vty 用户视图下
基本/高级ACL支持:
acl [ ipv6 ] acl-number{ inbound | outbound }
undo acl [ ipv6 ] acl-number { inbound | outbound }
Ipv6:支持IPv6协议,不带该参数表示支持IPv4协议。
acl-number:访问控制列表号,取值范围如下:
l 2000~2999:基本ACL编号;
l 3000~3999:高级ACL编号;
l 4000~4999:二层ACL编号。
inbound:表示对使用该用户界面建立的Telnet或者SSH连接进行限制,当设备收到的Telnet或者SSH连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet server或SSH server时,通常使用该参数对Telnet client或SSH client进行限制。
outbound:表示对使用该用户界面建立的Telnet连接进行限制,当设备发送的Telnet连接报文符合ACL规则时,才允许建立连接。当设备作为Telnet client时,通常使用该参数对可以访问的Telnet server进行
如果VTY用户界面下没有配置ACL,则使用该用户界面建立Telnet或者SSH连接时不进行限制;
l 如果VTY用户界面下配置了ACL,则只有匹配上permit规则的允许建立连接。
需要注意的是,系统将带inbound参数的基本/高级ACL、带outbound参数的基本/高级ACL、二层ACL看成是不同类型的ACL,在同一个VTY用户界面下,不同类型的ACL可以共存,如果同时配置了不同类型的ACL,则匹配的顺序由先到后为基本/高级ACL、二层ACL;相同类型的ACL只能配置一条,以最新的配置为准
当使用Telnet或者SSH方式访问设备时,只允许IP地址为192.168.1.26的用户访问,不允许其它IP地址的用户使用该界面进行访问。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 192.168.1.26 0
[Sysname-acl-basic-2001] quit
[Sysname] user-interface vty 0
[Sysname-ui-vty0] acl 2001 inbound
当UserA(IP地址为192.168.1.26)Telnet到设备时,可以连接成功;当UserB(IP地址为192.168.1.60)Telnet到设备时,连接建立失败,系统提示“%connection closed by remote host!”。
# 仅允许设备使用Telnet方式访问IP地址为192.168.1.41的Telnet server,不允许访问其它Telnet server。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit tcp destination 192.168.1.41 0
[Sysname-acl-adv-3001] quit
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] acl 3001 outbound
[Sysname-ui-vty0-15] return
<Sysname>
此时执行telnet 192.168.1.46,连接建立失败:
<Sysname> telnet 192.168.1.46
%Can't access the host from this terminal!
如果执行telnet 192.168.1.41,连接建立成功:
<Sysname> telnet 192.168.1.41
Trying 192.168.1.41 ...
Press CTRL+K to abort
Connected to 192.168.1.41 ...
activation-key命令用来配置启动终端会话的快捷键。undo activation-key命令用来恢复缺省情况。缺省情况下,按<Enter>键启动终端会话。
如果使用activation-key命令设置了别的快捷键,则新的快捷键将代替<Enter>键来启动终端会话,新设置的快捷键可以使用display current-configuration | include activation-key命令查看。
display ip https命令用来显示HTTPS的状态信息。
display ip http命令用来显示HTTP的状态信息
flow-control { hardware | none | software }进行硬件方式的流控||不进行流控||进行软件流控
undo flow-control不进行流控
flow-control命令用来配置流量控制方式。undo flow-control命令用来恢复缺省情况。
缺省情况下,流量控制方式为none,即不进行流量控制。
流量控制分为入方向和出方向,入方向表示本设备能够接受远端设备流控,出方向表示本设备能够流控远端设备。配置该命令后,指定的流控方式对入方向和出方向都生效。
要使流量控制生效,双方才能正常通信,对端设备也要配置相同的流量控制方式。
idle-timeout命令用来设置用户连接的超时时间。undo idle-timeout命令用来恢复超时时间的缺省值。缺省情况下,超时时间为10分钟。
Ip http acl命令用来配置HTTP服务与ACL关联。undo ip http acl命令用来取消HTTP服务与ACL的关联。
缺省情况下,没有ACL与HTTP服务关联。
配置HTTP服务与ACL关联后,将只允许通过ACL过滤的客户端访问设备。
相关配置可参考命令display ip http和“ACL和QoS命令参考/ACL”中的命令acl
acl-number:ACL的编号,取值范围为:2000~2999。
# 配置HTTP服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-basic-2001] quit
[Sysname] ip http acl 2001
ip http enable命令用来使能HTTP服务。undo ip http enable命令用来关闭HTTP服务。
只有使能该功能后,设备才能作为HTTP服务器,允许用户通过Web功能访问和控制设备。
