X,使用戶通過該用戶線登錄設備時能自動連接到指定的主機。用戶斷開與指定主機的連接後,用戶與該設備的連接才會自動斷開。
在用戶線視圖/用戶線類視圖下配置該命令時,需要注意:
· Console用戶線視圖/Console用戶線類視圖不支持該命令。
· 如果用戶線視圖下配置auto-execute command為缺省值,並且此時用戶線類視圖下配置了auto-execute command,那麼用戶線視圖下的生效配置值為用戶線類視圖下的配置;如果用戶線類視圖下未配置,則生效的為缺省值。
使用該命令設置的自動執行命令將在下次登錄設備時生效。
在配置auto-execute command命令之前,請確保可以通過其它用戶線(比如Console用戶線)登錄係統,以便出現問題後,能刪除該配置。
執行auto-execute command命令後,可能導致用戶不能通過該終端線對本係統進行配置,需謹慎使用。
【舉例】
# 配置用戶從VTY0登錄本設備(IP地址為192.168.1.40)後,自動Telnet到IP地址為192.168.1.41的設備。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] auto-execute command telnet 192.168.1.41
This action will lead to configuration failure through line-vty0. Are you sure?
[Y/N]:y
[Sysname-line-vty0]
結果驗證:
重新Telnet登錄到本設備,設備會自動執行telnet 192.168.1.41命令,在Telnet客戶端會看到以下顯示信息。
C:\> telnet 192.168.1.40
********************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
********************************************************************************
<Sysname>
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
********************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
********************************************************************************
<Sysname.41>
此時相當於用戶直接登錄了192.168.1.41設備。如果用戶斷開與192.168.1.41的Telnet連接,用戶與192.168.1.40設備的Telnet連接也會同時自動斷開。
command accounting命令用來開啟命令行計費功能。
undo command accounting命令用來關閉命令行計費功能。
【命令】
command accounting
undo command accounting
【缺省情況】
命令行計費功能處於關閉狀態,即計費服務器不會記錄用戶執行的命令行。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟命令行計費功能後,如果未配置命令行授權功能,則當前用戶執行的每一條合法命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則當前用戶執行的並且授權成功的命令都會發送到HWTACACS服務器上做記錄。
如果在用戶線類視圖下使用command accounting命令使能了命令行計費功能,則該類型用戶線視圖都使能命令行計費功能,且用戶線視圖下無法使用undo command accounting恢複缺省情況。
需要注意的是,在用戶線視圖/用戶線類視圖下,該命令的配置結果將在下次登錄設備時生效。
【舉例】
# 設置用戶使用VTY 0用戶線登錄設備時,執行的命令需要在HWTACACS服務器上做記錄。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] command accounting
【相關命令】
· command authorization
· accounting command(安全命令參考/AAA)
command authorization命令用來開啟命令行授權功能。
undo command authorization命令用來關閉命令行授權功能。
【命令】
command authorization
undo command authorization
【缺省情況】
命令行授權功能處於關閉狀態,即用戶登錄後執行命令行不需要服務器授權。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟命令行授權功能後,使用該用戶線登錄的用戶隻能執行服務器授權的命令,服務器沒有授權的命令不能執行。
如果在用戶線類視圖下使用command authorization命令開啟了命令行授權功能,則該類型用戶線視圖都開啟命令行授權功能,且用戶線視圖下無法使用undo command authorization恢複缺省情況。
需要注意的是,在用戶線視圖/用戶線類視圖下該命令的配置結果將在下次登錄設備時生效。
【舉例】
# 設置用戶使用VTY 0用戶線登錄設備時,需要服務器授權才能執行命令。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] command authorization
【相關命令】
· command accounting
· authorization command(安全命令參考/AAA)
databits命令用來設置數據位的個數。
undo databits命令用來恢複缺省情況。
【命令】
databits { 5 | 6 | 7 | 8 }
undo databits
【缺省情況】
用戶線的數據位為8位。
【視圖】
用戶線視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
5:數據位為5位,即使用5比特來表示一個字符。
6:數據位為6位,即使用6比特來表示一個字符。
7:數據位為7位,即使用7比特來表示一個字符。
8:數據位為8位,即使用8比特來表示一個字符。
【使用指導】
訪問終端和設備相應用戶線下數據位的設置必須一致,雙方才能正常通信。
VTY用戶線類視圖不支持該命令。
【舉例】
# 設置數據位為7位。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] databits 7
display ip http命令用來顯示HTTP的狀態信息。
【命令】
display ip http
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示HTTP的狀態信息。
<Sysname> display ip http
HTTP port: 80
Basic ACL: 2222
HTTP status: Enabled
表1-2 display ip http命令顯示信息描述表
|
字段 |
描述 |
|
HTTP port |
HTTP服務使用的端口號 |
|
Basic ACL |
與HTTP服務關聯的基本訪問控製列表號,0表示未配置 |
|
HTTP status |
HTTP服務是否開啟: Enabled:表示HTTP服務處於開啟狀態 Disabled:表示HTTP服務處於關閉狀態 |
【相關命令】
· ip http port
· ip http acl
· ip http enable
display ip https命令用來顯示HTTPS的狀態信息。
【命令】
display ip https
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示HTTPS的狀態信息。
<Sysname> display ip https
HTTPS port: 443
SSL server policy: test
Certificate access-control-policy: Not configured
Basic ACL: 2222
Operation status: Enabled
表1-3 display ip https命令顯示信息描述表
|
字段 |
描述 |
|
HTTPS port |
HTTPS服務使用的端口號 |
|
SSL server policy |
與HTTPS服務關聯的SSL服務器端策略,Not configured表示未配置 |
|
Certificate access-control-policy |
與HTTPS服務關聯的證書屬性訪問控製策略,Not configured表示未配置 |
|
Basic ACL |
與HTTPS服務關聯的基本訪問控製列表號,0表示未配置 |
|
Operation status |
HTTPS服務是否開啟: Enabled:表示HTTPS服務處於開啟狀態 Disabled:表示HTTPS服務處於關閉狀態 |
【相關命令】
· ip https port
· ip https acl
· ip https enable
· ip https ssl-server-policy
· ip https certificate access-control-policy
display line命令用來顯示用戶線的相關信息。
【命令】
display line [ number1 | { console | vty } number2 ] [ summary ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
number1:用戶線的編號(絕對編號方式),取值範圍為0~65。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式)。
summary:顯示用戶線的摘要信息。不使用該參數時,將顯示用戶線類型、絕對/相對編號、傳輸速率、認證方式及接入接口;使用該參數時,將顯示正在使用和未使用的用戶線數目和類型。
【舉例】
# 顯示用戶線0的相關信息。
<Sysname> display line 0
Idx Type Tx/Rx Modem Auth Int Location
+ 0 CON 0 9600 - N - 1/0
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表1-4 display line命令顯示信息描述表
|
字段 |
描述 |
|
+ |
表示當前正在使用的用戶線 |
|
F |
表示當前正在使用的用戶線,且工作在異步方式 |
|
Idx |
用戶線的絕對編號 |
|
Type |
用戶線的類型及相對編號 |
|
Tx/Rx |
用戶線的速率 |
|
Modem |
(暫不支持)Modem的呼入/呼出開關,取值有in(允許呼入)、out(允許呼出)、inout(允許呼入呼出),缺省顯示“-”(表示未配置) |
|
Auth |
使用該用戶線登錄的用戶的認證方式,取值有A、L、N和P四種方式 |
|
Int |
用戶線對應的物理接口的簡稱表示(沒有對應接口的用戶線均顯示“-”,但console口除外,即使console口有對應的物理接口,此處仍顯示為“-”) |
|
Location |
用戶線的物理位置,顯示為“槽位號/CPU編號” |
|
A |
表示使用AAA認證方式,對應的authentication-mode為scheme |
|
N |
表示無需認證,對應的authentication-mode為none |
|
P |
表示使用當前用戶線的密碼進行認證,對應的authentication-mode為password |
# 顯示所有用戶線的摘要信息。
<Sysname> display line summary
Line type : [CON]
0:U
Line type : [VTY]
2:UXXX X
2 lines used. (U)
5 lines not used. (X)
表1-5 display line summary命令顯示信息描述表
|
字段 |
描述 |
|
Line type |
用戶線類型(CON/VTY) |
|
0:X |
0表示用戶線的絕對編號,X表示當前沒有用戶使用該用戶線(U表示當前有用戶使用該用戶線)。比如“2:UXXX X”表示該行第一個用戶線的絕對編號是2,有用戶使用;第3、4、5、6號用戶線,沒有用戶使用 |
|
lines used. (U) |
當前正在使用的用戶線的數目(即U字符的個數) |
|
lines not used. (X) |
當前未使用的用戶線的數目(即X字符的個數) |
display telnet client命令用來顯示設備作為Telnet客戶端的相關配置信息。
【命令】
display telnet client
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【使用指導】
目前該命令顯示的是Telnet客戶端源IPv4地址或源接口的配置信息。用戶可以使用telnet client source命令指定Telnet客戶端源IPv4地址或源接口。
【舉例】
# 顯示設備作為Telnet客戶端的相關配置信息。
<Sysname> display telnet client
The source IP address is 1.1.1.1.
以上顯示信息表示設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址為1.1.1.1。
【相關命令】
· telnet client source
display user-interface命令用來顯示用戶線的相關信息。
【命令】
display user-interface [ number1 | { console | vty } number2 ] [ summary ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
number1:用戶線的編號(絕對編號方式),取值範圍為0~65。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式)。
summary:顯示用戶線的摘要信息。不使用該參數時,將顯示用戶線類型、絕對/相對編號、傳輸速率、認證方式及接入接口;使用該參數時,將顯示正在使用和未使用的用戶線數目和類型。
【使用指導】
該命令實現與display line一致,僅為與舊版本兼容保留,請使用display line。
【舉例】
# 顯示用戶線0的相關信息。
<Sysname> display user-interface 0
Idx Type Tx/Rx Modem Auth Int Location
+ 0 CON 0 9600 - N - 1/0
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表1-6 display user-interface命令顯示信息描述表
|
字段 |
描述 |
|
+ |
表示當前正在使用的用戶線 |
|
F |
表示當前正在使用的用戶線,且工作在異步方式 |
|
Idx |
用戶線的絕對編號 |
|
Type |
用戶線的類型及相對編號 |
|
Tx/Rx |
用戶線的速率 |
|
Modem |
(暫不支持)Modem的呼入/呼出開關,取值有in(允許呼入)、out(允許呼出)、inout(允許呼入呼出),缺省顯示“-”(表示未配置) |
|
Auth |
使用該用戶線登錄的用戶的認證方式,取值有A、L、N和P四種方式 |
|
Int |
用戶線對應的物理接口的簡稱表示(沒有對應接口的用戶線均顯示“-”) |
|
Location |
用戶線的物理位置,顯示為“槽位號/CPU編號” |
|
A |
表示使用AAA認證方式,對應的authentication-mode為scheme |
|
N |
表示無需認證,對應的authentication-mode為none |
|
P |
表示使用當前用戶線的密碼進行認證,對應的authentication-mode為password |
# 顯示所有用戶線的摘要信息。
<Sysname> display user-interface summary
Line type : [CON]
0:U
Line type : [VTY]
2:UXXX X
2 lines used. (U)
5 lines not used. (X)
表1-7 display user-interface summary命令顯示信息描述表
|
字段 |
描述 |
|
Line type |
用戶線類型(CON/VTY) |
|
0:X |
0表示用戶線的絕對編號,X表示當前沒有用戶使用該用戶線(U表示當前有用戶使用該用戶線)。比如“2:UXXX X”表示該行第一個用戶線的絕對編號是2,有用戶使用;第3、4、5、6號用戶線,沒有用戶使用 |
|
lines used. (U) |
當前正在使用的用戶線的數目(即U字符的個數) |
|
lines not used. (X) |
當前未使用的用戶線的數目(即X字符的個數) |
display users命令用來顯示當前正在使用的用戶線以及用戶的相關信息。
display users all命令用來顯示設備支持所有用戶線以及用戶的相關信息。
【命令】
display users [ all ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
all:顯示設備支持的所有用戶線以及用戶的相關信息。
【舉例】
# 顯示當前正在使用的用戶線以及用戶的相關信息。
<Sysname> display users
Idx Line Idle Time Pid Type
10 VTY 0 00:10:49 Jun 11 11:27:32 320 TEL
+ 11 VTY 1 00:00:00 Jun 11 11:39:40 334 TEL
Following are more details.
