视图telnet命令

H3CS9500系列路由交换机操作手册入门目录i目录第1章产品介绍1-11.
1产品简介.
1-11.
2功能特性列表1-2第2章登录交换机.
2-12.
1通过Console口搭建配置环境2-12.
2通过Telnet搭建配置环境.
2-32.
2.
1通过计算机Telnet到交换机.
2-32.
2.
2通过交换机Telnet到交换机.
2-42.
3通过Modem拨号搭建配置环境.
2-5第3章命令行接口.
3-13.
1命令行接口.
3-13.
2命令行视图.
3-13.
3命令行特性.
3-73.
3.
1命令行在线帮助3-73.
3.
2命令行显示特性3-83.
3.
3命令行历史命令3-93.
3.
4命令行错误信息3-93.
3.
5命令行编辑特性3-10第4章用户界面配置4-14.
1用户界面简介4-14.
2用户界面配置4-24.
2.
1进入用户界面视图.
4-24.
2.
2设置会话建立标题.
4-24.
2.
3配置异步口属性4-34.
2.
4配置终端属性.
4-44.
2.
5用户管理.
4-64.
2.
6Modem属性配置.
4-94.
2.
7配置重定向功能4-94.
3用户界面显示和调试4-10第5章管理用以太网口配置.
5-15.
1管理用以太网口简介5-15.
2管理用以太网口配置5-1H3CS9500系列路由交换机操作手册入门目录ii第6章密码管理特性配置操作.
6-16.
1密码管理配置简介6-16.
2密码管理配置6-26.
2.
1配置准备.
6-26.
2.
2密码管理的配置任务.
6-26.
2.
3系统日志记录功能.
6-76.
2.
4密码管理配置举例.
6-7H3CS9500系列路由交换机操作手册入门第1章产品介绍1-1第1章产品介绍1.
1产品简介H3CS9500系列路由交换机是大容量、模块化的L2/L3层线速交换设备,主要应用在大型企业网及园区网的网络骨干、交换核心、汇聚中心和宽带城域网中.
它提供丰富的业务功能,可以满足高端用户对多业务、高可靠、大容量和模块化的需求.
它适于应用在网络的多种不同位置和复杂网络环境,可以构建稳定可靠的高性能IP网络.
目前包含的型号为:zS9505路由交换机zS9508路由交换机zS9512路由交换机H3CS9500系列路由交换机采用一体化机柜式结构,整个机柜由电源区、单板区、背板、风扇区等几个部分组成.
S9505路由交换机的单板区共有7个槽位,最上面两个(即Slot0、Slot1)是交换路由板槽位,其余5个为业务板槽位.
S9508路由交换机的单板区共有10个槽位,中间2个(即Slot4、Slot5)是交换机路由板槽位,上、下各4个为业务板槽位.
S9512路由交换机的单板区共有14个槽位,中间2个(即Slot6、Slot7)是交换路由板槽位,上、下各6个为业务板槽位.
两块交换路由板可以配合实现冗余备份功能.
用户可以根据组网环境的需要自行选配适合的业务板,各种业务板可以混插.
关于混插的具体配置请参见"MPLS"中的BGP/MPLSVPN配置部分.
H3CS9500系列路由交换机支持的业务如下:zInternet宽带接入z城域网组网、企业/园区网组网z提供组播服务和组播路由功能,支持组播音、视频服务在本文中H3CS9500系列路由交换机简称为S9500系列交换机.
H3CS9500系列路由交换机操作手册入门第1章产品介绍1-21.
2功能特性列表表1-1功能特性列表特性说明VLAN支持符合IEEE802.
1Q标准的VLAN(VirtualLocalAreaNetwork)支持基于端口的VLAN支持GVRP(GARPVLANRegistrationProtocol)支持SuperVLAN支持GuestVLAN生成树协议支持STP(SpanningTreeProtocol)/MSTP(MultipleSpanningTreeProtocol),符合IEEE802.
1D/IEEE802.
1s标准流控支持IEEE802.
3流控(全双工)支持背压式流控(半双工)广播风暴抑制支持广播风暴抑制组播支持IGMPSnooping(InternetGroupManagementProtocolSnooping)支持IGMP(InternetGroupManagementProtocol)支持PIM-DM(Protocol-IndependentMulticast-DenseMode)支持PIM-SM(Protocol-IndependentMulticast-SparseMode)支持MSDP(MulticastSourceDiscoveryProtocol)支持MBGP(MultiprotocolBGP)IP路由支持静态路由支持RIP(RoutingInformationProtocol)v1/v2支持OSPF(OpenShortestPathFirst)支持BGP(BorderGatewayProtocol)支持IS-IS(IntermediateSystem-to-IntermediateSystemintra-domainroutinginformationexchangeprotocol)支持等价路由支持策略路由支持路由策略DHCP支持DHCP(DynamicHostConfigurationProtocol)Relay支持DHCPServer端口汇聚支持端口汇聚,包括手工汇聚、动态LACP(LinkAggregationControlProtocol,链路聚合控制协议)汇聚和静态LACP汇聚镜像支持基于端口的镜像支持将报文复制到CPU的流镜像H3CS9500系列路由交换机操作手册入门第1章产品介绍1-3特性说明QoS(QualityofService)支持流分类支持带宽控制支持拥塞避免支持流量整形和流量监管支持端口优先级队列队列调度:支持SP(StrictPriorityQueueing)、WRR(WeightedRoundRobin)、SP+WRR安全特性支持用户分级管理和口令保护支持802.
1X认证支持包过滤支持AAA/RADIUS/HWTACACS支持IDS联动MPLS支持MPLS(MultiprotocolLabelSwitching)基本功能支持MPLSL3VPN支持VLL,包括:Martini、Kompella和CCC方式支持VPLS专用业务处理支持NAT支持URPF管理与维护支持命令行接口配置支持通过Console口或AUX口进行配置支持通过以太网端口利用Telnet进行配置支持通过AUX口利用Modem拨号进行配置支持SNMP管理(支持RMON(RemoteMonitoring)1,2,3,9组MIB)支持系统日志支持分级告警支持调试信息输出支持PING、Tracert支持通过Modem拨号、Telnet进行远程维护支持SSH(SecureShell,安全外壳)2.
0加载与升级支持通过XModem协议实现加载升级支持通过FTP(FileTransferProtocol)、TFTP(TrivialFileTransferProtocol)实现加载升级H3CS9500系列路由交换机操作手册入门第2章登录交换机2-1第2章登录交换机2.
1通过Console口搭建配置环境第一步:如图2-1所示,建立本地配置环境,只需将计算机(或终端)的串口通过配置电缆与交换机的Console口连接.
Console口RS-232串口配置电缆图2-1通过Console口搭建本地配置环境第二步:在计算机上运行终端仿真程序(如如Windows2000或WindowsXP的超级终端等,下面以WindowsXP为例)并设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100,如图2-2至图2-4所示.
图2-2新建连接H3CS9500系列路由交换机操作手册入门第2章登录交换机2-2图2-3连接端口设置图2-4端口通信参数设置第三步:交换机上电,终端上显示交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如).
第四步:键入命令,配置交换机或查看交换机运行状态.
