- line的配置
通过CLI登录显示用户信息
| 操作 | 命令 | 说明 |
| 显示用户线的相关信息 | display line [ num1 | { console | vty } num2 ] [ summary ] | 在任意视图下执行 |
| 显示设备作为Telnet客户端的相关配置信息 | display telnet client | 在任意视图下执行 |
| 显示当前正在使用的用户线以及用户的相关信息 | display users | 在任意视图下执行 |
| 显示设备支持的所有用户线以及用户的相关信息 | display users all | 在任意视图下执行 |
设备认证方式:
| 认证方式 | 认证所需配置 |
| none | 设置登录用户的认证方式为不认证 |
| password | 设置登录用户的认证方式为password认证 设置密码认证的密码 |
| scheme | 设置登录用户的认证方式为scheme认证 在ISP域视图下为login用户配置认证方法 |
·对于none和password认证方式,登录用户的角色由用户线下的用户角色配置决定。
·对于scheme认证方式,且用户通过SSH的publickey或password-publickey方式登录设备时,登录用户将被授予同名的设备管理类本地用户视图下配置的授权用户角色。
·对于scheme认证方式,非SSH登录以及用户通过SSH的password方式登录设备时,登录用户使用AAA认证用户的角色配置。尤其对于远程AAA认证用户,如果AAA服务器没有下发用户角色且缺省用户角色授权功能处于关闭状态时,用户将不能登录设备。
配置通过Console口登录设备的认证方式
1. 配置通过Console口登录设备时无需认证(none)
(1) 进入系统视图。
system-view
(2) 进入Console用户线或Console用户线类视图。
? 进入Console用户线视图。
line console first-number [ last-number ]
? 进入Console用户线类视图。
line class console
(3) 设置登录用户的认证方式为不认证。
authentication-mode none
缺省情况下,用户通过Console口登录,认证方式为scheme。
(4) 配置从当前用户线登录设备的用户角色。
user-role role-name
缺省情况下,对于缺省Context,通过Console口登录设备的用户角色为network-admin;对于非缺省Context,不支持Console口登录方式。
2. 配置通过Console口登录设备时采用密码认证(password)
(1) 进入系统视图。
system-view
(2) 进入Console用户线或Console用户线类视图。
? 进入Console用户线视图。
line console first-number [ last-number ]
? 进入Console用户线类视图。
line class console
(3) 设置登录用户的认证方式为密码认证。
authentication-mode password
缺省情况下,用户通过Console口登录,认证方式为scheme。
如果设置认证方式为password,但是没有配置认证密码,下次无法通过该用户线登录设备。
(4) 设置认证密码。
set authentication password { hash | simple } string
缺省情况下,未设置认证密码。
(5) 配置从当前用户线登录设备的用户角色。
user-role role-name
缺省情况下,对于缺省Context,通过Console口登录设备的用户角色为network-admin;对于非缺省Context,不支持Console口登录方式。
3. 配置通过Console口登录设备时采用AAA认证(scheme)
(1) 进入系统视图。
system-view
(2) 进入Console或Console用户线类视图。
? 进入Console用户线视图。
line console first-number [ last-number ]
? 进入Console用户线类视图。
line class console
(3) 设置登录用户的认证方式为通过AAA认证。
authentication-mode scheme
缺省情况下,用户通过Console口登录,认证方式为scheme。
如果设置认证方式为scheme,但是没有配置认证用户,会影响下次登录设备。
(4) 在ISP域视图下为login用户配置认证方法。
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
- 配置通过HTTPS方式登录设备
1. 功能简介
HTTPS登录方式分为以下两种:
·简便登录方式:采用这种方式时,设备上只需开启HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。这种方式简化了配置,但是存在安全隐患。(自签名证书指的是服务器自己生成的证书,无需从CA获取)
·安全登录方式:采用这种方式时,设备上不仅要开启HTTPS服务,还需要配置SSL服务器端策略、PKI域等。这种方式配置复杂,但是具有更高的安全性。
SSL的相关描述和配置请参见“安全配置指导”中的“SSL”。PKI的相关描述和配置请参见“安全配置指导”中的“PKI”。
2. 配置限制和指导
·HTTPS服务和SSL VPN服务使用相同的端口号时,二者引用的SSL服务器端策略必须相同,否则无法同时开启HTTPS服务和SSL VPN服务。若要修改引用的SSL服务器端策略,则需要先关闭HTTPS服务和SSL VPN服务,修改SSL服务器端策略后,再开启HTTPS服务和SSL VPN服务,修改后的SSL服务器端策略才能生效。
·更改HTTPS服务与SSL服务器端的关联策略,需要先关闭HTTP和HTTPS服务,再重新配置HTTPS服务与SSL服务器端策略关联,最后重新开启HTTP服务和HTTPS服务,新的策略即可生效。
·如需恢复HTTPS使用自签名证书的情况,必须先关闭HTTP和HTTPS服务,再执行undo ip https ssl-server-policy,最后重新开启HTTP服务和HTTPS服务即可。
·开启HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。此时,需要多次执行ip https enable命令,HTTPS服务才能正常启动。