VTY 0 :
Location: 192.168.1.12
VTY 1 :
Location: 192.168.1.26
+ : Current operation user.
F : Current operation user works in async mode.
以上顯示信息表明,當前有兩個用戶已經登錄設備,用戶自己使用的是VTY 1用戶線,用戶的IP地址為192.168.1.26;另一個用戶使用的是VTY 0用戶線。
表1-8 display users命令顯示信息描述表
|
字段 |
描述 |
|
Idx |
用戶線的絕對編號 |
|
Line |
用戶線的相對編號,第一列(比如VTY)表示用戶線的類型,第二列(比如0)表示用戶線的相對編號 |
|
Idle |
空閑時間,表明用戶和設備沒有報文交互的時間長度,格式為hh:mm:ss。當空閑時間大於等於24小時時,顯示為old |
|
Time |
用戶本次登錄的時間 |
|
Pid |
用戶對應的進程ID(CLI用戶登錄時,係統會自動運行一個用戶登錄進程來監控用戶的操作) |
|
Type |
顯示用戶的登錄類型,如Telnet、SSH |
|
+ |
當前操作用戶 |
|
Location |
使用該用戶線登錄的用戶的位置信息(即用戶的IP地址) |
|
F |
當前操作用戶工作在異步模式 |
display web menu命令用來顯示Web的頁麵菜單樹。
【命令】
display web menu [ chinese ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
chinese:顯示Web的頁麵中文菜單樹。不指定該參數時,顯示Web的頁麵英文菜單樹。
【使用指導】
配置用戶角色對應的Web菜單項時,可以使用該命令查看係統支持的全部菜單樹。
【舉例】
# 顯示全部Web菜單信息。
<Sysname> display web menu
.
|--Dashboard: ID = dashboard
| |--Working monitor: ID = m_dashboard
| |--Flowing monitor: ID = m_flowdetection
| |--Threating monitor: ID = m_threatdetection
| |--Url monitor: ID = m_urldetection
| `--Interface Information: ID = m_ifinfopanel
|--Monitor: ID = m_monitor
| |--Attack Defense Logs: ID = m_atklog
| | |--Blacklist Logs: ID = m_blacklistlog
| | |--Blacklist Logs: ID = m_singleatk
| | |--Blacklist Logs: ID = m_scanatk
| | |--Blacklist Logs: ID = m_floodatk
| | |--Threat Log: ID = m_threatlog
| | |--URL Log: ID = m_urllog
| | `--Ffilter Log: ID = m_filefilterlog
| |--Application Audit Logs: ID = m_auditlogs
| | |--IM Chat Logs: ID = m_auditimchatlog
| | |--Community Logs: ID = m_auditcommunitylog
| | |--SearchEngine Logs: ID = m_auditsearchenginelog
| | |--Mail Logs: ID = m_auditmaillog
| | |--File Transfer Logs: ID = m_auditfiletransferlog
| | |--Relax/Stock Logs: ID = m_auditrelaxstocklog
| | `--Other Application Logs: ID = m_auditotherapplog
| |--Log: ID = m_monitorlog
| | |--System Log: ID = m_syslog
| | |--Operation Log: ID = m_operationlog
| | `--Traffic Log: ID = m_trafficlog
| |--Statistics: ID = m_rank
| | |--Traffic Rank: ID = m_trafficrank
| | | |--User Rank: ID = m_usertrafficrank
| | | |--App Rank: ID = m_apptrafficrank
| | | |--SrcIP Rank: ID = m_srciprank
| | | `--Virtual System Rank: ID = m_versystrafficrank
| | |--Threat Rank: ID = m_threadrank
| | | |--User Rank: ID = m_threaduserrank
| | | |--App Rank: ID = m_threadapprank
| | | |--Threat Type Rank: ID = m_threadtyperank
| | | |--Attacker Rank: ID = m_attackerrank
| | | |--Attack Target Rank: ID = m_attacktargetrank
| | | `--Threat Name Rank: ID = m_threadnamerank
| | |--URLFilter Rank: ID = m_urlfilterrank
| | | |--User Rank: ID = m_urluserrank
| | | |--Category Rank: ID = m_urlcategoryrank
| | | |--Website Rank: ID = m_urlwebsiterank
| | | |--SrcIP Rank: ID = m_urlsrciprank
| | | `--DstIP Rank: ID = m_urldstiprank
| | |--FFilter Rank: ID = m_ffilterrank
| | | `--FileType Rank: ID = m_filetyperank
| | |--Security Audit: ID = m_securityaudit
| | | |--Security Audit: ID = m_attackstatistics
| | | |--Clientverify Protectrunning: ID = m_clientverifyprotectrunning
| | | `--Blacklist Running: ID = m_blacklistrunning
| | |--Load Balancing Server Statistics Report: ID = m_lb_serverreport
| | | |--Virtual Server Statistics: ID = m_lb_vsstatistics
| | | |--Server Group Statistics: ID = m_lb_sfstatistics
| | | `--Real Server Statistics: ID = m_lb_rsstatistics
| | |--Load Balancing Link Statistics Report: ID = m_lb_linkreport
| | | |--Link Statistics: ID = m_lb_linkstatistics
| | | `--Link Group Statistics: ID = m_lb_linkgroupstatistics
| | |--DNS Proxy Statistics: ID = m_lb_dnsproxyreport
| | | |--DNS server Statistics: ID = m_lb_dnsserverstatistics
| | | `--DNS server pool Statistics: ID = m_lb_dnsserverpoolstatistics
| | `--Drop Stat: ID = m_dropstats
| |--Trend: ID = m_trend
| | |--Traffic Trend: ID = m_traffictrend
| | | |--User Trend: ID = m_appsorttraffictrend
| | | |--App Category Trend: ID = m_appcategorytraffictrend
| | | |--SrcIP Trend: ID = m_srciptrend
| | | |--App Trend: ID = m_apptraffictrend
| | | |--Virtual System Trend: ID = m_versystraffictrend
| | | `--BandWidth Trend: ID = m_tunneltraffictrend
| | |--Thread Trend: ID = m_threadtrend
| | | |--User Trend: ID = m_threadusertrend
| | | |--App Trend: ID = m_threadapptrend
| | | |--Threat Type Trend: ID = m_threadtypetrend
| | | |--Attacker Trend: ID = m_attackertrend
| | | |--Attack Target Trend: ID = m_attacktargettrend
| | | `--Threat Name Trend: ID = m_threadnametrend
| | |--URLFilter Trend: ID = m_urlfiltertrend
| | | |--User Trend: ID = m_urlusertrend
| | | |--Category Trend: ID = m_urlcategorytrend
| | | |--Website Trend: ID = m_urlwebsitetrend
| | | |--SrcIP Trend: ID = m_urlsrciptrend
| | | `--DstIP Trend: ID = m_urldstiptrend
| | `--FFilter Trend: ID = m_ffiltertrend
| | `--FileType Trend: ID = m_filetypetrend
| |--Session Show: ID = m_session
| |--User Information Center: ID = m_userinfocenter
| `--DNS Caches: ID = m_lb_dnscaches
|--Policy: ID = m_policy
| |--Security Policy: ID = m_firewall
| |--Attack Defense: ID = m_attackdefense
| | |--Attack Policy: ID = m_atkpolicy
| | |--Clientverify Protectip: ID = m_clientverifyprotectip
| | |--Blacklist Manual: ID = m_blacklistmanual
| | |--Clientverify Zone: ID = m_clientverifyzone
| | |--Attack Defense: ID = m_connlimitpolicies
| | `--Attack Defense: ID = m_urpf
| | |--IPv4 uRPF: ID = m_urpfzoneipv4
| | `--IPv6 uRPF: ID = m_urpfzoneipv6
| |--NAT: ID = m_nat
| | |--Nat Basicchange: ID = m_natbasicchange
| | |--Nat Outbound: ID = m_natoutboundconfig
| | | |--Nat Outbound: ID = m_natoutbound
| | | `--NAT Addrgrp: ID = m_nataddrgrp
| | |--Nat Server: ID = m_natserverconfig
| | | |--Nat Server: ID = m_natserver
| | | `--Nat Servergrp: ID = m_natservergrp
| | |--Nat Static Change: ID = m_natstaticchange
| | | |--Nat Static Outbound: ID = m_natstaticoutbound
| | | `--Nat Static Apply: ID = m_natstaticapply
| | |--Nat Outbound444: ID = m_natoutbound444config
| | | |--Nat Outbound444: ID = m_natoutbound444
| | | `--Nat Addrgrp444: ID = m_nataddrgrp444
| | |--Nat Outboundstatic444: ID = m_natoutboundstatic444config
| | | |--Nat Outboundstatic444: ID = m_natoutboundstatic444
| | | `--Nat Portgrp: ID = m_natportgrp
| | `--Nat Settings: ID = m_natsettings
| | |--Nat Dynamicsettings: ID = m_natdynamicsettings
| | |--Nat Dns: ID = m_natdns
| | |--Nat Hairpin: ID = m_nathairpin
| | `--NAT ALG: ID = m_natalg
| |--Application Audit: ID = m_appaudit
| | |--Audit Policy: ID = m_auditpolicy
| | `--KeywordGroups: ID = m_keywordgroups
| |--Bandwidth Management: ID = m_bandwidthmanagement
| | |--Traffic Policy: ID = m_bandwidthpolicy
| | |--Traffic Profile: ID = m_bandwidthchannel
| | `--Interface Bandwidth: ID = m_interfacebandwidth
| `--Load Balancing: ID = m_loadbalance
| |--Global Configuration: ID = m_lb_globalconfig
| | |--Link: ID = m_lb_linkserver
| | |--Sticky Group: ID = m_lb_sticky
| | |--SNAT Pool: ID = m_lb_snat
| | |--Health Monitor: ID = m_healthmonitor
| | |--Proximity: ID = m_lb_proximity
| | |--ALG: ID = m_lb_alg
| | |--ISP: ID = m_lb_isp
| | `--Region: ID = m_lb_region
| |--Server Load Balancing: ID = m_lb_server
