03-登录设备命令
本章节下载: 03-登录设备命令 (672.75 KB)
目 录
1.1.20 history-command max-size
1.1.31 ip https certificate access-control-policy
1.1.34 ip https ssl-server-policy
1.1.46 restful https ssl-server-policy
1.1.49 set authentication password
1.1.57 telnet server acl-deny-log enable
1.1.61 telnet server ipv6 dscp
1.1.62 telnet server ipv6 port
1.1.63 telnet server login-failed threshold-alarm
1.1.70 web https-authorization mode
· 设备仅在独立运行模式下支持MDC。关于独立运行模式的详细介绍,请参见“虚拟化技术配置指导”中的“IRF”。具体支持配置MDC的机型,请参见“虚拟化技术配置指导”中的“MDC”。
· 设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
对于同时支持用户线视图和用户线类视图的命令,本文中的命令描述只描述用户线视图下命令的作用,对于用户线类视图下该命令的作用,请按照下列规则进行类推:
· 用户线视图下的配置只对该用户线生效,用户线类视图下的配置对该类用户线生效。
· 非缺省配置优先于缺省配置。如果在用户线视图、用户线类视图下都是非缺省配置,则用户线视图下的配置优先于用户线类视图下的配置。
· 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
activation-key命令用来配置启动终端会话的快捷键。
undo activation-key命令用来恢复缺省情况。
【命令】
activation-key key-string
undo activation-key
【缺省情况】
按<Enter>键启动终端会话。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
key-string:定义启动终端会话的快捷键,可以是区分大小写的单个字符,也可以是单个字符或组合键对应的ACSII码(0~127)。比如设置activation-key 1,此时生效快捷键为Ctrl+A;如果设置activation-key a,生效的快捷键为a。单个字符的快捷键对应的ASCII码与标准的ASCII码表一致,组合键对应的ASCII码请参见表1-1。
【使用指导】
VTY用户线视图/VTY用户线类视图不支持该命令。
在用户线/用户线类视图下,该命令的配置结果将立即生效。
如果使用activation-key命令设置了其他快捷键,则新的快捷键将代替<Enter>键来启动终端会话。新设置的快捷键可以使用display current-configuration | include activation-key命令查看。
如果用户线视图下配置activation-key为缺省值,并且此时用户线类视图下配置了activation-key,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
表1-1 Ctrl+X组合键对应的ASCII码表
Ctrl+X组合键 |
对应的ASCII码 |
CTRL+A |
1 |
CTRL+B |
2 |
CTRL+C |
3 |
CTRL+D |
4 |
CTRL+E |
5 |
CTRL+F |
6 |
CTRL+G |
7 |
CTRL+H |
8 |
CTRL+I |
9 |
CTRL+J |
10 |
CTRL+K |
11 |
CTRL+L |
12 |
CTRL+M |
13 |
CTRL+N |
14 |
CTRL+O |
15 |
CTRL+P |
16 |
CTRL+Q |
17 |
CTRL+R |
18 |
CTRL+S |
19 |
CTRL+T |
20 |
CTRL+U |
21 |
CTRL+V |
22 |
CTRL+W |
23 |
CTRL+X |
24 |
CTRL+Y |
25 |
CTRL+Z |
26 |
CTRL+ [ |
27 |
CTRL+\ |
28 |
CTRL+] |
29 |
CTRL+^ |
30 |
CTRL+_ |
31 |
【举例】
# 指定启动Console用户线终端会话的快捷键为<s>。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] activation-key s
验证过程如下:
· 退出终端会话。
[Sysname-line-console0] return
<Sysname> quit
· 重新使用登录设备,能看到如下显示信息。
Press ENTER to get started.
· 此时,<Enter>键失效,需要按<s>键才能出现用户视图提示符,启动终端会话。
<Sysname>
authentication-mode命令用来设置用户登录设备时的认证方式。
undo authentication-mode命令用来恢复缺省情况。
【命令】
(非FIPS模式)
authentication-mode { none | password | scheme }
undo authentication-mode
(FIPS模式)
authentication-mode scheme
undo authentication-mode
【缺省情况】
(非FIPS模式)
通过Console口/USB Console口登录时认证方式为none,用户可直接登录。
通过VTY用户线登录设备的认证方式为password。
(FIPS模式)
登录设备时的认证方式为scheme。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
none:不进行认证。
password:进行密码认证方式。
scheme:进行AAA认证方式。AAA的相关内容请参见“安全配置指导”中的“AAA”。
【使用指导】
· 当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。
· 如果设置认证方式为password或scheme,但是没有配置认证密码或者认证用户,会影响下次登录设备。
用户线视图下,authentication-mode与protocol inbound相关联:
· 当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则均取缺省值。
· 当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值。
· 当两条命令都配置成非缺省值,则均取用户线下的配置值。
仅具有network-admin、mdc-admin、system-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
在用户线视图/用户线类视图下,该命令的配置结果将在下次登录设备时生效。
【举例】
# 设置用户使用VTY 0用户线登录设备时,不需要认证。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode none
# 设置用户使用VTY 0用户线登录设备时,需要密码认证,认证密码为hello12345。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple hello12345
# 设置用户使用VTY 0用户线,采用Telnet方式登录设备时采用本地AAA认证,用户名为test,认证密码为hello12345,服务类型为Telnet,用户角色为network-admin。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode scheme
[Sysname-line-vty0] quit
[Sysname] local-user test
[Sysname-luser-manage-test] password simple hello12345
[Sysname-luser-manage-test] service-type telnet
[Sysname-luser-manage-test] authorization-attribute user-role network-admin
【相关命令】
· set authentication password
auto-execute command命令用来设置自动执行命令。
undo auto-execute command命令用来恢复缺省情况。
【命令】
auto-execute command command
undo auto-execute command
【缺省情况】
未配置自动执行命令。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
command:需要自动执行的某条命令。
【使用指导】
· 在配置auto-execute command命令之前,请确保可以通过其他用户线登录系统,以便出现问题后,能删除该配置。
· 执行该命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用。
用户在登录时设备会自动执行auto-execute command配置好的命令,执行完命令后,自动断开用户连接。
在用户线视图/用户线类视图下配置该命令时,需要注意:
· Console用户线视图/Console用户线类视图不支持该命令。
· 如果用户线视图下配置auto-execute command为缺省值,并且此时用户线类视图下配置了auto-execute command,那么用户线类视图下的配置生效;如果用户线类视图下未配置,则用户线视图下的配置生效。
使用该命令设置的自动执行命令将在下次登录设备时生效。
【举例】
# 配置用户从VTY0登录本设备(IP地址为192.168.1.40)后,自动Telnet到IP地址为192.168.1.41的设备。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] auto-execute command telnet 192.168.1.41
This action will lead to configuration failure through line-vty0. Are you sure?
[Y/N]:y
[Sysname-line-vty0]
结果验证:
重新Telnet登录到本设备,设备会自动执行telnet 192.168.1.41命令,在Telnet客户端会看到以下显示信息。
C:\> telnet 192.168.1.40
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname.41>
此时相当于用户直接登录了192.168.1.41设备。如果用户断开与192.168.1.41的Telnet连接,用户与192.168.1.40设备的Telnet连接也会同时自动断开。
command accounting命令用来开启命令行计费功能。
undo command accounting命令用来关闭命令行计费功能。
【命令】
command accounting
undo command accounting
【缺省情况】
命令行计费功能处于关闭状态,即计费服务器不会记录用户执行的命令行。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启命令行计费功能后,如果未配置命令行授权功能,则当前用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。
在用户线视图/用户线类视图下,该命令的配置结果将在下次登录设备时生效。
如果在用户线类视图下使用command accounting命令使能了命令行计费功能,则该类型用户线视图都使能命令行计费功能,且用户线视图下无法使用undo command accounting恢复缺省情况。
【举例】
# 设置用户使用VTY 0用户线登录设备时,执行的命令需要在HWTACACS服务器上做记录。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] command accounting
【相关命令】
· accounting command(安全命令参考/AAA)
· command authorization
command authorization命令用来开启命令行授权功能。
undo command authorization命令用来关闭命令行授权功能。
【命令】
command authorization
undo command authorization
【缺省情况】
命令行授权功能处于关闭状态,即用户登录后执行命令行不需要授权。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启命令行授权功能后,不同登录方式用户的命令行授权情况不同,具体如下:
· 如果用户通过无认证方式(none)或者password认证方式登录设备,则设备无法对其进行命令行授权,禁止用户执行任何命令。
· 如果用户通过scheme认证方式登录设备:
¡ 如果用户通过了本地认证,则设备通过本地用户视图下的授权用户角色对用户进行命令行授权。
¡ 如果用户通过了远端认证,则由远端服务器对用户进行命令行授权。如果远端授权失败,则按照本地同名用户的用户角色进行命令行授权,如果授权也失败,则禁止用户执行该命令行。
在用户线类视图下该命令的配置结果将在下次登录设备时生效;在用户线视图下该命令的配置结果会立即生效。
如果在用户线类视图下使用command authorization命令开启了命令行授权功能,则该类型用户线视图都开启命令行授权功能,且用户线视图下无法使用undo command authorization恢复缺省情况。
【举例】
# 设置用户使用VTY 0用户线登录设备时,需要命令行授权才能执行命令。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] command authorization
【相关命令】
· command accounting
· authorization command(安全命令参考/AAA)
databits命令用来设置数据位的个数。
undo databits命令用来恢复缺省情况。
【命令】
databits { 5 | 6 | 7 | 8 }
undo databits
【缺省情况】
用户线的数据位为8位。
【视图】
用户线视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
5:数据位为5位,即使用5比特来表示一个字符。
6:数据位为6位,即使用6比特来表示一个字符。
7:数据位为7位,即使用7比特来表示一个字符。
8:数据位为8位,即使用8比特来表示一个字符。
【使用指导】
VTY用户线类视图不支持该命令。
访问终端和设备相应用户线下数据位的设置必须一致,双方才能正常通信。
【举例】
