- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-安全命令
本章节下载 (207.68 KB)
1.1.1 aaa authentication-scheme login
1.1.6 display local-user command-history
1.1.7 display local-user login-history
1.1.8 display local-user online
1.1.10 local-user service-type
1.1.11 login-method authentication-mode
1.1.12 reset local-user history
【命令】
aaa authentication-scheme login { default | scheme-name } { method [ method ] }
undo aaa authentication-scheme login { default | scheme-name }
【视图】
系统视图
【参数】
default:使用跟随在此参数后面的认证授权方法为用户登录时的缺省认证授权方法列表。
scheme-name:用来命名认证授权方法列表名称的字符串,字符为任意可打印字符(空格除外),注意用户自定义的认证授权方法列表名不能与“default”或其首字符子串相同,字符串长度范围是1~20。
method:设置login认证授权方法列表中的认证授权方法。至少设置一种,最多可以设置2种。当输入了local或none后不再允许输入其他参数。
|
关键字 |
描述 |
|
local |
使用本地用户名数据库来进行认证授权。 |
|
none |
所有用户不需进行认证授权就可以登录成功。 |
|
radius |
使用RADIUS服务器进行认证授权。 |
【描述】
aaa authentication-scheme login命令用来创建login认证授权方法列表,undo aaa authentication-scheme login命令用来删除指定名称的login认证授权方法列表。
缺省情况下,存在default列表aaa authentication-scheme login default local。
使用aaa authentication-scheme login命令可为login用户创建认证授权方法列表,所建立的default和其他方法列表名将被login-method authentication-mode命令所使用。当某种login类型没有指定认证授权方法列表时,default方法列表将作为缺省方法。实际认证授权时使用方法列表中所定义的执行顺序。只有当使用前面的认证授权方法未得到响应时(可能由于服务器忙或无法与服务器建立连接等情况)才会尝试后面的方法。只要在此认证授权期间采用前面的方法认证授权失败(即安全服务器或本地用户名数据库的响应为拒绝用户访问),则不再尝试其后的认证授权方法而终止认证过程。
login的认证授权方法列表最多允许配置9个方法列表(含default)。
若指定none作为最后的认证授权方法,则在前面所有的认证授权方法均无响应时认证授权可以通过。
当用户所配置的login方法列表超过了所允许的最多数量时语音网关会显示提示信息:
Warning: reach the max limited of AAA authentication and authorization scheme list.
当删除一个不存在的login认证授权方法列表时会显示提示信息:
Warning: no such scheme list for authentication and authorization
相关配置可参考命令login-method authentication-mode。
【举例】
# 创建default的login认证授权方法列表,此认证授权方法首先尝试RADIUS服务器,如果服务器没有响应,则允许login用户不进行任何认证授权即登录成功。
[VG] aaa authentication-scheme login default radius none
【命令】
aaa-enable
undo aaa-enable
【视图】
系统视图
【参数】
无
【描述】
aaa-enable命令用来启动AAA功能,undo aaa-enable命令用来禁止AAA功能。
缺省情况下,启用AAA。
只有在AAA使能的情况下才可以继续进行AAA的其他配置任务。
在使用undo aaa-enable命令之后,仍然保持在aaa-enable时的所有配置,但使用display current-configuration命令无法看到,重新aaa-enable后使用display current-configuration命令可以看到原来的配置。但如果在配置了undo aaa-enable之后进行save操作,并且重新启动语音网关后,所有以前配置的命令都将失效,但在undo aaa-enable命令仍能配置的相关命令除外。
与AAA相关的debugging和display命令在任何状态下均可使用。
相关配置可参考命令radius。
& 说明:
只有在AAA功能启用状态下radius命令才可见。
【举例】
# 启动AAA。
[VG] aaa-enable
【命令】
debugging aaa { error | event }
undo debugging aaa { error | event }
【视图】
任意视图
【参数】
error:打开aaa错误信息调试开关。
event:打开aaa事件信息调试开关。
