Quidway华为S5300系列以太网交换机配置指南

admin管理员组

文章数量:1534364

2024年1月24日发(作者：)

Quidway 华为S5300系列以太网交换机 配置指南-基础配置

1 登录S-switch

1.1 简介

1.1.1 登录S-switch设备的方式

1.1.2 配置任务的逻辑关系

1.2 通过Console口登录

1.2.1 建立登录任务

1.2.2 通过Console口登录S-switch

1.3 通过Telnet方式本地登录

1.3.1 建立登录任务

1.3.2 通过Telnet方式从本地登录S-switch

1.4 通过Telnet方式远程登录

1.4.1 建立登录任务

1.4.2 通过Telnet方式远程登录S-switch

1.5 通过SSH方式登录

1.5.1 建立登录任务

1.5.2 通过SSH方式登录S-switch

插图目录

图1-1 通过Console口登录到S-switch

图1-2 新建连接

图1-3 连接端口设置

图1-4 端口通信参数设置

图1-5 终端类型选择

图1-6 通过Telnet方式本地登录

图1-7 PC直连式登录S-switch

表格目录

表1-1 管理接口介绍

表1-2 Console口和ETH口编号

表1-3 通信参数

1 登录S-switch

介绍如何从客户端登录到S-switch。

•

•

•

•

•

1.1 简介

介绍登录S-switch的方式以及各配置任务间的逻辑关系。

1.2 通过Console口登录

介绍如何通过Console口登录到S-switch。

1.3 通过Telnet方式本地登录

介绍如何通过Telnet方式从本地登录到S-switch。

1.4 通过Telnet方式远程登录

介绍如何通过Telnet方式远程登录到S-switch。

1.5 通过SSH方式登录

介绍如何通过SSH方式登录到S-switch。

1.1 简介

介绍登录S-switch的方式以及各配置任务间的逻辑关系。

•

•

1.1.1 登录S-switch设备的方式

1.1.2 配置任务的逻辑关系

1.1.1 登录S-switch设备的方式

为了对S-switch设备进行配置或管理，需要登录到S-switch上。S-switch设备提供2种管理接口，包括：Console口和ETH口。

表1-1 管理接口介绍

接口名称

Console口

接口描述 接口用途

遵循EIA/TIA-232标准，接口类型是DCE。 该接口和配置终端的COM串口连接，用于搭建现场配置环境。

ETH口 遵循10/100BASE-TX标准。 该接口和配置终端或网管站的网口连接，用于搭建现场或远程配置环境。

Console口和ETH口的编号规则如下：

表1-2 Console口和ETH口编号

接口名称

Console口

ETH口

管理接口编号

通常描述为用户界面接口“console 0”

描述为接口“Ethernet 0/0/0”

根据管理接口的不同，登录S-switch的方式有以下三种：

•

•

•

通过Console口登录

通过Telnet方式登录

通过SSH方式登录

1.1.2 配置任务的逻辑关系

第一次登录S-switch设备或者后续现场登录，请执行：1.2 通过Console口登录。如果需要通过其他方式登录S-switch，请参见4 管理登录用户中的配置步骤提前完成对应配置，再按照需要执行：

•

•

•

1.3 通过Telnet方式本地登录

1.4 通过Telnet方式远程登录

1.5 通过SSH方式登录

1.2 通过Console口登录

介绍如何通过Console口登录到S-switch。

•

•

1.2.1 建立登录任务

1.2.2 通过Console口登录S-switch

1.2.1 建立登录任务

应用环境

用户需要通过Console口登录到S-switch，如图1-1所示。

图1-1 通过Console口登录到S-switch

说明：

如果S-switch是第一次上电，并且用户需要管理和配置S-switch，则用户只能通过Console口登录到S-switch。

前置任务

在通过Console口登录到S-switch前，需要完成以下任务：

• 正确连接PC机和S-switch

•

无

S-switch正常启动

数据准备

1.2.2 通过Console口登录S-switch

背景信息

在通过Console口搭建本地配置环境时，用户可以通过Windows系统中的“超级终端”与S-switch建立连接。

操作步骤

o

2.

启动超级终端

选择“开始>所有程序>附件>通讯>超级终端”菜单项，Windows XP系统启动超级终端。

新建连接

如图1-2所示。在“名称”文本框中输入新建连接的名称；选择图标。然后单击“确定”按钮。

图1-2 新建连接

3. 设置连接端口

进入如图1-3所示的[连接到]窗口后，请根据PC（或配置终端）实际使用的端口在“连接时使用”下拉列表框中进行选择。然后单击“确定”按钮。

图1-3 连接端口设置

4. 设置通信参数

进入如图1-4所示的[端口属性]窗口后，请按表1-3中的描述进行通信参数的设置。

说明：

在其它的Windows操作系统中，“每秒位数”可能被描述为“波特率”；“数据流控制”可能被描述为“流量控制”。

图1-4 端口通信参数设置

表1-3 通信参数

参数

每秒位数（波特率）

数据位

奇偶校验

停止位

9600

8

无

1

取值

数据流控制（流量控制） 无

5. 启动超级终端后，选择“文件>属性”菜单项，进入如图1-5所示的[连接属性]窗口。选择“设置”页签，在“终端仿真”下拉列表框中选择“VT100”。单击“确定”按钮结束设置。

图1-5 终端类型选择

后续处理

按照以上5个步骤结束设置后，按下“Enter”键，屏幕出现提示符，表示进入命令行接口。此时就可输入命令，配置或管理S-switch。具体的配置步骤请参见以后各章节。

1.3 通过Telnet方式本地登录

介绍如何通过Telnet方式从本地登录到S-switch。

•

•

1.3.1 建立登录任务

1.3.2 通过Telnet方式从本地登录S-switch

1.3.1 建立登录任务

应用环境

用户需要采用Telnet方式通过以太网口登录到S-switch，如图1-6所示。

图1-6 通过Telnet方式本地登录

•

•

•

连。

前置任务

在通过Telnet方式本地登录到S-switch前，需要完成以下任务：

•

•

•

•

正确连接PC机和S-switch

S-switch正常启动

如果通过以太网口进行操作，需要将以太网网口加入VLAN，并配置相应VLANIF接口的IP地址及掩码。

完成服务器侧Telnet参数的配置。配置步骤请参见4 管理登录用户。

数据准备

在配置通过Telnet方式本地登录之前，需要准备以下数据：

序号

1 Telnet服务器的IP地址

数据

PC（或配置终端）的以太网口直接与S-switch的以太网口或者MEth管理网口相连。

PC（或配置终端）的以太网口通过HUB与S-switch的以太网口或者MEth管理网口相连。

PC（或配置终端）的以太网口通过其它交换机与需要配置的S-switch的以太网口或者MEth管理网口相 1.3.2 通过Telnet方式从本地登录S-switch

背景信息

在通过Telnet方式从本地登录S-switch时，用户可以通过Windows系统的Telnet客户端与S-switch建立连接。

操作步骤

1. 启动命令提示符

选择[开始/所有程序/附件/命令提示符]菜单项，Windows系统启动“命令提示符”。

“命令提示符”窗口显示如下。

Microsoft Windows XP [版本 5.1.2600]

(c) 版本所有 1985-2001 Microsoft Corp.

C:>

2. 进入Telnet客户端

在“C:>”提示符下，输入“telnet”，“命令提示符”窗口显示如下。

Microsoft Windows XP [版本 5.1.2600]

(c) 版本所有 1985-2001 Microsoft Corp.

C:> telnet

按下键，则进入Telnet客户端。“命令提示符”窗口显示如下。

欢迎使用Microsoft Telnet Client

Escape 字符是’CTRL+]’

Microsoft Telnet>

3. 连接Telnet服务器

在“Microsoft Telnet>”提示符下，输入命令以连接Telnet服务器。输入格式如下。

open {

ip-address |

host-name } [

port ]

ip-address：Telnet服务器的IP地址。

host-name：Telnet服务器的主机名。

port：Telnet服务器的Telnet服务端口，缺省值为23。

举例如下：

# 连接IP地址为1.1.1.1的S-switch。端口号为缺省的23。

欢迎使用Microsoft Telnet Client

Escape 字符是’CTRL+]’

Microsoft Telnet> open 1.1.1.1

Note: The max number of VTY users is 5, and the current number

of VTY users on line is 1.

1.4 通过Telnet方式远程登录

介绍如何通过Telnet方式远程登录到S-switch。

•

•

1.4.1 建立登录任务

1.4.2 通过Telnet方式远程登录S-switch

1.4.1 建立登录任务

应用环境

如果PC（或配置终端）要对S-switch进行配置和管理，需要采用Telnet方式远程登录到S-switch。如图1-7所示。

图1-7 PC直连式登录S-switch

前置任务

在通过Telnet方式远程登录到S-switch前，需要完成以下任务：

•

•

•

正确连接PC机和S-switch

S-switch正常启动

PC和S-switch设备之间存在直达路由或间接路由。

数据准备

在配置通过Telnet方式远程登录之前，需要准备以下数据：

序号

1 Telnet服务器的IP地址

数据

序号

2

数据

Telnet服务器的Telnet服务端口号

1.4.2 通过Telnet方式远程登录S-switch

通过Telnet方式远程直接登录S-switch的方法可参考“1.3.2 通过Telnet方式从本地登录S-switch”。采用级联方式时，可以参考“1.3.2 通过Telnet方式从本地登录S-switch”先登录到中间设备，再采用同样的方式登录的目的设备。

1.5 通过SSH方式登录

介绍如何通过SSH方式登录到S-switch。

•

•

1.5.1 建立登录任务

1.5.2 通过SSH方式登录S-switch

1.5.1 建立登录任务

应用环境

需要采用SSH方式通过以太网口登录到S-switch。

前置任务

在通过SSH方式登录到S-switch前，需要完成以下任务：

•

•

•

无

1.5.2 通过SSH方式登录S-switch

在PC机（或配置终端）上运行SSH1.5的客户端软件，进行相应的设置进入登录界面，输入用户名后就可以登录到S-switch了。

目 录

2 如何使用命令行

2.1 命令视图

2.1.1 命令视图分类

2.1.2 命令视图的分层结构

2.1.3 常用视图

2.2 命令的级别

2.2.1 命令级别简介

2.2.2 命令级别和用户级别的关系

2.2.3 命令级别扩展

2.3 使用命令行在线帮助

2.3.1 完全帮助

2.3.2 部分帮助

2.4 编辑命令行

2.5 控制命令行的显示信息

2.6 使用历史命令

2.7 快捷键

2.7.1 快捷键的分类

2.7.2 定义快捷键

2.7.3 快捷键的使用

插图目录

准备私钥文件以及登录到S-switch所需要的用户名

正确连接PC机和S-switch

S-switch正常启动

数据准备

图2-1 命令视图的分层结构

图2-2 各级别用户的权限

表格目录

表2-1 命令视图分类及各分类下视图

表2-2 登录用户的级别

表2-3 使用历史命令

表2-4 系统快捷键

2 如何使用命令行

介绍如何使用命令行。

•

•

•

•

•

•

•

2.1 命令视图

命令视图与接口的关系以及命令视图的分层结构。

2.2 命令的级别

命令级别、用户级别以及两者之间的关系。

2.3 使用命令行在线帮助

命令行接口提供的两种在线帮助信息：完全帮助和部分帮助。

2.4 编辑命令行

命令行接口提供的基本的命令编辑功能。

2.5 控制命令行的显示信息

如何控制命令行的显示信息。

2.6 使用历史命令

介绍如何使用命令行历史命令功能。

2.7 快捷键

介绍S-switch设备提供的快捷键。

2.1 命令视图

命令视图与接口的关系以及命令视图的分层结构。

命令视图就是执行命令行的界面环境。

华为VRP（Versatile Routing Platform）系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。