# 设置数据位为7位。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console] databits 7
display ip http命令用来显示HTTP的状态信息。
【命令】
display ip http
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示HTTP的状态信息。
<Sysname> display ip http
HTTP port: 80
Basic ACL: 2222
Operation status : Enabled
表1-2 display ip http命令显示信息描述表
字段 |
描述 |
HTTP port |
HTTP服务使用的端口号 |
Basic ACL |
与HTTP服务关联的基本访问控制列表号或名称,0表示未配置 |
Operation status |
HTTP服务是否开启: Enabled:表示HTTP服务处于开启状态 Disabled:表示HTTP服务处于关闭状态 |
【相关命令】
· ip http port
· ip http acl
· ip http enable
display ip https命令用来显示HTTPS的状态信息。
【命令】
display ip https
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示HTTPS的状态信息。
<Sysname> display ip https
HTTPS port: 443
SSL server policy: test
Certificate access control policy: Not configured
Basic ACL: 2222
Operation status : Enabled
表1-3 display ip https命令显示信息描述表
字段 |
描述 |
HTTPS port |
HTTPS服务使用的端口号 |
SSL server policy |
与HTTPS服务关联的SSL服务器端策略,Not configured表示未配置 |
Certificate access-control-policy |
与HTTPS服务关联的证书属性访问控制策略,Not configured表示未配置 |
Basic ACL |
与HTTPS服务关联的基本访问控制列表号或名称,0表示未配置 |
Operation status |
HTTPS服务是否开启: Enabled:表示HTTPS服务处于开启状态 Disabled:表示HTTPS服务处于关闭状态 |
【相关命令】
· ip https port
· ip https acl
· ip https enable
· ip https ssl-server-policy
· ip https certificate access-control-policy
display line命令用来显示用户线的相关信息。
【命令】
display line [ number1 | { console | vty } number2 ] [ summary ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
number1:用户线的编号(绝对编号方式),取值范围0~68。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值范围为0~4,对于VTY用户线取值范围为0~63。
summary:显示用户线的摘要信息。不使用该参数时,将显示用户线类型、绝对/相对编号、传输速率、认证方式及接入接口;使用该参数时,将显示正在使用和未使用的用户线数目和类型。
【举例】
# 显示用户线0的相关信息。
<Sysname> display line 0
Idx Type Tx/Rx Modem Auth Int Location
F 0 CON 0 9600 - N - 1/0
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表1-4 display line命令显示信息描述表
字段 |
描述 |
+ |
表示当前正在使用的用户线 |
F |
表示当前正在使用的用户线,且工作在异步方式 |
Idx |
用户线的绝对编号 |
Type |
用户线的类型及相对编号 |
Tx/Rx |
用户线的速率 |
Modem |
(暂不支持)Modem的呼入/呼出开关,取值有in(允许呼入)、out(允许呼出)、inout(允许呼入呼出),缺省显示“-”(表示未配置) |
Auth |
使用该用户线登录的用户的认证方式,取值有A、L、N和P四种方式 |
Int |
用户线对应的物理接口的简称表示(Console口/USB Console口以及没有对应接口的用户线均显示“-”) |
Location |
用户线的物理位置,显示为“槽位号/CPU编号”(独立运行模式) 用户线的物理位置,显示为“设备成员编号/槽位号/CPU编号”(IRF模式) |
A |
表示使用AAA认证方式,对应的authentication-mode为scheme |
N |
表示无需认证,对应的authentication-mode为none |
P |
表示使用当前用户线的密码进行认证,对应的authentication-mode为password |
# 显示所有用户线的摘要信息。
<Sysname> display line summary
Line type : [CON]
0:XXXX XXXX XX
Line type : [VTY]
10:UUXX XXXX XXXX XXXX
26:XXXX XXXX XXXX XXXX
42:XXXX XXXX XXXX XXXX
58:XXXX XXXX XXXX XXXX
2 lines used. (U)
72 lines not used. (X)
表1-5 display line summary命令显示信息描述表
字段 |
描述 |
Line type |
用户线类型: · CON表示Console用户线 · VTY表示VTY用户线 |
0:UXXX XXXX XX |
0表示用户线的绝对编号 X表示当前没有用户使用该用户线 U表示当前有用户使用该用户线 |
lines used. (U) |
当前正在使用的用户线的数目(即U字符数量) |
lines not used. (X) |
当前未使用的用户线的数目(即X字符数量) |
display telnet client命令用来显示设备作为Telnet客户端的配置信息。
【命令】
display telnet client
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【使用指导】
目前该命令显示的是Telnet客户端源IPv4地址或源接口的配置信息。用户可以使用telnet client source命令指定Telnet客户端源IPv4地址或源接口。
【举例】
# 显示设备作为Telnet客户端的相关配置信息。
<Sysname> display telnet client
The source IP address is 1.1.1.1.
以上显示信息表示设备作为Telnet客户端时,发送Telnet报文的源IPv4地址为1.1.1.1。
【相关命令】
· telnet client source
display user-interface命令用来显示用户线的相关信息。
【命令】
display user-interface [ number1 | {console | vty } number2 ] [ summary ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
number1:用户线的编号(绝对编号方式),取值范围为0~68。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值范围为0~4,对于VTY用户线取值范围为0~63。
summary:显示用户线的摘要信息。不使用该参数时,将显示用户线类型、绝对/相对编号、传输速率、认证方式及接入接口;使用该参数时,将显示正在使用和未使用的用户线数目和类型。
【使用指导】
该命令实现与display line一致,仅为与旧版本兼容保留,请使用display line。
【举例】
# 显示用户线0的相关信息。
<Sysname> display user-interface 0
Idx Type Tx/Rx Modem Auth Int Location
F 0 CON 0 9600 - N - 1/0
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
表1-6 display user-interface命令显示信息描述表
字段 |
描述 |
+ |
表示当前正在使用的用户线 |
F |
表示当前正在使用的用户线,且工作在异步方式 |
Idx |
用户线的绝对编号 |
Type |
用户线的类型及相对编号 |
Tx/Rx |
用户线的速率 |
Modem |
(暂不支持)Modem的呼入/呼出开关,取值有in(允许呼入)、out(允许呼出)、inout(允许呼入呼出),缺省显示“-”(表示未配置) |
Auth |
使用该用户线登录的用户的认证方式,取值有A、L、N和P四种方式 |
Int |
用户线对应的物理接口的简称表示(Console口/USB Console口以及没有对应接口的用户线均显示“-”) |
Location |
用户线的物理位置,显示为“槽位号/CPU编号”(独立运行模式) 用户线的物理位置,显示为“设备成员编号/槽位号/CPU编号”(IRF模式) |
A |
表示使用AAA认证方式,对应的authentication-mode为scheme |
N |
表示无需认证,对应的authentication-mode为none |
P |
表示使用当前用户线的密码进行认证,对应的authentication-mode为password |
# 显示所有用户线的摘要信息。
<Sysname> display user-interface summary
Line type : [CON]
0:XXXX XXXX XX
Line type : [VTY]
10:UXUX XXXX XXXX XXXX
26:XXXX XXXX XXXX XXXX
42:XXXX XXXX XXXX XXXX
58:XXXX XXXX XXXX XXXX
2 lines used. (U)
72 lines not used. (X)
表1-7 display user-interface summary命令显示信息描述表
字段 |
描述 |
Line type |
用户线类型: · CON表示Console用户线 · VTY表示VTY用户线 |
0:UXXX XXXX XX |
0表示用户线的绝对编号 X表示当前没有用户使用该用户线 U表示当前有用户使用该用户线 |
lines used. (U) |
当前正在使用的用户线的数目(即U字符数量) |
lines not used. (X) |
当前未使用的用户线的数目(即X字符数量) |
display users命令用来显示正在使用的用户线以及用户的相关信息。
【命令】
display users [ all ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
all:显示设备支持的所有用户线以及用户的相关信息。
【举例】
# 显示正在使用的用户线以及用户的相关信息。
<Sysname> display users
Idx Line Idle Time Pid Type
+ 10 VTY 0 00:00:00 Jan 01 00:33:10 484 TEL
12 VTY 2 00:06:22 Jan 01 00:33:22 495 TEL
Following are more details.
VTY 0 :
User role list: network-admin network-operator
Location: 192.168.1.107
VTY 2 :
User role list: level-0 network-admin network-operator
Location: 192.168.1.134
+ : Current operation user.
F : Current operation user works in async mode.
# 显示通过MDC的switchto命令方式登录设备的用户信息。
<Sysname> display users
Idx Line Idle Time Pid Type
+ 48 VTY 0 00:00:00 Jun 28 13:39:41 984 TEL
- --- - 00:00:19 Jun 28 13:38:38 973 Switchto User(vty0)
Following are more details.
VTY 0 :
User name: 111
User role list: mdc–operator
Location: 192.168.37.81
Switchto User(vty0):
User role list: mdc–admin
+ : Current operation user.
F : Current operation user works in async mode.
表1-8 display users命令显示信息描述表
字段 |
描述 |
Idx |
用户线的绝对编号 |
Line |
用户线的相对编号,第一列(例如VTY)表示用户线的类型,第二列(例如0)表示用户线的相对编号 |
Idle |
空闲时间,表明用户和设备没有报文交互的时间长度,格式为hh:mm:ss。当空闲时间大于等于24小时时,显示为old |
Time |
用户本次登录的时间 |
Pid |
用户对应的进程ID(CLI用户登录时,系统会自动运行一个用户登录进程来监控用户的操作) |
Type |
显示用户的登录方式: · TEL表示用户通过Telnet方式登录设备 · SSH表示用户通过SSH方式登录设备 · Switchto User表示用户通过MDC的switchto命令方式登录设备。有关switchto mdc命令的详细介绍,请参见“虚拟化技术命令参考”中的“MDC” · 无显示信息表示用户通过Console口/USB Console口方式登录设备 |
User name |
使用该用户线登录的用户的用户名,用户通过用户名和密码认证后登录设备的情况下会显示该字段 |
User role list |
使用该用户线登录的用户的用户角色列表 |
Location |
使用该用户线登录的用户的位置信息(即用户的IP地址) |
+ |
当前操作用户 |
F |
当前操作用户工作在异步模式 |
display web menu命令用来显示Web的页面菜单树。
【命令】
display web menu [ chinese ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
chinese:显示Web的页面中文菜单树。不指定该参数时,显示Web的页面英文菜单树。
【使用指导】
配置用户角色对应的Web菜单项时,可以使用该命令查看系统支持的全部菜单树。
【举例】
# 显示全部Web菜单信息。
<Sysname> display web menu
.
