- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-安全命令
本章节下载 (775.3 KB)
目 录
1.1.13 local-user password-display-mode
1.2.5 display local-server statistics
1.2.7 display radius statistics
1.2.8 display stop-accounting-buffer
1.2.17 reset radius statistics
1.2.18 reset stop-accounting-buffer
1.2.20 retry realtime-accounting
1.2.23 secondary authentication
1.2.26 stop-accounting-buffer enable
1.2.28 timer realtime-accounting
1.3.4 display stop-accounting-buffer
1.3.12 reset hwtacacs statistics
1.3.13 reset stop-accounting-buffer
1.3.16 secondary authentication
1.3.17 secondary authorization
1.3.18 stop-accounting-buffer enable
1.3.20 timer realtime-accounting
4.1.2 certificate request entity
4.1.3 certificate request from
4.1.4 certificate request mode
4.1.5 certificate request polling
4.1.12 root-certificate fingerprint
4.3.4 pki retrieval-certificate
4.3.6 pki validate-certificate
5.1.1 debugging firewall packet-filter
5.1.2 debugging firewall packet-filter fragments-inspect events
5.1.3 display firewall fragment
5.1.4 display firewall packet-filter statistics
5.1.5 firewall packet-filter default
5.1.6 firewall packet-filter enable
5.1.7 firewall packet-filter fragments-inspect
5.1.8 firewall packet-filter fragments-inspect { high | low }
5.1.10 reset firewall packet-filter statistics
5.2.11 display firewall session aging-time
5.2.12 display firewall session table
5.2.15 firewall session aging-time
5.2.16 firewall session aging-time default
5.2.20 reset firewall session table
5.3.1 debugging firewall mac-binding
5.3.2 display firewall mac-binding
5.3.4 firewall mac-binding enable
5.3.5 reset firewall mac-binding
6.1.2 debugging firewall defend
6.1.4 display firewall tcp-proxy session
6.1.6 firewall defend arp-flood
6.1.7 firewall defend arp-reverse-query
6.1.8 firewall defend arp-spoofing
6.1.10 firewall defend frag-flood
6.1.11 firewall defend icmp-flood
6.1.12 firewall defend icmp-flood enable
6.1.13 firewall defend icmp-redirect
6.1.14 firewall defend icmp-unreachable
6.1.15 firewall defend ip-fragment
6.1.16 firewall defend ip-spoofing
6.1.17 firewall defend ip-sweep
6.1.19 firewall defend large-icmp
6.1.20 firewall defend ping-of-death
6.1.21 firewall defend port-scan
6.1.22 firewall defend route-record
6.1.24 firewall defend source-route
6.1.25 firewall defend syn-flood
6.1.26 firewall defend syn-flood enable
6.1.27 firewall defend tcp-flag
6.1.28 firewall defend teardrop
6.1.29 firewall defend tracert
6.1.30 firewall defend udp-flood
6.1.31 firewall defend udp-flood enable
6.1.32 firewall defend winnuke
7.1.1 display firewall statistic
7.1.2 display firewall statistic system defend
7.1.3 display firewall statistic system flow-percent
7.1.4 firewall statistic system connect-number
7.1.5 firewall statistic system enable
7.1.6 firewall statistic system flow-percent
7.1.7 firewall statistic warning-level
7.1.8 reset firewall statistic ip
7.1.9 reset firewall statistic system
7.1.10 reset firewall statistic zone
7.1.11 statistic connect-number ip
7.1.12 statistic connect-number zone
7.1.13 statistic connect-speed ip
7.1.14 statistic connect-speed zone
7.2.1 firewall session log-type
【命令】
access-limit { disable | enable max-user-number }
undo access-limit
【视图】
ISP域视图
【参数】
disable:表示不对当前ISP域可容纳的接入用户数作限制。
enable max-user-number:表示当前ISP域可容纳接入用户数的最大值,取值范围为1~7072。
【描述】
access-limit命令用来指定当前ISP域可容纳接入用户数的最大值。undo access-limit命令用来恢复缺省设置。
缺省情况下,不对当前ISP域可容纳的接入用户数作限制。
由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。
【举例】
# 指定ISP域“h3c163.net”最多可容纳500个接入用户。
[H3C-isp-h3c163.net] access-limit enable 500
【命令】
accounting { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name | none }
undo accounting
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定计费使用HWTACACS方案。
radius-scheme radius-scheme-name:指定计费使用RADIUS方案。
none:不计费。
【描述】
accounting命令用来配置当前ISP域使用的计费方案。undo accounting命令用来删除ISP域使用的计费方案。
缺省情况下,系统没有配置计费方案。
accounting命令为当前ISP域指定引用的RADIUS/HWTACACS方案时,所引用的RADIUS/HWTACACS方案必须是已经设置好的。
在域视图下,如果配置了accounting命令,则采用该命令中引用的计费方案进行计费;否则使用scheme命令中引用的方案进行计费。
相关配置可参考命令scheme,radius scheme,hwtacacs scheme。
【举例】
# 指定当前ISP域h3c163.net引用的RADIUS计费方案为radius。
[H3C-isp-h3c163.net] accounting radius-scheme radius
# 设置ISP域h3c引用的为HWTACACS计费方案为hwtac。
[H3C-isp-h3c] accounting hwtacacs-scheme hwtac
【命令】
accounting optional
undo accounting optional
【视图】
ISP域视图
【参数】
无
【描述】
accounting optional命令用来打开计费可选开关,undo accounting optional命令用来关闭计费可选开关。
系统缺省为关闭计费可选开关。
当没有可用的计费服务器或与计费服务器通信失败时,若配置了accounting optional命令,则用户可以继续使用网络资源,否则用户将被切断。这个命令经常被用于只认证不计费的情况。
【举例】
# 打开名为h3c163.net的域用户的计费可选开关。
[H3C] domain h3c163.net
[H3C-isp-h3c163.net] accounting optional
【命令】
authentication { hwtacacs-scheme hwtacacs-scheme-name [ local ] | radius-scheme radius-scheme-name [ local ] | local | none }
undo authentication
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定认证使用的HWTACACS方案。
radius-scheme radius-scheme-name:指定认证使用的RADIUS方案。
local:指定认证使用本地认证方案。
none:不认证。
【描述】
authentication命令用来配置当前ISP域使用的认证方案。undo authentication命令用来恢复域缺省的认证方案。
缺省情况下,系统认证方案为local。
当使用authentication命令为当前ISP域指定引用的RADIUS/HWTACACS方案时,所引用的RADIUS/HWTACACS方案必须是已经设置好的。
如果配置了authentication radius-scheme radius-scheme-name local或authentication hwtacacs-scheme hwtacacs-scheme-name local,则local为RADIUS服务器或TACACS服务器没有正常响应后的备选认证方案。即当RADIUS服务器或TACACS服务器有效时,不使用本地认证;当RADIUS服务器或TACACS服务器无效时,使用本地认证。
如果local作为第一方案,那么只能采用本地认证,不能再同时采用RADIUS或HWTACACS方案。none与local的使用情况相同。
在域视图下,如果配置了authentication命令,则采用该命令中引用的认证方案进行认证;否则使用scheme命令中引用的方案进行认证。
相关配置可参考命令scheme,radius scheme,hwtacacs scheme。
【举例】
# 指定当前ISP域h3c163.net引用的RADIUS认证方案为radius。
[H3C-isp-h3c163.net] authentication radius-scheme radius
# 设置ISP域h3c引用的RADIUS认证方案为rd,并采用local作为备选认证方案。
[H3C-isp-h3c] authentication radius-scheme rd local
# 设置ISP域h3c引用的HWTACACS认证方案为hwtac,并采用local作为备选认证方案。
[H3C-isp-h3c] authentication hwtacacs-scheme hwtac local
【命令】
authorization { hwtacacs-scheme hwtacacs-scheme-name | none }
undo authorization
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定授权使用的HWTACACS方案。
none:不需要授权,即不需要授权也可以提供服务。
【描述】
authorization命令用来配置当前ISP域使用的授权方案。undo authorization命令用来恢复域缺省的授权方案。
缺省情况下,系统授权方案为local。
当使用authorization命令为当前ISP域指定引用的RADIUS/HWTACACS方案时,所引用的RADIUS/HWTACACS方案必须是已经设置好的。
在域视图下,如果配置了authorization命令,则采用该命令中引用的授权方案进行授权;否则使用scheme命令中引用的方案进行授权。
相关配置可参考命令scheme,radius scheme,hwtacacs scheme。
【举例】
# 设置ISP域h3c引用的HWTACACS授权方案为hwtac。
[H3C-isp-h3c] authorization hwtacacs-scheme hwtac
【命令】
display connection [ domain isp-name | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name | ucibindex ucib-index | user-name user-name ]
【视图】
任意视图
【参数】
domain isp-name:显示某个ISP域下的全部用户连接。其中,isp-name为ISP域名,为不超过24个字符的字符串。指定的ISP域必须已经存在。
ip ip-address:显示某个IP地址为ip-address的所有用户连接。
mac mac-address:显示某个MAC地址为mac-address的用户连接。其中,mac-address为点分十六进制格式(即如X-X-X的样式)。
radius-scheme radius-scheme-name:显示名称为radius-scheme-name的RADIUS方案的所有用户连接。radius-scheme-name为不超过32个字符的字符串。
hwtacacs-scheme hwtacacs-scheme-name:显示名称为hwtacacs-scheme-name的HWTACACS方案的所有用户连接。hwtacacs-scheme-name为不超过32个字符的字符串。
ucibindex ucib-index:显示某个连接索引号为ucib-index的用户连接。其中,ucib-index的取值范围为0~7071。
user-name user-name:显示某个用户名为user-name的用户连接。其中,用户名的格式为pure-username@domain。pure-username为纯用户名,不超过55个字符;domain为域名,不超过24个字符。
【描述】
display connection 命令用来显示所有或指定的用户连接的相关信息。根据输出的信息,可以帮助诊断与排除用户连接方面的故障。
缺省情况下,显示所有用户连接的相关信息。
【举例】
# 显示所有用户system连接的相关信息。
<H3C> display connection domain system
Index=0 ,Username=hfx@system
IP=188.188.188.3
Total 1 connections matched, 1 listed.
表1-1 display connection显示信息描述表
|
域名 |
解释 |
|
Index |
索引号 |
|
Username |
用户名 |
|
IP |
该用户的IP地址 |
【命令】
display domain [ isp-name ]
【视图】
任意视图
【参数】
isp-name:ISP域名。为不超过24个字符的字符串。所指定的ISP域必须已经存在。
【描述】
display domain命令用来显示指定ISP域的配置信息或所有ISP域的概要信息。
若不指定域名,则显示系统中所有ISP域的概要信息。
display domain命令可以输出指定ISP域的配置信息或所有ISP域的概要信息。在指定显示某个ISP域的配置信息时,输出内容和格式与display domain命令的输出完全一致。根据输出的信息,可以帮助诊断与排除与ISP域有关的故障。
相关配置可参考命令access-limit,domain,scheme,state,display domain。
【举例】
# 显示系统中所有ISP域的概要信息。
0 Domain = system
State = Active
Scheme = LOCAL
Access-limit = Disable
Domain User Template:
Default Domain Name: system
Total 1 domain(s).1 listed.
表1-2 display domain显示信息描述表
|
域名 |
解释 |
|
Domain |
域名及序号 |
|
State |
该域用户的状态(Active/Block) |
|
Scheme |
该域用户的认证方案(Local/Radius/Tacacs) |
|
Access-limit |
对该域用户能够同时接入用户的数量是否进行限制(Disable/Enable) |
【命令】
display local-user [ domain isp-name | service-type { telnet | ssh | terminal | dvpn | ftp | ppp } | state { active | block } | user-name user-name ]
【视图】
任意视图
【参数】
domain isp-name:显示属于某个ISP域的全部本地用户。其中,isp-name为ISP域名,为不超过24个字符的字符串。指定的ISP域必须已经存在。
service-type:根据用户类型显示本地用户。其中,telent为telnet用户;ssh为SSH用户;terminal为从Console口、AUX口登录的终端用户;ftp指定用户为FTP类型;ppp为PPP用户;dvpn为DVPN用户。
state { active | block }:显示处于某种状态的本地用户。其中,active表示系统允许用户请求网络服务;block表示系统不允许用户请求网络服务。
user-name user-name:显示用户名为user-name的本地用户。其中,user-name为用户名,为不超过80个字符的字符串,字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符,并且“@”出现的次数不能多于1次,纯用户名(“@”以前部分,即用户标识)不能超过55个字符。
【描述】
display local-user命令用来显示所有或指定的本地用户的相关信息。根据输出的信息,可以帮助诊断和排除与本地用户有关的故障。
缺省情况下,显示所有本地用户的相关信息。
相关配置可参考命令local-user。
【举例】
# 显示所有本地用户的相关信息。
<H3C> display local-user
The contents of local user admin:
State: Active ServiceType Mask: T
Idle-cut: Disable
Access-limit: Disable Current AccessNum: 0
Bind location: Disable
Vlan ID: Disable
IP address: Disable
MAC address: Disable
User Privilege: 3
The contents of local user ftpuser:
State: Active ServiceType Mask: F
Idle-cut: Disable
Access-limit: Disable Current AccessNum: 0
Bind location: Disable
Vlan ID: Disable
IP address: Disable
MAC address: Disable
FTP Directory: flash:
Total 2 local user(s) Matched, 2 listed.
ServiceType Mask Meaning: A--PAD C--Terminal D--DVPN F--FTP P--PPP S--SSH
T--Telnet
表1-3 display local-user显示信息描述表
|
域名 |
解释 |
|
State |
该用户的状态(active/block) |
|
ServiceType Mask |
服务类型的缩写 |
|
Idle-cut |
闲置切断开关 |
|
Access-Limit |
接入用户连接数限制 |
|
Current AccessNum |
当前接入用户的数量 |
|
Bind location |
是否与端口捆绑 |
|
VLAN ID |
用户所属的VLAN |
|
IP address |
用户的IP地址 |
|
MAC address |
用户的MAC地址 |
|
FTP Directory |
授权给FTP用户的路径 |
|
User Privilege |
用户级别 |
【命令】
domain { isp-name | default { disable | enable isp-name } }
undo domain isp-name
【视图】
系统视图
【参数】
isp-name:ISP域名。为不超过24个字符的字符串,且不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符。
default:配置缺省的ISP域。系统缺省的ISP域为system,用户可以使用该命令手工配置缺省域。系统缺省的ISP域为system。
disable:禁止配置的缺省ISP域,此时不带域的用户将被拒绝。如果配置了发送给RADIUS服务器的用户不携带域名,此时就不会被拒绝。
enable:使能配置的缺省ISP域,此时不带域的用户名在发往AAA服务器前将被加上缺省的ISP域名。如果配置了发送给RADIUS服务器的用户不携带域名,此时不带域的用户名也不会加上缺省的域名。
【描述】
domain命令用来创建一个ISP域,或者进入已创建ISP域的视图,undo domain命令用来删除指定的ISP域。
缺省情况下,系统中使用的域为“system”,该域不可以删除,但是可以修改其属性。通过display domain命令可以查看缺省域system的设置。
ISP域即ISP用户群,一个ISP域即是由同属于一个ISP的用户构成的用户群。一般说来,在“userid@isp-name”形式(例如gw20010608@h3c163.net)的用户名中,“@”后的“isp-name”(如例中的“h3c163.net”)即为ISP域的域名。在AAA服务器对用户进行接入控制时,对于用户名为“userid@isp-name”形式的ISP用户,系统就将把“userid”作为用于身份认证的用户名,把“isp-name”作为域名。
引入ISP域的设置是为了支持多ISP的应用环境:在这种环境中,同一个接入设备接入的有可能是不同ISP的用户。由于各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP域的方法把它们区别开。在ISP域视图下,可以为每个ISP域配置包括AAA方案(使用的RADIUS方案等)在内的一整套单独的ISP域属性。
对于路由器来说,每个接入用户都属于一个ISP域。系统中最多可以配置16个ISP域。
使用此命令时,如果指定的ISP域不存在,系统将会创建一个新的ISP域,所有的ISP域在创建后即处于active状态。
相关配置可参考命令access-limit,scheme,state,display domain。
【举例】
# 创建一个新的ISP域“h3c163.net”,并进入其视图。
[H3C] domain h3c163.net
New Domain added.
