华为基本命令.docx

华为基本命令.docx

《华为基本命令.docx》由会员分享，可在线阅读，更多相关《华为基本命令.docx（17页珍藏版）》请在冰豆网上搜索。

华为基本命令

第一章用户界面配置

注意：

{x|y|...}表示从两个或多个选项中选取一个。

[x|y|...]表示从两个或多个选项中选取一个或者不选。

{x|y|...}*表示从两个或多个选项中选取多个，最少选取一个，最多选取所有选项。

[x|y|...]*表示从两个或多个选项中选取多个或者不选。

1、用户界面简介：

目前以太网交换机支持的配置方式有：

●通过Console口本地配置。

●通过以太网端口利用Telnet或SSH进行本地或远程登录配置。

●通过Console口利用Modem拨号进行远程配置。

●通过NMS（NetworkManagementStation，网管工作站）登陆。

与这些配置方式对应的是两种类型的用户界面：

⒈AUX用户界面：

AUX用户界面用于通过Console口对以太网交换机进行访问，每台以太网交换机只有一个。

⒉VTY用户界面：

VTY用户界面用于通过Telnet对以太网交换机进行访问，每台交换机最多可以有5个。

在Quidway系列以太网交换机中AUX口和Console口是同一个口所以与其对应的用户界面类型只有AUX口用户界面类型。

注意：

用户也可通过NMS登录到交换机上，通过交换机上的Agent模块对交换机进行管理和配置。

􀁺NMS：

网管工作站，

􀁺Agent：

网络设备（交换机）上运行的服务器端软件。

􀁺SNMP（SimpleNetworkManagementProtocol，简单网络管理协议）：

NMS和Agent间运行的协议。

用户界面的编号有两种方式：

绝对编号方式和相对编号方式：

（1）绝对编号方式：

AUX用户界面编号排在第一位，为“0”，VTY用户界面排在AUX用户界面之后，第一个VTY的绝对编号为“8”。

（2）相对编号方式：

AUX用户界面的编号为aux0，VTY用户界面的编号第一条为vty0第二条为vty1依此类推，VTY04就代表第一到第五条。

2.用户界面配置

用户界面的配置包括：

（系统视图提示符是【Quidway】,进入的命令是在用户视图下键入system-view）

进入用户界面视图，在系统视图下：

user-interface[type]first-number[last-number]

例如，进入AUX用户界面视图：

user-interfaceaux0

进入VTY用户界面视图：

user-interfacevty04

配置VTY用户界面支持的协议，在VTY用户界面视图下：

protocolinbound{all|ssh|telnet}

all：

支持所有的协议，包括Telnet和SSH。

ssh：

支持SSH协议。

telnet：

支持Telnet协议

缺省情况下系统对Telnet和SSH协议均支持.本命令只能在VTY用户视界面图下进行。

注意：

（1）如果配置VTY用户界面支持Telnet协议则由于用户登录时缺省需要进行口令认证故需要用户配置口令才能成功登录，如果没有配置口令而通过Telnet登录，则系统会提示“Loginpasswordhasnotbeenset!

”。

（2）如果配置用户界面支持SSH协议则为确保登录成功请您务必配置相应的认证方式为authentication-modescheme。

若配置认证方式为authentication-modepassword和authentication-modenone则protocolinboundssh配置结果将失败，反之亦然如果某用户界面已经配置成支持SSH协议，则在此用户界面上authentication-modepassword和authentication-modenone的配置将失败。

