- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-系统基本配置操作
本章节下载: 09-系统基本配置操作 (311.05 KB)
目 录
l 不同型号产品的特性功能支持情况略有不同,详细请参见“特性差异化列表”部分的介绍。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
为了了解设备的当前配置情况,避免重复配置以及配置冲突的情况发生,在进行设备的配置之前可以使用display命令查看设备的配置。设备的配置大体可以分成如下三种:
l 当前配置:设备上正在运行的配置。如无特殊说明(比如该命令需要重启设备才能生效),这些配置只在设备的本次运行过程中生效,设备重启后,将不再生效。
l 保存配置:保存在配置文件中的配置。使用配置文件能够简便的进行配置恢复。
表1-1 显示设备的配置
|
操作 |
命令 |
说明 |
|
显示设备当前生效的配置 |
display current-configuration [ [ configuration [ configuration ] | interface [ interface-type ] [ interface-number ] ] [ by-linenum ] [ | { begin | exclude | include } regular-expression ] ] |
该命令在任意视图下执行 |
|
查看保存配置(即显示配置文件的内容) |
more file-url 如果该文件为设备的下次启动配置文件,还可以使用命令:display saved-configuration [ by-linenum ] |
more命令在用户视图下执行 display saved-configuration命令在任意视图下执行 |
more和display saved-configuration命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”。
设备名称用于在网络中标志某台设备,在系统内部,设备名称对应于命令行接口的提示符,如设备的名称为Sysname,则用户视图的提示符为<Sysname>。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置设备名称 |
sysname sysname |
可选 缺省情况下,设备名称为设备的型号 |
系统时间是系统信息时间戳显示的时间。该时间由配置的相对时间、时区和夏令时三个参数运算之后联合决定,通过display clock命令可以查看。为了保证与其它设备协调工作,用户需要将系统时间配置准确。
|
操作 |
命令 |
说明 |
|
|
配置时间和日期 |
clock datetime time date |
可选 该命令在用户视图下执行 |
|
|
进入系统视图 |
system-view |
- |
|
|
配置系统所在的时区 |
clock timezone zone-name { add | minus } zone-offset |
可选 缺省情况下,本地时区采用UTC(Universal Time Coordinated,世界调整时间)时区 |
|
|
配置夏令时 |
设置从“起始日期”的“起始时间”到“结束日期”的“结束时间”这个时间段内采用夏令时制,夏令时间要比设备的当前时间增加“add-time” |
clock summer-time zone-name one-off start-time start-date end-time end-date add-time |
二者选其一 缺省情况下,设备上没有配置夏令时,采用UTC时间 |
|
设置设备重复采用夏令时制 |
clock summer-time zone-name repeating start-time start-date end-time end-date add-time |
||
系统时间由clock datetime、clock timezone和clock summer-time三条命令联合决定。如果以上三条命令都不配置,则display clock命令显示的为原系统时间。如果把三条以上命令任意组合进行配置,配置后的系统时间请参见表1-4。表中配置列各参数的含义为:
l 1:表示执行clock datetime命令配置了时间date-time;
l 2:表示执行clock timezone命令配置了时区参数,时间偏移量为zone-offset;
l 3:表示执行clock summer-time命令配置了夏令时参数,时间偏移量为summer-offset;
l [1]:表示clock datetime命令是可选配置,可执行也可不执行。
表中举例默认原系统时间为2005/1/1 1:00:00。
|
配置 |
display clock显示的时间 |
举例 |
|
1 |
date-time |
配置:clock datetime 1:00 2007/1/1 显示:01:00:00 UTC Mon 01/01/2007 |
|
2 |
原系统时间±"zone-offset" |
配置:clock timezone zone-time add 1 显示:02:00:00 zone-time Sat 01/01/2005 |
|
1、2 |
"date-time"±"zone-offset" |
配置:clock datetime 2:00 2007/2/2和clock timezone zone-time add 1 显示:03:00:00 zone-time Fri 02/02/2007 |
|
[1]、2、1 |
date-time |
配置:clock timezone zone-time add 1和clock datetime 3:00 2007/3/3 显示:03:00:00 zone-time Sat 03/03/2007 |
|
3 |
原系统时间不在夏令时段内,显示:原系统时间 |
配置:clock summer-time ss one-off 1:00 2006/1/1 1:00 2006/8/8 2 显示:01:00:00 UTC Sat 01/01/2005 |
|
原系统时间在夏令时段内,显示:原系统时间+”summer-offset” |
配置:clock summer-time ss one-off 00:30 2005/1/1 1:00 2005/8/8 2 显示:03:00:00 ss Sat 01/01/2005 |
|
|
1、3 |
date-time不在夏令时段内,显示:date-time |
配置:clock datetime 1:00 2007/1/1和clock summer-time ss one-off 1:00 2006/1/1 1:00 2006/8/8 2 显示:01:00:00 UTC Mon 01/01/2007 |
|
date-time在夏令时段内,显示:“date-time”+”summer-offset” |
配置:clock datetime 8:00 2007/1/1和clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2 显示:10:00:00 ss Mon 01/01/2007 |
|
|
[1]、3、1 |
date-time不在夏令时段内,显示:date-time |
配置:clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2和clock datetime 1:00 2008/1/1 显示:01:00:00 UTC Tue 01/01/2008 |
|
date-time在夏令时段内,再根据“date-time”-”summer-offset”的值是否在夏令时段内来判断。如果该值不在夏令时段内,则显示“date-time”-”summer-offset”;如果在夏令时段内,显示date-time |
配置:clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2和clock datetime 1:30 2007/1/1 显示:23:30:00 UTC Sun 12/31/2006 |
