- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-命令行接口命令
本章节下载 (121.5 KB)
【命令】
command-privilege level level view view command
undo command-privilege view view command
【视图】
系统视图
【参数】
level level:命令的级别,取值范围为0~3。
view view:命令行视图,可以是交换机支持的任意命令行视图,其中S2000-EA(SI)系列交换机只支持表1-1所列的命令行视图。
表1-1 command-privilege level命令view参数描述表
|
参数 |
描述 |
|
acl-adv |
高级ACL视图 |
|
acl-basic |
基本ACL视图 |
|
acl-ethernetframe |
二层ACL视图 |
|
acl6-adv |
高级IPv6 ACL视图 |
|
acl6-basic |
基本IPv6 ACL视图 |
|
aux |
Aux 1/0/0端口即Console口视图 |
|
cert-acp |
PKI证书属性的访问控制策略视图 |
|
cert-attribute-group |
PKI证书属性组视图 |
|
cluster |
集群视图 |
|
ethernet |
百兆以太网端口视图 |
|
ftp-client |
FTP Client视图 |
|
gigabitethernet |
千兆以太网端口视图 |
|
hwping |
HWPing测试组视图 |
|
hwtacacs |
HWTACACS视图 |
|
ipv6-mvlan |
IPv6组播VLAN视图 |
|
isp |
ISP域视图 |
|
job |
定时执行任务视图 |
|
loopback |
LoopBack接口视图 |
|
luser |
本地用户视图 |
|
manage-vlan |
管理VLAN视图 |
|
mld-snooping |
MLD-Snooping视图 |
|
mst-region |
MST域视图 |
|
mtlk-group |
Monitor Link组视图 |
|
null |
NULL接口视图 |
|
peer-key-code |
公共密钥编辑视图 |
|
peer-public-key |
公共密钥视图 |
|
pki-domain |
PKI域视图 |
|
pki-entity |
PKI实体视图 |
|
radius-template |
RADIUS方案视图 |
|
shell |
用户视图 |
|
smlk-group |
Smart Link组视图 |
|
ssl-client-policy |
SSL客户端策略视图 |
|
ssl-server-policy |
SSL服务器端策略视图 |
|
system |
系统视图 |
|
user-interface |
用户界面视图 |
|
vlan |
VLAN视图 |
|
vlan-interface |
VLAN接口视图 |
command:需要设置的命令。
【描述】
command-privilege level命令用来设置指定视图内指定命令的级别。undo command-privilege view命令用来恢复缺省情况。
命令级别共分为访问、监控、系统、管理4个级别,分别对应标识0、1、2、3。管理员可以根据用户需要改变命令的级别,实现低级别用户可以使用高级别命令的功能。缺省情况请参见表1-2。
表1-2 command-privilege level命令缺省情况描述表
|
级别 |
名称 |
命令 |
|
0 |
访问级 |
用于网络诊断等功能的命令,例如ping、tracert、telnet等 |
|
1 |
监控级 |
用于系统维护、业务故障诊断等功能的命令,例如debugging、terminal、reset等 |
|
2 |
系统级 |
所有的配置命令(管理级的命令除外) |
|
3 |
管理级 |
关系到系统的基本运行、系统支撑模块功能的命令,例如文件系统、FTP、TFTP、Xmodem下载、用户管理、级别设置命令等 |
需要注意的是:
l 通常情况下,建议用户不要修改缺省的命令级别或者在专业人员的指导下进行修改,以免造成操作和维护上的不便甚至给设备带来安全隐患。
l 配置command-privilege命令时,如果command参数指定的命令中包含多个关键字或参数,则需要按照关键字或参数的执行顺序依次对每个关键字和参数进行指定,否则配置将不能生效。参数只要在取值范围之内即可,对具体值没有限制。
l 配置undo command-privilege命令时,command参数可以使用省略形式,即只输入命令最前面的部分参数。比如执行undo command-privilege view system ftp,会将系统视图下所有以ftp关键字开头的命令(ftp server acl、ftp server enable、ftp timeout、ftp update)的级别恢复到缺省级别。如果当前已经修改了ftp server enable和ftp timeout命令的级别,但只想将ftp server enable命令的级别恢复到缺省级别,则需要使用命令undo command-privilege view system ftp server。
l 如果将某视图下的某条命令的级别修改为低于缺省级别的级别,请注意相应的修改进入该视图命令的级别。比如interface和system-view命令的缺省级别均为2(系统级),如果要将interface命令开放给级别为1的用户使用,则需要配置command-privilege level 1 view shell system-view、command-privilege level 1 view system interface ethernet 1/1、command-privilege level 1 view system quit,以便级别为1的用户登录设备后,能够进入系统视图、执行interface ethernet命令、退回用户视图。
【举例】
# 设置“tftp get”命令为0级,执行视图为用户视图(Shell)。需要依次设置tftp get命令的所有关键字和参数。
[Sysname] command-privilege level 0 view shell tftp
[Sysname] command-privilege level 0 view shell tftp 192.168.0.1
[Sysname] command-privilege level 0 view shell tftp 192.168.0.1 get
[Sysname] command-privilege level 0 view shell tftp 192.168.0.1 get bootrom.btm