需要帮助可以随时键入"",具体的配置命令请参考本书中以后各章节的内容.
H3CS9500系列路由交换机操作手册入门第2章登录交换机2-32.
2通过Telnet搭建配置环境2.
2.
1通过计算机Telnet到交换机如果用户已经通过Console口正确配置交换机某VLAN接口的IP地址(在VLAN接口视图下使用ipaddress命令),并已指定与终端相连的以太网端口属于该VLAN(在VLAN视图下使用port命令),这时可以利用Telnet登录到交换机,然后对交换机进行配置.
第一步:在通过Telnet登录交换机之前,需要通过Console口在交换机上配置欲登录的Telnet用户名和认证口令.
说明:Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Telnet登录,则系统会提示"Loginpasswordhasnotbeenset!
".
system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]user-interfacevty0[H3C-ui-vty0]setauthenticationpasswordsimplexxxxxxxx是欲设置的该Telnet用户登录口令.
第二步:如图2-5所示,建立配置环境,只需将计算机以太网口通过局域网与交换机的以太网口连接.
图2-5通过局域网搭建本地配置环境第三步:在计算机上运行Telnet程序,输入与计算机相连的以太网口所属VLAN的IP地址,如图2-6所示.
H3CS9500系列路由交换机操作手册入门第2章登录交换机2-4图2-6运行Telnet程序第四步:终端上显示"Loginauthentication",并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如).
如果出现"Alluserinterfacesareused,pleasetrylater!
Theconnectionwasclosedbytheremotehost!
"的提示,表示当前Telnet到交换机的用户数已达最大值,则请稍候再连(H3C系列交换机最多允许5个Telnet用户同时登录).
第五步:使用相应命令配置交换机或查看交换机运行状态.
需要帮助可以随时键入"",具体的配置命令请参考本书中以后各章节的内容.
说明:z通过Telnet配置交换机时,不要删除或修改对应本telnet连接的交换机上的VLAN接口的IP地址,否则会导致Telnet连接断开.
zTelnet用户通过口令认证登录交换机时,缺省可以访问命令级别为0级的命令.
2.
2.
2通过交换机Telnet到交换机如果用户已经通过Telnet登录到一台交换机上,则可以通过该交换机Telnet到另一台交换机上进行配置.
本交换机作为Telnet客户端,对端交换机作为Telnet服务器端.
如果两台交换机相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台交换机必须存在互相到达的路由.
配置环境如图2-7所示,用户Telnet到一台交换机后,可以输入telnet命令再登录其它交换机,对其进行配置管理.
TelnetClientPCTelnetServer图2-7提供TelnetClient服务第一步:先通过Console口在作为TelnetServer的交换机上配置欲登录的Telnet用户名和认证口令.
H3CS9500系列路由交换机操作手册入门第2章登录交换机2-5说明:Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Telnet登录,则系统会提示"Loginpasswordhasnotbeenset!
".
system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]user-interfacevty0[H3C-ui-vty0]setauthenticationpasswordsimplexxxxxxxx是欲设置的该Telnet用户登录口令.
第二步:用户登录到作为TelnetClient的交换机(登录过程请参考本章"通过计算机Telnet到交换机"一节).
第三步:在TelnetClient的交换机上作如下操作:telnetxxxxxxxx是作为TelnetServer的交换机的主机名或IP地址,若为主机名,则需是已通过iphost命令配置的主机名或通过DNS客户端解析的主机名.
第四步:输入已设置的登录口令,然后出现命令行提示符(如),如果出现"Alluserinterfacesareused,pleasetrylater!
Theconnectionwasclosedbytheremotehost!
"的提示,表示当前Telnet到交换机的用户达到最大值,则请稍候再连.
第五步:使用相应命令配置交换机或查看交换机运行状态.
需要帮助可以随时键入"",具体的配置命令请参考本书中以后各章节的内容.
2.
3通过Modem拨号搭建配置环境第一步:在通过Modem拨号登录交换机之前,先通过Console口在交换机上对欲登录的Modem用户进行授权验证:说明:Modem用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Modem登录,则系统会提示"Loginpasswordhasnotbeenset!
".
system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]user-interfaceaux0[H3C-ui-aux0]setauthenticationpasswordsimplexxxxxxxx是欲设置的该Modem用户登录口令.
H3CS9500系列路由交换机操作手册入门第2章登录交换机2-6第二步:如图2-8所示,建立远程配置环境,在计算机(或终端)的串口和交换机的AUX口分别挂接Modem.
图2-8搭建远程配置环境第三步:在远端通过终端仿真程序和Modem向交换机拨号(所拨号码应该是与交换机相连的Modem的电话号码),与交换机建立连接,如图2-9至图2-10所示.
图2-9拨号号码设置图2-10在远端计算机上拨号H3CS9500系列路由交换机操作手册入门第2章登录交换机2-7第四步:在远端的终端仿真程序上输入已设置的登录口令,出现命令行提示符(如),即可对交换机进行配置或管理.
需要帮助可以随时键入"",具体的配置命令请参考本书中以后各章节的内容.
说明:Modem用户登录时,缺省可以访问命令级别为0级的命令.
H3CS9500系列路由交换机操作手册入门第3章命令行接口3-1第3章命令行接口3.
1命令行接口H3C系列交换机向用户提供一系列配置命令以及命令行接口,方便用户配置和管理交换机.
命令行接口有如下特性:z通过Console口或AUX口进行本地配置.
z通过以太网端口利用Telnet进行本地或远程登录配置.
z通过AUX口利用Modem拨号进行远程配置.
z配置命令分级保护,确保未授权用户无法侵入交换机.
z用户可以随时键入以获得在线帮助.
z提供网络测试命令,如Tracert、Ping等,迅速诊断网络是否正常.
z提供种类丰富、内容详尽的调试信息,帮助诊断网络故障.
z用Telnet命令直接登录并管理其它交换机.
z提供FTP服务,方便用户上载、下载文件.
z提供类似Doskey的功能,可以执行某条历史命令.
z命令行解释器对关键字采取不完全匹配的搜索方法,用户只需键入无冲突关键字即可解释.
3.
2命令行视图H3C系列交换机的命令行采用分级保护方式,防止未授权用户的非法侵入.
命令行划分为参观级、监控级、配置级、管理级4个级别,简介如下:z参观级:该级别包含的命令有网络诊断工具命令(ping、tracert)、用户界面的语言模式切换命令(language-mode)以及telnet命令等,该级别命令不允许进行配置文件保存的操作.
z监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作.
z配置级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提供直接网络服务.
H3CS9500系列路由交换机操作手册入门第3章命令行接口3-2z管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP、XModem下载、用户管理命令、级别设置命令等.
同时对登录用户也划分为4个级别,分别与命令级别相对应,即不同级别的用户登录后,只能使用等于或低于自己级别的命令.
为了防止未授权用户的非法侵入,用户在使用super[level]命令从低级别切换到高级别时,要进行用户身份验证,即需要输入切换口令(如果用户已经使用命令superpassword[levellevel]{simple|cipher}password设置了切换口令).
为了保密,用户在屏幕上看不到所键入的口令,如果三次以内输入正确的口令,则切换到高级别用户,否则保持原用户级别不变.
