- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-CLI配置
本章節下載: 01-CLI配置 (329.38 KB)
目 錄
命令行接口是用戶與設備之間的文本類指令交互界麵,用戶鍵入文本類命令,通過輸入回車鍵提交設備執行相關命令,從而對設備進行配置和管理,並可以通過查看輸出信息確認配置結果。對比圖形界麵使用鼠標點擊相關選項進行設置,命令行接口形式可以一次輸入含義更為豐富的指令。設備的命令行接口界麵如圖1-1所示:
設備支持多種方式進入命令行接口,比如通過Console口登錄設備後進入命令行接口界麵、通過Telnet方式登錄設備後進入命令行接口界麵、通過SSH方式登錄設備後進入命令行接口界麵等,各方式的詳細描述請參見“基礎配置指導”中的相關章節。
命令行格式約定可以幫助您理解命令含義,手冊中命令行表示規則遵循表1-1約定:
|
格式 |
意義 |
|
粗體 |
命令行關鍵字(命令中保持不變的部分)采用加粗字體表示。 |
|
斜體 |
命令行參數(命令中必須由實際值進行替代的部分)采用斜體表示。 |
|
[ ] |
用“[ ]”括起來的部分在命令配置時是可選的。 |
|
{ x | y | ... } |
從兩個或多個選項中選取一個。 |
|
[ x | y | ... ] |
從兩個或多個選項中選取一個或者不選。 |
|
{ x | y | ... } * |
從兩個或多個選項中選取多個,最少選取一個,最多選取所有選項。 |
|
[ x | y | ... ] * |
從兩個或多個選項中選取多個或者不選。 |
|
&<1-n> |
符號“&”前麵的參數可以重複輸入1~n次。 |
|
# |
由“#”號開始的行為注釋行。 |
命令行關鍵字輸入時不區分大小寫。
根據表1-1規則解讀命令clock datetime time date:
圖1-2 命令行解讀
示例:
使用如下命令行,則可以將設備的係統時間設置為2010年2月23日10時30分20秒。
<Sysname> clock datetime 10:30:20 2/23/2010
如遇到其他更為複雜的命令形式,都可以參照表1-1的約定解讀其邏輯關係。
命令的undo形式一般用來恢複缺省情況、禁用某個功能或者刪除某項設置。
在命令前加undo關鍵字,即為命令的undo形式,幾乎每條配置命令都有對應的undo形式。
例如,info-center enable命令用來開啟信息中心;undo info-center enable命令用來關閉信息中心。
設備提供豐富的功能,也提供了相應的配置和查詢命令。為便於您使用這些命令,設備將命令按功能進行分類組織。功能分類與命令視圖對應,當要配置某功能的某條命令時,需要先進入這條命令所在的視圖。
命令視圖采用分層結構,它們之間既有聯係又有區別。如圖1-3所示,
· 用戶登錄設備後,直接進入用戶視圖。此時屏幕顯示的提示符是:<設備名>。用戶視圖下可執行的操作主要包括查看操作、調試操作、文件管理操作、設置係統時間、重啟設備、FTP和Telnet操作等。
· 從用戶視圖可以進入係統視圖,係統視圖下能對設備運行參數進行配置,比如配置夏令時、配置歡迎信息、配置快捷鍵等。
· 在係統視圖下鍵入不同的命令,可以進入相應的功能視圖,完成各種功能的配置,比如:進入接口視圖配置接口參數、創建VLAN並進入VLAN視圖、進入用戶界麵視圖配置登錄用戶的屬性、創建本地用戶並進入本地用戶視圖配置本地用戶的密碼和級別、進入OSPF視圖配置OSPF協議相關參數等。
想要了解某命令視圖下支持哪些命令,請在命令視圖提示符下鍵入“?”,係統將自動羅列出該命令行視圖下可以執行的所有命令。
當用戶登錄到設備後,會自動進入用戶視圖,此時屏幕顯示的提示符是:<設備名>。用戶視圖可執行的操作有限(比如查看操作、文件操作、FTP和Telnet操作等),需要進入係統視圖,才能進一步對設備進行配置。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
必選 該命令在用戶視圖下執行 |
命令視圖采用分層結構,比如用戶視圖下有係統視圖,係統視圖下又有接口視圖、VLAN視圖等。當前視圖下的功能配置完成,需要退出當前視圖時,可以進行如下操作。
表1-3 退出當前視圖
|
操作 |
命令 |
說明 |
|
從當前視圖返回上一級視圖 |
quit |
必選 該命令可在任意視圖下執行 |
· 用戶視圖下執行quit命令會中斷用戶終端與設備之間的當前連接。
· 公共密鑰編輯視圖下請使用public-key-code end返回上一級視圖(公共密鑰視圖);公共密鑰視圖下請使用peer-public-key end命令返回係統視圖。
本特性為用戶提供了一種快捷的、從任意的非用戶視圖返回到用戶視圖的方式,而不需要多次執行quit命令。用戶也可以直接按組合鍵<Ctrl+Z>從當前視圖退回到用戶視圖。
表1-4 退回用戶視圖
|
操作 |
命令 |
說明 |
|
返回用戶視圖 |
return |
必選 該命令可在任意的非用戶視圖下執行 |
在命令行輸入過程中,您可以隨時鍵入“?”以獲得詳盡的在線幫助。下麵給出常見的在線幫助應用場景,供您參考使用:
(1) 在任意視圖下,鍵入<?>即可獲取該視圖下您可以使用的所有命令及其簡單描述。例如:
<Sysname> ?
