管理员配置命令

• 命令功能

access-limit 命令来配置同一个管理员账号在线人数限制

undo access-limit 命令用来取消配置

• 配置实例

配置管理员账号huawei同时最多可登录3个管理员

<sysname>system-view
[sysname]aaa
[sysname-aaa]manager-user huawei
[sysname-aaa-manager-user-huawei]access-limit 3

• 命令功能

acl-number 命令用来为管理员账户绑定ACL

undo all-number 命令用来解除管理员账号与ACL的绑定

说明：通过绑定ACL，可以对管理员的登录IP地址进行严格管控，增强管理员账号安全

• 配置实例

为管理员账号huawei绑定ACL2000

<sysname>system-view
[sysname]aaa
[sysname-aaa]manager-user huawei
[sysname-aaa-manager-user-huawei]acl-number 2000

• 命令功能

bind manager-user 命令用来为管理员账号绑定管理员角色

undo bind manager-user 命令用来解除管理员账号绑定的管理员角色

说明：管理员账号绑定角色后，即可获得角色所有权限，管理员角色优先级高于管理员级别

• 配置实例

将管理员账号huawei绑定默认的管理员角色system-admin

<sysname>system-view
[sysname]aaa
[sysname-aaa]bind manager-user huawei rule system-admin

• 命令功能

current-user password-modify 命令用来修改当前登录管理员自身的密码

• 配置实例

<sysname>current-user password-modify
Please input current password            请输入当前密码
Please input new password                请输入新密码
Please confirm new password              请确认新密码
 Info:Your password bas been changed.Save the change to survive a reboot. 

• 命令功能

level 命令用来为管理员账号配置权限级别

undo level 命令用来解除为管理员账号配置的管理员级别

• 配置实例

配置管理员huawei的权限级别为3

<sysname>system-view
[sysname]aaa
[sysname-aaa]manager-user huawei
[sysname-aaa-manager-user-huawei]level 3

• 命令功能

lock-authentication enable 用来开启管理员账号认证失败锁定功能

undo lock-authentication enable 命令用来关闭管理员账号认证失败锁定功能

说明：管理员通过Console口登录设备时，不受该功能限制

• 配置实例

启用管理员账号认证锁定功能

<sysname>system-view
[sysname]aaa
[sysname-aaa]lock-authentication enable

• 命令功能

lock-authentication failed-count 命令用来配置管理员认证次数限制

undo lock-authentication failed-count 命令用来恢复为默认值

说明：当开启管理员认证锁定功能，认证失败次数达到本命令设置的值时，管理员账号将被锁定，使管理员账号在一段时间内被禁止进行登录尝试

• 配置实例

配置管理员认证次数为5

<sysname>system-view
[sysname]aaa
[sysname-aaa]lock-authentication failed-count 5

• 命令功能

lock-authentication timeout 命令用来设置管理员认证失败后被锁定的时间

undo lock-authentication timeout 命令用来恢复默认值

• 配置实例

配置管理员账号的锁定时间为40分钟

<sysname>system-view
[sysname]aaa
[sysname-aaa]lock-authentication timeout 40

• 命令功能

manager-user 命令用来创建管理员账号并进入管理员视图

undo manager-user 命令用来删除管理员的账号

说明：管理员不能用此命令创建或删除高于自身级别的管理员账号

• 配置实例

创建一个管理员账号huawei

<sysname>system-view
[sysname]aaa
[sysname-aaa]manager-user huawei

• 命令功能

password 命令用来创建管理员账号的密码

• 配置实例

为管理员账号huawei创建密文密码P@ssw0rd

<sysname>system-view
[sysname]aaa
[sysname-aaa]manager-user huawei
[sysname-aaa-manager-user-huawei]password
Enter Password:
Confirm Password:

• 命令功能

configuration exclusive 命令用来锁定系统当前配置，在锁定期间用户可以进行查询、配置等动作，其他用户只能进行查询动作

undo configuration exclusive 命令用来解除锁定的配置权限

说明：设备允许多用户同时接入进行配置，很可能会出现配置冲突导致业务异常，此时使用本命令实现一个用户锁定配置进行配置动作，其他用户只能查询而不能修改配置，从而保证业务正常

• 配置实例

锁定系统当前配置

<sysname>configuration exclusive

解除系统当前配置

<sysname>undo configuration exclusive

管理员界面配置命令

• 命令功能

acl 命令用来通过应用访问控制列表，对提供各种终端服务的用户界面设置呼入呼出权限设置

undo acl 命令用来取消用户界面的呼入呼出限制

说明：配置安全策略后只有管理员PC的IP地址才能登录，限制非法的半链接请求

执行undo service-manager enable命令关闭接口的访问控制管理功能

• 配置实例

在VTY0的用户界面上，限制Telnet、SSH呼入

<sysname>system-view
[sysname]user-interface vty 0
[sysname-ui-vty0]acl 2000 inbound

在VTY0的用户界面上，取消对Telnet、SSH呼入限制

<sysname>system-view
[sysname]user-interface vty 0
[sysname-ui-vty0]undo acl inbound

• 命令功能

authentication-mode 命令用来设置登录管理员界面的认证方式

undo authentication-mode 命令用来恢复管理员界面的缺省认证方式

• 命令格式

authentication-mode { aaa | password }

参数 参数说明

aaa aaa验证方式为账号和密码

password 密码验证

• 配置实例

配置VTY0界面的验证方式为aaa验证

<sysname>system-view
[sysname]user-interface vty 0
[sysname-ui-vty0]authentication-mode aaa