【命令】
ip pool pool-number low-ip-address [ high-ip-address ]
undo ip pool pool-number
【视图】
系统视图、ISP域视图
【参数】
pool-number:地址池编号,取值范围为0~99。
low-ip-address和high-ip-address:分别为地址池的起始和结束IP地址。一个地址池中起始IP和结束IP地址之间的地址数不能超过1024。如果在定义IP地址池时不指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。
【描述】
命令ip pool用来定义为PPP用户分配IP地址的本地地址池,命令undo ip pool用来删除指定的本地地址池。
缺省情况下,没有配置本地IP地址池。
在系统视图下,配置IP地址池,通过在接口视图下使用命令remote address为PPP用户分配IP地址。
在ISP域视图下,配置的IP地址池用于为相应的ISP域所属的PPP用户分配IP地址。这主要用于通过某接口接入的PPP用户较多,而接口所能分配的地址不够用的情况。例如,运行PPPoE协议的GigabitEthernet接口,最多可以接入4095个用户,但在该GigabitEthernet接口的Virtual Template上,只能配置一个地址池,而一个地址池最多只有1024个地址,这显然不能满足要求。通过配置ISP域的地址池,可以为ISP的PPP用户分配地址,从而解决接口地址池中地址不够的问题。
相关配置可参考命令remote address。
【举例】
# 配置本地IP地址池0,地址范围为129.102.0.1到129.102.0.10。
[H3C] domain h3c163.net
[H3C-isp-h3c163.net] ip pool 0 129.102.0.1 129.102.0.10
【命令】
level level
undo level
【视图】
本地用户视图
【参数】
level:指定用户的优先级。level为整数,取值范围0~3。
【描述】
level命令用来设置用户的优先级,undo level命令用来恢复用户缺省的优先级。
缺省情况下,用户的优先级为0。
相关配置可参考命令local user。
& 说明:
如果配置的认证方式为不认证或采用password认证,则用户登录到系统后所能访问的命令级别由用户界面的优先级确定。对于使用RSA认证的用户,其所能访问的命令级别由用户界面的优先级确定。如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的优先级确定。
【举例】
# 设置用户h3c的级别为3。
[H3C-luser-h3c] level 3
【命令】
local-user user-name
undo local-user user-name [ service-type | callback-nocheck | callback-number | call-number | level ]
undo local-user all [ service-type { ftp | ppp | ssh | telnet | terminal } ]
【视图】
系统视图
【参数】
user-name:本地用户名。为不超过80个字符的字符串,字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符,并且“@”出现的次数不能多于1次,纯用户名(“@”以前部分,即用户标识)不能超过55个字符。用户名不区分大小写,输入UserA和usera,系统视为同一用户。
service-type:服务类型。
callback-nocheck:PPP用户回呼不认证属性。
callback-number:回呼号码。
call-number:对ISDN用户认证的主叫号码。
all:所有的用户。
ftp:服务类型为FTP。
ppp:服务类型为PPP。
ssh:服务类型为SSH。
telnet:服务类型为Telnet。
terminal:终端服务类型。
【描述】
local-user命令用来添加本地用户并进入本地用户视图,undo local-user user-name命令用来删除本地用户或本地用户的相关属性,undo local-user all命令用来删除所有本地用户或指定类型的本地用户。
缺省情况下,无本地用户。
相关配置可参考命令display local-user。
【举例】
# 添加名称为h3c1的本地用户
[H3C] local-user h3c1
[H3C-luser-h3c1]
【命令】
local-user password-display-mode { cipher-force | auto }
undo local-user password-display-mode
【视图】
系统视图
【参数】
cipher-force:强制cipher方式,即所有接入用户的密码显示方式必须采用密文方式。
auto:自动方式,即接入用户的密码显示方式可以由用户自己通过password命令来设置。
【描述】
local-user password-display-mode命令用来设置所有本地用户密码的显示方式,undo local-user password-display-mode命令用来恢复缺省的本地用户密码显示方式。
当采用cipher-force方式后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,也不起作用。
缺省情况下,所有接入用户的密码显示方式auto。
相关配置可参考命令display local-user, password。
【举例】
# 强制所有接入用户采用密码密文方式显示。
[H3C] local-user password-display-mode cipher-force
【命令】
password { simple | cipher } password
undo password
【视图】
本地用户视图
【参数】
simple:表示密码为明文。
cipher:表示密码为密文。
password:表示设置的密码。
当采用simple明文密码时,password为明文验证字,长度为1~16个字符。
当采用cipher密文密码时,password为密文验证字。如果以明文形式输入,长度为1~16个字符,如:1234567;如果以密文形式输入,长度必须为24,并且必须是密文形式,如:_(TT8F]Y\5SQ=^Q`MAF4<1!!。
【描述】
password命令用来设置本地用户的密码,undo password命令用来取消本地用户的密码。
需要注意的是,当采用local-user password-display-mode cipher-force命令后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,也不起作用。
相关配置可参考命令display local-user。
【举例】
# 设置名称为h3c1的用户采用明文加密方式,密码为20030422。
[H3C-luser-h3c1] password simple 20030422
【命令】
scheme { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none }
undo scheme [ radius-scheme | hwtacacs-scheme | none ]
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。
hwtacacs-scheme-name:HWTACACS方案名,为不超过32个字符的字符串。
local:本地认证。
none:不进行认证。
【描述】
scheme命令用来配置当前ISP域使用的AAA方案。undo scheme命令用来恢复域缺省的AAA方案。
系统缺省使用的AAA方案为local。
scheme命令为当前ISP域指定引用的RADIUS/HWTACACS方案。所指定引用的RADIUS/HWTACACS方案必须是已经设置好的。
如果配置了radius-scheme radius-scheme-name local或hwtacacs-scheme hwtacacs-scheme-name local,则local为radius server或tacacs server没有正常响应后的备选认证方案。即当RADIUS服务器或TACACS服务器有效时,不使用本地认证;当RADIUS服务器或TACACS服务器无效时,使用本地认证。
如果local作为第一方案,那么只能采用本地认证,不能再同时采用RADIUS或HWTACACS方案。
如果none作为第一方案,那么将不采用认证,且不能再同时采用RADIUS或HWTACACS方案。
当对FTP用户进行验证时,不能使用none认证,因为Comware实现的FTP服务器不支持匿名用户登录。
相关配置可参考命令radius scheme,hwtacacs scheme。
【举例】
# 指定当前ISP域“h3c163.net”引用的RADIUS方案为“h3c”。
[H3C-isp-h3c163.net] scheme radius h3c
# 设置ISP域h3c引用的方案为RADIUS方案“rd”,并采用local作为备选认证方案。
[H3C-isp-h3c] scheme radius-scheme rd local
#设置ISP域h3c引用的方案为HWTACACS方案“hwtac”,并采用local作为备选认证方案。
[H3C-isp-h3c] scheme hwtacacs-scheme hwtac local
【命令】
service-type { telnet | ssh | terminal }* [ level level ]
undo service-type { telnet | ssh | terminal }*
【视图】
本地用户视图
【参数】
telnet:授权用户可以使用Telnet服务。
ssh:授权用户可以使用SSH服务。
terminal:授权用户可以使用terminal服务(即从Console口、AUX口登录)。
level level:指定用户的优先级。level为整数,取值范围0~3。
【描述】
service-type命令用来设置用户可以使用的服务类型,undo service-type命令用来删除用户可以使用的服务类型。
缺省情况下,系统不对用户授权任何服务。
相关配置可参考命令service-type ppp,service-type ftp,service-type dvpn。
【举例】
# 设置用户可以使用Telnet服务。
[H3C-luser-h3c1] service-type telnet
【命令】
service-type dvpn
undo service-type dvpn
【视图】
本地用户视图
【参数】
无
【描述】
service-type dvpn命令用来授权用户可以使用DVPN服务,undo service-type dvpn命令用来取消用户可以使用DVPN服务。
缺省情况下,用户未被授权使用DVPN服务。
【举例】
# 授权用户可以使用DVPN服务。
[H3C-luser-h3c1] service-type dvpn
【命令】
service-type ftp [ ftp-directory directory ]
undo service-type ftp [ ftp-directory ]
【视图】
本地用户视图
【参数】
ftp-directory directory:授权FTP用户可以访问的目录。
【描述】
service-type ftp命令用来授权用户可以使用FTP服务和FTP用户可以访问的目录,undo service-type ftp命令用来取消用户可以使用FTP服务和恢复对FTP用户授权的缺省目录。
缺省情况下,系统不对用户授权任何服务;若授权FTP服务,缺省授权使用根目录flash:/。缺省情况下,系统不支持FTP匿名用户访问。
【举例】
# 授权用户可以使用FTP。
[H3C-luser-h3c1] service-type ftp
【命令】
service-type ppp [ callback-nocheck | callback-number callback-number | call-number call-number [ : subcall-number ] ]
undo service-type ppp [ callback-nocheck | callback-number | call-number ]
【视图】
本地用户视图
【参数】
callback-nocheck:PPP用户回呼不认证属性。
callback-number callback-number:回呼号码,其最大长度不能大于64个字节。
call-number call-number:对ISDN用户认证的主叫号码,主叫号码其最大长度不能大于64个字节。
[ : subcall-number ]:为子主叫号码。如果包含子主叫号码,则主叫号码与子主叫号码的总长不能大于62字节。
【描述】
service-type命令用来授权用户可以使用PPP服务和设置PPP用户的回呼及主叫号码属性,undo service-type命令用来取消用户可以使用PPP服务和恢复PPP用户回呼及主叫号码属性的缺省设置。
缺省情况下,系统不对用户授权任何服务;若授权PPP服务,缺省设置为回呼不认证,不设置用户回呼号码,不对ISDN用户进行主叫号码认证。
【举例】
# 设置PPP用户回呼不需要认证。
[H3C-luser-h3c1] service-type ppp callback-nocheck
【命令】
state { active | block }
【视图】
ISP域视图,本地用户视图
【参数】
active:指定当前ISP域(ISP域视图)/当前本地用户(本地用户视图)处于“活动”状态,即系统允许该域下的用户(ISP域视图)/当前本地用户(本地用户视图)请求网络服务。
block:指定当前ISP域(ISP域视图)/当前本地用户(本地用户视图)处于“挂起”状态,即系统不允许该域下的用户(ISP域视图)/当前本地用户(本地用户视图)请求网络服务。
【描述】
state命令用来设置当前ISP域/当前本地用户的状态。
缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。
当一个本地用户被创建以后,其状态为active(本地用户视图)。
在ISP域视图下,每个ISP域有两个状态:active或block。当指示某个ISP域处于active状态时,允许该域下的用户请求网络服务;当指示某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。本地用户视图下同理。
相关配置可参考命令domain。
【举例】
# 设置当前ISP域“h3c163.net”处于“挂起”状态,其下的接入用户不能再请求网络服务。
[H3C-isp-h3c163.net] state block
# 设置用户h3c1处于“挂起”状态。
[H3C-user-h3c1] state block
【命令】
accounting optional
undo accounting optional
【视图】
RADIUS域视图
【参数】
无
【描述】
accounting optional命令用来打开计费可选开关,undo accounting optional命令用来关闭计费可选开关。
系统缺省为关闭计费可选开关。
当没有可用的计费服务器或与计费服务器通信失败时,若配置了accounting optional命令,则用户可以继续使用网络资源,否则用户将被切断。这个命令经常被用于只认证不计费的情况。
【举例】
# 打开RADIUS方案“h3c”的计费可选开关。
[H3C-radius-h3c] accounting optional
【命令】
data-flow-format data { byte | giga-byte | kilo-byte | mega-byte } packet { giga-packet | kilo-packet | mega-packet | one-packet }
undo data-flow-format
【视图】
RADIUS视图
【参数】
data:设置数据的单位。
byte:数据单位为字节。
giga-byte:数据单位千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为“giga-packet”。
kilo-packet:数据包的单位为“kilo-packet”。
mega-packet:数据包的单位为“mega-packet”。
one-packet:数据包的单位为“one-packet”。
【描述】
data-flow-format命令用来配置发送到RADIUS服务器的数据流的单位。undo data-flow-format命令用来恢复发送到RADIUS服务器的数据流的单位为缺省设置。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
相关配置可参考命令display radius。
【举例】
# 设置发往服务器h3c的数据流的单位为千字节,数据包的单位为kilo-packet
[H3C-radius-h3c] data-flow-format data kilo-byte packet kilo-packet
【命令】
debugging local-server { all | error | event | packet }
undo debugging local-server { all | error | event | packet }
【视图】
用户视图
【参数】
all:所有调试开关。
error:错误调试开关。
event:事件调试开关。
packet:报文调试开关。
【描述】
debugging local-server命令用来打开本地RADIUS认证服务器的调试开关,undo debugging local-server命令用来关闭本地RADIUS认证服务器的调试开关。
缺省情况下,关闭本地RADIUS认证服务器的调试开关。
【举例】
# 打开本地RADIUS认证服务器的调试开关
<H3C> debugging local-server all
*0.9045238 H3C LS/8/EVENT-MSG:Message received. MessageType = 1
*0.9045238 H3C LS/8/PACKET:Packet Received,Code = 1
*0.9045239 H3C LS/8/PACKET:Packet Send auth pkt ,Code = 2
【命令】
debugging radius packet
undo debugging radius packet
【视图】
用户视图
【参数】
packet:打开报文调试开关。
【描述】
debugging radius命令用来使能RADIUS协议的调试功能。undo debugging radius命令用来禁止RADIUS协议的调试功能。
缺省情况下,禁止RADIUS协议的调试功能。
【举例】
# 使能RADIUS协议的报文调试功能。
<H3C> debugging radius packet
【命令】
display local-server statistics
【视图】
任意视图
【参数】
无
【描述】
display local-server statistics命令用来显示本地RADIUS认证服务器的统计信息。
相关配置可参考命令local-server。
【举例】
# 显示本地RADIUS认证服务器的统计信息。
<H3C> display local-server statistics
The localserver packet statistics:
Receive: 82 Send: 61
Discard: 21 Receive Packet Error: 0
Auth Receive: 82 Auth Send: 61
Acct Receive: 0 Acct Send: 0
【命令】
display radius [ radius-scheme-name ]
【视图】
任意视图
【参数】
radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。此项如果为空,则显示所有RADIUS方案的配置信息。
【描述】
display radius命令用来显示所有或指定RADIUS方案的配置信息或统计信息。
缺省情况下,显示所有RADIUS方案的配置信息。
相关配置可参考命令radius scheme。
【举例】
# 显示所有RADIUS方案的配置信息。
<H3C> display radius
------------------------------------------------------------------
SchemeName = system Index=0 Type=h3c
Primary Auth IP =127.0.0.1 Port=1645 State=active
Primary Acct IP =127.0.0.1 Port=1646 State=active
Second Auth IP =0.0.0.0 Port=1812 State=block
Second Acct IP =0.0.0.0 Port=1813 State=block
Auth Server Encryption Key= h3c
Acct Server Encryption Key= h3c
Accounting method = required
TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12
Permitted send realtime PKT failed counts =5
Retry sending times of noresponse acct-stop-PKT =500
Quiet-interval(min) =5
Username format =without-domain
Data flow unit =Byte
Packet unit =One Packet
------------------------------------------------------------------
Total 1 RADIUS scheme(s). 1 listed
表1-4 Radius服务器配置信息描述表
|
域名 |
描述 |
|
SchemeName |
RADIUS方案的名称 |
|
Index |
RADIUS方案的索引号 |
|
Type |
RADIUS服务器的类型 |
|
Primary Auth IP/ Port/ State |
主认证服务器IP地址/接入端口号/该服务器目前状态 |
|
Primary Acct IP/ Port/ State |
主计费服务器IP地址/接入端口号/该服务器目前状态 |
|
Second Auth IP/ Port/ State |
备认证服务器IP地址/接入端口号/该服务器目前状态 |
|
Second Acct IP/ Port/ State |
备计费服务器IP地址/接入端口号/该服务器目前状态 |
|
Auth Server Encryption Key |
认证服务器的共享密钥 |
|
Acct Server Encryption Key |
计费服务器的共享密钥 |
|
TimeOutValue (seconds) |
RADIUS服务器响应超时定时器时长 |
|
Permitted send realtime PKT failed counts |
允许发送的实时计费请求无响应报文的最大次数 |
|
Retry sending times of noresponse acct-stop-PKT |
缓存的停止计费请求报文的最大重发次数 |
|
Quiet-interval(min) |
主服务器恢复激活状态的时间 |
|
Username format |
用户名的格式 |
|
Data flow unit |
数据流的单位 |
|
Packet unit |
数据包的单位 |
【命令】
display radius statistics
【视图】
任意视图
【参数】
无
【描述】
display radius statistics命令用来显示RADIUS报文的统计信息。根据显示的信息,可以帮助诊断与排除RADIUS相关故障。
相关配置可参考命令radius scheme。
【举例】
# 显示RADIUS报文的统计信息。
<H3C> display radius statistics
state statistic(total=1048):
DEAD=1047 AuthProc=0 AuthSucc=0
AcctStart=0 RLTSend=0 RLTWait=1
AcctStop=0 OnLine=1 Stop=0
StateErr=0
Received and Sent packets statistic:
Sent PKT total :38 Received PKT total:2
Resend Times Resend total
1 12
2 12
Total 24
RADIUS received packets statistic:
Code= 2,Num=1 ,Err=0
Code= 3,Num=0 ,Err=0
Code= 5,Num=1 ,Err=0
Code=11,Num=0 ,Err=0
Running statistic:
RADIUS received messages statistic:
Normal auth request , Num=13 , Err=0 , Succ=13
EAP auth request , Num=0 , Err=0 , Succ=0
Account request , Num=1 , Err=0 , Succ=1
Account off request , Num=0 , Err=0 , Succ=0
PKT auth timeout , Num=36 , Err=12 , Succ=24
PKT acct_timeout , Num=0 , Err=0 , Succ=0