|
|
配置:clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2和clock datetime 3:00 2007/1/1 显示:03:00:00 ss Mon 01/01/2007 |
||
|
2、3或者 3、2 |
如果原系统时间±"zone-offset"的值不在夏令时段内,则显示:原系统时间±"zone-offset" |
配置:clock timezone zone-time add 1和clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2 显示:02:00:00 zone-time Sat 01/01/2005 |
|
如果原系统时间±"zone-offset"的值在夏令时段内,显示原系统时间±"zone-offset"+”summer-offset” |
配置:clock timezone zone-time add 1和clock summer-time ss one-off 1:00 2005/1/1 1:00 2005/8/8 2 显示:04:00:00 ss Sat 01/01/2005 |
|
|
1、2、3或者1、3、2 |
如果"date-time"±"zone-offset"的值不在夏令时段内,则显示:"date-time"±"zone-offset" |
配置:clock datetime 1:00 2007/1/1、clock timezone zone-time add 1和clock summer-time ss one-off 1:00 2008/1/1 1:00 2008/8/8 2 显示:02:00:00 zone-time Mon 01/01/2007 |
|
如果"date-time"±"zone-offset"的值在夏令时段内,显示"date-time"±"zone-offset"+”summer-offset” |
配置:clock datetime 1:00 2007/1/1、clock timezone zone-time add 1和clock summer-time ss one-off 1:00 2007/1/1 1:00 2007/8/8 2 显示:04:00:00 ss Mon 01/01/2007 |
|
|
[1]、2、3、1或者[1]、3、2、1 |
date-time不在夏令时段内,显示:date-time |
配置:clock timezone zone-time add 1、clock summer-time ss one-off 1:00 2008/1/1 1:00 2008/8/8 2和clock datetime 1:00 2007/1/1 显示:01:00:00 zone-time Mon 01/01/2007 |
|
date-time在夏令时段内,再根据“date-time”-”summer-offset”的值是否在夏令时段内来判断。如果不在夏令时段内,则显示“date-time”-”summer-offset”;如果在夏令时段内,显示date-time |
配置:clock timezone zone-time add 1、clock summer-time ss one-off 1:00 2008/1/1 1:00 2008/8/8 2和clock datetime 1:30 2008/1/1 显示:23:30:00 zone-time Mon 12/31/2007 |
|
|
配置:clock timezone zone-time add 1、clock summer-time ss one-off 1:00 2008/1/1 1:00 2008/8/8 2和clock datetime 3:00 2008/1/1 显示:03:00:00 ss Tue 01/01/2008 |
l 使能显示版权信息后,使用Telnet方式登录设备时会显示版权信息,使用Console口、AUX口登录设备在退出用户视图时会显示版权信息,其它情况不显示版权信息。显示的版权信息形如:
******************************************************************************
* Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
l 禁止显示版权信息后,在任何情况下都不会显示版权信息。
表1-5 使能/禁止显示版权信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能显示版权信息 |
copyright-info enable |
可选 缺省情况下,显示版权信息处于使能状态 |
|
禁止显示版权信息 |
undo copyright-info enable |
必选 缺省情况下,显示版权信息处于使能状态 |
欢迎信息是用户在连接到设备、进行登录验证以及开始交互配置时系统显示的一段提示信息。管理员可以根据需要,设置相应的提示信息。
目前,系统支持的欢迎信息有五种:
l shell欢迎信息,也称session条幅。进入控制台会话时显示;
l 用户接口欢迎信息,也称incoming条幅。主要用于Modem激活用户接口时显示;
l 登录欢迎信息,也称login条幅。主要用于配置密码验证和scheme认证时显示;
l MOTD(Message Of The Day)欢迎信息。在启动认证前显示;
l 授权欢迎信息,也称legal条幅。系统在用户登录前会给出一些版权或者授权信息,然后显示legal条幅,并等待用户确认是否继续进行认证或者登录。如果用户输入“Y”或者直接按<Enter>键,则进入认证或登录过程;如果输入“N”,则退出认证或登录过程。“Y”和“N”不区分大小写。
配置欢迎信息时,系统支持两种输入方式:
(1) 单行输入
该方式下欢迎信息的所有内容与命令关键字在同一行中输入。输入内容的开始字符和结束字符必须相同,但这两字符不作为欢迎信息的内容,此时包括命令关键字、开始和结束字符在内总共可以输入510个字符;该方式下输入的欢迎信息不能包含换行。
(2) 多行输入
该方式下欢迎信息的所有内容通过按<Enter>键分多行输入,此时可以输入长达2000个字符。多行输入又分为三种方式:
l 命令关键字后直接回车(按<Enter>键):以“%”结束设置,“回车”及“%”符号不属于欢迎信息的内容。
l 命令关键字后输入一个字符后回车:以首行输入的字符结束设置,首行的字符及结束符不属于欢迎信息的内容。
l 命令关键字后输入多个字符(首尾不相同)后回车:以输入的第一个字符结束设置。输入信息的第一个字符及结束符不属于欢迎信息的内容,输入过程中的回车符也属于欢迎信息的内容。
表1-6 配置欢迎信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置登录进入用户视图时的欢迎信息(Modem登录方式适用) |
header incoming text |
可选 |
|
配置登录验证时的欢迎信息 |
header login text |
可选 |
|
配置登录终端界面前的授权信息 |
header legal text |
可选 |
|
配置登录进入用户视图时的欢迎信息 (非Modem登录方式适用) |
header shell text |
可选 |
|
配置登录终端界面前的欢迎信息 |
header motd text |
可选 |
# 将登录进入用户视图时的欢迎信息设置为“Welcome to H3C!”。
l 使用单行输入方式设置:
<System> system-view
[System] header shell %Welcome to H3C!%
l 使用多行输入方式设置(方式一):
<System> system-view
[System] header shell
Please input banner content, and quit with the character '%'.