各命令行视图是针对不同的配置要求实现的,它们之间有联系又有区别,比如,与交换机建立连接即进入用户视图,它只完成查看运行状态和统计信息的简单功能,再键入system-view进入系统视图,在系统视图下,可以键入不同的命令进入相应的视图.
命令行提供如下视图:z用户视图z系统视图z端口视图zVLAN视图zVLAN接口视图z本地用户视图z用户界面视图zFTPClient命令视图zSFTPClient视图zMST域视图zPIM视图zMSDP视图zIPv4组播子地址族视图zRIP视图zOSPF视图zOSPF区域视图zBGP视图zIS-IS视图z路由策略视图H3CS9500系列路由交换机操作手册入门第3章命令行接口3-3z基本ACL视图z高级ACL视图z二层ACL视图z遵守级别视图zWRED索引视图zRADIUS服务器组视图zISP域视图zMPLS视图zVPNv4子地址族视图zVPN实例子地址族视图zBGP-VPNv4子地址族视图zMPLSL2VPN视图zL2VPN地址族视图zRoute-Policy视图zvpn-instance视图zOSPF协议视图zRemote-peer视图zVSI-LDP视图zVSI视图zHWTACACS视图z端口组视图zLanswitch视图zHGMP视图各命令视图的功能特性、进入各视图的命令等细则如表3-1所示.
表3-1命令视图功能特性列表视图功能提示符进入命令退出命令用户视图查看交换机的简单运行状态和统计信息与交换机建立连接即进入quit断开与交换机连接系统视图配置系统参数[H3C]在用户视图下键入system-viewquit或return返回用户视图H3CS9500系列路由交换机操作手册入门第3章命令行接口3-4视图功能提示符进入命令退出命令[H3C-Ethernet2/1/1]百兆以太网端口视图在系统视图下键入interfaceethernet2/1/1[H3C-GigabitEthernet2/1/1]千兆以太网端口视图在系统视图下键入interfacegigabitethernet2/1/1以太网端口视图:配置以太网端口参数[H3C-GigabitEthernet2/1/1]万兆以太网端口视图在系统视图下键入interfacegigabitethernet2/1/1POS端口视图:配置POS端口参数[H3C-Pos2/1/1]在系统视图下键入interfacepos2/1/1RPR逻辑端口视图:配置RPR端口参数[H3C-rpr2/1/1]在系统视图下键入interfacerpr2/1/1端口视图RPRPOS物理端口视图:配置RPR端口下物理参数[H3C-rpr2/1/1.
1]在系统视图下键入interfacerpr2/1/1.
1quit返回系统视图return返回用户视图VLAN视图配置VLAN参数[H3C-Vlan1]在系统视图下键入vlan1quit返回系统视图return返回用户视图VLAN接口视图配置VLAN和VLAN汇聚对应的IP接口参数[H3C-Vlan-interface1]在系统视图下键入interfacevlan-interface1quit返回系统视图return返回用户视图本地用户视图配置本地用户参数[H3C-luser-user1]在系统视图下键入local-useruser1quit返回系统视图return返回用户视图用户界面视图配置用户界面参数[H3C-ui0]在系统视图下键入user-interface0quit返回系统视图return返回用户视图FTPClient命令视图配置FTPClient参数[ftp]在用户视图下键入ftpquit返回用户视图SFTPClient视图配置SFTPClient参数sftp-client>在系统视图下键入sftpip-addressquit返回系统视图return返回用户视图H3CS9500系列路由交换机操作手册入门第3章命令行接口3-5视图功能提示符进入命令退出命令MST域视图配置MST域的参数[H3C-mst-region]在系统视图下键入stpregion-configurationquit返回系统视图return返回用户视图PIM视图配置PIM参数[H3C-PIM]在系统视图下键入pimquit返回系统视图return返回用户视图MSDP视图配置MSDP参数[H3C-msdp]在系统视图下键入msdpquit返回系统视图return返回用户视图IPv4组播子地址族视图配置MBGP组播扩展参数[H3C-bgp-af-mul]在BGP视图下键入ipv4-familymulticastquit返回BGP视图return返回用户视图RIP视图配置RIP协议参数[H3C-rip]在系统视图下键入ripquit返回系统视图return返回用户视图OSPF视图配置OSPF协议参数[H3C-ospf]在系统视图下键入ospfquit返回系统视图return返回用户视图OSPF区域视图配置OSPF区域相关的参数[H3C-ospf-0.
0.
0.
1]在OSPF视图下键入area1quit返回OSPF视图return返回用户视图BGP视图配置BGP协议参数[H3C-bgp]在系统视图下键入bgp100quit返回系统视图return返回用户视图IS-IS视图配置IS-IS协议参数[H3C-isis]在系统视图下键入isisquit返回系统视图return返回用户视图路由策略视图配置路由策略[H3C-route-policy]在系统视图下键入route-policypolicy1permitnode10quit返回系统视图return返回用户视图基本ACL视图定义基本ACL的子规则[H3C-acl-basic-2000]在系统视图下键入aclnumber2000quit返回系统视图return返回用户视图高级ACL视图定义高级ACL的子规则[H3C-acl-adv-3000]在系统视图下键入aclnumber3000quit返回系统视图return返回用户视图二层ACL视图定义二层ACL的子规则[H3C-acl-link-4000]在系统视图下键入aclnumber4000quit返回系统视图return返回用户视图H3CS9500系列路由交换机操作手册入门第3章命令行接口3-6视图功能提示符进入命令退出命令遵守级别视图配置遵守级别下的"DSCP+Conform-level—>服务参数"映射表、"EXP+Conform-level—>服务参数"映射表和"Local-precedence+Conform-level—>802.
1p优先级"映射表[H3C-conform-level-0]在系统视图下键入qosconform-level0quit返回系统视图return返回用户视图WRED索引视图配置WRED参数[H3C-wred-0]在系统视图下键入wred0quit返回系统视图return返回用户视图RADIUS服务器组视图配置Radius协议参数[H3C-radius-1]在系统视图下键入radiusscheme1quit返回系统视图return返回用户视图ISP域视图配置ISP域的相关属性[H3C-isp-H3C163.
net]在系统视图下键入domainH3C163.