Realtime Account timer , Num=0 , Err=0 , Succ=0
PKT response , Num=2 , Err=0 , Succ=2
EAP reauth_request , Num=0 , Err=0 , Succ=0
PORTAL access , Num=0 , Err=0 , Succ=0
Update ack , Num=0 , Err=0 , Succ=0
PORTAL access ack , Num=0 , Err=0 , Succ=0
Session ctrl pkt , Num=0 , Err=0 , Succ=0
RADIUS sent messages statistic:
Auth accept , Num=0
Auth reject , Num=0
EAP auth replying , Num=0
Account success , Num=0
Account failure , Num=0
Cut req , Num=0
RecError_MSG_sum:0 SndMSG_Fail_sum :0
Timer_Err :0 Alloc_Mem_Err :0
State Mismatch :0 Other_Error :0
No-response-acct-stop packet =0
Discarded No-response-acct-stop packet for buffer overflow =0
表1-5 display radius statistics显示信息描述表
|
域名 |
描述 |
|
state statistic(total=1048) DEAD=1047 AuthProc=0 AuthSucc=0 AcctStart=0 RLTSend=0 RLTWait=1 AcctStop=0 OnLine=1 Stop=0 StateErr=0 |
收发包统计信息: 共发送包数:38 共接收包数:2 重发次数: 重发包总数: 1 12 2 12 总共 24 RADIUS接收报文统计信息: Code= 2,Num=1 ,Err=0 收到1个认证回应包,没有错误包 Code= 3,Num=0 ,Err=0 收到1个认证拒绝包,没有错误包 Code= 5,Num=1 ,Err=0 收到1个计费回应包,没有错误包 Code=11,Num=0 ,Err=0 收到一个Access-Challenge(EAP认证)包,没有错误包 |
|
Received and Sent packets statistic: Sent PKT total :38 Received PKT total:2 Resend Times Resend total 1 12 2 12 Total 24 RADIUS received packets statistic: Code= 2,Num=1 ,Err=0 Code= 3,Num=0 ,Err=0 Code= 5,Num=1 ,Err=0 Code=11,Num=0 ,Err=0 |
RADIUS接收信息统计: 正常认证请求 数目=13,错误=0,成功=0 EAP认证请求 数目=0,错误=0,成功=0 计费请求 数目=0,错误=0,成功=0 计费停止请求 数目=0,错误=0,成功=0 认证超时 数目=36,错误=0,成功=0 计费超时 数目=0,错误=0,成功=0 实时计费次数 数目=0,错误=0,成功=0 回复包 数目=2,错误=0,成功=2 EAP重认证请求 数目=0,错误=0,成功=0 PORTAL接入认证请求 数目=13,错误=0,成功=0 升级包 数目=0,错误=0,成功=0 会话控制包 认证请求 数目=0,错误=0,成功=0 RADIUS 发送信息统计 认证通过,数目=0 认证拒绝,数目=0 计费成功,数目=0 计费失败,数目=0 EAP 认证回应,数目=0 计费成功,数目=0 计费失败,数目=0 删除请求,数目=0 接收错误信息数:0 发送信息失败数:0 时间错误 :0 分配内存错误:0 状态不匹配:0 其他错误:0 |
|
Running statistic: RADIUS received messages statistic: Normal auth request , Num=13 , Err=0 , Succ=13 EAP auth request , Num=0 , Err=0 , Succ=0 Account request , Num=1 , Err=0 , Succ=1 Account off request , Num=0 , Err=0 , Succ=0 PKT auth timeout , Num=36 , Err=12 , Succ=24 PKT acct_timeout , Num=0 , Err=0 , Succ=0 Realtime Account timer , Num=0 , Err=0 , Succ=0 PKT response , Num=2 , Err=0 , Succ=2 EAP reauth_request , Num=0 , Err=0 , Succ=0 PORTAL access , Num=0 , Err=0 , Succ=0 Update ack , Num=0 , Err=0 , Succ=0 PORTAL access ack , Num=0 , Err=0 , Succ=0 Session ctrl pkt , Num=0 , Err=0 , Succ=0 RADIUS sent messages statistic: Auth accept , Num=0 Auth reject , Num=0 EAP auth replying , Num=0 Account success , Num=0 Account failure , Num=0 Cut req , Num=0 RecError_MSG_sum:0 SndMSG_Fail_sum :0 Timer_Err :0 Alloc_Mem_Err :0 State Mismatch :0 Other_Error :0 |
RADIUS接收信息统计: 正常认证请求 数目=13,错误=0,成功=0 EAP认证请求 数目=0,错误=0,成功=0 计费请求 数目=0,错误=0,成功=0 计费停止请求 数目=0,错误=0,成功=0 认证超时 数目=36,错误=0,成功=0 计费超时 数目=0,错误=0,成功=0 实时计费次数 数目=0,错误=0,成功=0 回复包 数目=2,错误=0,成功=2 EAP重认证请求 数目=0,错误=0,成功=0 PORTAL接入认证请求 数目=13,错误=0,成功=0 升级包 数目=0,错误=0,成功=0 会话控制包 认证请求 数目=0,错误=0,成功=0 RADIUS 发送信息统计 认证通过, 数目=0 认证拒绝, 数目=0 计费成功, 数目=0 计费失败, 数目=0 EAP 认证回应,数目=0 计费成功,数目=0 计费失败,数目=0 删除请求,数目=0 接收错误信息数:0 发送信息失败数:0 时间错误 :0 分配内存错误:0 状态不匹配:0 其他错误:0 |
|
No-response-acct-stop packet =0 Discarded No-response-acct-stop packet for buffer overflow =0 |
无响应的停止计费报文数为0 由于缓存溢出而丢弃的无响应停止计费报文数为0 |
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
任意视图
【参数】
radius-scheme radius-scheme-name:根据RADIUS方案名显示暂存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为不超过32个字符的字符串,且不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符。
session-id session-id:根据会话ID显示暂存的停止计费请求报文。其中,session-id为会话ID,为不超过50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻显示暂存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:根据用户名显示暂存的停止计费请求报文。
【描述】
display stop-accounting-buffer命令用来显示缓存在路由器系统中的停止计费请求报文。可以选择显示发往某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来显示报文;还可以指定一个时间段,显示那些发起停止计费请求的时刻处于指定时间段内的报文。根据显示的报文信息,可以帮助诊断与排除RADIUS相关故障。
在发送停止计费请求报文而RADIUS服务器没有响应时,系统会缓存该报文,然后以一定的次数重新发送,具体发送的次数由retry stop-accounting命令设置。
相关配置可参考命令reset stop-accounting-buffer,stop-accounting-buffer enable, retry stop-accounting。
【举例】
# 显示从2002年8月31日0点0分0秒到2002年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<H3C> display stop-accounting-buffer time-range 0:0:0-08/31/2002 23:59:59-08/31/2002
Total find 0 record
【命令】
key { accounting | authentication } string
undo key { accounting | authentication }
【视图】
RADIUS视图
【参数】
accounting:设置/删除RADIUS计费报文的共享密钥。
authentication:设置/删除RADIUS认证/授权报文的共享密钥。
string:密钥。为不超过16个字符的字符串。
【描述】
key命令用来设置RADIUS认证/授权或计费报文的共享密钥,undo key命令用来恢复相应的共享密钥为缺省设置。
RADIUS客户端(即路由器)与RADIUS服务器使用MD5算法来加密交互的RADIUS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。因此,必须保证:路由器上设置的共享密钥与RADIUS服务器上的完全一样。在认证/授权服务器与计费服务器不相同且这两台服务器中的共享密钥也不同时,必须分别设置认证/授权报文和计费报文的共享密钥。
缺省情况下,认证/授权报文和计费报文的密钥为“h3c”
相关配置可参考命令primary accounting,primary authentication,radius scheme。
【举例】
# 将RADIUS方案“h3c”的认证/授权报文的共享密钥设置为“hello”。
[H3C-radius-h3c] key authentication hello
# 将RADIUS方案“h3c”的计费报文的共享密钥设置为“ok”。
[H3C-radius-h3c] key accounting ok
【命令】
local-server nas-ip ip-address key password
undo local-server nas-ip ip-address
【视图】
系统视图
【参数】
nas-ip ip-address:设置接入服务器的NAS-IP地址,地址采用点分十进制格式。
key password:设置本地服务器的共享密钥,password为密钥,为不超过16个字符的字符串。
【描述】
local-server命令用来设置本地RADIUS认证服务器的相关参数,undo local-server命令用来删除设置的本地RADIUS认证服务器。
缺省情况下,系统创建了一个NAS-IP为127.0.0.1、密钥为h3c的本地RADIUS认证服务器。
需要注意以下几点:
l 设备除了支持传统的作为RADIUS客户端的服务——即分别采用认证/授权服务器、计费服务器的方式进行用户的认证管理外,还提供了本地简单RADIUS服务器端功能(包括认证和授权),称之为本地RADIUS认证服务器功能。
l 采用本地RADIUS认证服务器功能时,其认证/授权服务的UDP端口号必须为1645,计费服务的UDP端口号为1646。
l 用此命令配置的报文加密密钥(key password)必须和在RADIUS方案视图下用命令key authentication配置的认证/授权报文加密密钥一致。
l 包括系统缺省创建的本地RADIUS认证服务器在内,设备最多支持16个本地RADIUS认证服务器。
相关配置可参考命令radius scheme,state。
【举例】
# 设置本地RADIUS认证服务器的IP地址为10.110.1.2、登录密码为aabbcc。
[H3C] local-server nas-ip 10.110.1.2 key aabbcc
【命令】
nas-ip ip-address
undo nas-ip
【视图】
RADIUS视图
【参数】
ip-address:IP地址,点分十进制形式。
【描述】
nas-ip命令用来设置NAS(路由器)发送RADIUS报文使用的源IP地址,这样发送到RADIUS服务器的所有报文携带相同的源IP地址。undo nas-ip命令用来删除配置。
指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
缺省情况下,报文的源IP地址是发送端口的IP地址。
相关配置可参考命令display radius。
【举例】
# 配置NAS(路由器)发送RADIUS报文使用的源IP地址为10.1.1.1。
[H3C] radius scheme test1
[H3C-radius-test1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port-number ]
undo primary accounting
【视图】
RADIUS视图
【参数】
ip-address:IP地址,为点分十进制格式。缺省情况下,在system方案中,主计费服务器的IP地址为127.0.0.1,新创建的RADIUS方案中的主计费服务器的IP地址均为0.0.0.0。
port-number:UDP端口号。取值范围为1~65535。缺省情况下,在system方案中,主计费服务的UDP端口号为1646,新创建的RADIUS方案中的主计费服务的UDP端口号为1813。
【描述】
primary accounting命令用来设置主RADIUS计费服务器的IP地址和端口号,undo primary accounting命令用来将主RADIUS计费服务器的IP地址和端口号恢复为缺省值。
当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置,这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和备服务器的区别。在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证路由器上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“h3c”的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务。
[H3C-radius-h3c] primary accounting 10.110.1.2 1813
【命令】
primary authentication ip-address [ port-number ]
undo primary authentication
【视图】
RADIUS视图
【参数】
ip-address:IP地址,为点分十进制格式。缺省情况下,在system方案中,主认证/授权服务器的IP地址为127.0.0.1,新创建的RADIUS方案中的主认证/授权服务器的IP地址均为0.0.0.0。
port-number:UDP端口号。取值范围为1~65535。缺省情况下,在system方案中,主认证/授权服务的UDP端口号为1645,新创建的RADIUS方案中的主认证/授权服务的UDP端口号为1812。
【描述】
primary authentication命令用来设置主RADIUS认证/授权的IP地址和端口号,undo primary authentication命令用来将主RADIUS认证/授权的IP地址和端口号恢复为缺省值。
当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置,这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和备服务器的区别。 在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证路由器上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“h3c”的主认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务。
[H3C-radius-h3c] primary authentication 10.110.1.1 1812
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【视图】
系统视图
【参数】
radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。
【描述】
radius scheme命令用来创建RADIUS方案并进入其视图,undo radius scheme命令用来删除指定的RADIUS方案。
缺省情况下,系统中已创建了一个名为“system”的RADIUS方案,其各项属性均为缺省值,该方案不可以修改。可以用display radius命令来查看缺省RADIUS方案system的设置。
RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至少须指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端(路由器)与之交互所需的一些参数。因此,在进行其它RADIUS协议配置之前,必须先创建RADIUS方案并进入其视图。
一个RADIUS方案可以同时被多个ISP域引用。
undo radius scheme命令虽然可以用来删除指定的RADIUS方案,但是不能删除缺省的RADIUS方案。注意:当有使用RADIUS方案的用户在线时不允许删除。
相关配置可参考命令key,retry realtime-accounting,scheme,timer realtime-accounting,stop-accounting-buffer enable,retry stop-accounting,server-type,state,user-name-format,retry ,display radius,display radius statistics。
【举例】
# 创建名为“h3c”的RADIUS方案并进入其视图。
[H3C] radius scheme h3c
[H3C-radius-h3c]
【命令】
radius nas-ip ip-address
undo radius nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、D类地址、以及127网段地址。
【描述】
radius nas-ip命令用来指定NAS发送RADIUS报文使用的源地址。undo radius nas-ip命令用来恢复缺省状态。
指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
相关配置可参考命令nas-ip。
【举例】
# 配置路由器发送radius报文使用的源地址为129.10.10.1。
[H3C] radius nas-ip 129.10.10.1
【命令】
radius trap { authentication-server-down | accounting-server-down }
undo radius trap { authentication-server-down | accounting-server-down }
【视图】
系统视图
【参数】
authentication-server-down:RADIUS认证服务器状态变为down;
accounting-server-down:RADIUS 计费服务器状态变为down。
【描述】
radius trap命令用来使能RADIUS 服务器状态变为down时发送trap报文的功能,undo radius trap用来关闭RADIUS服务器状态变为down时发送trap报文的功能。
缺省情况下,关闭该功能。
【举例】
# 使能RADIUS认证服务器状态变为down时发送trap报文的功能。
[H3C] radius trap authentication-server-down
【命令】
reset radius statistics
【视图】
用户视图
【参数】
无
【描述】
reset radius statistics命令用来清除RADIUS协议的统计信息。
相关配置请参考命令display radius。
【举例】
# 清除RADIUS协议的统计信息。
<H3C> reset radius statistics
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
系统视图
【参数】
radius-scheme radius-scheme-name:根据RADIUS方案名删除暂存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为不超过32个字符的字符串。
session-id session-id:根据会话ID删除暂存的停止计费请求报文。其中,session-id为会话ID,为不超过50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻删除暂存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:根据用户名删除暂存的停止计费请求报文。
【描述】
reset stop-accounting-buffer命令用来删除那些缓存的、没有得到响应的停止计费请求报文。在发送停止计费请求报文而RADIUS服务器没有响应时,路由器系统会缓存该报文,然后以一定的次数重新发送,具体发送的次数由retry stop-accounting命令设置。
可以选择删除某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来删除报文;还可以指定一个时间段,删除那些发起停止计费请求的时刻处于指定时间段内的报文。
相关配置可参考命令stop-accounting-buffer enable,retry stop-accounting,display stop-accounting-buffer。
【举例】
# 删除用户“user0001@h3c163.net”缓存在系统中的停止计费请求报文。
<H3C> reset stop-accounting-buffer user-name user0001@h3c163.net
# 删除从2002年8月31日0点0分0秒到2002年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<H3C> reset stop-accounting-buffer time-range 0:0:0-08/31/2005 23:59:59-08/31/2005
【命令】
retry retry-times
undo retry
【视图】
RADIUS视图
【参数】
retry-times:最大传送次数,取值范围为1~20。缺省情况下,RADIUS请求报文的最大传送次数为3次。
【描述】
retry命令用来设置RAIUDS请求报文的最大传送次数,undo retry命令用来将RAIUDS请求报文的最大传送次数恢复为缺省值。
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在响应超时定时器规定的时长内没有响应NAS,则NAS有必要向RADIUS服务器重传RADIUS请求报文。假设最大传送次数为N,则如果累计的传送次数超过(N-[N/2])次而主RADIUS服务器仍旧没有响应,则NAS将认为其与当前RADIUS服务器的通信已经中断,并将转而向其它的RADIUS服务器发送请求报文。
根据网络状况合理的设置重发次数可以提高系统的响应速度。
相关配置可参考命令radius scheme。
【举例】
# 设置在RADIUS方案“h3c”下,RAIUDS请求报文的最大传送次数为5次。
[H3C-radius-h3c] retry 5
【命令】
retry realtime-accounting retry-times
undo retry realtime-accounting
【视图】
RADIUS视图
【参数】
retry-times:允许实时计费请求无响应的最大次数,取值范围为1~255。缺省情况下,最多允许5次实时计费请求无响应。
【描述】
retry realtime-accounting命令用来设置允许实时计费请求无响应的最大次数。undo retry realtime-accounting命令用来恢复允许实时计费请求无响应的最大次数为缺省值。
RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到NAS传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下在NAS端尽量与RADIUS服务器同步切断用户连接。路由器提供对连续实时计费请求无响应次数限制的设置——在NAS向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,NAS将切断用户连接。