•

•

•

2.1.1 命令视图分类

2.1.2 命令视图的分层结构

2.1.3 常用视图

2.1.1 命令视图分类

如表2-1所示，按照所属特性模块的不同，我们把命令视图分为：基本视图、系统管理相关视图、LAN相关视图、IP路由相关视图、QoS相关视图和安全相关视图。

表2-1 命令视图分类及各分类下视图

视图分类

基本视图

所包含的具体种类

用户视图、系统视图、VTY类型用户界面视图、公共密钥编辑视图、公共密钥视图、ACL视图

系统管理相关视图 HGMP集群视图、FTP客户端视图、AAA视图、AAA域视图、HWTACACS模版视图、RADIUS模版视图、计费方案视图、记录方案视图、认证方案视图、授权方案视图

LAN相关视图 GE接口视图、Eth-Trunk接口视图、VLAN视图、VLANIF接口视图、RRPP域视图、MST域视图

QoS相关视图

流策略视图、流分类视图、流行为视图

2.1.2 命令视图的分层结构

各命令视图是针对不同的配置要求设立的，它们之间有区别又有联系。比如，与S-switch建立连接即进入用户视图，它可以完成查看运行状态、统计信息以及监控等简单的功能，再键入system-view进入系统视图，在系统视图下键入不同的配置命令进入相应的协议、接口视图。命令视图采用分层结构，如图2-1所示。

图2-1 命令视图的分层结构

2.1.3 常用视图

用户视图

项目

功能

进入命令

解释

查看S-switch的简单运行状态和统计信息。

连接建立后直接进入

进入后提示符

退出命令 quit

退出后提示符 无

系统视图

项目

功能

进入命令

进入后提示符

退出命令

退出后提示符

以太网接口视图

• GE接口视图

项目

功能

进入命令

进入后提示符

退出命令

解释

配置S-switch千兆以太网接口的相关参数，管理千兆以太网接口。

[Quidway] interface Ethernet

X/Y/Z

[Quidway-EthernetX/Y/Z]

[Quidway- EthernetX

/Y/Z] quit

解释

配置S-switch的系统参数，并通过该视图进入其他功能的配置视图。

system-view

[Quidway]

[Quidway] quit

项目

退出后提示符

•

•

[Quidway]

解释

说明：

X/Y/Z为需要配置的千兆以太网接口的接口编号，分别对应“槽位号/子卡号/以太网接口序号”。

VLAN视图

项目 解释

功能 将接口加入VLAN或从VLAN中删除接口，配置VLAN使能组播等功能。

进入命令 [Quidway] vlan 1

进入后提示符 [Quidway-vlan1]

退出命令 [Quidway-vlan1] quit

退出后提示符 [Quidway]

VLANIF接口视图

项目 解释

功能 配置VLANIF接口的IP地址，管理VLANIF接口

进入命令 [Quidway] interface vlanif 1

进入后提示符 [Quidway-Vlanif1]

退出命令 [Quidway-Vlanif1] quit

退出后提示符 [Quidway]

说明：

1为需要配置的VLANIF接口编号。进入VLANIF接口视图之前必须先创建对应的VLAN。

2.2 命令的级别

命令级别、用户级别以及两者之间的关系。

• 2.2.1 命令级别简介

• 2.2.2 命令级别和用户级别的关系

• 2.2.3 命令级别扩展

2.2.1 命令级别简介

系统命令采用分级保护方式。命令被划分以下4个级别，级别标识为0～3，标识越高级别越高。• 参观级（0级）

• 监控级（1级）

• 配置级（2级）

• 管理级（3级）

用户可以根据实际需要，修改命令的级别，具体命令请参见《Quidway S5300系列以太网交换机 说明：

命令参考》。

系统对登录用户也划分为4级，分别与命令级别对应，即不同级别的用户登录后，只能使用等于或低于自己级别的命令。关于用户分级请参见2.2.2 命令级别和用户级别的关系。

参观级命令

参观级包括网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括Telnet客户端、SSH）等，该级别命令不允许进行配置文件保存的操作。

参观级命令在缺省情况下包含以下命令。

级别 所能访问的命令

参观级 cluster、ping、quit、super、telnet、tracert等。

监控级命令

监控级命令用于系统维护、业务故障诊断等，该级别命令不允许进行配置文件保存的操作。

监控级命令在缺省情况下包含以下命令。

级别 所能访问的命令

监控级 debugging、display、reset、send、terminal等。

配置级命令

配置级包括路由、各个网络层次的命令，这些命令用于向用户直接提供网络服务。

配置级命令在缺省情况下包含以下命令。

级别

配置级

管理级命令

管理级命令是关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用。

管理级命令在缺省情况下包含以下命令。

级别

管理级

所能访问的命令

cd、clock、copy、delete、dir、fixdisk、format、free、ftp、lock、mkdir、more、move、patch、pwd、reboot、rename、rmdir、schedule、startup、undelete、tftp等。

2.2.2 命令级别和用户级别的关系

S-switch对登录用户进行分级管理。与命令的优先级一样，登录用户按照从低到高次序分为参观（Visit）、监控（Monitor）、配置（Configure）、管理（Manage）四个级别，对应的级别标识为0～3。登录用户的级别如表2-2所示。

表2-2 登录用户的级别

级别

0

1

名称

参观

监控

所能访问的命令

ping、quit、super、telnet、tracert等。

debugging、display、ping、quit、reset、send、super、telnet、terminal、tracert、undo等。

2

3

配置

管理

除文件系统命令、FTP命令、TFTP命令外的所有配置命令。

所有命令。

所能访问的命令

cluster-ftp、cluster-tftp、compare、mpls、ntdp、reset、save、system-view等。

用户登录S-switch后所获得的级别由用户的级别决定，各级别用户所能使用的命令只能是等于或低于自己级别的命令，登录用户的权限如图2-2所示。

图2-2 各级别用户的权限

例如，级别2的用户只能使用0、1、2级别的命令，级别3的用户能够使用所有级别的命令。为了防止未授权用户的非法侵入，在从低级别用户切换到高级别用户时，要进行用户身份验证。

2.2.3 命令级别扩展

缺省情况下S-switch设备的命令行级别为0～3级。如果需要在设备上实现权限的精细管理或者与其他厂商设备对接，可以扩展成0～15级方式。

从0～3级方式调整到0～15方式后，原来的0级和1级命令保持级别不变，2级命令提升到10级，3级命令提升到15级。在0～15方式中，2～9级和11～14级没有对应的命令。用户可以单独调整命令行到这些级别，以实现权限的精细化管理。

2.3 使用命令行在线帮助

命令行接口提供的两种在线帮助信息：完全帮助和部分帮助。

•

•

2.3.1 完全帮助

2.3.2 部分帮助

2.3.1 完全帮助

命令行的完全帮助可以通过以下3种方式获取：

•

•

在所有命令视图下，键入“?”获取该命令视图下所有的命令及其简单描述。

?

键入命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其描述。举例如下。

[Quidway-ui-vty0] authentication-mode ?

aaa Authentication use aaa

none Login without checking

password Authentication use password of user terminal interface

authentication-mode aaa ?

authentication-mode aaa

其中aaa、none和password是关键字，Authentication use aaa、Login without checking和Authentication

use password of user terminal interface是对关键字的分别描述。

表示该位置没有关键字或参数，在紧接着的下一个命令行该命令被复述，直接键入回车即可执行。

• 键入命令，后接以空格分隔的“?”，如果该位置为参数，则列出有关的参数名和参数描述。举例如下。

system-view

[Quidway] sysname ?

TEXT Host name(1 to 30 characters)

其中TEXT是参数名，Host name(1 to 30 characters)是对参数的描述。

2.3.2 部分帮助

命令行的部分帮助可以通过以下3种方式获取：

• 键入字符串，其后紧接“?”，列出以该字符串开头的所有命令。

d?

debugging delete dir display

• 键入命令，后接字符串，字符串后紧接“?”，列出命令以该字符串开头的所有关键字。

display v?

version vlan

• 输入命令的某个关键字的前几个字母，按下键，可以显示出完整的关键字，前提是这几个字母可以唯一标示出该关键字，否则，连续按下键，可出现不同的关键字，用户可以从中选择所需要的关键字。

如果用户键入的所有命令都通过语法检查，则正确执行，否则向用户报告错误信息。

英文错误信息 错误原因

Unrecognized command 没有查找到命令

没有查找到关键字

参数类型错

参数值越界

Incomplete command 输入命令不完整

Too many parameters 输入参数太多

Ambiguous command

2.4 编辑命令行

命令行接口提供的基本的命令编辑功能。

命令行接口提供了基本的命令编辑功能，支持多行编辑，每条命令的最大长度为255个字符。

按键

普通按键

退格键Backspace

左光标键←或

右光标键→或

Tab键

.

.

功能

若编辑缓冲区未满，则插入到当前光标位置，并向右移动光标。

删除光标位置的前一个字符，光标前移。

光标向左移动一个字符位置。

光标向右移动一个字符位置。

输入不完整的关键字后按下Tab键，系统自动执行部分帮助：

如果与之匹配的关键字唯一，则系统用此完整的关键字替代原输入并换行显示，光标距词尾空一格；

对于命令字的参数、不匹配或者匹配的关键字不唯一的情况，首先显示前缀，继续按Tab键循环翻词，此时光标距词尾不空格，按空格键输入下一个单词；

.

2.5 控制命令行的显示信息

如何控制命令行的显示信息。

命令行接口提供了如下的显示特性：

• 在一次显示信息超过一屏时，提供了暂停功能，在暂停显示时用户可以有三种选择。

如果输入错误关键字，按Tab键后，换行显示，输入的关键字不变。

输入参数不明确

按键或命令

键入

键入空格键

键入回车键

2.6 使用历史命令

介绍如何使用命令行历史命令功能。

功能

停止显示信息并中断执行命令。

继续显示下一屏信息。

继续显示下一行信息。

S-switch的命令行接口能够自动保存用户键入的历史命令，用户可以随时调用命令行接口保存的历史命令，并重复执行。

缺省情况下，为每个登录用户保存10条历史命令。对历史命令的操作如表2-3所示。

表2-3 使用历史命令

操作

显示历史命令

访问上一条历史命令

命令或功能键

display history-command

上光标键或者

结果

显示用户键入的历史命令

如果还有更早的历史命令，则取出上一条历史命令，否则响铃警告。

访问下一条历史命令 下光标键或者 如果还有更新的历史命令，则取出下一条历史命令，否则清空命令，响铃警告。

说明：

对于Windows 9X的超级终端，↑光标键无效，这是由于Windows 9x的超级终端对这个键作了不同解释，这时可以用组合键代替↑光标键达到同样目的。

在使用历史命令功能时，需要注意：

•

•

S-switch保存的历史命令与用户输入的命令格式相同，如果用户使用了命令的不完整形式，保存的历史命令也是不完整形式。

如果用户多次执行同一条命令，S-switch的历史命令中只保留最晚的一次。但如果执行时输入的形式不同，将作为不同的命令对待。

例如：多次执行display ip routing-table命令，历史命令中只保存一条。如果执行display ip routing和display ip routing-table，将保存为两条历史命令。

2.7 快捷键

介绍S-switch设备提供的快捷键。

•

•

•

2.7.1 快捷键的分类

2.7.2 定义快捷键

2.7.3 快捷键的使用

2.7.1 快捷键的分类

系统中的快捷键分成两类：

• 提供给用户的、可以自由定义的快捷键：共有4个，包括：CTRL_G、CTRL_L、CTRL_O和CTRL_T。用户可以根据自己的需要将这4个快捷键与任意命令进行关联，当键入快捷键时，系统自动执行它所对应的命令。定义此类快捷键的方法请参见“2.7.2 定义快捷键”。

• 系统快捷键：是系统中固定的。这种快捷键不由用户定义，代表固定功能。系统包括的主要快捷键如表2-4所示。

说明：

由于不同的终端软件对于某些键的解释不同，具体终端上实际可用的快捷键与本节所列举的按键组合可能略有差异。

表2-4 系统快捷键

功能键

CTRL_A

CTRL_B

CTRL_C

CTRL_D

CTRL_E

CTRL_F

CTRL_H

CTRL_K

CTRL_N

CTRL_P

CTRL_R

CTRL_U

CTRL_V

CTRL_W

CTRL_X

CTRL_Y

CTRL_Z

CTRL_]

