終端接入

^[1]  終端接入包括三種網絡設備：

終端，是一種字符型設備，一般通過串行端口線連接到其它設備上，用户直接在終端的鍵盤上輸入字符，字符會由串行端口線傳輸到其它設備上，其它設備處理後，將結果返回給終端，由終端顯示到屏幕上。

終端接入發起方（以下簡稱發起方），是發起TCP連接請求的一方，作為TCP連接的客户端，一般為路由器。

終端接入接收方（以下簡稱接收方），是響應TCP連接請求的一方，作為TCP連接的服務器，可以是前置機也可以是路由器。前置機是指安裝了銀行、郵政、税務、海關或者民航系統等行業的應用程序的系統，該系統可能是Unix服務器也可能是Linux服務器。

路由器不管是作為發起方還是接收方，只要建立起TCP連接之後，就可以將終端設備上的數據流透明傳輸到TCP連接的對端。“透明”指的是無需用户的干預或額外的操作。

不同應用中的終端接入分為五種類型：TTY（True Type Terminal，實終端）終端接入、Telnet終端接入、ETelnet(Enhanced Telnet)終端接入、SSH(Secure Shell)終端接入、和RTC（Remote Terminal Connection，遠程終端連接）終端接入。TTY終端接入、Telnet終端接入、ETelnet終端接入和SSH終端接入用於實現終端和前置機之間的各種業務，發起方為路由器，接收方為前置機，它們的區別是發起方和接收方之間TCP連接建立的方式和數據加密不同；RTC終端接入用於實現對終端數據的監督，發起方為路由器，接收方也為路由器。下面將分別對這三種類型進行介紹。

1. TTY終端接入簡介

TTY發起方為路由器，接收方為前置機。業務終端通過異步串口連接到路由器，路由器通過網絡鏈接到前置機，應用業務運行於前置機上，前置機通過ttyd程序與路由器交互，通過路由器把業務畫面推送到業務終端。路由器負責其連接的業務終端和前置機之間數據的透明傳輸，完成業務交互處理。

TTY終端接入方式的發起方和接收方程序均為H3C開發，使用私有協議進行消息交互，方便功能擴展。目前除實現了固定終端號的基本功能，還提供多業務動態切換、屏幕實時存儲、終端復位、數據加密等許多增強的功能。同時在前置機上還提供了專業的終端管理軟件，在豐富功能的同時，簡化了管理。TTY終端接入和路由器的融合還使網點辦公和IP電話輕鬆實現，提供了一個組建多功能、高效率網絡的解決方案。

2. Telnet終端接入簡介

Telnet發起方為路由器，接收方為前置機。業務終端通過異步串口連接到路由器（Telnet Client），路由器通過網絡鏈接到前置機（Telnet Server），應用業務運行於前置機上，前置機通過標準Telnet方式與路由器交互，進而建立終端和前置機之間的數據通道。

Telnet終端接入實現的基本功能有：一個終端可以支持8個虛終端且一個終端上不同的虛終端可以採用TTY終端接入或者Telnet終端接入；菜單屏幕切換功能、虛終端業務快速切換功能、終端存屏功能。

3. ETelnet終端接入簡介

ETelnet發起方為路由器，接收方為前置機。業務終端通過異步串口連接到路由器（ETelnet Client），路由器通過網絡連接到前置機（ETelnet Server），應用業務運行於前置機上，前置機通過特定的加密Telnet方式與路由器交互，進而建立終端和前置機之間的數據通道。

ETelnet終端接入實現的基本功能有：一個終端可以支持8個虛終端，同一終端上不同的虛終端均能實現菜單屏幕切換功能、虛終端業務快速切換功能和終端存屏功能。ETelnet相比Telnet新增了數據加密，終端號綁定的功能，提高了安全性。

