所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户界面命令

配置用户界面命令

acl(用户界面视图)

命令功能

acl命令用来通过引用访问控制列表,对通过用户界面的登录进行限制。

undo acl命令用来取消通过用户界面的登录进行限制。

缺省情况下,不对通过用户界面的登录进行限制。

命令格式

acl [ ipv6 ] { acl-number | acl-name } { inbound | outbound }

undo acl [ ipv6 ] { inbound | outbound }

参数说明

参数 参数说明 取值
ipv6

指定使用IPv6地址访问控制列表号。

-
acl-number

指定地址访问控制列表号。

整数形式,取值范围是2000~3999。
  • 2000~2999:表示使用基本访问控制列表限制源地址。
  • 3000~3999:表示使用高级访问控制列表同时限制源地址和目的地址。
acl-name

指定ACL的名称。

字符串形式,不支持空格,区分大小写,长度范围是1~32,以英文字母开始。
inbound

限制某个地址或地址段的用户登录到本设备。

-
outbound

限制已经登录的用户登录到其他设备。

-

视图

用户界面视图

缺省级别

3:管理级

使用指南

应用场景

当需要对通过用户界面的登录进行限制,即对源IP、目的IP、源端口或目的端口进行控制,控制的动作是允许访问还是拒绝访问,可通过本命令实现。

前置条件

执行本命令前,需要先执行acl(系统视图)命令和rule(ACL视图)命令成功配置访问控制列表。

若没有配置rule规则,执行本命令后,将不对通过用户界面的登录进行限制。

注意事项

配置生效后,该用户界面的所有用户均受此ACL限制。

一个用户界面只能配置一个同类的ACL,即IPv4的inbound和outbound、IPv6的inbound和outbound4类,每类最多只能配一个。

使用实例

# 在VTY0用户界面上,限制Telnet登录其他设备。

<HUAWEI> system-view
[~HUAWEI] acl 3001
[*HUAWEI-acl4-advance-3001] rule deny tcp source any destination-port eq telnet
[*HUAWEI-acl4-advance-3001] quit
[*HUAWEI] user-interface vty 0
[*HUAWEI-ui-vty0] acl 3001 outbound

# 在VTY0用户界面上,取消对Telnet登录其他设备的限制。

<HUAWEI> system-view
[~HUAWEI] user-interface vty 0
[~HUAWEI-ui-vty0] undo acl outbound
相关主题

activate vty ip-block ip-address

命令功能

activate vty ip-block ip-address命令用来解除对VTY用户界面中认证失败的IP地址的阻止。

命令格式

activate vty ip-block ip-address ip-address [ vpnname vpn-name ]

参数说明

参数 参数说明 取值
ip-address

被阻止的客户端IP地址。

  • 对于IPv4地址:点分十进制格式。
  • 对于IPv6地址:32位16进制数,格式为X:X:X:X:X:X:X:X。
vpnname vpn-name

被阻止的客户端所在的VPN名称。

字符串形式,区分大小写,长度范围是1~31。

视图

用户视图

缺省级别

3:管理级

使用指南

在VTY用户界面中,如果用户在5分钟内连续6次输入错误的密码,则IP地址将会被锁定5分钟,使用此命令可以提前对被锁定的IP地址进行解锁。

使用实例

# 解锁IP地址10.1.2.3。

<HUAWEI> activate vty ip-block ip-address 10.1.2.3

activate ssh server ip-block ip-address

命令功能

activate ssh server ip-block ip-address命令用来解除对SSH连接中认证失败的IP地址的阻止。

命令格式

activate ssh server ip-block ip-address ip-address [ vpn-instance vpn-name ]

参数说明

参数 参数说明 取值
ip-address

被阻止的客户端IP地址。

  • 对于IPv4地址:点分十进制格式。

  • 对于IPv6地址:32位16进制数,格式为X:X:X:X:X:X:X:X。

vpn-instance vpn-name

被阻止的客户端所在的VPN实例的名称。

字符串形式,区分大小写,长度范围是1~31。

视图

用户视图

缺省级别

3:管理级

使用指南

在SSH连接中,如果用户在5分钟内连续6次输入错误的密码,则IP地址将会被锁定5分钟,使用此命令可以提前对被锁定的IP地址进行解锁。

使用实例

# 解锁IP地址10.1.2.3。

<HUAWEI> activate ssh server ip-block ip-address 10.1.2.3

authentication-mode(用户界面视图)

命令功能

authentication-mode命令用来设置登录用户界面的验证方式。

undo authentication-mode命令用来删除用户界面的验证方式。

缺省情况下,用户界面没有使用该命令配置认证方式。通过VTY用户界面登录时必须配置验证方式,否则用户无法成功登录设备。

命令格式

authentication-mode { aaa | password | none }

undo authentication-mode

参数说明

参数 参数说明 取值
aaa 设置进行AAA授权验证方式。 -
password 设置进行密码验证方式。 -
none

设置验证方式为不验证。

说明:

配置不验证方式,可能存在安全风险,请谨慎操作。

-

视图

用户界面视图

缺省级别

3:管理级

使用指南

应用场景

当用户首次通过Console口登录设备时,终端会提示设置登录密码,登录设备后,用户可以使用此命令重新设置验证方式。不建议将验证方式配置为none,此种方式没有安全保证。建议配置AAA验证或密码验证方式来增加设备的安全性。

当Telnet或SSH用户通过VTY用户界面登录设备时,必须要使用此命令为登录的用户界面配置验证方式,配置完成后,仍可以使用此命令改变用户界面的验证方式。

如果使用protocol inbound ssh配置某用户界面支持的协议是SSH,为确保登录成功,则必须配置相应的验证方式为authentication-mode aaa;若配置验证方式为password,则protocol inbound ssh配置结果将失败。

