vty  用户视图下

 基本/高级ACL支持:

acl [ ipv6 ] acl-number{ inbound | outbound }

undo acl [ ipv6 ] acl-number { inbound | outbound }

 

Ipv6:支持IPv6协议,不带该参数表示支持IPv4协议。

acl-number:访问控制列表号,取值范围如下:

l              20002999:基本ACL编号;

l              30003999:高级ACL编号;

l              40004999:二层ACL编号。

 

inbound:表示对使用该用户界面建立的Telnet或者SSH连接进行限制,当设备收到的Telnet或者SSH连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet serverSSH server时,通常使用该参数对Telnet clientSSH client进行限制。

outbound:表示对使用该用户界面建立的Telnet连接进行限制,当设备发送的Telnet连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet client时,通常使用该参数对可以访问的Telnet server进行

 

如果VTY用户界面下没有配置ACL,则使用该用户界面建立Telnet或者SSH连接时不进行限制;

      l 如果VTY用户界面下配置了ACL,则只有匹配上permit规则的允许建立连接。

需要注意的是,系统将带inbound参数的基本/高级ACL、带outbound参数的基本/高级ACL、二层ACL看成是不同类型的ACL,在同一个VTY用户界面下,不同类型的ACL可以共存,如果同时配置了不同类型的ACL,则匹配的顺序由先到后为基本/高级ACL、二层ACL;相同类型的ACL只能配置一条,以最新的配置为准

 

 当使用Telnet或者SSH方式访问设备时,只允许IP地址为192.168.1.26的用户访问,不允许其它IP地址的用户使用该界面进行访问。

system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 192.168.1.26 0

[Sysname-acl-basic-2001] quit

[Sysname] user-interface vty 0

[Sysname-ui-vty0] acl 2001 inbound

UserAIP地址为192.168.1.26Telnet到设备时,可以连接成功;当UserBIP地址为192.168.1.60Telnet到设备时,连接建立失败,系统提示“%connection closed by remote host!”。

仅允许设备使用Telnet方式访问IP地址为192.168.1.41Telnet server,不允许访问其它Telnet server

system-view

[Sysname] acl number 3001

[Sysname-acl-adv-3001] rule permit tcp destination 192.168.1.41 0

[Sysname-acl-adv-3001] quit

[Sysname] user-interface vty 0 15

[Sysname-ui-vty0-15] acl 3001 outbound

[Sysname-ui-vty0-15] return

此时执行telnet 192.168.1.46,连接建立失败:

telnet 192.168.1.46

%Can't access the host from this terminal!

如果执行telnet 192.168.1.41,连接建立成功:

telnet 192.168.1.41

Trying 192.168.1.41 ...

Press CTRL+K to abort

Connected to 192.168.1.41 ...

activation-key命令用来配置启动终端会话的快捷键。undo activation-key命令用来恢复缺省情况。缺省情况下,按键启动终端会话。

如果使用activation-key命令设置了别的快捷键,则新的快捷键将代替键来启动终端会话,新设置的快捷键可以使用display current-configuration | include activation-key命令查看。

 

display ip https命令用来显示HTTPS的状态信息。

 

display ip http命令用来显示HTTP的状态信息

 

flow-control hardware | none software }进行硬件方式的流控||不进行流控||进行软件流控

undo flow-control不进行流控

 

flow-control命令用来配置流量控制方式。undo flow-control命令用来恢复缺省情况。

缺省情况下,流量控制方式为none,即不进行流量控制。

流量控制分为入方向和出方向,入方向表示本设备能够接受远端设备流控,出方向表示本设备能够流控远端设备。配置该命令后,指定的流控方式对入方向和出方向都生效。

要使流量控制生效,双方才能正常通信,对端设备也要配置相同的流量控制方式。

idle-timeout命令用来设置用户连接的超时时间。undo idle-timeout命令用来恢复超时时间的缺省值。缺省情况下,超时时间为10分钟。

 

 

 

 

 

Ip http acl命令用来配置HTTP服务与ACL关联。undo ip http acl命令用来取消HTTP服务与ACL的关联。

缺省情况下,没有ACLHTTP服务关联。

配置HTTP服务与ACL关联后,将只允许通过ACL过滤的客户端访问设备。

相关配置可参考命令display ip http和“ACLQoS命令参考/ACL”中的命令acl

acl-numberACL的编号,取值范围为:20002999

 