ESC_B

ESC_D

ESC_F

ESC_N

ESC_P

ESC_<

功能

光标移动到当前行的开头

光标向左移动一个字符

停止当前正在执行的功能

删除当前光标所在位置的字符

光标移动到当前行的末尾

光标向右移动一个字符

删除光标左侧的一个字符

停止呼出的连接

查看历史命令缓冲区中的后一条命令

查看历史命令缓冲区中的前一条命令

重新显示当前行信息

删除光标左侧所有的字符

粘贴剪贴板的内容

删除光标左侧的一个字

删除光标左侧所有的字符

删除光标右侧所有的字符

回到用户视图

终止呼入的连接或重定向连接

光标向左移动一个字

删除光标右侧的一个字

光标向右移动一个字

光标向下移动一行

光标向上移动一行

将光标所在位置指定为剪贴板的开始位置

功能键

ESC_>

2.7.2 定义快捷键

说明：

功能

将光标所在位置指定为剪贴板的结束位置

定义快捷键时，对于由多个命令字组成的命令，即命令中间有空格，需要使用双引号标识。对于单个命令字的命令，即命令中没有空格，不需要使用双引号。

请在系统视图下进行下列配置。

操作

定义快捷键

命令

hotkey { CTRL_G | CTRL_L | CTRL_O | CTRL_T }command_name

CTRL_G、CTRL_L、CTRL_O三个快捷键的默认值如下：

•

•

•

CTRL_G：对应命令display current-configuration

CTRL_L：对应命令display ip routing-table

CTRL_O：对应命令undo debugging all

其它快捷键默认值为空。

2.7.3 快捷键的使用

•

•

在任何允许输入命令的地方都可以键入快捷键，系统执行时，会将该快捷键对应的命令显示在屏幕上，如同输入了完整的命令一样。

如果用户已经输入了命令的一部分，但是还没有键入回车以确认，此时键入快捷键将会把以前输入的字符全部清空，并将该快捷键对应的命令显示在屏幕上，效果与用户删除所有的输入，然后重新敲入完整的命令一样。

• 快捷键的执行与命令一样，也会将命令原形记录在命令缓冲区和日志中以备问题定位和查询。

说明：

快捷键的功能可能受用户所用的终端影响，例如用户终端本身自定义的快捷键与S-switch系统中的快捷键功能发生冲突，此时如果用户键入快捷键将会被终端程序截获而不能执行它所对应的命令行。

可以在所有视图下执行以下命令。

操作 命令

显示快捷键的使用情况 display hotkey

目 录

3 常用配置和操作

3.1 简介

3.1.1 常用操作介绍

3.1.2 常用配置介绍

3.1.3 配置任务的逻辑关系

3.1.4 常用的操作

3.1.5 锁定用户界面

3.1.6 在用户界面间传递消息

3.1.7 断开指定用户界面的连接

3.2 基本的系统配置

3.2.1 设置S-switch设备名称

3.2.2 设置S-switch设备时间

3.3 调整命令行和用户级别

3.3.1 切换用户级别

3.3.2 扩展命令行级别

3.3.3 扩展用户级别

3.4 常用Telnet操作

3.4.1 发起Telnet连接

3.4.2 断开Telnet连接

插图目录

图3-1 级联Telnet中的断开操作

3 常用配置和操作

介绍命令行中的常用操作和配置。

•

•

•

•

3.1 简介

简要介绍常用操作和配置。

3.2 基本的系统配置

介绍S-switch设备上基础的系统配置操作。

3.3 调整命令行和用户级别

介绍如何调整命令行和用户级别。

3.4 常用Telnet操作

介绍如何发起和断开Telnet操作。

3.1 简介

简要介绍常用操作和配置。

•

•

•

•

•

•

•

3.1.1 常用操作介绍

3.1.2 常用配置介绍

3.1.3 配置任务的逻辑关系

3.1.4 常用的操作

介绍S-switch设备上常用的操作。

3.1.5 锁定用户界面

3.1.6 在用户界面间传递消息

3.1.7 断开指定用户界面的连接

3.1.1 常用操作介绍

本章会对S-switch设备上的一些常用操作进行介绍，这些常用操作包括进入、退出视图以及查看系统信息等。进行这些操作不会对设备的配置文件产生影响。

3.1.2 常用配置介绍

为了更好的使用S-switch设备，需要在设备上进行一些常用的配置，包括给设备设置名称、时间，以及选择语言模式，还可以对用户级别、命令行级别进行管理。这些操作会在配置文件中留有记录。

3.1.3 配置任务的逻辑关系

配置任务间没有明显的逻辑关系，可以根据需要进行配置。

3.1.4 常用的操作

介绍S-switch设备上常用的操作。

进入系统视图

用户登录到S-switch后，即进入用户视图，此时执行下面的命令即可进入系统视图。

操作 命令

从用户视图进入系统视图 system-view

# 进入系统视图。

system-view

[Quidway]

退出当前视图

请在任何视图下执行下面的命令。

操作

返回到低级别命令视图 quit

命令

从任意的非用户视图返回到用户视图 return

说明：

•

•

•

在用户视图下执行quit命令就会退出系统。

在系统视图下执行quit或return命令则返回到用户视图。

return命令的功能也可以用组合键完成。

查看系统状态信息

利用display命令可以收集系统状态信息，根据功能可以划分为以下两类。

•

•

显示系统配置信息的命令

显示系统运行状态的命令

有关各种协议和各种接口的display命令请参见相关章节。本节只介绍部分与系统状态相关的display命令。

显示系统配置信息的命令

请在所有视图下执行下表中的display命令。

操作

显示系统时钟

显示当前配置信息

命令

display clock

display current-configuration

显示当前视图的运行配置 display this

显示系统运行状态的命令

请在所有视图下执行下表中的display命令。

操作

显示终端用户

显示系统版本

命令

display users [ all]

display version [slot-id

]

3.1.5 锁定用户界面

在用户需要暂时离开操作终端时，为防止未授权的用户操作该终端界面，可以锁定用户界面。

锁定用户界面时，需要输入口令并确认。解除锁定时，必须输入正确的口令。

请在用户视图下进行下列操作。

操作

锁定用户界面 lock

3.1.6 在用户界面间传递消息

用户需要向别的用户界面发送信息时，请在用户视图下进行下列操作。

操作

在用户界面间传递信息

3.1.7 断开指定用户界面的连接

用户需要断开指定用户界面的连接，请在用户视图下进行下列操作。

操作

断开指定用户界面的连接

3.2 基本的系统配置

介绍S-switch设备上基础的系统配置操作。

•

•

3.2.1 设置S-switch设备名称

3.2.2 设置S-switch设备时间

3.2.1 设置S-switch设备名称

背景信息

在需要设置名称的S-switch上进行如下配置。

操作步骤

1.

2.

3.2.2 设置S-switch设备时间

请在用户视图下进行下列操作。

操作

设置UTC标准时间

设置采用夏时制

clock datetime time

clock

daylight-saving-time

time-zone-name one-year

start-time

命令

执行命令system-view，进入系统视图。

执行命令sysname

host-name，设置S-switch设备名称。

S-switch缺省的设备名称是Quidway。

命令

free user-interface {

ui-type ui-number |number }

命令

send { all |

ui-type ui-number |number }

命令

start-date end-time end-date offset

设置所在的时区 clock

timezone

time-zone-name { add | minus }

offset

为了保证与其他设备协调工作，需要准确设置系统的时间。S-switch支持时区和夏时制的设置。

3.3 调整命令行和用户级别

介绍如何调整命令行和用户级别。

•

•

•

3.3.1 切换用户级别

3.3.2 扩展命令行级别

3.3.3 扩展用户级别

3.3.1 切换用户级别

操作 命令

切换用户级别 super [

level ]

要从较低级别用户切换到较高级别的用户，需要输入正确的口令。

说明：

当以低级别登录的用户通过super命令切换到高级别时，系统会自动发送trap信息，并记录在日志中。如果切换到的级别低于当前级别，则仅记录在日志中。

3.3.2 扩展命令行级别

背景信息

请在S-switch上进行如下配置。

操作步骤

1.

2.

3.

执行命令system-view，进入系统视图。

执行命令command-privilege level rearrange，批量提升命令的级别。

执行命令command-privilege level

level view

view-name

command-key，设置命令级别。

command-privilege命令可以一次指定多条命令（command-key）的级别及所在视图。

说明：

所有的命令都有默认的视图和优先级，一般不需要用户进行重新设置。

在执行命令command-privilege level rearrange时，如果用户没有设置相应切换到15级用户级别的密码，系统会提示用户设置15级用户的super密码，提醒用户是否继续执行命令级别提升，用户需要先选择N，设置密码。如果先选择Y，那么命令的级别就会直接批量提升，导致非Console口用户无法提升自己级别。

3.3.3 扩展用户级别

背景信息

命令级别提升为0～15级，用户的级别也需要相应的由0～3级扩展到0～15级。

在S-switch上进行如下的配置。

操作步骤

1.

2.

3.

3.4 常用Telnet操作

执行命令system-view，进入系统视图。

执行命令user-interface [

ui-type ]

first-ui-number [

last-ui-number ]，进入用户界面视图。

执行命令user privilege level

level，配置扩展当前用户所能访问的命令级别。

介绍如何发起和断开Telnet操作。

•

•

3.4.1 发起Telnet连接

3.4.2 断开Telnet连接

3.4.1 发起Telnet连接

操作

发起Telnet连接

命令

telnet {

host-ip-address |

host-name }

[port-number ]

该功能适合于所有级别的用户。在实际操作中，在用户视图下使用telnet命令向指定地址或名称的设备发起连接。

例如，S-switch-B作为Telnet Server，IP地址为10.1.1.1。S-switch-A作为Telnet Client，向S-switch-B发起Telnet连接，在S-switch-A上的显示信息为：

telnet 10.1.1.1

Trying 10.1.1.1 ...

Press CTRL+T to abort

Connected to 10.1.1.1 ...

Login authentication

Password:

Note: The max number of VTY users is 15, and the current number

of VTY users on line is 8.

输入正确的密码后，系统显示S-switch-B的提示符，表示用户已经成功地登录到了S-switch-B。

3.4.2 断开Telnet连接

在Telnet连接过程中，可以使用quit命令和两种快捷键来中断连接。

例如，用户PC已经Telnet登录到S-switch-A，然后在S-switch-A上运行telnet命令登录到S-switch-B，在S-switch-B上运行telnet命令登录到S-switch-C，三台S-switch构成级联结构。

图3-1 级联Telnet中的断开操作

•

为：

quit

Note: The max number of VTY users is 5, and the current number

of VTY users on line is 0.

The connection was closed by the remote host!

使用quit命令

在S-switch-C（IP地址为20.1.1.1）的用户视图下使用quit命令，退回到S-switch-B的提示符。显示信息

在S-switch-B（IP地址为10.1.1.1）的用户视图下使用quit命令，退回到S-switch-A的提示符。显示信息为：

quit

Note: The max number of VTY users is 5, and the current number

of VTY users on line is 0.

The connection was closed by the remote host!

说明：

如果按键快捷键的过程中出现网络中断，则快捷键不能传送到Telnet Server端。

• 使用快捷键（退出效果完全等同于quit命令）

在S-switch-C的任意视图下按键，退回到S-switch-B的提示符。显示信息为：

（按下）

Note: The max number of VTY users is 5, and the current number

of VTY users on line is 0.

The connection was closed by the remote host!

