CLI登录用户的访问行为需要由用户线管理、限制,即网络管理员可以给每个用户线配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等。当用户通过CLI登录到设备的时候,系统会给用户分配一个用户线,登录用户将受到该用户线下配置参数的约束。
1. 用户线类型
设备提供如下类型的用户线:
·Console用户线:用来管理和监控通过Console口登录的用户。
·VTY(Virtual Type Terminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户。
2. 用户线编号
用户线的编号有绝对编号方式和相对编号方式。
·绝对编号方式
使用绝对编号方式,可以唯一的指定一个用户线。绝对编号从0开始自动编号,每次增长1,先给所有Console用户线编号,然后是所有VTY用户线。使用display line(不带参数)可查看到设备当前支持的用户线以及它们的绝对编号。
·相对编号方式
相对编号是每种类型用户线的内部编号,表现形式为“用户线类型 编号”。用户线的编号从0开始以1为单位递增。
3. 用户线分配
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束。用户与用户线并没有固定的对应关系:
·同一用户登录的方式不同,分配的用户线不同。比如用户A使用Console口登录设备时,将受到Console用户线视图下配置的约束;当使用Telnet登录设备时,将受到VTY用户线视图下配置的约束。
·同一用户登录的时间不同,分配的用户线可能不同。比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY 1。当该用户下次再Telnet登录时,设备可能已经把VTY 1分配给其他Telnet用户了,只能为该用户分配其他的用户线。
如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备。
在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性。设备支持配置如下认证方式:
·认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患。
·认证方式为password:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。
·认证方式为scheme:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。配置认证方式为scheme后,请妥善保存用户名及密码。
认证方式不同,配置不同,具体配置如表4-1所示。
认证方式
认证所需配置
none
设置登录用户的认证方式为不认证
password
设置登录用户的认证方式为password认证
设置密码认证的密码
scheme
设置登录用户的认证方式为scheme认证
在ISP域视图下为login用户配置认证方法
用户角色中定义了允许用户配置的系统功能以及资源对象,即用户登录后执行的命令。
·对于none和password认证方式,登录用户的角色由用户线下的用户角色配置决定。
·对于scheme认证方式,且用户通过SSH的publickey或password-publickey方式登录设备时,登录用户将被授予同名的设备管理类本地用户视图下配置的授权用户角色。
·对于scheme认证方式,非SSH登录以及用户通过SSH的password方式登录设备时,登录用户使用AAA认证用户的角色配置。尤其对于远程AAA认证用户,如果AAA服务器没有下发用户角色且缺省用户角色授权功能处于关闭状态时,用户将不能登录设备。
4.2 CLI登录配置限制和指导
通过CLI登录设备时,有以下限制和指导:
·用户线视图下的配置优先于用户线类视图下的配置。
·当用户线或用户线类视图下的属性配置为缺省值时,将优先采用配置为非缺省值的视图下的配置。
·用户线视图下的配置只对该用户线生效。
·用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
4.3 配置通过Console口登录设备
通过Console口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护。具体登录步骤,请参见
缺省情况下,通过Console口登录时认证方式为none,可直接登录。登录成功之后用户角色为network-admin。
首次登录后,建议修改认证方式以及其他参数来增强设备的安全性。
改变Console口登录的认证方式后,新认证方式对新登录的用户生效。
通过Console口登录设备配置任务如下:
4.3.4 配置通过Console口登录设备的认证方式
1. 配置通过Console口登录设备时无需认证(none)
(1)进入系统视图。
system-view
(2)进入Console用户线或Console用户线类视图。
¡进入Console用户线视图。
line console first-number [ last-number]
¡进入Console用户线类视图。
line class console
(3)设置登录用户的认证方式为不认证。
authentication-mode none
缺省情况下,用户通过Console口登录,认证方式为none。
(4)配置从当前用户线登录设备的用户角色。
user-role role-name
缺省情况下,通过Console口登录设备的用户角色为network-admin。
2. 配置通过Console口登录设备时采用密码认证(password)
(1)进入系统视图。
system-view
(2)进入Console用户线或Console用户线类视图。
¡进入Console用户线视图。
line console first-number [ last-number]
¡进入Console用户线类视图。
line class console