| | |--Quick Configuration: ID = m_lb_serverquickconfigs
| | |--Virtual Server: ID = m_lb_virtualserver
| | |--Server Pool: ID = m_lb_serverfarm
| | |--Real Server: ID = m_lb_realserver
| | |--Advanced Policies: ID = m_lb_policy
| | `--Profile: ID = m_lb_profile
| `--Link Load Balancing: ID = m_lb_link
| |--Outbound Link Load Balancing: ID = m_lb_outbound
| |--Inbound Link Load Balancing: ID = m_lb_inbound
| `--DNS Proxy: ID = m_lb_dnsproxy
|--Object: ID = m_resource
| |--User: ID = m_user
| | |--User Control: ID = m_usercontrol
| | | |--Local Users: ID = m_localuser
| | | `--Identity Users: ID = m_identifyuser
| | |--Authentication: ID = m_authentication
| | | |--ISP Domains: ID = m_ispdomain
| | | `--RADIUS: ID = m_radius
| | `--Access: ID = m_access
| | `--Portal: ID = m_portal
| |--APPSecurity: ID = m_dpi
| | |--IPS: ID = m_ipscfg
| | | |--Profile: ID = m_ips
| | | `--Signature: ID = m_ipssignature
| | |--Anti-Virus: ID = m_antiviruscfg
| | | `--Profile: ID = m_antivirus
| | |--Data Filtering: ID = m_dfltcfg
| | | |--Data Filtering: ID = m_dflt
| | | `--Data Filtering: ID = m_keywordsgroup
| | |--URL Filtering: ID = m_ufltcfg
| | | |--URL Category: ID = m_urlcategory
| | | `--URL Filtering: ID = m_uflt
| | |--File Filtering: ID = m_ffltcfg
| | | |--Profile: ID = m_fflt
| | | `--File Type Group: ID = m_filefiltergrp
| | |--Application Protocol Recognition: ID = m_apprecognition
| | | |--Application Protocol Recognition: ID = m_applications
| | | `--Application Protocol Recognition: ID = m_appgroup
| | |--Security Action: ID = m_securityaction
| | | |--Block: ID = m_block
| | | |--Redirect: ID = m_redirect
| | | |--Capture: ID = m_capture
| | | |--Logging: ID = m_logging
| | | `--Mail: ID = m_mail
| | `--Advanced Configuration: ID = m_dpicfg
| |--Object Group: ID = m_objectgroup
| | |--IPv4: ID = m_ipv4objectgroup
| | |--IPv6: ID = m_ipv6objectgroup
| | |--Services: ID = m_serviceobjectgroup
| | `--Time Range: ID = m_timerange
| |--ACL: ID = m_acl
| | |--IPv4: ID = m_ipv4acl
| | |--IPv6: ID = m_ipv6acl
| | `--Ethernet: ID = m_macacl
| |--SSL: ID = m_ssl
| | |--SSLSERVER: ID = m_sslserver
| | |--SSLCLIENT: ID = m_sslclient
| | `--SSLADVANCED: ID = m_ssladvancesettiing
| |--Public Key: ID = m_publickey
| | |--Local Keys: ID = m_publickeylocal
| | `--Peer Public Key: ID = m_publickeypeer
| `--PKI: ID = m_pki_cert
| |--Certificate: ID = m_pki
| |--Certificate Access Control: ID = m_certificatepolicy
| `--Certificate Subject: ID = m_certificatesubject
|--Network: ID = m_network
| |--VRF: ID = m_vrf
| |--Interfaces: ID = m_if
| | |--Interfaces: ID = m_interface
| | |--Interface Pair: ID = m_inline
| | `--Aggregation: ID = m_lagg
| |--Security Zone: ID = m_seczone
| |--Link: ID = m_link
| | |--VLAN: ID = m_vlan
| | `--MAC: ID = m_mac
| |--DNS: ID = m_dns_sum
| | |--Resolution: ID = m_dnshosts
| | |--DNS Client: ID = m_dns
| | |--Dynamic DNS: ID = m_ddns
| | `--DNS Advanced Setting: ID = m_dnsadvance
| |--IP: ID = m_ip_net
| | |--IP: ID = m_ip
| | `--ARP: ID = m_arp
| |--IPv6: ID = m_ipv6_net
| | |--IPv6: ID = m_ipv6
| | `--ND: ID = m_nd
| |--VPN: ID = m_vpn
| | |--GRE: ID = m_gre
| | `--IPsec: ID = m_ipsec
| | |--Policy: ID = m_ipsecpolicy
| | |--Proposal: ID = m_ikeproposal
| | |--Monitor: ID = m_ipsectunnel
| | `--Advance: ID = m_ipsecadsetting
| |--SSL VPN: ID = m_sslvpn
| | |--Context: ID = m_sslvpn_context
| | |--Gateway: ID = m_sslvpn_gateway
| | |--IPv4 Address Pool: ID = m_sslvpn_ipv4addrpool
| | |--Access Interface: ID = m_sslvpn_acif
| | `--Statistics: ID = m_sslvpn_statistics
| |--Routing: ID = m_routing
| | |--Routing Table: ID = m_routingtable
| | |--Static Routing: ID = m_staticrouting
| | |--PolicyRouting: ID = m_policyrouting
| | | |--IPv4 Policy-Based Routing: ID = m_ipv4policy
| | | `--IPv6 Policy-Based Routing: ID = m_ipv6policy
| | `--OSPF: ID = m_ospf
| |--Multicast: ID = m_multicast
| | |--IP Multicast Routing: ID = m_multicastrouting
| | |--PIM: ID = m_pim
| | `--IGMP: ID = m_igmp
| |--Service: ID = m_ipservice
| | |--DHCP: ID = m_dhcp
| | | |--Service: ID = m_dhcpservice
| | | `--Address pool: ID = m_dhcppool
| | |--HTTP/HTTPS: ID = m_http
| | |--SSH: ID = m_ssh
| | |--NTP: ID = m_ntp
| | |--FTP: ID = m_ftp
| | `--Telnet: ID = m_telnet
| `--Probe: ID = m_probe
| |--Ping: ID = m_ping
| `--Tracert: ID = m_tracert
|--System: ID = m_device
| |--Virtualization: ID = m_virtualdevice
| | |--IRF: ID = m_cluster
| | `--Context: ID = m_context
| | |--Context: ID = m_contextcontext
| | |--Context Interface: ID = m_contextinterface
| | |--Context Resource: ID = m_contextresource
| | `--Context Usage: ID = m_contextusage
| |--High Availability: ID = m_highavailability
| | |--Hot Backup: ID = m_hotbackup
| | |--VRRP: ID = m_vrrp
| | `--Vrrp Interface: ID = m_vrrpinterface
| |--Log Settings: ID = m_logconf
| | |--System Log Settings: ID = m_logsettings
| | |--Security Log Settings: ID = m_securitylogsettings
| | |--Attack Advance log Settings: ID = m_atkadvanceset
| | `--Nat Log Settings: ID = m_natlog
| |--Session Aging Time Settings: ID = m_sessionagingtimeset
| | |--The Aging Time Of The Protocol State Session: ID = m_protocolstatesessionagingtime
| | |--Aging Time For Sessions Of An Application Layer Protocol: ID = m_appagingtime
| | `--Advanced Setting: ID = m_sessionsettings
| |--Signature Upgrade: ID = m_signatureupgrade
| | |--Signature Upgrade: ID = m_upgradecenter
| | `--Upgrade: ID = m_upgrade
| |--License: ID = m_license
| | |--Cluster: ID = m_lic_config
| | |--Context: ID = m_lic_getdid
| | |--Context: ID = m_lic_feature
| | `--Context: ID = m_lic_compress
| |--Maintenance: ID = m_maintenance
| | |--Settings: ID = m_devicesettings
| | | |--Device Info: ID = m_basicdevinfo
| | | `--Datetime: ID = m_basicdatetime
| | |--Administrators: ID = m_admin
| | |--Role: ID = m_rbacrole
| | |--Configuration: ID = m_config
| | |--Diagnostics: ID = m_diagnostic
| | |--Packet Capture: ID = m_pcapware
| | |--Reboot: ID = m_reboot
| | `--About: ID = m_about
| | |--DeviceInfo: ID = m_aboutdeviceinfo
| | |--Version: ID = m_aboutversion
| | |--Electronic: ID = m_aboutelectronic
| | `--Legal: ID = m_aboutlegal
| `--Guide: ID = m_configguide
| `--Internet: ID = m_internetguide
`--Help: ID = m_help
|--Instruction: ID = m_instruction_help
|--Policy: ID = m_policy_help
| |--Security Policy: ID = m_firewall_help
| |--Attack Defense: ID = m_attackdefense_help
| | |--Attack Policy: ID = m_atkpolicy_help
| | |--Connlimit Policies: ID = m_connlimitpolicies_help
| | `--uRPF: ID = m_urpf_help
| |--NAT: ID = m_nat_help
| |--AUDITPOLICY: ID = m_auditpolicy_help
| |--Bandwidth Management: ID = m_bandwidthmanagement_help
| `--Load Balancing: ID = m_loadbalance_help
| |--Global Configuration: ID = m_lb_globalconfig_help
| |--Server Load Balancing: ID = m_lb_server_help
| `--Link Load Balancing: ID = m_lb_link_help
| |--LinkOut Load Balancing: ID = m_lb_linkout_help
| `--LinkIn Load Balancing: ID = m_lb_linkin_help
|--Object: ID = m_resource_help
| |--User: ID = m_user_help
| | |--User Control: ID = m_usercontrol_help