·如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,且证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。
3. 配置通过HTTPS方式登录设备
(1) (可选)请在用户视图下执行本命令,配置用户访问Web的固定校验码。
web captcha verification-code
缺省情况下,用户只能使用Web页面显示的校验码访问Web。
(2) 进入系统视图。
system-view
(3) (可选)配置HTTPS服务与其他策略的关联。
? 配置HTTPS服务与SSL服务器端策略关联。
ip https ssl-server-policy policy-name
缺省情况下,HTTPS服务未与SSL服务器端策略关联,HTTPS使用自签名证书。
? 配置HTTPS服务与证书属性访问控制策略关联。
ip https certificate access-control-policy policy-name
缺省情况下,HTTPS服务未与证书属性访问控制策略关联。
通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制。证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI”。
(4)开启HTTPS服务。
ip https enable
缺省情况下,HTTPS服务处于开启状态。
(5)(可选)配置HTTPS服务的端口。
ip https port port-number
缺省情况下,HTTPS服务的端口号为443。
(6)(可选)配置使用HTTPS登录设备时的方式。
web https-authorization mode { certificate | certificate-manual | manual }
缺省情况下,用户使用HTTPS登录设备时的方式为manual。
(7)(可选)配置通过数字证书登录设备时使用的用户名。
web https-authorization username { cn | email-prefix | oid oid-value }
缺省情况下,使用数字证书中的CN(Common Name,公用名称)字段,作为通过数字证书登录设备时使用的用户名。
4.配置用于Web登录的本地用户
(1)进入系统视图。
system-view
(2)创建本地用户用于Web登录,并进入本地用户视图。
local-user user-name [ class manage ]
(3)(可选)设置本地用户的密码。
password [ { hash | simple } password ]
缺省情况下,不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其他属性验证通过即可认证成功。
(4)配置Web登录用户的属性。
? 配置Web登录的用户角色。
authorization-attribute user-role user-role
缺省情况下,Web登录的用户角色为network-operator。
? 配置Web登录用户的服务类型。
service-type { http | https }
缺省情况下,未配置用户的服务类型。
5.管理Web登录用户连接
1. 配置Web登录用户连接的超时时间
(1)进入系统视图。
system-view
(2)配置Web登录用户连接的超时时间。
web idle-timeout minutes
缺省情况下,Web闲置超时时间为10分钟。
2. 配置同时在线的最大Web用户连接数
(1)进入系统视图。
system-view
(2)配置同时在线的最大Web用户连接数。
aaa session-limit { http | https } max-sessions
缺省情况下,同时在线的最大Web用户连接数为32。
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。关于该命令的详细描述,请参见“安全命令参考”中的“AAA”。
3. 强制在线Web用户下线
请在用户视图下执行本命令,强制在线Web用户下线。
free web users { all | user-id user-id | user-name user-name }
6.通过Web登录设备显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息、HTTP的状态信息和HTTPS的状态信息,通过查看显示信息验证配置的效果;可以在用户视图下执行free web users命令来强制在线Web用户下线。
表4-1 Web用户显示
| 操作 | 命令 |
| 显示HTTP的状态信息 | display ip http |
| 显示HTTPS的状态信息 | display ip https |
| 显示Web的页面菜单树 | display web menu [ chinese ] |
| 显示Web用户的相关信息 | display web users |
| 强制在线Web用户下线 | free web users { all | user-id user-id | user-name user-name } |
- CPU、MEM、Clock、device、power、版本、升级记录等设备管理信息显示
| 操作 | 命令 |
| 显示设备的告警信息 | display alarm [ slot slot-number ] |
| 显示系统当前的时间、日期、本地时区以及夏令时配置 | display clock |
| 显示设备的版权信息 | display copyright |
| 显示CPU利用率的统计信息 | display cpu-usage [ summary ] [ slot slot-number [ cpu cpu-number [ core { core-number | all } ] ] ] display cpu-usage [ control-plane | data-plane ] [ summary ] [ slot slot-number [ cpu cpu-number ] ] |
| 显示CPU利用率监控功能的相关配置 | display cpu-usage configuration [ slot slot-number [ cpu cpu-number ] ] |
| 以图表方式显示CPU利用率的历史记录 | display cpu-usage history [ job job-id ] [ slot slot-number [ cpu cpu-number ] ] |
