查看华为交换机初始配置命令（华为交换机基础配置之六）

登录设备方式

优点

缺点

应用场景

说明

通过Console口登录

使用专门的Console通信线缆(也称串口线)连接，保证可以对设备有效控制。

不能远程登录维护设备。

• 当对设备进行第一次配置时，可以通过Console口登录设备进行配置。
• 当用户无法进行远程登录设备时，可通过Console口进行本地登录。

通过Console口进行本地登录是登录设备最基本的方式，也是其他登录方式的基础。

缺省情况下，用户可以直接通过Console口本地登录设备，用户级别是15。

通过Telnet登录

• 便于对设备进行远程管理和维护。
• 不需要为每一台设备都连接一个终端，方便用户的操作。

传输过程采用TCP协议进行明文传输，存在安全隐患。

终端连接到网络上，使用Telnet方式登录设备，进行远程的配置。应用在对安全性要求不高的网络。

缺省情况下，用户不能通过Telnet方式直接登录设备。如果需要通过Telnet方式登录设备，可以先通过Console口本地登录设备。

通过STelnet登录

SSH（Secure Shell）协议实现在不安全网络上提供安全的远程登录，保证了数据的完整性和可靠性，保证了数据的安全传输。

Console用户界面：用来管理和监控通过Console口登录的用户。设备提供Console口，端口类型为EIA/TIA-232 DCE。用户终端的串行口可以与设备Console口直接连接，实现对设备的本地访问。

说明

• LTT用户界面：集群场景下，从非主交换机Console口登录设备的用户界面类型，不支持配置。
• WEB用户界面：通过Web网管方式登录设备的用户界面类型，不支持配置。

用户与用户界面的关系

用户界面与用户并没有固定的对应关系。用户界面的管理和监控对象是使用某种方式登录的用户，虽然单个用户界面某一时刻只有一个用户使用，但它并不针对某个用户。

用户登录时，系统会根据用户的登录方式，自动给用户分配一个当前空闲的、编号最小的某类型的用户界面，整个登录过程将受该用户界面视图下配置的约束。比如用户A使用Console口登录设备时，将受到Console用户界面视图下配置的约束，当使用VTY 1登录设备时，将受到VTY 1用户界面视图下配置的约束。同一用户登录的方式不同，分配的用户界面不同；同一用户登录的时间不同，分配的用户界面可能不同。

• 当配置VTY用户界面最大个数为0时，任何用户（Telnet、SSH用户）都无法通过VTY登录到设备，Web用户也无法通过Web网管登录设备。
• 当配置的VTY类型用户界面的最大个数小于当前在线用户的数量，系统会将目前未通过认证且占用VTY通道时间超过15秒的用户下线，新用户此时可以通过VTY登录到设备。
• 当配置的VTY类型用户界面的最大个数大于当前最多可以登录用户的数量，就必须为新增加的用户界面配置验证方式。
• 使用VTY通道登录设备时，为防止VTY连接数量超限导致用户无法接入，用户可执行如下操作查看并配置允许通过VTY通道登录的用户数。执行命令display user-interface maximum-vty查看设备允许通过VTY连接登录设备的最大用户数。执行命令display user-interface查看用户界面信息。其中，“ ”表示被占用的通道。如果通道被占满，会导致后续用户无法登录，如果已登录用户登出后，可能会因为通道被其他用户占用而无法再次登录成功。此时，执行命令user-interface maximum-vty number设置允许登录的最大用户数目。
• 如果某VTY用户界面两次出现设备长时间不响应的情况，该VTY用户界面将被锁定，用户可以通过其他VTY用户界面登录，设备重启后可恢复。

用户界面的编号

用户界面的编号包括以下两种方式：

• 相对编号
• 相对编号方式的形式是：用户界面类型＋编号。
• 此种编号方式只能唯一指定某种类型的用户界面中的一个或一组。相对编号方式遵守的规则如下：
• Console用户界面的编号：CON 0。堆叠场景下，从非主交换机串口登录时，显示LTT 0。
• VTY用户界面的编号：第一个为VTY 0，第二个为VTY 1，依此类推。
• 绝对编号
• 使用绝对编号方式，可以唯一的指定一个用户界面或一组用户界面。使用命令display user-interface可查看到设备当前支持的用户界面以及它们的绝对编号。
• 对于一台设备，Console口用户界面只有一个，但VTY类型的用户界面有20个，可以在系统视图下使用user-interface maximum-vty命令设置最大用户界面个数，其缺省值为5。VTY 16～VTY 20一直存在于系统中，不受user-interface maximum-vty命令的控制。
• 缺省情况下，Console、VTY用户界面在系统中的绝对编号，如表6-2所示。