4. SSH終端接入簡介

SSH發起方為路由器，接收方為前置機。業務終端通過異步串口連接到路由器（secure shell），路由器通過網絡鏈接到前置機（SSHServer），應用業務運行於前置機上，前置機通過標準SSH方式與路由器交互，進而建立終端和前置機之間的數據通道。

SSH終端接入實現的基本功能有：一個終端可以支持8個虛終端，同一終端上不同的虛終端均能實現菜單屏幕切換功能、虛終端業務快速切換功能和終端存屏功能。

5. RTC終端接入簡介

RTC發起方為路由器，接收方也為路由器。RTC終端接入是終端接入的另一種典型的應用，它通過路由器在本地的終端設備與遠程的終端設備間建立起連接，完成數據交互，實現數據監控功能。RTC目前只支持異步方式。

異步RTC方式下，數據中心的監控終端和遠端的被監控終端均通過異步串口連接到路由器，路由器之間通過IP網絡進行數據交互。一般來説，與監控設備相連的路由器作為發起方（RTC Client），監控設備可以隨時發起連接，以獲取被監控設備的數據。與被監控設備相連的路由器作為接收方（RTC Server），隨時接收監控設備的連接請求，以發送被監控數據。

RTC終端接入主要有以下幾種用途：

（1）實現監控設備對遠程終端設備的管理和監控；

（2）對遠程終端設備進行數據採集；

（3）替代多路複用器設備功能，並且通過IP網絡傳輸數據，有利於網絡升級改造。

終端接入在大量採用前置機的系統（如銀行、郵政、税務、海關和民航系統等）中有廣泛應用，本手冊將以銀行系統為例説明終端接入的功能、配置及應用。終端接入的典型應用如圖1所示。

在上圖中，虛線的箭頭方向表示TCP連接的建立方向，即從發起方到接收方。紫色虛線表示TTY/Telnet/ETelnet/SSH終端接入方式，銀行網點使用具有終端接入功能的路由器（Router A），通過網絡最終連接到支行的前置機上。銀行業務運行於前置機上，網點營業員在終端上輸入的信息通過Router A傳送到前置機上，前置機把各種業務界面通過Router A推送到業務終端上，從而完成網點和支行的數據交互。橙色虛線表示RTC終端接入方式，Router B為RTC Client，Router A為RTC Server，Router B發起監控請求，Router A收到監控請求後，把被監控終端的數據通過Router B發送給監控終端，實現監控功能。

終端接入功能如圖2所示。

1.源地址綁定

源IP地址綁定的原理是先在路由器上狀態比較穩定的接口（建議使用Loopback接口或Dailer接口）上配置好IP地址，然後通過IP地址借用，作為路由器上行TCP連接的源IP地址。

由於運行於前置機需要對接入到前置機的路由器IP地址進行認證，當在廣域網使用撥號備份功能時，如果主鏈路異常斷開，路由器會啓用備份口，這時路由器的IP地址將發生改變，如果不進行源IP地址綁定就會導致認證失敗。為避免這種情況的發生，可以在路由器上配置源IP地址綁定，使用固定的IP地址與前置機建立TCP連接。

有時出於安全或其它方面的考慮，需要隱藏路由器上行TCP連接中真正的IP地址，而使用其它的IP地址，這時，也需要配置源IP地址綁定功能。

需要注意的是，應確保前置機與該接口IP地址之間路由可達。

2.終端菜單功能

終端菜單功能使得用户在終端鍵入菜單熱鍵可調出菜單界面。菜單界面將顯示該終端上每個虛終端提供的業務。用户鍵入業務選項，即可切換到相應的業務畫面。

3.虛終端業務快速切換

根據銀行業務的特點，各個銀行都提供了儲蓄、對公等多種業務，而網點的每個終端只能處理一種業務。為了解決這個問題，路由器終端接入實現了虛終端切換的功能，這樣就能夠在一台終端上同時處理多種業務，並且可以在多種業務之間動態的切換。