【描述】
debugging aaa命令用来打开aaa调试信息开关。undo debugging aaa命令用来关闭aaa调试信息开关。
【举例】
# 打开aaa事件调试信息开关,输出相关系统调试信息。
[VG] info-center enable
[VG] info-center console debugging
[VG] debugging aaa event
TELNET: A user from 192.168.80.100 login, waiting for authentication
AAA_INFO: Use the local authentication method
AAA_INFO: After user authentication success, send the attributes to EXEC
AAA_INFO: AAA local authorization success
AAA_INFO: User authorization success, send the attributes to EXEC
User user1 logged in
【命令】
display aaa user
【视图】
任意视图
【参数】
无
【描述】
display aaa user命令用来显示登录用户的信息。
根据该命令的输出信息,可以监控登录用户和进行AAA故障诊断等。
【举例】
# 显示AAA登录用户的信息。
[VG] display aaa user
Index User Type IP Address Connecting Time Calling Number User Name
0 EXEC 127.0.0.1 00:01:01 anchun
以上信息显示用户索引、用户类型、用户的 IP 地址、用户的连接时间和主叫号码、用户名等信息。
【命令】
display level
【视图】
任意视图
【参数】
无
【描述】
display level命令用来显示当前登录用户的身份。
【举例】
# 显示当前登录用户的身份。
[VG] display level
User Level: Administrator
【命令】
display local-user command-history { all | brief | index number | username name }
【视图】
任意视图
【参数】
all:显示记录的所有登录用户和低等级用户的历史命令信息。
brief:简要显示记录的所有登录用户的记录信息。
index:根据指定的索引显示记录的登录用户的历史命令信息。
index:指定需要显示信息的用户索引。
username:根据指定的用户名显示记录的登录用户的历史命令信息。
name:指定需要显示信息的用户名。
【描述】
display local-user command-history命令显示登录用户的历史命令记录,主要包括登录用户的用户名、用户登录的次数、用户最后一次登录的时间、用户执行的命令条数、用户的历史命令等。
& 说明:
登录用户只能查看自身或者权限比自己低的用户的历史命令信息。
【举例】
# 显示登录用户的历史命令记录。
[VG] display local-user command-history all
User<user1> total<1> records:
ID Execute-Time Command-Information
1 05:59:26 Jan/1/2005 display current-configuration
【命令】
display local-user login-history { all | username name }
【视图】
任意视图
【参数】
all:显示记录的所有登录用户的历史登录信息命令。
username name:根据指定的用户名显示记录的登录用户的历史登录信息,取值范围是1~31个字符。
【描述】
display local-user login-history命令显示登录用户的历史登录记录,主要包括登录用户的用户名、用户登录的次数、用户每次的登录时间、用户每次的退出登录时间、用户的登录的接口等。
【举例】
# 显示登录用户的历史登录记录
[VG] display local-user login-history all
User<user1> total login <1> times:
Index Login-Interface LogIn-Time LogOut-Time
1 Console 05:59:22 Jan/1/2005 User online
【命令】
display local-user online
【视图】
任意视图
【参数】
无
【描述】
display local-user online命令用来显示当前语音网关的在线用户的信息。
本命令显示的用户包括以Telnet、Console方式登录的用户以及FTP登录的用户。显示的信息主要包括任务ID、登录的接口名、对端的地址、用户名以及在线时间。
【举例】
# 显示当前语音网关的在线用户的信息。
[VG] display local-user online
UserID InterfaceName Ipaddress ConnectedTime UserName
14 Console 00:00:10 anchun
25 Ethernet0 192.168.192.100 00:00:07 anchun
【命令】
local-user user-name [ password { simple | cipher } password ]
undo local-user user-name
【视图】