User view commands:
archive Specify archive settings
backup Backup next startup-configuration file to TFTP server
boot-loader Set boot loader
bootrom Update/read/backup/restore bootrom
cd Change current directory
clock Specify the system clock
……略……
(2) 鍵入一條命令的關鍵字,後接以空格分隔的<?>。
如果<?>位置為關鍵字,則列出全部關鍵字及其簡單描述。例如:
<Sysname> terminal ?
debugging Send debug information to terminal
logging Send log information to terminal
monitor Send information output to current terminal
trapping Send trap information to terminal
如果<?>位置為參數,則列出有關的參數描述。例如:
<Sysname> system-view
[Sysname] interface vlan-interface ?
<1-4094> VLAN interface number
[Sysname] interface vlan-interface 1 ?
<cr>
[Sysname] interface vlan-interface 1
<cr>表示命令行當前位置無參數,直接鍵入回車即可執行。
(3) 鍵入命令的不完整關鍵字,其後緊接<?>,顯示以該字符串開頭的所有命令關鍵字。例如:
<Sysname> c?
cd
clock
copy
crypto-digest
<Sysname> display cl?
clipboard
clock
輸入命令行時的常用編輯功能,請參見表1-5的介紹。
|
按鍵 |
功能 |
|
普通按鍵 |
若編輯緩衝區未滿,則插入到當前光標位置,並向右移動光標 |
|
退格鍵<Backspace> |
刪除光標位置的前一個字符,光標前移 |
|
左光標鍵←或<Ctrl+B> |
光標向左移動一個字符位置 |
|
右光標鍵→或<Ctrl+F> |
光標向右移動一個字符位置 |
|
<Tab>鍵 |
輸入不完整的關鍵字後按下<Tab>鍵,係統自動補全關鍵字: · 如果與之匹配的關鍵字唯一,則係統用此完整的關鍵字替代原輸入並換行顯示; · 如果與之匹配的關鍵字不唯一,則反複按<Tab>鍵,可以循環顯示所有以輸入字符串開頭的關鍵字; · 如果沒有與之匹配的關鍵字,係統會不作任何修改,重新換行顯示原輸入。 |
設備支持不完整關鍵字輸入,即在當前視圖下,當輸入的字符足夠匹配唯一的關鍵字時,可以不必輸入完整的關鍵字。該功能提供了一種快捷的輸入方式,有助提高操作效率。
比如用戶視圖下以s開頭的命令有startup saved-configuration、system-view等。
· 如果要輸入system-view,可以直接輸入sy(注意不能隻輸入s,因為輸入不能確定唯一匹配關鍵字)。
· 如果要輸入startup saved-configuration,可以直接輸入st s;
您可以按<Tab>鍵由係統自動補全關鍵字的全部字符,以確認係統的選擇是否為所需輸入的關鍵字。
通過配置命令行別名,用戶可以將設備當前支持的命令行的第一個關鍵字替換為自己慣用的關鍵字。比如將display的別名設置為show,這樣在設備上執行display xx命令時隻需要輸入show xx即可。
在配置命令行別名時,需要遵循以下約定:
· 當查看當前配置信息以及保存配置信息時,用戶輸入的帶別名的命令將以係統原始的命令形式被顯示或存儲,而不會以別名的形式。即用戶的別名命令可以使用,但不會參與配置保存和恢複。
· 配置命令行別名時,輸入的待替換的關鍵字(cmdkey)和替換後的關鍵字(alias)參數必須是完整的輸入形式。
· 在用戶啟動別名功能的情況下,當用戶輸入不完整關鍵字,且該關鍵字與用戶已匹配的別名以及現有某關鍵字同時部分匹配時,以別名替換優先。用戶想輸入現有關鍵字對應的命令需要完整輸入該關鍵字。如果用戶輸入的字符串與多個所設置的別名部分匹配,則輸出歧義匹配信息。
· 當用戶對別名關鍵字使用<Tab>鍵時,將聯想出所對應的原始關鍵字。
· 不支持對整個命令行的替換。隻支持對第一關鍵字的別名設置,以及undo命令的第二關鍵字的別名替換。
表1-6 配置命令行的別名
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能命令行別名功能 |
command-alias enable |
必選 缺省情況下,命令行別名功能處於關閉狀態,即用戶不能給命令行指定別名 |
|
給指定的命令行配置別名 |
command-alias mapping cmdkey alias |
必選 缺省情況下,命令行沒有配置別名 |
您可以隨時使用display command-alias命令來顯示當前已經設置的命令行別名。
為便於用戶對常用命令進行快捷操作,係統提供了五個快捷鍵供用戶自定義。隻要用戶按下某個快捷鍵,係統即可執行對應的命令。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置命令行的快捷鍵 |