注意事项

通过VTY用户界面登录时必须配置验证方式,否则用户无法成功登录设备。

  • 当配置用户界面的验证方式为password时,还需要执行命令set authentication password配置用户界面的验证密码。需要保存好登录密码,登录设备时需要首先输入登录密码才能登录。登录到设备的用户所能访问的命令级别由登录时的用户界面所对应的级别决定。

  • 当配置用户界面的验证方式为aaa时,系统将清除此用户界面已配置的密码。需要保存好登录用户名和密码,登录设备时需要首先输入登录用户名和密码才能登录。登录到设备的用户所能访问的命令级别由AAA配置信息中的本地用户的优先级级别决定。

  • 执行命令undo authentication-mode命令删除用户界面验证方式时,系统需要用户确认后再清除此用户界面的验证方式。
  • 如果使用aaa验证方式,则必须执行命令local-user user-name password配置本地用户和登录密码,否则用户无法登录。

使用实例

# 设置登录用户界面的验证方式。

<HUAWEI> system-view
[~HUAWEI] user-interface vty 0
[~HUAWEI-ui-vty0] authentication-mode aaa

databits

命令功能

databits命令用来设置用户界面的数据位。

undo databits命令用来恢复缺省的数据位。

缺省情况下,用户界面的数据位是8位。

命令格式

databits { 5 | 6 | 7 | 8 }

undo databits

参数说明

参数 参数说明 取值
5 数据位为5位。 -
6 数据位为6位。 -
7 数据位为7位。 -
8 数据位为8位。 -

视图

用户界面视图

缺省级别

3:管理级

使用指南

一般情况不使用该命令,如果改变设备用户界面的数据位,用户使用超级终端登录时,必须在超级终端设置相同的数据位才能登录。

只有串口工作在异步交互方式下时,配置有效。

使用实例

# 设置数据位为5位。

<HUAWEI> system-view
[~HUAWEI] user-interface console 0
[~HUAWEI-ui-console0] databits 5

display ssh server ip-block all

命令功能

display ssh server ip-block all命令用来查看所有认证失败的客户端IP地址。

命令格式

display ssh server ip-block all

参数说明

视图

所有视图

缺省级别

3: 管理级

使用指南

用户可以使用命令display ssh server ip-block all查看所有认证失败的IP地址,包括IP地址所属的VPN实例的名称、IP地址的状态和认证失败的次数,从而避免使用认证失败的IP地址进行无效验证。

在SSH连接中,如果用户在5分钟内连续6次输入错误的密码,则IP地址将会被锁定5分钟,此时在命令display ssh server ip-block all的回显中,IP地址的状态由AUTH FAILED变成BLOCKED。

使用实例

# 查看所有认证失败的IP地址。

<HUAWEI> display ssh server ip-block all
-------------------------------------------------------------------------------------
 IP Address                 VPN Name                   State           Auth-fail Count
--------------------------------------------------------------------------------------
 192.168.10.1               _public_                   BLOCKED             6          
--------------------------------------------------------------------------------------
表3-10  display ssh server ip-block all命令输出信息描述

项目

描述

IP Address

被阻止的客户端IP地址。

VPN Name

被阻止的客户端所在的VPN实例的名称。

State

被阻止的客户端IP地址状态:
  • BLOCKED:IP地址被锁定。
  • AUTH FAILED:IP地址认证失败。

Auth-fail Count

在5分钟内,客户端连续认证失败的次数。

display ssh server ip-block list

命令功能

display ssh server ip-block list命令用来查看因认证失败而被锁定的客户端IP地址。

命令格式

display ssh server ip-block list

参数说明

视图

所有视图

缺省级别

3: 管理级

使用指南

用户可以使用命令display ssh server ip-block list查看因认证失败而被锁定的客户端IP地址,包括被锁定的客户端IP地址所在的VPN实例的名称和锁定剩余时间等信息。

使用实例

# 查看因认证失败而被锁定的客户端IP地址。

<HUAWEI> display ssh server ip-block list
-------------------------------------------------------------------------------------
 IP Address                 VPN Name                   UnBlock Interval(Seconds)     
-------------------------------------------------------------------------------------
 192.168.10.1               _public_                          36                     
-------------------------------------------------------------------------------------
表3-11  display ssh server ip-block list命令输出信息描述

项目

描述

IP Address

被锁定的客户端IP地址。

VPN Name

被锁定的客户端IP地址所在的VPN实例的名称。

UnBlock Interval(Seconds)

被锁定的客户端IP地址剩余锁定时间,单位是秒。

display user-interface

命令功能

display user-interface命令用来查看用户界面信息。

命令格式

display user-interface [ ui-type ui-number1 | ui-number ] [ summary ]

参数说明

参数 参数说明 取值
ui-type 查看指定类型的用户界面信息。 取值可以是Console、VTY和NCA。
ui-number1 查看指定相对编号的用户界面信息。 最小值为0,最大值是指定用户界面类型支持的用户界面总数-1。
ui-number 查看指定绝对编号的用户界面信息。 整数形式,取值范围是0~104。不同设备,用户界面绝对编号的取值范围可能不同。
summary 查看用户界面的概要信息。 -

视图

所有视图

缺省级别

3:管理级

使用指南

使用此命令,可以查看所有或指定用户界面的详细配置信息。用户界面的相对编号和绝对编号可以使用命令display users查看User-Intf项。

使用实例

# 查看绝对编号为0的用户界面的详细信息。

<HUAWEI> display user-interface 0
  Idx  Type     Tx/Rx      Modem Privi ActualPrivi Auth  Int
+ 0    CON 0    9600       -     15    15          -     6
UI(s) not in async mode -or- with no hardware support:
20-32
  +    : Current UI is active.
  F    : Current UI is active and work in async mode.
  Idx  : Absolute index of UIs.
  Type : Type and relative index of UIs.
  Privi: The privilege of UIs.
  ActualPrivi: The actual privilege of user-interface.
  Auth : The authentication mode of UIs.
      A: Authenticate use AAA.
      N: Current UI need not authentication.
      P: Authenticate use current UI's password.
  Int  : The physical location of UIs.