路由器終端接入把每個終端從邏輯上劃分為8個虛終端（VTY，Virtual Type Terminal），每個虛終端通過配置後與一個業務（也稱為應用）相對應。在終端上，可以按熱鍵彈出虛終端切換的菜單，並通過選擇實現在不同的虛終端間動態切換，也就是在不同的業務間動態切換。這種虛終端切換的概念，使得終端接入的應用更加靈活。同時，路由器終端接入的虛終端切換還具有屏幕保存的功能，當用户從業務1切換到業務2時，自動實時保存業務1的操作界面，當用户切換回業務1時，可以重新回到原來的操作界面。如果用户的虛終端因為異常情況丟失了操作界面，還可以通過虛終端重繪功能恢復原來的操作界面。

4.虛終端重繪

用户在路由器上設置虛終端重繪熱鍵。當終端因為異常情況丟失了虛終端界面，如終端關閉後再打開或出現亂碼等，可以在終端上按虛終端重繪熱鍵來恢復原來的虛終端界面。

5.連接的空閒超時功能

當設置了連接空閒超時時間，而且，在這段時間內，發送方和接收方之間沒有任何數據傳輸，則發送方和接收方之間的連接會自動斷開。

6.終端號固定

如圖2所示，終端接入程序運行於連接終端的路由器上，完成從終端到前置機的接入功能。多個終端通過異步串口與路由器相連，路由器為每個終端進行編號。同時，路由器可以通過網絡和多個前置機相連，每台前置機上運行多個應用。無論是同一個前置機上的多個應用還是多個前置機上的多個應用，終端接入都將對這些應用進行統一的編號。通過對終端和應用的編號，經過路由器的特殊處理，就可以在銀行業務和終端之間建立明確的映射關係，從而實現了終端號固定功能。

7.數據加密

由於終端接入功能在銀行的大量使用，對數據的安全性要求越來越高。可以通過終端接入的數據加密功能對路由器和前置機之間傳輸的數據進行加密，增強數據安全性。

如圖3所示，Router A和前置機之間的數據流是採用密文傳輸的，數據加密/解密的處理分別由Router A和前置機（運行了ttyd/ccbtelnetd/sshd程序）來完成。目前各種接入方式支持的數據加密方式有：

（1）TTY式支持AES加密；

（2）ETelnet方式支持AES和RC4加密；

（3）SSH方式支持RSA和DSA加密。

8.自動建鏈

終端接入具有自動建鏈（建立鏈接）功能，用户可以在終端模板視圖下啓用並配置終端的自動建鏈時間。當終端處於ok狀態（物理連接完好）時，在經過指定時間後，發起方將自動與接收方建立TCP連接。如果沒有啓用終端自動建鏈功能，則採用手動建鏈方式，只有用户在終端上輸入字符（任何字符），發送發才會與接收方建立TCP連接。

9.自動斷鏈

終端接入具有自動斷鏈功能，用户可以在終端模板視圖下啓用並配置該終端的自動斷鏈時間。當用户終端設備和發起方斷開連接後，終端處於down狀態，在經過設定的時間後，發起方自動斷開與接收方的TCP連接。如果不配置終端自動斷鏈功能，TCP連接將被一直保持。

10.“一對一”接入方式

“一對一”接入方式下，每個終端使用一條TCP連接與前置機進行數據通信，可以在各種鏈路狀況下實現最佳的通信質量和最優的通信速度，即使在低速鏈路下，通過調整一些配置參數，仍然可以提供很高的終端回顯速率。同時該方式還可以滿足用户頻繁的、大數據量的打印需求。

11.配置終端顯示語言

發送方一般會主動的發送一些信息到終端上，如菜單、建鏈信息等。為了滿足用户對不同語言的要求，這些提示信息可以用中文或英文顯示，缺省為中文顯示。

12.屏幕保護

某些類型的終端提供屏幕保存的功能，只要終端接收到指定的字符序列（如\E!10Q），就會切換到相應的屏幕。用户進行虛終端業務快速切換時，路由器發送字符序列到終端，終端保存當前操作界面內容後切換到相應的操作界面。