hotkey { CTRL_G | CTRL_L | CTRL_O | CTRL_T | CTRL_U } command |
可選 缺省情況請參見表下方的說明 |
|
顯示係統中快捷鍵的分配信息 |
display hotkey |
可在任意視圖下執行,係統保留的快捷鍵請參見表1-8 |
缺省情況下,係統為<Ctrl+G>、<Ctrl+L>、<Ctrl+O>三個快捷鍵指定了對應的命令,其它兩個快捷鍵<Ctrl+T>、<Ctrl+U>缺省值為NULL(空)。
· <Ctrl+G>對應命令display current-configuration(顯示當前配置);
· <Ctrl+L>對應命令display ip routing-table(顯示IPv4路由表信息);
· <Ctrl+O>對應命令undo debugging all(關閉所有模塊的調試信息開關)。
|
快捷鍵 |
功能 |
|
<Ctrl+A> |
將光標移動到當前行的開頭 |
|
<Ctrl+B> |
將光標向左移動一個字符 |
|
<Ctrl+C> |
停止當前正在執行的功能 |
|
<Ctrl+D> |
刪除當前光標所在位置的字符 |
|
<Ctrl+E> |
將光標移動到當前行的末尾 |
|
<Ctrl+F> |
將光標向右移動一個字符 |
|
<Ctrl+H> |
刪除光標左側的一個字符 |
|
<Ctrl+K> |
終止呼出的連接 |
|
<Ctrl+N> |
顯示曆史命令緩衝區中的後一條命令 |
|
<Ctrl+P> |
顯示曆史命令緩衝區中的前一條命令 |
|
<Ctrl+R> |
重新顯示當前行信息 |
|
<Ctrl+V> |
粘貼剪貼板的內容 |
|
<Ctrl+W> |
刪除光標左側連續字符串內的所有字符 |
|
<Ctrl+X> |
刪除光標左側所有的字符 |
|
<Ctrl+Y> |
刪除光標右側所有的字符 |
|
<Ctrl+Z> |
退回到用戶視圖 |
|
<Ctrl+]> |
終止呼入的連接或重定向連接 |
|
<Esc+B> |
將光標移動到左側連續字符串的首字符處 |
|
<Esc+D> |
刪除光標所在位置及其右側連續字符串內的所有字符 |
|
<Esc+F> |
將光標向右移到下一個連續字符串之前 |
|
<Esc+N> |
將光標向下移動一行(鍵入回車前有效) |
|
<Esc+P> |
將光標向上移動一行(鍵入回車前有效) |
|
<Esc+<> |
將光標所在位置指定為剪貼板的開始位置 |
|
<Esc+>> |
將光標所在位置指定為剪貼板的結束位置 |
以上快捷鍵為設備所定義,當用戶使用終端軟件與設備進行交互時,這些快捷鍵可能在終端軟件中被定義為其它指令。此時,快捷鍵的操作優先遵從終端軟件的定義,而不會對設備生效。
當您在未完成輸入操作卻被大量的係統信息打斷時,開啟此功能可以回顯您已經輸入而未提交執行的信息,方便您繼續完成未輸入的內容。
表1-9 配置命令行輸入回顯功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
打開命令行輸入回顯功能 |
info-center synchronous |
必選 缺省情況下,命令行輸入回顯功能處於關閉狀態 |
· 在當前命令行提示符下,如果用戶沒有任何輸入,此時若有日誌等係統信息輸出,輸出後將不會回顯命令行提示符;
· 當處在交互狀態,需要用戶輸入一些交互信息時(非Y/N確認信息),因為情況各異,所以若有係統信息輸出,輸出後不再回顯提示信息,而隻是將用戶已有的輸入換行打印出來。
· info-center synchronous命令的詳細介紹請參見“網絡管理和監控命令參考”中的“信息中心配置命令”。
您所有鍵入的命令,如果通過設備的語法檢查,則正確執行,否則向您報告錯誤信息,常見錯誤信息參見表1-10。
|
英文錯誤信息 |
錯誤原因 |
|
% Unrecognized command found at '^' position. |
在符號'^'指示位置的命令無法解析 |
|
% Incomplete command found at '^' position. |
在符號'^'指示位置的命令不完整 |
|
% Ambiguous command found at '^' position. |
在符號'^'指示位置的參數不明確,存在二義性 |
|
% Too many parameters found at '^' position. |
輸入參數太多 |
|
% Wrong parameter found at '^' position. |
在符號'^'指示位置的參數錯誤 |
命令行接口會將您最近使用的曆史命令自動保存到曆史命令緩存區,您可以隨時了解最近執行的命令,以及調用保存的曆史命令來進行重複輸入。
|
操作 |
命令或按鍵 |
結果 |
|
顯示曆史命令 |
display history-command |
顯示用戶輸入的有效曆史命令 |
|
訪問上一條曆史命令 |
上光標鍵↑或<Ctrl+P> |
如果還有更早的曆史命令,則顯示上一條曆史命令 |
|
訪問下一條曆史命令 |
下光標鍵↓或<Ctrl+N> |
如果還有更晚的曆史命令,則顯示下一條曆史命令 |