# 查看所有的用户界面的详细信息。

<HUAWEI> display user-interface
  Idx  Type     Tx/Rx      Modem Privi ActualPrivi Auth  Int
+ 0    CON 0    9600       -     15    15          -     6
  34   VTY 0               -     15    -           A     -
  35   VTY 1               -     15    -           A     -
  36   VTY 2               -     15    -           A     -
  37   VTY 3               -     15    -           A     -
  38   VTY 4               -     15    -           A     -
  39   VTY 5               -     15    -           -     -
+ 40   VTY 6               -     15    15          N     -
  41   VTY 7               -     15    -           -     -
  42   VTY 8               -     15    -           -     -
  43   VTY 9               -     15    -           -     -
+ 44   VTY 10              -     15    15          N     -
+ 45   VTY 11              -     15    15          N     -
+ 46   VTY 12              -     15    15          N     -
+ 47   VTY 13              -     15    15          N     -
+ 48   VTY 14              -     15    15          N     -
  100  NCA 0               -     -     -           A     -
+ 101  NCA 1               -     -     3           A     -
+ 102  NCA 2               -     -     3           A     -
  103  NCA 3               -     -     -           A     -
  104  NCA 4               -     -     -           A     -
UI(s) not in async mode -or- with no hardware support:
21-32
  +    : Current UI is active.
  F    : Current UI is active and work in async mode.
  Idx  : Absolute index of UIs.
  Type : Type and relative index of UIs.
  Privi: The privilege of UIs.
  ActualPrivi: The actual privilege of user-interface.
  Auth : The authentication mode of UIs.
      A: Authenticate use AAA.
      N: Current UI need not authentication.
      P: Authenticate use current UI's password.
  Int  : The physical location of UIs.
表3-12  display user-interface命令输出信息描述

项目

描述

+

当前用户界面是激活状态

F

当前用户界面是激活状态并且工作在异步模式

Idx

用户界面的绝对编号

Type

用户界面的类型和相对编号

Tx/Rx

用户界面的速率

Modem

Modem的类型

Privi

配置的用户界面的权限

ActualPrivi

用户界面的实际权限(如果使用AAA方式验证,则实际权限的值为AAA配置信息中的本地用户级别,使用display aaa access-user查看级别。)

Auth

用户界面的认证模式:
  • A:使用AAA进行验证

  • N:当前用户界面不需要验证

  • P:使用当前用户界面的密码进行验证

Int

用户界面

display user-interface maximum-vty

命令功能

display user-interface maximum-vty命令用来查看通过VTY用户界面登录的最大用户数。

命令格式

display user-interface maximum-vty

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当需要查看通过Telnet或SSH登录设备建立连接的最大用户数,可通过本命令查看。缺省情况下,Telnet用户和SSH用户的最大数目是5。

使用实例

# 显示允许通过VTY界面登录用户的最大数目。

<HUAWEI> display user-interface maximum-vty
Maximum of VTY user : 5
表3-13  display user-interface maximum-vty命令输出信息描述

项目

描述

Maximum of VTY user

通过VTY方式,用户可以接入的最大数量。

可通过user-interface maximum-vty命令进行配置。

display users

命令功能

display users命令用来查看每个用户界面的用户登录信息。

命令格式

display users [ all ]

参数说明

参数 参数说明 取值
all 显示所有通过用户界面登录的用户的信息,包括未连接的用户界面。如果未使用all选项,则仅显示当前已连接的用户界面。 -

视图

所有视图

缺省级别

1:监控级

使用指南

执行该命令后,可显示当前设备上接入了哪些用户,用户的用户名、IP地址等登录信息,以及用户的验证和授权信息等。

使用实例

# 执行display users,查看用户界面的用户登录信息。

<HUAWEI> display users
NOTE:                                                                           
User-Intf: The absolute number and the relative number of user interface        
Authen: Whether the authentication passes                                       
Author: Command line authorization flag                                         
--------------------------------------------------------------------------------
  User-Intf   Delay     Type   Network Address   Authen    Author   Username
--------------------------------------------------------------------------------
  34  VTY 0   16:07:36  TEL    10.135.34.246     pass      yes      root123

  35  VTY 1   00:00:00  TEL    10.135.37.80      pass      yes      root123

  36  VTY 2   24:03:21  TEL    10.135.32.164     pass      yes      root123

* 37  VTY 3   23:33:44  TEL    10.135.23.55      pass      yes      root123
表3-14  display users命令输出信息描述

项目

描述

*

当前用户所在的用户界面,指定all参数时,表示有用户登录的用户界面。

User-Intf

第一列数字是用户界面的绝对编号,第二列数字是用户界面的相对编号

  • CON:表示用户通过Console口登录设备。

  • VTY:表示用户通过Telnet或STelnet登录设备。

  • NCA:表示用户通过Netconf登录设备。

Delay

表明用户自最近一次输入到现在的时间间隔,单位是秒

Type

连接类型。指定all参数时,该项为空表示该用户界面未使用。不指定all参数时:
  • 当为空或者“--”时表示Console类型。
  • 当为TEL时表示Telnet类型。
  • 当为SSH时表示SSH类型。