• 使用快捷键

当Server端故障且Client无法感知的情况下，此时Server无法响应在Client上输入的任何指令。这种情况下在Client上键入快捷键，则Client主动中断并退出整个Telnet连接。在S-switch-C的任意视图下按键，直接中断并退出Telnet连接。显示信息为：

（按下）

目 录

4 管理登录用户

4.1 简介

4.1.1 用户登录方式

4.1.2 用户界面

4.1.3 用户验证

4.1.4 Telnet终端服务

4.1.5 SSH终端服务

4.1.6 参考信息

4.1.7 配置任务的逻辑关系

4.2 配置Console口登录用户

4.2.1 建立配置任务

4.2.2 （可选）配置Console用户界面属性

4.2.3 （可选）配置用户验证

4.2.4 （可选）配置用户级别

4.2.5 检查配置结果

4.3 配置Telnet登录用户

4.3.1 建立配置任务

4.3.2 （可选）配置VTY用户界面属性

4.3.3 配置VTY用户界面支持Telnet服务

4.3.4 配置Telnet服务器的IP地址

4.3.5 配置用户验证

4.3.6 配置用户级别

4.3.7 检查配置结果

4.4 配置SSH登录用户

4.4.1 建立配置任务

4.4.2 （可选）配置VTY用户界面属性

4.4.3 配置VTY用户界面支持SSH服务

4.4.4 配置SSH服务器的IP地址

4.4.5 配置Password方式验证SSH登录用户

4.4.6 配置RSA方式验证SSH登录用户

4.4.7 （可选）配置SSH的定时器和验证次数

4.4.8 检查配置结果

4.5 维护

4.6 配置举例

4.6.1 配置Telnet用户登录的示例（Ethernet网络）

4.6.2 配置SSH用户登录的示例

插图目录

图4-1 S-switch提供Telnet Server服务

图4-2 S-switch提供Telnet Client服务

图4-3 S-switch提供级联Telnet服务

图4-4 PC与S-switch建立本地SSH连接

图4-5 ethernet网络用户远程登录组网图

图4-6 SSH本地配置组网图

表格目录

表4-1 用户登录方式

表4-2 用户界面类型

表4-3 登录用户的类型

表4-4 登录用户的验证方式

表4-5 调试终端服务

4 管理登录用户

介绍了用户界面管理、配置Telnet终端服务、配置SSH终端服务和维护终端服务配置、从Console口登录S-switch方式。

•

•

•

•

•

•

4.1 简介

介绍用户登录的方式和概念。

4.2 配置Console口登录用户

用户第一次登录到S-switch，对S-switch进行配置。

4.3 配置Telnet登录用户

通过Telnet协议远程登录到S-switch，对S-switch进行配置。

4.4 配置SSH登录用户

对用户登录的安全性要求较高时，用户则需要通过SSH方式登录到S-switch，对S-switch进行配置。

4.5 维护

对用户界面、终端服务等进行维护。

4.6 配置举例

介绍各种用户登录的实例。

4.1 简介

介绍用户登录的方式和概念。

• 4.1.1 用户登录方式

•

•

•

•

•

•

4.1.2 用户界面

4.1.3 用户验证

4.1.4 Telnet终端服务

4.1.5 SSH终端服务

4.1.6 参考信息

4.1.7 配置任务的逻辑关系

4.1.1 用户登录方式

为了能配置、监控和维护本地或远端的S-switch，需要配置用户界面、用户验证和终端服务，用户才能登录到设备。用户界面提供了登录场所，用户验证确保了登录安全，终端服务提供了登录协议支持。

S-switch支持的登录方式参见表4-1所示。

表4-1 用户登录方式

登录类型 适用范围

本章描述。

本章描述。

本章描述。

使用方法请参见“文件管理”章节。

说明

Console接口 本地维护

Telnet方式 本地、远程维护

SSH方式

FTP方式

本地、远程维护

本地、远程维护

出于安全型考虑，一方面需要合理的规划用户及用户登录后被赋予的权限，另一方面需要为传输的信息提供安全性保障。

4.1.2 用户界面

用户界面UI（User Interface）是S-switch提供用户登录服务的一种视图。借助用户界面视图，可以配置和管理所有工作在异步、交互方式下的物理接口和逻辑接口参数，实现对登录用户的管理、验证和验证后的授权级别。

用户界面的类型

S-switch支持的用户界面类型如表4-2所示。

表4-2 用户界面类型

类型

CON

用途

适用于从Console接口进行本地登录

VTY 适用于适用于通过Telnet或SSH方式进行本地或远程登录

用户界面的编号

同一用户界面可以采用两种编号方式：相对编号和绝对编号。

• 相对编号

相对编号是在每种类型用户界面的内部进行编号。相对编号方式只能唯一指定某种类型的用户界面中的一个或一组，而不能跨类型操作。

用户界面的相对编号的形式为“用户界面类型+编号”。相对编号规则如下：

▪

▪

•

CON的相对编号为console0

VTY缺省的相对编号分别为vty0、vty1、vty2、vty3和vty4

绝对编号

S-switch为CON和各VTY用户界面分别指定了唯一的缺省固定编号，分别命名为0、33、34、……、38，通过缺省固定编号可以进入指定的用户界面视图。

说明

CON表示一种线设备接口，符合EIA/TIA-232标准，接口类型为DCE。每块主控板上提供一个Console接口。

VTY是一种虚拟接口，表示逻辑终端线。当用户终端以Telnet、FTP或SSH方式登录到S-switch，就建立了一条VTY连接。

4.1.3 用户验证

第一次启动S-switch时，系统内没有预存登录验证信息，此时从Console接口登录S-switch时无需用户验证。

如果不是初次登录，而是从以太网口通过Telnet方式登录，出于安全性考虑，需要对登录用户进行验证。只有验证通过的用户才能登录到S-switch，并进行各种配置和维护操作。

因此，需要在S-switch上规划登录用户，为用户设置登录密码和登录级别，从而实现对登录用户的管理。

规划登录用户的类型

按照用户登录到S-switch后获得的服务类型和权限，可以将登录用户按照表4-3进行划分。

表4-3 登录用户的类型

用户类型

超级用户

登录描述

从Console接口通过配置电缆直接登录，拥有所有权限。

用户验证需求

初次不验证登录用户，后续建议验证。

Telnet用户 从以太网口通过Telnet方式登录，拥有受控权限。在用户终端和S-switch之间建立Telnet连接。

SSH用户 从以太网口通过SSH方式登录，拥有受控权限。在用户终端和S-switch之间建立SSH连接。

FTP用户 从以太网口通过FTP方式登录，拥有受控权限。在用户终端和S-switch之间建立FTP连接。

用户通过Telnet、SSH和FTP方式登录，能获得的权限取决于登录连接所在用户界面的优先级。同时，S-switch支持同一用户能同时获得多种服务。因此，需要合理的规划登录用户类型和用户级别，兼顾登录便捷性和安全性。

有关FTP用户的配置请参见“文件管理”章节。

验证登录用户

在S-switch上配置了用户后，系统会对新登录用户进行身份验证。S-switch提供了三种验证方式，如表4-4所示。

表4-4 登录用户的验证方式

验证方式

不验证

Password验证

AAA本地验证

登录描述

登录用户不需要输入用户名和密码，就可以直接登录S-switch。存在很大的安全隐患。

登录用户只需要输入密码，无需用户名，可以获得一定的安全性。

登录用户需要提供用户名和密码，由S-switch根据本地配置的用户信息进行验证。进一步改善了安全性，提供了基于用户的安全管理，适用于通过Console接口和Telnet登录的用户。

4.1.4 Telnet终端服务

Telnet协议在TCP/IP协议族中属于应用层协议，基于TCP连接提供远程登录和虚拟终端功能。S-switch提供的Telnet服务包括：

提供Telnet Server功能

缺省情况下，S-switch提供Telnet Server功能，用户终端上运行Telnet客户端程序，如图4-1所示。

建议验证登录用户

建议验证登录用户

建议验证登录用户

图4-1 S-switch提供Telnet Server服务

用户PC通过Telnet连接登录到S-switch上进行配置和管理。例如，从用户PC机跨越L2 Switch直接Telnet登录到S-switch，要求用户PC机的IP地址和S-switch用户侧IP地址在同一网段，而且L2 Switch和S-switch属于同一VLAN。

说明：

S-switch支持的Telnet终端服务属性要求：字符方式输入、本地不回显、VT100终端类型，只有Client和Server端的属性相同时Telnet才能正常进行。

有关VLAN的知识和配置，请参见《Quidway S5300系列以太网交换机 配置指南 以太网》中的“VLAN配置”章节。

提供Telnet Client功能

S-switch作为Telnet Client发起连接，网络中的路由器或应用服务器作为Telnet Server。如图4-2所示。

图4-2 S-switch提供Telnet Client服务

S-switch通过Telnet连接登录到路由器进行配置和管理，要求S-switch网络侧IP地址和路由器IP地址在同一网段。S-switch通过Telnet连接登录到应用服务器上进行配置和管理，也要求S-switch网络侧IP地址和路由器IP地址在同一网段，并与应用服务器的IP地址在网络层互通。

提供级联Telnet功能

S-switch同时提供Telnet Client和Telnet Server功能，如图4-3所示。

图4-3 S-switch提供级联Telnet服务

S-switch-A通过Telnet连接先登录到S-switch-B，然后从S-switch-B再通过Telnet连接登录到S-switch-C，三台S-switch构成级联登录结构。此时，S-switch-A是S-switch-B的Client，S-switch-B是S-switch-C的Client。

要求S-switch-A和S-switch-B属于同一VLAN，并且它们的IP地址在同一网段内；S-switch-B和S-switch-C属于同一VLAN，并且它们的IP地址在同一网段内。

说明：

如果要从S-switch-A直接通过Telnet连接登录到S-switch-C，则要求三台S-switch都属于同一VLAN，而且它们的IP地址都在同一网段内。

4.1.5 SSH终端服务

SSH简介

SSH（Secure Shell）在TCP/IP协议族中属于应用层协议，主要用于在不保证安全的网络环境中提供远程登录和虚拟终端功能。SSH基于TCP连接为传输信息提供强大的安全保障和验证功能，从而有效地抵御IP地址欺骗、明文密码截取、DoS（Denial of Service）等攻击。如图4-4所示。

图4-4 PC与S-switch建立本地SSH连接

SSH采用了客户/服务器体系模型，通过建立SSH连接构建多条安全的传输通路。例如，S-switch作为SSH Server，可以接受来自多个用户PC机（SSH Client）的连接，用户PC机和SSH Server之间可能存在L2 Switch设备。

在实际组网时，要求用户PC机的IP地址和S-switch用户侧IP地址在同一网段，而且L2 Switch和S-switch属于同一VLAN（Virtual Local Area Network）。

目前，SSH包含v1.0、v1.5和v2.0三个版本，其中1.5后向兼容1.0，而v2.0与v1.5是互不兼容的。

SSH的优势

相对Telnet终端服务，SSH可以在没有安全保障的网络上提供安全的远程访问，优势如下：

•

•

•

•

支持RSA（Revest-Shamir-Adleman Algorithm）验证方式

支持DES（Data Encryption Standard）、3DES数据加密方式

支持用户名/口令的加密传输

支持交互数据的加密传输

SSH终端服务采用RSA算法，可以遵照非对称加密体系的加密原则，通过生成公钥和私钥，以加密方式传递密钥、用户名/口令、交互数据，最终实现了整个会话信息的端到端安全传递。

SSH连接的建立过程

SSH连接的建立过程包括如下五个阶段：

1. 协商SSH版本号

首先，SSH Client向Server发送TCP连接请求。TCP连接建立后，SSH Server和Client之间协商版本号。经过协商，如果两端的版本匹配，则进入协商密钥阶段；否则Server会断开TCP连接。

2. 协商密钥

本阶段活动包括协商密钥算法、计算会话密钥。

SSH Server随机产生RSA密钥，将该密钥的公钥部分发送给SSH Client。

SSH Client根据接收到的RSA公钥和本地产生的随机数来计算会话密钥，然后使用来自Server端公钥对用于计算会话密钥的那部分随机数进行加密，最后将加密后的随机数发送给SSH Server。

SSH Server使用自己的私钥解密来自Client的数据，得到Client端随机数，并根据自己的公钥和Client端随机数计算出会话密钥。

说明：

通过计算，SSH Server和Client都能够获得相同的会话密钥，从而避免了在网络中传递会话密钥时引起的不安全。

3. 验证用户身份

在计算出会话密钥后，SSH Server将对Client进行用户身份验证。

SSH Client向Server发送用户身份信息。如果Server上配置了该用户无需验证，则直接进入请求会话阶段；否则Server会验证该用户身份。

SSH Server提供两种验证方法：口令验证和RSA验证。

•

•

▪

▪

▪

▪

▪

▪

口令验证：SSH Server对来自Client的用户名/口令和预先配置的用户名/口令进行比较，如果完全匹配则验证通过。

RSA验证过程如下：

在SSH Server上预先配置Client端RSA公钥；

SSH Client首先向Server发送自己的RSA公钥成员模数；

Server对成员模数进行有效性验证，并产生一个随机数，然后使用Client端RSA公钥加密并发送给Client；

Server和Client都根据此随机数来计算用于验证的数据；

Client将自己计算出来的验证数据回送给Server；

Server比较来自Client的验证数据和本地计算得到的验证数据，如果二者相同则验证通过，否则验证失败。

如果在SSH Server上配置对用户身份进行验证，Client将采用配置的各种验证方法向Server提出验证请求，直到验证通过或者连接超时断开。

4.