Welcome to H3C!
%
l 使用多行输入方式设置(方式二):
<System> system-view
[System] header shell W
Please input banner content, and quit with the character 'W'.
Welcome to H3C!
W
为便于用户对常用命令进行快捷操作,系统提供了五个快捷键供用户自定义。只要用户按下某个快捷键,系统即可执行对应的命令。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置命令行的快捷键 |
hotkey { CTRL_G | CTRL_L | CTRL_O | CTRL_T | CTRL_U } command |
可选 缺省情况请参见表下方的说明 |
|
显示系统中快捷键的分配信息 |
display hotkey |
可在任意视图下执行,系统保留的快捷键请参见表1-8 |
缺省情况下,系统为<Ctrl+G>、<Ctrl+L>、<Ctrl+O>三个快捷键指定了对应的命令,其它两个快捷键<Ctrl+T>、<Ctrl+U>缺省值为NULL(空)。
l <Ctrl+G>对应命令display current-configuration(显示当前配置);
l <Ctrl+L>对应命令display ip routing-table(显示IPv4路由表信息);
l <Ctrl+O>对应命令undo debugging all(关闭所有模块的调试信息开关)。
|
快捷键 |
功能 |
|
<Ctrl+A> |
将光标移动到当前行的开头 |
|
<Ctrl+B> |
将光标向左移动一个字符 |
|
<Ctrl+C> |
停止当前正在执行的功能 |
|
<Ctrl+D> |
删除当前光标所在位置的字符 |
|
<Ctrl+E> |
将光标移动到当前行的末尾 |
|
<Ctrl+F> |
将光标向右移动一个字符 |
|
<Ctrl+H> |
删除光标左侧的一个字符 |
|
<Ctrl+K> |
终止呼出的连接 |
|
<Ctrl+N> |
显示历史命令缓冲区中的后一条命令 |
|
<Ctrl+P> |
显示历史命令缓冲区中的前一条命令 |
|
<Ctrl+R> |
重新显示当前行信息 |
|
<Ctrl+V> |
粘贴剪贴板的内容 |
|
<Ctrl+W> |
删除光标左侧连续字符串内的所有字符 |
|
<Ctrl+X> |
删除光标左侧所有的字符 |
|
<Ctrl+Y> |
删除光标右侧所有的字符 |
|
<Ctrl+Z> |
退回到用户视图 |
|
<Ctrl+]> |
终止呼入的连接或重定向连接 |
|
<Esc+B> |
将光标移动到左侧连续字符串的首字符处 |
|
<Esc+D> |
删除光标所在位置及其右侧连续字符串内的所有字符 |
|
<Esc+F> |
将光标向右移到下一个连续字符串之前 |
|
<Esc+N> |
将光标向下移动一行(键入回车前有效) |
|
<Esc+P> |
将光标向上移动一行(键入回车前有效) |
|
<Esc+<> |
将光标所在位置指定为剪贴板的开始位置 |
|
<Esc+>> |
将光标所在位置指定为剪贴板的结束位置 |
以上快捷键为设备所定义,当用户使用终端软件与设备进行交互时,这些快捷键可能在终端软件中被定义为其它指令。此时,快捷键的操作优先遵从终端软件的定义,而不会对设备生效。
通过配置命令行别名,用户可以将设备当前支持的命令行的第一个关键字替换为自己惯用的关键字。比如将display的别名设置为show,这样在设备上执行display xx命令时只需要输入show xx即可。
在配置命令行别名时,需要遵循以下约定:
l 当查看当前配置信息以及保存配置信息时,用户输入的带别名的命令将以系统原始的命令形式被显示或存储,而不会以别名的形式。即用户的别名命令可以使用,但不会参与配置保存和恢复。
l 配置命令行别名时,输入的cmdkey和alias参数必须是完整的形式。
l 在用户启动别名功能的情况下,当用户输入不完整关键字,且该关键字与用户已匹配的别名以及现有某关键字同时部分匹配时,以别名替换优先。用户想输入现有关键字对应的命令需要完整输入该关键字。如果用户输入的字符串与多个所设置的别名部分匹配,则输出歧义匹配信息。
l 当用户对别名关键字使用<Tab>键时,将联想出所对应的原始关键字。
l 不支持对整个命令行的替换。只支持对第一关键字的别名设置,以及undo命令的第二关键字的别名替换
表1-9 配置命令行的别
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能命令行别名功能 |
command-alias enable |
必选 缺省情况下,命令行别名功能处于关闭状态,即用户不能给命令行指定别名 |
|
给指定的命令行配置别名 |
command-alias mapping cmdkey alias |
必选 缺省情况下,命令行没有配置别名 |
为了限制不同用户对设备的访问权限,系统对用户进行了分级管理。用户的级别与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令。
命令的级别由低到高分为访问级、监控级、系统级、管理级四种,分别对应级别值0、1、2、3。详细介绍请见表1-10:
|
级别值 |
级别名称 |
描述 |
|
0 |
访问级 |