Network Address

  • Console用户界面:表示主控板槽位号

  • VTY用户界面:表示登录用户的IP地址

Username

显示使用该用户界面的用户名,即该登录用户的用户名,未指定用户名时此项显示为Unspecified

Authen

标识是否验证通过

Author

命令行授权标志:
  • yes表示命令行授权
  • no表示不进行命令行授权

display vty ip-block vty-password-mode all

命令功能

display vty ip-block vty-password-mode all命令用来查看所有认证失败的IP地址。

命令格式

display vty ip-block vty-password-mode all

参数说明

视图

所有视图

缺省级别

3: 管理级

使用指南

通过执行此命令,可以查看所有认证失败的IP地址的失败次数和状态。

使用实例

# 查看所有认证失败的IP地址。

<HUAWEI> system-view
[~HUAWEI] diagnose
[~HUAWEI-diagnose] display vty ip-block vty-password-mode all
-------------------------------------------------------------------------------------
 IP Address                 VPN Name                   State           Auth-fail Count
--------------------------------------------------------------------------------------
 192.168.10.1               _public_                   BLOCKED             6           
--------------------------------------------------------------------------------------
表3-15  display vty ip-block vty-password-mode all命令输出信息描述

项目

描述

IP Address

被阻止的IP地址。

VPN Name

被阻止的IP地址所在的VPN名称。

State

IP地址状态:
  • BLOCKED:被锁定
  • AUTH FAILED:认证失败

Auth-fail Count

最近5分钟内IP地址认证失败次数。

display vty ip-block vty-password-mode list

命令功能

display vty ip-block vty-password-mode list命令用来查看因为认证失败而被阻止的IP地址列表。

命令格式

display vty ip-block vty-password-mode list

参数说明

视图

所有视图

缺省级别

3: 管理级

使用指南

通过执行此命令,可以查看被阻止的IP地址以及该IP地址去除阻止的剩余时间。

使用实例

# 查看认证失败被阻止的IP地址。

<HUAWEI> display vty ip-block vty-password-mode list
-------------------------------------------------------------------------------------
 IP Address                 VPN Name                   UnBlock Interval(Seconds)     
-------------------------------------------------------------------------------------
 192.168.10.1               _public_                          36                     
-------------------------------------------------------------------------------------
表3-16  display vty ip-block vty-password-mode list命令输出信息描述

项目

描述

IP Address

被阻止的IP地址。

VPN Name

被阻止的IP地址所在的VPN名称。

UnBlock Interval(Seconds)

去除阻止的剩余时间。

flow-control

命令功能

flow-control命令用来配置流控方式。

undo flow-control命令用来配置流控方式到缺省值。

缺省情况下,流控方式是none,表示不进行流量控制。

命令格式

flow-control { hardware | none | software }

undo flow-control

参数说明

参数 参数说明 取值
hardware 指定流控方式是硬件流控。 -
none 指定流控方式是无流控。 -
software 指定流控方式是软件流控。 -

视图

Console类型用户界面视图

缺省级别

3:管理级

使用指南

只有串口工作在Console类型用户界面视图下时,配置才有效。

使用实例

# 在用户界面视图下,配置流控方式是软件流控。

<HUAWEI> system-view
[~HUAWEI] user-interface console 0
[*HUAWEI-ui-console0] flow-control software

kill user-interface

命令功能

kill user-interface命令用来断开与指定用户界面的连接。

命令格式

kill user-interface { ui-number | ui-type ui-number1 }

参数说明

参数 参数说明 取值
ui-number 指定用户界面绝对编号。 整数形式,取值范围是0~104。不同设备,用户界面绝对编号的取值范围不同。
ui-type 指定用户界面类型。 取值可以是Console、VTY和NCA
ui-number1 指定用户界面的相对编号。
  • 如果ui-type取值是Console,ui-number1取值是0。
  • 如果ui-type取值是VTY,ui-number1取值是0~20。
  • 如果ui-type取值是NCA,ui-number1取值是0~4。

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

如果某些登录用户一直占用着用户界面,或者需要禁止某些用户对设备的操作,可以使用此命令将用户从指定的用户界面中清除,即断开与设备的连接。

注意事项

此命令不可对当前用户进行操作。即,如果当前用户所在的用户界面是VTY 2,则命令kill user-interface vty 2执行无效,系统会提示错误。

使用实例

# 断开VTY3用户的连接。

<HUAWEI> kill user-interface vty 3
Warning: User interface VTY3 will be freed. Do you want to continue? [Y/N]:y
Info: User interface VTY3 is free.

history-command max-size

命令功能

history-command max-size命令用来设置历史命令缓冲区的大小。

undo history-command max-size命令用来恢复历史命令缓冲区的大小为缺省值。

缺省情况下,存放10条历史命令。

命令格式

history-command max-size size-value

undo history-command max-size

参数说明

参数 参数说明 取值
size-value 指定历史命令缓冲区的大小。 整数形式,取值范围是0~256。

视图

用户界面视图

缺省级别

3:管理级

使用指南

命令行接口提供类似Doskey的功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行。

使用实例

# 设置历史命令缓冲区的大小为20。

<HUAWEI> system-view
[~HUAWEI] user-interface console 0
[~HUAWEI-ui-console0] history-command max-size 20

idle-timeout

命令功能

idle-timeout命令用来设置用户连接的超时时间。

undo idle-timeout命令用来恢复超时时间的缺省值。

缺省情况下,VTY用户界面视图下,用户连接的超时时间是10分钟;Console用户界面视图下,用户连接的超时时间是5分钟

命令格式

idle-timeout minutes [ seconds ]

undo idle-timeout

参数说明

参数 参数说明 取值
minutes 指定用户界面断连的超时时间的分钟数。 整数形式,VTY用户界面视图下,取值范围是0~35791;Console用户界面视图下,取值范围是1~1440。单位是分钟。
seconds 指定用户界面断连的超时时间的秒数。 整数形式,取值范围是0~59,单位是秒。