5.

话。

4.1.6 参考信息

如果需要了解更多关于终端服务的信息，请参见：

•

•

•

•

•

RFC 854: Telnet Protocol Specification

RFC 857: Telnet Echo Option

RFC 858: Telnet Suppress Go Ahead Option

RFC 1091: Telnet Terminal-Type Option

Draft-Ylonen-SSH-Protocol-00

4.1.7 配置任务的逻辑关系

为了让用户能顺利、安全的登录到S-switch，可以按照如下思路进行配置：

•

•

•

确定登录的用户界面类型，并配置用户界面的登录参数

规划用户级别，配置登录用户的验证信息

配置各种终端服务

4.2 配置Console口登录用户

用户第一次登录到S-switch，对S-switch进行配置。

4.2.2 （可选）配置Console用户界面属性、4.2.3 （可选）配置用户验证、4.2.4 （可选）配置用户级别没有严格的先后次序，根据需要配置。

•

•

•

4.2.1 建立配置任务

4.2.2 （可选）配置Console用户界面属性

4.2.3 （可选）配置用户验证

请求会话

验证通过后，SSH Client将向Server发送会话请求。Server成功处理请求后，双方进入交互会话阶段。

交互会话

SSH Client和Server使用会话密钥对交互数据进行加密和解密，双方开始高安全性的通讯，直到双方结束会

•

•

4.2.4 （可选）配置用户级别

4.2.5 检查配置结果

4.2.1 建立配置任务

应用环境

用户需要从Console口进行本地登录，配置和管理S-switch。

前置任务

在配置Console口用户前，需要完成以下任务：

•

•

S-switch正常启动

PC机上的超级终端正确设置

数据准备

在配置Console口用户前，需准备以下数据：

序号

1

2

3

4

5

6

7

8

（可选）自动执行的命令

（可选）终端屏幕的行数

（可选）历史命令缓冲区大小

（可选）登录用户的超时断连时间

用户界面的类型和编号

（可选）验证方式、验证密码、服务类型、用户登录级别

用户界面的缺省级别

（可选）用户级别切换的口令

数据

4.2.2 （可选）配置Console用户界面属性

操作步骤

•

1.

2.

3.

4.

令。

3、4在配置时没有先后顺序要求。

•

1.

2.

3.

配置用户界面的登录参数

执行命令system-view，进入系统视图。

执行命令user-interface { 0 | console 0 }，进入用户界面视图。

执行命令idle-timeout

minutes [

seconds ]，配置登录用户的超时断连时间。

缺省情况下，登录用户的超时断连时间为10分钟，即如果登录用户10分钟内没有任何操作，则此终端线路自动断开。使用idle-timeout 0 0命令可以设置为永不超时断连。

•

1.

2.

3.

4.

配置用户界面的异步通讯参数

执行命令system-view，进入系统视图。

执行命令user-interface { 0 | console 0 }，进入用户界面视图。

执行命令speed

speed-value，配置传输速率。

执行命令parity { none | even | odd | mark | space }，配置校验位。

3、4在配置时没有先后顺序要求。

配置用户界面的显示属性

执行命令system-view，进入系统视图。

执行命令user-interface { 0 | console 0 }，进入用户界面视图。

执行命令screen-length

screen-length，配置终端屏幕的行数；

执行命令history-command max-size

size，配置历史命令缓冲区大小。

缺省情况下，所有用户界面上都启动了终端服务功能，终端屏幕一屏长度为24行，历史缓冲区大小为10条命

4.2.3 （可选）配置用户验证

操作步骤

•

1.

2.

3.

配置不验证登录用户

执行命令system-view，进入系统视图。

执行命令user-interface { 0 | console 0 }，进入用户界面视图。

执行命令authentication-mode none，配置采用不验证方式。

使用3配置不验证方式后，用户将直接能登录进入S-switch，无需经过身份验证。这样会降低系统的安全性，建议不要采用该方式。

• 配置Password方式验证登录用户

说明：

配置Password验证方式，必须设置验证密码，否则不能登录。

1.

2.

3.

4.

•

1.

2.

3.

4.

5.

6.

7.

执行命令system-view，进入系统视图。

执行命令user-interface { 0 | console 0 }，进入用户界面视图。

执行命令authentication-mode password，配置采用Password验证方式。

执行命令set authentication password { cipher | simple }

password，配置验证登录用户的密码。

配置AAA本地方式验证登录用户

执行命令system-view，进入系统视图。

执行命令user-interface { 0 | console 0 }，进入用户界面视图。

执行命令authentication-mode aaa，进入AAA视图。

执行命令quit，退回到系统视图。

执行命令aaa，进入AAA视图。

执行命令local-user

user-name password { simple | cipher }

password，配置本地用户名及密码。

执行命令local-user

user-name service-type { ftp | ppp | ssh | telnet | terminal } ，配置用户的登录服务类型。

8.

9.

10.

执行命令local-user

user-name level

level，配置用户的登录级别。

执行命令authentication-scheme

authentication-scheme-name，创建验证方案，并进入验证方案视图。

执行命令authentication-mode local，配置AAA验证方式为本地。

在配置完毕用于本地验证的用户名/密码、登录服务类型和登录级别后，再使用步骤9和10设置本地验证。

用户登录S-switch时，其所能使用的命令级别取决于自身优先级与用户界面对应级别的配置。如果两种级别同时配置，则根据用户级别对应的权限访问系统。例如，用户Tom的级别是3，而VTY0用户界面配置的登录用户缺省级别为1，则Tom从VTY0登录系统时，可以使用3级及以下的命令；如果没有单独为用户Tom配置级别，则从VTY 0登录系统时只能使用1级及以下的命令。

4.2.4 （可选）配置用户级别

操作步骤

1.

2.

3.

4.

5.

执行命令system-view，进入系统视图。

执行命令user-interface { 0 | console 0 }，进入用户界面视图。

执行命令user privilege level

level，配置用户界面的缺省级别。

执行命令quit，退回到系统视图。

执行命令super password [ level

user-level ] { simple | cipher } password，配置切换用户级别的口令。

*

在不验证用户或采用Password方式验证用户的情况下，登录到S-switch的用户所能使用命令的级别由用户界面级别确定。缺省情况下，CON用户界面的级别为3，即从Console口登录的用户级别为3；从其它用户界面登录的用户级别为0。

如果登录到S-switch的用户级别较低，若想使用高级别的命令，则需要切换到较高级别用户，5配置了用户级别切换的口令。

4.2.5 检查配置结果

操作

显示用户界面的使用信息

显示用户界面的物理属性和一些配置

display users [ all ]

display user-interface [

ui-type

命令

ui-number | number ] [summary ]

4.3 配置Telnet登录用户

通过Telnet协议远程登录到S-switch，对S-switch进行配置。

4.3.2 （可选）配置VTY用户界面属性、4.3.3 配置VTY用户界面支持Telnet服务、4.3.4 配置Telnet服务器的IP地址、4.3.5 配置用户验证、4.3.6 配置用户级别没有严格的先后次序，根据需要配置。

•

•

•

•

•

•

•

4.3.1 建立配置任务

4.3.2 （可选）配置VTY用户界面属性

4.3.3 配置VTY用户界面支持Telnet服务

4.3.4 配置Telnet服务器的IP地址

4.3.5 配置用户验证

4.3.6 配置用户级别

4.3.7 检查配置结果

4.3.1 建立配置任务

应用环境

如果从以太网口登录S-switch进行配置和管理，则可以采用Telnet方式，此时S-switch需要提供Telnet终端服务。

当用户从其他设备Telnet登录到S-switch，或从S-switch登录到其它设备，则需要根据S-switch在Telnet终端服务中承担的不同角色，进行相应的配置或操作。

前置任务

在配置Telnet用户前，需要完成以下任务：

•

•

S-switch正常启动

PC机上的超级终端正确设置

数据准备

配置Telnet终端服务之前，需准备以下数据：

序号

1

2

3

4

5

6

7

（可选）自动执行的命令

（可选）终端屏幕的行数

（可选）历史命令缓冲区大小

（可选）登录用户的超时断连时间

（可选）登录验证和开始配置时的提示信息

（可选）VTY用户界面的最大数量、呼入呼出限制

（Server侧）VLAN的ID号，及包含的接口

数据

序号

8

9

10

11

数据

（Server侧）Server端的IP地址和掩码

（可选）（Server侧）Server端的登录用户的验证信息

（Client侧）Telnet连接的IP地址或主机名

（可选）（Client侧）Telnet连接的TCP接口号

4.3.2 （可选）配置VTY用户界面属性

操作步骤

• 配置VTY用户界面的显示属性

1. 执行命令system-view，进入系统视图。

2. 执行命令 user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

既可以进入单用户界面视图对一个VTY进行配置，也可以进入多用户界面视图同时对多个VTY进行配置。

3. 执行命令screen-length

screen-length，配置终端屏幕的行数。

4. 执行命令history-command max-size

size，配置历史命令缓冲区大小。

缺省情况下，所有用户界面上都启动了终端服务功能，终端屏幕一屏长度为24行，历史缓冲区大小为10条命令。

3、4在配置时没有先后顺序要求。

• 配置VTY用户界面的登录参数

1. 执行命令system-view，进入系统视图。

2. 执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

3. 执行命令auto-execute command

command，配置自动执行命令。

用户在登录时将自动执行由命令auto-execute command指定好的command命令，命令执行结束后自动断开用户线。通常是在登录时自动执行Telnet命令，从而使用户自动连接到指定的主机。

4. 执行命令idle-timeout

minutes [

seconds ]，配置登录用户的超时断连时间。

缺省情况下，登录用户的超时断连时间为10分钟，即如果登录用户10分钟内没有任何操作，则此终端线路自动断开。使用idle-timeout 0 0命令可以设置为永不超时断连。

• 配置登录用户的提示界面

1. 执行命令system-view，进入系统视图。

2. 执行命令header login { file

file-name | information

text

}，配置登录验证时的提示信息。

3. 执行命令header shell { file

file-name | information

text }，配置开始配置时的提示信息。

提示信息是用户连接到S-switch、接受登录验证并开始交互配置时，系统显示的一段文本信息。

• 配置VTY用户界面的数量和限制

1. 执行命令system-view，进入系统视图。

2. 执行命令user-interface maximum-vty

type-number，配置VTY连接的最大数量。

3. 执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入VTY用户界面视图。

4. 执行命令acl

acl-number { inbound | outbound }，配置VTY连接的呼入或呼出能力。

• 配置VTY用户界面的数量

1. 执行命令system-view，进入系统视图。

2. 执行命令user-interface maximum-vty

type-number，配置VTY连接的最大数量。

4.3.3 配置VTY用户界面支持Telnet服务

操作步骤

1.

2.

3.

4.

执行命令system-view，进入系统视图。

执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

执行命令shell，使能终端服务功能。

执行命令protocol inbound telnet，配置用户界面支持Telnet服务。

缺省情况下，VTY用户界面支持Telnet服务。

4.3.4 配置Telnet服务器的IP地址

背景信息

说明：

Telnet Client和Telnet Server的IP地址应该在相同的网络段内。

配置Telnet服务器上以太网口的IP地址,需执行以下步骤：

操作步骤

1.