用于网络诊断等功能的命令、从本设备出发访问外部设备的命令。该级别命令配置后不允许保存,设备重启后,该级别命令会恢复到缺省状态 缺省情况下,访问级的命令包括:ping、tracert、telnet等 |
|
1 |
监控级 |
用于系统维护、业务故障诊断等功能的命令。该级别命令配置后不允许保存,设备重启后,该级别命令会恢复到缺省状态 缺省情况下,监控级的命令包括:debugging、terminal、refresh、reset、send等 |
|
2 |
系统级 |
业务配置命令,包括路由、各个网络层次的命令,这些命令用于向用户提供直接网络服务 缺省情况下,系统级的命令包括:所有配置命令(管理级的命令除外) |
|
3 |
管理级 |
关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用 缺省情况下,管理级的命令包括:文件系统命令、FTP命令、TFTP命令、XModem命令下载、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规定、非RFC规定)等 |
用户级别可以通过AAA认证参数或者用户界面来配置:
(1) 通过AAA认证参数配置用户级别
如果用户登录时使用的用户界面的认证方式为scheme,并且用户登录时需要输入用户名和密码,则用户级别以及用户可使用的命令,在配置AAA认证时指定。
表1-11 通过AAA认证参数配置用户级别
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
|
|
设置登录用户界面的认证方式为scheme |
authentication-mode scheme |
必选 缺省情况下,VTY用户界面认证方式为password,Console用户界面不需要认证 |
|
|
退回系统视图 |
quit |
- |
|
|
通过认证参数设置用户的级别 |
使用本地认证时 |
l 使用local-user命令创建本地用户并进入本地用户视图 l 使用authorization-attribute命令的level参数配置用户本身的级别 |
二者必选其一 使用本地认证时,如果没有配置用户级别,则用户级别为0,即只能使用0级别的命令 使用远程认证时,如果没有配置用户级别,则用户级别由认证服务器的缺省配置决定 |
|
使用远程认证(RADIUS认证、HWTACACS认证及LDAP认证)时 |
在认证服务器上进行配置 |
||
l 关于用户界面的介绍请参见“登录设备配置”。有关user-interface、authentication-mode、user privilege level命令的介绍请参见“基础配置命令参考”中的“登录设备”。
l 有关AAA认证的介绍请参见“安全配置指导”中的“AAA”。local-user和authorization-attribute命令的介绍请参见“安全命令参考”中的“AAA”。
(2) 通过AAA认证参数配置用户级别举例
# 设置使用VTY 1的Telnet用户登录设备时,需要本地验证用户名和口令,用户级别为3。
<Sysname> system-view
[Sysname] user-interface vty 1
[Sysname-ui-vty1] authentication-mode scheme
[Sysname-ui-vty1] quit
[Sysname] local-user test
[Sysname-luser-test] password cipher 123
[Sysname-luser-test] service-type telnet
通过以上配置,用户使用VTY 1 Telnet登录设备时,需要输入用户名test,密码123,认证通过后只能使用级别为0的命令,想要使用级别为0、1、2、3的命令还需要配置:
[Sysname-luser-test] authorization-attribute level 3
(3) 通过用户界面配置用户级别
如果用户登录时使用的用户界面的认证方式为none或者password(即不需要输入用户名),用户级别也等于用户界面的级别。
表1-12 通过用户界面配置用户级别
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
|
设置用户使用当前用户界面登录设备时的认证方式 |
authentication-mode { none | password } |
可选 缺省情况下,VTY用户界面认证方式为password,Console用户界面不需要认证 |
|
配置从当前用户界面登录系统的用户的级别 |
user privilege level level |
可选 缺省情况下,通过Console口登录系统的用户级别是3,通过其它用户界面登录系统的用户级别是0 |
(4) 通过用户界面配置用户级别举例
l 设置所有的Telnet用户登录设备时,不需要身份认证,用户级别为1。(不设置身份认证可能存在安全隐患,请确保在安全性较高的网络环境中使用本配置)
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode none
[Sysname-ui-vty0-4] user privilege level 1
缺省情况下,用户使用Telnet方式登录设备,通过口令验证后,只能使用以下命令:
<Sysname> ?