视图

用户界面视图

缺省级别

3:管理级

使用指南

应用场景

用户登录设备后如果长时间没有进行操作,将一直占用此用户界面,造成资源的浪费,可以配置此命令将长时间处于空闲状态的连接自动断开。

注意事项

  • 设置超时时间为0时表示系统不会自动断开连接,除非用户断开连接。
  • 如果用户界面没有设置闲置断连功能,则有可能导致其他用户无法获得连接。
  • 设置用户连接的超时时间为0或者过长会导致终端一直处于登录状态,存在安全风险,建议用户执行命令lock锁定当前连接。
  • 通常情况下,推荐设置用户界面断连的超时时间在10~15分钟之间。
  • 在V200R002C50之前版本,Console用户界面视图下,idle-timeout设置用户连接的超时时间的取值范围是0~35791,如果设置超时时间为0或者大于1440分钟时,升级到V200R002C50及之后版本后,超时时间会自动被设置为1440分钟。

使用实例

# 设置超时为1分钟30秒。

<HUAWEI> system-view
[~HUAWEI] user-interface console 0
[~HUAWEI-ui-console0] idle-timeout 1 30

ip-block vty-password-mode disable

命令功能

ip-block vty-password-mode disable命令用来去使能VTY IP阻止功能。

undo ip-block vty-password-mode disable命令用来使能VTY IP阻止功能。

缺省情况下,VTY IP阻止功能处于使能状态。

命令格式

ip-block vty-password-mode disable

undo ip-block vty-password-mode disable

参数说明

视图

密码安全视图

缺省级别

3: 管理级

使用指南

使用ip-block vty-password-mode disable命令,可以控制VTY IP阻止功能的状态。如果处于使能状态,设备将会阻止认证失败的IP地址通过VTY访问。

如果VTY IP地址阻止处于去使能状态,已存在的认证失败的IP地址将从IP地址阻止列表中删除,新增的认证失败的IP地址也不会被存储到IP地址阻止列表中。

使用实例

# 去使能VTY IP地址阻止功能。

<HUAWEI> system-view
[~HUAWEI] security password
[*HUAWEI-security-password] ip-block vty-password-mode disable
Warning: It is not recommended to disable ip block feature. This operation may result in system becoming vulnerable to security threats.

# 使能VTY IP地址阻止功能。

<HUAWEI> system-view
[~HUAWEI] security password
[*HUAWEI-security-password] undo ip-block vty-password-mode disable

mmi-mode enable

命令功能

mmi-mode enable命令用来进入机机模式。

undo mmi-mode enable命令用来切换到人机模式。

缺省情况下,当前VTY用户是在人机模式下。

命令格式

mmi-mode enable

undo mmi-mode enable

参数说明

视图

用户视图

缺省级别

1:监控级

使用指南

执行命令mmi-mode enable进入机机模式后,输出信息不分屏。

执行命令mmi-mode enable切换到机机模式下以后,人机模式下的许多需要确认的重要命令将不再有确认环节,可以直接执行。人机模式下,用户非必要请勿使用该命令。

使用实例

# 进入机机模式。

<HUAWEI> mmi-mode enable

parity

命令功能

parity命令用来设置用户界面校验位。

undo parity命令用来恢复用户界面校验方式是无校验。

缺省情况下,无校验。

命令格式

parity { even | mark | none | odd | space }

undo parity

参数说明

参数 参数说明 取值
even 指定传输校验位是偶校验。 -
mark 指定传输校验位是Mark校验。 -
none 指定传输校验位是无校验。 -
odd 指定传输校验位是奇校验。 -
space 指定传输校验位是Space校验。 -

视图

Console类型用户界面视图

缺省级别

3:管理级

使用指南

只有串口工作在Console类型用户界面视图下时,配置才有效。

使用实例

# 将Console口传输校验位设为奇校验。

<HUAWEI> system-view
[~HUAWEI] user-interface console 0
[*HUAWEI-ui-console0] parity odd

protocol inbound

命令功能

protocol inbound命令用来指定VTY用户界面所支持的协议。

undo protocol inbound命令用来恢复VTY类型用户界面支持的协议到缺省值。

缺省情况下,系统支持所有协议类型。

命令格式

protocol inbound { all | ssh | telnet }

undo protocol inbound

参数说明

参数 参数说明 取值
all 指定支持所有的协议,包括SSH和Telnet。 -
ssh 指定只支持SSH协议。 -
telnet 指定只支持Telnet协议。 -

视图

VTY用户界面视图

缺省级别

3:管理级

使用指南

应用场景

用户界面的管理和监控对象是使用某种方式登录的用户,故需要配置客户端登录时采用的VTY类型用户界面,并通过本命令配置VTY类型用户界面支持的登录协议。

前置条件

如果使用该命令配置某用户界面支持的协议是SSH,为确保登录成功,则必须配置相应的验证方式为authentication-mode aaa;若配置验证方式为password,则protocol inbound ssh配置结果将失败。

注意事项

  • 执行本命令后,配置结果待下次登录请求时生效。

  • Telnet是一种不安全的协议,建议使用SSH协议。
  • 当指定所在VTY类型用户界面支持的协议是SSH时,如果SSH服务器功能已经使能但RSA/DSA/ECC密钥没有配置,则会分配一个临时密钥用于登录SSH服务器。
    说明:

    为了保证更好的安全性,建议您使用更安全的ECC认证算法。

使用实例

# 配置VTY0到VTY4的用户界面仅支持SSH协议。

<HUAWEI> system-view
[~HUAWEI] user-interface vty 0 4
[~HUAWEI-ui-vty0-4] authentication-mode aaa
[*HUAWEI-ui-vty0-4] protocol inbound ssh

screen-length

命令功能

screen-length命令用来设置用户输入某一命令执行后终端屏幕每屏显示的行数。

undo screen-length命令用来恢复缺省设置。

缺省情况下,终端屏幕的每屏显示24行。

命令格式

用户界面视图下:

screen-length screen-length [ temporary ]

undo screen-length [ temporary ]

用户视图下:

screen-length screen-length temporary

undo screen-length temporary

参数说明

参数 参数说明 取值
screen-length 指定终端屏幕分屏显示的行数。 整数形式,取值范围是0~512。取值为0时表示关闭分屏功能。
temporary 指定终端屏幕的临时显示行数。 -

视图

用户界面视图、用户视图

缺省级别

3:管理级

使用指南

用户执行某一命令,如果此命令输出行数比较多,用户可以改变终端屏幕每屏显示的行数,以便查看。

通常情况,无需调整终端屏幕每屏显示的行数,且不推荐设置关闭分屏功能。

说明:

用户视图下,temporary参数为必选项,命令级别为管理级

使用实例

# 设置屏幕的每屏行数为30。

<HUAWEI> system-view
[~HUAWEI] user-interface console 0
[~HUAWEI-ui-console0] screen-length 30

set authentication password

命令功能

set authentication password命令用来设置本地验证的密码。

undo set authentication password命令用来取消本地验证的密码。

缺省情况下,设备没有设置本地验证的密码。

命令格式

set authentication password [ cipher password ]

undo set authentication password

参数说明

参数 参数说明 取值
cipher password 指定用户设置的密码。
  • 不选择cipher关键字时,密码以交互式输入,系统不回显密码。

    输入的密码为字符串形式,区分大小写,长度范围是8~16。输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。

    特殊字符不包括“?”和空格。但是,当输入的密码两端使用双引号时,可在密码中间输入空格。
    • 如果使用双引号设置带空格密码,双引号之间不能再使用双引号。
    • 如果使用双引号没有设置带空格密码,双引号之间可以再使用双引号。

    例如,"a 123"45""为不合法密码,"a123"45""为合法密码。

  • 选择cipher关键字时,密码可以以显式形式输入,也可以以密文形式输入。

    • 密码以显式形式输入,要求与不选择cipher关键字时一样。密码以显式形式输入,存在安全风险,因此建议使用交互式输入密码。
    • 密码以密文形式输入,密码的长度必须是48~128个连续字符串。

    无论是显式输入还是密文输入,配置文件中都以密文形式体现。

视图

用户界面视图

缺省级别

3:管理级

使用指南

应用场景

对于已经配置验证方式是密码验证的用户,可以通过此命令修改设置的密码或者直接设置密文密码

当不指定参数cipher password时,密码以交互方式输入,长度为8~16,密码设置要求与选择cipher关键字输入显式密码时一样。输入的密码不会在终端屏幕上显示出来。
说明:

若用户指定了关键字cipher password,直接以显式形式输入存在安全风险。建议用户采用交互式方式输入密码。

前置任务

执行此命令前,使用authentication-mode password配置用户界面的验证方式为密码验证,否则执行不成功。

注意事项

  • 配置密码时,如果采用输入密文密码方式时,用户必须知道其对应的显式形式。因为用户登录系统验证时必须输入显式形式的密码。
  • 如果用户界面的验证方式是密码验证,但却没有配置密码,此时将无法成功登录设备。

  • 此命令为覆盖式命令,用户可以通过执行此命令修改本地验证密码。修改成功后,用户登录时需要输入新配置的密码才能通过验证,成功登录设备。

  • 在交互方式下设置密码时,可键入CTRL_C取消操作。

使用实例

# 交互式设置用户界面vty 0~4的本地验证密码。

<HUAWEI> system-view
[~HUAWEI] user-interface vty 0 4
[~HUAWEI-ui-vty0-4] set authentication password
Warning: The "password" authentication mode is not secure, and it is strongly recommended to use "aaa" authentication mode.
Please configure the login password (8-16)
Enter Password:
Confirm Password:
[*HUAWEI-ui-vty0-4]
# 设置用户界面vty 0~4的本地验证密码。
<HUAWEI> system-view
[~HUAWEI] user-interface vty 0 4
[~HUAWEI-ui-vty0-4] set authentication password cipher Huawei@123

shell

命令功能

shell命令用来设置允许在用户界面上启动终端服务。

undo shell命令用来取消当前设置。

缺省情况下,在所有的用户界面上启动终端服务。

命令格式

shell

undo shell

参数说明

视图

VTY用户界面视图

缺省级别

3:管理级

使用指南

在用户界面上配置shell,则开启终端服务,允许用户通过此界面输入命令,对设备进行查询、配置等操作。

在用户界面上配置undo shell,则关闭终端服务,不允许用户通过此界面对设备进行操作。在VTY视图下配置undo shell后,则此用户界面不提供Telnet和STelnet接入服务。

说明:

Console用户界面不支持该命令。

使用实例

# 设置在虚拟终端(VTY)0到4上终止终端服务。

<HUAWEI> system-view
[~HUAWEI] user-interface vty 0 4
[~HUAWEI-ui-vty0-4] undo shell
Warning: ui-vty0-4 will be disabled. Do you want to continue? [Y/N]:y

speed(用户界面视图)

命令功能

speed命令用来设置用户界面的传输速率。

undo speed命令用来恢复用户界面的缺省传输速率。

缺省情况下,传输速率为9600bit/s。

命令格式

speed speed-value

undo speed

参数说明

参数 参数说明 取值
speed-value 指定用户界面的传输速率。

单位为bit/s。取值可以为:

  • 300

  • 600

  • 1200

  • 2400

  • 4800

  • 9600

  • 19200

  • 38400

  • 57600

  • 115200

视图

Console用户界面视图

缺省级别

3:管理级

使用指南

应用场景

当用户通过Console口登录设备时,超级终端的传输速率属性要和设备的传输速率保持一致,否则无法登录。

只有串口工作在异步交互方式下时,配置有效。

注意事项

对于V200R002C50版本:
  • 对于除CE6860EI、CE6870-48T6CQ-EI、CE8850-32CQ-EI、CE6880EI、CE5810EI和CE5850HI外的其他设备,加载V200R002C50SPH012补丁之前配置此命令不生效,系统默认使用缺省值9600bit/s实现串口登录;加载V200R002C50SPH012补丁后,可以配置所有波特率值。
  • 对于CE6860EI、CE6870-48T6CQ-EI、CE8850-32CQ-EI,加载V200R002C50SPH013补丁之前配置此命令不生效,默认使用缺省值9600bit/s实现串口登录;加载V200R002C50SPH013补丁之后,配置speed 300或者speed 600不生效,建议使用其他波特率值。
  • 对于CE5810EI、CE5850HI和CE6880EI,配置此命令不生效,系统默认使用缺省值9600bit/s实现串口登录。

对于V200R001C00及之前版本,CE5810EI和CE5850HI配置speed 300或者speed 600不生效,建议使用其他波特率值。

因此,从V200R001C00或之前版本升级到V200R002C50版本时,建议使用带V200R002C50SPH012补丁升级,否则升级后只能使用默认波特率实现串口登录,CE5810EI和CE5850HI不支持该补丁,升级到V200R002C50版本时,只能使用默认波特率实现串口登录。

使用实例

# 将用户界面的传输速率设置为115200bit/s。

<HUAWEI> system-view
[~HUAWEI] user-interface console 0
[~HUAWEI-ui-console0] speed 115200

ssh server ip-block disable

命令功能

ssh server ip-block disable命令用来去使能SSH服务器上的客户端IP地址锁定功能。

undo ssh server ip-block disable命令用来使能SSH服务器上的客户端IP地址锁定功能。

缺省情况下,SSH服务器上的客户端IP地址锁定功能处于使能状态。

命令格式

ssh server ip-block disable

undo ssh server ip-block disable

参数说明

视图

系统视图

缺省级别

3: 管理级

使用指南

如果SSH服务器上的客户端IP地址锁定功能处于使能状态,则被锁定的客户端IP地址不能被认证通过,同时会在display ssh server ip-block list命令回显中显示被锁定的客户端IP地址。

如果SSH服务器上的客户端IP地址锁定功能去使能,则display ssh server ip-block list命令回显中会把先前锁定的客户端IP地址记录删除,新的认证失败的客户端IP地址也不会被记录显示。

关闭此功能系统会有安全风险,建议不要关闭IP·block功能。

使用实例

# 去使能SSH服务器上的客户端IP地址锁定功能。

<HUAWEI> system-view
[~HUAWEI] ssh server ip-block disable
Warning: It is not recommended to disable IP block feature. This operation may result in system becoming vulnerable to security threats.

# 使能SSH服务器上的客户端IP地址锁定功能。

<HUAWEI> system-view
[~HUAWEI] undo ssh server ip-block disable

stopbits

命令功能

stopbits命令用来设置用户界面的停止位。

undo stopbits命令用来恢复缺省的用户界面停止位。

缺省情况下,停止位为1位。

命令格式

stopbits { 1.5 | 1 | 2 }

undo stopbits

参数说明

参数 参数说明 取值
1.5 停止位为1.5位。 -
1 停止位为1位。 -
2 停止位为2位。 -

视图

Console用户界面视图

缺省级别

3:管理级

使用指南

当用户通过Console口登录设备时,超级终端的停止位要和设备用户界面的停止位保持一致,否则无法登录。

停止位和数据位databits有对应关系:
  • 若停止位为1,对应数据位为8。

  • 若停止位为1.5,对应数据位为5。

  • 若停止位为2,对应数据位为6、7、8。

只有串口工作在异步交互方式下时,配置有效。

使用实例

# 设置用户界面的停止位为2。

<HUAWEI> system-view
[~HUAWEI] user-interface console 0
[~HUAWEI-ui-console0] stopbits 2

user privilege

命令功能

user privilege命令用来配置用户级别。

undo user privilege命令用来恢复用户级别到缺省情况。

缺省情况下,当存在command-privilege level rearrange配置时,Console口用户界面对应的默认命令访问级别是15;当不存在command-privilege level rearrange配置时,Console口用户界面对应的默认命令访问级别是3。而其他用户界面用户的级别是0。

命令格式

user privilege level level

undo user privilege level

参数说明

参数 参数说明 取值
level level 指定用户级别。
说明:

level取值越大,优先级越高。

当存在command-privilege level rearrange配置时,level取值范围是0~15;

当不存在command-privilege level rearrange配置时,level取值范围是0~3。

说明:
改变command-privilege level rearrange配置时,level的取值会联动变化,根据级别映射关系做如下修改:
  • 增加command-privilege level rearrange配置时,0级和1级命令级别不变,2级命令升到10级,3级升到15级。
  • 删除command-privilege level rearrange配置时,0级命令级别不变,1~9级命令降为1级,10~14级命令降为2级,15级命令降到3级。

视图

用户界面视图

缺省级别

3:管理级

使用指南

应用场景

为了限制不同用户对设备的访问权限,系统对用户进行了分级管理。用户的级别与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令,从而保证了设备的安全性。

命令的级别由低到高分为参观级、监控级、配置级和管理级四种,未配置command-privilege level rearrange时分别对应级别值0、1、2、3,如表3-17所示。