netquit返回系统视图return返回用户视图MPLS视图配置MPLS相关参数[H3C-mpls]在系统视图下键入mplsquit返回系统视图return返回用户视图VPNv4子地址族视图配置VPNv4的地址族参数[H3C-bgp-af-vpn]在BGP视图下键入ipv4-familyvpnv4quit返回系统视图return返回用户视图VPN实例子地址族视图配置VPN实例的地址族参数[H3C-bgp-af-vpn-instance]在BGP、RIP视图下键入ipv4-familyvpn-instancevpnaquit返回系统视图return返回用户视图BGP-VPNv4子地址族视图配置BGP-VPNv4实例的子地址族参数[H3C-bgp-af-vpn]在BGP、RIP视图下键入ipv4-familyvpn-instancequit返回系统视图return返回用户视图MPLSL2VPN视图配置MPLSL2VPN服务参数[H3C-mpls-l2vpn-vpna]在系统视图下键入mplsl2vpnvpnaencapsulationethernetquit返回系统视图return返回用户视图L2VPN地址族视图配置L2VPN服务参数[H3C-bgp-af-l2vpn]在BGP视图下键入l2vpn-familyquit返回系统视图return返回用户视图Route-Policy视图配置Route-Policy服务参数[H3C-route-policy]在系统视图下键入route-policyroute-policy-name{permit|deny}nodenode-numberquit返回系统视图return返回用户视图H3CS9500系列路由交换机操作手册入门第3章命令行接口3-7视图功能提示符进入命令退出命令vpn-instance视图配置vpn-instance视图参数[H3C-vpn-vpn-instance_blue]在系统视图下键入ipvpn-instancevpn-instance_vpnaquit返回系统视图return返回用户视图OSPF协议视图配置OSPF协议参数[H3C-ospf-100]在系统视图下键入ospfprocess-id[router-idrouter-id-number][vpn-instancevpn-instance-name]quit返回系统视图return返回用户视图Remote-peer视图配置MPLS对等体参数[H3C-mpls-remote1]在系统视图下键入mplsldpremote-peer1quit返回系统视图return返回用户视图VSI-LDP视图配置VPLS的一些特性[9500-vsi-H3C-ldp]在系统视图下键入vsiH3C,在vsi视图下键入pwsignalldpquit返回vsi视图,return返回用户视图VSI视图指明VPLS使用的方式[9500-vsi-H3C]在系统视图下键入vsiH3Cquit返回系统视图return返回用户视图HWTACACS视图配置HWTACACS协议参数[9500-hwtacacs-H3C]在系统视图下键入hwtacacsschemeH3Cquit返回系统视图return返回用户视图端口组视图将配置相同的端口合并为一组,省略重复配置过程[9500-port-groupX]在系统视图下键入port-groupXquit返回系统视图return返回用户视图HGMP视图配置HGMP的一些特性[H3C-hgmp]在系统视图下键入hgmpserverenablequit返回系统视图return返回用户视图Lanswitch视图用户可以对指定的以太网交换机进行操作[H3C-lanswitchX/X/X-/]在HGMP视图下键入lanswitchX/X/X-/quit返回HGMP视图,return返回用户视图3.
3命令行特性3.
3.
1命令行在线帮助命令行接口提供如下几种在线帮助:z完全帮助H3CS9500系列路由交换机操作手册入门第3章命令行接口3-8z部分帮助通过上述各种在线帮助能够获取到帮助信息,分别描述如下:(1)在任一视图下,键入获取该视图下所有的命令及其简单描述.
Userviewcommands:language-modeSpecifythelanguageenvironmentpingPingfunctionquitExitfromcurrentcommandviewsuperPrivilegecurrentuseraspecifiedpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction(2)键入一命令,后接以空格分隔的,如果该位置为关键字,则列出全部关键字及其简单描述.
language-modechineseChineseenvironmentenglishEnglishenvironment(3)键入一命令,后接以空格分隔的,如果该位置为参数,则列出有关的参数描述.
[H3C]garptimerleaveallINTEGERValueoftimerincentiseconds(LeaveAllTime>(LeaveTime[Onallports]))Timemustbemultipleof5centiseconds[H3C]garptimerleaveall300表示该位置无参数,在紧接着的下一个命令行该命令被复述,直接键入回车即可执行.
(4)键入一字符串,其后紧接,列出以该字符串开头的所有命令.
ppingpwd(5)键入一命令,后接一字符串紧接,列出命令以该字符串开头的所有关键字.
displayverversion(6)键入命令的某个关键字的前几个字母,按下键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字.
(7)以上帮助信息,均可通过执行language-mode命令切换为中文显示.
3.
3.
2命令行显示特性命令行接口提供了如下的显示特性:H3CS9500系列路由交换机操作手册入门第3章命令行接口3-9z为方便用户,提示信息和帮助信息可以用中英文两种语言显示.
z在一次显示信息超过一屏时,提供了暂停功能,这时用户可以有三种选择,如表3-2所示.
表3-2显示功能表按键或命令功能暂停显示时键入停止显示和命令执行暂停显示时键入空格键继续显示下一屏信息暂停显示时键入回车键继续显示下一行信息3.
3.
3命令行历史命令命令行接口提供类似Doskey功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行.
命令行接口为每个用户缺省保存10条历史命令.
操作如表3-3所示.
表3-3访问历史命令操作按键结果显示历史命令displayhistory-command显示用户输入的历史命令访问上一条历史命令上光标键↑或如果还有更早的历史命令,则取出上一条历史命令访问下一条历史命令下光标键↓或如果还有更晚的历史命令,则取出下一条历史命令说明:用光标键对历史命令进行访问,在Windows3.
X的Terminal和Telnet下都是有效的,但对于Windows9X超级终端,↑、↓光标键会无效,这是由于Windows9X的超级终端对这两个键作了不同解释所致,这时可以用组合键和来代替↑、↓光标键达到同样目的.
3.
3.
4命令行错误信息所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见表3-4.
H3CS9500系列路由交换机操作手册入门第3章命令行接口3-10表3-4命令行常见错误信息表英文错误信息错误原因没有查找到命令没有查找到关键字参数类型错误Unrecognizedcommand参数值越界Incompletecommand输入命令不完整Toomanyparameters输入参数太多Ambiguouscommand输入参数不明确3.
3.
5命令行编辑特性命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为256个字符,如表3-5所示.
表3-5编辑功能表按键功能普通按键若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标退格键Backspace删除光标位置的前一个字符,光标前移左光标键←或光标向左移动一个字符位置右光标键→或光标向右移动一个字符位置上光标键↑或下光标键↓或显示历史命令Tab键输入不完整的关键字后按下Tab键,系统自动执行部分帮助:如果与之匹配的关键字唯一,则系统用此完整的关键字替代原输入并换行显示;对于命令字的参数、不匹配或者匹配的关键字不唯一的情况,系统不作任何修改,重新换行显示原输入H3CS9500系列路由交换机操作手册入门第4章用户界面配置4-1第4章用户界面配置4.
1用户界面简介为了方便用户管理系统,交换机提供了用户界面配置,用来配置和管理端口属性,目前S9500系列路由交换机支持的用户界面配置方式有:z通过Console或AUX口进行本地配置z通过以太网端口利用Telnet进行本地或远程登录配置z通过AUX口利用Modem拨号进行远程配置与这些配置方式对应的是三种类型的用户界面:zConsole用户界面(Console)Console用户界面用于通过Console口对交换机进行访问,每台交换机最多只有一个.
zAUX用户界面(AUX)AUX用户界面用于本地和通过Modem拨号远端对交换机进行访问,每台交换机只有一个.
在本地配置时与Console用户界面相似.
zVTY用户界面(VTY)VTY用户界面用于通过Telnet对交换机进行访问,每台交换机最多可以有5个.
用户界面的编号有两种方式:绝对编号方式和相对编号方式.
1.
绝对编号方式S9500路由交换机用户界面共分3类,并按照一定的先后顺序排列:分别是控制台(CON)、辅助接口(AUX)、虚拟接口(VTY)三种类型.
控制台和辅助接口分别只有一个;VTY类型的用户界面有多个.
绝对编号的起始编号是0,依次类推.
绝对编号可以唯一的指定一个用户界面或一组用户界面.
