HiSecEngine IPS12000 产品文档配置VTY用户界面

SE_Gai

4

2025-10-31

配置VTY用户界面

前提条件

当用户通过Telnet或STelnet方式登录设备实现本地或远程维护时，可以根据用户使用需求以及对设备安全的考虑，配置VTY用户界面。

操作步骤

表1 配置VTY用户界面的终端属性
操作步骤	命令	说明
进入系统视图	system-view	-
配置VTY用户界面的最大个数	user-interface maximum-vty number	缺省情况下，VTY用户界面的最大个数为21。如果配置的VTY类型用户界面的最大个数小于当前的最大个数，不会影响当前在线用户，也不需要其他配置。如果要配置的VTY类型用户界面的最大个数大于当前最多可以登录用户的数量，就必须为新增加的用户界面配置验证方式。当配置VTY用户界面最大个数为0时，任何用户都无法通过VTY登录到设备。
配置可用VTY通道数的超限告警阈值	user-interface vty available-vty-threshold threshold-value	缺省情况下，可用VTY通道数的超限告警阈值为1。当系统上可用的VTY数目小于设定的阈值时，设备上报告警；当系统上可用的VTY数目等于设定的阈值时，不产生告警，同时也不清除告警；当系统上可用的VTY数目大于设定的阈值时，告警清除。
进入VTY用户界面视图	user-interface vty first-ui-number [ last-ui-number ]	-
启用VTY终端服务	shell	缺省情况下，所有VTY终端服务已启动。
设置用户超时断连功能	idle-timeout minutes [ seconds ]	在设定的时间内，如果连接始终处于空闲状态，系统将自动断开该连接。缺省情况下，VTY用户界面断连的超时时间为10分钟。说明：设置用户连接的超时时间过长或者为0会导致终端一直处于登录状态，存在安全风险，建议用户执行命令lock锁定当前连接。
设置终端屏幕每屏显示的行数	screen-length screen-length [ temporary ]	使用参数temporary设置的行数只对当前活动用户界面有效，用户退出后不保存设置。缺省情况下，终端屏幕显示的行数为24行。
设置历史命令缓冲区大小	history-command max-size size-value	缺省情况下，用户界面历史命令缓冲区大小为10条历史命令。
退出VTY用户界面视图	quit	-
退出系统视图到用户视图	quit	-

表2 配置VTY用户界面的用户级别
操作步骤	命令	说明
进入系统视图	system-view	-
进入VTY用户界面视图	user-interface vty first-ui-number [ last-ui-number ]	-
设置用户级别	user privilege level level	缺省情况下，VTY用户界面的用户级别是0。如果用户界面下配置的命令级别访问权限与用户名本身对应的操作权限冲突，以用户名本身对应的级别为准。
退出VTY用户界面视图	quit	-
退出系统视图到用户视图	quit	-

表3 配置VTY用户界面的AAA验证方式
操作步骤	命令	说明
进入系统视图	system-view	-
进入VTY用户界面视图	user-interface vty first-ui-number [ last-ui-number ]	-
设置用户验证方式为AAA验证	authentication-mode aaa	-
退出VTY用户界面视图	quit	-
进入AAA视图	aaa	-
配置本地用户名和密码	local-user user-name password irreversible-cipher password	为充分保证设备安全，请用户定期修改密码。
配置本地用户的接入类型为Telnet或SSH	local-user user-name service-type { telnet \| ssh }	Telnet协议本身有安全风险，建议使用SSH v2安全协议。
退出AAA视图	quit	-
退出系统视图到用户视图	quit	-

表4 配置VTY用户界面的Password验证方式
操作步骤	命令	说明
进入系统视图	system-view	-
进入VTY用户界面视图	user-interface vty first-ui-number [ last-ui-number ]	-
设置用户验证方式为密码验证	authentication-mode password	-
设置验证密码	set authentication password [ cipher password ]	输入的密码可以是显式或者密文，当不指定cipher password参数时，将采用交互方式输入显式密码，当指定cipher password参数时，既可以输入显式密码也可以输入密文密码，但都将以密文形式保存在配置文件中。为充分保证设备安全，请用户定期修改密码。说明：开启弱密码字典维护功能后，弱密码字典中定义的密码（可以通过命令display security weak-password-dictionary查看）不能在该命令中配置。
退出VTY用户界面视图	quit	-
退出系统视图到用户视图	quit	-

表5 配置VTY用户界面的扩展功能
操作步骤	命令	说明
进入系统视图	system-view	-
开启VTY用户界面的安全策略	undo user-interface vty security-policy disable	缺省情况下，VTY用户界面的安全策略开启。
进入VTY用户界面视图	user-interface vty first-ui-number [ last-ui-number ]	-
配置VTY类型用户界面的基于ACL的登录限制	acl [ ipv6 ] { acl-number \| acl-name } { inbound \| outbound }	当需要限制某个地址或地址段的用户登录到设备时，使用inbound。当需要限制已经登录的用户登录到其他设备时，使用outbound。说明：用户界面支持基本访问控制列表（2000～2999）和高级访问控制列表（3000～3999）。当ACL的rule配置为permit时，来自其他设备的报文匹配该规则时：如果该ACL应用在inbound方向，则允许其他设备访问本设备。如果该ACL应用在outbound方向，则允许本设备访问其他设备。当ACL的rule配置为deny时，来自其他设备的报文匹配该规则时：如果该ACL应用在inbound方向，则拒绝其他设备访问本设备。如果该ACL应用在outbound方向，则拒绝本设备访问其他设备。当ACL配置了rule，但来自其他设备的报文没有匹配该规则时：如果该ACL应用在inbound方向，则拒绝其他设备访问本设备。如果该ACL应用在outbound方向，则拒绝本设备访问其他设备。当ACL未配置rule时：如果该ACL应用在inbound方向，则允许任何其他设备访问本设备。如果该ACL应用在outbound方向，则允许本设备访问任何其他设备。关于ACL配置的更多内容，请参见《CLI配置指南-IP地址与服务配置》中的“ACL配置”。
退出VTY用户界面视图	quit	-
退出系统视图到用户视图	quit	-

阅读剩余

版权声明：

作者：SE_Gai

链接：https://www.cnesa.cn/8551.html

文章版权归作者所有，未经允许请勿转载。

THE END

锐捷RSR50-X 设备重启后CPOS接口协议全down

【Linux进阶系列】：信号