表2 用户界面的绝对、相对编号说明

三、用户认证方式和用户级别介绍

用户界面的认证方式

Console、Telnet登录用户的认证方式直接由用户界面中配置的认证方式决定。用户界面的认证方式有以下三种：

• AAA认证：登录时需输入用户名和密码。设备根据配置的AAA用户名和密码验证用户输入的信息是否正确，如果正确，允许登录，否则拒绝登录。
• Password认证：也称密码认证，登录时需输入正确的认证密码。如果用户输入的密码与设备配置的认证密码相同，允许登录，否则拒绝登录。
• None认证：也称不认证，登录时不需要输入任何认证信息，可直接登录设备。

须知

如果配置认证方式为不认证，任何用户不需要输入用户名和密码就会认证成功。因此，为保护设备或网络安全，建议不要使用None认证和方式，如需使用，需要安装空口令认证插件。

您可以通过华为官网（企业、运营商）搜索“插件使用指南”，请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限，请联系技术支持人员。

无论何种验证方式，当用户登录设备失败时，系统会启动延时登录机制。首次登录失败后，延时5秒才可再次登录，后续登录失败次数每增加一次，延时时间增加5秒，即第2次登录失败延时10秒，第3次登录失败延时15秒。

SSH用户的认证方式

通过STelnet登录设备需配置用户界面支持的协议是SSH，必须设置用户界面认证方式为AAA认证。但SSH用户的认证方式由SSH支持的认证方式决定，SSH支持Password、RSA、DSA、ECC、Password-RSA、Password-DSA、Password-ECC和ALL，8种认证方式。

• Password认证：是一种基于“用户名 口令”的认证方式。通过AAA为每个SSH用户配置相应的密码，在通过SSH登录时，输入正确的用户名和密码就可以实现登录。
• RSA（Revest-Shamir-Adleman Algorithm）认证：是一种基于客户端私钥的认证方式。RSA是一种公开密钥加密体系，基于非对称加密算法。RSA密钥也是由公钥和私钥两部分组成，在配置时需要将客户端生成的RSA密钥中的公钥部分拷贝输入至服务器中，服务器用此公钥对数据进行加密。
• DSA（Digital Signature Algorithm）认证：是一种类似于RSA的认证方式，DSA认证采用数字签名算法进行加密。
• ECC（Elliptic Curve Cryptography）认证：是一种椭圆曲线算法，与RSA相比，在相同安全性能下密钥长度短、计算量小、处理速度快、存储空间小、带宽要求低。
• Password-RSA认证：SSH服务器对登录的用户同时进行密码认证和RSA认证，只有当两者同时满足情况下，才能认证通过。
• Password-DSA认证：SSH服务器对登录的用户同时进行密码认证和DSA认证，只有当两者同时满足情况下，才能认证通过。
• Password-ECC认证：SSH服务器对登录的用户同时进行密码认证和ECC认证，只有当两者同时满足情况下，才能认证通过。
• ALL认证：SSH服务器对登录的用户进行公钥认证或密码认证，只要满足其中任何一个，就能认证通过。

用户级别

系统支持对登录用户进行分级管理，用户所能访问命令的级别由用户的级别决定。用户级别由用户界面或AAA本地用户的认证方式决定，具体细节如表3所示。

表3 不同登录设备方式的用户级别

用户级别与命令级别的关系

命令的级别由低到高分为参观级、监控级、配置级和管理级四种，分别对应级别值0、1、2、3，用户级别与命令级别的对应关系如表4所示。

表4 用户级别与命令级别的对应关系

说明：默认情况下，3～15级用户具有相同的管理员权限，部分特殊命令行请参照命令行实现说明。