• 命令功能

idle-timeout 命令用来设置管理员界面断连时间，即管理员没有任何输入命令的时间

undo idle-timeout 命令用来恢复管理员界面闲置断连的时间为缺省值

• 命令格式

idle-timeout minutes [seconds]

说明：执行命令idle-timeout 0 0 表示关闭管理员界面的闲置断连功能，请谨慎使用

• 配置实例

设置闲置时间3分12秒后断连

<sysname>system-view
[sysname]user-interface console 0
[sysname-ui-console0]idle-timeout 3 12

• 命令功能

mmi-mode enable 命令用来进入机机模式

undo mmi-mode enable 命令用来切换到人机模式

说明：缺省状态下，当前用户界面是在人机模式下，人机模式执行重要的命令时将有确认环节，在机机模式下不再有确认环节直接执行

• 配置实例

进入机机模式

<sysname>system-view
[sysname]mmi-mode enable

• 命令功能

protocol inbound 命令用来指定管理员支持的协议

undo protocol inbound 命令用来恢复缺省值

• 命令格式

protocol inbound {all | ssh | telnet}

• 配置实例

配置VTY0管理员界面仅支持SSH协议

<sysname>system-view
[sysname]user-interface vty 0
[sysname-ui-vty0]protocol inbound ssh

• 命令功能

set authentication password 命令用来设置Password验证密码

undo authentication password 命令用来取消Password验证密码

• 命令格式

set authentication password [cipher password]

参数 参数说明

cipher 密文密码，密码将以加密的形式保存在配置文件中

• 配置实例

<sysname>system-view
[sysname]user-interface vty 0
[sysname-ui-vty0]authentication password
[sysname-ui-vty0]set authentication password cipher P@ssw0rd

• 命令功能

ssh authentication-type default password 命令用来配置ssh用户缺省采用密码认证

undo ssh authentication-type default password 命令用来取消配置的ssh缺省认证类型

• 配置实例

<sysname>system-view
[sysname]ssh authentication-type default password

• 命令功能

ssh user 用来新建ssh用户

undo ssh user 命令用来删除ssh用户

说明：执行ssh authentication-type、ssh user service-type、ssh user sftp-directory命令时，如果系统检测到user-name不存在，则新建一个名为user-name的用户

执行undo ssh user命令删除ssh用户时，带user-name参数表示删除指定一个用户，不带user-name参数时表示删除所有ssh用户

• 配置实例

新建ssh用户newhuawei

<sysname>system-view
[sysname]ssh user newhuawei
 Info:Succeeded in adding a new SSH user.

删除ssh用户newhuawei

<sysname>system-view
[sysname]undo ssh user newhuawei
 Info:Succeeded in deleting the SSH user.

• 命令功能

ssh user authentication-type 命令用来配置ssh用户认证方式

undo ssh user authentication-type 命令用来恢复ssh用户的认证方式为空，缺省情况下，ssh用户的认证方式是空。即不支持任何认证方式

• 命令格式

ssh user huawei authentication-type {password | rsa | password-rsa | all | dsa | password-dsa | ecc | password-ecc }

undo ssh user huawei authentication-type

• 配置实例

配置ssh用户huawei的认证方式为password

<sysname>system-view
[sysname]ssh user huawei authentication-type password

配置ssh用户的认证方式为dsa

<sysname>system-view
[sysname]ssh user huawei authentication-type dsa

配置ssh用户的认证方式为ecc

<sysname>system-view
[sysname]ssh user 10.1.1.1 authentication-type ecc

• 命令功能

telnet server acl 命令用来设置可以访问telnet服务器的访问控制列表

undo telnet server all 命令用来取消可以访问telnet服务器的访问控制列表

• 配置实例

设置本端设备可以访问满足acl 2000匹配条件telnet服务器

<sysname>system-view
[sysname]telnet sercer acl 2000

• 命令功能

telnet server enable 命令用来开启telnet服务，允许telnet用户登录

undo telnet server enable 命令用来关闭telnet服务，禁止telnet用户登录

telnet server disable 命令用来关闭telnet服务，禁止telnet用户登录

• 配置实例

开启tlenet服务

<sysname>system-view
[sysname]telnet server enable
Info:The Telnet server has been enabled.

• 命令功能

telnet server port 命令用来设置telnet服务器的侦听端口号

undo telnet server port 命令用来恢复telnet服务器侦听端口号的缺省值

• 配置实例

变更telnet端口号为1024

<sysname>system-view
[sysname]telnet server port 1024
Warning:This operation will cause all the online Telnet to be offline.Continue?[Y/N]:y
Info:Succeeded in changing the listening port of the Telnet sever.

• 命令功能

telnet server-source 命令用来指定telnet服务端的源接口

undo telnet server-source 命令用来取消指定telnet服务器端口的源接口

• 配置实例

指定telnet服务器端的源接口是loopback 0

<sysname>system-view
[sysname]interface loopback 0
[sysname-Loopback0]quit
[sysname]telnet server-source -i loopback 0

• 命令功能

clock datetime 命令用来设置设备当前日期和时钟

• 命令格式

clock datetime HH:MM:SS YYYY-MM-DD

• 配置实例

设置系统当前日期为2022年11月19日22时0分0秒

<sysname>system-view
[sysname]clock datetime 22:0:0 2022-11-19

• 命令功能

clock timezone 命令用来设置本地地区信息

undo clock timezone 命令用来将本地时区恢复为缺省的UTC（Universal Time Coordinated)时区

• 配置实例

设置本设备时区08:00:00，名称为bj

<sysname>system-view
[sysname]clock timezone bj add 08:00:00