2.

3.

4.

5.

6.

执行命令system-view，进入系统视图。

执行命令vlan

vlan-id，创建VLAN，并进入VLAN视图。

执行命令port

interface-type {

interface-number [ to

interface-number ] } &<1-10>，配置VLAN包含的接口。

执行命令quit，退回到系统视图。

执行命令interface vlanif

vlan-id，进入VLAN逻辑接口视图。

执行命令ip address

ip-address {

mask |

mask-length }，配置VLAN逻辑接口的IP地址。

由于S-switch对传输业务仅提供二层处理，因此借助VLAN逻辑接口来提供IP地址，并支撑Telnet终端服务。

首先需要创建VLAN，并配置VLAN包含的接口范围。然后进入指定VLAN的逻辑接口视图配置供Telnet连接的IP地址。无论S-switch作为Server端还是Client端，都需要配置IP地址，并且通过此VLAN包含的接口与其它设备连接。

4.3.5 配置用户验证

操作步骤

• 配置不验证登录用户

1. 执行命令system-view，进入系统视图。

2. 执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

3. 执行命令authentication-mode none，配置采用不验证方式。

使用步骤3配置不验证方式后，用户将直接能登录进入S-switch，无需经过身份验证。这样会降低系统的安全性，建议不要采用该方式。

• 配置Password方式验证登录用户

说明：

配置Password验证方式，必须设置验证密码，否则不能登录。

1. 执行命令system-view，进入系统视图。

2. 执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

3. 执行命令authentication-mode password，配置采用Password验证方式。

4. 执行命令set authentication password { cipher | simple }

password，配置验证登录用户的密码。

• 配置AAA本地方式验证登录用户

1. 执行命令system-view，进入系统视图。

2. 执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

3. 执行命令authentication-mode aaa，进入AAA视图。

4. 执行命令quit，退回到系统视图。

5. 执行命令aaa，进入AAA视图。

6. 执行命令local-user

user-name password { simple | cipher }

password，配置本地用户名及密码。

7. 执行命令local-user

user-name service-type { ftp | ppp | ssh | telnet | terminal } ，配置用户的登录服务类型。

此步骤可选。

8. 执行命令local-user

user-name level

level，配置用户的登录级别。

9. 执行命令authentication-scheme

authentication-scheme-name，创建验证方案，并进入验证方案视图。

10. 执行命令authentication-mode local，配置AAA验证方式为本地。

在配置完毕用于本地验证的用户名/密码、登录服务类型和登录级别后，再使用9和10设置本地验证。

用户登录S-switch时，其所能访问的命令级别取决于自身优先级与用户界面对应级别的配置，如果两种级别同时配置，则根据用户级别对应的权限访问系统。例如，用户Tom的级别是3，而VTY0用户界面配置的登录用户缺省级别为1，则Tom从VTY0登录系统时，可以使用3级及以下的命令；如果没有单独为用户Tom配置级别，则从VTY 0登录系统时只能使用1级及以下的命令。

• 配置AAA服务器方式验证登录用户

使用AAA服务器验证登录用户的配置，请参见《Quidway S5300系列以太网交换机 配置指南-安全》中的“AAA配置”章节。

4.3.6 配置用户级别

操作步骤

1.

2.

3.

4.

5.

执行命令system-view，进入系统视图。

执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

执行命令user privilege level

level，配置从当前用户界面登录的用户所能访问的命令级别。

执行命令quit，退回到系统视图。

执行命令super password [ level

user-level ] { simple | cipher }

password，配置切换用户级别的口令。

在不验证用户或采用Password方式验证用户的情况下，登录到S-switch的用户所能访问命令的级别由用户界面级别确定。缺省情况下，CON用户界面的级别为3，即从Console口登录的用户级别为3；从其它用户界面登录的用户级别为0。

如果登录到S-switch的用户级别较低，若想访问高级别的命令，则需要切换到较高级别用户，5配置了用户级别切换的口令。

4.3.7 检查配置结果

操作

显示用户界面的使用信息

显示VTY类型用户界面的最大个数

显示用户界面的物理属性和一些配置

命令

display users [ all ]

display user-interface maximum-vty

display user-interface [

ui-type

*ui-number |number ] [ summary ]

操作

显示当前建立的所有TCP连接情况

4.4 配置SSH登录用户

display tcp status

命令

对用户登录的安全性要求较高时，用户则需要通过SSH方式登录到S-switch，对S-switch进行配置。

4.4.2 （可选）配置VTY用户界面属性、4.4.3 配置VTY用户界面支持SSH服务、4.4.4 配置SSH服务器的IP地址、4.4.5 配置Password方式验证SSH登录用户、4.4.6 配置RSA方式验证SSH登录用户全部在SSH Server上配置，4.4.3 配置VTY用户界面支持SSH服务、4.4.4 配置SSH服务器的IP地址没有先后次序，用户根据需要从4.4.5 配置Password方式验证SSH登录用户中选择一种验证方式。

•

•

•

•

•

•

•

•

4.4.1 建立配置任务

4.4.2 （可选）配置VTY用户界面属性

4.4.3 配置VTY用户界面支持SSH服务

4.4.4 配置SSH服务器的IP地址

4.4.5 配置Password方式验证SSH登录用户

4.4.6 配置RSA方式验证SSH登录用户

4.4.7 （可选）配置SSH的定时器和验证次数

4.4.8 检查配置结果

4.4.1 建立配置任务

应用环境

从以太网口登录S-switch进行配置和管理，如果对登录用户的安全性要求较高时，需要S-switch提供SSH终端服务。

前置任务

在配置SSH用户前，需要完成以下任务：

•

•

•

S-switch正常启动

PC机上的超级终端正确设置

使用SSH1.5的客户端软件生成RSA公共密钥

数据准备

配置SSH终端服务之前，需准备以下数据：

序号

1

2

3

4

5

6

7

8

9

10

11

（可选）自动执行的命令

（可选）终端屏幕的行数

（可选）历史命令缓冲区大小

（可选）登录用户的超时断连时间

（可选）登录验证和开始配置时的提示信息

（可选）VTY用户界面的最大数量、呼入呼出限制

VLAN的ID号，及包含的接口

Server端的IP地址和掩码

（可选）Server端的登录用户的验证信息

RSA公共密钥

（可选）SSH密钥的更新时间、验证超时时间、验证重试次数

数据

4.4.2 （可选）配置VTY用户界面属性

操作步骤

• 配置用户界面的显示属性

1. 执行命令system-view，进入系统视图。

2. 执行命令 user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

既可以进入单用户界面视图对一个VTY进行配置，也可以进入多用户界面视图同时对多个VTY进行配置。

3. 执行命令screen-length

screen-length，配置终端屏幕的行数。

4. 执行命令history-command max-size

size，配置历史命令缓冲区大小。

缺省情况下，所有用户界面上都启动了终端服务功能，终端屏幕一屏长度为24行，历史缓冲区大小为10条命令。

3、4在配置时没有先后顺序要求。

• （可选）配置用户界面的登录参数

1. 执行命令system-view，进入系统视图。

2. 执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

3. 执行命令auto-execute command

command，配置自动执行命令。

用户在登录时将自动执行由命令auto-execute command指定好的command命令，命令执行结束后自动断开用户线。通常是在登录时自动执行Telnet命令，从而使用户自动连接到指定的主机。

4. 执行命令idle-timeout

minutes [

seconds ]，配置登录用户的超时断连时间。

缺省情况下，登录用户的超时断连时间为10分钟，即如果登录用户10分钟内没有任何操作，则此终端线路自动断开。使用idle-timeout 0 0命令可以设置为永不超时断连。

• 配置登录用户的提示界面

1. 执行命令system-view，进入系统视图。

2. 执行命令header login { file

file-name | information

text }，配置登录验证时的提示信息。

3. 执行命令header shell { file

file-name | information

text }，配置开始配置时的提示信息。

提示信息是用户连接到S-switch、接受登录验证并开始交互配置时，系统显示的一段文本信息。

• 配置VTY用户界面

1. 执行命令system-view，进入系统视图。

2. 执行命令user-interface maximum-vty

type-number，配置VTY连接的最大数量。

3. 执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入VTY用户界面视图。

4. 执行命令acl

acl-number { inbound | outbound }，配置VTY连接的呼入或呼出能力

4.4.3 配置VTY用户界面支持SSH服务

操作步骤

1.

2.

3.

4.

5.

4.4.4 配置SSH服务器的IP地址

操作步骤

1.

2.

执行命令system-view，进入系统视图。

执行命令vlan

vlan-id，创建VLAN，并进入VLAN视图。

执行命令system-view，进入系统视图。

执行命令user-interface {

ui-number | vty

first-number [

last-number ] }，进入用户界面视图。

执行命令authentication-mode aaa，配置采用AAA验证方式。

执行命令shell，使能终端服务功能。

执行命令protocol inbound ssh，配置VTY用户界面支持SSH服务。

3.

4.

5.

6.

执行命令port

interface-type {

interface-number [ to

interface-number

] } &<1-10>，配置VLAN包含的接口。

执行命令quit，退回到系统视图。

执行命令interface vlanif

vlan-number，进入VLAN逻辑接口视图。

执行命令ip address

ip-address {

mask |

mask-len }，配置VLAN逻辑接口的IP地址

由于S-switch对传输业务仅提供二层处理，因此借助VLAN逻辑接口来提供IP地址，并支撑SSH终端服务。

首先需要创建VLAN，并配置VLAN包含的接口范围。然后进入指定VLAN的逻辑接口视图配置供SSH连接的IP地址。无论S-switch作为Server端还是Client端，都需要配置IP地址。

有关VLAN的配置命令，请参见《Quidway S5300系列以太网交换机 配置指南 以太网》中的“VLAN配置”章节。

4.4.5 配置Password方式验证SSH登录用户

背景信息

在进行其他SSH配置之前，必须首先使用2生成本地RSA密钥对。3中配置的user-name必须和在S-switch上配置的本地用户名一致。

操作步骤

1.

2.

3.

执行命令system-view，进入系统视图。

执行命令rsa local-key-pair create，创建本地RSA密钥对。

执行命令ssh user

user-name authentication-type password，配置SSH验证方式为Password。

4.4.6 配置RSA方式验证SSH登录用户

背景信息

在进行其他SSH配置之前，必须首先使用2生成本地RSA密钥对。之后，依次使用8、9进入公共密钥视图、公共密钥编辑视图，此时就可以将SSH Client端产生的RSA公共密钥粘贴到S-switch的配置界面中。最后，使用13为指定用户分配RSA公共密钥。

操作步骤

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

执行命令system-view，进入系统视图。

执行命令rsa local-key-pair create，创建本地RSA密钥对。

执行命令aaa，进入AAA视图。

执行命令local-user

user-name password { simple | cipher }

password，创建本地用户。

执行命令local-user

user-name service-type ssh，配置该用户为SSH用户。

执行命令quit，退回系统视图。

执行命令ssh user

user-name authentication-type rsa，配置SSH验证方式为RSA。

执行命令rsa peer-public-key key-name，进入RSA公共密钥视图。

执行命令public-key-code begin，进入RSA公共密钥编辑视图。

键入RSA公共密钥key-string。

执行命令public-key-code end，退回到RSA公共密钥视图。

执行命令peer-public-key end，退回到系统视图。

执行命令ssh user

user-name assign rsa-key

key-name，为SSH用户分配RSA公共密钥。

4.4.7 （可选）配置SSH的定时器和验证次数

背景信息

2～4为可选配置，在配置时没有先后顺序要求。

操作步骤

1.

2.

3.

