H3C 用户界面配置
目 录
第1章 用户界面配置..............................................................................................................1-1
1.1 用户界面简介..................................................................................................................... 1-1
1.1.1 用户界面概述........................................................................................................... 1-1 1.1.2 用户界面的编号....................................................................................................... 1-2 1.2 用户界面配置任务简介....................................................................................................... 1-2 1.3 配置异步串口属性.............................................................................................................. 1-3 1.4 配置终端属性..................................................................................................................... 1-4 1.5 配置Modem 属性................................................................................................................. 1-5 1.6 配置自动执行命令.............................................................................................................. 1-5 1.7 配置用户界面所能访问的命令级别..................................................................................... 1-6 1.8 配置VTY 用户界面访问限制................................................................................................ 1-7 1.9 配置VTY 用户界面支持的协议............................................................................................ 1-7 1.10 配置异步串口的重定向功能.............................................................................................. 1-8 1.11 配置登录用户界面的认证方式.......................................................................................... 1-9 1.12 配置启动终端会话及终止当前运行任务的快捷键........................................................... 1-11 1.13 向指定的用户界面发送消息............................................................................................ 1-12 1.14 释放指定用户界面上建立的连接.................................................................................... 1-12 1.15 用户界面显示和维护...................................................................................................... 1-12
本文中标有“请以实际情况为准”的特性描述,表示各型号对于此特性的支持情况可能不同,本节将对此进行说明。 说明:
z
z
H3C MSR系列路由器对相关命令参数支持情况、缺省值及取值范围的差异内容请参见本模块的命令手册。
H3C MSR系列各型号路由器均为集中式设备。
第1章 用户界面配置
1.1 用户界面简介
1.1.1 用户界面概述
用户界面视图(User-interface view)是系统提供的一种视图,主要用来管理工作在流方式下的异步串口。通过在用户界面视图下的各种操作,可以达到统一管理各种用户配置的目的。