系统视图
【参数】
user-name:为用户名,取值范围为1~31个字符,最多允许配置15个用户。
password:为用户认证密码,取值范围为1~16个字符或数字。
simple:表示明文方式显示密码。
cipher:表示密文方式显示密码。
【描述】
local-user password命令用来设置用户认证密码,undo local-user命令用来删除某个用户。
缺省情况下,未配置用户名及认证密码,如果新建用户时不配置密码,则系统缺省无密码。
对于用户密码的显示,最好采用加密显示方式。
相关配置可参考命令display local-user。
【举例】
# 增加用户:用户名和密码都为Router1,要求密码为加密显示。
[VG] local-user Router1 password cipher Router1
【命令】
local-user user-name service-type { administrator | guest | operator | ftp }
undo local-user user-name
【视图】
系统视图
【参数】
user-name:为授权用户的用户名,取值范围为1~31个字符,最多允许配置15个用户。
administrator:授权用户身份为administrator。
guest:授权用户身份为guest。
operator:授权用户身份为operator。
ftp:授权用户类型为FTP用户。
【描述】
local-user service-type命令用来配置用户认证和授权服务类型,undo local-user命令用来删除某用户。
新建用户时如果不配置服务类型,则缺省授权为guest。
可以和local-user password命令结合使用。
当仅授给用户单项服务时,只需要在服务类型(service-type)后配置administrator、guest、operator、ftp类型参数之一;当授给用户多项服务时,则需要在service-type后连续配置两种类型参数,而不是对同一个用户多次使用该命令,因为新服务类型会覆盖旧的服务类型,而不是类型叠加。
相关配置可参考命令local-user password,aaa authentication-scheme login。
【举例】
# 配置一个administrator用户,用户名为abc,密码为abcd。
[VG] local-user abc password cipher abcd service-type administrator
login-method authentication-mode login-type { default | scheme-name }
undo login-method authentication-mode login-type
scheme-name:指定名称的认证授权方法列表,取值范围是1~20个字符。该名称由aaa authentication-scheme login命令所定义。
login-type:login所支持的类型如表中所示的其中一项。
|
从Console 口登录的类型 |
|
|
以Telnet方式登录的类型 |
|
|
以FTP方式登录的类型 |
login-method authentication-mode命令用来指定对login用户进行认证授权使用的方法列表,undo login-method authentication-mode命令用来恢复对login用户进行认证授权时使用default的方法列表。
缺省情况下,对于使用console、telnet、ftp登录的用户都要求认证授权,并采用default列表作为login用户认证授权方法列表。
本命令用来指定在login用户登录时使用的认证授权方法列表。如果没有指定方法列表,则使用default方法列表。对于使用console、telnet、ftp登录的用户配置undo login-method authentication-mode命令与配置login-method authentication-mode login-type default命令具有相同的效果。
在配置该命令之前,需要先使用aaa authentication-scheme login创建认证授权方法列表,如配置之前没有创建方法列表,将显示提示信息:
Warning: the list is not configured for login authentication and authorization
相关配置可参考命令aaa authentication-scheme login。
# 设置Telnet login方式的认证授权方法采用“test-listname”认证授权方法列表。
[VG] login-method authentication-mode telnet test-listname
【命令】
reset local-user history username
【视图】
任意视图
【参数】
username:未登录用户。
【描述】
reset local-user history命令用来清除登录用户操作语音网关的历史命令信息。
只有从CONSOLE登录的系统管理员(administrator)才可以使用此命令清除当前状态下未登录语音网关的用户的历史命令信息。低权限的用户不能清除权限比自身高的用户的历史命令信息。
【举例】
# 清除登录用户operator001操作语音网关的历史命令信息。
[VG] reset local-user history operator001
Delete user<operator001> successfully.