绝对编号方式遵守的规则如下:zConsole用户界面编号排在第一位,为0;zAUX用户界面编号排在第二位,为1;zVTY用户界面排在AUX用户界面之后.
第一个VTY的绝对编号比AUX大1.
H3CS9500系列路由交换机操作手册入门第4章用户界面配置4-22.
相对编号方式相对编号方式的形式是:"用户界面类型"+"编号".
此编号是每种类型的用户界面的内部编号.
此种编号方式只能指定某中类型的用户界面中的一个或一组,而不能跨类型操作.
相对编号方式遵守的规则如下:zConsole用户界面的编号:console0;zAUX用户界面的编号:aux0;zVTY用户界面的编号:第一条为vty0,第二条为vty1,依此类推.
4.
2用户界面配置用户界面配置包括:z进入用户界面视图z设置会话建立标题z配置异步口属性z配置终端属性z用户管理zModem属性配置z配置重定向功能4.
2.
1进入用户界面视图可以通过下面的命令进入相应的用户界面视图.
可以进入单一用户界面视图对一个用户界面进行配置,也可以进入多个用户界面视图同时配置多个用户界面.
请在系统视图下进行下列配置.
表4-1进入用户界面视图操作命令进入单一用户界面视图或多个用户界面视图user-interface[type]first-number[last-number]4.
2.
2设置会话建立标题当用户登录交换机时,可以通过以下命令设置交换机向用户提示的相关信息,激活终端连接后,login标题就被发送到终端.
如果用户成功登录,显示shell标题.
请在系统视图下进行下列配置.
H3CS9500系列路由交换机操作手册入门第4章用户界面配置4-3表4-2设置会话建立标题操作命令设置会话建立标题header[shell|incoming|login]text取消显示会话建立标题undoheader[shell|incoming|login]需要注意的是,当header命令后输入shell、login、incoming任一个参数后直接回车,则该参数为登录信息login的内容,而不是标题.
4.
2.
3配置异步口属性可以通过下面的命令配置异步口的属性,包括速率、流控方式、校验方式、停止位和数据位.
这些配置命令都只有工作在异步交互方式下才有效.
请在用户界面视图下进行下列配置(只能在Console和AUX用户界面视图下进行).
1.
配置传输速率表4-3配置传输速率操作命令配置传输速率speedspeed-value恢复传输速率为缺省值undospeed缺省情况下,异步口支持的传输速率为9600bit/s.
2.
配置流控方式表4-4配置流控方式操作命令配置流控方式flow-control{hardware|none|software}恢复流控方式为缺省方式undoflow-control缺省情况下,异步口的流控方式为none,即不进行流控.
3.
配置校验方式表4-5配置校验方式操作命令配置校验方式parity{even|mark|none|odd|space}恢复校验方式为缺省方式undoparityH3CS9500系列路由交换机操作手册入门第4章用户界面配置4-4缺省情况下,异步口的校验方式为none,即无校验位.
4.
配置停止位表4-6配置停止位操作命令配置停止位stopbits{1|1.
5|2}恢复停止位为缺省值undostopbits缺省情况下,异步口的停止位为1.
需要注意的是:目前S9500系列交换机不支持将停止位设置为1.
5位.
5.
配置数据位表4-7配置数据位操作命令配置数据位databits{7|8}恢复数据位为缺省值undodatabits缺省情况下,异步口支持的数据位为8位.
4.
2.
4配置终端属性可以通过下面的命令配置终端属性,包括启动/关闭终端服务、超时断开设定、锁住用户界面、配置终端屏幕的一屏长度以及配置历史命令缓冲区大小.
请在用户界面视图下进行下列配置,其中锁住用户界面操作请在用户视图下进行.
1.
启动/关闭终端服务当关闭某用户界面的终端服务后,通过该用户界面将不能登录交换机.
对于在关闭之前已经通过该用户界面登录的用户,仍然可以进行操作.
但当用户退出该用户界面后,将不能再次登录.
只有启动该用户界面的终端服务后,才能通过该用户界面登录交换机.
表4-8启动/关闭终端服务操作命令启动终端服务shell关闭终端服务undoshell缺省情况下,在所有的用户界面上启动终端服务.
H3CS9500系列路由交换机操作手册入门第4章用户界面配置4-5需要注意的是:zundoshell命令在Console用户界面不支持,其它用户界面均支持.
z用户不能在自己登录的用户界面上使用本命令.
z在任何合法的用户界面上使用undoshell命令,都需要经过用户的确认.
2.
超时断开设定表4-9设置用户超时断连功能操作命令设置用户超时断连功能idle-timeoutminutes[seconds]恢复用户超时断连为缺省值undoidle-timeout缺省情况下,在所有的用户界面上启动了超时断开连接功能,时间为10分钟.
也就是说,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开.
idle-timeout0表示关闭超时中断连接功能.
3.
设置锁住用户界面该配置任务用来锁住当前使用的用户界面,并提示用户输入密码.
防止当用户离开时,其它人对该用户界面进行操作.
表4-10设置锁住用户界面操作命令锁住用户界面lock4.
设置终端屏幕的一屏长度当某命令显示信息的行数多于一屏中能够显示的范围时,可以使用以下命令设置一屏中可以显示的行数,以便将信息分成几段,方便查看.
表4-11设置终端屏幕的一屏长度操作命令设置终端屏幕的一屏长度screen-lengthscreen-length恢复终端屏幕一屏长度为缺省值undoscreen-length需要注意的是,当参数screen-length设置为1或者2时,一屏中可以显示的行数相同.
缺省情况下,屏幕分屏显示的行数为24(包括分屏标志行).
screen-length0表示关闭分屏功能.
H3CS9500系列路由交换机操作手册入门第4章用户界面配置4-65.
设置历史命令缓冲区大小表4-12设置历史命令缓冲区大小操作命令设置历史命令缓冲区大小history-commandmax-sizevalue恢复历史命令缓冲区大小为缺省值undohistory-commandmax-size缺省情况下,历史缓冲区为10,即可存放10条历史命令.
4.
2.
5用户管理用户管理包括用户登录验证方式的设置、用户登录后可以访问的命令级别的设置、从用户界面登录后可以访问的命令级别的设置以及命令级别的设置.
1.
设置用户登录验证方式可以使用以下命令设置用户登录时是否需要进行验证,以防止非法用户的侵入.
请在用户界面视图下进行下列配置.
表4-13设置用户登录验证方式操作命令设置登录用户的认证方式authentication-mode{password|scheme|none}缺省情况下,Console口登录不需要进行终端验证;而AUX口本地和远程Modem登录、Telnet用户登录均需要进行口令验证.
需要注意的是:将Console口设置为本地口令认证后,即便不配置密码用户也可以直接登录系统.
而其它用户接口如AUX口用户以及Vty用户在设置为本地口令认证后,必须要设置密码才可以登录.
(1)本地口令验证使用authentication-modepassword命令,表示需要进行本地口令认证,此时需要使用以下命令配置口令后,才能成功登录.
请在用户界面视图下进行下列配置.
表4-14设置本地验证的口令操作命令设置本地验证的口令setauthenticationpassword{cipher|simple}password取消本地验证的口令undosetauthenticationpassword#设置用户从VTY0用户界面登录时需要进行口令验证,且验证口令为H3C.