目前系统支持的配置方式有:
z z z z
Console 口本地配置 AUX 口本地或远程配置
工作在异步方式下的串口本地或远程配置 Telnet 或SSH 本地或远程配置
与这些配置方式对应的是四种类型的用户界面:
z
Console 用户界面:系统提供的通过Console 口登录的视图。Console 口是一种线设备端口。设备提供一个Console 口,端口类型为EIA/TIA-232 DCE。
z
AUX 用户界面:系统提供的通过AUX 口登录的视图。AUX 口(Auxiliary port,辅助端口)也是一种线设备端口。设备提供一个AUX 口,端口类型为EIA/TIA-232 DTE,通常用于通过Modem 进行拨号访问。
z
TTY (True Type Terminal,实体类型终端)用户界面:系统提供的通过TTY 方式登录的视图。TTY 方式是指异步串口或同异步串口(工作在异步方式下)的登录方式。
z
VTY (Virtual Type Terminal,虚拟类型终端)用户界面:系统提供的通过VTY 方式登录的视图。VTY 口属于逻辑终端线,用于对设备进行Telnet 或SSH 访问。目前每台设备最多支持5个VTY 用户同时访问。
1.1.2 用户界面的编号
用户界面的编号有两种方式:绝对编号方式和相对编号方式。 1. 绝对编号方式
使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。绝对编号方式的起始编号是0(即Console 口),第二个编号为1(即TTY 1),……,第(n+1)个编号为n (即TTY n),第(n+2)个编号为(n+1)(即AUX 口),第(n+3)个编号为(n+2)(即VTY 1),以此类推。 说明:
4种用户界面系统内部的划分顺序是Console 口、TTY 、AUX 口、VTY ,其中Console 口、AUX 口各占一个编号;TTY 和VTY 用户界面数量,根据设备支持的数量而占用相应的编号,使用display user-interface可查看。
2. 相对编号方式
相对编号方式的形式是:“用户界面类型 编号”。此编号是每种类型的用户界面的内部编号。此种编号方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。相对编号方式遵守的规则如下:
z z z z
控制台的编号:CON 0。 辅助接口的编号:AUX 0。
TTY 的编号:第一个为TTY 1,第二个为TTY 2,依次类推。 VTY 的编号:第一个为VTY 0,第二个为VTY 1,依次类推。
1.2 用户界面配置任务简介
表1-1 用户界面配置
配置任务
配置异步串口属性 配置终端属性 配置Modem 属性 配置自动执行命令
配置用户界面所能访问的命令级别 配置VTY 用户界面访问限制 配置VTY 用户界面支持的协议 配置异步串口的重定向功能
可选 可选 可选 可选 可选 可选 可选 可选
说明
详细配置 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10
配置任务
配置登录用户界面的认证方式
配置启动终端会话及终止当前运行任务的快捷键 向指定的用户界面发送消息 释放指定用户界面上建立的连接
可选 可选 可选 可选
说明
详细配置 1.11 1.12 1.13 1.14
1.3 配置异步串口属性
用户可以通过以下步骤,来配置异步串口属性,使得设备与访问终端的特性能够匹配。
表1-2 配置异步串口属性
操作
进入系统视图
system-view
user-interface { first-num1 [ last-num1 ] | { aux | console | tty | vty } first-num2 [ last-num2 ] } speed speed-value
命令
-
说明
进入用户界面视图 -
设置传输速率
可选
缺省情况下,传输速率为9600bps 可选
配置流量控制方式
flow-control { { hardware
[ flow-control-type1 ] | software [ flow-control-type2 ] } * | none }
本命令的缺省情况以及flow-control-type1和
flow-control-type2的支持情况与设备的型号有关,请以设备的实际情况为准 可选
缺省情况下,设备校验位的校验方式为none ,即不进行校验 可选
缺省情况下,停止位为1 可选
缺省情况下,不检测停止位 可选
设置校验位的校验方式 parity { even | mark | none | odd | space }
设置停止位 stopbits { 1 | 1.5 | 2 }
检测停止位 stopbit-error intolerance
设置数据位 databits { 5 | 6 | 7 | 8 }
缺省情况下,用户界面的数据位为8位
说明:
stopbit-error intolerance命令的支持情况与设备型号,请以设备的实际情况为准。
1.4 配置终端属性
表1-3 配置终端属性
操作
进入系统视图
命令
system-view
-
说明
进入用户界面视图
user-interface { first-num1
[ last-num1 ] | { aux | console
-
| tty | vty } first-num2 [ last-num2 ] }
可选
启动终端服务 shell
缺省情况下,系统在所有的用户界面上启动终端服务 可选
缺省情况下,用户连接的超时时间为10分钟 可选
缺省情况下,下一屏显示24行数据 可选