如果需要保存多個虛終端的屏幕，必須給這些虛終端設置不同的字符序列，而且要求終端支持的字符序列個數大於配置的VTY個數。但需要注意的是，該功能需要終端支持，而且不同類型終端可識別的字符序列可能不同，支持的字符序列的個數也可能不同，具體請參看相應的終端手冊。

13．終端接收數據發送阻塞

終端接收數據發送阻塞是指如果路由器從終端接收的數據還未發送成功，則暫時不再繼續從終端接收數據，直到數據發送成功為止。一般情況下，不需要配置該功能，只有當路由器與前置機間的傳輸速率小於路由器與終端的傳輸速率時，才需要配置該功能。

14.終端復位

當終端出現異常時，可以在終端上按終端復位熱鍵，發送方路由器會斷開並重新建立與接收方的TCP連接。

15. 連通性測試

用户在路由器上配置終端測試熱鍵。通過在終端上鍵入測試鍵，來測試終端與路由器之間連接的正確性以及終端與前置機之間TCP連接的正確性。

16. 終端發送延時

如果用户在路由器上配置了終端發送延時功能，當路由器從終端接收到數據時，會經過設定的時間，才把數據發送到前置機上。這樣，可以把設定時間內收到的信息一起發送出去，提高傳輸帶寬。

17. TCP緩存參數設置

終端接入提供了兩種緩存參數的配置操作：TCP緩存和終端緩存。TCP緩存用來存儲發送方與接收方之間交互的數據；終端緩存用來存儲發送方與終端之間交互的數據。

用户可以對TCP連接的部分參數進行設置，包括：接收緩衝區大小、發送緩衝區大小、不延遲屬性、發送保活報文的時間間隔和發送次數。

18. 終端緩存參數設置

用户可以對終端緩存的參數進行設置，包括：接收數據前是否清空接收緩存、接收緩存大小、發送緩存閾值、向終端一次性發送的最大數據塊的大小。

19. 配置虛終端自動切換連續失敗的門限

RTC Client向RTC Server發起連接時，首先向VTY號最小的VTY對應的RTC Server端發起連接，如果連接失敗次數超過配置的門限，則向下一個VTY對應的RTC Server端發起連接。

20. 配置接收方虛終端切換規則

如果配置RTC Server按照優先級（VTY號越小，優先級越高）進行虛終端切換，而且接收到的連接請求對應的虛終端編號小於已經建立連接的虛終端號時，則RTC Server會斷開原有連接，使用新連接進行通信。如果沒有配置按照優先級進行虛終端切換，當連接已經建立，再收到新的連接請求時，新的連接請求被忽略。

21. 配置RTC終端認證

終端接入支持RTC Server對RTC Client進行密碼認證，以提高安全性。需要在RTC Server端和RTC Client端配置相同的密碼，才能認證通過。

22. 終端接入多實例

終端接入多實例是指終端接入支持VPN多實例，即可以將連接到路由器的一些終端劃分到一個VPN域中，把另一些終端劃分到另一個VPN域中。這樣終端能夠訪問與自己位於同一個VPN域的前置機或遠端路由器。

23. 服務器連接認證

在實際應用中，一些用户需要通過前置機對連接的路由器進行必要的認證來提高數據安全。目前支持的認證方式有兩種：一種是基於字符串的認證方式；另一種是基於MAC地址的認證方式。

字符串認證與密碼認證相同，即在前置機和路由器上配置相同的認證字符串。路由器與前置機建立連接時，將該認證字符串發送到前置機，前置機檢查認證字符串是否正確。如果正確，認證通過；如果不正確，認證不通過，連接建立失敗。

MAC地址認證與字符串認證類似，不同點在於在前置機和路由器上配置的是相同的MAC地址，該MAC地址是路由器上某個接口的MAC地址（可以通過命令指定）。

內網終端接入控制 ^[2]  。