H3CS9500系列路由交换机操作手册入门第4章用户界面配置4-7[H3C]user-interfacevty0[H3C-ui-vty0]authentication-modepassword[H3C-ui-vty0]setauthenticationpasswordsimpleH3C(2)本地或远端用户名和口令验证使用authentication-modescheme命令,表示需要进行本地或远端用户名和口令认证.
究竟是采用本地认证还是远端认证视配置而定,详细内容请见"安全"模块的介绍.
下面仅以本地用户名和口令认证为例介绍配置过程.
#设置用户从VTY0用户界面登录时需要进行用户名和口令验证,且登录用户名和口令分别为zbr和H3C.
[H3C-ui-vty0]authentication-modescheme[H3C-ui-vty0]quit[H3C]local-userzbr[H3C-luser-zbr]passwordsimpleH3C[H3C-luser-zbr]service-typetelnet(3)不验证[H3C-ui-vty0]authentication-modenone说明:AUX口本地和远程Modem登录、Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而登录,则系统会提示"Loginpasswordhasnotbeenset!
".
如果使用authentication-modenone命令,则AUX口本地和远程Modem登录、Telnet用户登录时不需要进行口令的验证.
2.
设置用户登录后可以访问的命令级别可以使用以下的命令设置某用户登录后可以访问的命令级别.
请在本地用户视图下进行下列配置.
表4-15设置用户登录后可以访问的命令级别操作命令设置指定用户登录后可以访问的命令级别service-typetelnet[levellevel]恢复指定用户登录后可以访问的命令级别为缺省级别undoservice-typetelnet缺省情况下,指定用户登录可以访问的命令级别为2级.
H3CS9500系列路由交换机操作手册入门第4章用户界面配置4-83.
设置从用户界面登录后可以访问的命令级别可以使用以下命令设置从某用户界面登录后可以访问的命令级别,执行该级别范围内的命令.
请在用户界面视图下进行下列配置.
表4-16设置从用户界面登录后可以访问的命令级别操作命令设置从用户界面登录后可以访问的命令级别userprivilegelevellevel恢复从用户界面登录后可以访问的命令级别为缺省级别undouserprivilegelevel缺省情况下,从Console用户界面登录后可以访问的命令级别为3级,而从AUX或VTY用户界面登录后可以访问的命令级别为0级.
说明:用户登录交换机时,其所能访问的命令级别取决于用户自身可以访问的命令级别与从用户界面登录所能访问的命令级别的设置,如果两者不同,则以用户自身可以访问的命令级别为准.
例如:某用户可以访问的命令级别是3级,而从VTY0用户界面登录所能访问的命令级别是1级,则该用户从VTY0登录系统时,可以访问3级及以下的命令.
4.
设置命令的级别可以使用以下命令设置指定视图内指定命令的级别.
命令权限共分为参观、监控、配置、管理4个级别,分别对应标识0、1、2、3.
管理员可以根据用户需要指定命令权限.
请在系统视图下进行下列操作.
表4-17设置命令的级别操作命令设置指定视图中指定命令的级别command-privilegelevellevelviewviewcommand恢复指定视图中指定命令的级别为缺省值undocommand-privilegeviewviewcommand5.
设置用户终端的输入协议可以使用下面的命令设置用户终端的输入协议.
输入协议类型可以为TELNET、SSH协议或所有协议.
请在用户界面视图下进行下列操作.
H3CS9500系列路由交换机操作手册入门第4章用户界面配置4-9表4-18设置用户终端的输入协议操作命令设置用户终端的输入协议protocolinbound{all|telnet|ssh}缺省情况下用户终端的输入协议为所有协议.
4.
2.
6Modem属性配置通过Modem登录交换机时,可以通过下面的命令配置Modem的有关参数.
请在用户界面视图下进行下列配置(只能在AUX用户界面视图下进行).
表4-19Modem配置操作命令设置系统收到了RING信号到等待CD_UP的时间间隔modemtimeranswerseconds恢复系统缺省的收到RING信号到等待CD_UP的时间间隔undomodemtimeranswer设置自动应答modemauto-answer设置手动应答undomodemauto-answer设置允许呼入modemcall-in设置禁止呼入undomodemcall-in设置允许呼入呼出modemboth设置禁止呼入呼出undomodemboth4.
2.
7配置重定向功能1.
传递命令可以通过下面的命令实现用户界面之间传递消息的功能.
请在用户视图下进行下列配置.
表4-20设置在用户界面之间传递消息操作命令设置在用户界面之间传递消息send{all|number|typenumber}H3CS9500系列路由交换机操作手册入门第4章用户界面配置4-102.
自动执行命令可以通过下面的命令配置登录时自动执行命令.
某条命令被配置为自动执行后,当用户重新登录时,系统将自动执行该命令.
通常的用法是在终端使用以下命令配置telnet命令,使用户自动连接到指定的设备.
请在用户界面视图下进行下列配置.
表4-21设置自动执行命令操作命令设置自动执行命令auto-executecommandtext取消自动执行命令undoauto-executecommand需要注意的是:z该命令的使用将导致不能使用该用户界面对本系统进行常规的配置,需谨慎使用.
z在配置auto-executecommand命令并保存配置(执行save操作)之前,要确保可以通过其它手段登录系统以去掉此配置.
#配置用户从VTY0上登录后,自动执行telnet10.
110.
100.
1命令.
[H3C-ui-vty0]auto-executecommandtelnet10.
110.
100.
1当用户从VTY0登录时,将自动执行telnet10.
110.
100.
1命令.
4.
3用户界面显示和调试在完成上述配置后,在任意视图下执行display命令可以显示配置后用户界面的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行free命令可以释放用户界面的连接.
表4-22用户界面显示和调试操作命令释放指定的用户界面连接freeuser-interface[type]number显示用户界面的使用信息displayusers[all]显示用户界面的物理属性和一些配置displayuser-interface[typenumber|number][summary]有选择性地查询历史命令displayhistory-command{Command-Number}{|{begin|include|exclude}Match-string}H3CS9500系列路由交换机操作手册入门第5章管理用以太网口配置5-1第5章管理用以太网口配置5.
1管理用以太网口简介S9500系列交换机的交换路由板提供一个10/100Base-TX的管理用以太网口.
该接口可用来连接后台计算机,进行系统的程序加载、调试等工作;也可以接远端的网管工作站等设备,实现系统的远程管理.
5.
2管理用以太网口配置在管理用以太网接口视图下可进行以下配置:z配置接口IP地址z打开/关闭接口z设置接口描述信息z显示当前系统信息z网络连通性测试(ping,tracert)具体配置操作请参见"端口"和"系统管理"部分的相关章节.
注意:管理用以太网口只有配置了IP地址以后才能正常使用.
H3CS9500系列路由交换机操作手册入门第6章密码管理特性配置操作6-1第6章密码管理特性配置操作6.
1密码管理配置简介以太网交换机能够向用户提供密码管理功能,在登录以太网交换机之前需要先配置系统的登录密码,配置密码之后每次登录交换机都要先输入密码,系统认证通过后才允许用户登录交换机进行后续操作.
对于密码验证失败的用户则无法登录成功.