|--Dashboard: ID = m_dashboard
|--Device: ID = m_device
| |--Maintenance: ID = m_maintenance
| | |--Settings: ID = m_devicesettings
| | |--Administrators: ID = m_admin
| | |--ChangePassword: ID = m_changepassword
| | |--Configuration: ID = m_config
| | |--Upgrade: ID = m_upgrade
| | |--Diagnostics: ID = m_diagnostic
| | |--Reboot: ID = m_reboot
| | `--About: ID = m_about
| |--Virtualization: ID = m_virtualdevice
| | `--IRF: ID = m_irf
| `--License Management: ID = m_license
| `--License Management: ID = m_license
|--Network: ID = m_network
| |--Interfaces: ID = m_if
| | |--Interfaces: ID = m_interface
| | |--Link Aggregation: ID = m_lagg
| | |--Storm Constrain: ID = m_stormconstrain
| | `--Isolation: ID = m_isolation
| |--Links: ID = m_link
---- More ----
display web users命令用来显示Web用户的相关信息。
【命令】
display web users
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示当前Web用户的相关信息。
<Sysname> display web users
UserID Name Type Language JobCount LoginTime LastOperation
AB2039483271293 Administrator HTTP Chinese 3 12:00:23 14:10:05
F09382BA2014AC8 user HTTPS English 1 13:05:00 14:11:00
表1-9 display web users命令显示信息描述表
字段 |
描述 |
UserID |
Web用户的ID号,用来唯一标识一个登录用户 |
Name |
Web用户的登录用户名 |
Type |
Web用户登录使用的协议类型: · HTTP表示Hypertext Transfer Protocol · HTTPS表示基于安全套接字的Hypertext Transfer Protocol |
Language |
Web用户登录时使用的语言: · Chinese表示中文 · English表示英文 |
JobCount |
Web用户建立的连接数量 |
LoginTime |
Web用户的登录时间 |
LastOperation |
Web用户的最后操作时间 |
escape-key命令用来配置终止运行任务(比如ping命令等)的快捷键。
undo escape-key命令用来取消快捷键的配置,包括缺省快捷键。
【命令】
escape-key { key-string | default }
undo escape-key
【缺省情况】
按<Ctrl+C>组合键终止运行的任务。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
key-string:定义终止运行任务的快捷键,可以是区分大小写的单个字符(字符“d”和“D”除外),也可以是单个字符或组合键对应的ACSII码(0~127)。比如设置escape-key 1,此时生效快捷键为Ctrl+A;如果设置escape-key a,生效的快捷键为a。配置字符“d”和“D”作为终止运行任务的快捷键时系统不会生效,此时<Ctrl+C>为实际的生效快捷键。如确实需要使用字符“d”和“D”作为终止运行任务的快捷键,可以配置key-string为字符“d”和“D”对应的ACSII码。单个字符的快捷键对应的ASCII码与标准的ASCII码表一致,组合键对应的ASCII码请参见表1-1。
default:恢复为缺省的快捷键<Ctrl+C>。
【使用指导】
用户可以按<Ctrl+C>组合键来终止ping、tracert等正在执行的任务,以便输入新的命令。如果配置了escape-key,则用户可以用新配置的快捷键来代替<Ctrl+C>。命令行是否支持<Ctrl+C>终止与功能模块的软件实现有关,请参见相关命令行的描述。
如果设置的快捷键为单个字符,且有任务可终止,则输入快捷键会终止命令的执行;如果没有任务可终止,则输入的快捷键会作为普通的编辑字符。
如果在Device A某用户线下设置了单个字符key-string为任务终止快捷键,当使用该用户线登录到Device A,又通过Device A以telnet方式到Device B,这时的key-string在Device B上将被视为编辑字符进行输入。如果telnet到Device B时所使用的用户线下配置了相同的key-string,此时key-string在有任务运行时可以中止任务。
新设置的快捷键可以使用display current-configuration | include escape-key命令来查看。
如果用户线视图下配置escape-key为缺省值,并且此时用户线类视图下配置了escape-key,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
用户线视图下使用本命令配置的快捷键立即生效;用户线类视图下配置的快捷键将在下次登录时生效。
【举例】
# 配置VTY0终止运行任务的快捷键为a。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] escape-key a
验证过程如下:
· 使用ping命令检查IP地址为192.168.1.49的设备是否可达,并用-c参数指定发送ICMP回显请求报文的数目为20。
<Sysname> ping -c 20 192.168.1.49
Ping 192.168.1.49 (192.168.1.49): 56 data bytes, press 'a' to break
56 bytes from 192.168.1.49: icmp_seq=0 ttl=255 time=1.000 ms
56 bytes from 192.168.1.49: icmp_seq=1 ttl=255 time=0.000 ms
· 键入a,任务立即终止,并返回到当前视图。
--- Ping statistics for 192.168.1.49 ---
20 packet(s) transmitted, 20 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.200/1.000/0.400 ms
<Sysname>
flow-control命令用来配置流量控制方式。
undo flow-control命令用来恢复缺省情况。
【命令】
flow-control { hardware | none | software }
undo flow-control
【缺省情况】
没有配置流量控制方式。
【视图】
用户线视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hardware:进行硬件方式的流量控制。
none:不进行流量控制。
software:进行软件方式的流量控制。
【使用指导】
VTY用户线视图不支持该命令。
流量控制分为入方向和出方向,入方向表示本设备能够接受远端设备的流量控制,出方向表示本设备能够对远端设备进行流量控制。配置该命令后,流量控制方式对入方向和出方向都生效。
要使流量控制生效,双方才能正常通信,对端设备也要配置相同的流量控制方式。
【举例】
# 配置CON 0用户线视图下,入方向和出方向都采用软件流量控制方式。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] flow-control software
free line命令用来释放用户线上建立的连接。
【命令】
free line { number1 | {console | vty } number2 }
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
number1:用户线的编号(绝对编号方式),取值范围为0~68。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值范围为0~4,对于VTY用户线取值范围为0~63。
【使用指导】
用户不能使用该命令释放自己的连接。
【举例】
# 释放用户线上VTY 1建立的连接。
<Sysname> free line vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free user-interface命令用来释放用户线上建立的连接。
【命令】
free user-interface { number1 | { console | vty } number2 }
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
number1:用户线的编号(绝对编号方式),取值范围为0~68。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值范围为0~4,对于VTY用户线取值范围为0~63。
【使用指导】
用户不能使用该命令释放自己的连接。
该命令实现与free line一致,仅为与旧版本兼容保留,请使用free line。
【举例】
# 释放用户线上VTY 1建立的连接。
<Sysname> free user-interface vty 1
Are you sure to free line vty1? [Y/N]:y
[OK]
free web users命令用来强制在线Web用户下线。
【命令】
free web users { all | user-id user-id | user-name user-name }
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:所有Web用户。
user-id:Web用户的ID号,为15位十六进制数。系统会自动为每位成功登录的Web用户分配一个用户ID,用户ID用于唯一标识Web用户。
user-name user-name:Web用户的用户名,为1~255个字符的字符串,区分大小写。
【举例】
# 强制所有在线Web用户下线。
<Sysname> free web users all
【相关命令】
· display web users
history-command max-size命令用来设置可以存储的当前用户线下历史命令的条数。
undo history-command max-size命令用来恢复缺省情况。
【命令】
history-command max-size size-value
undo history-command max-size
【缺省情况】
历史命令缓冲区可存储10条历史命令。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
size-value:可存储的历史命令的条数,取值范围为0~256。
【使用指导】
每个用户线对应一个历史命令缓冲区,缓冲区里保存了当前用户最近执行成功的命令,缓冲区的容量决定了可以保存的历史命令的数目。用户使用display history-command命令、上光标键↑或下光标键↓可以随时了解近期成功执行了哪些操作(display history-command命令的详细介绍请参见“基础配置命令参考”中的“CLI”)。同时登录设备的不同用户拥有不同的历史命令缓冲区,互不影响。
用户退出当前会话时,系统会自动清除相应历史命令缓冲区内保存的历史命令。
如果用户线视图下配置history-command max-size为缺省值,并且此时用户线类视图下配置了history-command max-size,那么用户线视图下的生效配置值为用户线类视图下的配置;如果用户线类视图下未配置,则生效的为缺省值。
在用户线视图下使用本命令配置的当前用户线下可存储的历史命令条数立即生效;用户线类视图下配置的可存储的历史命令条数将在下次登录时生效。
【举例】
# 设置VTY0用户线下历史命令缓冲区最多可以存储20条历史命令。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-VTY0] history-command max-size 20
http acl命令用来使用ACL限制IPv4 HTTP客户端和设备建立TCP连接。
undo http acl命令用来恢复缺省情况。
【命令】
http acl { advanced-acl-number | basic-acl-number }
undo http acl
【缺省情况】
允许所有IPv4 HTTP客户端和设备建立TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
advanced-acl-number:表示高级IPv4 ACL的编号,取值范围为3000~3999。
basic-acl-number:表示基本IPv4 ACL的编号,取值范围为2000~2999。
【使用指导】
执行本命令后,设备只会过滤IPv4 HTTP客户端和设备新建立的TCP连接,不会影响已建立的TCP连接。请注意:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有IPv4 HTTP客户端和设备建立TCP连接。
· 当引用的ACL非空时,只有匹配ACL中permit规则的IPv4 HTTP客户端可以和设备建立TCP连接。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
本命令只限制IPv4 HTTP客户端和设备建立TCP连接。连接建立后,能否访问具体的服务,还要看具体服务的配置。例如:
· NETCONF over Soap会话:只有当本命令和netconf soap acl命令的配置同时允许IPv4 HTTP客户端访问设备时,客户端才能和设备建立会话。
· 通过Web登录设备:只有当本命令和ip http acl命令的配置同时允许IPv4 HTTP客户端访问设备时,客户端才能访问设备。
有关netconf soap acl命令的详细介绍,请参见“网络管理和监控命令参考”中的“NETCONF”。
【举例】
# 配置HTTP服务和IPv4 ACL关联,只允许IPv4地址为1.1.1.1的HTTP客户端和设备建立TCP连接。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] http acl 2001
【相关命令】
· ip http acl
· netconf soap acl(网络管理和监控命令参考/NETCONF)
http ipv6 acl命令用来使用ACL限制IPv6 HTTP客户端和设备建立TCP连接。
undo http ipv6 acl命令用来恢复缺省情况。
【命令】
http ipv6 acl { advanced-acl-number | basic-acl-number }
undo http ipv6 acl
【缺省情况】
允许所有IPv6 HTTP客户端和设备建立TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
advanced-acl-number:表示高级IPv6 ACL的编号,取值范围为3000~3999。