缺省情况下,终端显示类型为ANSI 可选
缺省情况下,历史命令缓冲区可存放10条历史命令 - 可选
设置用户连接的超时时间
设置下一屏显示的行数
设置当前用户界面下的终端显示类型 设置历史命令缓冲区可存放的历史命令的条数 退回用户视图 锁定用户界面,防止未授权的用户操作该界面
idle-timeout minutes [ seconds ]
screen-length screen-length
terminal type { ansi | vt100 }
history-command max-size size-value return
lock
缺省情况下,系统不会自动锁住当前用户界面
说明:
设备支持两种终端显示类型:ANSI 和VT100。当设备的终端类型与客户端(如超级终端或者Telnet 客户端等)的终端类型不一致,或者均设置为ANSI ,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型。
1.5 配置Modem 属性
说明:
本特性只对工作在流方式下的AUX 口及其它异步类型接口有效,对Console 口无效。(异步串口的相关内容可参考“接入分册”中的“WAN 接口”。)
用户在异步串口下使用Modem 接入设备,通过用户界面视图可管理和配置Modem 的有关参数。
表1-4 配置Modem 属性
操作
进入系统视图 进入用户界面视图
system-view
user-interface { first-num1
[ last-num1 ] | { aux | tty | vty } first-num2 [ last-num2 ] }
命令
- - 可选
缺省情况下,拨号超时时间为30秒 可选
modem auto-answer
缺省情况下,Modem 的应答方式为手动应答 可选
modem { both | call-in | call-out }
缺省情况下,Modem 的呼入和呼出功能处于禁止状态
说明
设置呼入连接建立时,
modem timer answer time 用户从摘机到拨号的
有效间隔时间 设置Modem 为自动应答方式
使能Modem 的呼入/呼出功能
1.6 配置自动执行命令
配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet 命令,使用户登录时自动连接到指定的主机。
表1-5 配置自动执行命令
操作
进入系统视图 进入用户界面视图
system-view
user-interface { first-num1 [ last-num1 ] | { aux | tty | vty } first-num2 [ last-num2 ] }
命令
- -
说明
操作
命令
说明
必选
配置自动执行命令 auto-execute command command
缺省情况下,未设定自动执行命令
auto-execute command
命令使用时有如下的限制:
z z
Console 口不支持auto-execute command。
如果设备上只有一个AUX 口,没有Console 口(Console 口和AUX 口共用),则此AUX 口也不支持auto-execute command。
z
对其他类型的接口不作限制。 注意:
z
z
使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。
在配置auto-execute command命令并保存配置(执行save 操作)之前,要确保可以通过其他VTY 、TTY 、CON 、AUX 用户登录进来更改配置,以便出现问题后,能删除该配置。
1.7 配置用户界面所能访问的命令级别
对于用户所能访问的系统命令,可以从两方面进行限制:用户界面的级别和用户的级别。
z
如果配置的认证方式需要用户名和密码,则用户登录系统后所能访问的命令级别由用户的级别确定。对于SSH 用户,使用RSA 公钥认证时,其所能使用的命令以用户界面上设置的级别为准。
z
如果不对用户进行认证或采用password 认证的情况下,登录到设备的用户所能访问的命令级别由登录所使用的用户界面的级别确定。
z
如果用户界面的级别与用户本身的级别冲突,则以用户本身的级别为准。例如:如果用户user1能访问3级命令,而用户界面VTY 0可以访问的命令级别为2,则用户user1从VTY 0登录系统时,能访问3级及以下级别的命令。
用户本身级别的设置:在系统视图下使用local-user 命令创建用户并进入本地用户视图,在本地用户视图下使用level 命令指定用户级别。(local-user 和level 命令的详细介绍请参见“安全分册”中的“AAA RADIUS HWTACACS配置命令”。)(用户级别和命令级别的详细介绍请参见“系统分册”中的“系统基本配置操作”。) 以下配置命令可以设置各用户界面所能访问的命令级别。
表1-6 配置用户界面所能访问的命令级别
操作
进入系统视图 进入用户界面视图
system-view
命令
-
说明
user-interface { first-num1
[ last-num1 ] | { aux | console | tty - | vty } first-num2 [ last-num2 ] }
可选
配置从当前用户界面登录系统的用户所能访问的命令级别
user privilege level level
缺省情况下,通过Console 口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0
1.8 配置VTY 用户界面访问限制