●配置AUX即Console口属性：

配置AUX（即Console）口的传输速率，在AUX用户界面视图：

speedspeed-value，恢复AUX（即Console）口的传输速率为缺省值:

undospeed，缺省情况下AUX即Console口支持的传输速率为9600bit/s。

至于流控方式、校验方式、停止位和数据位一般不用配置，默认值就行。

恢复默认值都是在前面加上undo。

●配置终端属性

1.启动/关闭终端服务

启动终端服务的命令：

在用户界面视图下用：

shell

关闭终端服务的命令：

在用户界面视图下用：

undoshell

缺省情况下在所有的用户界面上启动终端服务

注意：

（1）当关闭某用户界面的终端服务后，通过该用户界面将不能登录以太网交换机。

对于在关闭之前已经通过该用户界面登录的用户，仍然可以进行操作。

但当用户退出该用户界面后，将不能再次登录。

只有启动该用户界面的终端服务后，才能通过该用户界面登录以太网交换机。

（2）因为AUX（即Console）口本身就是配置口，为了安全起见，undoshell命令在AUX（即Console）口不支持，其它用户界面均支持。

（3）用户不能在自己登录的用户界面上使用本命令。

（4）在任何合法的用户界面上使用undoshell命令都需要经过用户的确认

2.设置用户界面的超时时间

设置用户界面的超时时间：

在用户界面视图下：

idle-timeoutminutes[seconds]，缺省情况下，所有的用户界面的超时时间为10分钟。

也就是说，如果10分钟内某用户界面没有用户进行操作，则该用户界面将自动断开。

idle-timeout0表示关闭用户界面的超时功能，undoidle-timeout命令用来恢复超时断开连接的缺省值。

3.设置锁住用户界面

该配置任务用来锁住当前用户界面，并提示用户输入密码。

防止当用户离开时，其它人对该用户界面进行操作。

设置锁住用户界面：

此命令是在用户视图下执行：

lock#可选命令

用户输入lock命令后，系统提示输入密码，并提示再次输入密码，只有两次输入的密码相同，锁定操作才能成功。

如果用户需要结束锁定，请按<回车>键，然后按照提示输入刚才配置的密码，密码正确则结束锁定，进入系统。

4.配置交换机的系统名

配置交换机的系统名：

在系统视图下执行：

sysnamestring#必选命令

5.配置用户登录时显示版权声明提示信息

在系统视图下执行：

copyright-infoenable，缺省情况下，用户登录时终端显示版权声明提示信息，可以用undocopyright-infoenable命令用来设置用户登录时终端不显示版权声明提示信息，需要注意的是，本命令对通过Console口和Telnet方式登录的用户均生效。

●用户管理

1.设置用户登陆验证方式，在用户界面视图下，（用户界面视图的提示符【Quidway-ui-vty0】，进入的命令是在系统视图下键入user-interfacevty0）

设置用户登陆验证方式，在用户界面视图下authensstication-mode{password|scheme|none}

缺省情况下，Console口用户登录不需要进行终端验证；而Telnet和Modem用户登录时需要进行口令验证，此时如果没有配置口令，则不能建立与交换机的连接。

。

（1）本地口令验证

步骤一：

设置登录用户的认证方式为本地口令认证，在用户界面视图下：

authentication-modepassword#必选

此时还需要配置本地验证口令，才能成功登录，否则将不能登录。

注意：

如果使用这个命令，则通过Console口登陆的用户默认可以访问的命令级别是3级，通过VTY登陆的用户默认可以访问的命令级别是0级，但已设置userprivilegelevellevel命令的，由这个级别决定。

步骤二：

配置本地验证的口令，在用户界面视图下执行：

setauthenticationpassword{cipher|simple}password#必选

cipher：

设置本地认证口令以密文方式存储。

simple：

设置本地认证口令以明文方式存储

取消本地验证的口令：

undosetauthenticationpassword#可选

步骤三：

配置登陆的用户默认可以访问的命令级别，在用户界面视图下执行：

userprivilegelevellevel#可选

步骤四：

配置VTY用户界面支持的协议，在VTY用户界面视图下执行：

protocolinbound{all|ssh|telnet}#可选

例：

设置用户从VTY0用户界面登录时需要进行口令验证且验证口令为huawei，用户界面支持telnet协议：

[Quidway]user-interfacevty0

[Quidway-ui-vty0]authentication-modepassword

[Quidway-ui-vty0]setauthenticationpasswordsimplehuawei

[Quidway-ui-vty0]protocolinboundtelnet#protocolinbound只在VTY用户界面用

（2）本地或远端用户名和口令验证

步骤一：

添加本地用户并进入本地用户视图

在系统视图下执行：

local-useruser-name#必选

删除本地用户，在系统视图下执行：

undolocal-useruser-name|all

步骤二：

设置本地用户认证口令:

（本地用户视图的提示符为【Quidway-luser-admin】，进入的命令是在系统视图下键入local-useradmin）

在本地用户视图下执行：

password{simple|cipher}password#必选

取消本地用户的认证口令：

undopassword

步骤三：

设置指定用户的服务类型和可以使用的命令级别，只有认证方式为scheme时才设置指定用户的服务类型。

在本地用户视图下执行：

service-type{ftp|lan-access|{telnet|ssh|terminal}*[levellevel]}#必选

缺省情况下，未设置用户登录类型，设置登录类型后指定用户登录可以访问的命令级别为0级。

需要注意的是，用户采用Scheme认证方式登录以太网交换机service-typeterminal|telnet[levellevel]命令中定义的用户级别决定。

ftp：

指定用户为FTP类型，telnet：

指定用户可以使用Telnet服务，terminal：

指定用户可以使用terminal服务（即从Console口登录），levellevel：

指定Telnet、terminal或者SSH用户的级别。

level为整数，取值范围0～3。

缺省为0。

步骤四：

配置登录用户的认证方式为需要进行本地用户名和口令验证：

在用户界面视图下执行：

authentication-modescheme#必选

步骤五：

配置VTY用户界面支持的协议，在VTY用户界面视图下执行：

Protocolinboundtelnet#可选

注意：

protocolinboundtelnet命令不能用在aux用户界面视图

例如：

设置本地用户的用户名为guest，设置本地用户的认证口令为明文方式，口令为123456，设置VTY用户的服务类型为Telnet且命令级别为2级

配置步骤：

#进入系统视图。

system-view

#创建本地用户guest，并进入本地用户视图，默认无本地用户

[Sysname]local-userguest

#设置本地用户的认证口令为明文方式，口令为123456。

[Sysname-luser-guest]passwordsimple123456

#设置VTY用户的服务类型为Telnet且命令级别为2级，如果是AUX口就是service-typeterminal

[Sysname-luser-guest]service-typetelnetlevel2

（3）设置登录用户的认证方式为不认证：

步骤一：

在用户界面视图下进行：

authentication-modenone#必选

缺省情况下，Console口用户登录不需要进行终端验证；而Telnet和Modem用户登录时需要进行口令验证

步骤二：

配置登陆的用户默认可以访问的命令级别，

在用户界面视图下执行：

userprivilegelevellevel#可选

缺省情况下，从AUX用户界面登录后可以访问的命令级别为3级，从VTY用户界面登录后可以访问的命令级别为0级。

恢复从用户界面登录后可以访问的命令级别为缺省级别：

undouserprivilegelevel

步骤三：

配置VTY用户界面支持的协议，在VTY用户界面视图下执行：

Protocolinboundtelnet#可选

注意：

用户登录以太网交换机时，其所能使用的命令取决于用户自身的级别设置和用户界面上进行的命令级别设置，如果二者不同：

▲对于使用AAA/RADIUS/TACACS或者本地认证的用户，其所能使用的命令以用户的级别为准。

例如：

某用户的级别是3级，而VTY0用户界面上设置的命令级别是1级，则该用户从VTY0登录系统时，可以使用3级及以下的命令；如果某用户的级别是0级或者没有设置，而用户界面上是3级，则该用户从VTY0登录系统时可以使用的命令级别是0级

