09安全命令NE40.docx
《09安全命令NE40.docx》由会员分享,可在线阅读,更多相关《09安全命令NE40.docx(40页珍藏版)》请在冰豆网上搜索。
09安全命令NE40
目录
第1章AAA及RADIUS协议配置命令1-1
1.1AAA及RADIUS协议配置命令1-1
1.1.1aaaauthentication-schemelocal-first1-1
1.1.2aaaauthentication-schemelogin1-2
1.1.3aaaauthentication-schemeppp1-3
1.1.4aaaenable1-5
1.1.5debuggingaaaevent1-5
1.1.6debuggingaaaprimitive1-6
1.1.7displayaaauser1-7
1.1.8displaylocal-user1-7
1.1.9ippool1-8
1.1.10local-userftp-directory1-9
1.1.11local-userlevel1-10
1.1.12local-userpassword1-10
1.1.13local-userservice-type1-11
1.1.14radiusappoint-authentication1-12
1.1.15radiusretry1-13
1.1.16radiusserver1-14
1.1.17radiusshared-key1-15
1.1.18radiustimerquiet1-16
1.1.19radiustimerresponse-timeout1-17
1.1.20remoteaddress1-17
第2章端口镜像配置命令2-1
2.1端口镜像配置命令2-1
2.1.1displayobserving-port2-1
2.1.2displayport-mirroring2-1
2.1.3observing-port2-2
2.1.4port-mirroring2-3
第3章网络地址转换配置命令3-1
3.1网络地址转换配置命令3-1
3.1.1access-grouproutereacl3-1
3.1.2displaynataddress-group3-2
3.1.3displaynataging-time3-2
3.1.4displayipuserlognat3-3
3.1.5displaynatserver3-3
3.1.6displaynatservice-class3-4
3.1.7displaynatsession3-5
3.1.8displaynatstatistics3-6
3.1.9displaynatusers3-6
3.1.10eacl3-7
3.1.11flow-action3-8
3.1.12ipuserlognatexport3-9
3.1.13nataddress-group3-10
3.1.14nataging-time3-11
3.1.15natmatch-host3-12
3.1.16natserver3-13
3.1.17natservice-class3-14
3.1.18resetnatsession3-15
3.1.19resetnatstatistics3-16
第4章URPF配置命令4-1
4.1URPF配置命令4-1
4.1.1urpfenable4-1
第5章流量采样配置命令5-1
5.1流量采样配置命令5-1
5.1.1displaysampling5-1
5.1.2displaysampling-file5-1
5.1.3displaysampling-record5-2
5.1.4sample-source5-3
5.1.5samplingnms-host5-3
5.1.6samplingother5-4
5.1.7samplingsru5-6
第1章AAA及RADIUS协议配置命令
1.1AAA及RADIUS协议配置命令
1.1.1aaaauthentication-schemelocal-first
【命令】
aaaauthentication-schemelocal-first
undoaaaauthentication-schemelocal-first
【视图】
系统视图
【参数】
无。
【描述】
命令aaaauthentication-schemelocal-first用来允许AAA的本地优先验证,命令undoaaaauthentication-schemelocal-first用来禁止AAA的本地优先验证。
缺省情况下,不使用AAA的本地优先验证。
使用本地优先验证时,对用户首先进行本地验证,如果验证失败,再使用所配置的验证方案中的方法进行验证。
在系统视图下配置的本地优先验证,对所有非指定RADIUS服务器的验证均起作用,包括PPP和Login验证,即都优先使用本地验证。
相关配置可参考命令aaaauthentication-schemelogin,aaaauthentication-schemeppp。
【举例】
#使能本地优先验证
[Quidway]aaaauthentication-schemelocal-first
1.1.2aaaauthentication-schemelogin
【命令】
aaaauthentication-schemelogin{default|scheme-name}[first-method][second-method]