用光標鍵對曆史命令進行訪問,在Windows 200X及XP的Terminal和Telnet下均有效,但對於Windows 9X超級終端,↑、↓光標鍵會無效,這是由於Windows 9X的超級終端對這兩個鍵作了不同解釋所致,這時可以用組合鍵<Ctrl+P>和<Ctrl+N>來達到同樣效果。
下麵是關於曆史命令的一些詳細說明,您可以做進一步了解:
· 設備保存的曆史命令與用戶輸入的命令格式相同,如果您使用了命令的不完整形式,保存的曆史命令也是不完整形式。
· 如果連續多次執行同一條命令,設備的曆史命令中隻保留最早的一次。但如果執行時輸入的形式不同,將作為不同的命令對待。例如:多次執行display cu命令,曆史命令中隻保存一條。如果執行display cu和display current-configuration,將保存為兩條曆史命令。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
設置曆史命令緩衝區可存放的曆史命令的條數 |
history-command max-size size-value |
可選 缺省情況下,曆史命令緩衝區可存放10條曆史命令 |
user-interface和history-command max-size命令的詳細介紹請參見“基礎配置命令參考”中的“登錄設備命令”。
當顯示信息較多超過一屏時,係統會自動暫停將信息分屏顯示,方便您查看顯示信息。
這時您可以使用表1-13所示的按鍵來選擇下一步操作。
|
按鍵或命令 |
功能 |
|
鍵入空格鍵 |
繼續顯示下一屏信息 |
|
鍵入回車鍵 |
繼續顯示下一行信息 |
|
鍵入<Ctrl+C> |
停止顯示和命令執行 |
|
<PageUp> |
顯示上一頁信息 |
|
<PageDown> |
顯示下一頁信息 |
缺省情況下,一屏顯示24行信息,您也可以使用screen-length命令設置用戶界麵下一屏顯示的行數(screen-length命令的詳細介紹請參見“基礎配置命令參考”中的“登錄設備命令”)。
您可以通過以下配置禁用當前登錄用戶的分屏顯示功能。禁止分屏顯示時,會一次顯示所有信息,如果信息較多,則會連續刷屏,不方便立即查看。
表1-14 禁止分屏顯示
|
操作 |
命令 |
說明 |
|
禁用當前用戶的分屏顯示功能 |
screen-length disable |
必選 缺省情況下,用戶登錄後將遵循用戶界麵下的screen-length設置。screen-length設置的缺省情況為:允許分屏顯示,下一屏顯示24行數據 該操作在用戶視圖下執行,僅對當前用戶有效,用戶重登錄後將恢複到缺省情況 |
在執行display命令查看顯示信息時,用戶可以使用正則表達式來過濾顯示信息,以便快速的找到自己關注的信息。
過濾顯示的使用方法有兩種:
· 在命令行中通過輸入| { begin | exclude | include } regular-expression參數的方式來過濾顯示;
· 在分屏顯示時,使用“/”、“-”或“+”符號加正則表達式的方式,它將對剩餘還未顯示的信息使用正則表達式進行過濾顯示。其中,“/”等同關鍵字begin;“-”等同關鍵字exclude;“+”等同關鍵字include。
begin、exclude或include關鍵字的含義如下:
· begin:顯示特定行及其以後的所有行,該特定行必須包含指定正則表達式。
· exclude:顯示不包含指定正則表達式的所有行。
· include:隻顯示包含指定正則表達式的所有行。
正則表達式(regular-expression)為1~256個字符的字符串,區分大小寫,它還支持多種特殊字符,特殊字符的匹配規則如表1-15所示。
|
特殊字符 |
含義 |
使用說明 |
|
^string |
行首匹配符,string隻能出現在每行的開始 |
如:^user隻能匹配以user開始的行,不能匹配以Auser開始的行 |
|
string$ |
行尾匹配符,string隻能出現在每行的末尾 |
如:user$隻能匹配以user結尾的行,不能匹配以userA結尾的行 |
|
. |
句點,通配符,匹配任何一個字符,包括單個字符、特殊字符和空格等 |
如:.s可以匹配as和bs等 |
|
* |
星號,匹配星號前麵的字符或字符組零次或多次 |
如:zo*可以匹配z以及zoo;(zo)*可以匹配zo以及zozo |
|
+ |
加號,匹配加號前麵的字符或字符組一次或多次 |
如:zo+可以匹配zo以及zoo,但不能匹配z |
|
| |
豎線,匹配|左邊的整個字符串或者右邊的整個字符串 |
如:def|int隻能匹配包含def或者int的字符串 |
|
_ |
下劃線,該字符出現在表達式的開頭或結尾時,等效於行首匹配符或行尾匹配符(即特殊字符^或$),其它情況下等效於逗號、空格或者作為普通字符時的左括號、右括號、左大括號、右大括號 |
如:a_b可以匹配a b和a(b等;_ab隻能匹配以ab開頭的行;ab_隻能匹配以ab結束的行 |
|
- |
連接符,用於連接兩個數值或字母(小的在前,大的在後),與“[ ]”符號連用表示一個範圍 |
如:從1到9表示為1-9(包括1和9);從a到h表示為a-h(包括a和h) |
|
[ ] |
表示字符選擇範圍,將以選擇範圍內的單個字符為條件進行匹配,隻要字符串裏包含該範圍的某個字符就能匹配到 |
如:[16A]表示可以匹配到的字符串隻需要包含1、6或A中任意一個;[1-36A] 表示可以匹配到的字符串隻需要包含1、2、3、6或A中任意一個(-為連接符) 如果]需要作為普通字符出現在[ ]內時,必須把]寫在[ ]的最前麵,形如[]string],才能匹配到]。[沒有這樣的限製 |