| | |--Authentication: ID = m_authentication_help
| | `--Access: ID = m_access_help
| |--APPSecurity: ID = m_dpi_help
| | |--IPS: ID = m_ipscfg_help
| | |--Anti-Virus: ID = m_antiviruscfg_help
| | |--Data Filtering: ID = m_dfltcfg_help
| | |--URL Filtering: ID = m_ufltcfg_help
| | |--File Filtering: ID = m_ffltcfg_help
| | |--Application Protocol Recognition: ID = m_apprecognition_help
| | `--Security Action: ID = m_securityaction_help
| |--Object Group: ID = m_objectgroup_help
| |--ACL: ID = m_acl_help
| |--SSL: ID = m_ssl_help
| |--Public Key: ID = m_publickey_help
| `--PKI: ID = m_pki_cert_help
|--Network: ID = m_network_help
| |--VRF: ID = m_vrf_help
| |--Interfaces: ID = m_if_help
| | |--Interfaces: ID = m_ifpair_help
| | `--linkpoly: ID = m_linkpoly_help
| |--Security Zone: ID = m_seczone_help
| |--Link: ID = m_link_help
| | |--VLAN: ID = m_vlan_help
| | `--MAC: ID = m_mac_help
| |--DNS: ID = m_dns_sum_help
| |--IP: ID = m_ip_net_help
| | |--IP: ID = m_ip_help
| | `--ARP: ID = m_arp_help
| |--IPv6: ID = m_ipv6_net_help
| | |--IPv6: ID = m_ipv6_help
| | `--ND: ID = m_nd_help
| |--VPN: ID = m_vpn_help
| | |--GRE: ID = m_gre_help
| | `--IPsec: ID = m_ipsec_help
| |--SSL VPN: ID = m_sslvpn_help
| |--Routing: ID = m_routing_help
| | |--Routing Table: ID = m_routing_table_help
| | |--Static Routing: ID = m_static_routing_help
| | |--Routing Policy: ID = m_policy_routing_help
| | `--OSPF: ID = m_ospf_help
| |--Multicast: ID = m_multicast_help
| | |--IP Multicast Routing: ID = m_multicastrouting_help
| | |--PIM: ID = m_pim_help
| | `--IGMP: ID = m_igmp_help
| `--Service: ID = m_ipservice_help
| |--DHCP: ID = m_dhcp_help
| |--HTTP/HTTPS: ID = m_http_help
| |--SSH: ID = m_ssh_help
| |--NTP: ID = m_ntp_help
| |--FTP: ID = m_ftp_help
| `--Telnet: ID = m_telnet_help
`--System: ID = m_device_help
|--Virtualization: ID = m_virtualdevice_help
| |--IRF: ID = m_cluster_help
| `--Context: ID = m_context_help
|--High Availability: ID = m_highavailability_help
| |--Hot Backup: ID = m_hotbackup_help
| `--VRRP: ID = m_vrrp_help
|--Session Aging Time Settings help: ID = m_sessionagingtimeset_help
|--Signature Upgrade: ID = m_upgradecenter_help
| |--Upgrade Feature: ID = m_upgradefeature_help
| `--Upgrade Device: ID = m_upgradedevice_help
|--License: ID = m_license_help
|--Maintenance: ID = m_maintenance_help
| |--Settings: ID = m_devicesettings_help
| |--Administrators: ID = m_admin_help
| |--Config: ID = m_config_help
| `--Pcapware: ID = m_pcapware_help
`--Guide: ID = m_configguide_help
`--Internet: ID = m_internetguide_help
display web users命令用來顯示當前Web用戶的相關信息。
【命令】
display web users
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示當前Web用戶的相關信息。
<Sysname> display web users
UserID Name Type Language JobCount LoginTime LastOperation
AB2039483271293 Administrator HTTP Chinese 3 12:00:23 14:10:05
F09382BA2014AC8 user HTTPS English 1 13:05:00 14:11:00
表1-9 display web users命令顯示信息描述表
|
字段 |
描述 |
|
UserID |
Web用戶的ID號,用來唯一標識一個登錄用戶 |
|
Name |
Web用戶的登錄用戶名 |
|
Type |
Web用戶登錄使用的協議類型: · HTTP表示Hypertext Transfer Protocol · HTTPS表示基於安全套接字的Hypertext Transfer Protocol |
|
Language |
Web用戶登錄時使用的語言: · Chinese表示中文 · English表示英文 |
|
JobCount |
Web用戶建立的連接數量 |
|
LoginTime |
Web用戶的登錄時間 |
|
LastOperation |
Web用戶的最後操作時間 |
escape-key命令用來配置終止當前運行任務(比如ping命令等)的快捷鍵。
undo escape-key命令用來取消快捷鍵的配置,包括缺省快捷鍵。
【命令】
escape-key { key-string | default }
undo escape-key
【缺省情況】
按<Ctrl+C>組合鍵終止當前運行的任務。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
key-string:定義終止當前運行任務的快捷鍵,可以是區分大小寫的單個字符(字符“d”和“D”除外),也可以是單個字符或組合鍵對應的ACSII碼(0~127)。比如設置escape-key 1,此時生效快捷鍵為Ctrl+A;如果設置escape-key a,生效的快捷鍵為a。配置字符“d”和“D”作為終止當前運行任務的快捷鍵時係統不會生效,此時<Ctrl+C>為實際的生效快捷鍵。如確實需要使用字符“d”和“D”作為終止當前運行任務的快捷鍵,可以配置key-string為字符“d”和“D”對應的ACSII碼。
default:恢複為缺省的快捷鍵<Ctrl+C>。
【使用指導】
有些命令行執行時間比較長,比如ping時指定發送1000個包、tracert時目的地址不可達,係統執行這些命令時,在當前用戶線下用戶無法輸入其他命令。此時,用戶可以按<Ctrl+C>組合鍵來終止ping或者tracert任務,以便輸入新的命令。如果配置了escape-key,則用戶可以用新配置的快捷鍵來代替<Ctrl+C>。命令行是否支持<Ctrl+C>終止與功能模塊的軟件實現有關,請參見相關命令行的描述。
如果設置的快捷鍵為單個字符,且當前有任務可終止,則輸入快捷鍵會終止命令的執行;如果當前沒有任務可終止,則輸入的快捷鍵會作為普通的編輯字符。
如果在Device A某用戶線下設置了單個字符key-string為任務終止快捷鍵,當使用該用戶線登錄到Device A,又通過Device A以telnet方式到Device B,這時的key-string在Device B上將被視為編輯字符進行輸入。如果telnet到Device B時所使用的用戶線下配置了相同的key-string,此時key-string在有任務運行時可以中止當前的任務。
使用ASCII碼配置相應的快捷鍵時,單個字符的快捷鍵對應的ASCII碼與標準的ASCII碼表一致,組合鍵對應的ASCII碼請參見表1-1。新設置的快捷鍵可以使用display current-configuration | include escape-key命令來查看。
如果用戶線視圖下配置escape-key為缺省值,並且此時用戶線類視圖下配置了escape-key,那麼用戶線視圖下的生效配置值為用戶線類視圖下的配置;如果用戶線類視圖下未配置,則生效的為缺省值。
需要注意的是,用戶線視圖下使用本命令配置的快捷鍵立即生效;用戶線類視圖下配置的快捷鍵將在下次登錄時生效。
【舉例】
# 配置終止當前運行任務的快捷鍵為a。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] escape-key a
驗證過程如下:
· 使用ping命令檢查IP地址為192.168.1.49的設備是否可達,並用-c參數指定發送ICMP回顯請求報文的數目為20。
<Sysname> ping -c 20 192.168.1.49
PING 192.168.1.49: 56 data bytes, press a to break
Reply from 192.168.1.49: bytes=56 Sequence=1 ttl=255 time=3 ms
Reply from 192.168.1.49: bytes=56 Sequence=2 ttl=255 time=3 ms
· 鍵入a,任務立即終止,並返回到當前視圖。
--- 192.168.1.49 ping statistics ---
2 packet(s) transmitted
2 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
<Sysname>
flow-control命令用來配置流量控製方式。
undo flow-control命令用來恢複缺省情況。
【命令】
flow-control { hardware | none | software }
undo flow-control
【缺省情況】
不進行流量控製。
【視圖】
用戶線視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hardware:進行硬件方式的流量控製。
none:不進行流量控製。
software:進行軟件方式的流量控製。
direction1、direction2:表示流量控製的方向,取值為in或out,in表示入方向,即本設備接受遠端設備流量控製;out表示出方向,即本設備流量控製遠端設備。
【使用指導】
流量控製分為入方向和出方向,入方向表示本設備能夠接受遠端設備的流量控製,出方向表示本設備能夠對遠端設備進行流量控製。配置該命令後,指定的流量控製方式對入方向和出方向都生效。
要使流量控製生效,雙方才能正常通信,對端設備也要配置相同的流量控製方式。
VTY用戶線視圖不支持該命令。
【舉例】
# 配置Console 0用戶線視圖下,入方向和出方向都采用軟件流量控製方式。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] flow-control software
free line命令用來釋放指定用戶線上建立的連接。
【命令】
free line { number1 | { console | vty } number2 }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
number1:用戶線的編號(絕對編號方式),取值範圍為0~65。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式)。
【使用指導】
用戶不能使用該命令釋放自己的連接。
【舉例】
# 釋放用戶線上VTY 1建立的連接。
· 查看當前有哪些用戶正在操作設備。
<Sysname> display users
Idx Line Idle Time Pid Type
10 VTY 0 00:10:49 Jun 11 11:27:32 320 TEL
+ 11 VTY 1 00:00:00 Jun 11 11:39:40 334 TEL
Following are more details.
VTY 0 :
Location: 192.168.1.12
VTY 1 :
Location: 192.168.1.26
+ : Current operation user.
F : Current operation user works in async mode.
· 假設VTY 1用戶的操作影響到網絡管理員當前的操作,將他強製下線。
<Sysname> free line vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free user-interface命令用來釋放指定用戶線上建立的連接。
【命令】
free user-interface { number1 | { console | vty } number2 }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
number1:用戶線的編號(絕對編號方式),取值範圍為0~65。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式)。
【使用指導】
用戶不能使用該命令釋放自己的連接。
該命令實現與free line一致,僅為與舊版本兼容保留,請使用free line。
【舉例】
# 釋放用戶線上VTY 1建立的連接。
· 查看當前有哪些用戶正在操作設備。
<Sysname> display users
Idx LINE Idle Time Pid Type
10 VTY 0 00:10:49 Jun 11 11:27:32 320 TEL
+ 11 VTY 1 00:00:00 Jun 11 11:39:40 334 TEL
Following are more details.
VTY 0 :
Location: 192.168.1.12
VTY 1 :
Location: 192.168.1.26
+ : Current operation user.
F : Current operation user works in async mode.