User view commands:
display Display current system information
ping Ping function
quit Exit from current command view
super Set the current user priority level
telnet Establish one TELNET connection
tftp Open TFTP connection
tracert Trace route function
通过用户界面设置级别后,用户不需要认证就可以Telnet登录设备并使用以下命令:
<Sysname> ?
User view commands:
debugging Enable system debugging functions
dialer Dialer disconnect
display Display current system information
ping Ping function
quit Exit from current command view
refresh Do soft reset
reset Reset operation
screen-length Specify the lines displayed on one screen
send Send information to other user terminal interface
super Set the current user priority level
telnet Establish one TELNET connection
terminal Set the terminal line characteristics
tftp Open TFTP connection
tracert Trace route function
undo Cancel current setting
l 设置所有的Telnet用户登录设备时,需要验证口令,用户级别为2。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty1] authentication-mode password
[Sysname-ui-vty0-4] set authentication password cipher 123
[Sysname-ui-vty0-4] user privilege level 2
缺省情况下,用户使用Telnet方式登录设备,通过口令验证后,只能使用级别为0的命令。通过用户界面设置级别后,用户使用Telnet方式登录设备,输入密码123后,就可以使用级别为0、1、2的命令。
切换用户级别是指在不退出当前登录、不断开当前连接的前提下暂时的修改用户级别。级别修改后不需要重新登录,可以继续配置设备,只是可以执行的命令会不一样。比如用户的级别为3,可以对系统参数进行设置,如果将用户的级别切换到0,则只能执行简单的ping、tracert和很少一部分display命令等。切换后的级别是临时的,只对当前登录生效,用户重新登录后,又会恢复到原有级别。
为了防止对设备的误操作,通常情况下建议管理员使用较低级别的用户登录设备、查看设备运行参数,当需要对设备进行维护时,再临时切换到较高的级别;当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时,为了安全起见,可以临时切换到较低的级别,来限制其它人员的操作。
(1) 从高级别切换到低级别或相同级别时,可以直接切换,不需要进行身份验证。
(2) 从低级别切换到高级别时,为了保证操作的安全性,需要进行身份认证。认证方式有四种:
l local:表示使用本地密码认证。该密码由super password命令设置。该方式下,如果没有设置切换密码,则使用Console口(指Console口或作为Console口的AUX口)登录的用户可以成功切换级别,其它用户(使用AUX、TTY或VTY用户界面登录的用户)切换操作失败;如果输入的切换密码错误,则切换操作失败。
l scheme:表示使用AAA认证。AAA的详细介绍和配置请参见“安全配置指导”中的“AAA”。
l local scheme:表示先使用local认证方式,如果没有设置本地密码,使用Console口登录的用户直接切换级别,其它用户则转入scheme认证方式。
l scheme local:表示先使用scheme认证方式,如果AAA配置无效(没配域参数或认证方案)或者服务器没有响应则转为local认证方式。
如果当前用户界面下配置的用户认证方式为none或者password(即配置了authentication-mode none或者authentication-mode password),因为登录认证过程中没有提供用户名,所以,级别切换使用scheme认证方式时系统会提示输入用户名和密码(该用户名和密码需要和AAA服务器上的配置一致);其它情况只需要输入密码,不需要输入用户名。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置切换用户级别的认证方式 |
super authentication-mode { local | scheme } * |
可选 缺省情况下,采用local认证方式 |
|
配置切换用户级别的密码(该密码用于local认证方式) |
super password [ level user-level ] { simple | cipher } password |
必选 缺省情况下,系统没有设置切换用户级别的密码 |
|
退回到用户视图 |
quit |
- |
|
切换用户级别 |
super [ level ] |
必选 用户的登录设备时,已经具有了一定的级别,该级别由用户界面或者认证用户级别决定 |
l 在使用super password命令时,若不指定用户级别,缺省配置的是切换到3级用户的密码。
l 用户级别的切换密码的显示方式有两种,建议用户使用密文(cipher)形式,明文(simple)密码容易被盗取。
l 当使用的认证方式中有local时,切换用户级别前需要配置本地密码。
l 当使用的认证方式中有scheme时,切换用户级别前需要配置AAA相关参数。
l AAA认证的超时时间为120s,超时后设备会认为AAA认证无响应。
l 用户最多可以连续输入三次密码,如果三次密码都错误则本次切换失败。
缺省情况,各个视图下的每条命令都有指定的级别(如表1-14所示)。管理员也可以根据用户需要改变命令的级别:实现低级别用户可以使用部分高级别命令的需求;或者将命令的级别提高,增加设备的安全性。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置指定视图下的命令的级别 |