假设RADIUS服务器的应答超时时长为T(假设定义为3秒),NAS的实时计费间隔为t(假设定义为12分钟),则NAS的实时计费请求无响应的最大次数为retry-times(假设定义为5次),则其含义为:NAS每隔12分钟发起一次记费请求,如果3秒钟得不到回应就重新发起一次请求,如果5次发送都没有回应就认为该次实时记费失败。一般情况下,T乘以retry-times应该小于t。
相关配置可参考命令radius scheme,timer realtime-accounting。
【举例】
# 设置RADIUS方案“h3c”最多允许10次实时计费请求无响应。
[H3C-radius-h3c] retry realtime-accounting 10
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
RADIUS视图
【参数】
retry-times:缓存的停止计费请求报文的最大重发次数,取值范围为10~65535。缺省情况下,取值为500。
【描述】
retry stop-accounting命令用来指示当出现没有得到响应的停止计费请求时,将该报文存入路由器缓存后,停止计费请求报文的最大重发次数。undo retry stop-accounting命令用来恢复停止计费请求报文的最大重发次数为缺省值。
由于停止计费请求报文涉及到话单结算,并最终影响收费多少,对用户和ISP都有比较重要的影响,因此NAS应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对路由器发出的停止计费请求报文没有响应,路由器应将其缓存在本机上,然后重新发送直到RADIUS计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,radius scheme,display stop-accounting-buffer。
【举例】
# 指示对于RADIUS方案“h3c”中的服务器,路由器系统最多可以将缓存的停止计费请求报文重发1000次。
[H3C-radius-h3c] retry stop-accounting 1000
【命令】
secondary accounting ip-address [ port-number ]
undo secondary accounting
【视图】
RADIUS视图
【参数】
ip-address:IP地址,为点分十进制格式。缺省情况下,备计费服务器的IP地址均为0.0.0.0。
port-number:UDP端口号。取值范围为1~65535。缺省情况下,计费服务的UDP端口号为1813。
【描述】
secondary accounting命令用来设置备RADIUS计费服务器的IP地址和端口号,undo secondary accounting命令用来将备RADIUS计费服务器的IP地址和端口号恢复为缺省值。
具体的描述请参见primary accounting命令的描述部分。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“h3c”的备计费服务器的IP地址为10.110.1.1、使用UDP端口1813提供RADIUS计费服务。
[H3C-radius-h3c] secondary accounting 10.110.1.1 1813
【命令】
secondary authentication ip-address [ port-number ]
undo secondary authentication
【视图】
RADIUS视图
【参数】
ip-address:IP地址,为点分十进制格式。缺省情况下,备认证/授权的IP地址均为0.0.0.0。
port-number:UDP端口号。取值范围为1~65535。缺省情况下,认证/授权服务的UDP端口号为1812。
【描述】
secondary authentication命令用来设置备RADIUS认证/授权或计费服务器的IP地址和端口号,undo secondary authentication命令用来将备RADIUS认证/授权或计费服务器的IP地址和端口号恢复为缺省值。
具体的描述请参见primary authentication命令的描述部分。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“h3c”的备认证/授权服务器的IP地址为10.110.1.2、使用UDP端口1812提供RADIUS认证/授权服务。
[H3C-radius-h3c] secondary authentication 10.110.1.2 1812
【命令】
server-type { extended | standard }
undo server-type
【视图】
RADIUS视图
【参数】
extended:指定私有的RADIUS服务器(一般为CAMS),即要求RADIUS客户端(路由器)和RADIUS服务器按照不同公司私有RADIUS协议的规程和报文格式进行交互。
standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端(路由器)和RADIUS服务器按照标准RADIUS协议(RFC 2138/2139或更新)的规程和报文格式进行交互。
【描述】
server-type命令用来指定路由器系统支持的RADIUS服务器类型。undo server-type命令用来恢复RADIUS服务器类型的缺省值。
缺省情况下,system方案中的RADIUS服务器的类型为extended,新创建的RADIUS方案中的RADIUS服务器的类型为standard。
相关配置可参考命令radius scheme。
【举例】
# 将RADIUS方案“h3c”的RADIUS服务器类型设置为extended。
[H3C-radius-h3c] server-type extended
【命令】
state { primary | secondary } { accounting | authentication } { block | active }
【视图】
RADIUS视图
【参数】
primary:指示设置主RADIUS服务器的状态。
secondary:指示设置备RADIUS服务器的状态。
accounting:指示设置RADIUS计费服务器的状态。
authentication:指示设置RADIUS认证/授权服务器的状态。
block:指示RADIUS服务器的状态为block,即处于宕机状态。
active:指示RADIUS服务器的状态为active,即处于正常工作状态。
【描述】
state命令用来设置RADIUS服务器的状态。
缺省情况下,system方案中的主认证/授权服务器和主计费服务器的状态为active,备认证/授权服务器和备计费服务器的状态为block;新创建的RADIUS方案中各RADIUS服务器的状态均为block。
对于某个RADIUS方案中的主、备服务器(无论是认证/授权服务器还是计费服务器),当主服务器因故障而导致其与NAS的通信中断时,NAS会主动地转而与备服务器交互报文。当主服务器恢复正常后,NAS却不会立即恢复与其通信,而是继续与备服务器通信;直到备服务器也出现故障后,NAS才能再转而恢复与主服务器交互报文。为了使NAS在主服务器故障排除后迅速恢复与其通信,需要通过state命令手工将主服务器的状态设为active。
当主服务器与备服务器的状态都为active或都为block时,NAS将只把报文发送到主服务器上。
相关配置可参考命令radius scheme,primary authentication,secondary authentication,primary accounting,secondary accounting。
【举例】
# 将RADIUS方案“h3c”的备认证服务器的状态设置为active。
[H3C-radius-h3c] state secondary authenticaiton active
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
RADIUS视图
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在路由器上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在路由器上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许路由器缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此NAS应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对路由器发出的停止计费请求报文没有响应,路由器应将其缓存在本机上,然后重新发送直到RADIUS计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,radius scheme ,display stop-accounting-buffer。
【举例】
# 指示对于RADIUS方案“h3c”中的服务器,路由器系统能够缓存没有得到响应的停止计费请求报文。
[H3C-radius-h3c] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
RADIUS视图
【参数】
minutes:取值范围为1~255,单位为分钟。缺省情况下,主服务器恢复激活状态前需要等待5分钟。
【描述】
timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet 命令用来恢复缺省配置。
相关配置可参考命令display radius。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
[H3C] radius scheme test1
[H3C-radius-test1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
RADIUS视图
【参数】
minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,必须为3的倍数。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔,undo timer realtime-accounting命令用来将实时计费的时间间隔恢复为缺省值。
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,NAS会向RADIUS服务器发送一次在线用户的计费信息。
实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求——取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
缺省情况下,实时计费的时间间隔为12分钟。
相关配置可参考命令retry realtime-accounting,radius scheme。
【举例】
# 将RADIUS方案“h3c”的实时计费的时间间隔设置为51分钟。
[H3C-radius-h3c] timer realtime-accounting 51
【命令】
timer seconds
undo timer
timer response-timeout seconds
undo timer response-timeout
【视图】
RADIUS视图
【参数】
seconds:RADIUS服务器应答超时时间,单位为秒,取值范围为1~10。
【描述】
timer和timer response-timeout命令用来设置RADIUS服务器应答超时时间,undo timer和undo timer response-timeout命令用来将RADIUS服务器应答超时时间恢复为缺省值。
如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,NAS还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,路由器中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,timer和timer response-timeout命令就是用来设置这个定时器时长的。
根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
缺省情况下,RADIUS服务器应答超时时间为3秒。
相关配置可参考命令radius scheme,retry。
【举例】
# 将RADIUS方案“h3c”的响应超时定时器设置为5秒。
[H3C-radius-h3c] timer response-timeout 5
【命令】
user-name-format { with-domain | without-domain }
【视图】
RADIUS视图
【参数】
with-domain:指定发送给RADIUS服务器的用户名带域名。
without-domain:指定发送给RADIUS服务器的用户名不带域名。
【描述】
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
缺省情况下,在system方案中,NAS发送给RADIUS服务器的用户名不携带ISP域名;在新创建的RADIUS方案中,NAS发送给RADIUS服务器的用户名携带有ISP域名。
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,路由器就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,路由器提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
& 说明:
如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案,否则,会出现虽然实际用户不同(在不同的ISP域中)、但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
相关配置可参考命令radius scheme。
【举例】
# 指定发送给RADIUS方案“h3c”中RADIUS服务器的用户名不得携带域名。
[H3C-radius-h3c] user-name-format without-domain
【命令】
data-flow-format data { byte | giga-byte | kilo-byte | mega-byte }
data-flow-format packet { giga-packet | kilo-packet | mega-packet | one-packet }
undo data-flow-format { data | packet }
【视图】
HWTACACS视图
【参数】
data:设置数据的单位。
byte:数据单位为比特。
giga-byte:数据单位千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为“giga-packet”。
kilo-packet:数据包的单位为“kilo-packet”。
mega-packet:数据包的单位为“mega-packet”。
one-packet:数据包的单位为“one-packet”。
【描述】
data-flow-format命令用来配置发送到TACACS服务器的数据流的单位。undo data-flow-format命令用来恢复发送到TACACS服务器的数据流的单位为缺省设置。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
相关配置可参考命令display hwtacacs。
【举例】
# 设置发往服务器h3c的数据流的单位为千比特,数据包的单位为kilo-packet。
[H3C-hwtacacs-h3c] data-flow-format data kilo-byte packet kilo-packet
【命令】
debugging hwtacacs { all | error | event | message | receive-packet | send-packet }
undo debugging hwtacacs { all | error | event | message | receive-packet | send-packet }
【视图】
用户视图
【参数】
all:HWTACACS协议的所有调试功能。
error:错误调试功能。
event:事件调试功能。
message:消息调试功能。
receive-packet:对接收到的报文的调试功能。
send-packet:对发送报文的调试功能。
【描述】
debugging hwtacacs命令用来使能HWTACACS协议的调试功能。undo debugging hwtacacs命令用来禁止HWTACACS协议的调试功能。
缺省情况下,禁止HWTACACS协议的调试功能。
【举例】
# 使能HWTACACS协议的事件调试功能。
<H3C> debugging hwtacacs event
【命令】
display hwtacacs [ hwtacacs-scheme-name [ statistics ] ]
【视图】
任意视图
【参数】
hwtacacs-scheme-name:HWTACACS方案名,字符串形式,长度为1~32,不区分大小写。此项如果为空,则显示所有HWTACACS方案的配置信息。
statistics:显示HWTACACS报文的详细统计信息。
【描述】
display hwtacacs命令用来查看所有或指定HWTACACS方案的配置信息。
不带任何参数的情况下,显示所有HWTACACS方案的配置信息。
相关配置请参考命令hwtacacs scheme。
【举例】
# 查看所有HWTACACS方案gy的配置情况。
<H3C> display hwtacacs gy
-------------------------------------------------------------------- HWTACACS-server template name : gy
Primary-authentication-server : 172.31.1.11:49
Primary-authorization-server : 172.31.1.11:49
Primary-accounting-server : 172.31.1.11:49
Secondary-authentication-server : 0.0.0.0:0
Secondary-authorization-server : 0.0.0.0:0
Secondary-accounting-server : 0.0.0.0:0
Current-authentication-server : 172.31.1.11:49
Current-authorization-server : 172.31.1.11:49
Current-accounting-server : 172.31.1.11:49
Source-IP-address : 0.0.0.0
key authentication : 790131
key authorization : 790131
key accounting : 790131
Quiet-interval(min) : 5
Response-timeout-Interval(sec) : 5
Domain-included : No
Traffic-unit : B
Packet traffic-unit : one-packet
表1-7 display radius statistics显示信息描述表
|
域名 |
描述 |
|
HWTACACS-server template name |
HWTACACS服务器组名(即HWTACACS方案名) |
|
Primary-authentication-server |
主认证服务器IP地址及端口号 |
|
Primary-authorization-server |
主授权服务器IP地址及端口号 |
|
Primary-accounting-server |
主计费服务器IP地址及端口号 |
|
Secondary-authentication-server |
备认证服务器IP地址及端口号 |
|
Secondary-authorization-server |
备授权服务器IP地址及端口号 |
|
Secondary-accounting-server |
备计费服务器IP地址及端口号 |
|
Current-authentication-server |
当前认证服务器IP地址及端口号 |
|
Current-authorization-server |
当前授权服务器IP地址及端口号 |
|
Current-accounting-server |
当前计费服务器IP地址及端口号 |
|
Source-IP-address |
路由器发送HWTACACS报文使用的源IP地址 |
|
key authentication |
HWTACACS认证服务器共享密钥 |
|
key authorization |
HWTACACS授权服务器共享密钥 |
|
key accounting |
HWTACACS计费服务器共享密钥 |
|
Quiet-interval(min) |
主服务器恢复激活状态的等待时间 |
|
Response-timeout-Interval(sec) |
TACACS服务器应答超时时间 |
|
Domain-included |
发送给TACACS服务器的用户名为含域名的格式 |
|
Traffic-unit |
流量单位: B:数据单位为字节。 GB:数据单位千兆字节。 KB:数据单位为千字节。 MB:数据单位为兆字节。 |
|
Packet traffic-unit |
数据包的单位: giga-packet:数据包的单位为千兆“giga-packet”。 kilo-packet:数据包的单位为千“kilo-packet”。mega-packet:数据包的单位为兆“mega -packet”。one-packet:数据包的单位为1包“one -packet”。 |
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
任意视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据HWTACACS方案名显示暂存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为不超过32个字符的字符串。
【描述】
display stop-accounting-buffer命令用来显示缓存在路由器上的停止计费请求报文。
相关配置可参考命令reset stop-accounting-buffer,stop-accounting-buffer enable,retry stop-accounting。
【举例】
# 显示为HWTACACS方案“h3c”缓存的停止计费请求报文。
<H3C> display stop-accounting-buffer hwtacacs-scheme h3c
-------------------------------------------------------------
NO. SendTime IP Address Template
1 10 172.31.1.27 h3c
-------------------------------------------------------------
Whole accounting stop packet to resend:1
表1-8 display stop-accounting-buffer显示信息描述表
|
域名 |
描述 |
|
NO. |
停止计费请求报文的序号 |
|
SendTime |
停止计费报文已发送次数 |
|
IP Address |
tacacs服务器IP地址 |
|
Template |
hwtacacs认证方案名 |
【命令】
hwtacacs nas-ip ip-address
undo hwtacacs nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、D类地址、以及127网段地址。
【描述】
hwtacacs nas-ip命令用来指定NAS发送HWTACACS报文使用的源地址。undo hwtacacs nas-ip命令用来恢复缺省状态。
指定发送HWTACACS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
【举例】
# 配置路由器发送HWTACACS报文使用的源地址为129.10.10.1。
[H3C] hwtacacs nas-ip 129.10.10.1
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【视图】
系统视图
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,字符串形式,长度为1~32。
【描述】
hwtacacs scheme命令用来进入HWTACACS视图,如果指定的HWTACACS方案名不存在,则同时创建一个新的HWTACACS方案。undo hwtacacs scheme命令用来删除一个HWTACACS方案。
【举例】
# 创建名为test1的HWTACACS方案并进入相应的HWTACACS方案视图。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1]
【命令】
key { accounting | authentication | authorzation } string
undo key { accounting | authentication | authorzation }
【视图】
HWTACACS视图
【参数】