· 假設VTY 1用戶的操作影響到網絡管理員當前的操作,將他強製下線。
<Sysname> free user-interface vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free web users命令用來強製在線Web用戶下線。
【命令】
free web users { all | user-id user-id | user-name user-name }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:所有Web用戶。
user-id:Web用戶的ID號,為15位十六進製數。係統會自動為每位成功登錄的Web用戶分配一個用戶ID,用戶ID用於唯一標識Web用戶。
user-name user-name:Web用戶的用戶名,為1~255個字符的字符串,區分大小寫。
【使用指導】
管理員在管理需要時,可以使用該命令強製下線部分或全部的Web用戶。
【舉例】
# 強製所有在線Web用戶下線。
<Sysname> free web users all
【相關命令】
· display web users
history-command max-size命令用來設置可以存儲的當前用戶線下曆史命令的條數。
undo history-command max-size命令用來恢複缺省情況。
【命令】
history-command max-size size-value
undo history-command max-size
【缺省情況】
曆史命令緩衝區可存儲10條曆史命令。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
size-value:可存儲的曆史命令的條數,取值範圍為0~256。
【使用指導】
每個用戶線對應一個曆史命令緩衝區,緩衝區裏保存了當前用戶最近執行成功的命令,緩衝區的容量決定了可以保存的曆史命令的數目。用戶使用display history-command命令、上光標鍵↑或下光標鍵↓可以隨時了解近期成功執行了哪些操作(display history-command命令的詳細介紹請參見“基礎配置命令參考”中的“CLI”)。同時登錄設備的不同用戶擁有不同的曆史命令緩衝區,互不影響。
用戶退出當前會話時,係統會自動清除相應曆史命令緩衝區內保存的曆史命令。
如果用戶線視圖下配置history-command max-size為缺省值,並且此時用戶線類視圖下配置了history-command max-size,那麼用戶線視圖下的生效配置值為用戶線類視圖下的配置;如果用戶線類視圖下未配置,則生效的為缺省值。
需要注意的是,在用戶線視圖下使用本命令配置的當前用戶線下可存儲的曆史命令條數立即生效;用戶線類視圖下配置的可存儲的曆史命令條數將在下次登錄時生效。
【舉例】
# 設置Console用戶線下曆史命令緩衝區最多可以存儲20條曆史命令。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] history-command max-size 20
idle-timeout命令用來設置用戶連接的超時時間。
undo idle-timeout命令用來恢複缺省情況。
【命令】
idle-timeout minutes [ seconds ]
undo idle-timeout
【缺省情況】
超時時間為10分鍾。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
minutes:指定超時時間,取值範圍為0~35791,單位為分鍾。
seconds:指定超時時間,取值範圍為0~59,單位為秒,缺省值為0。
【使用指導】
用戶登錄後,如果在超時時間內設備和用戶間沒有消息交互,則超時時間到達時設備會自動斷開用戶連接。
當超時時間設置為0時,表示設備不會因為超時自動斷開用戶連接。
如果用戶線視圖下配置idle-timeout為缺省值,並且此時用戶線類視圖下配置了idle-timeout,那麼用戶線視圖下的生效配置值為用戶線類視圖下的配置;如果用戶線類視圖下未配置,則生效的為缺省值。
用戶線視圖下使用本命令配置的連接超時時間立即生效;用戶線類視圖下配置的連接超時時間將在下次登錄時生效。
【舉例】
# 設置Console用戶線下用戶連接超時時間為1分鍾30秒。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] idle-timeout 1 30
ip http acl命令用來配置HTTP服務與ACL關聯。
undo ip http acl命令用來恢複缺省情況。
【命令】
ip http acl { acl-number | name acl-name }
undo ip http acl
【缺省情況】
HTTP服務沒有與ACL關聯。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
acl-number:ACL的編號,取值範圍為2000~2999(基本IPv4 ACL)。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。僅當指定名稱的ACL存在且為基本IPv4 ACL時生效。
【使用指導】
配置HTTP服務與ACL關聯後,隻有ACL允許通過的HTTP客戶端能夠通過Web方式登錄設備。不匹配ACL或ACL拒絕通過的HTTP客戶端將不能通過Web方式登錄設備。
多次執行該命令最新配置生效。
【舉例】
# 配置HTTP服務與ACL 2001關聯,隻允許10.10.0.0/16網段的客戶端通過Web訪問設備。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ip http acl 2001
【相關命令】
· acl(ACL和QoS命令參考/ACL)
ip http enable命令用來開啟HTTP服務。
undo ip http enable命令用來關閉HTTP服務。
【命令】
ip http enable
undo ip http enable
【缺省情況】
HTTP服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
使能HTTP服務後,用戶才能通過Web使用HTTP方式登錄設備。
使能HTTP服務後,為了增強設備的安全性,HTTPS服務的端口號也會被自動打開,且在HTTP服務開啟的狀態下無法通過undo ip https enable命令關閉。
【舉例】
# 使能HTTP服務。
<Sysname> system-view
[Sysname] ip http enable
【相關命令】
· ip https enable
ip http port命令用來配置HTTP服務的端口號。
undo ip http port命令用來恢複缺省情況。
【命令】
ip http port port-number
undo ip http port
【缺省情況】
HTTP服務的端口號為80。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-number:HTTP服務的端口號,取值範圍為1~65535。
【使用指導】
如果修改端口號前HTTP服務是開啟的,則修改端口號後係統會自動重啟HTTP服務,正在訪問的用戶將被斷開,用戶需要在瀏覽器的地址欄中重新輸入新的地址後才可以繼續訪問。
【舉例】
# 配置HTTP服務的端口號為80。
<Sysname> system-view
[Sysname] ip http port 80
ip https acl命令用來配置HTTPS服務與ACL關聯。
undo ip https acl命令用來恢複缺省情況。
【命令】
ip https acl { acl-number | name acl-name }
undo ip https acl
【缺省情況】
HTTPS服務未與ACL關聯。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
acl-number:ACL的編號,取值範圍為2000~2999(基本IPv4 ACL)。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。僅當指定名稱的ACL存在且為基本IPv4 ACL時生效。
【使用指導】
配置HTTPS服務與ACL關聯後,隻有ACL允許通過的HTTPS客戶端能夠通過Web方式登錄設備。不匹配ACL或ACL拒絕通過的HTTPS客戶端將不能通過Web方式登錄設備。
需要注意的是,Web登錄時用戶輸入的用戶名和密碼屬於敏感信息,Web登錄請求采用HTTPS方式發送到Web服務器。所以,如果本命令中的ACL規則拒絕客戶端通過HTTPS服務訪問Web頁麵,那麼該客戶端也無法通過HTTP服務訪問Web頁麵。
多次執行該命令最新配置生效。
【舉例】
# 配置HTTPS服務與ACL 2001關聯,隻允許10.10.0.0/16網段的客戶端通過Web訪問設備。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ip https acl 2001
【相關命令】
· acl(ACL和QoS命令參考/ACL)
ip https certificate access-control-policy命令用來配置HTTPS服務與證書屬性訪問控製策略關聯。
undo ip https certificate access-control-policy命令用來恢複缺省情況。
【命令】
ip https certificate access-control-policy policy-name
undo ip https certificate access-control-policy
【缺省情況】
HTTPS服務未與證書屬性訪問控製策略關聯。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:證書屬性訪問控製策略名,為1~31個字符的字符串,區分大小寫。
【使用指導】
通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製。證書屬性訪問控製策略的相關介紹請參見“安全配置指導”中“PKI”。
【舉例】
# 設置HTTPS服務使用的證書屬性訪問控製策略為myacl。
<Sysname> system-view
[Sysname] ip https certificate access-control-policy myacl
【相關命令】
· pki certificate access-control-policy(PKI命令參考/PKI)
ip https enable命令用來開啟HTTPS服務。
undo ip https enable命令用來關閉HTTPS服務。
【命令】
ip https enable
undo ip https enable
【缺省情況】
出廠配置中,HTTPS服務處於開啟狀態。
缺省情況下,HTTPS服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
隻有使能該功能後,用戶才能通過Web方式使用HTTPS登錄設備。
需要注意的是,使能HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果設備的本地證書已經存在,則SSL協商可以成功,HTTPS服務可以正常啟動;如果設備的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。因此,在這種情況下,需要多次執行ip https enable命令,這樣HTTPS服務才能正常啟動。
【舉例】
# 使能HTTPS服務。
<Sysname> system-view
[Sysname] ip https enable
【相關命令】
· ip https ssl-server-policy
· ip https certificate access-control-policy
ip https port命令用來配置HTTPS服務的端口號。
undo ip https port命令用來恢複缺省情況。
【命令】
ip https port port-number
undo ip https port
【缺省情況】
HTTPS服務的端口號為443。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-number:HTTPS服務的端口號,取值範圍為1~65535。
【使用指導】
如果修改端口號前HTTPS服務是開啟的,則修改端口號後係統會自動重啟HTTPS服務,正在訪問的用戶將被斷開,用戶需要在瀏覽器的地址欄中重新輸入新的地址後才可以繼續訪問。
【舉例】
# 配置HTTPS服務的端口號為8080。
<Sysname> system-view
[Sysname] ip https port 8080
ip https ssl-server-policy命令用來配置HTTPS服務與SSL服務器端策略關聯。
undo ip https ssl-server-policy命令用來恢複缺省情況。
【命令】
ip https ssl-server-policy policy-name
undo ip https ssl-server-policy
【缺省情況】
HTTPS服務未與SSL服務器端策略關聯,HTTPS使用自簽名證書。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:SSL服務器端策略名,為1~31個字符的字符串。
【使用指導】
HTTP服務和HTTPS服務處於使能狀態時,對與HTTPS服務關聯的SSL服務器端策略進行的修改不會生效。如需修改HTTPS服務與SSL服務器端的關聯策略,首先執行undo ip http enable和undo ip https enable兩條命令,再執行ip https ssl-server-policy policy-name命令,最後重新使能HTTP服務和HTTPS服務,新的策略即可生效。
如需恢複缺省情況,必須先執行undo ip http enable和undo ip https enable兩條命令,再執行undo ip https ssl-server-policy,最後重新使能HTTP服務和HTTPS服務即可。
【舉例】
# 設置HTTPS服務使用的SSL服務器端策略為myssl。
<Sysname> system-view
[Sysname] ip https ssl-server-policy myssl
【相關命令】
· ssl server-policy(安全命令參考/SSL)
line命令用來進入一個或多個用戶線視圖。
【命令】
line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
first-number1:第一個用戶線的編號(絕對編號方式),取值範圍為0~65。
last-number1:最後一個用戶線的編號(絕對編號方式),不能小於first-number1。
console:Console用戶線。
vty:VTY用戶線。
first-number2:第一個用戶線的編號(相對編號方式)。
last-number2:最後一個用戶線的編號(相對編號方式),不能小於first-number2。
【使用指導】
進入一個用戶線視圖進行配置後,該配置隻對該用戶視圖有效。
進入多個用戶線視圖進行配置後,該配置對這些用戶視圖均有效。
【舉例】
# 進入Console 0用戶線視圖。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0]
# 進入VTY 0~4用戶線視圖。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4]
【相關命令】
· line class
line class命令用來進入指定用戶線類視圖。
【命令】
line class { console | vty }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
console:Console用戶線類。
vty:VTY用戶線類。
【使用指導】
line class命令用來進入指定用戶線類視圖,line命令用來進入一個或多個用戶線視圖。對於同時支持這兩種視圖的命令:
· 用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。如果用戶線類視圖下的屬性配置也為缺省值時,則直接采用該屬性的缺省值。
用戶線視圖下的配置隻對該用戶線生效。
用戶線類視圖下的配置修改不會立即生效,當用戶下次登錄後所修改的配置值才會生效。
用戶線類視圖下支持的命令有:
· activation-key
· auto-execute command
· authentication-mode
· command accounting
· command authorization
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【舉例】
# 將VTY用戶線參數——用戶連接的超時時間的缺省值設置為15分鍾。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] idle-timeout 15
# 在console用戶線類視圖下,將啟動Console口終端會話的快捷鍵設置為<s>。
<Sysname> system-view
[Sysname] line class console
[Sysname-line-class-console] activation-key s
[Sysname-line-class-console] quit
· 在console用戶線視圖下,將啟動Console口終端會話的快捷鍵設置為缺省值(可以使用undo activation-key或者直接使用activation-key 13進行配置)。
[Sysname] line console 0
[Sysname-line-console0] undo activation-key
· 此時生效的快捷鍵為用戶線類視圖下的配置,驗證過程如下:
· 退出Console口終端會話。
[Sysname-line-console0] return
<Sysname> quit
· 重新使用Console口登錄設備,能看到如下顯示信息。
Press ENTER to get started.