|
( ) |
表示字符組,一般與“+”或“*”等符號一起使用 |
如:(123A)表示字符組123A;408(12)+可以匹配40812或408121212等字符串,但不能匹配408 |
|
\index |
表示重複一次指定字符組,字符組是指\前用()括起來的字符串,index對應\前字符組的順序號按從左至右的順序從1開始編號:如果\前麵隻有一個字符組,則index隻能為1;如果\前麵有n個字符組,則index可以為1到n中的任意整數 |
如:(string)\1表示把string重複一次,匹配的字符串必須包含stringstring;(string1)(string2)\2表示把string2重複一次,匹配的字符串必須包含string1string2string2;(string1)(string2)\1\2表示先把string1重複一次,再重複一次string2,匹配的字符串必須包含string1string2string1string2 |
|
[^] |
表示選擇範圍外的字符,將以單個字符為條件進行匹配,隻要字符串裏包含該範圍外的某個字符就能匹配到 |
如:[^16A]表示可匹配的字符串隻需要包含1、6和A之外的任意字符,該字符串也可以包含字符1、6或A,但不能隻包含這三個字符。比如[^16A]可以匹配abc、m16,不能匹配1、16、16A |
|
\<string |
匹配以string開頭的字符串 |
如:\<do可以匹配單詞domain,還可以匹配字符串doa |
|
string\> |
匹配以string結尾的字符串 |
如:do\>可以匹配單詞undo,還可以匹配字符串abcdo |
|
\bcharacter2 |
匹配characte1character2,characte1可以是除了數字、字母和下劃線外的任意字符,\b等效於[^A-Za-z0-9_] |
如:\ba可以匹配-a,-為characte1,a為character2,但是不能匹配2a和ba等 |
|
\Bcharacter |
匹配到的字符串中必須包含字符character,且character前不能是空格 |
如:\Bt可以匹配install裏的t而不能匹配big top中的t |
|
character1\w |
匹配characte1character2,character2必須是數字、字母或下劃線。\w相當於[A-Za-z0-9_] |
如:v\w能匹配到vlan,v為characte1,l為character2,v\w還能匹配service,i為character2 |
|
\W |
等效於\b |
如:\Wa可以匹配-a,-為characte1,a為character2,但是不能匹配2a和ba等 |
|
\ |
轉義操作符,\後緊跟本表列的單個特殊字符時,將去除特殊字符的特定含義 |
如:\\可以匹配包含\的字符串,\^可以匹配包含^的字符串,\\b可以匹配包含\b的字符串 |
(1) begin參數應用舉例
# 查看當前生效的配置中,從包含“user-interface”字符串的行開始到最後一行的配置信息(該顯示信息與設備型號以及用戶的當前配置有關)。
<Sysname> display current-configuration | begin user-interface
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode none
user privilege level 3
#
return
(2) exclude參數應用舉例
# 查看路由表中的非直連路由。
<Sysname> display ip routing-table | exclude Direct
Routing Tables: Public
Destination/Mask Proto Pre Cost NextHop Interface
10.1.1.0/24 Static 60 2 10.1.1.2 Vlan2
(3) include參數應用舉例
# 查看路由表中包含Vlan的路由表項。
<Sysname> display ip routing-table | include Vlan
Routing Tables: Public
Destination/Mask Proto Pre Cost NextHop Interface
192.168.1.0/24 Direct 0 0 192.168.1.42 Vlan999
為了限製不同用戶對設備的訪問權限,係統對用戶進行了分級管理。用戶的級別與命令級別對應,不同級別的用戶登錄後,隻能使用等於或低於自己級別的命令。
命令的級別由低到高分為訪問級、監控級、係統級和管理級四種,分別對應級別值0、1、2、3。詳細介紹請見表1-16:
|
級別值 |
級別名稱 |
描述 |
|
0 |
訪問級 |
用於網絡診斷等功能的命令、從本設備出發訪問外部設備的命令。該級別命令配置後不允許保存,設備重啟後,該級別命令會恢複到缺省狀態 缺省情況下,訪問級的命令包括:ping、tracert、telnet、ssh2等 |
|
1 |
監控級 |
用於係統維護、業務故障診斷等功能的命令。該級別命令配置後不允許保存,設備重啟後,該級別命令會恢複到缺省狀態 缺省情況下,監控級的命令包括:debugging、terminal、refresh、send等 |