basic-acl-number:表示基本IPv6 ACL的编号,取值范围为2000~2999。
【使用指导】
执行本命令后,设备只会过滤IPv6 HTTP客户端和设备新建立的TCP连接,不会影响已建立的TCP连接。请注意:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有IPv6 HTTP客户端和设备建立TCP连接。
· 当引用的ACL非空时,只有匹配ACL中permit规则的IPv6 HTTP客户端可以和设备建立TCP连接。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 配置HTTP服务和IPv6 ACL关联,只允许IPv6地址为2001::1的HTTP客户端和设备建立TCP连接。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl-ipv6-basic-2001] rule permit source 2001::1 128
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] http ipv6 acl 2001
http method命令用来配置HTTP服务在响应OPTIONS请求时返回的方法列表。
undo http method命令用来从响应OPTIONS请求的方法列表中删除指定的方法。
【命令】
http method { delete | get | head | options | post | put } *
undo http method { delete | get | head | options | post | put } *
【缺省情况】
未配置任何方法。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
delete:将DELETE方法添加到返回的方法列表中。
get:将GET方法添加到返回的方法列表中。
head:将HEAD方法添加到返回的方法列表中。
options:将OPTIONS方法添加到返回的方法列表中。
post:将POST方法添加到返回的方法列表中。
put:将PUT方法添加到返回的方法列表中。
【使用指导】
用户通过向设备发送HTTP OPTIONS请求,以探测设备支持的HTTP方法。如果用户请求的URL资源中没有任何服务注册OPTIONS方法,则设备将会根据本配置响应用户请求,否则由被请求服务来响应这个请求。若由设备响应此OPTIONS请求,则响应方式如下:
· 若未配置options参数,则返回405 Method Not Allowed。
· 若配置了options参数,则根据配置生成OPTIONS请求响应返回给用户。
本命令不影响除OPTIONS外的其他任何HTTP请求。
【举例】
# 配置HTTP服务在响应OPTIONS请求时返回的方法列表为GET、HEAD、POST、OPTIONS。
<Sysname> system-view
[Sysname] http method get head post options
https acl命令用来使用ACL限制IPv4 HTTPS客户端和设备建立TCP连接。
undo https acl命令用来恢复缺省情况。
【命令】
https acl { advanced-acl-number | basic-acl-number }
undo https acl
【缺省情况】
允许所有IPv4 HTTPS客户端和设备建立TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
advanced-acl-number:表示高级IPv4 ACL的编号,取值范围为3000~3999。
basic-acl-number:表示基本IPv4 ACL的编号,取值范围为2000~2999。
【使用指导】
执行本命令后,设备只会过滤IPv4 HTTPS客户端和设备新建立的TCP连接,不会影响已建立的TCP连接。请注意:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有IPv4 HTTPS客户端和设备建立TCP连接。
· 当引用的ACL非空时,只有匹配ACL中permit规则的IPv4 HTTPS客户端可以和设备建立TCP连接。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
本命令只限制IPv4 HTTPS客户端和设备建立TCP连接。连接建立后,能否访问具体的服务,还要看具体服务的配置。例如:
· NETCONF over Soap会话:只有当本命令和netconf soap acl命令的配置同时允许IPv4 HTTPS客户端访问设备时,客户端才能和设备建立会话。
· 通过Web登录设备:只有当本命令和ip https acl命令的配置同时允许IPv4 HTTPS客户端访问设备时,客户端才能访问设备。
有关netconf soap acl命令的详细介绍,请参见“网络管理和监控命令参考”中的“NETCONF”。
【举例】
# 配置HTTPS服务和ACL关联,只允许IPv4地址为1.1.1.1的HTTPS客户端和设备建立TCP连接。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] https acl 2001
【相关命令】
· ip https acl
· netconf soap acl(网络管理和监控命令参考/NETCONF)
https ipv6 acl命令用来使用ACL限制IPv6 HTTPS客户端和设备建立TCP连接。
undo https ipv6 acl命令用来恢复缺省情况。
【命令】
https ipv6 acl { advanced-acl-number | basic-acl-number }
undo https ipv6 acl
【缺省情况】
允许所有IPv6 HTTPS客户端和设备建立TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
advanced-acl-number:表示高级IPv6 ACL的编号,取值范围为3000~3999。
basic-acl-number:表示基本IPv6 ACL的编号,取值范围为2000~2999。
【使用指导】
执行本命令后,设备只会过滤IPv6 HTTPS客户端和设备新建立的TCP连接,不会影响已建立的TCP连接。请注意:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有IPv6 HTTPS客户端和设备建立TCP连接。
· 当引用的ACL非空时,只有匹配ACL中permit规则的IPv6 HTTPS客户端可以和设备建立TCP连接。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 配置HTTPS服务和IPv6 ACL关联,只允许IPv6地址为2001::1的HTTPS客户端和设备建立TCP连接。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl-ipv6-basic-2001] rule permit source 2001::1 128
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] https ipv6 acl 2001
idle-timeout命令用来设置用户连接的超时时间。
undo idle-timeout命令用来恢复缺省情况。
【命令】
idle-timeout minutes [ seconds ]
undo idle-timeout
【缺省情况】
超时时间为10分钟。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
minutes:指定超时时间,取值范围为0~35791,单位为分钟。
seconds:指定超时时间,取值范围为0~59,单位为秒,缺省值为0。
【使用指导】
用户登录后,如果在超时时间内设备和用户间没有消息交互,则超时时间到达时设备会自动断开用户连接。
当超时时间设置为0时,表示设备不会因为超时自动断开用户连接。
如果用户线视图下配置idle-timeout为缺省值,并且此时用户线类视图下配置了idle-timeout,那么用户线视图下的生效配置值为用户线类视图下的配置;如果用户线类视图下未配置,则生效的为缺省值。
用户线视图下使用本命令配置的连接超时时间立即生效;用户线类视图下配置的连接超时时间将在下次登录时生效。
【举例】
# 设置VTY0用户线下用户连接超时时间为1分钟30秒。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-VTY0] idle-timeout 1 30
ip http acl命令用来配置HTTP服务与ACL关联。
undo ip http acl命令用来恢复缺省情况。
【命令】
ip http acl { acl-number | name acl-name }
undo ip http acl
【缺省情况】
HTTP服务没有与ACL关联。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
acl-number:ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本IPv4 ACL。
· 3000~3999:表示高级IPv4 ACL。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。仅当指定名称的ACL存在且为基本或高级IPv4 ACL时生效。
【使用指导】
FIPS模式下,不支持本命令。
多次执行该命令最新配置生效。
配置HTTP服务与ACL关联后,只有ACL允许通过的HTTP客户端能够通过Web方式登录设备。不匹配ACL或ACL拒绝通过的HTTP客户端将不能通过Web方式登录设备。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示允许所有Web用户访问设备。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 配置HTTP服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ip http acl 2001
【相关命令】
· acl(ACL和QoS命令参考/ACL)
ip http enable命令用来开启HTTP服务。
undo ip http enable命令用来关闭HTTP服务。
【命令】
ip http enable
undo ip http enable
【缺省情况】
HTTP服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
FIPS模式下,不支持本命令。
开启HTTP服务后,用户才能通过Web使用HTTP方式登录设备。
开启HTTP服务后,为了增强设备的安全性,HTTPS服务的端口号也会被自动打开,且在HTTP服务开启的状态下无法通过undo ip https enable命令关闭。
【举例】
# 使能HTTP服务。
<Sysname> system-view
[Sysname] ip http enable
【相关命令】
· ip https enable
ip http port命令用来配置HTTP服务的端口号。
undo ip http port命令用来恢复缺省情况。
【命令】
ip http port port-number
undo ip http port
【缺省情况】
HTTP服务的端口号为80。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:HTTP服务的端口号,取值范围为1~65535。
【使用指导】
FIPS模式下,不支持本命令。
如果修改端口号前HTTP服务是开启的,则修改端口号后系统会自动重启HTTP服务,正在访问的用户将被断开,用户需要在浏览器的地址栏中重新输入新的地址后才可以继续访问。
【举例】
# 配置HTTP服务的端口号为80。
<Sysname> system-view
[Sysname] ip http port 80
ip https acl命令用来配置HTTPS服务与ACL关联。
undo ip https acl命令用来恢复缺省情况。
【命令】
ip https acl {acl-number | name acl-name }
undo ip https acl
【缺省情况】
HTTPS服务未与ACL关联。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
acl-number:ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本IPv4 ACL。
· 3000~3999:表示高级IPv4 ACL。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。仅当指定名称的ACL存在且为基本或高级IPv4 ACL时生效。
【使用指导】
配置HTTPS服务与ACL关联后,只有ACL允许通过的HTTPS客户端能够通过Web方式登录设备。不匹配ACL或ACL拒绝通过的HTTPS客户端将不能通过Web方式登录设备。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示允许所有Web用户访问设备。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
需要注意的是,Web登录时用户输入的用户名和密码属于敏感信息,Web登录请求采用HTTPS方式发送到Web服务器。所以,如果本命令中的ACL规则拒绝客户端通过HTTPS服务访问Web页面,那么该客户端也无法通过HTTP服务访问Web页面。
多次执行该命令最新配置生效。
【举例】
# 配置HTTPS服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ip https acl 2001
【相关命令】
· acl(ACL和QoS命令参考/ACL)
ip https certificate access-control-policy命令用来配置HTTPS服务与证书属性访问控制策略关联。
undo ip https certificate access-control-policy命令用来恢复缺省情况。
【命令】
ip https certificate access-control-policy policy-name
undo ip https certificate access-control-policy
【缺省情况】
HTTPS服务未与证书属性访问控制策略关联。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
policy-name:证书属性访问控制策略名,为1~31个字符的字符串,区分大小写。
【使用指导】
通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制。证书属性访问控制策略的相关介绍请参见“安全配置指导”中“PKI”。
【举例】
# 设置HTTPS服务使用的证书属性访问控制策略为myacl。
<Sysname> system-view
[Sysname] ip https certificate access-control-policy myacl
【相关命令】
· pki certificate access-control-policy(PKI命令参考/PKI)
ip https enable命令用来开启HTTPS服务。
undo ip https enable命令用来关闭HTTPS服务。
【命令】
ip https enable
undo ip https enable
【缺省情况】
HTTPS服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
