line 命令本身是一个全局配置模式下的命令,它的作用是进入线路配置模式,在这个模式下,你可以对设备的物理或虚拟线路进行配置,最主要的应用场景就是配置远程管理访问,如 Console、AUX、VTY (Telnet/SSH) 线路。
line 命令的基本语法
line { type [number] }
type: 指定线路的类型,常见的类型有:console: 用于连接控制台端口的物理线路,通常用于设备的初始配置和本地管理。aux: 用于连接辅助端口的物理线路,功能与console类似,但现在已较少使用。vty(Virtual Terminal): 用于远程登录的虚拟线路,支持 Telnet 和 SSH。
[number]: 指定线路的编号范围。- 对于
console和aux,通常没有编号或编号为0。 - 对于
vty,必须指定一个范围,0 4表示允许 5 个并发会话(从 0 到 4)。
- 对于
line 命令的主要应用场景和配置步骤
下面我们通过最常见的场景——配置远程访问——来详细说明。
场景:配置 Telnet 和 SSH 访问
假设我们要允许网络中的管理员通过 Telnet 和 SSH 来管理一台 Cisco 路由器。
前提条件:
- 设备必须配置好 IP 地址,因为远程访问是基于 IP 的。
- 对于 SSH,必须配置一个主机名(
hostname)和一个域名(ip domain-name),用于生成密钥。
配置步骤详解:
第 1 步:进入全局配置模式
Router> enable Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#
第 2 步:配置主机名和域名 (SSH 必需)
Router(config)# hostname MyRouter MyRouter(config)# ip domain-name example.com
第 3 步:生成 SSH 密钥 (SSH 必需)
MyRouter(config)# crypto key generate rsa The name for the keys will be: MyRouter.example.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % 推荐使用 1024 或 2048 % 1 bit pair generated, 1 pair saved. MyRouter(config)#
第 4 步:进入 VTY 线路配置模式
这是 line 命令的核心应用,我们允许 5 个并发会话(0-4)。
MyRouter(config)# line vty 0 4 MyRouter(config-line)#
命令提示符已经变为 config-line#,表示我们正在对 VTY 线路进行配置。
第 5 步:在 VTY 线路上配置访问方式
MyRouter(config-line)# transport input all % 允许所有输入方式 (Telnet 和 SSH) MyRouter(config-line)# transport input ssh % 只允许 SSH (更安全) MyRouter(config-line)# transport input telnet % 只允许 Telnet (不推荐)
第 6 步:设置登录认证方式
你需要告诉 VTY 线路,当用户尝试登录时,应该使用哪种认证方法。
-
使用本地用户名和密码(推荐)
MyRouter(config-line)# login local % 使用本地数据库中的用户名/密码进行认证
你需要在全局配置模式下创建本地用户:
MyRouter(config)# username admin secret MySecretPassword123
-
使用 enable 密码(不推荐,不灵活)
MyRouter(config-line)# login % 使用 enable password 或 enable secret 进行认证
你还需要在全局配置模式下设置
enable secret:MyRouter(config)# enable secret MyEnableSecret123
第 7 步:设置线路超时时间(可选但推荐)
如果用户在指定时间内没有输入任何命令,会话将被自动断开,提高安全性。
MyRouter(config-line)# exec-timeout 10 0 % 设置为 10 分钟 0 秒 % 0 表示秒数,设置为 0 表示永不超时(不推荐)
第 8 步:退出并保存配置
MyRouter(config-line)# end MyRouter# write memory Building configuration... [OK] MyRouter#
完整的配置示例
! --- 基础配置 --- hostname MyRouter ip domain-name example.com ! --- 接口配置 (示例) --- interface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 no shutdown ! --- 生成 SSH 密钥 --- crypto key generate rsa general-keys modulus 1024 ! --- 创建本地用户 --- username admin secret MySecurePassword123 ! --- 进入 VTY 线路配置 --- line vty 0 4 transport input ssh % 强制只使用 SSH,更安全 login local % 使用本地用户认证 exec-timeout 10 0 ! 10分钟无操作超时 ! --- 进入 Console 线路配置 (可选,推荐) --- line console 0 logging synchronous % 防止命令输出被系统消息打断 exec-timeout 5 0 % 5分钟无操作超时 login % 使用 enable secret 认证 ! --- 设置特权 EXEC 模式密码 --- enable secret MyEnableSecret123 ! --- 保存配置 --- end write memory
line 命令下的常用子命令
在 line 配置模式下,你可以使用以下命令:
| 命令 | 描述 |
|---|---|
exec-timeout <minutes> [seconds] |
设置 EXEC 会话(命令行界面)的超时时间。 |
logging synchronous |
防止系统消息(如接口状态变化)打断你正在输入的命令。 |
password <password> |
为该线路设置一个简单的明文密码(不推荐,应使用 secret)。 |
login |
启用密码认证,配合 password 使用,或配合 login local 使用。 |
login local |
启用基于本地数据库(username 命令创建)的认证。 |
transport input {all \| ssh \| telnet \| none} |
指定允许的协议。all 表示 Telnet 和 SSH。none 表示拒绝所有。 |
transport output {all \| ssh \| telnet} |
指定出站协议(较少使用)。 |
session-timeout <minutes> |
设置一个总的会话超时时间。 |
width <columns> |
设置终端显示的宽度。 |
length <lines> |
设置终端屏幕显示的行数。 |
line 命令的其他应用
除了远程管理,line 命令还可以用于:
-
Modem 拨号接入 (
aux线路):- 可以配置
aux线路,使其连接一个调制解调器,允许用户通过电话拨号的方式接入设备进行管理。 - 配置示例:
line aux 0 modem InOut % 允许调制解调器拨入和拨出 speed 115200 % 设置波特率 flowcontrol hardware % 使用硬件流控
- 可以配置
-
AAA 认证 (
aaa new-model):- 在使用更高级的 AAA(Authentication, Authorization, Accounting)服务时,
line命令下的login子命令会与 AAA 服务器协同工作。 line vty 0 4 login authentication TACACS_PLUS_LOGIN % 使用 TACACS+ 服务器进行认证
- 在使用更高级的 AAA(Authentication, Authorization, Accounting)服务时,
line 命令是 Cisco 网络设备管理中的基石,它让你能够精确控制谁可以通过什么方式(Console, AUX, VTY)以及在什么条件下(密码、超时)访问设备的命令行界面,掌握 line vty 的配置是进行 Cisco 设备远程管理的必备技能,在现代网络中,强烈推荐使用 SSH (transport input ssh) 和基于本地或服务器的用户名/密码 (login local) 来确保设备管理的安全性。