| 显示设备信息 | display device [ harddisk | usb ] [ slot slot-number [ subslot subslot-number ] | verbose ] |
| 显示设备的电子标签信息 | display device manuinfo [ slot slot-number ] |
| 收集诊断信息 | display diagnostic-information [ hardware | infrastructure | l2 | l3 | service ] [ key-info ] [ filename ] |
| 显示设备的温度信息 | display environment [ slot slot-number ] |
| 显示风扇的工作状态 | display fan [ slot slot-number [ fan-id ] ] |
| 显示设备的内存使用状态 | display memory [ summary ] [ slot slot-number [ cpu cpu-number ] ] |
| 显示内存告警门限相关信息 | display memory-threshold [ slot slot-number [ cpu cpu-number ] ] |
| 显示设备的电源状态 | display power [ slot slot-number [ power-id ] ] |
| 显示Job的配置信息 | display scheduler job [ job-name ] |
| 显示Job的执行日志信息 | display scheduler logfile |
| 显示定时重启功能的相关配置 | display scheduler reboot |
| 显示Schedule的相关信息 | display scheduler schedule [ schedule-name ] |
| 显示设备的健康状态 | display system health [ slot slot-number ] |
| 显示系统健康状态变化的历史信息 | display system health history [ slot slot-number ] |
| 显示系统的稳定状态 | display system stable state |
| 显示系统版本信息 | display version |
| 显示启动软件包版本更新操作的记录 | display version-update-record |
| 清除Schedule日志文件的相关信息 | reset scheduler logfile |
| 清除启动软件包版本更新操作的记录 | reset version-update-record |
- 开启配置文件加密功能—可保证配置文件的保密性和完整性。
1. 功能简介
配置文件加密功能就是设备在执行save命令将当前配置保存到配置文件的同时,将配置文件加密。
2. 配置限制和指导
加密后的文件能被所有运行Comware V7平台软件的设备识别和解析。因此,为了防止非法用户对加密后配置文件的解析,需确保只有合法用户才能获取加密后的配置文件。运行其它平台软件的设备不能识别和解析。
开启配置文件加密功能后,执行save命令生成的配置文件是加密后的配置文件,将不能使用more命令查看加密配置文件(后缀名为“.cfg”的配置文件)的内容,且加密配置文件将不能参与配置差异的比较(如不能使用display current-configuration diff命令比较下次启动配置文件与运行配置之间的差异、不能将加密后的配置文件作为display diff命令的参数)。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 开启配置文件加密功能。
configuration encrypt { private-key | public-key }
缺省情况下,配置文件加密功能处于关闭状态。
- 配置文件备份
- 配置本地配置备份
1. 功能简介
如果设置备份文件保存在本地,设备备份当前运行配置时,将在指定的本地路径下生成以“前缀_序号.cfg”命名的配置文件(例如archive_1.cfg)。序号自动从1开始编号,依次加1,累加至1000后重新从1开始编号。
修改备份文件的保存路径或文件名前缀后,备份序号从1开始重新自动编号,原来的备份文件不再作为备份文件而作为普通配置文件存在,此后执行display archive configuration命令不会显示原来的备份配置文件的相关信息。
2. 配置限制和指导
如果设置备份文件保存在本地,备份文件数量达到上限后,再次保存备份文件时,系统将删除保存时间最早的备份文件,以保存新的备份文件。
执行undo archive configuration location命令后,用户将不能手工备份当前配置到本地,系统也不再自动备份当前配置到本地。同时,archive configuration max和archive configuration interval命令会恢复为缺省情况、display archive configuration不显示本地备份信息。
如果设置备份文件保存在本地,备份当前配置功能只将当前配置备份到主设备的备份路径下,不会保存到从设备,建议在所有成员设备的文件路径下都创建备份路径并进行配置备份,防止主备倒换后该功能失效。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 配置备份配置文件的本地保存路径和文件名前缀。
archive configuration location directory filename-prefix filename-prefix
缺省情况下,未配置备份配置文件的本地保存路径和文件名前缀。
directory必须是主设备上已存在的路径,且参数中不能包含成员编号。
(3) (可选)配置本地保存备份配置文件的最大数。
archive configuration max file-number
缺省情况下,本地保存备份配置文件的最大数为5。
请根据系统剩余存储空间配置备份配置文件的最大数。
(4) 备份当前配置到本地。请选择其中一项进行配置。
? 自动备份当前配置到本地,并设置自动备份的时间间隔。
archive configuration interval interval
缺省情况下,自动备份当前配置功能处于关闭状态。
? 请依次执行以下命令在用户视图下手动备份当前配置。
quit
archive configuration