配置HTTP服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。

system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255

[Sysname-acl-basic-2001] quit

[Sysname] ip http acl 2001

 

ip http enable命令用来使能HTTP服务。undo ip http enable命令用来关闭HTTP服务。

只有使能该功能后,设备才能作为HTTP服务器,允许用户通过Web功能访问和控制设备。

缺省情况下,HTTP服务处于开启状态。

相关配置可参考命令display ip http

Ip http port命令用来配置HTTP服务的端口号。undo ip http port命令用来恢复缺省情况。

缺省情况下,HTTP服务的端口号为80

需要注意的是,此命令不会检查配置的端口是否与已有服务使用的端口冲突,修改前必须保证该端口没有被其他服务使用。

相关配置命令display  ip  http

 

配置HTTP服务的端口号为8080

system-view

[Sysname] ip http port 8080

 

ip https acl 命令用来配置HTTPS服务与ACL关联。undo ip https acl命令用来取消HTTPS服务与ACL的关联。缺省情况下,没有ACLHTTPS服务关联。配置HTTPS服务与ACL关联后,将只允许通过ACL过滤的客户端访问设备。acl-numberACL的编号,取值范围为:20002999

相关配置可参考命令display ip https和“ACLQoS命令参考/ACL”中的命令acl

 

配置HTTPS服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。

system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255

[Sysname-acl-basic-2001] quit

[Sysname] ip https acl 2001

 

# 配置HTTPS服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备

ip https certificate access-control-policy命令用来配置HTTPS服务与证书属性访问控制策略关联。undo ip https certificate access-control-policy命令用来取消HTTPS服务与证书属性访问控制策略的关联。

缺省情况下,没有证书属性访问控制策略与HTTPS服务关联。

通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制。

相关配置可参考命令display ip https和“安全命令参考/PKI”中的命令pki certificate access-control-policy

 

设置HTTPS服务使用的证书属性访问控制策略为myacl

system-view

[Sysname] ip https certificate access-control-policy myacl

 

ip https enable命令用来使能HTTPS服务。undo ip https enable命令用来关闭HTTPS服务。

缺省情况下,HTTPS服务处于关闭状态。

只有使能该功能后,设备才能作为HTTPS服务器,允许用户通过Web功能访问和控制设备。

需要注意的是,使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。

相关配置可参考命令display ip https

 

使能HTTPS服务。

system-view

[Sysname] ip https enable

 

 

 

 

 

 

 

 

 

 

 

 

 

 

protocol inbound命令用来指定所在用户界面支持的协议。undo protocol inbound命令用来恢复缺省情况。

缺省情况下,系统支持所有协议。

配置结果将在下次登录时生效。如果要配置用户界面支持SSH协议,必须先将该用户的认证方式配置为scheme,否则protocol inbound ssh命令会执行失败。相关配置可参考命令authentication-mode      Telnet协议的缺省认证方式是password

all:支持所有的协议,包括TelnetSSH

ssh:支持SSH协议。

telnet:支持Telnet协议

 设置用户界面VTY 0VTY 4只支持SSH协议。

system-view

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] authentication-mode scheme

[Sysname-ui-vty0-4] protocol inbound ssh

 

send  参数all:所有的用户界面。

    auxAUX用户界面。

     vtyVTY用户界面。

num1:用户界面的编号(绝对编号方式),取值范围请以设备的实际情况为准,一般从0开始。

num2:用户界面的编号(相对编号方式),当类型为AUX时,取值范围请以设备的实际情况为准;当类型为VTY时,取值范围为015

send aux 0

Enter message, end with CTRL+Z or Enter; abort with CTRL+C:

hello abc^Z

Send message? [Y/N]:y

使用VTY 0用户界面上线的用户想重启设备,为了提醒其它并行操作用户做好相应准备(比如保存当前配置),于是向其它用户界面发送消息“Note please, I will reboot the system!”。

VTY 0终端上的配置。

display users

send vty 1

Enter message, end with CTRL+Z or Enter; abort with CTRL+C:

Note please, I will reboot the system in 3 minutes!^Z

Send message? [Y/N]:y

 

speed-value:传输速率,单位为bps。异步串口的传输速率有:300bps600bps1200bps2400bps4800bps9600bps19200bps38400bps57600bps115200bps。设备对以上速率的支持由产品和配置时的网络环境决定。

 

speed命令用来设置用户界面的传输速率。undo speed命令用来恢复缺省情况。缺省情况下,用户界面的传输速率为9600bps

本命令只对异步串口(Console口)有效。

l          访问终端和设备相应用户界面下传输速率的设置必须一致,双方才能正常通信将用户界面AUX 0的传输速率设置为19200bps

system-view

[Sysname] user-interface aux 0

[Sysname-ui-aux0] speed 19200