▲对于使用RSA公钥认证的用户，其所能使用的命令以用户界面上设置的级别为准。

（支持SSH的产品才支持RSA认证）。

命令级别共分为参观（访问）、监控、系统、管理4个级别，分别对应标识0、1、2、3。

缺省情况下，ping、tracert、telnet、language-mode等为参观级（0级）该级别的命令不能被保存到配置文件中；监控级（1级）的命令用于系统维护、业务故障诊断等，包括display、debugging命令等，该级别的命令不能被保存到配置文件中；所有的配置命令为系统级（2级）；FTP、XMODEM、TFTP以及文件系统操作，用户管理，级别设置的命令为管理级（3级）。

●配置用户从当前级别切换到指定的其他级别：

1.super命令用来使用户从当前级别切换到level级别，在用户视图下执行（用户视图的的提示符为,进入的命令是与交换机建立连接即进入）:

命令：

superlevel#必选命令

例如：

super3

level：

用户的级别，取值范围为0～3。

缺省值为3，即不指定用户级别，表示从当前级别切换到级别3。

2.设置切换低级别用户到高级别用户的认证方式，缺省情况下，切换低级别用户到高级别用户时采用super密码认证方式，此命令为可选命令。

用户界面视图下：

superauthentication-mode{super-password|scheme}*

参数：

super-password：

用户级别切换采用super密码认证方式，scheme：

用户级别切换采用HWTACAS认证方式

3.设置切换低级别用户到高级别用户的密码，缺省情况下，没有设置切换低级别用户到高级别用户的口令。

在系统视图下：

superpassword[levellevel]{simple|cipher}password#只要是想用superlevel命令这个就是必选命令。

参数level的取值范围是1~3，默认值是3。

Simple是明文密码，cipher是密文密码。

undosuperpassword命令用来取消当前设置，恢复缺省情况。

注意：

AUX用户可以根据用户需要选择是否使用命令superpassword[levellevel]

{simple|cipher}password设置从低级别到高级别的切换口令。

如未设置切换口令，则直接从当前级别切换到高级别。

VTY用户必须设置使用命令superpassword[levellevel]{simple|cipher}password设置从低级别到高级别的切换口令，否则superlevel命令将不起作用。

如果没有设置切换口令，在切换时则提示“Passwordisnotset”，不能完成切换，用户保持原级别不变。

3．用户界面显示和调试

1.断开（释放）指定的用户界面，在用户视图下执行：

freeuser-interface[type]number

freeuser-interface命令用来清除指定用户界面下的用户，命令执行后对应的用户界面将被断开，用户只有再次登录才能连接上交换机。

例如：

通过用户界面0登录交换机，释放用户界面VTY1。

2.显示用户界面的用户信息

在任意视图下执行：

displayusers[all]。

displayusers用来显示当前用户界面的使用信息，displayusersall显示所有用户界面用户信息。

例如：

显示当前用户界面的使用信息：

F表示当前正在使用的的用户界面，且工作在异步方式。

第一个0表示用户界面的绝对编号，第二个0表示用户界面的相对编号

Delay表示用户自最近一次输入到现在的时间间隔，单位是秒。

3.显示用户界面的物理属性和一些配置：

displayuser-interface[typenumber][number][summary]

displayuser-interface命令用来显示用户界面的相关信息。

不带参数summary将

显示用户界面类型、绝对/相对编号、传输速率、从该用户界面登录可以访问的命令

级别、验证方式及物理位置；带参数summary将显示正在使用和未使用的用户界

面数目和类型。

例如：

显示用户界面0的相关信息：

4.显示当前在线WEB用户的相关信息

displaywebusers

5.关闭/启动WEBServer

在系统视图下进行：

iphttpshutdown命令用来关闭WEBServer。

undoiphttpshutdown命令用来启动WEBServer。

缺省情况下，WEBServer处于启动状态。

4.对登陆用户的控制

一、为Telnet业务报文指定源IP

当S3600以太网交换机有多个vlan接口ip地址时，作为Telnet客户端登录远程设备时可以为其指定Telnet报文的源IP或源接口，在用户视图下指定源IP或源接口时，配置仅对本次操作有效，在系统视图下指定源IP或源接口时，配置永久有效。

