设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
activation-key命令用来配置启动终端会话的快捷键。
按键启动终端会话。
用户线视图/用户线类视图
key-string:定义启动终端会话的快捷键,可以是区分大小写的单个字符,也可以是单个字符或组合键对应的ACSII码(0~127)。比如设置activation-key65,此时生效快捷键为A;如果设置activation-keya,生效的快捷键为a。
如果使用activation-key命令设置了别的快捷键,则新的快捷键将代替键来启动终端会话,新设置的快捷键可以使用display current-configuration | include activation-key命令查看。
如果用户线视图下配置activation-key为缺省值,并且此时用户线类视图下配置了activation-key,那么用户线视图下的生效配置值为用户线类视图下的配置;如果用户线类视图下未配置,则生效的为缺省值。
VTY用户线视图/VTY用户线类视图不支持该命令。
#指定启动Console口终端会话的快捷键为。
[Sysname] line aux 0
[Sysname-line-aux0] activation-key s
quit
· 重新使用Console口登录设备,能看到如下显示信息。
· 此时,键失效,需要按键才能出现用户视图提示符,启动Console口终端会话。
authentication-mode命令用来设置用户使用当前用户线登录设备时的认证方式。
FIPS模式下:
非FIPS模式下:使用VTY用户线登录的用户的认证方式为password,使用AUX用户线登录的用户不需要认证。
FIPS模式下:登录设备时的认证方式为scheme。
用户线视图/用户线类视图
none:指定不进行认证。
password:指定进行密码认证方式。
scheme:指定进行AAA认证方式。AAA的相关内容请参见“安全配置指导”中的“AAA”。
当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。
#设置用户使用VTY 0用户线登录设备时,不需要认证。
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode none
#设置用户使用VTY 0用户线登录设备时,需要密码认证,认证密码为321。
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode password
[Sysname-line-vty0] set authentication password simple 321
#设置用户使用VTY 0用户线,采用Telnet方式登录设备时采用本地AAA认证,用户名为123,认证密码为321,用户角色为network-admin。
[Sysname] line vty 0
[Sysname-line-vty0] authentication-mode scheme
[Sysname-line-vty0] quit
[Sysname] local-user 123
[Sysname-luser-manage-123] password simple 321
[Sysname-luser-manage-123] service-type telnet
[Sysname-luser-manage-123] authorization-attribute user-role network-admin
1.1.3 auto-execute command
用户线视图/用户线类视图
command:需要自动执行的某条命令。
该命令通常的用法是:配置auto-execute command telnet X.X.X.X,使用户通过该用户线登录设备时能自动连接到指定的主机。用户断开与指定主机的连接后,用户与该设备的连接才会自动断开。
· AUX用户线视图/AUX用户线类视图不支持该命令。
· 在配置auto-execute command命令之前,请确保可以通过其它用户线(比如AUX用户线)登录系统,以便出现问题后,能删除该配置。
· 执行auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用。
· 如果用户线视图下配置auto-execute command为缺省值,并且此时用户线类视图下配置了auto-execute command,那么用户线视图下的生效配置值为用户线类视图下的配置;如果用户线类视图下未配置,则生效的为缺省值。
#配置用户从VTY0登录本设备(IP地址为192.168.1.40)后,自动Telnet到IP地址为192.168.1.41的设备。
[Sysname] line vty 0
[Sysname-line-vty0] auto-execute command telnet 192.168.1.41
% This action will lead to configuration failure through line-vty0. Are you sure?
[Y/N]:y
[Sysname-line-vty0]
重新Telnet登录到本设备,设备会自动执行telnet 192.168.1.41命令,在Telnet客户端会看到以下显示信息。
******************************************************************************
* Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent,
*
* no decompiling or reverse-engineering shall be allowed.
*
******************************************************************************
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
******************************************************************************
* Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed.
*
******************************************************************************
此时相当于用户直接登录了192.168.1.41设备。如果用户断开与192.168.1.41的Telnet连接,用户与192.168.1.40设备的Telnet连接也会同时自动断开。
用户线视图/用户线类视图
使能命令行计费功能后,如果没有配置命令行授权功能,则当前用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。
如果在用户线类视图下使用command accounting命令使能了命令行计费功能,则该类型用户线视图都使能命令行计费功能,且用户线视图下无法使用undo command accounting恢复缺省情况。
#设置用户使用VTY 0用户线登录设备时,执行的命令需要在HWTACACS服务器上做记录。
[Sysname] line vty 0
[Sysname-line-vty0] command accounting
用户线视图/用户线类视图
如果在用户线类视图下使用command authorization命令使能了命令行授权功能,则该类型用户线视图都使能命令行授权功能,且用户线视图下无法使用undo command authorization恢复缺省情况。
#设置用户使用VTY 0用户线登录设备时,需要服务器授权才能执行命令。
[Sysname] line vty 0
[Sysname-line-vty0] command authorization
databits命令用来设置数据位的个数。
undo databits命令用来恢复缺省的数据位。
5:数据位为5位,即使用5比特来表示一个字符。
6:数据位为6位,即使用6比特来表示一个字符。
7:数据位为7位,即使用7比特来表示一个字符。
8:数据位为8位,即使用8比特来表示一个字符。
VTY用户线类视图不支持该命令。
#设置数据位为5位。
[Sysname] line aux 0
[Sysname-line-aux0] databits 5
display ip http命令用来显示HTTP的状态信息。
#显示HTTP的状态信息。
HTTP port: 80
Basic ACL: 2222
HTTP status: Enabled
与HTTP服务关联的基本访问控制列表号,Not configured表示没有配置
HTTP服务是否开启:
Enabled:表示HTTP服务处于开启状态
Disabled:表示HTTP服务处于关闭状态
display ip https命令用来显示HTTPS的状态信息。
#显示HTTPS的状态信息。
HTTPS port: 443
SSL server policy: test
Certificate access control policy: Not configured
Basic ACL: 2222
HTTPS status: Enabled
与HTTPS服务关联的SSL服务器端策略,Not configured表示没有配置
与HTTPS服务关联的基本访问控制列表号,Not configured表示没有配置
HTTPS服务是否开启:
Enabled:表示HTTPS服务处于开启状态
Disabled:表示HTTPS服务处于关闭状态
display line命令用来显示用户线的相关信息。
number1:用户线的编号(绝对编号方式),取值范围为0~73。
aux:AUX用户线。
vty:VTY用户线。
number2:用户线的编号(相对编号方式),对于AUX用户线,取值范围为0~9;对于VTY用户线,取值范围为0~63。
summary:显示用户线的摘要信息。不使用该参数时,将显示用户线类型、绝对/相对编号、传输速率、Modem属性、认证方式及接入接口;使用该参数时,将显示正在使用和未使用的用户线数目和类型。
#显示用户线0的相关信息。
Idx Type Tx/Rx Modem Auth Int
0 AUX 0 9600
- N -
+ : Line is active.
F : Line is active and in async mode.
Idx : Absolute index of line.
Type : Type and relative index of line.
Auth : Login authentication mode.
Int : Physical port of the line.
A : Authentication use AAA.
N : No authentication is required.
P : Password authentication.
#显示所有用户线的摘要信息。
Line type : [AUX]
0:UXXX XXXX XX
Line type : [VTY]
10:UUXX XXXX XXXX XXXX
26:XXXX XXXX XXXX XXXX
42:XXXX XXXX XXXX XXXX
58:XXXX XXXX XXXX XXXX
3 lines used. (U)
71 lines not us