表3-17  用户级别和命令级别对应关系

用户级别

命令级别

说明

0

参观级(0)

网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)、部分display命令等。

1

参观级(0)、监控级(1)

用于系统维护,包括display等命令。

说明:

并不是所有display命令都是监控级,比如display current-configuration命令和display saved-configuration命令是3级管理级。各命令的级别请参见CloudEngine 8800, 7800, 6800, 5800系列交换机 命令参考》手册。

2

参观级(0)、监控级(1)、配置级(2)

业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。

3

参观级(0)、监控级(1)、配置级(2)、管理级(3)

用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、命令级别设置命令以及用于业务故障诊断的debugging命令等。

如果用户界面下配置的命令级别访问权限与用户名本身对应的操作权限冲突,以用户名本身对应的级别为准。例如:用户001本身对应权限为能访问3级命令,而用户界面VTY 0配置的命令级别访问权限为2,则用户001从VTY 0登录系统时,能访问3级及以下的命令。

使用display user-interface查看用户界面的详细信息。

注意事项

如果用户需要实现权限的精细管理,可以执行命令command-privilege level将命令级别提升。

V100R006C00之前版本,用户级别为0~15级,升级到V100R006C00及以后版本时,如果没有配置command-privilege level,0级和1级用户不变,3~15级的用户统一为3级。

使用实例

# 在VTY0用户界面下配置用户级别是2。

<HUAWEI> system-view
[~HUAWEI] user-interface vty 0
[~HUAWEI-ui-vty0] user privilege level 2
[*HUAWEI-ui-vty0] commit

user-interface

命令功能

user-interface命令用来进入一个用户界面视图或多个用户界面视图。

命令格式

user-interface ui-type first-ui-number [ last-ui-number ]

参数说明

参数 参数说明 取值
ui-type

指定用户界面(User-interface)的类型。

ui-type取值可以是console或vty。
first-ui-number 指定配置的第一个相对用户界面编号。
  • 如果ui-type取值是console,则first-ui-number取值是0。
  • 如果ui-type取值是vty,则取值范围是0至配置的最大VTY值。
last-ui-number

指定配置的最后一个相对用户界面编号。选择此参数,将同时进入多个用户界面视图。

此参数只有在ui-type取值是VTY类型时才有效。last-ui-number的取值要比first-ui-number取值大。

选择此参数前,如果已经在系统视图下执行命令user-interface maximum-vty设置通过VTY方式登录用户的最大数目,last-ui-number的取值要小于等于设置的最大数目减1。

-

视图

系统视图

缺省级别

3:管理级

使用指南

当网络管理员使用Console口、Telnet方式或者SSH方式登录设备的时候,系统会根据用户的登录方式分配一个当前空闲的、编号最小的某类型的用户界面用来管理、监控设备和用户间的当前会话。每个用户界面有对应的用户界面视图,在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时的认证方式、用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。

当用户成功登录设备后,可执行命令display user-interface查看当前支持的用户界面以及用户界面的相对编号。

使用实例

# 进入Console 0用户界面。

<HUAWEI> system-view
[~HUAWEI] user-interface console 0
[~HUAWEI-ui-console0]

# 进入VTY 1用户界面。

<HUAWEI> system-view
[~HUAWEI] user-interface vty 1
[~HUAWEI-ui-vty1]

# 进入VTY 1~VTY 3多个用户界面。

<HUAWEI> system-view
[~HUAWEI] user-interface vty 1 3
[~HUAWEI-ui-vty1-3]

user-interface maximum-vty

命令功能

user-interface maximum-vty命令用来设置登录用户的最大数目。

undo user-interface maximum-vty命令用来恢复登录用户最大数目为缺省值。

缺省情况下,Telnet、SSH(STelnet)用户最大数目共为5个。

命令格式

user-interface maximum-vty number

undo user-interface maximum-vty

参数说明

参数 参数说明 取值
number 指定Telnet、SSH登录的用户最大数目。 整数形式,取值范围0~21。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当需要增加或者限制Telnet用户和SSH用户的登录数量时,可以使用此命令调整VTY界面的数量。如果VTY通道被占满,则设备不再接受新用户通过Telnet、SSH登录,但当前已经登录的用户不受影响。

注意事项

  • 使用该命令设置的登录用户最大数目为Telnet用户和SSH(STelnet)用户的总和。

  • 如果配置的登录用户最大数目为0,则设备不再接受任何用户通过Telnet、SSH登录。

使用实例

# 配置VTY用户界面最大数目为7个。

<HUAWEI> system-view
[~HUAWEI] user-interface maximum-vty 7

user-interface vty security-policy disable

命令功能

user-interface vty security-policy disable命令用来去使能VTY用户界面的安全策略。

undo user-interface vty security-policy disable命令用来使能VTY用户界面的安全策略。

缺省情况下,VTY用户界面的安全策略使能。

命令格式

user-interface vty security-policy disable

undo user-interface vty security-policy disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

执行命令undo user-interface vty security-policy disable可以清除长期等待的VTY用户界面的用户验证,比如当VTY用户界面的验证数达到配置的最大值,此时又有一个新的用户验证进来时,如果先前的验证用户中有任何一个在15秒内未验证通过的,则进行新加入的用户验证。

执行命令user-interface vty security-policy disable将不能清除长期等待的VTY用户界面的用户验证。

说明:

去使能VTY用户界面的安全策略会降低VTY用户界面的安全性,强烈建议用户使能VTY用户界面的安全策略。

使用实例

# 去使能VTY用户界面的安全策略。

<HUAWEI> system-view
[~HUAWEI] user-interface vty security-policy disable
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:16142

下载量:407

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页