|
2 |
係統級 |
業務配置命令,包括路由、各個網絡層次的命令,這些命令用於向用戶提供直接網絡服務 缺省情況下,係統級的命令包括:所有配置命令(管理級的命令除外) |
|
3 |
管理級 |
關係到係統的基本運行、係統支撐模塊功能的命令,這些命令對業務提供支撐作用 缺省情況下,管理級的命令包括:文件係統命令、FTP命令、TFTP命令、XModem命令下載、用戶管理命令、級別設置命令、係統內部參數設置命令(非協議規定、非RFC規定)等 |
用戶級別可以通過AAA認證參數或者用戶界麵來配置:
如果用戶登錄時使用的用戶界麵的認證方式為scheme,並且用戶登錄時需要輸入用戶名和密碼,則用戶級別以及用戶可使用的命令,在配置AAA認證時指定。
表1-17 通過AAA認證參數配置用戶級別
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
|
設置登錄用戶界麵的認證方式為scheme |
authentication-mode scheme |
必選 缺省情況下,VTY、AUX用戶界麵認證方式為password,Console用戶界麵不需要認證 |
|
|
退回係統視圖 |
quit |
- |
|
|
配置SSH用戶的認證方式為password方式 |
相關內容請參見“安全配置指導”中的“SSH2.0配置” |
如果用戶使用SSH方式登錄,並且認證時要求輸入用戶名和密碼,則該步驟必選 |
|
|
通過認證參數設置用戶的級別 |
使用本地認證時 |
· 使用local-user命令創建本地用戶並進入本地用戶視圖 · 使用authorization-attribute命令的level參數配置用戶本身的級別 |
二者必選其一 使用本地認證時,如果沒有配置用戶級別,則用戶級別為0,即隻能使用0級別的命令 使用遠程認證時,如果沒有配置用戶級別,則用戶級別由認證服務器的缺省配置決定 |
|
使用遠程認證(RADIUS認證、HWTACACS認證及LDAP認證)時 |
在認證服務器上進行配置 |
||
· 關於用戶界麵的介紹請參見“基礎配置指導”中的“登錄設備方式介紹”。有關user-interface、authentication-mode、user privilege level命令的介紹請參見“基礎配置命令參考”中的“登錄設備命令”。
· 有關AAA認證的介紹請參見“安全配置指導”中的“AAA配置”。local-user和authorization-attribute命令的介紹請參見“安全命令參考”中的“AAA配置命令”。
· 有關SSH的介紹請參見“安全配置指導”中的“SSH2.0配置”。
# 設置使用VTY 1的Telnet用戶登錄設備時,需要本地驗證用戶名和口令,用戶級別為3。
<Sysname> system-view
[Sysname] user-interface vty 1
[Sysname-ui-vty1] authentication-mode scheme
[Sysname-ui-vty1] quit
[Sysname] local-user test
[Sysname-luser-test] password cipher 123
[Sysname-luser-test] service-type telnet
通過以上配置,用戶使用VTY 1 Telnet登錄設備時,需要輸入用戶名test,密碼123,認證通過後隻能使用級別為0的命令,想要使用級別為0、1、2、3的命令還需要配置:
[Sysname-luser-test] authorization-attribute level 3
· 如果用戶登錄時使用的用戶界麵的認證方式為scheme,而且是SSH的publickey認證方式時(該方式隻需要輸入用戶名,不需要輸入密碼),則用戶級別等於用戶界麵的級別;
· 如果用戶登錄時使用的用戶界麵的認證方式為none或者password(即不需要輸入用戶名),用戶級別也等於用戶界麵的級別。
表1-18 通過用戶界麵配置用戶級別(SSH的publickey認證方式)
|
操作 |
命令 |
說明 |
|
配置SSH用戶的認證方式為publickey方式 |
相關內容請參見“安全配置指導”中的“SSH2.0配置” |
如果用戶使用SSH方式登錄,並且認證時隻要輸入用戶名,不用輸入密碼,則該步驟必選 配置該步驟後,相應的用戶界麵的認證方式必須設置為scheme |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } |
- |
|
設置用戶使用當前用戶界麵登錄設備時的認證方式 |
authentication-mode scheme |
可選 缺省情況下,VTY、AUX用戶界麵認證方式為password,Console用戶界麵不需要認證 |
|
配置從當前用戶界麵登錄係統的用戶的級別 |
user privilege level level |
可選 缺省情況下,通過Console口登錄係統的用戶級別是3,通過其它用戶界麵登錄係統的用戶級別是0 |
表1-19 通過用戶界麵配置用戶級別(none或者password認證方式)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
設置用戶使用當前用戶界麵登錄設備時的認證方式 |
authentication-mode { none | password } |