· 此時,<Enter>鍵失效,需要按<s>鍵才能出現用戶視圖提示符,啟動Console口終端會話。
<Sysname>
【相關命令】
· line
lock命令用來鎖定當前用戶線並配置解鎖密碼,防止未授權的用戶操作該用戶線。
【命令】
lock
【缺省情況】
係統不會自動鎖定當前用戶線。
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
用戶輸入lock命令後,係統提示輸入密碼(密碼最大長度為16個字符),並提示再次輸入密碼,隻有兩次輸入的密碼相同,Lock操作才能成功。如果用戶線被鎖定,用戶需要輸入指定的解鎖密碼才能結束鎖定,進入係統。
【舉例】
# 鎖住當前用戶線然後解鎖。
<Sysname> lock
Please input password<1 to 16> to lock current line:
Password:
Again:
locked !
此時,命令行用戶線被鎖定。鍵入回車,並輸入正確的密碼後,可以解鎖。
Password:
<Sysname>
lock-key命令用來配置對當前用戶線進行鎖定並重新認證的快捷鍵。
undo lock-key命令用來恢複缺省情況。
【命令】
lock-key key-string
undo lock-key
【缺省情況】
未設置對當前用戶線進行鎖定並重新認證的快捷鍵。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
key-string:指定對當前用戶線進行重新認證的快捷鍵。可以是區分大小寫的單個字符,也可以是單個字符或組合鍵對應的ACSII碼(0~127)。例如設置lock-key 1,則指定的快捷鍵為Ctrl+A;如設置lock-key a,生效的快捷鍵為a。
【使用指導】
通常情況下,建議用戶使用組合鍵而不使用單個字符作為快捷鍵,避免用戶在輸入命令時輸入完快捷鍵字符後出現鎖定,影響正常命令行的輸入。用戶設置了快捷鍵之後,可以輸入對應的快捷鍵代替lock reauthentication命令完成對當前用戶線進行鎖定並重新認證的操作。
如果使用lock-key命令設置了其他快捷鍵,則新的快捷鍵將代替<Enter>鍵來啟動終端會話。使用ASCII碼設置快捷鍵時,單個字符對應的ASCII碼與標準ASCII碼表一致,組合鍵對應的ASCII碼請參照表1-1。新設置的快捷鍵可以使用display current-configuration | include lock-key命令來查看。
在用戶線/用戶線類視圖下,該命令的配置的快捷鍵將立即生效。
【舉例】
# 配置鎖定當前用戶線的快捷鍵為Ctrl+A。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] lock-key 1
[Sysname-line-console0] quit
驗證過程如下:
· 用戶鍵入Ctrl+A組合鍵後,係統鎖定當前用戶線並切換到重新認證界麵:
[Sysname]
Please press Enter to unlock the screen.
· 按回車鍵後,係統提示輸入密碼對當前用戶線進行重新認證並登錄設備。
Password:
[Sysname]
【相關命令】
· lock reauthentication
lock reauthentication命令用來鎖定當前用戶線並對其進行重新認證。
【命令】
lock reauthentication
【缺省情況】
係統不會對當前用戶線進行重新認證。
【視圖】
任意視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行該命令後,當前用戶線會被鎖定。用戶需要輸入設備登錄密碼對當前用戶線進行重新認證才能結束鎖定,進入係統。如果設備未配置登錄密碼,用戶按回車鍵後將直接進入係統。
需要注意的是,如果在設備登錄後修改了登錄設備的認證方式或密碼,那麼鎖定用戶線後的解鎖過程將使用新配置的認證方式及密碼。
【舉例】
# 輸入命令鎖定當前用戶線,並使用設備登錄密碼重新登錄設備。
<Sysname> lock reauthentication
Please press Enter to unlock the screen.
# 按回車鍵後,提示輸入密碼對當前用戶線進行重新認證並登錄設備。
Password:
<Sysname>
【相關命令】
· lock-key
parity命令用來設置校驗位的解析和生成方式。
undo parity命令用來恢複缺省情況。
【命令】
parity { even | mark | none | odd | space }
undo parity
【缺省情況】
設備校驗位的校驗方式為none,即不進行校驗。
【視圖】
用戶線視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
even:進行偶校驗。
mark:進行標記校驗。
none:無校驗。
odd:進行奇校驗。
space:進行空格校驗。
【使用指導】
訪問終端和設備相應用戶線下校驗位的設置必須一致,雙方才能正常通信。
VTY用戶線視圖不支持該命令。
【舉例】
# 將Console口傳輸校驗位設為奇校驗。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] parity odd
protocol inbound命令用來指定所在用戶線支持的協議。
undo protocol inbound命令用來恢複缺省情況。
【命令】
protocol inbound { all | ssh | telnet }
undo protocol inbound
【缺省情況】
係統支持所有協議。
【視圖】
VTY用戶線視圖/VTY用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:支持所有的協議,包括Telnet和SSH。
ssh:支持SSH協議。
telnet:支持Telnet協議。
【使用指導】
如果要配置用戶線支持SSH協議,必須先將該用戶的認證方式配置為scheme,否則protocol inbound ssh命令會執行失敗。相關配置可參考命令authentication-mode。
用戶線視圖下,該命令的配置結果將在下次登錄時生效。
用戶線視圖下,對authentication-mode和protocol inbound進行關聯綁定。
當這兩條命令均配置為缺省值,此時該用戶線視圖下的這兩條命令配置值均取該類用戶線類視圖下的相應的配置;若該類用戶線類視圖下沒有進行相應的配置,則均取缺省值。
當兩條命令中的任意一條配置了非缺省值,那麼另外一條取缺省值。當兩條命令都配置成非缺省值,則均取用戶線下的配置值。
僅具有network-admin、context-admin或者level-15用戶角色的用戶可以執行該命令。其他角色的用戶,即使授權了該命令的操作權限,也不能執行該命令。
【舉例】
# 設置用戶線VTY 0到VTY 4隻支持SSH協議。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] authentication-mode scheme
[Sysname-line-vty0-4] protocol inbound ssh
# 設置VTY用戶線類支持SSH協議,認證方式為scheme。同時設置用戶線VTY 0到VTY 4不進行登錄認證,支持所有的協議。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] authentication-mode scheme
[Sysname-line-class-vty] protocol inbound ssh
[Sysname-line-class-vty] quit
[Sysname] line vty 0 4
[Sysname-line-vty0-4] authentication-mode none
驗證過程如下:
· 使用Telnet方式登錄,無需認證即可成功登錄。
<Client> telnet 192.168.1.241
Trying 192.168.1.241 ...
Press CTRL+K to abort
Connected to 192.168.1.241 ...
********************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
********************************************************************************
<Server>
· 查看當前正在使用的用戶線以及用戶的相關信息,用戶線為line 0,則證明該配置下用戶線下配置生效。
<Server> display users
Idx Line Idle Time Pid Type
+ 50 VTY 0 00:00:00 Jan 17 15:29:27 189 TEL
Following are more details.
VTY 0 :
Location: 192.168.1.186
+ : Current operation user.
F : Current operation user works in async mode.
restful http enable命令用來開啟基於HTTP的RESTful功能。
undo restful http enable命令用來關閉基於HTTP的RESTful功能。
【命令】
restful http enable
undo restful http enable
【缺省情況】
基於HTTP的RESTful功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟該功能後,用戶才可以通過RESTful HTTP方式登錄設備並采用RESTful API對設備進行配置和維護。
【舉例】
# 開啟基於HTTP的RESTful功能。
<Sysname> system-view
[Sysname] restful http enable
restful https enable命令用來開啟基於HTTPS的RESTful功能。
undo restful https enable命令用來關閉基於HTTPS的RESTful功能。
【命令】
restful https enable
undo restful https enable
【缺省情況】
基於HTTPS的RESTful功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟該功能後,用戶才可以通過RESTful HTTPS方式登錄設備並采用RESTful API對設備進行配置和維護。
【舉例】
# 開啟基於HTTPS的RESTful功能。
<Sysname> system-view
[Sysname] restful https enable
screen-length命令用來設置分屏顯示時,每屏所顯示的行數。
undo screen-length命令用來恢複缺省情況。
【命令】
screen-length screen-length
undo screen-length
【缺省情況】
每屏顯示24行數據。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
screen-length:指定每屏所顯示的行數,取值範圍為0~512。0表示一次性顯示全部信息,即不進行分屏顯示。
【使用指導】
設備支持分屏顯示信息,在暫停顯示時按空格鍵,能繼續顯示下一屏信息。該命令設置的是每一屏所顯示的行數,但顯示終端實際顯示的行數由終端的規格決定。比如,設置screen-length的值為40,但顯示終端的規格為24行,當暫停顯示按空格鍵時,設備發送給顯示終端的信息為40行,但當前屏幕顯示的是第18~第40行的信息,前麵的17行信息,需要通過<Page Up>/<Page Down>鍵來翻看。
缺省情況下,分屏顯示功能處於開啟狀態。配置screen-length 0或screen-length disable可關閉分屏顯示功能。
如果用戶線視圖下配置screen-length為缺省值,並且此時用戶線類視圖下配置了screen-length,那麼用戶線視圖下的生效配置值為用戶線類視圖下的配置;如果用戶線類視圖下未配置,則生效的為缺省值。
需要注意的是,用戶線視圖下使用本命令配置的分屏顯示信息行數立即生效;在用戶線類視圖下配置的分屏顯示信息行數將在下次登錄時生效。
【舉例】
# 設置Console用戶線分屏顯示時,每屏顯示30行數據。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] screen-length 30
【相關命令】
· screen-length disable(基礎配置指導/CLI)
send命令用來向指定的用戶線發送消息。
【命令】
send { all | number1 | { console | vty } number2 }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:所有的用戶線。
number1:用戶線的編號(絕對編號方式),取值範圍為0~65。
console:Console用戶線。
vty:VTY用戶線。
number2:用戶線的編號(相對編號方式)。
【使用指導】
輸入本命令後回車,係統會提示您可以輸入消息內容了。在輸入消息內容時,按<Enter>鍵結束輸入,按<Ctrl+C>組合鍵取消此次操作。
【舉例】
# 使用VTY 0用戶線上線的用戶想重啟設備,於是發信息“Note please, I will reboot the system in 3 minutes.”來提醒VTY 1。
<Sysname> send vty 1
Input message, end with Enter; abort with CTRL+C:
Note please, I will reboot the system in 3 minutes.