accounting:计费服务器的共享密钥。
authentication:认证服务器的共享密钥。
authorzation:授权服务器的共享密钥。
string:密钥。为不超过16个字符的字符串。
【描述】
key 命令用来设置HWTACACS认证、授权、计费服务器的共享密钥。undo key 命令用来删除配置。
缺省情况下,TACACS服务器没有密钥。
TACACS客户端(即路由器)与TACACS服务器使用MD5算法来加密交互的HWTACACS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。因此,必须保证路由器上设置的共享密钥与TACACS服务器上的完全一样。在认证/授权服务器与计费服务器不相同且这两台服务器中的共享密钥也不同时,必须分别设置认证/授权报文和计费报文的共享密钥。
相关配置可参考命令display hwtacacs。
【举例】
# 配置HWTACACS计费服务器共享密钥为hello。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] key accounting hello
【命令】
nas-ip ip-address
undo nas-ip
【视图】
HWTACACS视图
【参数】
ip-address:IP地址,点分十进制形式。
【描述】
nas-ip命令用来设置NAS(路由器)发送HWTACACS报文使用的源IP地址,这样发送到TACACS服务器的所有报文携带相同的源IP地址。undo nas-ip命令用来删除配置。
指定发送HWTACACS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
缺省情况下,报文的源IP地址是发送端口的IP地址。
相关配置可参考命令display hwtacacs。
【举例】
# 配置NAS(路由器)发送HWTACACS报文使用的源IP地址为10.1.1.1。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port ]
undo primary accounting
【视图】
HWTACACS视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
primary accounting命令用来配置HWTACACS主计费服务器。undo primary accounting命令用来删除配置的HWTACACS主计费服务器。
缺省情况下,HWTACACS计费服务器的IP地址为0.0.0.0。
主计费服务器和备用计费服务器的IP地址不能相同,否则将提示配置不成功。
如果多次执行此命令,新的配置将覆盖原来的配置。
只有当没有活跃的、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
【举例】
# 配置主计费服务器。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] primary accouting 10.163.155.12 49
【命令】
primary authentication ip-address [ port ]
undo primary authentication
【视图】
HWTACACS视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
primary authentication命令用来配置HWTACACS认证服务器。undo primary authentication命令用来删除配置的认证服务器。
缺省情况下,HWTACACS认证服务器的IP地址为0.0.0.0。
主认证服务器和备用认证服务器的IP地址不能相同,否则将提示配置不成功。
如果多次执行此命令,新的配置将覆盖原来的配置。
只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主认证服务器。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] primary authentication 10.163.155.13 49
【命令】
primary authorization ip-address [ port ]
undo primary authorization
【视图】
HWTACACS视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
primary authorization命令用来配置HWTACACS主授权服务器。undo primary authorization命令用来删除配置的主授权服务器。
缺省情况下,HWTACACS授权服务器的IP地址为0.0.0.0。
对于所有类型的用户,如果配置了TACACS认证,但没有配置TACACS授权服务器,则用户无法登录。
主授权服务器和备用授权服务器的IP地址不能相同,否则将提示配置不成功。
如果多次执行此命令,新的配置将覆盖原来的配置。
只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主授权服务器。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] primary authorization 10.163.155.13 49
【命令】
reset hwtacacs statistics{ accounting | authentication | authorization | all }
【视图】
用户视图
【参数】
accounting:清除所有HWTACACS协议关于计费的统计信息。
authentication:清除所有HWTACACS协议关于认证的统计信息。
authorization:清除所有HWTACACS协议关于授权的统计信息。
all:清除所有统计信息。
【描述】
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
相关配置请参考命令display hwtacacs。
【举例】
# 清除所有HWTACACS协议的统计信息。
<H3C> reset hwtacacs statistics
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
用户视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据HWTACACS方案名删除暂存的停止计费请求报文。其中,hwtacacs-server-name为HWTACACS方案名,为不超过32个字符的字符串。
【描述】
reset stop-accounting-buffer命令用来清除那些在路由器上缓存的、没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable,retry stop-accounting,display stop-accounting-buffer。
【举例】
# 删除mailto:HWTACACS方案“h3c”缓存在系统中的停止计费请求报文。
<H3C> reset stop-accounting-buffer hwtacacs-scheme h3c
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
HWTACACS视图
【参数】
retry-times:停止计费报文传送的最大次数,取值范围为1~300。
【描述】
retry stop-accounting命令用来使能停止计费报文重传功能,并配置停止计费报文传送的最大次数。undo retry stop-accounting命令用来恢复停止计费报文传送次数为缺省值。
缺省情况下,使能停止计费报文重传功能,可传送报文的最大次数为100。
相关配置可参考命令reset stop-accounting-buffer,hwtacacs scheme,display stop-accounting-buffer。
【举例】
# 使能停止计费报文重发功能,每次可重发50个报文。
[H3C-hwtacacs-test] retry stop-accounting 50
【命令】
secondary accounting ip-address [ port ]
undo secondary accounting
【视图】
HWTACACS视图
【参数】
ip-address:服务器的IP地址,点分十进制格式,必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
secondary accounting命令用来配置HWTACACS备计费服务器。undo secondary accounting命令用来删除配置的HWTACACS备计费服务器。
缺省情况下,HWTACACS计费服务器的IP地址为0.0.0.0。
主计费服务器和备用计费服务器的IP地址不能相同,否则将提示配置不成功。
如果多次执行此命令,新的配置将覆盖原来的配置。
只有当没有活跃的、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。
【举例】
# 配置备计费服务器。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] secondary accouting 10.163.155.12 49
【命令】
secondary authentication ip-address [ port ]
undo secondary authentication
【视图】
HWTACACS视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
secondary authentication命令用来配置HWTACACS备认证服务器。undo secondary authentication命令用来删除配置的备认证服务器。
缺省情况下,HWTACACS认证服务器的IP地址为0.0.0.0。
主认证服务器和备用认证服务器的IP地址不能相同,否则将提示配置不成功。
如果多次执行此命令,新的配置将覆盖原来的配置。
只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置备认证服务器。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] secondary authentication 10.163.155.13 49
【命令】
secondary authorization ip-address [ port ]
undo secondary authorization
【视图】
HWTACACS视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
secondary authorization命令用来配置HWTACACS备授权服务器。undo secondary authorization命令用来删除配置的备授权服务器。
缺省情况下,HWTACACS授权服务器的IP地址为0.0.0.0。
主授权服务器和备用授权服务器的IP地址不能相同,否则将提示配置不成功。
如果多次执行此命令,新的配置将覆盖原来的配置。
只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置备授权服务器。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] secondary authorization 10.163.155.13 49
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
HWTACACS视图
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在路由器上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在路由器上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许路由器缓存没有得到响应的停止计费请求报文。
此命令的具体描述请参见RADIUS方案中的stop-accounting-buffer enable命令。
【举例】
# 指示对于HWTACACS方案“h3c”中的服务器,路由器系统能够缓存没有得到响应的停止计费请求报文。
[H3C-hwtacacs-test] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
HWTACACS视图
【参数】
minutes:取值范围为1~255,单位为分钟。缺省情况下,主服务器恢复激活状态前需要等待5分钟。
【描述】
timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省配置。
相关配置可参考命令display hwtacacs。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
HWTACACS视图
【参数】
minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,必须为3的倍数。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔,undo timer realtime-accounting命令用来将实时计费的时间间隔恢复为缺省值。
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,NAS会向TACACS服务器发送一次在线用户的计费信息。
实时计费间隔的取值对NAS和TACACS服务器的性能有一定的相关性要求——取值越小,对NAS和TACACS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
缺省情况下,实时计费的时间间隔为12分钟。
【举例】
# 将HWTACACS方案“h3c”的实时计费的时间间隔设置为51分钟。
[H3C-hwtacacs-h3c] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
HWTACACS视图
【参数】
seconds:取值范围为1~300,单位为秒。
【描述】
timer response-timeout命令用来设置TACACS服务器应答超时时间。undo timer response-timeout命令用来恢复缺省配置。
缺省情况下,TACACS服务器应答超时时间为5秒。
& 说明:
由于HWTACACS是基于TCP实现的,因此,服务器应答超时或TCP超时都可能导致与TACACS服务器的连接断开。
相关配置可参考命令display hwtacacs。
【举例】
# 配置TACACS服务器应答超时时间为30秒。
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] timer response-timeout 30
【命令】
user-name-format { with-domain | without-domain }
【视图】
HWTACACS视图
【参数】
with-domain:指定发送给TACACS服务器的用户名带域名。
without-domain:指定发送给TACACS服务器的用户名不带域名。
【描述】
user-name-format命令用来设置发送给TACACS服务器的用户名格式。
缺省情况下,HWTACACS方案默认发送给TACACS服务器的用户名携带有ISP域名。
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,路由器就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的TACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给TACACS服务器。因此,路由器提供此命令以指定发送给TACACS服务器的用户名是否携带有ISP域名。
& 说明:
如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案,否则,会出现虽然实际用户不同(在不同的ISP域中)、但TACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
相关配置可参考命令hwtacacs scheme。
【举例】
# 指定发送给HWTACACS方案“h3c”的用户不得携带域名。
[H3C-hwtacacs-h3c] user-name-format without-domain
【命令】
acl number acl-number [ match-order { config | auto } ]
undo acl { number acl-number | all }
【视图】
系统视图
【参数】
number acl-number:访问控制列表的序号。1000~1999为基于接口的访问控制列表,2000~2999为基本访问控制列表(basic),3000~3999为高级访问控制列表(advanced)。
match-order:指定规则的配置顺序。
config:指定匹配该规则时按用户的配置顺序。
auto:指定匹配该规则时系统自动排序(按“深度优先”的顺序)。
all:所有的ACL。
【描述】
命令acl用于创建一个访问控制列表并进入ACL视图,命令undo acl用于删除访问控制列表。
一个访问控制列表是由permit和deny语句组成的一系列的规则列表,若干个规则构成一个访问控制列表。在配置访问控制列表的规则之前,首先需要创建一个访问控制列表。
【举例】
# 创建一个序号为2000的基本ACL。
[H3C] acl number 2000
[H3C-acl-basic-2000]
【命令】
description text
undo description
【视图】
ACL视图
【参数】
text:ACL的描述,描述内容最长为127个字符。
【描述】
description命令用来为ACL添加描述,undo description命令用来删除ACL的描述。
【举例】
# 为编号为2001的基本ACL添加描述。
[H3C-acl-basic-2001] description Deny HTTP from host 10.0.0.1
【命令】
display acl { all | acl-number }
【视图】
任意视图。
【参数】
all:所有的ACL。
acl-number:特定编号的ACL。
【描述】
命令display acl用来显示配置的访问控制列表的规则。
默认情况下,规则的匹配顺序为config(配置顺序),display命令将不会显示该匹配顺序;而如果匹配顺序为auto时,display命令则会显示出该顺序。
【举例】
# 显示ACL 2000的规则的内容。
[H3C-acl-basic-2000] display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 1
rule 1 permit (0 times matched)
rule 2 permit source 1.1.1.1 0 (0 times matched)
【命令】
reset acl counter { all | acl-number }
【视图】
用户视图
【参数】
acl-number:特定编号的ACL。
all:所有的ACL。
【描述】
命令reset acl counter用来清除访问控制列表的统计信息。
【举例】
# 清除访问控制列表2000的统计信息。
<H3C> reset acl counter 2000
【命令】
(1) 增加/删除一个基本访问控制列表的规则
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } ] [ time-range time-name ] [ logging ] [ fragment ]
undo rule rule-id [ source ] [ time-range ] [ logging ] [ fragment ]
(2) 增加/删除一个高级访问控制列表的规则
rule [ rule-id ] { permit | deny } protocol [ source { sour-addr sour-wildcard | any } ] [ destination { dest-addr dest-wildcard | any } ] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type { icmp-message |icmp-type icmp-code} ] [ dscp dscp ] [ established ] [ precedence precedence ] [ tos tos ] [ time-range time-name ] [ logging ] [ fragment ]
undo rule rule-id [ source ] [ destination ] [ source-port ] [ destination-port ] [ icmp-type ] [ dscp ] [ precedence ] [ tos ] [ time-range ] [ logging ] [ fragment ]
(3) 增加/删除一个基于接口的访问控制列表的规则
rule [ rule-id ] { permit | deny } interface { interface-type interface-number | any } [ time-range time-name ] [ logging ]
undo rule rule-id [ time-range ] [ logging ]
【视图】
ACL视图
【参数】
使用命令rule为ACL增加一个规则的时候,参数说明如下:
rule-id:可选参数,ACL的规则编号,范围为0~65534。当指定了编号,如果与编号对应的规则已经存在,则会部分覆盖旧的规则,相当于编辑一个已经存在的ACL规则。故建议用户当编辑一个已存在编号的规则时,先将旧的规则删除,再创建新的规则,否则配置结果可能与预期的效果不同。如果与编号对应的规则不存在,则使用指定的编号创建一个新的规则。如果不指定编号,表示增加一个新规则,系统自动会为这个规则分配一个编号。
deny:表示拒绝符合条件的数据包。
permit:表示允许符合条件的数据包。
protocol:用名字或数字表示的IP承载的协议类型。数字范围为1~255;用名字表示时,可以选取:gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。
source:可选参数,指定ACL规则的源地址信息。如果不配置,表示报文的任何源地址都匹配。
sour-addr:数据包的源地址,点分十进制表示。
sour-wildcard:源地址通配符,点分十进制表示。
destination:可选参数,指定ACL规则的目的地址信息。如果不配置,表示报文的任何目的地址都匹配。
dest-addr:数据包的目的地址,点分十进制表示。
dest-wildcard:目的地址通配符,点分十进制表示。
any:表示所有源地址或目的地址,作用与源或目的地址是0.0.0.0,通配符是255.255.255.255相同。
icmp-type:可选参数,指定ICMP报文的类型和消息码信息,仅仅在报文协议是ICMP的情况下有效。如果不配置,表示任何ICMP类型的报文都匹配。
icmp-type:ICMP包可以依据ICMP的消息类型进行过滤。取值为0~255的数字。
icmp-code:依据ICMP的消息类型进行过滤的ICMP包也可以依据消息码进行过滤。取值为0~255的数字。
icmp-message:ICMP包可以依据ICMP消息类型名字或ICMP消息类型和码的名字进行过滤。
source-port:可选参数,指定UDP或者TCP报文的源端口信息,仅仅在规则指定的协议号是TCP或者UDP有效。如果不指定,表示TCP/UDP报文的任何源端口信息都匹配。
destination-port:可选参数,指定UDP或者TCP报文的目的端口信息,仅仅在规则指定的协议号是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何目的端口信息都匹配。
operator:可选参数。比较源或者目的地址的端口号的操作符,名字及意义如下:lt(小于),gt(大于),eq(等于),neq(不等于),range(在范围内)。只有range需要两个端口号做操作数,其他的只需要一个端口号做操作数。
port1、port2:可选参数。TCP或UDP的端口号,用名字或数字表示,数字的取值范围为0~65535。
dscp dscp:指定DSCP字段(IP报文中的DS字节)。此参数与precedence、tos互斥。
established:匹配所有标志为ACK和RST的TCP报文(特征是ACK或者RST标志已置位)。包括SYN+ACK、ACK 、FIN+ACK、RST、RST+ACK等几种报文。此选项可以匹配那些已经建立的TCP会话的流量,即过滤掉始发的TCP会话请求。
precedence precedence:可选参数,数据包可以依据优先级字段进行过滤。取值为0~7的数字或名称。此参数与dscp互斥。
tos tos:可选参数,数据包可以依据服务类型字段进行过滤。取值为0~15的数字或名称。此参数与dscp互斥。
logging:可选参数,是否对符合条件的数据包做日志。日志内容包括访问控制列表规则的序号、数据包通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、数据包的数目。
time-range time-name:配置这条访问控制规则生效的时间段。
fragment:指定该规则是否仅对非首片分片报文有效。当包含此参数时,表示该规则仅对非首片分片报文有效。