只有使能该功能后,用户才能通过Web方式使用HTTPS登录设备。
使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。
【举例】
# 使能HTTPS服务。
<Sysname> system-view
[Sysname] ip https enable
【相关命令】
· ip https ssl-server-policy
· ip https certificate access-control-policy
ip https port命令用来配置HTTPS服务的端口号。
undo ip https port命令用来恢复缺省情况。
【命令】
ip https port port-number
undo ip https port
【缺省情况】
HTTPS服务的端口号为443。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:HTTPS服务的端口号,取值范围为1~65535。
【使用指导】
如果修改端口号前HTTPS服务是开启的,则修改端口号后系统会自动重启HTTPS服务,正在访问的用户将被断开,用户需要在浏览器的地址栏中重新输入新的地址后才可以继续访问。
【举例】
# 配置HTTPS服务的端口号为8080。
<Sysname> system-view
[Sysname] ip https port 8080
ip https ssl-server-policy命令用来配置HTTPS服务与SSL服务器端策略关联。
undo ip https ssl-server-policy命令用来恢复缺省情况。
【命令】
ip https ssl-server-policy policy-name
undo ip https ssl-server-policy
【缺省情况】
HTTPS服务未与SSL服务器端策略关联,HTTPS使用自签名证书。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
policy-name:SSL服务器端策略名,为1~31个字符的字符串。
【使用指导】
HTTP服务和HTTPS服务处于使能状态时,对与HTTPS服务关联的SSL服务器端策略进行的修改不会生效。如需修改HTTPS服务与SSL服务器端的关联策略,首先执行undo ip http enable和undo ip https enable两条命令,再执行ip https ssl-server-policy policy-name命令,最后重新使能HTTP服务和HTTPS服务,新的策略即可生效。
如需恢复缺省情况,必须先执行undo ip http enable和undo ip https enable两条命令,再执行undo ip https ssl-server-policy,最后重新使能HTTP服务和HTTPS服务即可。
【举例】
# 设置HTTPS服务使用的SSL服务器端策略为myssl。
<Sysname> system-view
[Sysname] ip https ssl-server-policy myssl
【相关命令】
· ssl server-policy(安全命令参考/SSL)
line命令用来进入一个或多个用户线视图。
【命令】
line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
first-number1:第一个用户线的编号(绝对编号方式),取值范围为0~68。
last-number1:最后一个用户线的编号(绝对编号方式),取值范围为1~68,取值必须大于first-number1。
console:Console用户线。
vty:VTY用户线。
first-number2:第一个用户线的编号(相对编号方式),对于Console用户线取值范围为0~4,对于VTY用户线取值范围为0~63。
last-number2:最后一个用户线的编号(相对编号方式),对于Console用户线取值范围为1~4,对于VTY用户线取值范围为1~63,取值必须大于first-number2。
【举例】
# 进入VTY 0用户线视图。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0]
# 进入VTY 0~63用户线视图。
<Sysname> system-view
[Sysname] line vty 0 63
[Sysname-line-vty0-63]
【相关命令】
· line class
line class命令用来进入用户线类视图。
【命令】
line class { console | vty }
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
console:Console用户线类。
vty:VTY用户线类。
【使用指导】
用户线视图下的配置只对该用户线生效。
用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
line class命令用来进入用户线类视图,line命令用来进入一个或多个用户线视图。对于同时支持这两种视图的命令:
· 用户线视图下的配置优先于用户线类视图下的配置。
· 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值。
用户线类视图下支持的命令有:
· activation-key
· auto-execute command
· authentication-mode
· command accounting
· command authorization
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【举例】
# 在VTY用户线类视图下,将用户连接的超时时间的缺省值设置为15分钟。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] idle-timeout 15
# 在Console用户线类视图下,将终端会话的快捷键设置为<s>。
<Sysname> system-view
[Sysname] line class console
[Sysname-line-class-console] activation-key s
[Sysname-line-class-console] quit
· 在Console用户线视图下,将终端会话的快捷键设置为缺省值(可以使用undo activation-key或者直接使用activation-key 13进行配置)。
[Sysname] line console 0
[Sysname-line-console0] undo activation-key
· 此时生效的快捷键为用户线类视图下的配置,验证过程如下:
· 退出终端会话。
[Sysname-line-console0] return
<Sysname> quit
· 重新登录设备,能看到如下显示信息。
Press ENTER to get started.
· 此时,<Enter>键失效,需要按<s>键才能出现用户视图提示符,启动终端会话。
<Sysname>
【相关命令】
· line
lock命令用来锁定当前用户线并配置解锁密码,防止未授权的用户操作该用户线。
【命令】
lock
【缺省情况】
系统不会自动锁定当前用户线。
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
FIPS模式下,不支持本命令。
用户输入lock命令后,系统提示输入密码(密码最大长度为16个字符),并提示再次输入密码,只有两次输入的密码相同,Lock操作才能成功。如果用户线被锁定,用户需要输入解锁密码才能结束锁定,进入系统。
【举例】
# 锁住当前用户线然后解锁。
<Sysname> lock
Please input password<1 to 16> to lock current line:
Password:
Again:
locked !
此时,命令行用户线被锁定。键入回车,并输入正确的密码后,可以解锁。
Password:
<Sysname>
lock reauthentication命令用来锁定当前用户线并对其进行重新认证。
【命令】
lock reauthentication
【缺省情况】
系统不会对当前用户线进行重新认证。
【视图】
任意视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
执行该命令后,当前用户线会被锁定。用户需要输入设备登录密码对当前用户线进行重新认证才能结束锁定,进入系统。如果设备未配置登录密码,用户按回车键后将直接进入系统。
需要注意的是,如果在设备登录后修改了登录设备的认证方式或密码,那么锁定用户线后的解锁过程将使用新配置的认证方式及密码。
【举例】
# 输入命令锁定当前用户线,并使用设备登录密码重新登录设备。
<Sysname> lock reauthentication
Please press Enter to unlock the screen.
# 按回车键后,提示输入密码对当前用户线进行重新认证并登录设备。
Password:
<Sysname>
【相关命令】
· lock-key
lock-key命令用来配置对当前用户线进行锁定并重新认证的快捷键。
undo lock-key命令用来恢复缺省情况。
【命令】
lock-key key-string
undo lock-key
【缺省情况】
未设置对当前用户线进行锁定并重新认证的快捷键。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
key-string:指定对当前用户线进行重新认证的快捷键。可以是区分大小写的单个字符,也可以是单个字符或组合键对应的ACSII码(0~127)。例如设置lock-key 1,则快捷键为Ctrl+A;如设置lock-key a,生效的快捷键为a。使用ASCII码设置快捷键时,单个字符对应的ASCII码与标准ASCII码表一致,组合键对应的ASCII码请参见表1-1。
【使用指导】
通常情况下,建议用户使用组合键而不使用单个字符作为快捷键,避免用户在输入命令时输入完快捷键字符后出现锁定,影响正常命令行的输入。用户设置了快捷键之后,可以输入对应的快捷键代替lock reauthentication命令完成对当前用户线进行锁定并重新认证的操作。
在用户线/用户线类视图下,该命令的配置的快捷键将立即生效。
新设置的快捷键可以使用display current-configuration | include lock-key命令来查看。
【举例】
# 配置锁定当前用户线的快捷键为Ctrl+A。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] lock-key 1
[Sysname-line-vty] quit
验证过程如下:
· 用户键入Ctrl+A组合键后,系统锁定当前用户线并切换到重新认证界面:
[Sysname]
Please press Enter to unlock the screen.
· 按回车键后,系统提示输入密码对当前用户线进行重新认证并登录设备。
Password:
[Sysname]
【相关命令】
· lock reauthentication
parity命令用来设置校验位的解析和生成方式。
undo parity命令用来恢复缺省情况。
【命令】
parity { even | mark | none | odd | space }
undo parity
【缺省情况】
设备校验位的校验方式为none,即不进行校验。
【视图】
用户线视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
even:进行偶校验。
mark:进行标记校验。
none:无校验。
odd:进行奇校验。
space:进行空格校验。
【使用指导】
VTY用户线视图不支持该命令。
访问终端和设备相应用户线下校验位的设置必须一致,双方才能正常通信。
【举例】
# 将Console用户线传输校验位设为奇校验。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] parity odd
protocol inbound命令用来指定所在用户线支持的协议。
undo protocol inbound命令用来恢复缺省情况。
【命令】
(非FIPS模式)
protocol inbound { all | ssh | telnet }
undo protocol inbound
(FIPS模式)
protocol inbound ssh
undo protocol inbound
【缺省情况】
非FIPS模式下:系统支持所有协议。
FIPS模式下:系统支持SSH协议。
【视图】
VTY用户线视图
VTY用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:支持所有的协议,包括Telnet、SSH。
ssh:支持SSH协议。
telnet:支持Telnet协议。
【使用指导】
用户线视图下,该命令的配置结果将在下次登录时生效。
如果要配置用户线支持SSH协议,必须先将该用户的认证方式配置为scheme,否则protocol inbound ssh命令会执行失败。
用户线视图下,对authentication-mode和protocol inbound进行关联绑定。
· 当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则均取缺省值。
· 当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值。当两条命令都配置成非缺省值,则均取用户线下的配置值。
仅具有network-admin、mdc-admin、system-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
【举例】
# 设置用户线VTY 0到VTY 4只支持SSH协议。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] authentication-mode scheme
[Sysname-line-vty0-4] protocol inbound ssh
# 设置VTY用户线类支持SSH协议,认证方式为scheme。同时设置用户线VTY 0到VTY 4不进行登录认证,支持所有的协议。
<Sysname> system-view
[Sysname] line class vty
[Sysname-line-class-vty] authentication-mode scheme
[Sysname-line-class-vty] protocol inbound ssh
[Sysname-line-class-vty] line vty 0 4
[Sysname-line-vty0-4] authentication-mode none
验证过程如下:
· 使用Telnet方式登录,无需认证即可成功登录。
<Client> telnet 192.168.1.241
Trying 192.168.1.241 ...
Press CTRL+K to abort
Connected to 192.168.1.241 ...
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Server>
· 查看当前正在使用的用户线以及用户的相关信息,用户线为line 0,则证明该配置下用户线下配置生效。
<Server> display users
Idx Line Idle Time Pid Type
+ 50 VTY 0 00:00:00 Jan 17 15:29:27 189 TEL
Following are more details.
VTY 0 :
User role list: network-admin network-operator
Location: 192.168.1.186
+ : Current operation user.