该配置通过引用ACL ,对VTY 用户界面的访问权限进行限制。ACL 的相关内容请参见“安全分册”中的“ACL 配置”。
表1-7 配置VTY 用户界面访问限制
操作
进入系统视图
进入VTY 用户界面视图
引用基本/高级ACL 对访问权限进行限制 引用二层ACL 对访问权限进行限制
system-view
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] }
acl [ ipv6 ] acl-number { inbound | outbound }
acl acl-number inbound
命令
- -
必选(二者必选其一) 缺省情况下,系统不对访问权限进行限制
说明
配置系统对VTY 用户界面的访问权限进行限制
1.9 配置VTY 用户界面支持的协议
表1-8 配置VTY 用户界面支持的协议
操作
进入系统视图
进入VTY 用户界面视图
system-view
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] }
命令
- -
说明
操作
命令
可选
设置所在用户界面支持的协议
protocol inbound { all | pad | ssh | telnet }
说明
pad 参数的支持情况与设备型号有关,请以设备的实际情况为准
缺省情况下,系统支持Telnet 和SSH 协议
注意:
z
z
如果配置用户界面支持SSH 协议,为确保登录成功,请您务必先配置相应的认证方式为scheme ;若配置认证方式为password 或none ,则protocol inbound ssh 配置结果将失败。相关配置请参见“系统分册”中的“用户界面命令”的authentication-mode 命令。
使用protocol inbound命令配置的协议将在用户下次使用该用户界面登录时生效。
1.10 配置异步串口的重定向功能
说明:
目前仅AUX 和TTY 用户界面支持本特性。
利用重定向终端服务功能,当用户A 通过Telnet 客户端程序以特定的端口号登录路由器B 时,可以实现重定向连接,登录到与路由器异步口相连的设备C 上,用户看到的配置界面就是设备C 的,用户所作的操作对设备C 生效。
表1-9 配置异步串口的重定向功能
操作
进入系统视图 进入用户界面视图
system-view
user-interface { first-num1
last-num1 | { aux | tty } first-num2 [ last-num2 ] }
命令
- - 必选
缺省情况下,不检测停止位
检测停止位
stopbit-error intolerance
重定向设备与被登录设备相连端口对应的用户界面的停止位设置(stopbits )必须相同,否则重定向将失败
说明
操作
使能异步串口的重定向功能
命令
必选
redirect enable
说明
缺省情况下,异步串口重定向功能被禁止 可选
设置Telnet 重定向的空闲超时时间
设置在建立Telnet 重定向连接时不进行Telnet 选项协商
redirect timeout time
缺省情况下,Telnet 重定向的空闲超时时间为360秒 可选
redirect refuse-negotiation
缺省情况下,进行Telnet 选项协商 可选
设置Telnet 重定向的监听端口
redirect listen-port port-number
缺省情况下,Telnet 重定向的监听端口号为用户界面的绝对编号加2000 可选
设置Telnet 重定向设备对从Telnet 客户端接收到的回车符进行处理 设置Telnet 重定向设备对从终端接收到的回车符进行处理 强制断开已经建立的Telnet 重定向连接
redirect return-deal from-telnet
缺省情况下,设备不对从Telnet 客户端接收到的回车符进行处理 可选
缺省情况下,设备不对从终端接收到的回车符进行处理 可选
redirect return-deal from-terminal
redirect disconnect
说明:
z
z
只有先执行redirect enable命令使能了用户界面的重定向功能后,才能执行其它redirect 命令。
stopbit-error intolerance命令的支持情况与设备型号,请以设备的实际情况为准。
1.11 配置登录用户界面的认证方式
通过设置用户界面的认证方式,可以实现用户在使用指定用户界面登录时是否需要认证,以提高设备的安全性。设备支持的认证方式有none 、password 和scheme 三种。
z
如果指定认证方式为none ,则下次使用该用户界面登录时不需要进行用户名和密码认证,这种情况可能会带来安全隐患。
z
如果指定认证方式为password ,则下次使用该用户界面登录时需要进行密码认证,输入空的或者错误密码,均会导致登录失败。如果没有设置认证密码:对于AUX 、VTY 、及MODEM 拨号用户,重新登录时,系统将提示“Login password has not been set !”,登录失败;对于其他用户界面,重新登录时(比如Console ),为了保证设备的可操作性,可以直接登录,不需要输入密码。关闭连接前,请务必设置该用户界面的登录密码。
z
如果指定认证方式为scheme ,则下次使用该用户界面登录时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。关闭连接前,请务设置认证用户名和密码。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数(如表1-12所示);如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全分册/AAA RADIUS HWTACACS配置”。缺省情况下,设备对访问用户采用本地认证方式。