【命令】
acl acl-number [ match-order ] [ config | auto ]
undo acl { acl-number | all }
【视图】
系统视图
【参数】
acl:进入一个访问控制列表(ACL)规则组。
acl-number:数字ACL的数字标示,2000~2098为基本的ACL,3000~3099是扩展的ACL。
match-order:指定ACL的配置顺序。缺省情况,ACL的配置顺序是auto顺序。
config:表示该ACL使用配置顺序匹配。
auto:表示该ACL使用按照“深度优先”的原则使用自动顺序匹配。
all:删除所有规则。
【描述】
acl命令用来增加一个ACL策略组,并进入ACL视图。如果某个ACL策略已经存在,可以直接进入这个ACL策略组。undo acl命令用来删除指定的ACL策略组。
缺省情况下,未配置任何ACL策略组。最多能够配置的ACL策略组为100个。
相关配置可参考命令display acl。
【举例】
# 配置一个简单基于IP的ACL,使用自动顺序匹配。
[VG] acl 2088 match-order auto
【命令】
debugging filter { all | icmp | tcp | udp }
undo debugging filter { all | icmp | tcp | udp }
【视图】
任意视图
【参数】
all:表示打开防火墙所有信息调试开关。
icmp:表示打开防火墙ICMP报文收发情况调试开关。
tcp:表示打开防火墙TCP协议信息调试开关。
udp:表示打开防火墙UDP协议信息调试开关。
【描述】
debugging filter命令用来打开防火墙调试信息开关,undo debugging filter命令用来关闭防火墙调试信息开关。
【举例】
# 打开防火墙所有调试信息开关。
[VG] debugging filter all
【命令】
display acl [ acl-number | interface type number ]
【视图】
任意视图
【参数】
acl-number:显示指定序号的访问控制列表的规则。
interface:表示要显示在指定接口上应用的规则序号;
type:为接口类型。
number:为接口编号。
【描述】
display acl命令用来显示包过滤规则及在接口上的应用情况。
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则有效,哪些规则无效。
相关配置可参考命令acl。
【举例】
# 显示当前所使用的序号为3000的ACL规则。
[VG] display acl 3000
Using normal packet-filtering access rules now.
3000 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes -- rule 1)
3000 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
3000 deny udp any any eq rip (no matches -- rule 3)
【命令】
display firewall
【视图】
任意视图
【参数】
无
【描述】
display firewall命令用来显示防火墙的统计信息,其中的报文统计信息是指非快转报文的统计信息。
相关配置可参考命令firewall。
【举例】
# 显示防火墙统计信息。
[VG] display firewall
Firewall is enabled, default filtering method is 'permit'.
InBound packets: None;
OutBound: 0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
1709 packets, 194826 bytes, 100% permitted in default condition,
0 packets, 0 bytes, 0% denied in default condition.
From 09:10:36 to 09:10:56
0 packets, 0 bytes, permitted,
0 packets, 0 bytes, denied,
1 packets, 114 bytes, permitted in default condition,
0 packets, 0 bytes, denied in default condition;
【命令】
firewall { enable | disable }
【视图】
系统视图
【参数】
enable:表示启用防火墙功能。
disable:表示禁用防火墙功能。
【描述】
firewall命令用来启用/禁用防火墙功能。
缺省情况下,防火墙处于“启用”状态。
使用此命令来启用或禁止防火墙,可以通过display firewall命令看到相应结果。该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
相关配置可参考命令acl,firewall packet-filter。
【举例】
# 禁止防火墙功能。
[VG] firewall disable
【命令】
firewall default { permit | deny }
【视图】
系统视图
【参数】
permit:表示缺省的过滤属性为“允许通过”。
deny:表示缺省的过滤属性为“禁止通过”。
【描述】
firewall default命令用来配置防火墙在没有相应的访问规则匹配时的缺省过滤方式。
缺省情况下,报文在防火墙开启时缺省允许通过防火墙。
当在接口应用的规则为空或没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;若缺省的过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
# 设置缺省过滤属性为“禁止通过”。
[VG] firewall default deny
【命令】
firewall packet-filter { acl-number } [ inbound | outbound ]
undo firewall packet-filter { access-list-number [ inbound | outbound ] | inbound | outbound | all }
【视图】
接口视图
【参数】
packet-filter:包过滤类型的防火墙。
acl-number:ACL规则的序号。
inbound:使用ACL规则过滤从接口收到的数据包。
outbound:使用ACL规则过滤从接口转发的数据包。
all:禁止所有应用在特定接口上的ACL规则。
【描述】