F : Current operation user works in async mode.
· authentication-mode
restful http enable命令用来开启基于HTTP的RESTful功能。
undo restful http enable命令用来关闭基于HTTP的RESTful功能。
【命令】
restful http enable
undo restful http enable
【缺省情况】
基于HTTP的RESTful功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
FIPS模式下,不支持本命令。
开启该功能后,用户才可以通过RESTful HTTP方式登录设备并采用RESTful API对设备进行配置和维护。
【举例】
# 开启基于HTTP的RESTful功能。
<Sysname> system-view
[Sysname] restful http enable
restful http port命令用来配置基于HTTP的RESTful功能的端口号。
undo restful http port命令用来恢复缺省情况。
【命令】
restful http port port-number
undo restful http port
【缺省情况】
基于HTTP的RESTful功能的端口号为80。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:基于HTTP的RESTful功能的端口号,取值范围为1~65535。
【使用指导】
配置该命令后,基于HTTP的原RESTful会话将失效,RESTful用户需要使用新端口号重新登录设备。
【举例】
# 配置基于HTTP的RESTful功能的端口号为1000。
<Sysname> system-view
[Sysname] restful http port 1000
restful https enable命令用来开启基于HTTPS的RESTful功能。
undo restful https enable命令用来关闭基于HTTPS的RESTful功能。
【命令】
restful https enable
undo restful https enable
【缺省情况】
基于HTTPS的RESTful功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启该功能后,用户才可以通过RESTful HTTPS方式登录设备并采用RESTful API对设备进行配置和维护。
【举例】
# 开启基于HTTPS的RESTful功能。
<Sysname> system-view
[Sysname] restful https enable
restful https port命令用来配置基于HTTPS的RESTful功能的端口号。
undo restful https port命令用来恢复缺省情况。
【命令】
restful https port port-number
undo restful https port
【缺省情况】
基于HTTPS的RESTful功能的端口号为443。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:基于HTTPS的RESTful功能的端口号,取值范围为1~65535。
【使用指导】
配置该命令后,基于HTTPS的原RESTful会话将失效,RESTful用户需要使用新端口号重新登录设备。
【举例】
# 配置基于HTTPS的RESTful功能的端口号为1000。
<Sysname> system-view
[Sysname] restful https port 1000
restful https ssl-server-policy命令用来配置基于HTTPS的RESTful功能与SSL服务器端策略关联。
undo restful https ssl-server-policy命令用来恢复缺省情况。
【命令】
restful https ssl-server-policy policy-name
undo restful https ssl-server-policy
【缺省情况】
基于HTTPS的RESTful功能未与SSL服务器端策略关联。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
policy-name:SSL服务器端策略名,为1~31个字符的字符串。
【使用指导】
配置本命令后,设备将使用SSL服务器端策略指定的加密套件等SSL参数建立连接,以加强基于HTTPS的RESTful功能的安全性。有关SSL服务器端策略的配置,请参见“安全配置指导”中的“SSL”。
多次执行本命令,最后一次执行的命令生效。
基于HTTPS的RESTful功能处于开启状态时,必须先执行undo restful https enable命令,才能配置本命令。
配置本命令后,需要执行restful https enable命令,配置才会生效。
如果修改了关联的SSL服务器端策略,RESTful客户端和设备新建立的HTTPS连接将会引用新的策略,已建立的HTTPS连接不会受到影响,依然引用旧的策略。
【举例】
# 配置基于HTTPS的RESTful功能关联的SSL服务器端策略为myssl。
<Sysname> system-view
[Sysname] restful https ssl-server-policy myssl
【相关命令】
· restful https enable
· ssl server-policy(安全命令参考/SSL)
screen-length命令用来设置分屏显示时,每屏所显示的行数。
undo screen-length命令用来恢复缺省情况。
【命令】
screen-length screen-length
undo screen-length
【缺省情况】
每屏显示24行数据。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
screen-length:指定每屏所显示的行数,取值范围为0~512。0表示一次性显示全部信息,即不进行分屏显示,此时与执行screen-length disable命令效果相同。
【使用指导】
该命令设置的是每一屏所显示的行数,但显示终端实际显示的行数由终端的规格决定。比如,设置screen-length的值为40,但显示终端的规格为24行,当暂停显示按空格键时,设备发送给显示终端的信息为40行,但当前屏幕显示的是第18~第40行的信息,前面的17行信息,需要通过<Page Up>/<Page Down>键来翻看。
设备支持分屏显示信息,在暂停显示时按空格键,能继续显示下一屏信息。
缺省情况下,分屏显示功能处于开启状态。
如果用户线视图下配置screen-length为缺省值,并且此时用户线类视图下配置了screen-length,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
用户线视图下使用本命令配置的分屏显示信息行数立即生效;在用户线类视图下配置的分屏显示信息行数将在下次登录时生效。
【举例】
# 设置VTY用户线分屏显示时,每屏显示30行数据。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] screen-length 30
【相关命令】
· screen-length disable(基础配置指导/CLI)
send命令用来向用户线发送消息。
【命令】
send { all | number1 | {console | vty } number2 }
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:所有的用户线。
number1:用户线的编号(绝对编号方式),取值范围为0~68。
console:Console用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于Console用户线取值范围为0~4,对于VTY用户线取值范围为0~63。
【使用指导】
输入本命令后回车,系统会提示您可以输入消息内容。在输入消息内容时,按<Enter>键结束输入,按<Ctrl+C>组合键取消此次操作。
【举例】
# 使用VTY 0用户线上线的用户想重启设备,于是发信息“Your attention, please, I will reboot the system in 3 minutes.”来提醒VTY 1。
<Sysname> send vty 1
Input message, end with Enter; abort with CTRL+C:
Your attention, please. I will reboot the system in 3 minutes.
Send message? [Y/N]:y
使用VTY 1用户线登录的用户将收到如下消息:
[Sysname]
***
***
***Message from vty0 to vty1
***
Your attention, please. I will reboot the system in 3 minutes.
set authentication password命令用来设置认证密码。
undo set authentication password命令用来恢复缺省情况。
【命令】
set authentication password { hash | simple } string
undo set authentication password
【缺省情况】
未配置认证密码。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hash:以哈希方式设置密码。
simple:以明文方式设置密码,该密码将以密文方式存储。
string:密码字符串,区分大小写。明文密码为4~16个字符的字符串,且必须包含两种类型的字符;哈希密码为1~110个字符的字符串。
【使用指导】
FIPS模式下,不支持本命令。
以明文或哈希方式设置的密码,均以哈希计算后的密文形式保存在配置文件中。
如果用户线视图下配置set authentication password为缺省值,并且此时用户线类视图下配置了set authentication password,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
仅具有network-admin、mdc-admin、system-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
在用户线视图/用户线类视图下,使用该命令设置的认证密码将在下次登录设备时生效。
设备会在用户登录时,对当前使用的密码进行复杂度检查:
· 如果用户登录设备时使用的是缺省密码,则系统会强制要求用户将密码修改为符合系统要求的字符串。
· 如果用户登录设备时使用的是非缺省密码,且密码复杂度较低,系统会提示用户修改密码。为了保证设备的安全性,建议用户根据系统提示,将密码修改为符合要求的字符串。
【举例】
# 设置用户线VTY 0的认证密码为hello12345。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple hello12345
设置完后如果退出系统,则只有在密码提示信息后输入hello12345字符串才能再进入系统。
【相关配置】
· authentication-mode
shell命令用来在当前用户线上开启终端服务。
undo shell命令用来在当前用户线上关闭终端服务。
【命令】
shell
undo shell
【缺省情况】
所有用户线的终端服务功能处于开启状态。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
Console用户线视图/Console用户线类视图不支持undo shell命令。
用户不能在自己登录的用户线上使用undo shell命令。
当设备作为Telnet/SSH服务器的时候,不能配置undo shell命令。
如果在用户线类视图下使用undo shell命令关闭了终端服务,那么用户线视图下无法使用shell启动终端服务。
当设备作为重定向服务器时,如果使用本命令在用户线上关闭了终端服务,则该用户线只能用于重定向服务功能,其他设备无法通过该用户线登录到本设备;如果未关闭终端服务,则该用户线既能用于重定向服务,也能用于终端服务使其他设备通过该用户线登录到本设备,但需要注意的是两者不能同时占用该用户线。
【举例】
# 在VTY0到VTY4上终止终端服务(用户将不能通过VTY0~4登录设备)。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] undo shell
Disable line-vty0-4 , are you sure? [Y/N]:y
[Sysname-line-vty0-4]
speed命令用来设置用户线的传输速率。
undo speed命令用来恢复缺省情况。
【命令】
speed speed-value
undo speed
【缺省情况】
用户线的传输速率为9600bps。
【视图】
用户线视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
speed-value:传输速率,单位为bps。异步串口的传输速率有:300bps、600bps、1200bps、2400bps、4800bps、9600bps、19200bps、38400bps、57600bps和115200bps。异步串口的传输速率和配置时的网络环境相关,请根据网络环境配置异步串口的传输速率。
【使用指导】
VTY用户线视图不支持该命令。
访问终端和设备相应用户线下传输速率的设置必须一致,双方才能正常通信。
【举例】
# 将用户线Console 0的传输速率设置为19200bps。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] speed 19200
stopbits命令用来设置停止位的个数。
undo stopbits命令用来恢复缺省情况。
【命令】
stopbits { 1 | 1.5 | 2 }
undo stopbits
【缺省情况】
停止位为1比特。
【视图】
用户线视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
1:停止位为1比特。
1.5:停止位为1.5比特。目前,设备不支持该参数,配置后实际生效的是命令行stopbits 2。
2:停止位为2比特。
【使用指导】
VTY用户线视图不支持该命令。
访问终端和设备相应用户线下停止位的设置必须一致,双方才能正常通信。
【举例】
# 设置Console用户线的停止位为1比特。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] stopbits 1
telnet命令用于Telnet登录到远端设备,以便进行远程管理。
【命令】
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } | dscp dscp-value ] *
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
remote-host:远端设备的IPv4地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
service-port:远端设备提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
vpn-instance vpn-instance-name:指定远端设备所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示远端设备位于公网中。
source:指定Telnet报文的源接口或源IPv4地址。如果未指定本参数,则使用路由出接口的主IP地址作为设备发送的Telnet报文的源IPv4地址。
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。
ip ip-address:指定Telnet报文的源IPv4地址。