# 恢复“tftp get”命令的缺省级别。可以只输入关键字tftp,则所有以tftp开头的命令都会恢复缺省级别。
[Sysname] undo command-privilege view shell tftp
【命令】
display history-command
【视图】
任意视图
【参数】
无
【描述】
display history-command命令用来显示当前用户最近执行过的有效历史命令,以便用户查看之前的配置。这些历史命令存放在历史命令缓冲区,该用户的历史命令缓冲区的大小可以通过history-command max-size命令来设置。历史命令缓冲区充满时,旧的信息会被覆盖。
缺省情况下,命令行接口为每个用户保存10条有效历史命令。
相关配置可参考“登录交换机”中的命令history-command max-size。
【举例】
# 显示当前用户使用过的有效历史命令。
<Sysname> display history-command
system-view
quit
display history-command
【命令】
super [ level ]
【视图】
用户视图
【参数】
level:用户的级别,取值范围为0~3。
【描述】
super命令用来使用户从当前级别切换到level级别。
如果没有指定具体的级别,则默认表示从当前级别切换到级别3。
需要注意的是:
l 用户的级别共划分为4级,与命令级别相对应。不同级别的用户登录后,只能使用等于或低于自己级别的命令。
l 登录交换机的用户的级别可以通过命令进行切换,高级别用户可以无条件切换为低级别用户,但是低级别用户从当前级别切换到高级别时,则必须通过相应的认证。认证方式可以通过super authentication-mode命令进行设置。
l 在进行用户级别切换时,为了保密,用户在屏幕上看不到所键入的密码。如果在系统允许的次数(三次)内输入正确的认证信息,则切换到高级别用户,否则保持原用户级别不变。
相关配置可参考命令super authentication-mode、super password。
【举例】
# 用户采用super密码认证从当前级别(低级别)切换到级别3。
<Sysname> super 3
Password:
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
# 用户采用HWTACACS认证从当前级别(低级别)切换到级别3。
<Sysname> super 3
Username:user@system
Password:
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
【命令】
super authentication-mode { super-password | scheme }*
undo super authentication-mode
【视图】
用户界面视图
【参数】
super-password:用户级别切换采用super密码认证方式。
scheme:用户级别切换采用HWTACAS认证方式。
【描述】
super authentication-mode命令用来设置切换低级别用户到高级别用户的认证方式。undo super authentication-mode命令用来恢复缺省情况。
缺省情况下,切换低级别用户到高级别用户时采用super密码认证方式。
需要说明的是,super密码认证和HWTACAS认证这两种认证方式可以同时存在,互为备份。二者的优先级由super authentication-mode命令中super-password和scheme参数的设置顺序来决定,具体如下:
l super authentication-mode super-password scheme命令用来设置切换低级别用户到高级别用户时,首先采用super密码认证方式进行认证,以HWTACAS认证方式作为备份;
l super authentication-mode scheme super-password命令用来设置切换低级别用户到高级别用户时,首先采用HWTACAS认证方式进行认证,以super密码认证作为备份;
l 在super密码认证和HWTACAS认证这两种认证方式同时存在的情况下,设备首先采用首选认证方式进行认证,如果无法实现此方式的认证,比如设备未设置super密码或是远程HWTACACS认证服务器不可达,则继续采用另外一种备份认证方式进行认证。
【举例】
# 配置VTY0用户从当前级别向高级别切换时首选HWTACAS认证,以super密码认证为备份。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0
[Sysname-ui-vty0] super authentication-mode scheme super-password
【命令】
super password [ level level ] { cipher | simple } password
undo super password [ level level ]
【视图】
系统视图
【参数】
level level:用户的级别,取值范围为1~3。缺省值为3,即如果不指定具体的级别,表示设置的是进入级别3的口令。
cipher:在配置文件中以密文方式显示口令。
simple:在配置文件中以明文方式显示口令。
password:口令字符串。如果验证方式是simple,则password必须是明文口令,取值范围为1~16个字符的字符串;如果验证方式是cipher,则用户在设置password时有两种方式:
l 一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式;
l 另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:密文“_(TT8F]Y\5SQ=^Q`MAF4<1!!”对应的明文是“1234567”。
【描述】
super password命令用来设置切换低级别用户到高级别用户的口令。undo super password命令用来恢复缺省情况。
缺省情况下,没有设置切换低级别用户到高级别用户的口令。
需要注意的是,不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令。
【举例】
# 配置从低级别切换到级别3的口令为“0123456789”,显示方式为明文显示。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] super password level 3 simple 0123456789
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