可選 缺省情況下,VTY、AUX用戶界麵認證方式為password,Console用戶界麵不需要認證 |
|
配置從當前用戶界麵登錄係統的用戶的級別 |
user privilege level level |
可選 缺省情況下,通過Console口登錄係統的用戶級別是3,通過其它用戶界麵登錄係統的用戶級別是0 |
· 設置所有的Telnet用戶登錄設備時,不需要身份認證,用戶級別為1。(不設置身份認證可能存在安全隱患,請確保在安全性較高的網絡環境中使用本配置)
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode none
[Sysname-ui-vty0-4] user privilege level 1
如果不設置用戶級別,用戶不需要輸入用戶名和密碼,就能使用Telnet方式登錄設備,但隻能使用以下命令:
<Sysname> ?
User view commands:
display Display current system information
ping Ping function
quit Exit from current command view
rsh Establish one RSH connection
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
tftp Open TFTP connection
tracert Trace route function
設置用戶級別後,用戶不需要輸入用戶名和密碼,就能使用Telnet方式登錄設備,可使用的命令明顯增多:
<Sysname> ?
User view commands:
debugging Enable system debugging functions
dialer Dialer disconnect
display Display current system information
ping Ping function
quit Exit from current command view
refresh Do soft reset
reset Reset operation
rsh Establish one RSH connection
screen-length Specify the lines displayed on one screen
send Send information to other user terminal interface
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
terminal Set the terminal line characteristics
tftp Open TFTP connection
tracert Trace route function
undo Cancel current setting
· 設置所有的Telnet用戶登錄設備時,需要驗證口令,用戶級別為2。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode password
[Sysname-ui-vty0-4] set authentication password cipher 123
[Sysname-ui-vty0-4] user privilege level 2
缺省情況下,用戶使用Telnet方式登錄設備,通過口令驗證後,隻能使用級別為0的命令。通過用戶界麵設置級別後,用戶使用Telnet方式登錄設備,輸入密碼123後,就可以使用級別為0、1、2的命令。
切換用戶級別是指在不退出當前登錄、不斷開當前連接的前提下暫時的修改用戶級別。級別修改後不需要重新登錄,可以繼續配置設備,隻是可以執行的命令會不一樣。比如用戶的級別為3,可以對係統參數進行設置,如果將用戶的級別切換到0,則隻能執行簡單的ping、tracert和很少一部分display命令等。切換後的級別是臨時的,隻對當前登錄生效,用戶重新登錄後,又會恢複到原有級別。
· 為了防止對設備的誤操作,通常情況下建議管理員使用較低級別的用戶登錄設備、查看設備運行參數,當需要對設備進行維護時,再臨時切換到較高的級別;
· 當管理員需要暫時離開設備或者將設備暫時交給其它人代為管理時,為了安全起見,可以臨時切換到較低的級別,來限製其它人員的操作。
· 從高級別切換到低級別或相同級別時,可以直接切換,不需要進行身份驗證。
· 從低級別切換到高級別時,為了保證操作的安全性,需要進行身份認證。如表1-20所示,認證方式有四種。
|
認證方式 |
涵義 |
說明 |
|
local |
本地密碼認證 |
設備驗證用戶輸入的級別切換密碼 使用該方式時,需要在設備上使用super password命令設置級別切換密碼 |
|
scheme |
通過HWTACACS/RADIUS進行遠程AAA認證 |
設備將級別切換用戶名和密碼發送給HWTACACS/RADIUS服務器進行遠程驗證 使用該方式時,需要進行以下相關配置: · 在設備上配置HWTACACS/RADIUS方案,並在ISP域中引用已創建的HWTACACS/RADIUS方案,詳細介紹請參見“安全配置指導”中的“AAA配置” · 在HWTACACS/RADIUS服務器上創建相應的用戶並配置密碼 |
|