undoaaaauthentication-schemelogin{default|scheme-name}
【视图】
系统视图
【参数】
login:
这里把Telnet,FTP以及登录到系统进行配置的行为称为Login。
default:
为Login缺省用的验证方案名。
如果用户接口上或对FTP没有指定验证方法,则缺省使用该方案。
scheme-name:
用户输入的验证方案名。
first-method、second-method:
为验证方法,是以下三种基本验证方法:
●radius:
用RADIUS服务器进行验证
●local:
在本地进行验证
●none:
所有用户不需进行验证便可得到访问权
first-method、second-method可选的组合如下:
●none
●local
●radius
●radiusnone
●radiuslocal
如果命令中没用指定验证方法,则缺省使用本地验证方法local。
对于Login用户如果没有指定验证方案,则采用default验证方案。
default验证方案的缺省方法为local验证。
【描述】
命令aaaauthentication-schemelogin用来配置AAA的Login验证方案,命令undoaaaauthentication-schemelogin对于非缺省方案,其作用为删除一个方案;对缺省方案,其作用为将缺省方案恢复为缺省状态,即本地验证。
AAA的Login验证方案中可以指明三种验证方法:
local、radius和none。
其中local为用本地配置的用户列表进行验证,radius表示由RADIUS服务器进行验证,none表示不验证。
本地数据库由local-user命令配置。
在指定多种基本验证方法的情况下,在进行login验证时,首先采用前面的验证方法,如果发生验证错误,如无法与RADIUS服务器建立通信连接,则再使用后面的验证方法。
但如果在采用某种方法验证失败后,即认为是非法访问,不再采用其他验证方法,拒绝登录。
注:
使用后继验证方法的条件是验证不能正常进行,而不是验证失败,验证不能正常进行是指不能与RADIUS验证服务器通信,也只有使用radius方法进行验证时才可能出现验证不正常。
相关配置可参考命令aaaauthentication-schemelocal-first,local-user。
【举例】
#配置Login的缺省验证方案,要求先采用RADIUS服务器验证,如果未得到响应则改用本地验证。
[Quidway]aaaauthentication-schemelogindefaultradiuslocal
1.1.3aaaauthentication-schemeppp
【命令】
aaaauthentication-schemeppp{default|scheme-name}[first-method][second-method]
undoaaaauthentication-schemeppp{default|scheme-name}
【视图】
系统视图
【参数】
default:
为PPP缺省用的验证方案名,如果封装PPP的接口上没有定义验证方法,则缺省使用该方案。
scheme-name:
用户输入的方案名,使用时需与pppauthentication-mode命令相配合,使该方案用于某接口的PPP验证。
first-method、second-method:
为验证方法,是以下三种基本验证方法的组合:
●radius:
用RADIUS服务器进行验证
●local:
在本地进行验证
●none:
所有用户不需进行验证便可得到访问权
可选的组合如下:
●none
●local
●radius
●radiusnone
●radiuslocal
对于PPP用户如果没有指定验证方案,则缺省采用default验证方案。
default验证方案的缺省方法为本地验证。
如果没用指定验证方法则缺省使用本地验证方法。
【描述】
命令aaaauthentication-schemeppp用来配置AAA的PPP验证方案,命令undoaaaauthentication-schemeppp对于非缺省方案,其作用为删除一个方案;对缺省方案,其作用为将缺省方案恢复为缺省状态,即本地验证。
PPP的CHAP或PAP验证只是用户登录到系统的验证过程,通过该验证过程获取到对端用户名和口令等信息,能否通过授权的验证,还需要由AAA确定。
AAA的PPP验证方案中可以指明三种验证方法:
local、radius和none。
其中local为用本地数据库进行验证,radius表示由RADIUS服务器进行验证,none表示不验证。
本地数据库由local-user命令配置。
相关配置可参考命令aaaauthentication-schemelocal-first,pppauthentication-mode,local-user。
【举例】
#配置PPP的缺省验证方案,要求先采用RADIUS服务器验证,如果未得到响应则改用本地验证。
[Quidway]aaaauthentication-schemepppdefaultradiuslocal
1.1.4aaaenable
【命令】
aaaenable
undoaaaenable
【视图】
系统视图
【参数】
无。
【描述】
命令aaaenable用来使能AAA,命令undoaaaenable用来禁止AAA。