dscp-value:Telnet客户端向服务器端发送Telnet报文的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
【使用指导】
FIPS模式下,不支持本命令。
用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。
本命令指定的源IPv4地址或源接口只对当前Telnet连接有效。
【举例】
# Telnet登录到远程主机(IP地址为1.1.1.2),并指定发送Telnet报文的源IP地址为1.1.1.1。
<Sysname> telnet 1.1.1.2 source ip 1.1.1.1
【相关命令】
· telnet client source
telnet client source命令用来指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口。
undo telnet client source命令用来恢复缺省情况。
【命令】
telnet client source { interface interface-type interface-number | ip ip-address }
undo telnet client source
【缺省情况】
未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。
ip ip-address:指定发送Telnet报文的源IPv4地址。
【使用指导】
FIPS模式下,不支持本命令。
本命令指定的源IPv4地址或源接口对所有Telnet连接有效。
若同时使用本命令和telnet命令指定源IPv4地址或源接口,则以telnet命令指定的源IP地址或源接口为准。
【举例】
# 设备作为Telnet客户端时,指定发送的Telnet报文的源IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] telnet client source ip 1.1.1.1
【相关命令】
· display telnet client configuration
telnet ipv6命令用于IPv6组网环境下,Telnet登录到远程主机,以便进行远程管理。
【命令】
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } | dscp dscp-value ] *
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
remote-host:远端设备的IPv6地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
-i interface-type interface-number:指定Telnet报文的出接口。interface-type interface-number为接口类型和接口编号。当Telnet指定的服务端IPv6地址是全球单播地址时,则不能指定该参数;当指定的服务端IPv6地址为链路本地地址时,必须指定该参数。
port-number:远端设备提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
vpn-instance vpn-instance-name:指定远端设备所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示远端设备位于公网中。
source:指定Telnet报文的源接口或源IPv6地址。如果未指定本参数,则使用路由出接口的主IPv6地址作为Telnet报文的源IPv6地址。
interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv6地址为该接口的主地址。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定Telnet报文的源IPv6地址。
dscp-value:IPv6 Telnet客户端向服务器端发送Telnet报文的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
【使用指导】
FIPS模式下,不支持本命令。
用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。
【举例】
# Telnet登录到远程主机,IPv6地址为5000::1。
<Sysname> telnet ipv6 5000::1
# Telnet登录到远程主机,IPv6地址为2000::1,并指定Telnet报文的源IPv6地址为1000::1。
<Sysname> telnet ipv6 2000::1 source ipv6 1000::1
telnet server acl命令用来使用ACL(Access Control List,访问控制列表)限制哪些Telnet客户端可以访问设备。
undo telnet server acl命令用来恢复缺省情况。
【命令】
telnet server acl [ mac ] acl-number
undo telnet server acl
【缺省情况】
未使用ACL限制Telnet客户端。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
mac:指定二层ACL。若不指定该关键字,则表示IPv4 ACL。
acl-number:ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示IPv4基本ACL。
· 3000~3999:表示IPv4高级ACL。
· 4000~4999:需指定mac关键字,表示二层ACL。
【使用指导】
FIPS模式下,不支持本命令。
配置ACL限制Telnet客户端时:
· 当未引用ACL时,允许所有登录用户访问设备;
· 当引用的ACL不存在、或者引用的ACL为空时,禁止所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其他用户不允许访问设备,以免非法用户使用Telnet访问设备。
· 如果多次使用该命令配置Telnet服务与ACL关联,最新配置生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。
该配置只过滤新建立的Telnet连接,不会对已建立的Telnet连接和操作造成影响。
【举例】
# 仅允许地址为1.1.1.1的用户通过Telnet访问本设备。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] telnet server acl 2001
telnet server acl-deny-log enable命令用来开启匹配ACL deny规则后打印日志信息功能。
undo telnet server acl-deny-log enable命令用来关闭匹配ACL deny规则后打印日志信息功能。
【命令】
telnet server acl-deny-log enable
undo telnet server acl-deny-log enable
【缺省情况】
匹配ACL deny规则后打印日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
通过配置telnet server acl或telnet server ipv6 acl命令,可限制Telnet客户端对设备的访问。此时,可通过开启Telnet客户端匹配ACL deny规则后打印日志信息功能,记录访问Telnet服务器受限的Telnet客户端信息。
执行本配置后,Telnet客户端匹配ACL deny规则时,将产生日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。
【举例】
# 开启Telnet客户端匹配ACL deny规则后打印日志信息功能。
<Sysname> system-view
[Sysname] telnet server acl-deny-log enable
【相关命令】
· telnet server acl
· telnet server ipv6 acl
telnet server dscp命令用来配置Telnet服务器发送Telnet报文的DSCP优先级。
undo telnet server dscp命令用来恢复缺省情况。
【命令】
telnet server dscp dscp-value
undo telnet server dscp
【缺省情况】
Telnet服务器发送Telnet报文的DSCP优先级为48。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
dscp-value:Telnet报文的DSCP优先级,取值范围为0~63。
【使用指导】
FIPS模式下不支持该命令。
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
【举例】
# 配置Telnet服务器发送报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] telnet server dscp 30
telnet server enable命令用来开启Telnet服务。
undo telnet server enable命令用来关闭Telnet服务。
【命令】
telnet server enable
undo telnet server enable
【缺省情况】
Telnet服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
FIPS模式下,不支持本命令。
只有使能Telnet服务后,才允许网络管理员通过Telnet协议登录设备。
Telnet使用明文方式传输数据,可能存在安全隐患。
【举例】
# 使能Telnet服务。
<Sysname> system-view
[Sysname] telnet server enable
Telnet is insecure because it transmits data in plaintext form.
telnet server ipv6 acl命令用来使用ACL限制哪些IPv6 Telnet客户端可以访问设备。
undo telnet server ipv6 acl命令用来恢复缺省情况。
【命令】
telnet server ipv6 acl { ipv6 | mac } acl-number
undo telnet server ipv6 acl
【缺省情况】
未使用ACL限制Telnet客户端。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:指定IPv6 ACL。
mac:指定二层ACL。
acl-number:ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:需指定ipv6关键字,表示IPv6基本ACL。
· 3000~3999:需指定ipv6关键字,表示IPv6高级ACL。
· 4000~4999:需指定mac关键字,表示二层ACL。
【使用指导】
FIPS模式下,不支持本命令。
配置ACL限制IPv6 Telnet客户端时:
· 当未引用ACL时,允许所有登录用户访问设备;
· 当引用的ACL不存在、或者引用的ACL为空时,禁止所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其他用户不允许访问设备,以免非法用户使用Telnet访问设备。
· 如果多次使用该命令配置Telnet服务与ACL关联,最新配置生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。
该配置只过滤新建立的Telnet连接,不会对已建立的Telnet连接和操作造成影响。
【举例】
# 仅允许地址为2000::1的用户通过Telnet访问本设备。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl6-ipv6-basic-2001] rule permit source 2000::1 128
[Sysname-acl6-ipv6-basic-2001] quit
[Sysname] telnet server ipv6 acl ipv6 2001
telnet server ipv6 dscp命令用来配置IPv6 Telnet服务器发送报文的DSCP优先级。
undo telnet server ipv6 dscp命令用来恢复缺省情况。
【命令】
telnet server ipv6 dscp dscp-value
undo telnet server ipv6 dscp
【缺省情况】
IPv6 Telnet服务器发送IPv6 Telnet报文的DSCP优先级为48。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
dscp-value:IPv6 Telnet报文的DSCP优先级,取值范围为0~63。
【使用指导】
FIPS模式下不支持该命令。
DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
【举例】
# 配置IPv6 Telnet服务器发送的报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] telnet server ipv6 dscp 30
telnet server ipv6 port命令用来配置IPv6网络Telnet协议的端口号。
undo telnet server ipv6 port命令用来恢复缺省情况。
【命令】
telnet server ipv6 port port-number
undo telnet server ipv6 port
【缺省情况】
IPv6网络Telnet协议的端口号为23。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:IPv6网络Telnet协议端口号,取值范围为23或1025~65535。
【使用指导】
配置IPv6网络Telnet协议的端口号后,当前所有与Telnet服务器的IPv6网络Telnet连接将被断开,此时需要重新建立Telnet连接。
【举例】
# 配置IPv6网络Telnet协议的端口号为1026。
<Sysname> system-view
[Sysname] telnet server ipv6 port 1026
telnet server login-failed threshold-alarm命令用来配置在指定统计时间内,Telnet用户登录失败的告警上报和取消阈值。
undo telnet server login-failed threshold-alarm命令用来恢复缺省情况。
【命令】
telnet server login-failed threshold-alarm upper-limit report-times lower-limit resume-times period period-time
undo telnet server login-failed threshold-alarm
【缺省情况】
统计时间为5分钟,Telnet用户登录失败的告警上报和取消阈值分别为30和20。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
upper-limit report-times:指定Telnet用户登录失败的告警上报阈值,当在指定统计时间(通过period period-time参数配置)内Telnet用户登录失败的次数达到或者超过告警上报阈值时,设备将生成对应的上报告警信息。report-times表示Telnet用户登录失败的次数,取值范围为0~100。如果取值为0,表示Telnet用户登录失败不生成上报告警信息。