command-privilege level level view view command |
可选 缺省情况请参见表1-10 |
通常情况下,建议用户不要修改缺省的命令级别或者在专业人员的指导下进行修改,以免造成操作和维护上的不便甚至给设备带来安全隐患。
用户可以使用configure-user count命令来设置可以同时进入系统视图的用户数。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置并发配置用户数 |
configure-user count number |
可选 缺省情况下,允许两个用户在系统视图下进行配置 |
l 当多个用户同时进入系统视图并对某个特性进行配置的时候,系统以最新配置为准。
l 如果当前并发配置用户数目已达到所设置的限制数目,新登录的用户将无法再进入系统视图。
在完成上述配置后,在任意视图下执行display命令可以查看系统相应的配置信息和运行信息。
|
操作 |
命令 |
|
显示系统版本信息 |
display version |
|
显示系统当前的时间和日期 |
display clock |
|
显示当前用户设置的命令行及其别名 |
display command-alias |
|
显示终端用户的信息 |
display users [ all ] |
|
显示已经登录设备且当前命令视图不是用户视图的用户的信息 |
display configure-user |
|
显示当前视图下生效的配置 |
display this [ by-linenum ] |
|
显示剪贴板的内容 |
display clipboard |
|
显示或保存系统当前各个功能模块运行的统计信息 |
display diagnostic-information |
在日常维护或系统出现故障时,为了便于问题定位,用户需要查看各个功能模块的运行信息。因为各个功能模块都有其对应的运行信息,所以一般情况下,用户需要逐条运行相应的display命令。为便于一次性收集更多信息,用户可以在任意视图下执行display diagnostic-information命令,显示或保存系统当前多个功能模块运行的统计信息。display diagnostic-information命令一次性收集的配置信息等效于依次执行display clock、display version、display device、display current-configuration等命令后终端显示的信息。
l display users命令的详细介绍请参见“基础配置命令参考”中的“登录设备”。
l 以上只介绍了与全局有关的display命令,有关各协议和各种接口的display命令请参见对应章节。
命令行接口是设备与用户之间的交互界面。通过命令行接口,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备。
为提高设备的可管理性和可操作性,命令行接口还提供了如下的特性:
l 支持对命令进行分级保护,未授权用户不能使用高于其等级的命令对设备进行配置,详情请参见1.2.7 配置用户级别和命令级别;
l 用户随时可以键入“?”以获得在线帮助,详情请参见1.3.2 命令行在线帮助;
l 提供种类丰富、内容详尽的调试信息,帮助用户诊断、定位网络故障;
l 提供命令历史记录功能,用户可以方便地查看曾经执行过的命令,并再次执行;
l 支持不完整关键字输入。在执行命令时,用户可以输入关键字的部分字符而无须输入关键字的全部字符,但为了让用户进一步确认即将执行的操作,用户输入的字符必须能精确匹配一条命令才会执行(如果第一个字符匹配不了,就需要输入第二个,以此类推)。比如以s开头的命令有save、startup saved-configuration、system-view等,如果要保存当前配置,至少要输入sa;如果要设置下次启动配置文件,至少要输入st s;如果要进入系统视图,至少要输入sy,而不能只输入s。关键字的全部字符可以按<Tab>键由系统自动补全,也可以手工全部输入。
命令行接口提供如下几种在线帮助:
l 完全帮助
l 部分帮助
通过上述各种在线帮助能够获取到帮助信息,分别描述如下:
(1) 在任意视图下,键入<?>获取该视图下所有的命令及其简单描述。
<Sysname> ?
User view commands:
backup Backup next startup-configuration file to TFTP server
boot-loader Set boot loader
bootrom Update/read/backup/restore bootrom
cd Change current directory
clock Specify the system clock
cluster Run cluster command
copy Copy from one file to another
debugging Enable system debugging functions
delete Delete a file
dir List files on a file system
display Show running system information
……略……
(2) 键入一条命令,后接以空格分隔的<?>,如果该位置为关键字,则列出全部关键字及其简单描述。
<Sysname> terminal ?
debugging Send debug information to terminal
logging Send log information to terminal
monitor Send information output to current terminal
trapping Send trap information to terminal
(3) 键入一条命令,后接以空格分隔的<?>,如果该位置为参数,则列出有关的参数描述。
<Sysname> system-view
[Sysname] interface vlan-interface ?
<1-4094> VLAN interface number
[Sysname] interface vlan-interface 1 ?
<cr>
[Sysname] interface vlan-interface 1
<cr>表示该位置无参数,在紧接着的下一个命令行该命令被复述,直接键入回车即可执行。
(4) 键入字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<Sysname> c?
cd
clock
copy
(5) 键入命令,后接字符串,字符串紧接<?>,列出命令以该字符串开头的所有关键字。
<Sysname> display cl?