interface interface-type interface-number:指定数据包的接口信息。any代表所有的接口。
使用命令undo rule删除规则的时候,参数说明如下:
rule-id:ACL规则编号,必须是一个已经存在的ACL规则编号。如果rule-id后面不指定参数,则将这个ACL规则完全删除。否则,只是删除对应ACL规则的部分信息。
source:可选参数,仅仅删除编号对应的ACL规则的源地址部分的信息设置。
destination:可选参数,仅仅删除编号对应的ACL规则的目的地址部分的信息设置。
source-port:可选参数,仅仅删除编号对应的ACL规则的源端口部分的信息设置,仅仅在规则的协议号是TCP或者UDP的情况下有效。
destination-port:可选参数,仅仅删除编号对应的ACL规则的目的端口部分的信息设置,仅仅在规则的协议号是TCP或者UDP的情况下有效。
icmp-type:可选参数,仅仅删除编号对应的ACL规则ICMP类型和消息码部分的信息设置,仅仅在规则的协议号是ICMP的情况下有效。
dscp:可选参数,仅仅删除编号对应的ACL规则的DSCP设置。
precedence:可选参数,仅仅删除编号对应的ACL规则的precedence的相关设置。
tos:可选参数,仅仅删除编号对应的ACL规则的ToS的相关设置。
time-range:可选参数,仅仅删除编号对应的ACL规则的生效时间段的设置。
logging:可选参数,仅仅删除编号对应的ACL规则对符合条件的数据包做日志的设置。
fragment:可选参数,仅仅删除编号对应的ACL规则仅对非首片分片报文有效的设置。
【描述】
命令rule用来在对应的ACL视图下,增加一个规则。命令undo rule用来删除一个规则。
在删除一条规则时,需要指定规则的编号,如果不知道规则的编号,可以使用命令display acl来查看。
【举例】
# 创建ACL 3001,增加一条规则,禁止接收和发送RIP报文。
[H3C] acl number 3001
[H3C-acl-adv-3001] rule deny udp destination-port eq rip
# 增加一条规则,允许从129.9.0.0网段的主机向202.38.160.0网段的主机发送WWW报文。
[H3C-acl-adv-3001] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www
# 增加一条规则,禁止从129.9.0.0网段内的主机建立与202.38.160.0网段内的主机的WWW端口(80)的连接,并对违反此规则的事件作日志。
[H3C-acl-adv-3001] rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging
# 增加一条规则,允许从129.9.8.0网段内的主机建立与202.38.160.0网段内的主机的WWW端口(80)的连接。
[H3C-acl-adv-3001] rule permit tcp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port eq www
# 增加一条规则,禁止从一切主机建立与IP地址为202.38.160.1的主机的Telnet(23)的连接。
[H3C-acl-adv-3001] rule deny tcp destination 202.38.160.1 0 destination-port eq telnet
# 增加一条规则,禁止从129.9.8.0网段内的主机建立与202.38.160.0网段内的主机的端口号大于128的UDP(用户数据报协议)连接。
[H3C-acl-adv-3001] rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port gt 128
【命令】
rule rule-id comment text
undo rule rule-id comment
【视图】
ACL视图
【参数】
rule-id:已创建的ACL规则的编号。
comment text:ACL规则的注释,注释内容最长为127个字符。
【描述】
rule comment命令用来为ACL规则添加注释,undo rule comment命令用来删除ACL规则的描述。
【举例】
# 为编号为7的ACL规则添加注释。
[H3C-acl-adv-3001] rule 7 comment Allow FTP from any source to host 172.16.0.1
【命令】
display time-range { all | time-name }
【视图】
任意视图
【参数】
time-name:时间段的名称。
all:所有配置的时间段。
【描述】
命令display time-range用来显示当前时间段的配置和状态,对于当前处在激活状态的时间段将显示active,对于非激活状态显示inactive。
注意,由于系统更新ACL状态有一个误差,大约1分钟,而display time-range会采用当前时间对其进行判断,所以有可能出现display time-range看到一个时间段已经激活,而引用它的ACL没有激活,这种情况是正常的。
【举例】
# 显示名字为worktime的时间段。
<H3C> display time-range worktime
Current time is 10:47:58 Nov/21/2005 Monday
Time-range : worktime ( Active )
08:30 to 18:00 working-day
【命令】
time-range time-name [ start-time to end-time ] [ days ] [ from time1 date1 ] [ to time2 date2 ]
undo time-range time-name [ start-time to end-time ] [ days ] [ from time1 date1 ] [ to time2 date2 ]
【视图】
系统视图
【参数】
time-name:时间段的名字,不能大于32个字符,且必须以字母a-z,A-Z开头。
start-time:一个时间范围的开始时间,格式为hh:mm,小时和分钟之间使用“:”分隔,hh的范围为0~23,mm的范围为0~59。
end-time:一个时间范围的结束时间,格式为hh:mm,小时和分钟之间使用“:”分隔,hh的范围为0~23,mm的范围为0~59。
days:表示配置的时间范围在每周几有效,可以输入如下参数:
数字(0~6);
星期日到星期六(Sunday,Monday,Tuesday,Wednesday,Thursday,Friday,Saturday);
工作日(Working-day),包括从星期一到星期五五天;
休息日(Off-day),包括星期六和星期天;
所有日子(Daily),包括一周七天。
from time1 date1:为可选项,表示从某一天某一时间开始。time1的输入格式为hh:mm,hh的范围为0~23,mm的范围为0~59。date1的输入格式为MM/DD/YYYY。DD可以输入1~31之间的数字,MM需要输入1~12之间的数字,YYYY使用4位输入,范围为1970~2100。如果不配置起始时间,则表示对起始时间没有限制,只关心结束时间。
to time2 date2:为可选项,表示到某一天某一时间结束。其中time2和date2的输入格式与起始时间相同。结束时间必须大于起始时间。如果不配置结束时间,则结束时间为系统可表示的最大时间。
【描述】
命令time-range用来定义一个时间段,描述一个特殊的时间范围。命令undo time-range用来删除一个时间段。
时间段可以分为如下几种:
l 绝对时间段
由time-range time-name [ from time1 date1 ] [ to time2 date2 ]命令指定的时间范围为绝对时间段,例如:
# 配置时间段,从2005年4月1日20:00起,到2006年12月10日20:00之间有效。
[H3C] time-range test from 20:00 04/01/2005 to 20:00 12/10/2006
此时查看配置只有一条单独的绝对时间段:
[H3C] display time-range test
Current time is 19:41:22 Jan/1/2006 Saturday
Time-range : test ( Inactive )
From 20:00 Apr/1/2005 to 20:00 Dec/10/2005
l 周期时间段
由time-range time-name [ start-time to end-time ] [ days ]命令指定的时间范围为周期时间段,例如:
# 配置时间段,在每天的12:00到17:00之间有效。
[H3C] time-range test 12:00 to 17:00 daily
此时查看配置只有一条周期时间段:
[H3C] display time-range test
Current time is 19:44:25 Jan/1/2000 Saturday
Time-range : test ( Inactive )
12:00 to 17:00 daily
l 在绝对时间段内生效的周期时间段
如time-range time-name [ start-time to end-time ] [ days ] [ from time1 date1 ] [ to time2 date2 ]命令中既包含绝对时间段又包含周期时间段,则周期时间段只在绝对时间段范围内有效,例如:
# 配置时间段,从2005年4月1日20:00起,到2006年12月10日20:00之间,在每个周末的下午14:00到16:00之间有效。
[H3C] time-range test 14:00 to 16:00 off-day from 20:00 04/01/2005 to 20:00 12/10/2006
此时查看配置其实是由一条单独的周期时间段和一条单独的绝对时间段组成的:
[H3C] display time-range test
Current time is 18:39:49 Jan/1/2006 Saturday
Time-range : test ( Inactive )
14:00 to 16:00 off-day
From 20:00 Apr/1/2005 to 20:00 Dec/10/2005
l 复合时间段
复合时间段是由若干条周期时间段和(或)绝对时间段组成,比如:
[H3C] time test 16:30 to 18:00 daily from 01:00 01/01/2000 to 23:00 01/10/2000
[H3C] time test 18:00 to 21:30 daily from 23:00 01/10/2000 to 23:00 02/01/2000
[H3C] display time-range test
Current time is 18:29:37 Jan/1/2006 Saturday
Time-range : test ( Active )
16:30 to 18:00 daily
18:00 to 21:30 daily
From 01:00 Jan/1/2006 to 23:00 Jan/10/2006
From 23:00 Jan/10/2006 to 23:00 Feb/1/2006
实际的有效时间是从2006年1月1日01:00到2006年2月1日23:00期间每天的16:30到21:30。而不只是从2006年1月1日01:00到2006年1月10日23:00期间的16:30到18:00,和从2006年1月10日23:00到2006年2月1日23:00期间的18:00到21:30有效。
总之,复合时间段与各子时间段之间的关系是:如果没有周期时间段,则为所有的绝对时间段的并集;如果有周期时间段,则为所有的绝对时间段的并集与所有周期时间段的并集的交集。
【举例】
# 配置时间段,在2006年1月1日0:0生效,并永远有效。
[H3C] time-range test from 0:0 1/1/2006
# 配置时间段,从2005年4月1日20:00起,到2006年12月10日20:00之间,在每个周末的下午14:00到16:00之间有效。
[H3C] time-range test 14:00 to 16:00 off-day from 20:00 04/01/2005 to 20:00 12/10/2006
# 配置时间段,在周一到周五每天8:00到18:00生效。
[H3C] time-range test 8:00 to 18:00 working-day
# 配置时间段,在周末下午14:00到18:00生效。
[H3C] time-range test 14:00 to 18:00 off-day
【命令】
debugging nat { alg | event | packet } [ interface interface-type interface-number ]
undo debugging nat { alg | event | packet } [ interface interface-type interface-number ]
【视图】
用户视图
【参数】
alg:打开应用协议地址转换信息开关。
event:打开地址转换事件调试信息开关。
packet:打开地址转换数据包调试信息开关。
interface:打开指定接口的地址转换数据包调试信息开关。
【描述】
debugging nat命令用来打开NAT信息调试开关,undo debugging nat命令用来关闭NAT信息调试开关。
【举例】
# 打开地址转换的事件调试信息开关。
<H3C> debugging nat event
【命令】
display nat { address-group | aging-time | all | outbound | server | statistics | session [ source { global global-addr | inside inside-addr } ]
【视图】
【参数】
address-group:表示显示地址池的信息。
aging-time:显示地址转换连接的有效时间。
all:表示显示所有的关于地址转换的信息。
outbound:表示显示配置的地址转换的信息。
server:表示显示内部服务器的信息。
statistics:显示当前的地址转换记录统计数据。
session:表示显示当前激活的连接信息。
source global global-addr:只显示NAT转换后地址为global-addr的转换表项。
source inside inside-addr:只显示内部地址为inside-addr的NAT转换表项。
【描述】
display nat命令显示用户对地址转换的配置,用户可以根据该命令的输出信息验证地址转换的配置是否正确。
【举例】
# 显示所有的关于地址转换的信息。
<H3C> display nat all
NAT address-group Information:
1: from 11.1.1.1 to 11.1.1.20
2: from 22.1.1.1 to 22.1.1.20
NAT outbound information:
GigabitEthernet1/0: acl(2011)-NAT address-group(1) [no-pat]
GigabitEthernet1/0: acl(2022)-NAT address-group(2) [no-pat]
Server in private network information:
Interface GlobalAddr GlobalPort InsideAddr InsidePort Pro
GigabitEthernet1/0 201.119.11.3 8080 5.5.5.5 80(www) 6(tcp)
GigabitEthernet1/0 201.119.11.3 2121 5.5.5.5 21(ftp) 6(tcp)
NAT aging-time value information:
tcp ---- aging-time value is 86400 (seconds)
udp ---- aging-time value is 300 (seconds)
icmp ---- aging-time value is 60 (seconds)
pptp ---- aging-time value is 86400 (seconds)
dns ---- aging-time value is 60 (seconds)
tcp-fin ---- aging-time value is 60 (seconds)
tcp-syn ---- aging-time value is 60 (seconds)
ftp-ctrl ---- aging-time value is 7200 (seconds)
ftp-data ---- aging-time value is 300 (seconds)
如上信息表示:
配置了两个地址池:1、2地址范围分别是11.1.1.1到11.1.1.20和22.1.1.1到22.1.1.20。
在GigabitEthernet 1/0配置了2个地址转换关联:ACL规则2011与地址池1关联,进行一对一方式的地址转换;ACL规则2022与地址池2关联,进行一对一方式的地址转换。
在GigabitEthernet1/0配置了2个内部服务器。http://202.119.11.3:8080的www服务器,内部地址是5.5.5.5。ftp://202.119.11.3:2121的ftp服务器,内部的地址是5.5.5.5。
# 显示NAT的转换信息。
<H3C> display nat session
There are currently 40001 NAT sessions:
Protocol GlobalAddr Port InsideAddr Port DestAddr Port
- 192.168.100.10 --- 192.168.1.5 --- --- ---
status: NOPAT, TTL: 00:04:00, Left: 00:04:00
6 192.168.100.10 1024 192.168.1.5 1024 192.168.100.1 1025
status: NOPAT, TTL: 00:01:00, Left: 00:00:59
6 192.168.100.10 2048 192.168.1.5 2048 192.168.100.1 2049
status: NOPAT, TTL: 00:01:00, Left: 00:01:00
6 192.168.100.10 1025 192.168.1.5 1025 192.168.100.1 1026
status: NOPAT, TTL: 00:01:00, Left: 00:00:59
& 说明:
当使用No-PAT转换方式时,通过display nat session命令查看NAT表项时,针对每个内网地址发起的多个连接转换,相应的会有多个No-PAT表项,如以上显示信息所示。这样保证了只有从内网向外网发起的连接才会被转换,对于由外网发起的连接将不被转换,提高了网络安全性。
【命令】
nat address-group group-number start-addr end-addr
undo nat address-group group-number
【视图】
系统视图
【参数】
group-number:地址池的编号,范围为0~31的整数。
end-addr:地址池的结束IP地址。
【描述】
nat address-group命令用来配置地址池,undo nat address-group命令用来删除地址池。
地址池表示了一些外部IP地址的集合,如果start-addr和end-addr相同,表示只有一个地址。
注意:
l 地址池长度(地址池中包含的所有地址个数)不能超过255个地址。
l 当某个地址池已经和某个访问控制列表关联进行地址转换,是不允许删除这个地址池的。
【举例】
# 配置一个从202.110.10.10 到 202.110.10.15的地址池,地址池号为1。
[H3C] nat address-group 1 202.110.10.10 202.110.10.15
【命令】
nat aging-time { default | { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } seconds }
【视图】
系统视图
【参数】
default:设置地址转换有效时间为系统缺省默认值。
dns:DNS协议地址转换有效时间,缺省为60秒。
ftp-ctrl:FTP协议控制链路地址转换有效时间,缺省为7200秒。
ftp-data:FTP协议数据链路地址转换有效时间,缺省为300秒。
icmp:ICMP协议地址转换有效时间,缺省为60秒。
pptp:PPTP协议地址转换有效时间,缺省为86400秒。
tcp:TCP协议地址转换有效时间,缺省为86400秒。
tcp-fin:TCP协议FIN或RST连接地址转换有效时间,缺省为60秒。
tcp-syn:TCP协议SYN连接地址转换有效时间,缺省为60秒。
udp:UDP地址转换有效时间,缺省为300秒。
seconds:为一个时间值,单位为秒,取值范围为10~86400(即24小时)。
【描述】
nat aging-time命令用来设置地址转换连接的有效时间。
该命令设置地址转换连接的有效时间,针对不同的协议类型设定不同的时间。单位为秒。ALG的默认老化时间和对应的应用有关,同时为防止攻击,首包老化时间设置为5秒。
【举例】
# 设定TCP协议的连接有效时间为240秒。
【命令】
nat alg { dns | ftp | h323 | ils | msn | nbt | pptp }
undo nat alg { dns | ftp | h323 | ils | msn | nbt | pptp }
【视图】
系统视图
【参数】
dns:支持DNS协议。
ftp:支持FTP协议。
h323:支持H.323协议。
ils:支持ILS协议。
msn:支持MSN协议。
nbt:支持NBT协议。
pptp:支持PPTP协议。
【描述】
nat alg命令用来使能地址转换应用层网关功能,undo nat alg命令用来禁用地址转换应用层网关功能。
缺省情况下,使能地址转换应用层网关功能。
【举例】
# 使能地址转换应用层网关功能,使NAT支持FTP应用。
[H3C] nat alg ftp
【命令】
nat dns-map domain-name global-addr global-port [ tcp | udp ]
undo nat dns-map domain-name
【视图】
系统视图
【参数】
domain-name:可被外部DNS服务器正确解析的合法域名。
global-addr:提供给外部网络访问的IP地址(一个合法的IP地址)。
global-port:提供给外部网络访问的服务的端口号。
tcp:表示IP协议承载的协议类型是TCP。
udp:表示IP协议承载的协议类型是UDP。
【描述】
nat dns-map命令用来配置一条域名到外部IP地址、端口号、协议类型的映射,undo nat dns-map命令用来删除一条域名到外部IP地址、端口号、协议类型的映射。
此命令用于配置内部服务器的“域名-外部IP地址、端口、协议类型”的映射,使内部主机在内部无DNS服务器的情况下,可以使用不同的域名区别并访问对应的内部服务器。
缺省情况下,未配置此类映射,此时内部主机的域名请求被外部DNS服务器解析得到外部IP地址后,只能映射到一台内部服务器上,无法实现内部主机使用不同的域名区别并访问其对应的内部服务器的功能。
最多允许配置16条映射。
【举例】
# 配置一条域名到外部IP地址、端口号、协议类型的映射。
[H3C] nat dns-map www.abc.com 202.112.0.1 80 tcp
【命令】
nat outbound acl-number [ address-group group-number [ no-pat ] ]
undo nat outbound acl-number [ address-group group-number [ no-pat ] ]
【视图】
接口视图
【参数】
address-group:表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即easy-ip特性。
no-pat:表示使用一对一的地址转换,只转换数据包的地址而不使用端口信息。
acl-number:访问控制列表的索引值,范围为2000~3999(可以使用高级ACL)。
group-number:一个已经定义的地址池的编号。
【描述】
nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来,表示acl-number中规定的地址可以使用地址池group-number进行地址转换,undo nat outbound命令用来删除相应的地址转换。
通过配置访问控制列表和地址池的关联,将符合访问控制列表中的数据报文的源地址进行地址转换,选用地址池中的某个地址或者直接使用接口的IP地址进行转换。可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况应该是和ISP连接,是内部网络的出口。
该命令如果不带address-group参数,即使用nat outbound acl-number命令,则实现了easy-ip的特性,地址转换时,使用接口的IP地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。
当直接使用接口地址作为NAT转换后的公网地址时,若修改了接口地址应该首先使用reset nat session命令清除原NAT地址映射表项,然后再访问外部网络;否则就会出现原有NAT表项不能自动删除,也无法使用reset nat session命令删除的情况。
【举例】
# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10 到202.110.10.12之间的地址作为转换后的地址。假设GigabitEthernet1/0口连接ISP。
[H3C] acl number 2001
[H3C-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[H3C-acl-basic-2001] rule deny
# 配置地址池。
[H3C] nat address-group 1 202.110.10.10 202.110.10.12
# 允许地址转换,使用地址池1中的地址进行地址转换。在转换的时候使用TCP/UDP的端口信息,使用如下配置。
[H3C-GigabitEthernet1/0] nat outbound 2001 address-group 1
# 删除对应配置。
[H3C-GigabitEthernet1/0] undo outbound 2001 address-group 1
# 如果使用一对一的地址转换(不使用TCP/UDP的端口信息进行地址转换),可以使用如下配置。
[H3C-GigabitEthernet1/0] nat outbound 2001 address-group 1 no-pat
# 删除对应配置。
[H3C-GigabitEthernet1/0] undo nat outbound 2001 address-group 1 no-pat
# 如果直接使用GigabitEthernet1/0口的IP地址,可以使用如下的配置。
[H3C-GigabitEthernet1/0] nat outbound 2001
# 删除对应配置。
[H3C-GigabitEthernet1/0] undo nat outbound 2001
【命令】
nat outbound acl-number interface interface-type interface-number
undo nat outbound acl-number interface interface-type interface-number
【视图】
接口视图
【参数】
acl-number:访问控制列表的索引值,范围为2000~3999。
interface interface-type interface-number:指定接口类型及接口号,目前只支持指定loopback接口。
【描述】
nat outbound interface命令将一个访问控制列表ACL和一个指定接口关联起来,并用使用指定接口地址作为转换后的地址,即将匹配访问控制列表的数据报文的源地址转换为指定接口的IP地址。undo nat outbound interface命令用来删除访问控制列表和其他接口地址关联,即取消地址转换。
目前仅支持使用指定的loopback接口地址作为转换后的地址。
【举例】
# 使用loopback0接口地址作为转换后地址
[H3C] interface loopback0
[H3C-LoopBack0] ip address 202.38.160.106 32
[H3C-LoopBack0] quit
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.110.12.0 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface gigabitethernet 3/0
[H3C-GigabitEthernet3/0] nat outbound 2000 interface loopback 0
【命令】
nat outbound static
undo nat outbound static
【视图】
接口视图
【参数】
无
【描述】
nat outbound static用来使nat static命令配置的NAT静态转换表项在接口上生效。undo nat outbound static命令用来禁止在接口上配置的NAT静态转换表项生效。
【举例】
# 配置使GigabitEthernet1/0接口上的NAT静态转换表项生效。
[H3C-GigabitEthernet1/0] nat outbound static
【命令】
nat overlapaddress number overlappool-startaddress temppool-startaddress { pool-length pool-length | address-mask mask }
undo nat overlapaddress number
【视图】
系统视图
【参数】
number:地址池对序号,取值范围为0~7。
overlappool-startaddress:重叠地址池起始地址,各重叠地址池的地址不能有交集。
temppool-startaddress:临时地址池起始地址,各临时地址池的地址不能有交集。临时地址池里面的地址应该与内网及外网地址都不重叠。建议选择私网地址段,避免与公网地址重叠。
pool-length:地址池长度,以十进制表示。相互关联的重叠地址池与临时地址池长度相等,地址一一对应。
mask:地址池对应的子网掩码。
【描述】
nat overlapaddress命令用于配置一个重叠地址池到一个临时地址池的映射。undo nat overlapaddress命令用于取消已配置的映射。
& 说明:
重叠地址池与临时地址池一一对应,转换规则为:
临时地址 = 临时地址池首地址 + (重叠地址 – 重叠地址池首地址)
重叠地址 = 重叠地址池首地址 + (临时地址 – 临时地址池首地址)
【举例】
# 配置一个从171.69.100.0到192.168.0.0的映射,地址池对编号号为0。
[H3C] nat overlapaddress 0 171.69.100.0 192.168.0.0 address-mask 24
【命令】
nat server [ acl-number ] protocol pro-type global global-addr global-port1 global-port2 inside host-addr1 host-addr2 host-port
nat server [ acl-number ] protocol pro-type global global-addr [ global-port ] inside host-addr [ host-port ]
undo nat server [ acl-number ] protocol pro-type global global-addr global-port1 global-port2 inside host-addr1 host-addr2 host-port
undo nat server [ acl-number ] protocol pro-type global global-addr [ global-port ] inside host-addr [ host-port ]
【视图】
接口视图
【参数】
acl-number:基本访问列表或高级访问列表的编号,范围为2000~3999。
global-addr:提供给外部访问的IP地址(一个合法的IP地址)。
global-port:提供给外部访问的服务的端口号。若忽略的话,将和host-port的值一致。
host-addr:服务器在内部局域网的IP地址。
host-port:服务器提供的服务端口号,范围为0~65535,常用的端口号可以用关键字代替。如:www服务端口为80,同时可以使用www代替。ftp服务端口号为21,同时可以使用ftp代替。如果为零,表示任何类型的服务都提供,可以用any关键字代替。如果没有配置这个参数,则表示是any的情况,相当于global-addr和host-addr之间有一个静态的连接。当host-port是any时候,global-port也必须是any,否则是非法配置。
global-port1、global-port2:通过两个端口指定一个端口范围,和内部的主机的地址范围构成一种对应关系。global-port2必须大于global-port1。
host-addr1、host-addr2:定义一组连续的地址范围,和前面定义的端口范围构成一一对应的关系。host-addr2必须大于host-addr1。该地址范围的数量必须和global-port1、global-port2定义的端口数量相同。
pro-type:表示IP协议承载的协议类型,可以使用协议号,也可用关键字代替。如:icmp(协议号为1)、tcp(协议号为6)、udp(协议号为7)。
【描述】
nat server命令用来定义一个内部服务器的映射表,用户可以通过global-addr和global-port定义的地址端口来访问地址和端口分别为host-addr和host-port的内部服务器。undo nat server命令用来取消映射表。
通过该命令可以配置一些内部网络提供给外部使用的服务器,内部服务器可以位于普通的私网内。例如www、ftp、telnet、pop3、dns等等。
在一个接口下最多可以配置256条内部服务器转换命令,一个接口下最多可以配置4096个内部服务器,系统一共可以最多配置1024个内部服务器转换命令。如果配置端口范围的nat server(即通过配置global-port1、global-port2指定一个端口范围,和内部主机的地址范围构成一种对应关系),则对应配置多少端口,即为多少个内部服务器。
配置该命令的接口应该是和ISP连接的,是内部网络的出口。
【举例】
# 指定局域网内部的WWW服务器的IP地址是10.110.10.10,内部的FTP服务器的IP地址是10.110.10.11,希望外部通过http:// 202.110.10.10:8080可以访问web,通过ftp://202.110.10.10可以连接FTP站点。假设GigabitEthernet1/0和ISP连接。
[H3C-GigabitEthernet1/0] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 www
[H3C-GigabitEthernet1/0] nat server protocol tcp global 202.110.10.10 inside 10.110.10.11 ftp
# 指定一个内部的主机10.110.10.12,希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。
[H3C-GigabitEthernet1/0] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12
# 用以下面命令可以删除WWW服务器。
[H3C-GigabitEthernet1/0] undo nat server protocol tcp global 202.110.10.10 8070 inside 10.110.10.10 www
# 用以下面命令可以删除内部的FTP服务器。
[H3C-GigabitEthernet1/0] undo nat server protocol tcp global 202.110.10.11 8070 inside 10.110.10.11 ftp
# 指定一个外部地址202.110.10.10,从端口1001~1100分别映射主机10.110.10.1~10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1,202.110.10:1002访问10.110.10.2。
[H3C-GigabitEthernet1/0] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet
【命令】
nat static ip-addr1 ip-addr2
undo nat static ip-addr1 ip-addr2
【视图】
系统视图
【参数】
ip-addr1:内部主机私有IP地址。
ip-addr2:全局IP地址。
【描述】
nat static命令用来配置从内部地址到外部地址的一对一转换。undo nat static命令用来删除已经配置的NAT一对一转换。
【举例】
# 配置内部私有IP地址到外部全局IP地址的一对一转换。
[H3C] nat static 192.168.1.1 2.2.2.2
【命令】
nat static net-to-net inside-start-address inside-end-address global global-address mask
undo nat static net-to-net inside-start-address inside-end-address global global-address mask
【视图】
系统视图
【参数】
inside-start-address:指定的静态表项需要转换的内网的起始地址。
inside- end-address:指定的静态表项需要转换的内网的结束地址。
global-address:指定的静态表项转化后的公网的网段地址。
mask:公网网段地址对应的子网掩码。
【描述】
nat static net-to-net命令用来配置网段转换静态表项的信息,使用该静态表项进行NAT转换时,只进行网段地址的转换,而保持主机地址不变。undo nat static net-to-net命令用来删除已经配置的静态表项。
其中global-address可以输入任何的地址,配置的global-address结果会根据输入的mask和掩码的length对输入的global-address进行计算。
nat static net-to-net和nat static配置会创建两种不同的NAT静态表项,在具体的配置中,两种NAT静态表项不存在冲突即可。
缺省情况为没有配置任何静态表项。
【举例】
# 指定静态表项,将10.1.1.1到10.1.1.100保持主机地址不变NAT转换为211.1.1.0网段地址。
[H3C] nat static net-to-net 10.1.1.1 10.1.1.100 global 211.1.1.0 255.255.255.0
【命令】
reset nat { log-entry | session }
【视图】
用户视图
【参数】
log-entry:清除NAT日志缓冲区。
session:清除地址转换表信息。
【描述】
reset nat命令用来清除内存中地址转换的映射表,释放动态分配的用于存放映射表的内存。
【举例】
# 清除NAT日志缓冲区。
<H3C> reset nat log-entry
# 清除地址转换表信息。
<H3C> reset nat session
【命令】
ca identifier name
undo ca identifier
【视图】
PKI域视图
【参数】
name:本设备信任的CA标识符。长度范围为1~63个字符。
【描述】
ca identifier命令用来指定本设备信任的CA,将本设备与名称为name的CA进行绑定。undo ca identifier命令用来删除本设备信任的CA。
缺省情况下,未指定本设备信任的CA。
在未删除该CA之前,该设备证书的申请、获取、撤消及查询均是通过该CA执行。
【举例】
# 指定本设备信任的CA的名称。
[H3C-pki-domain-1] ca identifier new-ca
【命令】
certificate request entity entity-name
undo certificate request entity
【视图】
PKI域视图
【参数】
entity-name:申请证书所用的实体名称,该名称必须与pki entity命令定义的名称保持一致。长度范围为1~15个字符。
【描述】
certificate request entity命令用来指定申请证书所用的实体名称,undo certificate request entity命令用来取消申请证书所用的实体名称。
缺省情况下,未指定设备申请证书所使用的实体名称。
相关命令请参考pki entity。
【举例】
# 指定设备申请证书时使用实体“en”。
[H3C-pki-domain-1] certificate request entity en
【命令】
certificate request from { ca | ra }
undo certificate request from
【视图】
PKI域视图
【参数】
ca:表示实体从CA注册申请证书。
ra:表示实体从RA注册申请证书。
【描述】
certificate request from命令用来为实体指定是通过CA还是RA注册申请证书。undo certificate request from命令用来删除所选定的证书注册受理机构。
RA是CA证书发放管理的延伸,它负责证书申请者的信息录入、审核以及证书发放等工作,但其并无证书的签发功能。在一些小的PKI系统中,RA的职能可由CA来完成,而不设立独立运行的RA。
缺省情况下,未指定本设备证书申请的注册受理机构。PKI安全策略推荐使用RA作为注册审理机构。
【举例】
# 指定实体从CA注册申请证书。
[H3C-pki-domain-1] certificate request from ca
【命令】
certificate request mode { manual | auto [ key-length key-length | password { simple | cipher } password ]* }
undo certificate request mode
【视图】
PKI域视图
【参数】
manual:表示用手工方式申请证书。
auto:表示用自动方式申请证书。
key-length:指定RSA密钥长度,最小长度为512位,最大长度为2048位。
simple:指定密码以明文形式显示。
cipher:指定密码以加密形式显示。
password:指定吊销证书时使用的密码,长度为1~31个字符。
【描述】
certificate request mode命令用来指定证书申请是手工发起,还是自动发起。undo certificate request mode命令用来恢复证书申请方式为缺省值。
如果是自动方式,则在本地没有自己的证书时自动向注册机构进行申请,而且在证书快要过期时自动申请新的证书。如果为手工方式,则需要手工完成各项证书申请工作。
缺省情况下,证书申请为手工方式。
相关命令请参考pki request-certificate。
【举例】
# 指定证书申请为自动发起方式。
[H3C-pki-domain-1] certificate request mode auto
【命令】
certificate request polling { interval minutes | count count }
undo certificate request polling { interval | count }
【视图】
PKI域视图
【参数】
minutes:指定两次查询之间的时间间隔。单位分钟,取值范围为5~168分钟,缺省为20分钟。
count:重试次数。取值范围为1~100,缺省为5。
【描述】
certificate request polling命令用来指定两次状态查询之间的时间间隔以及重传次数。undo certificate request polling命令用来恢复缺省参数。
在发送证书申请后,如果CA采用手工验证申请,会需要很长时间才能发布证书,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书。
相关命令请参考display pki certificate。
【举例】
# 指定两次状态查询之间的时间间隔和查询重试次数。
[H3C-pki-domain-1] certificate request polling interval 15
[H3C-pki-domain-1] certificate request polling count 40
【命令】
certificate request url string
undo certificate request url
【视图】
PKI域视图
【参数】
string:表示证书申请的注册机构服务器位置URL。长度范围为1~127个字符。内容包括服务器位置及CA的CGI命令接口脚本位置,格式为http://server_location /ca_script_location。其中server_location以IP地址表示,目前不支持使用服务器名称表示。
【描述】
certificate request url命令用来指定本设备通过SCEP协议进行证书申请的服务器位置URL,SCEP是专门用于与认证权威机构进行通信的协议。undo certificate request url命令用来删除设置的证书申请的服务器位置。
缺省情况下,未指定证书申请机构的服务器位置URL。
【举例】
# 指定证书申请的服务器位置。
[H3C-pki-domain-1] certificate request url http://169.254.0.100/ certsrv/mscep/mscep.dll
【命令】
crl check disable
undo crl check disable
【视图】
PKI域视图
【参数】
无
【描述】
crl check disable命令用来禁止CRL检查,undo crl check disable命令用来使能CRL检查。
缺省情况下,使能CRL检查。
【举例】
# 禁止CRL检查。
[H3C-pki-domain-1] crl check disable
【命令】
crl update-period hours
undo crl update-period
【视图】
PKI域视图
【参数】
hours:指定更新周期,范围为1~720,单位为“小时”。
【描述】
crl update-period指定CRL的更新周期,CRL的更新周期是指本地从CRL存储服务器上下载CRL的时间间隔。undo crl update-period命令用来恢复CRL更新周期为缺省值。
缺省情况下,更新周期为0小时,根据CRL的有效期进行更新。
【举例】
# 指定CRL的更新周期为20小时。
[H3C-pki-domain-1] crl update-period 20
【命令】
crl url url-string
undo crl url
【视图】
PKI域视图
【参数】
url-string:表示CRL的发布点位置。长度范围为1~127个字符。格式为ldap://server_location,其中server_location以IP地址表示,目前不支持使用服务器名称表示。
【描述】
crl url命令用来设置CRL发布点位置URL。undo crl url命令用来撤消该URL。
缺省情况下,未指定CRL发布点位置URL。
【举例】
# 指定CRL库的URL位置。
[H3C-pki-domain-1] crl url ldap://169.254.0 30
【命令】
ldap-server ip ip-address [ port port-num ] [ version version-number ]
undo ldap-server
【视图】
PKI域视图
【参数】
ip-address:LDAP服务器的IP地址。
port-num:LDAP服务器的端口号。取值范围1~65535,缺省为389。
version-number:LDAP版本号。可取值为2或3,缺省为2。
【描述】
ldap-server ip命令用来设置LDAP服务器地址及端口。undo ldap-server命令用来撤消LDAP服务器地址及端口。
缺省情况下,未指定LDAP服务器的IP地址及端口。
【举例】
# 指定LDAP服务器的位置。
[H3C-pki-domain-1] ldap-server ip 169.254.0 30
【命令】
pki domain name
undo pki domain name
【视图】
系统视图
【参数】
name:该参数为本设备指定PKI域,用于表示本设备是属于哪一个PKI域,供其它命令引用时指定。长度范围为1~15个字符。
【描述】
pki domain命令用来创建PKI域并进入PKI域视图。undo pki domain命令用来删除指定的PKI域。
缺省情况下,未创建PKI域。
【举例】
# 创建并进入PKI域视图。
[H3C] pki domain 1
[H3C-pki-domain-1]
【命令】
root-certificate fingerprint { md5 | sha1 } string
undo root-certificate fingerprint
【视图】
PKI域视图
【参数】
md5:使用MD5指纹。
sha1:使用SHA1指纹。
string:指定所使用的指纹。当选择MD5指纹时,string必须为32个字符,并且以16进制的形式输入;当选择SHA1指纹时,string必须为40个字符,并且以16进制的形式输入。
【描述】
root-certificate fingerprint命令用来配置验证CA根证书时所使用的指纹,undo root-certificate fingerprint命令用来取消配置的指纹。
缺省情况下,未配置验证CA根证书时使用的指纹。
【举例】
# 配置验证CA根证书时使用的MD5指纹。
[H3C-pki-domain-1] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E
# 配置验证CA根证书时使用的SHA1指纹。
[H3C-pki-domain-1] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93
【命令】
fqdn name-str
undo fqdn
【视图】
PKI实体视图
【参数】
name-str:实体的FQDN名。长度范围为1~127个字符。
【描述】
fqdn命令用来指定实体的FQDN名称。undo fqdn命令用来删除实体的FQDN名称。
缺省情况下,未指定实体的FQDN。
FQDN(Fully Qualified Domain Name)是实体在网络中的唯一标识,如Email地址,可被解析为IP地址,一般形式为:user.domain。
【举例】