Send message? [Y/N]:y
使用VTY 1用戶線登錄的用戶將收到如下消息:
[Sysname]
***
***
***Message from vty0 to vty1
***
Note please, I will reboot the system in 3 minutes.
set authentication password命令用來設置認證密碼。
undo set authentication password命令用來恢複缺省情況。
【命令】
set authentication password { hash | simple } string
undo set authentication password
【缺省情況】
未配置認證密碼。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hash:以哈希方式設置密碼。
simple:以明文方式設置密碼,該密碼將以密文方式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~16個字符的字符串,哈希密碼為1~110個字符的字符串。
【使用指導】
以明文或哈希方式設置的密碼,均以哈希計算後的密文形式保存在配置文件中。
如果用戶線視圖下配置set authentication password為缺省值,並且此時用戶線類視圖下配置了set authentication password,那麼用戶線視圖下的生效的認證密碼為用戶線類視圖下的配置;如果用戶線類視圖下未配置,則生效的為缺省值。
僅具有network-admin、context-admin或者level-15用戶角色的用戶可以執行該命令。其他角色的用戶,即使授權了該命令的操作權限,也不能執行該命令。
需要注意的是,在用戶線視圖/用戶線類視圖下,使用該命令設置的認證密碼將在下次登錄設備時生效。
【舉例】
# 設置用戶線Console 0的認證密碼為hello。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] authentication-mode password
[Sysname-line-console0] set authentication password simple hello
設置完後如果退出係統,則隻有在密碼提示信息後輸入hello字符串才能再進入係統。
【相關配置】
· authentication-mode
shell命令用來在當前用戶線上開啟終端服務。
undo shell命令用來在當前用戶線上關閉終端服務。
【命令】
shell
undo shell
【缺省情況】
所有用戶線的終端服務功能處於開啟狀態。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
Console用戶線視圖/Console用戶線類視圖不支持undo shell命令。
用戶不能在自己登錄的用戶線上使用該命令。
當設備作為Telnet/SSH服務器的時候,不能配置undo shell命令。
如果在用戶線類視圖下使用undo shell命令關閉了終端服務,那麼用戶線視圖下無法使用shell啟動終端服務。
【舉例】
# 在VTY0到VTY4上終止終端服務(用戶將不能通過VTY0-4登錄設備)。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] undo shell
Disable line-vty0-4 , are you sure? [Y/N]:y
[Sysname-line-vty0-4]
speed命令用來設置用戶線的傳輸速率。
undo speed命令用來恢複缺省情況。
【命令】
speed speed-value
undo speed
【缺省情況】
用戶線的傳輸速率為9600bps。
【視圖】
用戶線視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
speed-value:傳輸速率,單位為bps。異步串口的傳輸速率有:300bps、600bps、1200bps、2400bps、4800bps、9600bps、19200bps、38400bps、57600bps和115200bps。設備對以上速率的支持由產品和配置時的網絡環境決定。
【使用指導】
訪問終端和設備相應用戶線下傳輸速率的設置必須一致,雙方才能正常通信。
VTY用戶線視圖不支持該命令。
【舉例】
# 將用戶線Console 0的傳輸速率設置為19200bps。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] speed 19200
stopbits命令用來設置停止位的個數。
undo stopbits命令用來恢複缺省情況。
【命令】
stopbits { 1 | 1.5 | 2 }
undo stopbits
【缺省情況】
停止位為1比特。
【視圖】
用戶線視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
1:停止位為1比特。
1.5:停止位為1.5比特。目前,設備不支持該參數,配置後實際生效的是命令行stopbits 2。
2:停止位為2比特。
【使用指導】
訪問終端和設備相應用戶線下停止位的設置必須一致,雙方才能正常通信。
VTY用戶線視圖不支持該命令。
【舉例】
# 設置Console用戶線的停止位為1比特。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] stopbits 1
telnet命令用於Telnet登錄到遠端設備,以便進行遠程管理。
【命令】
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
remote-host:遠端設備的IPv4地址或主機名。其中,主機名為1~253個字符的字符串,不區分大小寫,字符串僅可包含字母、數字、“-”、“_”或“.”。
service-port:遠端設備提供Telnet服務的TCP端口號,取值範圍為0~65535,缺省值為23。
vpn-instance vpn-instance-name:指定遠端設備所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示遠端設備位於公網中。
source:指定Telnet報文的源接口或源IPv4地址。如果未指定本參數,則使用路由出接口的主IP地址作為設備發送的Telnet報文的源IPv4地址。
interface interface-type interface-number:指定源接口,發送的Telnet報文的源IPv4地址為該接口的地址。interface-type interface-number為接口類型和接口編號。
ip ip-address:指定Telnet報文的源IPv4地址。
dscp-value:Telnet客戶端向服務器端發送Telnet報文的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【使用指導】
用戶可以使用<Ctrl+K>組合鍵或quit命令來中斷本次Telnet登錄。
需要注意的是,本命令指定的源IPv4地址或源接口隻對當前Telnet連接有效。
【舉例】
# Telnet登錄到遠程主機(IP地址為1.1.1.2),並指定發送Telnet報文的源IP地址為1.1.1.1。
<Sysname> telnet 1.1.1.2 source ip 1.1.1.1
【相關命令】
· telnet client source
telnet client source命令用來指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口。
undo telnet client source命令用來恢複缺省情況。
【命令】
telnet client source { interface interface-type interface-number | ip ip-address }
undo telnet client source
【缺省情況】
未指定發送Telnet報文的源IPv4地址和源接口,使用報文路由出接口的主IPv4地址作為Telnet報文的源地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface interface-type interface-number:指定源接口,發送的Telnet報文的源IPv4地址為該接口的地址。interface-type interface-number為接口類型和接口編號。
ip ip-address:指定發送Telnet報文的源IPv4地址。
【使用指導】
本命令指定的源IPv4地址或源接口對所有Telnet連接有效。
若同時使用本命令和telnet命令指定源IPv4地址或源接口,則以telnet命令指定的源IP地址或源接口為準。
【舉例】
# 設備作為Telnet客戶端時,指定發送的Telnet報文的源IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] telnet client source ip 1.1.1.1
【相關命令】
· display telnet client
telnet ipv6命令用於IPv6組網環境下,Telnet登錄到遠程主機,以便進行遠程管理。
【命令】
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
remote-host:遠端設備的IPv6地址或主機名。其中,主機名為1~253個字符的字符串,不區分大小寫,字符串僅可包含字母、數字、“-”、“_”或“.”。
-i interface-type interface-number:指定Telnet報文的出接口。interface-type interface-number為接口類型和接口編號。當Telnet指定的服務端IPv6地址是全球單播地址時,則不能指定該參數;當指定的服務端IPv6地址為鏈路本地地址時,必須指定該參數。
port-number:遠端設備提供Telnet服務的TCP端口號,取值範圍為0~65535,缺省值為23。
vpn-instance vpn-instance-name:指定遠端設備所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示遠端設備位於公網中。
source:指定Telnet報文的源接口或源IPv6地址。如果未指定本參數,則使用路由出接口的主IPv6地址作為Telnet報文的源IPv6地址。
interface interface-type interface-number:指定源接口,發送的Telnet報文的源IPv6地址為該接口的主地址。interface-type interface-number為接口類型和接口編號。
ipv6 ipv6-address:指定Telnet報文的源IPv6地址。
dscp-value:IPv6 Telnet客戶端向服務器端發送Telnet報文的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IPv6報文中的Traffic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【使用指導】
用戶可以使用<Ctrl+K>組合鍵或quit命令來中斷本次Telnet登錄。
【舉例】
# Telnet登錄到遠程主機,IPv6地址為5000::1。
<Sysname> telnet ipv6 5000::1
# Telnet登錄到遠程主機,IPv6地址為2000::1,並指定Telnet報文的源IPv6地址為1000::1。
<Sysname> telnet ipv6 2000::1 source ipv6 1000::1
telnet server acl命令用來使用ACL(Access Controle List,訪問控製列表)限製哪些Telnet客戶端可以訪問設備。
undo telnet server acl命令用來恢複缺省情況。
【命令】
telnet server acl [ mac ] acl-number
undo telnet server acl
【缺省情況】
未使用ACL限製Telnet客戶端。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
mac:指定二層ACL。若不指定該關鍵字,則表示IPv4 ACL。
acl-number:ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv4基本ACL。
· 3000~3999:表示IPv4高級ACL。
· 4000~4999:需指定mac關鍵字,表示二層ACL。
【使用指導】
配置ACL限製Telnet客戶端時:
· 當未引用ACL、或者引用的ACL不存在、或者引用的ACL為空時,允許所有登錄用戶訪問設備;
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其它用戶不允許訪問設備,以免非法用戶使用Telnet訪問設備。
關於ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
該配置隻過濾新建立的Telnet連接,不會對已建立的Telnet連接和操作造成影響。
如果多次使用該命令配置Telnet服務與ACL關聯,最新配置生效。
【舉例】
# 僅允許地址為1.1.1.1的用戶通過Telnet訪問本設備。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] telnet server acl 2001
telnet server dscp命令用來配置Telnet服務器發送Telnet報文的DSCP優先級。
undo telnet server dscp命令用來恢複缺省情況。
【命令】
telnet server dscp dscp-value
undo telnet server dscp
【缺省情況】
Telnet服務器發送Telnet報文的DSCP優先級為48。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dscp-value:Telnet報文的DSCP優先級,取值範圍為0~63。DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【舉例】
# 配置Telnet服務器發送報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] telnet server dscp 30
telnet server enable命令用來開啟Telnet服務。
undo telnet server enable命令用來關閉Telnet服務。
【命令】
telnet server enable
undo telnet server enable
【缺省情況】
Telnet服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
隻有使能Telnet服務後,才允許網絡管理員通過Telnet協議登錄設備。
【舉例】
# 使能Telnet服務。
<Sysname> system-view
[Sysname] telnet server enable
telnet server ipv6 acl命令用來使用ACL限製哪些IPv6 Telnet客戶端可以訪問設備。
undo telnet server ipv6 acl命令用來恢複缺省情況。
【命令】
telnet server ipv6 acl { ipv6 | mac } acl-number
undo telnet server ipv6 acl
【缺省情況】
未使用ACL限製Telnet客戶端。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定IPv6 ACL。
mac:指定二層ACL。
acl-number:ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:需指定ipv6關鍵字,表示IPv6基本ACL。