lower-limit resume-times:指定Telnet用户登录失败的告警取消阈值,当在指定统计时间(通过period period-time参数配置)内Telnet用户登录失败的次数小于告警取消阈值时,设备将生成对应的取消告警信息。resume-times表示Telnet用户登录失败的次数,当report-times配置的值小于等于45时,resume-times的取值范围为0~report-times;当report-times配置的值大于45时,resume-times的取值范围为0~45。取值为0和1,均表示在统计周期内,未出现Telnet用户登录失败时,才生成对应的取消告警信息。
period period-time:指定统计Telnet用户登录用户失败次数的周期,取值范围为1~120,单位为分钟,缺省值为5。
【使用指导】
缺省情况下,在5分钟内,当Telnet用户登录失败次数大于等于30次或者小于20次时,将分别产生上报告警信息和取消告警信息,上报告警信息和取消告警信息均通过SNMP Trap上报。用户可根据实际需求,进行如下配置:
· 当用户不关心Telnet用户登录失败次数,不希望Telnet用户登录失败产生告警信息时,可以将本命令中的report-times配置为0,关闭生成Telnet用户失败相关的告警信息。
· 当用户关心Telnet用户登录失败次数,希望及时了解Telnet用户登录的实时情况时,可以通过本命令,调整统计周期以及Telnet用户登录失败的告警上报和取消阈值。
本命令中配置的report-times必须大于等于resume-times。
【举例】
# 配置Telnet用户登录失败统计周期为3分钟,告警上报阈值和取消阈值分别为20和10。
<Sysname> system-view
[Sysname] telnet server login-failed threshold-alarm upper-limit 20 lower-limit 10 period 3
telnet server port命令用来配置IPv4网络Telnet协议的端口号。
undo telnet server port命令用来恢复缺省情况。
【命令】
telnet server port port-number
undo telnet server port
【缺省情况】
IPv4网络Telnet协议的端口号为23。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:IPv4网络Telnet协议的端口号,取值范围为23或1025~65535。
【使用指导】
配置IPv4网络Telnet协议的端口号后,当前所有与Telnet服务器的IPv4网络Telnet连接将被断开,此时需要重新建立Telnet连接。
【举例】
# 配置IPv4网络Telnet协议的端口号为1025。
<Sysname> system-view
[Sysname] telnet server port 1025
terminal type命令用来设置当前用户线下的终端显示类型。
undo terminal type命令用来恢复缺省情况。
【命令】
terminal type { ansi | vt100 }
undo terminal type
【缺省情况】
终端显示类型为ANSI。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ansi:终端显示类型为ANSI类型。
vt100:终端显示类型为VT100类型。
【使用指导】
设备支持ANSI和VT100两种终端显示类型。当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI时,并且当前编辑行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型。
当用户线视图下的配置为缺省值时,将采用用户线类视图下配置的值;如果用户线类视图下的属性配置也为缺省值时,则采用该用户线下配置的缺省值。
用户线视图/用户线类视图下配置的终端显示类型都在下次登录时生效。
【举例】
# 设置终端显示类型为VT100类型。
<Sysname> system-view
[Sysname] line vty 0
[Sysname-line-vty0] terminal type vt100
user-interface命令用来进入一个或多个用户线视图。
【命令】
user-interface { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
first-number1:第一个用户线的编号(绝对编号方式),取值范围为0~68。
last-number1:最后一个用户线的编号(绝对编号方式),取值范围为1~68,该参数取值必须大于first-number1。
console:Console用户线。
vty:VTY用户线。
first-number2:第一个用户线的编号(相对编号方式),对于Console用户线取值范围为0~4,对于VTY用户线取值范围为0~63。
last-number2:最后一个用户线的编号(相对编号方式),对于Console用户线取值范围为1~4,对于VTY用户线取值范围为1~63,该参数取值必须大于first-number2。
【使用指导】
该命令实现与line一致,仅为与旧版本兼容保留,请使用line。
进入一个用户线视图进行配置后,该配置只对该用户视图有效。
进入多个用户线视图进行配置后,该配置对这些用户视图均有效。
【举例】
# 进入VTY 0~4用户线视图。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-line-vty0-4]
【相关命令】
· user-interface class
user-interface class命令用来进入用户线类视图。
【命令】
user-interface class { console | vty }
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
console:Console用户线类。
vty:VTY用户线类。
【使用指导】
该命令实现与line class一致,仅为与旧版本兼容保留,请使用line class。
用户线视图下的配置只对该用户线生效。
用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
user-interface class命令用来进入用户线类视图,user-interface命令用来进入一个或多个用户线视图。对于同时支持这两种视图的命令:
· 用户线视图下的配置优先于用户线类视图下的配置。
· 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值。
用户线类视图下支持的命令有:
· activation-key
· auto-execute command
· authentication-mode
· command accounting
· command authorization
· escape-key
· history-command max-size
· idle-timeout
· protocol inbound
· screen-length
· set authentication password
· shell
· terminal type
· user-role
【举例】
# 在VTY用户线类视图下,将用户连接的超时时间的缺省值设置为15分钟。
<Sysname> system-view
[Sysname] user-interface class vty
[Sysname-line-class-vty] idle-timeout 15
# 在Console用户线类视图下,将终端会话的快捷键设置为<s>。
<Sysname> system-view
[Sysname] user-interface class console
[Sysname-line-class-console] activation-key s
[Sysname-line-class-console] quit
· 在Console用户线视图下,将终端会话的快捷键设置为缺省值(可以使用undo activation-key或者直接使用activation-key 13进行配置)。
[Sysname] user-interface console 0
[Sysname-line-console0] undo activation-key
· 此时生效的快捷键为用户线类视图下的配置,验证过程如下:
· 退出终端会话。
[Sysname-line-console0] return
<Sysname> quit
· 重新登录设备,能看到如下显示信息。
Press ENTER to get started.
· 此时,<Enter>键失效,需要按<s>键才能出现用户视图提示符,启动终端会话。
<Sysname>
【相关命令】
· user-interface
user-role命令用来配置从当前用户线登录系统的用户角色。
undo user-role命令用来删除用户角色或恢复缺省情况。
【命令】
user-role role-name
undo user-role [ role-name ]
【缺省情况】
如果用户登录于缺省MDC,通过Console口/USB Console口登录系统的缺省用户角色为network-admin。通过其他方式登录系统的用户角色为network-operator。;如果用户登录于非缺省MDC,通过switchto mdc命令登录用户的缺省角色为mdc-admin,其他登录用户的缺省角色均为mdc-operator。
【视图】
用户线视图
用户线类视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
role-name:用户角色名称,为1~63个字符的字符串,区分大小写。可以是系统预定义的角色名称,包括network-admin、network-operator、mdc-admin、mdc-operator、level-0~level-15,也可以是自定义的用户角色名称。不指定该参数时,表示恢复到缺省情况。系统预定义角色security-audit和guest-manager不支持在用户线/用户线类视图下进行配置。
【使用指导】
FIPS模式下,不支持本命令。
在用户线视图/用户线类视图下使用该命令设置的用户角色将在下次登录设备时生效。
当用户线视图下的属性配置为缺省值时,将采用该用户线类视图下配置的用户角色。如果用户线类视图下配置的用户角色也为缺省值时,则直接采用该用户线下的缺省值。
仅具有network-admin、mdc-admin、system-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
可通过多次执行本命令,配置多个用户角色,最多可配置64个。用户登录后具有的权限是这些角色权限的集合。
关于用户角色的详细介绍请参见“基础配置指导”中的“RBAC”。
【举例】
# 设置从Console用户线登录系统的用户角色为network-admin。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] user-role network-admin
web captcha命令用来配置用户访问Web的固定校验码。
undo web captcha命令用来恢复缺省情况。
【命令】
web captcha verification-code
undo web captcha
【缺省情况】
用户只能使用Web页面显示的校验码访问Web。
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
verification-code:访问Web的固定校验码,为4个字符的字符串,区分大小写。
【使用指导】
配置该命令后,不管Web登录页面显示的校验码是什么,用户只要输入该固定的校验码,即可访问设备。本命令主要用于测试环境,当需要对设备的Web功能进行测试时,可以配置一个固定的校验码,使用脚本即可登录设备,以免每次测试都要手工输入变化的校验码,影响测试效率。
设备在网络中正常使用的时候,建议不要配置该命令,以免降低Web访问的安全性。
多次配置该命令,最新配置生效。
该命令不能保存到配置文件,设备重启后失效。
【举例】
# 设置访问Web的固定校验码为test。
<Sysname> web captcha test
web https-authorization mode命令用来设置使用HTTPS登录设备的认证模式。
undo web https-authorization mode命令用来恢复缺省情况。
【命令】
web https-authorization mode { auto | manual }
undo web https-authorization mode
【缺省情况】
使用HTTPS登录设备的认证模式为manual。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
auto:表示用户通过HTTPS登录设备时,使用客户端的PKI证书自动认证登录。
manual:表示用户通过HTTPS登录设备时,设备给出登录页面,用户必须输入合法的用户名和密码后才能登录。
【使用指导】
当选用auto认证模式时,设备客户端的PKI证书自动认证登录:
· 当用户侧的证书正确且未超期,则读取证书中的CN字段作为用户名,进行AAA认证。如果认证成功,则自动进入设备的Web界面;
· 当用户侧的证书有效且未超期,但AAA认证失败,则回到登录界面(如果此时用户输入合法的用户名和密码仍然能够登录);
· 当用户侧的证书错误或超期,则断开HTTPS连接。
【举例】
# 设置Web的HTTPS认证模式为auto。
<Sysname> system-view
[Sysname] web https-authorization mode auto
web idle-timeout命令用来设置Web闲置超时时间。
undo web idle-timeout命令用来恢复缺省情况。
【命令】
web idle-timeout idle-time
undo web idle-timeout
【缺省情况】
Web闲置超时时间为10分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
idle-time:Web闲置超时时间,取值范围为1~999,单位为分钟。
【使用指导】
当某Web用户在idle-time内一直没有操作Web页面,包括点击鼠标或键盘操作(只是移动鼠标,不会延长用户的下线时间),则系统会强制断开该用户的Web链接,使该用户下线。从而尽量避免在用户离开登录终端期间,非法用户对设备进行配置。
需要注意的是,修改Web线的闲置超时时间,会影响正在访问的用户。
【举例】
# 设置Web闲置超时时间为100分钟。
<Sysname> system-view
[Sysname] web idle-timeout 100
webui log enable命令用来开启Web操作日志功能。
undo webui log enable命令用来关闭Web操作日志功能。
【命令】
webui log enable
undo webui log enable
【缺省情况】
Web操作日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启Web操作日志功能,比较关键的Web操作(比如修改系统时间)会产生对应的Web操作日志,输出到信息中心。通过设置信息中心的参数,最终决定Web操作日志的输出规则(即是否允许输出以及输出方向)
能够触发Web操作日志的Web操作动作和设备相关,请以实际设备情况为准。
Web操作日志,采用固定的模块名”WEB”;日志助记符有统一的前缀”WEBOPT_”;同时Web操作日志还包含Web用户信息:Web客户端IP地址和Web用户名。
【举例】
# 开启Web操作日志功能,Web用户执行修改系统时间的操作。
<Sysname> system-view
[Sysname] webui log enable
当Web用户执行修改系统时间的操作时,设备上将输出如下日志:
%Mar 25 14:32:38:802 2013 H3C WEB/6/WEBOPT_SET_TIME: -HostIP=192.168.100.235-User=Admin; Set the system date and time to 2013-05-27T10:00:00.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!