- 配置远程配置备份
1. 功能简介
如果设置备份文件保存在远程FTP或者TFTP服务器上,设备备份当前运行配置时,将在远程服务器指定的路径下生成以“前缀_YYYYMMDD_HHMMSS.cfg”命名的配置文件(例如archive_20170526_203430.cfg)。
2. 配置限制和指导
执行undo archive configuration server命令后,用户将不能手工备份当前配置到远程FTP或者TFTP服务器,系统也不再自动备份当前配置到远程FTP或者TFTP服务器。同时,archive configuration server user和archive configuration server password命令会恢复为缺省情况,display archive configuration不显示远程服务器备份信息。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 指定配置文件备份到远程服务器时使用的参数。
archive configuration server { ftp | tftp } { ipv4-address | ipv6 ipv6-address } [ port port-number ] [ vpn-instance vpn-instance-name ] [ directory directory ] filename-prefix filename-prefix [ interval interval ]
缺省情况下,未指定配置文件备份到远程服务器时使用的参数。
如果指定了interval参数,将开启自动将配置文件备份到远程服务器功能。
(3) 如果指定将配置文件备份到远程FTP服务器,且FTP服务器端设置了登录用户的用户名和密码,请执行如下步骤配置向远程FTP服务器备份配置时使用的用户名、密码。
a. 配置向远程FTP服务器备份配置时使用的用户名。
archive configuration server user user-name
缺省情况下,未配置向远程FTP服务器备份配置时使用的用户名。
b. 配置向远程FTP服务器备份配置时使用的密码。
archive configuration server password { cipher | simple } string
缺省情况下,未配置向远程FTP服务器备份配置时使用的密码。
请保证本地配置和服务器端配置一致。
(4) 请执行如下步骤,手动备份当前配置到远程服务器。
a. 退出系统视图。
quit
b. 手动备份当前配置。
archive configuration
- 配置文件管理显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置文件的使用情况。用户可以通过查看显示信息验证配置的效果。
表1-1 配置文件管理显示和维护
| 操作 | 命令 |
| 显示备份配置文件的相关信息 | display archive configuration |
| 显示远程配置回滚功能的相关信息 | display configuration replace server |
| 显示设备当前生效的配置 | display current-configuration [ configuration [ module-name ] | interface [ interface-type [ interface-number ] ] | vpn-instance [ vpn-instance-name ] ] |
| 显示下次启动配置文件与运行配置之间的差异 | display current-configuration diff |
| 显示出厂配置 | display default-configuration |
| 查看两份配置之间的差异 | display diff configfile file-name-s { configfile file-name-d | current-configuration | startup-configuration } display diff current-configuration { configfile file-name-d | startup-configuration } display diff startup-configuration { configfile file-name-d | current-configuration } |
| 显示下次启动配置文件的内容 | display saved-configuration |
| 显示用于本次及下次启动的配置文件的名称 | display startup |
| 显示当前视图下生效的配置 | display this |
- IRF显示和维护 设备冗余
在完成上述配置后,在任意视图下执行display命令可以显示配置后IRF的运行情况,通过查看显示信息验证配置的效果。
表1-4 IRF显示和维护
| 操作 | 命令 |
| 显示IRF中所有成员设备的相关信息 | display irf |
| 显示IRF的拓扑信息 | display irf topology |
| 显示IRF链路信息 | display irf link |
| 显示所有成员设备上重启以后生效的IRF配置 | display irf configuration |
| 显示IRF链路的负载分担模式 | display irf-port load-sharing mode [ irf-port [ member-id/port-number ] ] |
| 显示MAD配置信息 | display mad [ verbose ] |
- 以太网冗余接口显示 链路冗余
在完成上述配置后,在任意视图下执行display命令可以显示配置后以太网冗余接口的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除以太网冗余接口的统计信息。
表1-1 以太网冗余显示和维护
| 操作 | 命令 |
| 显示以太网冗余接口的流量统计信息 | display counters { inbound | outbound } interface [ reth [ interface-number ] ] |
| 显示最近一个统计周期内处于up状态的接口的报文速率统计信息 | display counters rate { inbound | outbound } interface [ reth [ interface-number ] ] |