表1-10 配置登录用户界面的认证方式为none
操作
命令
system-view
-
说明
进入系统视图 进入用户界面视图
user-interface { first-num1
[ last-num1 ] | { aux | console | tty | - vty } first-num2 [ last-num2 ] }
必选
authentication-mode none
缺省情况下, VTY、AUX 用户界面认证方式为password ,Console 、TTY 用户界面不需要认证
设置登录用户界面的认证方式为none
表1-11 配置登录用户界面的认证方式为password
操作 进入系统视图 进入用户界面视图
命令
system-view
-
说明
user-interface { first-num1 [ last-num1 ] | { aux | console
-
| tty | vty } first-num2 [ last-num2 ] }
必选
authentication-mode password
缺省情况下,VTY 、AUX 用户界面认证方式为password ,Console 、TTY 用户界面不需要认证
设置登录用户界面的认证方式为password 设置本地认证的密码
set authentication 必选 password { cipher | simple }
缺省情况下,没有设置本地认证的密码 password
表1-12 配置登录用户界面的认证方式为scheme
操作
进入系统视图 进入用户界面视图
system-view
user-interface { first-num1
[ last-num1 ] | { aux | console | tty | vty } first-num2 [ last-num2 ] }
命令
- - 必选
设置登录用户界面的认证方式为scheme
authentication-mode scheme [ command-authorization ]
说明
缺省情况下,VTY 、AUX 用户界面认证方式为
password ,Console 、TTY 用户界面不需要认证 可选
配置用户界面所能访问的命令级别 请参见“1.7 配置用户界面所能访问的命令级别”
缺省情况下,通过Console 口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0 必选
设置认证的用户名,并进入本地用户视图
local-user user-name
缺省情况下,设备中没有设置本地用户 必选 必选
设置认证的密码
password { cipher | simple } password
设置用户可以使用的服务类型 service-type { telnet | terminal } * [ level level ] }
VTY 用户界面用户对应的服务类型为telnet ,其他用户界面用户对应的服务类型为terminal
说明:
local-user 、password 和service-type 命令的详细介绍请参见“安全分册/AAA RADIUS HWTACACS命令”。
1.12 配置启动终端会话及终止当前运行任务的快捷键
表1-13 配置启动终端会话及终止当前运行任务的快捷键
操作
进入系统视图 进入用户界面视图
system-view
user-interface { first-num1
[ last-num1 ] | { aux | console | tty | vty } first-num2 [ last-num2 ] }
命令
- -
说明
操作
配置启动终端会话的快捷键
命令
可选
activation-key character
说明
缺省情况下,按键启动终端会话 可选
配置终止当前运行任务的快捷键
escape-key { default | character }
缺省情况下,按组合键终止当前运行的任务
说明:
VTY 用户界面不支持activation-key 命令。
1.13 向指定的用户界面发送消息
表1-14 向指定的用户界面发送消息
操作 向指定的用户界面发送消息
命令
说明
send { all | num1 | { aux | console | tty 必选 | vty } num2 } 该命令在用户视图下执行
1.14 释放指定用户界面上建立的连接
表1-15 释放指定用户界面上建立的连接
操作
释放指定用户界面
上建立的连接
命令
free user-interface { num1 | { aux | console | tty | vty } num2 }
必选
该命令在用户视图下执行
说明
说明:
不能使用该命令释放用户当前自己使用的连接。
1.15 用户界面显示和维护
在完成上述配置后,在任意视图下执行display 命令可以显示配置后用户界面的运行情况,通过查看显示信息验证配置的效果。
表1-16 用户界面显示和维护
操作
显示用户界面的使用信息 显示用户界面的相关信息 显示当前用户配置过的历史命令
display users [ all ]
命令
display user-interface [ num1 | { aux | console | tty | vty } num2 ] [ summary ] display history-command