用户可以使用缺省的密码配置,也可以自行进行密码管理配置,自行进行密码管理的时候遵循以下步骤:(1)配置系统登录密码当用户进入系统需要输入密码验证身份时,系统对密码加以保护.
命令行将不会显示输入的密码.
在系统的配置文件或者终端上,均不能显示该密码的明文,必须以加密方式存储.
当用户输入密码时,终端上采用显示******的方式,没有用户密码的明文显示.
用户配置密码需要输入两次,以便确认.
密码配置时,命令行显示为******,配置文件中显示为密文.
(2)启动系统密码管理功能密码配置之后用户可以进行密码管理,密码管理包括以下几个方面:z启动密码管理老化功能z启动限制密码管理最小长度功能z配置系统支持历史密码记录功能当登录系统的密码过期之后,系统会要求用户输入新的密码,并且自动保存.
通过记录历史密码可以阻止用户在修改密码的时候使用单一或者重复的密码,加强安全性.
系统将历史密码记录存放到flash的私有文件中,该文件对任何用户均为不可读,不可修改.
同时系统对密码历史记录以及黑名单记录还具有自动备份功能,详细分为下列几种情况:z系统增加或删除一个历史密码记录时,通知备板进行备份.
z系统清空所有历史纪录或者某个用户的历史记录时,通知备板进行备份.
z系统增加或删除一个黑名单中用户时,通知备板进行备份.
z主板备板上的flash中具有保存一致的历史密码的记录和黑名单记录.
(3)配置系统密码参数H3CS9500系列路由交换机操作手册入门第6章密码管理特性配置操作6-2密码配置之后管理员可以在下次登录时进行修改,密码的参数包含以下几个方面:z系统密码老化的时间z提醒用户密码过期的时间z系统密码长度的最小值z配置输入密码时的尝试次数及尝试失败后的处理方式z用户密码个数的最大历史记录z用户认证超时时间(4)配置super密码参数用户级别是配置用户的时候管理员配置的,super命令是给用户更换权限的命令比如,一个用户的级别为3,但在允许其以较低级别登录,成功登录到系统后,如果想更换级别,就需要super命令,同时需要super密码验证,对该密码需要密码管理,也就是有老化功能和最小长度的限制.
(5)删除用户密码的历史记录删除用户密码的历史记录之后,再重新配置密码的时候就不会受到之前所配置的历史密码记录的限制,系统可以删除所有用户的密码历史记录也可以删除特定用户的密码历史记录.
6.
2密码管理配置6.
2.
1配置准备用户端PC与一台S9500交换机连接,并且各自都处于正常工作状态.
6.
2.
2密码管理的配置任务密码管理的基本配置任务如下:z配置系统登录密码z启动系统密码管理功能z配置系统密码参数功能z配置super密码参数z删除用户密码记录配置完毕后,在任意视图下执行displaypassword-control命令可以查看所有用户密码管理的信息,包括密码老化是否启动,老化时间是多少,密码最小长度是否启动,最小值是多少,密码历史记录是否启动,密码过期提醒时间,密码认证时间,密码尝试次数,最大历史纪录的个数,尝试失败后的行为,上次清除历史记录的时间等.
H3CS9500系列路由交换机操作手册入门第6章密码管理特性配置操作6-3密码尝试失败后,系统会将该用户加入黑名单中,在任意视图下执行displaypassword-controlblacklist命令可以查看的黑名单中用户信息以及其IP地址信息.
表6-1密码管理基本配置任务配置步骤命令说明进入系统视图system-view-进入本地用户视图local-userusername-配置系统登录密码password根据系统提示输入密码并确认两次输入一致启动系统密码管理功能password-control{aging|length|history}enable缺省情况下该密码管理的功能均启动配置系统密码参数password-control{agingaging-time|lengthlength|login-attemptlogin-times|historymax-record-num|alert-before-expirealert-time|authentication-timeoutauthentication-timeout|exceed{lock|unlock|locktimetime}}参见下文对系统密码参数配置的详细介绍password-controlagingaging-time命令与password-controllengthlength命令也可以在本地用户视图下配置配置super密码参数password-controlsuper{agingaging-time|lengthlength}缺省情况下super密码老化的时间为90天,super密码长度的最小值为10个字符删除用户密码的历史记录resetpassword-controlhistory-record[usernameusername]-删除super密码的历史记录resetpassword-controlhistory-recordsuper[levellevel-value]-显示所有用户的密码管理信息displaypassword-controldisplay命令可以在任意视图下执行显示super密码管理信息displaypassword-controlsuperdisplay命令可以在任意视图下执行取消相关配置可以使用相应的undo命令.
注意:z当密码历史记录功能未启动时,密码的清除命令resetpassword-controlhistory-record同样可以清除全部或者某个用户的历史密码.
z当密码管理功能未启动时,密码老化参数可以进行配置,但不起作用.
下面逐一介绍密码参数的配置.
H3CS9500系列路由交换机操作手册入门第6章密码管理特性配置操作6-41.
配置系统密码的老化时间系统在启动密码老化功能后,用户登录进行密码验证时,系统读取该用户的密码创建时间并且将该密码的创建时间与与该用户的密码老化时间进行比较,具体可有下列三种情况:(1)如果密码距离过期的时间在提醒时间范围内,则系统提示用户密码还有几天过期,并且询问用户是否修改密码.
输出提示如:Yourpasswordwillexpirein2days,Willyouchangeit[Y/N]z如果用户选择修改且修改密码成功,则记录新的密码,并且记录新密码的设定时间,允许用户正常登录.
z如果用户选择不修改或者修改不成功,则在密码没过期的情况下可以正常登录.
(2)如果该用户的密码已经过期,则系统通知用户密码已经过期,输出提示:yourpasswordhasexpired,pleaseenteranewpassword:password:confirm即要求用户必须输入新的密码,在用户输入新的密码后确认该新的密码.
如果密码不符合要求,或者两次输入的密码不同,系统要求用户重新输入,否则无法登录成功.
(3)如果该用户密码没有过期,且老化时间与过期时间的间隔不在提醒时间范围内,该用户正常登录.
用户修改密码成功后,将当前密码保存到flash文件中.
对super命令的密码作类似处理,但对super密码没有提醒功能,只有在使用时通知其是否过期.
对于ftp用户,同样没有提醒功能,并且只通知用户密码错误,不能进行密码修改,需要通过管理员进行修改.
表6-2配置系统密码的老化时间配置步骤命令说明进入系统视图system-view-配置系统密码参数password-controlagingaging-time密码老化时间的范围为1~365天,缺省情况下,密码老化时间是90天该命令也可以在本地用户视图下配置该老化时间的配置命令分别在系统视图和用户视图下,系统视图下配置全局参数,用户视图下配置该用户的参数,用户参数与系统参数冲突时,使用该用户视图参数.
H3CS9500系列路由交换机操作手册入门第6章密码管理特性配置操作6-52.
配置提醒用户密码过期的时间在用户密码即将过期前的设定时间内,系统会自动发出提示,输出提示如:Yourpasswordwillexpirein2days,Willyouchangeit[Y/N],提醒用户密码还有几天过期,并且询问用户是否修改密码.