| 显示以太网冗余接口/以太网冗余子接口的相关信息 | display interface [ reth [ interface-number | interface-number.subnumber ] ] [ brief [ description | down ] ] |
| 显示以太网冗余接口的成员接口的信息 | display reth interface interface-type interface-number |
| 清除以太网冗余接口的统计信息 | reset counters interface [ reth [ interface-number ] ] |
| 显示冗余组的相关信息 | display redundancy group [ group-name ] |
- ASPF配置—状态防火墙的配置
1.1 ASPF简介
为了解决包过滤防火墙存在的问题,提出了状态防火墙——ASPF(Advanced Stateful Packet Filter,高级状态包过滤)的概念。
ASPF的主要功能
ASPF能够实现的主要功能有:
·应用层协议检测:检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控每一个连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护,并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以阻止恶意的入侵。
·传输层协议检测:检测传输层协议信息,包括TCP协议、UDP协议、UDP-Lite协议、SCTP协议、Raw IP协议、ICMP协议、ICMPv6协议和DCCP协议。例如TCP/UDP检测,能够根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络。
·ICMP差错报文检测:正常ICMP差错报文中均携带有本报文对应连接的相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前配置决定是否丢弃该ICMP报文。
·TCP连接首包检测:对TCP连接的首报文进行检测,查看是否为SYN报文,如果不是SYN报文则根据当前配置决定是否丢弃该报文。缺省情况下,不丢弃非SYN首包,适用于不需要严格TCP协议状态检查的组网场景。例如当防火墙设备首次加入网络时,网络中原有TCP连接的非首包在经过新加入的设备时如果被丢弃,会中断已有的连接,造成不好的用户体验,因此建议暂且不丢弃非SYN首包,等待网络拓扑稳定后,再开启非SYN首包丢弃功能。
ASPF应用
在网络边界,ASPF和包过滤防火墙协同工作,包过滤防火墙负责按照ACL规则进行报文过滤(阻断或放行),ASPF负责对已放行报文进行信息记录,使已放行的报文的回应报文可以正常通过配置了包过滤防火墙的接口。因此,ASPF能够为企业内部网络提供更全面的、更符合实际需求的安全策略。
配置ASPF策略
(1)进入系统视图。
system-view
(2)创建ASPF策略,并进入ASPF策略视图。
aspf policy aspf-policy-number
创建ASPF策略后,系统默认开启对传输层协议的检测,无需进行配置,也不能修改。
(3)(可选)配置对应用层协议的ASPF检测。
detect { dns [ action { drop | logging } * ] | { ftp | h323 | http | sccp | sip | smtp } [ action drop ] | gtp | ils | mgcp | nbt | pptp | rsh | rtsp | sqlnet | tftp | xdmcp }
缺省情况下,配置了应用层协议FTP的ASPF检测。
配置action参数时,ASPF还会对应用层协议进行协议状态合法性检查,对不符合协议状态的报文执行所配置的相应动作。
ASPF显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后ASPF的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除ASPF的统计信息。
表1-1 ASPF显示和维护
| 操作 | 命令 |
| 查看ASPF策略配置信息及应用ASPF策略的信息 | display aspf all |
| 查看ASPF策略的配置信息 | display aspf policy { aspf-policy-number | default } |
| 查看ASPF的会话表信息 | display aspf session [ ipv4 | ipv6 ] [ slot slot-number ] [ verbose ] |
| 删除ASPF的会话表 | reset aspf session [ ipv4 | ipv6 ] [ slot slot-number ] |
9.IP Source Guard显示 违规接入时的MAC地址、IP、VLAN绑定、接口和槽位等绑定设置
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
IP Source Guard显示和维护
| 操作 | 命令 |
| 显示IPv4绑定表项信息 | display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcp-relay | dhcp-server | ip-mac-vlan | ip-mac-vpn ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
| 显示IPv6绑定表项信息 | display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ ipv6-mac-vlan | ipv6-mac-vpn ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
10.AAA实现的功能
AAA可以通过多种协议来实现,这些协议规定了NAS与服务器之间如何传递用户信息。目前设备支持RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议、HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议)协议和LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)协议,在实际应用中,最常使用RADIUS协议。