系统缺省为禁止AAA。
只有使能AAA后,才能配置AAA的其它参数。
【举例】
#使能AAA。
[Quidway]aaaenable
1.1.5debuggingaaaevent
【命令】
debuggingaaaevent
undodebuggingaaaevent
【视图】
用户视图
【参数】
无。
【描述】
命令debuggingaaaevent用来打开AAA事件调试开关,命令undodebuggingaaaevent用来关闭AAA事件调试开关。
系统缺省关闭AAA事件调试开关。
打开AAA事件调试信息开关后,可以看到有关AAA及RADIUS各种事件的信息,主要用于技术支持人员调试。
如用户下网时,系统会显示如下信息:
User(lee)(port2):
leave
说明用户lee下网,2为用户号。
相关配置可参考命令displaydebugging。
【举例】
#用来打开AAA事件调试开关。
debuggingaaaevent
1.1.6debuggingaaaprimitive
【命令】
debuggingaaaprimitive
undodebuggingaaaprimitive
【视图】
用户视图
【参数】
无。
【描述】
命令debuggingaaaprimitive用来打开AAA原语调试开关,命令undodebuggingaaaprimitive用来关闭AAA原语调试开关。
系统缺省关闭AAA原语调试开关。
该调试信息主要用于技术支持人员调试。
相关配置可参考命令displaydebugging。
【举例】
#打开AAA原语调试开关。
debuggingaaaprimitive
1.1.7displayaaauser
【命令】
displayaaauser
【视图】
所有视图
【参数】
无。
【描述】
命令displayaaauser用来显示接入用户的情况。
根据该命令的输出信息,可以监控接入的用户和进行AAA故障诊断等。
【举例】
#显示用户信息。
displayaaauser
UserNameUserIDUserTypeIPAddressAccountingTimeCallingNumber
liusongtao2PPP10.110.10.10000:
48:
1033664567
TotalUser:
1
1.1.8displaylocal-user
【命令】
displaylocal-user
【视图】
所有视图
【参数】
无。
【描述】
命令displaylocal-user用来查看本地用户数据库。
该命令显示信息包括为了进行验证而配置的本地用户的用户名、此本地用户总的连接次数及验证失败次数,验证失败指使用了错误的口令。
相关配置可参考命令local-user。
【举例】
displaylocal-user
no.usernamelogintimesfailedtimes
------------------------------------------------------
1huawei32512
1.1.9ippool
【命令】
ippoolpool-numberfirst-address[last-address]
undoippoolpool-number
【视图】
系统视图
【参数】
pool-number:
为地址池编号,范围为0~99。
first-address:
地址池中的第一个IP地址,此参数必须输入。
此地址必须必last-address要小。
last-address:
地址池中最后一个IP地址,是可选的参数,如果省略此参数,则地址池中只有1个地址。
此地址必须比first-address要大。
一个地址池中的地址数不能超过1024。
【描述】
命令ippool用来定义为PPP用户分配本地的IP地址池,命令undoippool用来取消为PPP用户分配本地的IP地址池。
系统缺省没有配置本地IP地址池。
在系统视图下,配置的IP地址池,通过在接口视图下使用命令remoteaddress为PPP用户分配IP地址。
相关配置可参考命令remoteaddress。
【举例】
#配置从129.102.0.1到129.102.0.10的本地IP地址池0。
[Quidway]ippool0129.102.0.1129.102.0.10
1.1.10local-userftp-directory
【命令】
local-userlocal-userftp-directorydirectory
undolocal-userlocal-userftp-directory
【视图】
系统视图
【参数】
local-user:
为用户名。
directory:
可访问目录。
【描述】
命令local-userftp-directory用来授权给FTP用户的使用目录,命令undolocal-userftp-directory用来取消FTP用户对目录的使用授权。
系统缺省不给FTP用户授权使用目录。
可以和local-userpassword命令结合使用。
相关配置可参考命令local-userpassword,aaaauthentication-schemelogin。
【举例】
#增加一用户,用户名为quidway,密码为huawei(加密显示),可访问目录为flash:
/huawei/lst/。
[Quidway]local-userquidwaypasswordcipherhuawei