· 3000~3999:需指定ipv6關鍵字,表示IPv6高級ACL。
· 4000~4999:需指定mac關鍵字,表示二層ACL。
【使用指導】
配置ACL限製IPv6 Telnet客戶端時:
· 當未引用ACL、或者引用的ACL不存在、或者引用的ACL為空時,允許所有登錄用戶訪問設備;
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其它用戶不允許訪問設備,以免非法用戶使用Telnet訪問設備。
關於ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
該配置隻過濾新建立的Telnet連接,不會對已建立的Telnet連接和操作造成影響。
如果多次使用該命令配置Telnet服務與ACL關聯,最新配置生效。
【舉例】
# 僅允許地址為2000::1的用戶通過Telnet訪問本設備。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl6-ipv6-basic-2001] rule permit source 2000::1 128
[Sysname-acl6-ipv6-basic-2001] quit
[Sysname] telnet server ipv6 acl ipv6 2001
telnet server ipv6 dscp命令用來配置IPv6 Telnet服務器發送報文的DSCP優先級。
undo telnet server ipv6 dscp命令用來恢複缺省情況。
【命令】
telnet server ipv6 dscp dscp-value
undo telnet server ipv6 dscp
【缺省情況】
IPv6 Telnet服務器發送IPv6 Telnet報文的DSCP優先級為48。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dscp-value:IPv6 Telnet報文的DSCP優先級,取值範圍為0~63。DSCP攜帶在IPv6報文中的Traffic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【舉例】
# 配置IPv6 Telnet服務器發送的報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] telnet server ipv6 dscp 30
telnet server ipv6 port命令用來配置IPv6網絡Telnet協議的端口號。
undo telnet server ipv6 port命令用來恢複缺省情況。
【命令】
telnet server ipv6 port port-number
undo telnet server ipv6 port
【缺省情況】
IPv6網絡Telnet協議的端口號為23。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-number:Telnet協議端口號,取值範圍是23或1025~65535。
【使用指導】
配置Telnet協議的端口號後,當前所有與Telnet服務器的IPv6 Telnet連接將被斷開,此時需要重新建立Telnet連接。
【舉例】
# 配置IPv6網絡Telnet協議的端口號為1026。
<Sysname> system-view
[Sysname] telnet server ipv6 port 1026
telnet server port命令用來配置IPv4網絡Telnet協議的端口號。
undo telnet server port命令用來恢複缺省情況。
【命令】
telnet server port port-number
undo telnet server port
【缺省情況】
IPv4網絡Telnet協議的端口號為23。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-number:Telnet協議的端口號,取值範圍是23或1025~65535。
【使用指導】
配置Telnet協議的端口號後,當前所有與Telnet服務器的IPv4 Telnet連接將被斷開,此時需要重新建立Telnet連接。
【舉例】
# 配置IPv4網絡Telnet協議的端口號為1025。
<Sysname> system-view
[Sysname] telnet server port 1025
terminal type命令用來設置當前用戶線下的終端顯示類型。
undo terminal type命令用來恢複缺省情況。
【命令】
terminal type { ansi | vt100 }
undo terminal type
【缺省情況】
終端顯示類型為ANSI。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ansi:終端顯示類型為ANSI類型。
vt100:終端顯示類型為VT100類型。
【使用指導】
設備支持ANSI和VT100兩種終端顯示類型。當設備的終端類型與客戶端(如超級終端或者Telnet客戶端等)的終端類型不一致,或者均設置為ANSI時,並且當前編輯行的總字符數超過80個字符時,客戶端會出現光標錯位、終端屏幕不能正常顯示的現象。建議兩端都設置為VT100類型。
用戶線視圖/用戶線類視圖下配置的終端顯示類型都在下次登錄時生效。
當用戶線視圖下的配置為缺省值時,將采用用戶線類視圖下配置的值;如果用戶線類視圖下的屬性配置也為缺省值時,則采用該用戶線下配置的缺省值。
【舉例】
# 設置終端顯示類型為VT100類型。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] terminal type vt100
user-interface命令用來進入一個或多個用戶線視圖。
【命令】
user-interface { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
first-number1:第一個用戶線的編號(絕對編號方式),取值範圍為0~65。
last-number1:最後一個用戶線的編號(絕對編號方式),不能小於first-number1。
console:Console用戶線。
vty:VTY用戶線。
first-number2:第一個用戶線的編號(相對編號方式)。
last-number2:最後一個用戶線的編號(相對編號方式),不能小於first-number2。
【使用指導】
進入一個用戶線視圖進行配置後,該配置隻對該用戶視圖有效。
進入多個用戶線視圖進行配置後,該配置對這些用戶視圖均有效。
該命令實現與line一致,僅為與舊版本兼容保留,請使用line。
【舉例】
# 進入Console 0用戶線視圖。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-line-console0]
# 進入VTY 0~4用戶線視圖。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-line-vty0-4]
【相關命令】
· user-interface class
user-interface class命令用來進入指定用戶線類視圖。
【命令】
user-interface class { console | vty }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
console:Console用戶線類。
vty:VTY用戶線類。
【使用指導】
user-interface class命令用來進入指定用戶線類視圖,user-interface命令用來進入一個或多個用戶線視圖。對於同時支持這兩種視圖的命令:
· 用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。如果用戶線類視圖下的屬性配置也為缺省值時,則直接采用該屬性的缺省值。
用戶線視圖下的配置隻對該用戶線生效。
用戶線類視圖下的配置修改不會立即生效,當用戶下次登錄後所修改的配置值才會生效。
該命令實現與line class一致,僅為與舊版本兼容保留,請使用line class。
用戶線類視圖下支持的命令有:
· activation-key
· auto-execute command
· authentication-mode
· command accounting
· command authorization
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【舉例】
# 將VTY用戶線參數——用戶連接的超時時間的缺省值設置為15分鍾。
<Sysname> system-view
[Sysname] user-interface class vty
[Sysname-line-class-vty] idle-timeout 15
# 在console用戶線類視圖下,將啟動Console口終端會話的快捷鍵設置為<s>。
<Sysname> system-view
[Sysname] user-interface class console
[Sysname-line-class-console] activation-key s
[Sysname-line-class-console] quit
· 在console用戶線視圖下,將啟動Console口終端會話的快捷鍵設置為缺省值(可以使用undo activation-key或者直接使用activation-key 13進行配置)。
[Sysname] user-interface console 0
[Sysname-line-console0] undo activation-key
· 此時生效的快捷鍵為用戶線類視圖下的配置,驗證過程如下:
· 退出Console口終端會話。
[Sysname-line-console0] return
<Sysname> quit
· 重新使用Console口登錄設備,能看到如下顯示信息。
Press ENTER to get started.
· 此時,<Enter>鍵失效,需要按<s>鍵才能出現用戶視圖提示符,啟動Console口終端會話。
<Sysname>
【相關命令】
· user-interface
user-role命令用來配置從當前用戶線登錄係統的用戶角色。
undo user-role命令用來恢複缺省情況。
【命令】
user-role role-name
undo user-role [ role-name ]
【缺省情況】
通過Console口登錄係統的用戶角色為network-admin,通過其它接口登錄係統的用戶角色為network-operator。
【視圖】
用戶線視圖/用戶線類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
role-name:用戶角色名稱,為1~63個字符的字符串,區分大小寫。可以是係統預定義的角色名稱,包括network-admin、network-operator、level-0~level-15,也可以是自定義的用戶角色名稱。不指定該參數時,表示恢複到缺省情況。係統預定義角色security-audit和guest-manager不支持在用戶線/用戶線類視圖下進行配置。
【使用指導】
可通過多次執行本命令,配置多個用戶角色,最多可配置64個。用戶登錄後具有的權限是這些角色權限的集合。
在用戶線視圖/用戶線類視圖下使用該命令設置的用戶角色將在下次登錄設備時生效。
當用戶線視圖下的屬性配置為缺省值時,將采用該用戶線類視圖下配置的用戶角色。如果用戶線類視圖下配置的用戶角色也為缺省值時,則直接采用該用戶線下的缺省值。
僅具有network-admin、context-admin或者level-15用戶角色的用戶可以執行該命令。其他角色的用戶,即使授權了該命令的操作權限,也不能執行該命令。
關於用戶角色的詳細介紹請參見“基礎配置指導”中的“RBAC”。
【舉例】
# 設置從Console用戶線登錄係統的用戶角色為network-admin。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] user-role network-admin
web captcha命令用來配置用戶訪問Web的固定校驗碼。
undo web captcha命令用來恢複缺省情況。
【命令】
web captcha verification-code
undo web captcha
【缺省情況】
用戶隻能使用Web頁麵顯示的校驗碼訪問Web。
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
verification-code:訪問Web的固定校驗碼,為4個字符的字符串,區分大小寫。
【描述】
配置該命令後,不管Web登錄頁麵顯示的校驗碼是什麼,用戶隻要輸入該固定的校驗碼,即可訪問設備。本命令主要用於測試環境,當需要對設備的Web功能進行測試時,可以配置一個固定的校驗碼,使用腳本即可登錄設備,以免每次測試都要手工輸入變化的校驗碼,影響測試效率。
設備在網絡中正常使用的時候,建議不要配置該命令,以免降低Web訪問的安全性。
多次配置該命令,最新配置生效。
該命令不能保存到配置文件,設備重啟後失效。
【舉例】
# 設置訪問Web的固定校驗碼為test。
<Sysname> web captcha test
web https-authorization mode命令用來設置使用HTTPS登錄設備的認證模式。
undo web https-authorization mode命令用來恢複缺省情況。
【命令】
web https-authorization mode { auto | manual }
undo web https-authorization mode
【缺省情況】
使用HTTPS登錄設備的認證模式為manual。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
auto:表示用戶通過HTTPS登錄設備時,使用客戶端的PKI證書自動認證登錄。
manual:表示用戶通過HTTPS登錄設備時,設備給出登錄頁麵,用戶必須輸入合法的用戶名和密碼後才能登錄。
【使用指導】
當選用auto認證模式時,設備客戶端的PKI證書自動認證登錄:
· 當用戶側的證書正確且未超期,則讀取證書中的CN字段作為用戶名,進行AAA認證。如果認證成功,則自動進入設備的Web界麵;
· 當用戶側的證書有效且未超期,但AAA認證失敗,則回到登錄界麵(如果此時用戶輸入合法的用戶名和密碼仍然能夠登錄);
· 當用戶側的證書錯誤或超期,則斷開HTTPS連接。
【舉例】
# 設置Web的HTTPS認證模式為auto。
<Sysname> system-view
[Sysname] web https-authorization mode auto
web idle-timeout命令用來設置Web閑置超時時間。
undo web idle-timeout命令用來恢複缺省情況。
【命令】
web idle-timeout idle-time
undo web idle-timeout
【缺省情況】
Web閑置超時時間為10分鍾。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
idle-time:Web閑置超時時間,取值範圍為1~999,單位為分鍾。
【使用指導】
當某Web用戶在指定時間(idle-time)內一直沒有操作Web頁麵,包括點擊鼠標或鍵盤操作(隻是移動鼠標,不會延長用戶的下線時間),則係統會強製斷開該用戶的Web鏈接,使該用戶下線。從而盡量避免在用戶離開登錄終端期間,非法用戶對設備進行配置。
需要注意的是,修改Web線的閑置超時時間,會影響正在訪問的用戶。
【舉例】
# 設置Web閑置超時時間為100分鍾。
<Sysname> system-view
[Sysname] web idle-timeout 100
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