执行命令system-view，进入系统视图。

执行命令ssh server rekey-interval

hours，配置SSH密钥的更新时间。缺省情况下，密钥更新时间为0（即不更新）。

执行命令ssh server timeout

seconds，配置SSH验证超时时间。缺省情况下，验证超时时间为60秒。

4. 执行命令ssh server authentication-retries

times，配置SSH验证重试次数。缺省情况下，验证重试次数为3。

4.4.8 检查配置结果

操作

显示用户界面的使用信息

显示VTY类型用户界面的最大个数

display users [ all ]

display user-interface maximum-vty

命令

显示用户界面的物理属性和一些配置 display user-interface [

ui-type ui-number |

number ]

[summary ]

查看主机和服务器密钥对的公钥部分 display rsa local-key-pair public

显示客户端的RSA公共密钥

显示SSH状态信息和会话信息

显示SSH用户信息

4.5 维护

对用户界面、终端服务等进行维护。

注意：

打开调试开关将影响系统的性能。调试完毕后，应及时执行undo debugging all命令关闭调试开关。

在出现用户界面和用户验证的运行故障时，请在用户视图下执行debugging命令对用户界面和用户验证进行调试，查看调试信息，定位故障并分析故障原因。打开调试开关的操作步骤请参见《Quidway S5300系列以太网交换机 配置指南 设备管理》。

表4-5 调试终端服务

操作

打开Telnet调试开关

打开SSH调试开关

打开RSA调试开关

打开VTY的调试信息开关

4.6 配置举例

介绍各种用户登录的实例。

•

•

4.6.1 配置Telnet用户登录的示例（Ethernet网络）

4.6.2 配置SSH用户登录的示例

4.6.1 配置Telnet用户登录的示例（Ethernet网络）

组网需求

如图4-5，用户登录到S-switch-A后，通过在S-switch-A上的Telnet程序登录到S-switch-B（使用默认接口号23）。

debugging telnet

debugging ssh server { all |vty index }

debugging rsa

debugging vty { fsm |negotiate }

命令

display rsa peer-public-key [ brief | name

key-name ]

display ssh server { session | status }

display ssh user-information [

user-name ]

图4-5 ethernet网络用户远程登录组网图

配置思路

用户需要在S-switch-A和S-switch-B上配置IP地址，同时在S-switch-B上配置Telnet验证方式和密码。用户从S-switch-A登录到S-switch-B上需要输入密码。

数据准备

为完成此配置举例，需准备以下数据：

•

•

•

•

1.

VLAN的ID

Telnet客户端S-switch-A的IP地址和接口号

Telnet服务器S-switch-B的IP地址和接口号

验证方式和密码

配置步骤

配置IP地址

# 配置Telnet客户端S-switch-A的IP地址。

system-view

[S-switch-A] vlan 2

[S-switch-A-vlan2] port gigabitethernet 0/0/2

[S-switch-A-vlan2] quit

[S-switch-A] interface vlanif 2

[S-switch-A-Vlanif2] ip address 10.10.10.8 255.255.255.0

[S-switch-A-Vlanif2] quit

[S-switch-A]

# 配置Telnet服务器S-switch-B的IP地址。

system-view

[S-switch-B] vlan 2

[S-switch-B-vlan2] port gigabitethernet 0/0/1

[S-switch-B-vlan2] quit

[S-switch-B] interface vlanif 2

[S-switch-B-Vlanif2] ip address 10.10.10.10 255.255.255.0

[S-switch-B-Vlanif2] quit

[S-switch-B]

2. 配置Telnet服务器S-switch-B的Telnet验证方式和密码

system-view

[S-switch-B] user-interface vty 0 4

[S-switch-B-ui-vty0-4] authentication-mode password

[S-switch-B-ui-vty0-4] set authentication password simple 123456

[S-switch-B-ui-vty0-4] quit

[S-switch-B]

3. 检查配置结果

# 从S-switch-A上Telnet到S-switch-B。

telnet 10.10.10.10

Trying 10.10.10.10 ...

Press CTRL+K to abort

Connected to 10.10.10.10 ...

Login authentication

Password:

Note: The max number of VTY users is 5, and the current number

of VTY users on line is 1.

配置文件

•

#

sysname S-switch-A

#

vlan batch 2

#

interface Vlanif2

ip address 10.10.10.8 255.255.255.0

#

interface GigabitEthernet0/0/2

port default vlan 2

#

return

•

#

sysname S-switch-B

#

vlan batch 2

#

interface Vlanif2

ip address 10.10.10.10 255.255.255.0

#

interface GigabitEthernet0/0/1

port default vlan 2

#

user-interface vty 0 4

set authentication password simple 123456

#

return

4.6.2 配置SSH用户登录的示例

组网需求

如图4-6，配置终端（SSH Client）与S-switch建立本地连接，终端上运行支持SSH1.5的客户端软件。配置两个登录用户：用户client001，密码huawei，登录验证方式为password；用户client002，验证方式为RSA，并为其分配公钥quidway002。用户界面仅支持SSH协议。

S-switch-B

S-switch-A

图4-6 SSH本地配置组网图

配置思路

用户client001的配置可以在S-switch上完成，用户登录时需要输入此配置下设置的密码；用户client002的配置需要在支持SSH1.5的客户端软件上生成RSA公钥，在S-switch和终端都要进行相应配置，用户登录时不用输入此配置下设置的密码。

数据准备

为完成此配置举例，需准备以下工具和数据：

•

•

•

1.

SSH1.5的客户端软件

RSA公钥

服务器S-switch的IP地址

配置步骤

生成本地密钥对。

[S-switch] rsa local-key-pair create

The key name will be: S-switch_Host

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Input the bits in the modulus[default = 512]:

.......++++++++++++

..........++++++++++++

...................................++++++++

......++++++++

说明：

如果此前已完成生成本地密钥对的配置，可以略过此项操作。

2. 配置用户client001，设置其密码huawei1，登录验证方式为password。用户界面仅支持SSH协议。

[S-switch] user-interface vty 0 4

[S-switch-ui-vty0-4] authentication-mode aaa

[S-switch-ui-vty0-4] protocol inbound ssh

[S-switch-ui-vty0-4] quit

[S-switch] aaa

[S-switch-aaa] local-user client001 password simple huawei1

[S-switch-aaa] quit

[S-switch] ssh user client001 authentication-type password

3. 配置用户client002，设置其密码huawei2，登录验证方式为RSA。用户界面仅支持SSH协议。

[S-switch] aaa

[S-switch-aaa] local-user client002 password simple huawei2

[S-switch-aaa] quit

[S-switch] ssh user client002 authentication-type rsa

4. 在支持SSH1.5的客户端软件上生成RSA公钥。

具体配置略。

5. 将在支持SSH1.5的客户端软件上产生的RSA公钥传送到服务器端。

[S-switch] rsa peer-public-key quidway002

Enter "RSA public key" view, return system view with "peer-public-key end".

[S-switch-rsa-public-key] public-key-code begin

Enter "RSA key code" view, return last view with "public-key-code end".

[S-switch-rsa-key-code] 339A291ABDA704F5D93DC8FDF84C427463

[S-switch-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913

[S-switch-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4

[S-switch-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC

[S-switch-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16

[S-switch-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125

[S-switch-rsa-key-code] public-key-code end

[S-switch-rsa-public-key] peer-public-key end

[S-switch] ssh user client002 assign rsa-key quidway002

6. 在保留RSA私钥的终端上运行支持SSH1.5的客户端软件，进行相应的配置。

具体配置略。

配置文件

#

sysname S-switch

#

rsa peer-public-key quidway002

public-key-code begin

339A291ABDA704F5D93DC8FDF84C4274631991C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9C08511D8

3CA4ED2B30B809808EB0D1F52D045DE40861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367FE187BDD944018B3B69F

3CBB0A573202C16BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125

public-key-code end

peer-public-key end

#

aaa

local-user client001 password simple huawei1

local-user client002 password simple huawei2

authentication-scheme default

#

authorization-scheme default

#

accounting-scheme default

#

domain default

#

#

ssh user client002 assign rsa-key quidway002

ssh user client001 authentication-type password

ssh user client002 authentication-type RSA

#

user-interface con 0

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

#

return

目 录

5 管理文件系统

5.1 简介

5.1.1 文件系统

5.1.2 文件传输方式

5.1.3 配置任务的逻辑关系

5.2 管理文件系统

5.2.1 修改文件系统的提示方式

5.2.2 管理Flash存储器

5.2.3 管理目录

5.2.4 管理文件

5.2.5 执行批处理操作

5.3 基于FTP传输文件（S-switch作为FTP服务器）

5.3.1 建立配置任务

5.3.2 使能FTP服务

5.3.3 配置FTP服务器登录用户的验证和授权

5.3.4 （可选）配置FTP服务器的超时断连时间

5.3.5 检查配置结果

5.4 基于FTP传输文件（S-switch作为FTP客户端）

5.4.1 建立配置任务

5.4.2 登录FTP服务器

5.4.3 断开FTP连接

5.4.4 更改FTP服务器的登录用户

5.4.5 查看FTP命令的在线帮助

5.4.6 管理FTP服务器端的目录

5.4.7 管理FTP服务器端的文件

5.4.8 配置文件传输方式

5.5 基于TFTP传输文件（S-switch作为TFTP客户端）

5.5.1 建立配置任务

5.5.2 配置可用的TFTP服务器范围

5.5.3 发起TFTP连接并下载文件

5.5.4 发起TFTP连接并上传文件

5.5.5 检查配置结果

5.6 维护

5.6.1 调试文件系统

5.6.2 调试FTP服务器

5.7 配置举例

5.7.1 通过FTP传输文件的示例（S-switch作为FTP服务器端）

5.7.2 通过FTP传输文件的示例（S-switch作为FTP客户端）

5.7.3 通过TFTP传输文件的示例

5.7.4 文件系统综合操作示例

插图目录

图5-1 S-switch作为FTP Server的组网图

图5-2 S-switch作为FTP客户端的组网图

图5-3 S-switch作为TFTP客户端的组网图

图5-4 文件系统综合组网图

5 管理文件系统

介绍了文件系统的基础知识，介绍了通过FTP或TFTP上传和下载文件的方法、管理配置文件的配置步骤，还介绍了相应的配置举例及故障处理。

•

•

•

•

•

•

•

5.1 简介

文件管理的基本概念。

5.2 管理文件系统

介绍管理S-switch的文件系统，包括Flash存储器、目录、文件等。

5.3 基于FTP传输文件（S-switch作为FTP服务器）

介绍与FTP服务器建立FTP连接及使用FTP方式传输文件的方法。

5.4 基于FTP传输文件（S-switch作为FTP客户端）

介绍与FTP客户端建立FTP连接及使用FTP方式传输文件的方法。

5.5 基于TFTP传输文件（S-switch作为TFTP客户端）

介绍从TFTP服务器下载或上传文件的方法。

5.6 维护

介绍调试文件系统，或调试FTP服务器的方法。

5.7 配置举例

介绍常见的文件管理配置实例。

5.1 简介

文件管理的基本概念。

•

•

•

5.1.1 文件系统

5.1.2 文件传输方式

5.1.3 配置任务的逻辑关系

5.1.1 文件系统

S-switch的Flash存储器支持文件系统，由目录和文件形成了树状存储结构。另一方面，S-switch支持以FTP和TFTP方式传输文件。

Flash文件系统

S-switch支持对Flash存储器的管理，包括以下内容：

•

•

•

格式化Flash存储器；

修复损坏的Flash存储器；

创建、删除和修改Flash存储器中的目录和文件。

说明：

S-switch支持的文件名是字符串形式，可以由驱动器名、:、/、目录名和文件名，或以上字段的组合而组成。文件名包含扩展名的长度范围是3～64，不包含扩展名的长度范围是1～64。

文件名不支持空格。

系统软件和配置文件

系统软件用于指导S-switch的日常运作，是编译后的程序文件，为二进制格式。配置文件为S-switch启动提供了初始参数信息，为文本格式。系统软件和配置文件可以存储在Flash存储器中。

5.1.2 文件传输方式

FTP传输

FTP协议属于应用层协议，FTP协议提供了基于TCP的可靠文件传输服务。

S-switch提供的FTP功能包括以下两种：

•

•

FTP服务器功能

用户PC机上运行FTP客户端程序，通过FTP方式登录到S-switch。S-switch对登录用户进行身份验证，通过验证的用户可以对S-switch的Flash中的文件进行管理，并可以向Flash存储器上传文件或从Flash存储器下载文件。

•

•

FTP客户端功能

用户从S-switch通过FTP方式登录FTP服务器，通过身份验证后可以管理FTP服务器中的文件，并可以上传文件到FTP服务器或从FTP服务器下载文件到S-switch的Flash存储器中。

FTP传输文件有两种模式：二进制模式和文本模式。二进制模式适用于传输程序文件，文本模式适用于传输文本文件。

TFTP传输

TFTP是一种基于UDP的简单文件传输协议。相对于FTP而言，TFTP不具有复杂的交互存取接口和认证控制，适用于客户端和服务器之间不需要复杂交互的环境。

S-switch作为TFTP客户端，负责主动发起TFTP连接，可以向TFTP服务器上传文件或从TFTP服务器下载文件到S-switch的Flash存储器中：

•

•

当需要上传文件时，S-switch向TFTP服务器发送写请求，然后向服务器发送数据包，最后接收来自服务器的确认。

当需要下载文件时，S-switch向TFTP服务器发送读请求，然后从服务器接收数据包，最后向服务器进行确认。

目前，TFTP只能以二进制模式传输文件。

5.1.3 配置任务的逻辑关系

需要对文件系统进行管理，请执行：5 管理文件系统。

需要在客户端和服务器之间传输文件，请选择以下配置：

•

•

•

5.2 管理文件系统

介绍管理S-switch的文件系统，包括Flash存储器、目录、文件等。

•

•

•

•

•

5.2.1 修改文件系统的提示方式

5.2.2 管理Flash存储器

5.2.3 管理目录

5.2.4 管理文件

5.2.5 执行批处理操作

5.2.1 修改文件系统的提示方式

操作步骤

1.