firewall packet-filter命令用来将相应的ACL应用在特定的接口上。undo firewall packet-filter命令用来禁止将相应的ACL应用在特定的接口上。
缺省情况下,无任何ACL规则被应用到接口上。
使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用inbound关键字;如果要过滤从接口转发的报文,则使用outbound关键字,如果不带方向参数则认为采用outbound关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用display acl命令来查看。
相关配置可参考命令acl。
& 说明:
为了提高配置的灵活性,VG语音网关将配置规则和应用规则分开处理,可以先应用规则,再配置规则的内容。
【举例】
# 将规则3050应用在接口Ethernet 0的inbound方向上。
[VG-Ethernet0] firewall packet-filter 3050 inbound
【命令】
reset acl counters [ access-list-number ]
【视图】
任意视图
【参数】
access-list-number:要清除统计信息的规则的序号,取值范围是2000~2098、3000~3099之间的整数;如不指定,则清除所有的规则的统计信息。
【描述】
reset acl counters命令用来清除访问列表规则的统计信息。
缺省情况下,任何时候都不清除统计信息。
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
相关配置可参考命令acl。
【举例】
# 清除当前所使用的序号为3000的规则的统计信息。
[VG] reset acl counters 3000
# 清除当前所使用的所有规则的统计信息。
[VG] reset acl counters
【命令】
rule { permit | deny } source { source-addr source-wildcard | any }
rule { permit | deny } { tcp | udp } source { source-addr source-wildcard | any } [ source-port operator port1 [ port2 ] ] destination { dest-addr dest-wildcard | any } [ destination-port operator port [ port2 ] ] [ established ] [ logging ]
rule { permit | deny } icmp source { source-addr source-wildcard | any } destination { dest-addr dest-wildcard | any } [ icmp-type icmp-type [ icmp-code ] ] [ logging ]
rule { permit | deny } ip source { source-addr source-wildcard | any } destination { dest-addr dest-wildcard | any } [ logging ]
rule { permit | deny } protocol-number source { source-addr source-wildcard | any } destination { dest-addr dest-wildcard | any } [ logging ]
undo rule { rule-id | all }
【视图】
ACL视图
【参数】
rule:增加一个ACL规则。
all:删除所有规则。
permit:表明允许满足条件的报文通过。
deny:表明禁止满足条件的报文通过。
tcp,udp,icmp,ip:指TCP、UDP、ICMP、IP协议。
protocol-number:指定协议号。
source:指定源地址信息。
source-addr:为源IP地址,点分十进制表示;或用“any”代表源地址0.0.0.0,通配符255.255.255.255。
source-wildcard:为源地址通配位。输入0代表通配位为0.0.0.0,此时与source-addr一起表示一个主机。
destination:指定目的地址信息。
dest-addr:为目的IP地址,点分十进制表示;或用“any”代表目的地址0.0.0.0,通配符255.255.255.255。
dest-wildcard:为目的地址通配位,输入0代表通配位为0.0.0.0。
source-port:指定源端口信息。
operator:(可选)端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(equal)、大于(greater-than)、小于(less-than)、不等于(not-equal)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1:协议类型为TCP或UDP时的应用端口号,取值范围为0~65535。
port2:协议类型为TCP或UDP且操作类型为range的应用端口号,取值范围为0~65535。
destination-port:指定目的端口信息。
established:匹配所有标志为ACK和RST的TCP报文。包括SYN+ACK、ACK、FIN+ACK、RST、RST+ACK等几种报文。此参数只在协议类型为TCP时有效。
icmp-type:指定ICMP的类型。
icmp-type:在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code:在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
logging:表示如果报文符合条件,需要做日志。
rule-id:表明删除该ACL规则组中的第几条规则。可以先通过display acl显示欲删除的规则所对应的rule-id,然后再执行undo rule命令。
【描述】
第一条rule命令用来增加一个基本的ACL规则。
第二条至第五条rule命令用来增加一个高级的ACL规则。
缺省情况下,没有定义任何ACL规则。一共可以配置100条规则。
相关配置可参考命令acl、display acl。
【举例】
# 定义一个规则序号为3050的ACL,并在该ACL上定义一条规则允许129.9.0.0/16网段上的主机向202.38.160.0/24网段上的主机发送WWW报文。
[VG] acl 3050
[VG-acl-3050] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