local scheme |
本地密碼認證和遠程AAA認證相結合 |
先本地密碼認證,若設備上沒有設置本地級別切換密碼,使用Console用戶界麵登錄的用戶會直接進行級別切換,其它用戶(使用AUX或VTY用戶界麵登錄的用戶)則轉為遠程AAA認證 |
|
scheme local |
遠程AAA認證和本地密碼認證相結合 |
先遠程AAA認證,遠程HWTACACS/RADIUS服務器無響應或設備上的AAA配置無效時,轉為本地密碼認證 |
表1-21 配置用戶級別切換時的認證方式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置用戶級別切換時的認證方式 |
super authentication-mode { local | scheme } * |
可選 缺省情況下,采用local認證方式 |
|
配置用戶級別切換的密碼 |
super password [ level user-level ] { simple | cipher } password |
如果使用本地認證(即認證方式配置時選擇了local參數),則該步驟必選 缺省情況下,沒有設置切換用戶級別的密碼 |
· 在使用super password命令時,若不指定用戶級別,則配置的是切換到3級用戶的密碼。
· 如果指定simple參數,則配置文件中保存的是明文形式的密碼,容易被盜取;如果指定cipher參數,配置文件中保存的是密文形式的密碼,更安全。
· 當用戶使用Console用戶界麵(指Console口或作為Console口的AUX口)登錄設備進行低級別到高級別的切換時,即便認證方式為local,沒有配置對應的用戶級別切換密碼,也可以成功的實現級別切換。
表1-22 切換用戶級別
|
操作 |
命令 |
說明 |
|
切換用戶級別 |
super [ level ] |
必選 用戶在登錄設備時,已經具有了一定的級別,該級別由用戶界麵或者認證用戶級別決定 該命令在用戶視圖下執行 |
切換用戶級別時,根據用戶界麵認證方式和Super認證方式的不同組合設置,係統會要求用戶輸入不同的信息:
表1-23 用戶級別切換時輸入信息描述表
|
用戶界麵認證方式 |
用戶級別切換認證方式 |
第一種認證方式下切換用戶級別需要輸入的信息 |
認證方式轉換後切換用戶級別需要輸入的信息 |
|
none/password |
local |
本地級別切換密碼(設備上設置) |
- |
|
local scheme |
本地級別切換密碼 |
級別切換用戶名和密碼(AAA服務器上設置) |
|
|
scheme |
級別切換用戶名和密碼 |
- |
|
|
scheme local |
級別切換用戶名和密碼 |
本地級別切換密碼 |
|
|
scheme |
local |
本地級別切換密碼 |
- |
|
local scheme |
本地級別切換密碼 |
級別切換密碼(AAA服務器上設置),係統使用登錄用戶名作為級別切換用戶名 |
|
|
scheme |
級別切換密碼(AAA服務器上設置),係統使用登錄用戶名作為級別切換用戶名 |
- |
|
|
scheme local |
級別切換密碼(AAA服務器上設置),係統使用登錄用戶名作為級別切換用戶名 |
本地級別切換密碼 |
· 當使用的認證方式中有local時,切換用戶級別前需要配置用戶級別切換的密碼。
· 當使用的認證方式中有scheme時,切換用戶級別前需要配置AAA相關參數。
· 用戶最多可以連續輸入三次密碼,如果三次密碼都錯誤則本次切換失敗。
· 關於用戶界麵認證方式的相關描述請參見“基礎配置指導”中的“配置用戶通過CLI登錄設備”。
缺省情況,各個視圖下的每條命令都有指定的級別(如表1-16所示)。管理員也可以根據用戶需要改變命令的級別:實現低級別用戶可以使用部分高級別命令的需求;或者將命令的級別提高,增加設備的安全性。
表1-24 修改命令的級別
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置指定視圖下的命令的級別 |
command-privilege level level view view command |
可選 缺省情況請參見表1-16 |
通常情況下,建議用戶不要修改缺省的命令級別或者在專業人員的指導下進行修改,以免造成操作和維護上的不便甚至給設備帶來安全隱患。
在設備中,您可以隨時輸入save命令,將已經提交執行的所有命令行保存在配置文件中。這樣在設備重啟後,所有保存的配置不會丟失。配置保存不涉及一次性執行命令,比如:display類顯示命令(執行後即顯示相關信息),reset類清除命令(執行後即清除相關信息)。這類命令執行一次性操作要求,不會進行配置保存。
在完成上述配置後,在任意視圖下執行display命令可以查看係統相應的配置信息和運行信息。
|
操作 |
命令 |
|
顯示當前用戶設置的命令行及其別名 |
display command-alias [ | { begin | exclude | include } regular-expression ] |
|
顯示剪貼板的內容 |
display clipboard [ | { begin | exclude | include } regular-expression ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