2.

•

执行system-view命令，进入系统视图。

执行file prompt { alert | quiet }命令，修改文件系统提示方式。

S-switch提供了两种文件系统提示方式：alert和quiet。

Alert

5.3 基于FTP传输文件（S-switch作为FTP服务器）

5.4 基于FTP传输文件（S-switch作为FTP客户端）

5.5 基于TFTP传输文件（S-switch作为TFTP客户端）

如果用户的操作（比如删除文件）可能会导致数据丢失或破坏，则S-switch会对用户的操作进行提示，经用户确认后再执行该操作。

• Quiet

对用户的操作不进行任何提示。

S-switch文件系统的缺省提示方式是alert方式。

5.2.2 管理Flash存储器

背景信息

注意：

执行format flash:命令后，S-switch会清空Flash存储器中的所有文件和目录，请谨慎使用此命令！

配置1和2是可选步骤，并且在配置时没有先后顺序要求。

操作步骤

1.

2.

执行fixdisk flash:命令，修复出现异常的Flash存储器。

执行format flash:命令，格式化Flash存储器。

5.2.3 管理目录

背景信息

配置1～5是可选步骤，并且在配置时没有先后顺序要求。

操作步骤

1.

2.

3.

4.

5.

执行cd {

path | .. | / }命令，进入指定目录。

执行dir [ /all ] [

filename | flash: ]命令，查看当前路径下的文件和目录信息。

执行mkdir

directory命令，创建目录。

执行rmdir

directory命令，删除目录。

执行pwd命令，查看当前工作的路径。

5.2.4 管理文件

背景信息

1～9是可选步骤，并且在配置时没有先后顺序要求。

操作步骤

1.

2.

3.

4.

5.

6.

7.

8.

9.

执行dir [ /all ] [

filename | flash: ]命令，查看当前路径下的文件和目录信息。

执行copy

source-filename

destination-filename命令，复制文件。

执行move

source-filename

destination-filename命令，移动文件。

执行rename

source-filename

destination-filename命令，重新命名文件。

执行more

filename [

offset ]命令，显示文件内容。

执行delete {

filename | flash: }命令，删除文件（将文件放入S-switch的回收站）。

执行delete /unreserved {

filename | flash: }命令，彻底删除文件。

执行undelete

filename命令，恢复被删除文件。

执行reset recycle-bin [

filename ]命令，彻底删除回收站中的文件。

5.2.5 执行批处理操作

操作步骤

1.

2.

执行system-view命令，进入系统视图。

执行execute

batch-filename命令，执行批处理文件。

5.3 基于FTP传输文件（S-switch作为FTP服务器）

介绍与FTP服务器建立FTP连接及使用FTP方式传输文件的方法。

5.3.2 使能FTP服务、5.3.3 配置FTP服务器登录用户的验证和授权、5.3.4 （可选）配置FTP服务器的超时断连时间在配置时没有先后顺序要求。

• 5.3.1 建立配置任务

•

•

•

•

5.3.2 使能FTP服务

5.3.3 配置FTP服务器登录用户的验证和授权

5.3.4 （可选）配置FTP服务器的超时断连时间

5.3.5 检查配置结果

5.3.1 建立配置任务

应用环境

当需要与S-switch进行文件传输时，可以将S-switch作为FTP服务器，然后通过FTP客户端向S-switch上传，或从S-switch下载文件，例如VRP系统软件或配置文件。

S-switch在作为FTP服务器时提供了用户身份验证功能，确保了安全性。

前置任务

在使用FTP方式传输文件之前，需完成以下任务：

•

•

配置接口的IP地址。

保证S-switch与FTP客户端之间有可达路由。

数据准备

当S-switch作为FTP服务器时，通过FTP方式传输文件之前，需准备以下数据。

序号

1

2

数据

登录用户的验证信息

（可选）FTP服务器的超时断连时间

5.3.2 使能FTP服务

操作步骤

1.

2.

执行system-view命令，进入系统视图。

执行ftp server enable命令，使能FTP服务。

5.3.3 配置FTP服务器登录用户的验证和授权

背景信息

3～5中参数user-name的取值必须相同。

如果需要对登录用户采用AAA远程验证、授权和计费功能，或需要管理本地用户，相关配置步骤请参见《Quidway

S5300系列以太网交换机 配置指南 设备管理》中的“AAA配置”章节。

操作步骤

1.

2.

3.

4.

执行system-view命令，进入系统视图。

执行aaa命令，进入AAA视图。

执行local-user

user-name password { cipher | simple }

password命令，配置FTP用户名和口令。

执行local-user

user-name ftp-directory

directory命令，配置FTP用户的工作目录。

该步骤中参数directory所指定的目录必须是S-switch中已经存在的目录，并且其取值必须包含目录所在的路径。例如配置FTP用户的工作目录是Flash存储器根目录中的“FTP”目录，则directory的取值是“flash:/FTP”。

5. 执行local-user

user-name service-type ftp命令，配置FTP登录用户的服务类型。

5是可选配置。

5.3.4 （可选）配置FTP服务器的超时断连时间

操作步骤

1.

2.

执行system-view命令，进入系统视图。

执行ftp timeout

timeout命令，配置FTP服务器的超时断连时间。

缺省情况下，FTP服务器的超时断连时间是30分钟。

5.3.5 检查配置结果

操作 命令

操作 命令

查看FTP服务器信息 display ftp-server

查看登录的FTP用户 display ftp-users

在配置成功时，执行上面的命令，应能得到如下的结果：

•

•

查看FTP服务器信息，S-switch已经使能FTP服务，并且配置的各种FTP服务器参数符合要求。

查看登录的FTP用户，显示所有当前通过FTP方式登录到S-switch的用户。

5.4 基于FTP传输文件（S-switch作为FTP客户端）

介绍与FTP客户端建立FTP连接及使用FTP方式传输文件的方法。

•

•

•

•

•

•

•

•

5.4.1 建立配置任务

5.4.2 登录FTP服务器

5.4.3 断开FTP连接

5.4.4 更改FTP服务器的登录用户

5.4.5 查看FTP命令的在线帮助

5.4.6 管理FTP服务器端的目录

5.4.7 管理FTP服务器端的文件

5.4.8 配置文件传输方式

5.4.1 建立配置任务

应用环境

当需要与S-switch进行文件传输时，可以将S-switch作为FTP客户端，登录到FTP服务器下载或上传文件，如VRP系统软件或配置文件。

前置任务

在使用FTP方式传输文件之前，需完成以下任务：

•

•

配置接口的IP地址。

保证S-switch与FTP服务器之间有可达路由。

数据准备

当S-switch作为FTP客户端时，通过FTP方式传输文件之前，需准备以下数据。

序号

1

数据

登录服务器的验证信息

5.4.2 登录FTP服务器

操作步骤

1. 执行ftp [

ftp-server [

port-number ] ]命令，与FTP服务器建立FTP连接，并进入FTP客户端视图。

该步骤中，如果不指定可选参数host，则只进入FTP客户端视图。与FTP服务器建立FTP连接时，需要输入在FTP服务器上配置的FTP用户的用户名和密码。

2. 执行open

ftp-server [

port-number ]命令，与FTP服务器建立FTP连接。

该步骤是可选步骤。步骤2只能在S-switch进入FTP客户端视图，且没有与FTP服务器建立FTP连接时使用。

5.4.3 断开FTP连接

操作步骤

1.

2.

执行close或disconnect命令，终止与FTP服务器的连接，并保持在FTP客户端视图。

执行bye或quit命令，终止与FTP服务器的连接，并退回到用户视图

本配置步骤只能在FTP客户端视图下执行。

5.4.4 更改FTP服务器的登录用户

操作步骤

1.

2.

执行ftp [

ftp-server [

port-number ] ]命令，与FTP服务器建立FTP连接，并进入FTP客户端视图。

执行user

user-name [

password ]命令，更改FTP服务器的登录用户，重新登录FTP服务器。

5.4.5 查看FTP命令的在线帮助

操作步骤

1.

2.

执行ftp [

ftp-server [

port-number ] ]命令，与FTP服务器建立控制连接，并进入FTP客户端视图。

执行remotehelp [

command ]命令，查看FTP命令的在线帮助。

5.4.6 管理FTP服务器端的目录

背景信息

配置2～7是可选步骤，并且在配置时没有先后顺序的要求。

操作步骤

1.

2.

3.

4.

5.

6.

7.

执行ftp [

ftp-server [

port-number ] ]命令，与FTP服务器建立控制连接，并进入FTP客户端视图。

执行cd

path命令，改变FTP服务器端的工作路径。

执行cdup命令，改变FTP服务器端的工作路径到上一级目录。

执行pwd命令，显示FTP服务器端工作路径。

执行lcd命令，显示FTP客户端的工作路径。

执行mkdir

remote-directory命令，在FTP服务器上创建目录。

执行rmdir

remote-directory命令，在FTP服务器上删除目录。

5.4.7 管理FTP服务器端的文件

背景信息

配置2～6是可选步骤，并且在配置时没有先后顺序的要求。

操作步骤

1.

2.

3.

4.

5.

6.

执行ftp [

ftp-server [

port-number ] ]命令，与FTP服务器建立控制连接，并进入FTP客户端视图。

执行ls [

remote-filename ] [

local-filename ]命令，查询FTP服务器上指定目录或文件的信息。

执行dir [

remote-filename ] [

local-filename ]命令，查询FTP服务器上指定目录或文件的详细信息。

执行delete

remote-filename命令，删除FTP服务器上指定文件。

执行get

remote-filename [

local-filename ]命令，从FTP服务器下载文件。

执行put

local-filename [

remote-filename ]命令，向FTP服务器上传文件。

5.4.8 配置文件传输方式

背景信息

配置2和3是可选步骤，并且在配置时没有先后顺序的要求。

操作步骤

1.

2.

3.

执行ftp [

ftp-server [

port-number ] ]命令，与FTP服务器建立控制连接，并进入FTP客户端视图。

执行ascii | binary命令，配置FTP传输数据的格式。

缺省情况下，FTP传输数据的格式是ascii；FTP采用被动数据传输方式。

执行passive命令，配置被动数据传输的方式。

5.5 基于TFTP传输文件（S-switch作为TFTP客户端）

介绍从TFTP服务器下载或上传文件的方法。

•

•

•

5.5.1 建立配置任务

5.5.2 配置可用的TFTP服务器范围

5.5.3 发起TFTP连接并下载文件

本文标签： 用户配置命令登录