缺省情况下,HTTP服务处于开启状态。
相关配置可参考命令display ip http。
Ip http port命令用来配置HTTP服务的端口号。undo ip http port命令用来恢复缺省情况。
缺省情况下,HTTP服务的端口号为80。
需要注意的是,此命令不会检查配置的端口是否与已有服务使用的端口冲突,修改前必须保证该端口没有被其他服务使用。
相关配置命令display ip http
# 配置HTTP服务的端口号为8080。
<Sysname> system-view
[Sysname] ip http port 8080
ip https acl 命令用来配置HTTPS服务与ACL关联。undo ip https acl命令用来取消HTTPS服务与ACL的关联。缺省情况下,没有ACL与HTTPS服务关联。配置HTTPS服务与ACL关联后,将只允许通过ACL过滤的客户端访问设备。acl-number:ACL的编号,取值范围为:2000~2999
相关配置可参考命令display ip https和“ACL和QoS命令参考/ACL”中的命令acl。
# 配置HTTPS服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-basic-2001] quit
[Sysname] ip https acl 2001
# 配置HTTPS服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端通过Web访问设备。
ip https certificate access-control-policy命令用来配置HTTPS服务与证书属性访问控制策略关联。undo ip https certificate access-control-policy命令用来取消HTTPS服务与证书属性访问控制策略的关联。
缺省情况下,没有证书属性访问控制策略与HTTPS服务关联。
通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制。
相关配置可参考命令display ip https和“安全命令参考/PKI”中的命令pki certificate access-control-policy。
# 设置HTTPS服务使用的证书属性访问控制策略为myacl。
<Sysname> system-view
[Sysname] ip https certificate access-control-policy myacl
ip https enable命令用来使能HTTPS服务。undo ip https enable命令用来关闭HTTPS服务。
缺省情况下,HTTPS服务处于关闭状态。
只有使能该功能后,设备才能作为HTTPS服务器,允许用户通过Web功能访问和控制设备。
需要注意的是,使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。
相关配置可参考命令display ip https
# 使能HTTPS服务。
<Sysname> system-view
[Sysname] ip https enable
protocol inbound命令用来指定所在用户界面支持的协议。undo protocol inbound命令用来恢复缺省情况。
缺省情况下,系统支持所有协议。
配置结果将在下次登录时生效。如果要配置用户界面支持SSH协议,必须先将该用户的认证方式配置为scheme,否则protocol inbound ssh命令会执行失败。相关配置可参考命令authentication-mode。 Telnet协议的缺省认证方式是password。
all:支持所有的协议,包括Telnet、SSH。
ssh:支持SSH协议。
telnet:支持Telnet协议
设置用户界面VTY 0到VTY 4只支持SSH协议。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
[Sysname-ui-vty0-4] protocol inbound ssh
send 参数all:所有的用户界面。
aux:AUX用户界面。
vty:VTY用户界面。
num1:用户界面的编号(绝对编号方式),取值范围请以设备的实际情况为准,一般从0开始。
num2:用户界面的编号(相对编号方式),当类型为AUX时,取值范围请以设备的实际情况为准;当类型为VTY时,取值范围为0~15。
<Sysname> send aux 0
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
hello abc^Z
Send message? [Y/N]:y
<Sysname># 使用VTY 0用户界面上线的用户想重启设备,为了提醒其它并行操作用户做好相应准备(比如保存当前配置),于是向其它用户界面发送消息“Note please, I will reboot the system!”。
VTY 0终端上的配置。
<Sysname> display users
<Sysname> send vty 1
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
Note please, I will reboot the system in 3 minutes!^Z
Send message? [Y/N]:y
speed-value:传输速率,单位为bps。异步串口的传输速率有:300bps、600bps、1200bps、2400bps、4800bps、9600bps、19200bps、38400bps、57600bps和115200bps。设备对以上速率的支持由产品和配置时的网络环境决定。
speed命令用来设置用户界面的传输速率。undo speed命令用来恢复缺省情况。缺省情况下,用户界面的传输速率为9600bps。
本命令只对异步串口(Console口)有效。
l 访问终端和设备相应用户界面下传输速率的设置必须一致,双方才能正常通信# 将用户界面AUX 0的传输速率设置为19200bps。
<Sysname> system-view
[Sysname] user-interface aux 0
[Sysname-ui-aux0] speed 19200