[Quidway]local-userquidwayftp-directoryflash:
/huawei/lst/
1.1.11local-userlevel
【命令】
local-userlocal-userlevellevel
undolocal-userlocal-userlevel
【视图】
系统视图
【参数】
local-user:
为用户名。
level:
为用户优先级。
【描述】
命令local-userlevel用来设置用户的优先级,命令undolocal-userlevel用来恢复设置用户的优先级为缺省值。
在不使用此命令时,用户缺省的优先级是3。
可以和local-userpassword命令结合使用。
相关配置可参考命令local-userpassword,aaaauthentication-schemelogin。
【举例】
#增加一用户,用户名为quidway,口令为huawei(加密显示),优先级为2。
[Quidway]local-userquidwaypasswordcipherhuawei
[Quidway]local-userquidwaylevel2
1.1.12local-userpassword
【命令】
local-userlocal-user[password{simple|cipher}password]
undolocal-userlocal-user
【视图】
系统视图
【参数】
local-user:
为用户名,local-user最长为32个字母。
simple:
表示明文方式显示口令。
cipher:
表示密文方式显示口令。
password:
为用户口令,password最长为16个字母。
缺省为不需要口令验证。
在选择cipher时,可以输入明文口令,也可以输入24个字符的密文口令。
【描述】
命令local-userpassword用来增加用户并配置用户口令,命令undolocal-user用来删除用户。
系统缺省的用户列表为空。
用户列表既可用于CHAP验证,也可用于PAP验证。
另外对于用户口令的显示,最好采用加密显示方式。
相关配置可参考命令displayaaauser。
【举例】
#增加一用户:
用户名和口令为Quidway1,要求口令为加密显示。
[Quidway]local-userQuidway1passwordcipherQuidway1
1.1.13local-userservice-type
【命令】
local-userlocal-userservice-type{[ftp]|[ppp]|[terminal]|[telnet]}
undolocal-userlocal-userservice-type
【视图】
系统视图
【参数】
local-user:
用户名。
telnet:
授权用户可以通过Telnet登录到系统进行配置操作。
terminal:
授权用户可以通过Console口和AUX口登录到系统进行配置操作。
ftp:
授权用户可以使用FTP。
ppp:
授权用户可以使用PPP。
【描述】
命令local-userservice-type用来设置用户的可使用的服务,命令undolocal-userservice-type用来恢复用户的缺省的服务。
系统缺省对用户授权所有服务。
除Telnet外,其他几种属性都不是RADIUS协议的标准属性取值,在授权这些服务时,需要同时修改RADIUS服务器的属性,在属性login-service(标准属性15)中增加相应的取值的定义:
50:
FTP
51:
Terminal
修改后需要重新启动RADIUS服务器。
可以和local-userlocal-userpassword命令结合使用。
相关配置可参考命令local-userpassword,aaaauthentication-schemelogin,aaaauthentication-schemeppp。
【举例】
#允许用户quidway登录到系统进行配置,对此用户提供PPP服务。
需进行如下配置。
[Quidway]local-userquidwayservice-typeppp
1.1.14radiusappoint-authentication
【命令】
radiusappoint-authentication[restricted]
undoradiusappoint-authentication[restricted]
【视图】
系统视图
【参数】
restricted:
表示仅限使用指定的RADIUS服务器进行验证。
配置此选项后,当用户指定的RADIUS服务器不存在或不能工作时直接拒绝用户请求。
【描述】
命令radiusappoint-authentication用来对PPP用户配置由用户指定使用的RADIUS验证服务器,命令undoradiusappoint-authentication表示不使用由用户指定RADIUS验证服务器的功能,restricted功能同时被取消。
缺省不支持由用户指定使用的RADIUS验证服务器。
配置此命令后,用户登录时,用户名应为“userid@server”的形式,其中userid为用户名,server为使用的RADIUS验证服务器。
此命令只限于对PPP用户的验证,同时要与接口上的验证方案配合使用,即只有在接口上配置的验证方案的第一种方法为radius方法
升级会员 