表6-3配置提醒用户密码过期的时间配置步骤命令说明进入系统视图system-view-配置提醒用户密码过期的时间password-controlalert-before-expirealert-time提醒用户密码过期时间的范围为1~30天,缺省情况下,提醒用户密码过期的时间是7天3.
配置系统密码长度的最小值在用户配置密码的时候,密码长度有最小值的限制,系统获取用户输入的密码,进行密码长度的检验,发现用户输入的密码长度不符合系统要求,给出用户提示,通知用户密码长度不符合要求,要求重新输入用户密码.
如果输入的密码长度小于配置的最小长度,系统将不允许配置该密码,并显示出错信息"Passwordistooshort.
Pleaseenterminimumlengthpassword.
"提醒用户重新输入密码.
对super命令的密码同样处理.
表6-4配置系统密码长度的最小值配置步骤命令说明进入系统视图system-view-配置系统密码长度的最小值password-controllengthlength系统密码长度的最小值的取值范围是4~32个字符串,缺省情况下为10个字符该命令也可以在本地用户视图下配置密码最小长度的配置可以有全局配置命令和用户视图下配置某个用户的密码最小长度两种情况.
同老化参数一样,两种参数一样时,按用户视图下的参数为准.
4.
配置输入密码时的尝试次数及尝试失败后的处理方式系统对用户进行密码尝试次数有所限制,当当用户输入错误密码达到配置次数时,系统将有三种选择:z将该用户加入黑名单禁止一段时间,即将用户名+IP地址、被禁止的时间存放到黑名单中,每次用户登录,则在黑名单中进行查找,如果用户名+IP地址在黑名单中,则直接将该用户拒绝而不允许该用户进行密码验证.
规定时间到达H3CS9500系列路由交换机操作手册入门第6章密码管理特性配置操作6-6之后,将该用户从黑名单中删除,重新激活该用户.
该禁止时间由系统管理员指定,范围为3~360分钟,缺省情况下,该禁止时间是120分钟.
z将该用户永久禁止,只有系统管理员手动将该用户从黑名单中删除、将该用户激活,才能重新登录,黑名单的最大条数为1024.
z不对用户做禁止,允许其继续登录.
系统管理员手动删除黑名单中的被禁止用户后,这些用户将被解除禁止,在尝试密码正确后可以重新登录到交换机.
表6-5配置输入密码时的尝试次数及尝试失败后的处理方式配置步骤命令说明进入系统视图system-view-配置输入密码时的尝试次数password-controllogin-attemptlogin-times输入密码时的尝试次数的范围2~10次,缺省情况下为3次配置输入系统密码尝试失败后的处理方式password-controllogin-attemptattempt-timeexceed{lock|unlock|locktimetime}缺省情况下,系统将该用户禁止一段时间后再允许其登录查看被加入黑名单中的用户信息displaypassword-controlblacklistdisplay命令可以在任意视图下执行删除黑名单中的用户信息resetpassword-controlblacklist[usernameusername]不带参数username时,表示删除黑名单中所有用户带参数username时,表示删除黑名单中的指定用户5.
配置用户历史密码个数的最大历史记录当登录系统的密码过期之后,系统会要求用户输入新的密码,并且系统自动保存该密码.
用户可以配置系统允许的每个用户密码的最大历史记录个数,目的是让用户不要使用单一或者重复的密码,加强安全性.
表6-6配置用户历史密码个数的最大记录配置步骤命令说明进入系统视图system-view-配置用户历史密码个数的最大记录password-controlhistorymax-record-num用户历史密码个数的最大记录的取值范围是2~10,缺省值为4H3CS9500系列路由交换机操作手册入门第6章密码管理特性配置操作6-7注意:z当记录的历史密码个数超过系统配置的最大历史记录个数时,新的历史密码记录将替代该用户最老的一条历史密码记录.
z当进行历史密码个数配置时,查到某个用户的历史密码记录大于该配置值,则系统给出提示,允许用户进行配置.
z用户修改密码时,不能和记录的历史密码重复.
否则系统会输出提示信息:Thesystemfailedtoassignpassword.
Ithasbeenusedpreviously.
用户应当重新进行密码配置,否则修改密码不会生效.
6.
配置用户密码认证超时时间认证过程的时间是从服务器获得用户名到该用户的密码验证结束的时间间隔.
如果在该规定的时间间隔内没有完成密码验证,则认证失败,断开用户连接,并且记录日志信息.
如果没有超时,则用户正常登录.
表6-7配置用户密码认证超时时间配置步骤命令说明进入系统视图system-view-配置用户密码认证超时时间password-controlauthentication-timeoutauthentication-timeout用户密码认证超时时间的取值范围是30~120秒,缺省值为60秒6.
2.
3系统日志记录功能可以自动对以下事件进行日志记录:z用户登录成功,记录该用户的用户名、用户IP、VTY号z用户因ACL规则禁止,记录用户IPz用户认证失败,记录用户名、用户IP、VTY号、失败原因.
用户名密码过期,用户密码修改时,记录用户密码修改事件,管理员可以根据这些日志信息查询用户的登录情况.
6.
2.
4密码管理配置举例1.
组网需求一台PC同一台S9500交换机相连.
用户可采用缺省配置,也可以根据各自实际要求自行配置密码参数.
H3CS9500系列路由交换机操作手册入门第6章密码管理特性配置操作6-82.
组网图consolePCSwitchconsolePCSwitchconsolePCSwitchPCLSWconsolePCSwitchconsolePCSwitchconsolePCSwitchPCLSW图6-1密码管理配置示意图3.
配置步骤#配置系统登录密码system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]local-usertest[H3C-luser-test]passwordPassword:confirm:#更改系统登录密码为0123456789[H3C-luser-test]passwordPassword:ConfirmUpdatingpassword-file,pleasewaiting.
.
.
#启动密码老化功能.
[H3C]password-controlagingenablePasswordagingenabledforallusers.
Default:90days.
#启动限制密码最小长度功能.
[H3C]password-controllengthenablePasswordminimumlengthenabledforallusers.
Default:10characters.
#启动密码历史记录功能.
[H3C]password-controlhistoryenablePasswordhistoryenabledforallusers.
#指定super命令的老化时间为10天.
[H3C]password-controlsuperaging10#显示所有用户的密码管理的信息[H3C]displaypassword-controlGlobalpasswordsettingsforallusers:Passwordaging:Enabled(90days)Passwordlength:Enabled(10Characters)H3CS9500系列路由交换机操作手册入门第6章密码管理特性配置操作6-9Passwordhistory:Enabled(Maxhistoryrecords:4)Passwordalert-before-expire:7daysPasswordauthentication-timeout:60secondsPasswordattempttimes:3timesPasswordattempt-failedaction:Lockfor120minutes#显示密码尝试失败后,被加入黑名单中的用户以及IP地址.
[H3C]displaypassword-controlblacklistUSERNAMEIPThenumberofusersinblacklistis:0#删除用户的历史密码记录resetpassword-controlhistory-recordAreyousuretodeleteallthehistoryrecord[Y/N]当用户输入"Y",系统删除所有用户密码,并且给出提示:Updatingthepasswordfile,pleasewait.
.
.
Allhistoricalpasswordshavebeencleared.