clipboard
clock
(6) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字;如果不唯一,则显示最先匹配到的完整的关键字(匹配规则为:将下一个字母按字母序排列,排在最前面的最先被匹配),反复按<Tab>键,则可以循环显示所有以输入字母开头的关键字,用户可以从中选择所需要的关键字。
同步信息输出是指当用户的输入被系统信息输出打断时,系统将回显用户的上一步输入或操作,用户可以接着输入或者执行上一步的操作。
使用info-center synchronous命令可以开启同步信息输出功能,关于该功能的详细介绍请参见“网络管理和监控命令参考”中的“信息中心”。
在命令前加undo关键字,即为命令的undo形式。几乎每条配置命令都有对应的undo形式,undo命令一般用来恢复缺省情况、禁用某个功能或者删除某项设置。例如,info-center enable命令用来开启信息中心功能;undo info-center enable命令用来关闭信息中心功能。(缺省情况下,信息中心处于开启状态。)
命令行接口提供了基本的命令编辑功能,支持多行编辑(每行达到指定字符时,系统会自动换行。不能按<Enter>键换行,输入<Enter>键后,系统会自动执行该命令),每条命令的最大长度为510个字符,如表1-17所示。
|
按键 |
功能 |
|
普通按键 |
若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标 |
|
退格键<Backspace> |
删除光标位置的前一个字符,光标前移 |
|
左光标键←或<Ctrl+B> |
光标向左移动一个字符位置 |
|
右光标键→或<Ctrl+F> |
光标向右移动一个字符位置 |
|
上光标键↑或<Ctrl+P> |
显示历史命令 |
|
下光标键↓或<Ctrl+N> |
|
|
<Tab>键 |
输入不完整的关键字后按下<Tab>键,系统自动执行部分帮助: l 如果与之匹配的关键字唯一,则系统用此完整的关键字替代原输入并换行显示; l 如果与之匹配的关键字不唯一,则反复按<Tab>键,可以循环显示所有以输入字母开头的关键字; l 如果没有与之匹配的关键字,系统会不作任何修改,重新换行显示原输入 |
使用过滤显示功能可以帮助用户迅速查找到自己关心的信息。如果显示的信息较多,一屏不能全部显示时,系统会自动进行分屏显示。分屏显示的时候也可以使用过滤显示功能提取出用户关心的信息。
设备提供了过滤显示功能,用户通过指定正则表达式(即指定显示规则),可以帮助迅速查找所需的信息。
过滤显示的使用方法有两种:
l 在命令行中通过输入begin、exclude或include关键字加正则表达式的方式来过滤显示;
l 在分屏显示时,使用“/”、“-”或“+”符号加正则表达式的方式,它将对剩余的信息使用正则表达式进行过滤显示。其中,“/”等同关键字begin;“-”等同关键字exclude;“+”等同关键字include。
begin、exclude或include关键字的含义如下:
l begin:显示特定行及其以后的所有行,该特定行必须包含指定正则表达式。
l exclude:显示不包含指定正则表达式的所有行。
l include:只显示包含指定正则表达式的所有行。
正则表达式为1~256个字符的字符串,区分大小写,它还支持多种特殊字符,特殊字符的匹配规则如表1-18所示。
|
特殊字符 |
含义 |
使用说明 |
|
^string |
行首匹配符,string后面的字符串只能出现在每行的开始 |
如^user只能匹配以user开始的行,不能匹配以Auser开始的行 |
|
$string |
行尾匹配符,string后面的字符串只能出现在每行的末尾 |
如user$只能匹配以user结尾的行,不能匹配以userA结尾的行 |
|
. |
句点,通配符,匹配任何一个字符,包括单个字符、特殊字符和空格等 |
如:.l可以配置vlan和mpls等 |
|
* |
星号,匹配星号前面的字符或字符组零次或多次 |
如:zo*可以匹配z及zoo;(zo)*可以匹配zo以及zozo |
|
+ |
加号,匹配加号前面的字符或字符组一次或多次 |
如:zo+可以匹配zo以及zoo,但不能匹配z |
|
| |
竖线,匹配|左边的整个字符串或者右边的整个字符串 |
如:def|int只能匹配包含def或者int的字符串 |
|
_ |
下划线,该字符出现在表达式的开头或结尾时,等效于行首匹配符或行尾匹配符(即特殊字符^或$),其它情况下等效于逗号、空格或者作为普通字符时的左括号、右括号、左大括号、右大括号 |
如:a_b可以匹配a b和a(b等;_ab只能匹配以ab开头的行;ab_只能匹配以ab结束的行 |
|
- |
连接符,用于连接两个数值或字母(小的在前,大的在后),与“[ ]”符号连用表示一个范围 |
如:从1到9表示为1-9(包括1和9);从a到h表示为a-h(包括a和h) |
|
[ ] |
表示字符选择范围,将以选择范围内的单个字符为条件进行匹配,只要字符串里包含该范围的某个字符就能匹配到 |
如:[16A]表示可以匹配到的字符串只需要包含1、6或A中任意一个;[1-36A]表示可以匹配到的字符串只需要包含1、2、3、6或A中任意一个(-为连接符) 如果]需要作为普通字符出现在[ ]内时,必须把]写在[ ]的最前面,形如[]string],才能匹配到]。[没有这样的限制 |
|
( ) |
表示字符组,一般与“+”或“*”等符号一起使用 |
如:(123A)表示字符组123A;408(12)+可以匹配40812或408121212等字符串,但不能匹配408 |
|
\index |
表示重复一次指定字符组,字符组是指\前用()括起来的字符串,index对应\前字符组的顺序号(按丛左至右的顺序丛1开始编号):如果/前面只有一个字符组,则index只能为1;如果/前面有n个字符组,则index可以为1到n中的任意整数 |
如:(string)\1表示把string重复一次,匹配的字符串必须包含stringstring;(string1)(string2)\2表示把string2重复一次,匹配的字符串必须包含string1string2string2;(string1)(string2)\1\2表示先把string1重复一次,再重复一次string2,匹配的字符串必须包含string1string2string1string2 |