源接口可以为LoopBack接口或VLAN接口。

telnetsource-interface源接口名：

命令用来为TelnetClient指定源接口。

undotelnetsource-interface命令用来取消指定的源接口。

telnetsource-ip源ip地址：

用来为TelnetClient指定源IP地址

例如：

为TelnetClient指定源接口为Vlan-interface2

[Sysname]telnetsource-interfaceVlan-interface2

displaytelnetsource-ip命令用来显示当前为TelnetClient设置的源IP地址。

即显示交换机作为TelnetClient登录远程设备所发送Telent业务报文的源IP地址。

如果没有指定源接口或源地址，则显示为“0.0.0.0”。

即Telnet业务报文源IP使用出接口IP地址。

二、通过源IP对Telnet进行控制

通过源IP对Telnet进行控制可以使用基本访问控制列表来实现，基本访问控制列表的序号取值范围为2000～2999。

通过源MAC对Telnet用户进行控制，通过二层ACL实现。

二层访问控制列表的序号取值范围为4000～4999。

通过源IP对Telnet进行控制的命令如下：

步骤一：

进入系统视图：

system-view#必选

步骤二：

创建或进入基本ACL视图：

aclnumberacl-number[match-order{config|auto}]，缺省情况下匹配顺序为config。

例如：

aclnumber2001,后面的可选参数如果不加就表示匹配顺序为config。

可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序（优先匹配范围小的ACL规则），如果不指定则缺省为用户配置顺序。

config是按用户的配置顺序匹配ACL规则，auto是按深度优先顺序匹配ACL规则。

⏹2000～2999：

表示基本ACL。

⏹3000～3999：

表示高级ACL（ACL3998与3999是系统为集群管理预留的编

号，用户无法配置）。

⏹4000～4999：

表示二层ACL。

⏹5000～5999：

表示用户自定义ACL。

删除ACL：

undoacl{numberacl-number|nameacl-name|all}

undoacl命令用来删除一条数字或名字标识的ACL的所有规则，或者删除全部ACL。

步骤三：

定义子规则，在基本ACL视图下执行（基本ACL视图的提示符为[Quidway-acl-

basic-2000]，进入的命令是在系统视图下使用aclnumber2000命令）：

rule[rule-id]{permit|deny}[source{源IP地址目标子网掩码的反码|any}|fragment|time-rangetime-name]*

rule-id：

ACL规则编号，取值范围为0～65534

fragment：

指定该ACL规则仅对非首片分片报文有效。

如果不选择本参数则表示

本ACL规则不以报文是否分片作为依据对报文进行过滤。

source{源IP地址目标子网掩码的反码|any}：

指定ACL规则的源地址信息。

如果不配置，表示匹配报文的任何源地址。

通配符可以为0，表示主机地址，any代表任意地址。

time-rangetime-name：

该ACL规则在指定时间段内有效。

如果不选择本参数则表示本ACL规则不以时间段作为依据对报文进行过滤。

指定规则生效的时间段名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头

删除一个ACL规则或者ACL规则的属性信息：

undorulerule-id[source|fragment|time-range]*

fragment：

删除编号对应的ACL规则的对非尾片分片报文有效的设置。

source：

删除编号对应的ACL规则的源IP地址的设置。

time-range：

删除编号对应的ACL规则的时间段的设置。

在删除一条ACL规则时，如果不指定其他参数，交换机将这个ACL规则完全删除；否则交换机只删除该ACL规则中相应的属性信息。

注意：

当基本ACL的匹配顺序为config时，用户可以修改该ACL中的任何一条已经存在的则在修改ACL中的某条规则时，该规则中没有