|
[^] |
表示选择范围外的字符,将以单个字符为条件进行匹配,只要字符串里包含该范围外的某个字符就能匹配到 |
如:[^16A]表示可匹配的字符串只需要包含1、6和A之外的任意字符,该字符串也可以包含字符1、6或A,但不能只包含这三个字符。比如[^16A]可以匹配abc、m16,不能匹配1、16、16A |
|
\<string |
匹配以string开头的字符串 |
如:\<do可以匹配单词domain,还可以匹配字符串doa |
|
string\> |
匹配以string结尾的字符串 |
如:do\>可以匹配单词undo,还可以匹配字符串abcdo |
|
\bcharacter2 |
匹配characte1character2,characte1可以是除了数字、字母和下划线外的任意字符,\b等效于[^A-Za-z0-9_] |
如:\ba可以匹配-a,-为characte1,a为character2,但是不能匹配2a和ba等 |
|
\Bcharacter |
匹配到的字符串中必须包含字符character,且character前不能是空格 |
如:\Bt可以匹配install里的t而不能匹配big top中的t |
|
character1\w |
匹配characte1character2,character2必须是数字、字母或下划线。\w相当于[A-Za-z0-9_] |
如:v\w能匹配到vlan,v为characte1,l为character2,v\w还能匹配service,i为character2 |
|
\W |
等效于\b |
如:\Wa可以匹配-a,-为characte1,a为character2,但是不能匹配2a和ba等 |
|
\ |
转义操作符,\后紧跟本表列的单个特殊字符时,将去除特殊字符的特定含义 |
如:\\可以匹配包含\的字符串,\^可以匹配包含^的字符串,\\b可以匹配包含\b的字符串 |
当显示信息较多时,系统会自动将信息分屏显示。通常情况下,一屏将显示24行信息,用户也可以使用screen-length命令设置用户界面下一屏显示的行数(screen-length命令的详细介绍请参见“基础配置命令参考”中的“登录设备”)。当然,用户也可以通过以下配置禁用当前登录用户的分屏显示功能。
表1-19 禁止分屏显示
|
操作 |
命令 |
说明 |
|
禁用当前用户的分屏显示功能 |
screen-length disable |
必选 缺省情况下,用户登录后将遵循用户界面下的screen-length设置。screen-length设置的缺省情况为:允许分屏显示,下一屏显示24行数据 该操作在用户视图下执行,仅对当前用户有效,用户重登录后将恢复到缺省情况 |
命令行接口提供了这样的显示特性:在一次显示信息超过一屏时,提供了暂停功能,这时用户可以有三种选择,如表1-20所示。
|
按键或命令 |
功能 |
|
暂停显示时键入空格键 |
继续显示下一屏信息 |
|
暂停显示时键入回车键 |
继续显示下一行信息 |
|
暂停显示时键入<Ctrl+C> |
停止显示和命令执行 |
|
<Ctrl+E> |
将光标移动到当前行的末尾 |
|
<PageUp> |
显示上一页信息 |
|
<PageDown> |
显示下一页信息 |
命令行接口将用户最近使用的历史命令自动保存到历史命令缓存区,用户可以随时了解最近执行成功了哪些操作以及调用保存的历史命令,并重复执行。
缺省情况下,命令行接口为每个用户保存10条历史命令,但用户可以通过history-command max-size命令来设置当前用户界面历史命令缓冲区的容量(关于history-command max-size命令的详细介绍请参见“基础配置命令参考”中的“登录设备”)。另外,
l 设备保存的历史命令与用户输入的命令格式相同,如果用户使用了命令的不完整形式,保存的历史命令也是不完整形式。
l 如果用户连续多次执行同一条命令,设备的历史命令中只保留最早的一次。但如果执行时输入的形式不同,将作为不同的命令对待。例如:多次执行display cu命令,历史命令中只保存一条。如果执行display cu和display current-configuration,将保存为两条历史命令。
|
操作 |
命令或按键 |
结果 |
|
显示历史命令 |
display history-command |
显示用户输入的有效历史命令 |
|
访问上一条历史命令 |
上光标键↑或<Ctrl+P> |
如果还有更早的历史命令,则取出上一条历史命令 |
|
访问下一条历史命令 |
下光标键↓或<Ctrl+N> |
如果还有更晚的历史命令,则取出下一条历史命令 |
用光标键对历史命令进行访问,在Windows 200X及XP的Terminal和Telnet下都是有效的,但对于Windows 9X超级终端,↑、↓光标键会无效。这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替↑、↓光标键达到同样目的。
所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见表1-22。
|
英文错误信息 |
错误原因 |
|
% Unrecognized command found at '^' position. |
没有查找到命令 |
|
没有查找到关键字 |
|
|
参数类型错误 |
|
|
参数值越界 |
|
|
% Incomplete command found at '^' position. |
输入命令不完整 |
|
% Ambiguous command found at '^' position. |
输入参数不明确,存在二义性 |
|
Too many parameters |
输入参数太多 |
|
% Wrong parameter found at '^' position. |
输入参数错误 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