# 配置实体的FQDN。
[H3C-pki-entity-1] fqdn secpath.myentity.com
【命令】
common-name name-str
undo common-name
【视图】
PKI实体视图
【参数】
name-str:实体的通用名称。长度范围为1~31个字符。
【描述】
common-name命令用来指定实体的通用名。undo common-name命令用来删除实体的通用名。
缺省情况下,未指定实体通用名。
【举例】
# 配置实体的通用名。
[H3C-pki-entity-1] common-name pkisecpath
【命令】
country country-code-str
undo country
【视图】
PKI实体视图
【参数】
country-code-str:2字节国家代码。
【描述】
country命令用来指定实体所属的国家代码,代码用标准的2字符代码。例如,中国为“CN”。undo country命令用来删除实体所属的国家代码。
缺省情况下,未指定实体所属国家代码。
【举例】
# 配置实体所属的国家代码。
[H3C-pki-entity-1] country CN
【命令】
ip ip-address
undo ip
【视图】
PKI实体视图
【参数】
ip-address:实体的IP地址。IP地址为点分十进制形式,如A.B.C.D。
【描述】
ip命令用来指定实体的IP地址。undo ip命令用来删除实体的IP地址。
缺省情况下,未指定实体IP地址。
【举例】
# 配置实体的IP地址。
[H3C-pki-entity-1] ip 161.12.2.3
【命令】
locality locality-str
undo locality
【视图】
PKI实体视图
【参数】
locality-str:地理区域的名称。长度范围为1~31个字符。
【描述】
locality命令用来指定实体所在的地理区域的名称,比如城市名称。undo locality命令用来删除实体所在的地理区域的名称。
缺省情况下,未指定实体所在的地理区域。
【举例】
# 配置实体所在的地理区域的名称。
[H3C-pki-entity-1] locality Beijing
【命令】
organization org-str
undo organization
【视图】
PKI实体视图
【参数】
org-str:组织名称。长度范围为1~31个字符。
【描述】
organization命令用来指定实体所属组织的名称。undo organization命令用来删除实体所属组织的名称。
缺省情况下,未指定实体所属组织。
【举例】
# 配置实体所属组织名称。
[H3C-pki-entity-1] organization h3c
【命令】
organizational-unit org-unit-str
undo organizational-unit
【视图】
PKI实体视图
【参数】
org-unit-str:组织部门的名称。长度范围为1~31个字符。
【描述】
organizational-unit命令用来指定实体所属的组织部门的名称。undo organizational-unit命令用来删除实体所属的组织部门的名称。
缺省情况下,未指定实体所属部门。
【举例】
# 配置实体所属组织部门名称。
[H3C-pki-entity-1] organizational-unit soft plat
【命令】
state state-str
undo state
【视图】
PKI实体视图
【参数】
state-str:州或省的名称。长度范围为1~31个字符。
【描述】
state命令用来指定实体所属的州或省的名称。undo state命令用来删除此配置。
缺省情况下,未指定实体所在州或省。
【举例】
# 配置实体所在省。
[H3C-pki-entity-1] state Beijing
【命令】
pki entity name-str
undo pki entity name-str
【视图】
任意视图
【参数】
name-str:本设备唯一的标识字符串,用于被引用时指定。长度范围为1~15个字符。
【描述】
pki entity命令用来指定PKI实体的名称并进入PKI实体视图,undo pki entity命令用来删除此实体的名称及其名字空间下所有配置。
在PKI实体视图下可配置实体的各种属性值。name-str只是用来方便被其它命令引用,不用于证书的相关字段。
缺省情况下,未指定实体名称。
【举例】
# 进入PKI实体视图。
[H3C] pki entity en
[H3C-pki-entity-en]
【命令】
pki delete-certificate { local | ca } domain domain-name
【视图】
系统视图
【参数】
local:表示删除存储在本地的所有本地证书。
ca:表示删除存储在本地的所有CA证书。
domain-name:指定待删除证书所在的PKI域。
【描述】
pki delete-certificate命令用来删除本地存储的证书。
【举例】
# 删除PKI域“cer”中的本地证书。
[H3C] pki delete-certificate local domain cer
【命令】
pki import-certificate { local | ca } domain domain-name { der | p12 | pem } [ filename filename ]
【视图】
系统视图
【参数】
local:表示本地证书。
ca:表示CA证书。
domain-name:证书所在的PKI域。
der:指定证书文件格式为DER编码。
p12:指定证书文件格式为P12编码。
pem:指定证书文件格式为PEM编码。
filename:证书的文件名,文件名长度为1~127个字符。
【描述】
pki import-certificate命令用来导入已有的CA证书或本地证书。
相关命令请参考pki domain。
【举例】
# 导入CA证书,证书文件格式为PEM编码。
[H3C] pki import-certificate ca domain cer pem
【命令】
pki request-certificate domain domain-name [ password ] [ pkcs10 [ filename filename ] ]
【视图】
系统视图
【参数】
domain-name:是包含证书申请中CA或RA等信息的域名。该名称是使用pki domain命令配置的。
password:在证书撤销时需要提供的密码,可选,长度为1~31个字符。
pkcs10:在终端上显示出BASE64编码的PKCS#10证书请求,该信息可用于带外方式(如电话、磁盘、电子邮件等)的证书请求,可选。
filename:将PKCS#10证书请求保存到名为filename的文件。
【描述】
pki request-certificate命令为已经生成的RSA密钥对通过SCEP协议向CA申请证书。当SCEP出现异常无法正常通信时,可以使用可选参数pkcs10打印出本地的证书请求信息(base64格式),用户保存该信息,并通过带外方式将该信息发送给CA进行证书请求。
此命令不被保存在配置中。
相关命令请参考pki domain。
【举例】
# 手工申请证书,并在终端上显示PKCS#10证书请求。
[H3C] pki request-certificate domain 1 pkcs10
【命令】
pki retrieval-certificate { local | ca } domain domain-name
【视图】
系统视图
【参数】
local:表示下载本地证书。
ca:表示下载CA的证书。
domain-name:是包含证书申请中CA或RA等信息的域名。该域名是使用pki domain命令配置的。
【描述】
pki retrieval-certificate命令用来从证书发布服务器上下载证书。
相关命令请参考pki domain。
【举例】
# 从证书发布服务器上获取证书。
[H3C] pki retrieval-certificate ca domain 1
【命令】
pki retrieval-crl domain domain-name
【视图】
系统视图
【参数】
domain-name:是包含证书申请中CA或RA等信息的域名。该域名是使用pki domain命令配置的。
【描述】
pki retrieval-crl命令用来从CRL发布服务器上获取最新的CRL。下载CRL目的是验证当前证书的合法性。
相关命令请参考pki domain。
【举例】
# 获取CRL。
[H3C] pki retrieval-crl domain 1
【命令】
pki validate-certificate { local | ca } domain domain-name
【视图】
系统视图
【参数】
local:表示验证本地证书。
ca:表示验证CA的证书。
domain-name:指明待验证证书所在的域。该域名是使用pki domain命令配置的。
【描述】
pki validate-certificate命令用来检查一个证书的有效性。证书验证的核心就是检查CA在证书上的签名,并确定证书仍在有效期内,而且未被废除。由于人们相信CA不会发行伪造证书,所以含有它的真实签名的任何证书都可通过验证。
相关命令请参考pki domain。
【举例】
# 验证证书。
[H3C] pki validate-certificate domain 1
【命令】
debugging pki { all | request | retrieval | verify | error }
undo debugging pki { all | request | retrieval | verify | error }
【视图】
用户视图
【参数】
all:打开所有的调试开关。
request:证书申请过程的调试开关。
retrieval:证书获取过程的调试开关。
verify:证书验证过程的调试开关。
error:错误发生的调试开关。
【描述】
debugging pki命令用来打开PKI调试信息开关。undo debugging pki命令用来关闭PKI调试开关。
在设备使用过程中可能会出现意想不到的问题,所以采用调试命令可以进行有选择性的调试信息打印输出,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。
缺省情况下,关闭所有PKI调试开关。
【举例】
# 打开PKI证书操作发生错误时的调试开关。
<H3C> debugging pki error
<H3C> system-view
[H3C] pki delete-certificate ca domain 1
[H3C] pki request-certificate domain 1
Certificate enroll failed!
Cannot get the CA/RA certificate when creating the x509 Request
# 打开PKI证书获取过程的调试开关。
<H3C> debugging pki retrieval
<H3C> system-view
[H3C] pki retrieval-certificate local domain 1
Retrievaling CA/RA certificates. Please wait a while......
We receive 3 certificates.
The trusted CA's finger print is:
MD5 fingerprint:74C9 B71D 406B DDB3 F74A 96BC E05B 40E9
SHA1 fingerprint:770E 2937 4E32 ACD4 4ACC 7CF1 0FF0 6FB8 6C34 E24A
Is the finger print correct?(Y/N):y
Saving the CA/RA certificate to flash.....................Done!
# 打开PKI证书申请过程的调试开关。
<H3C> debugging pki request
<H3C> system-view
[H3C] pki request-certificate 1
Create PKCS#10 request: token seen: CN=pki test
Create PKCS#10 request: CN=pki test added
Create PKCS#10 request: subject dn set to '/CN=pki test'
Certificate Request:
…..
dir_name:certsrv/mscep/mscep.dll
host_name:169.254.0.100
SCEP transaction id: 58D41D0C5A7B1E21C5F4A008B580B1A1
PKCS#7 envelope: creating inner PKCS#7
PKCS#7 envelope: data payload size: 297 bytes
data payload:
….
PKCS#7 envelope: successfully encrypted payload
PKCS#7 envelope: size 667 bytes
PKCS#7 envelope: creating outer PKCS#7
PKCS#7 envelope: signature added successfully
PKCS#7 envelope: adding signed attributes
PKCS#7 envelope: adding string attribute transId
PKCS#7 envelope: adding string attribute messageType
PKCS#7 envelope: adding octet attribute senderNonce
PKCS#7 envelope: PKCS#7 data written successfully
PKCS#7 envelope: applying base64 encoding
PKCS#7 envelope: base64 encoded payload size: 2145 bytes
SCEP send message:IP = 0xa9fe0064
SCEP send message: Server returned status code
Valid response from server
PKCS#7 develope: reading outer PKCS#7
PKCS#7 develope: PKCS#7 payload size: 1872 bytes
PKCS#7 develope: PKCS#7 contains 1276 bytes of enveloped data
PKCS#7 develope: verifying signature
PKCS#7 develope: signature ok
PKCS#7 develope: finding signed attributes
PKCS#7 develope: finding attribute transId
PKCS#7 develope: allocating 32 bytes for attribute
PKCS#7 develope: reply transaction id: 58D41D0C5A7B1E21C5F4A008B580B1A1
PKCS#7 develope: finding attribute messageType
PKCS#7 develope: allocating 1 bytes for attribute
PKCS#7 develope: reply message type is good
PKCS#7 develope: finding attribute senderNonce
PKCS#7 develope: allocating 16 bytes for attribute
PKCS#7 develope: senderNonce in reply: :
a6341944 28d9b544 a4755d9a ba320d35
PKCS#7 develope: finding attribute recipientNonce
PKCS#7 develope: allocating 16 bytes for attribute
PKCS#7 develope: recipientNonce in reply: :
b98da9c3 20b638c5 634f4924 65f804d9
PKCS#7 develope: finding attribute pkiStatus
PKCS#7 develope: allocating 1 bytes for attribute
PKCS#7 develope: pkistatus SUCCESS
PKCS#7 develope: reading inner PKCS#7
PKCS#7 develope: decrypting inner PKCS#7
PKCS#7 develope: PKCS#7 payload size: 1003 bytes
PKI Get the Signed Certificates:
subject: / CN=pki test
issuer: /emailAddress=myca@h3c.com/C=CN/ST=Beijing/L=Beijing/O=hw3c/OU=bjs/
CN=myca
Key usage: general purpose
# 打开PKI证书验证过程的调试开关。
<H3C> debugging pki verify
<H3C> system-view
[H3C] pki validate-certificate local domain 1
Verify certificate......
Serial Number:
101E266A 00000000 006B
Issuer:
emailAddress=myca@h3c.com
C=CN
ST=Beijing
L=Beijing
O=hw3c
OU=bjs
CN=myca
Subject:
C=CN
ST=bei jing
O=hua wei - 3com
CN=pki test
Verify result: ok
表4-1 debuging pki调试信息的域描述
|
域 |
描述 |
|
Create PKCS#10 request |
实体请求信息格式封装成PKCS#10格式 |
|
PKCS#7 envelope |
数据封装为PKCS#7加密格式 |
|
inner PKCS#7 |
PKCS#7数据报文的加密处理 |
|
outer PKCS#7 |
PKCS#7数据报文的签名处理 |
|
PKCS#7 develope |
PKCS#7加密报文解包 |
|
host_name |
注册服务器主机名称 |
|
dir_name |
注册服务器CGI脚本目录 |
|
data payload |
数据载荷 |
|
token seen |
实体DN信息 |
|
pkistatus |
PKI证书操作状态 |
|
SUCCESS |
成功 |
|
FAILURE |
失败 |
|
PENDING |
等待处理 |
|
fingerprint |
指纹,一般指CA的签名 |
|
base64 encoded |
一种数据编码方式 |
|
x509 Request |
X509证书请求(证书格式为X509标准) |
|
Key usage |
密钥用途(一般为加密、签名和通用) |
|
Issuer |
证书颁发者 |
|
Subject |
证书请求实体 |
|
SCEP send message |
实体通过SCEP协议向CA发出证书操作报文 |
|
Signed Certificates |
经CA签名的证书 |
【命令】
display pki certificate { { local | ca } domain domain-name | request-status }
【视图】
任意视图
【参数】
local:表示显示本地的证书。
ca:表示显示CA的证书。
request-status:表示显示证书申请后的状态。
domain-name:指明待验证证书所在的域。该域名是使用pki domain命令配置的,可选。
【描述】
display pki certificate命令用来显示和查看证书的内容。
相关命令请参考pki retrieval-certificate、pki domain、certificate request polling。
【举例】
# 显示本地证书。
[H3C] display pki certificate local domain 1
Data:
Version: 3 (0x2)
Serial Number:
10B7D4E3 00010000 0086
Signature Algorithm: md5WithRSAEncryption
Issuer:
emailAddress=myca@h3c.com
C=CN
ST=Beijing
L=Beijing
O=hw3c
OU=bjs
CN=new-ca
Validity
Not Before: Jan 13 08:57:21 2004 GMT
Not After : Jan 20 09:07:21 2005 GMT
Subject:
C=CN
ST=beijing
L=beijing
CN=pki test
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (512 bit)
Modulus (512 bit):
00D41D1F …
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:hyf.h3c-3com.com
… …
Signature Algorithm: md5WithRSAEncryption
A3A5A447 4D08387D …
|
域 |
描述 |
|
Version |
证书版本号 |
|
Serial Number |
证书序列号 |
|
Signature Algorithm |
签名算法 |
|
Issuer |
证书颁发者 |
|
Validity |
证书有效期 |
|
Subject |
证书申请实体 |
|
Subject Public Key Info |
申请实体公钥信息 |
|
X509v3 extensions |
X509(版本3)格式证书扩展属性 |
|
X509v3 CRL Distribution Points |
X509(版本3)格式CRL发布点 |
【命令】
display pki crl domain domain-name
【视图】
任意视图
【参数】
domain-name:指明待验证证书所在的域。该域名是使用pki domain命令配置的,可选。
【描述】
display pki crl命令用来显示和查看存储在本地的CRL。
相关命令请参考pki retrieval-crl,pki domain。
【举例】
# 显示CRL。
[H3C] display pki crl domain 1
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer:
C=CN
O=h3c
OU=soft
CN=A Test Root
Last Update: Jan 5 08:44:19 2004 GMT
Next Update: Jan 5 21:42:13 2004 GMT
CRL extensions:
X509v3 CRL Number: 2
X509v3 Authority Key Identifier:
keyid:0F71448E E075CAB8 ADDB3A12 0B747387 45D612EC
Revoked Certificates:
Serial Number: 05a234448E…
Revocation Date: Sep 6 12:33:22 2004 GMT
CRL entry extensions:……
Serial Number: 05a278445E…
Revocation Date: Sep 7 12:33:22 2004 GMT
CRL entry extensions:…
表4-3 CRL显示的内容描述
|
域 |
描述 |
|
Version |
CRL版本号 |
|
Signature Algorithm |
CRL采用的签名算法 |
|
Issuer |
颁发该CRL的CA |
|
Last Update |
上次更新时间 |
|
Next Update |
下次更新时间 |
|
CRL extensions |
CRL扩展属性 |
|
CRL Number |
CRL列表中撤消证书的数量 |
|
Authority Key Identifier |
发布该无效证书(即CRL)的CA |
|
Revoked Certificates |
撤销的证书 |
|
Serial Number |
撤销证书的序列号 |
|
Revocation Date |
撤销日期 |
【命令】
debugging firewall packet-filter { { all | icmp | tcp | udp | fragments-inspect | others } [ interface type number ] | denied | permitted }
undo debugging firewall packet-filter { { all | icmp | tcp | udp | fragments-inspect | others } [ interface type number ] | denied | permitted }
【视图】
用户视图
【参数】
all:有关全部的调试信息。
icmp:有关ICMP包过滤的调试信息。
tcp:有关TCP包过滤的调试信息。
udp:有关UDP包过滤的调试信息。
fragments-inspect:有关分片报文调试信息。
others:除了ICMP、TCP、UDP外其它所有类型的报文调试信息。
interface type number:经过该接口的相应数据包的调试信息,没有这个参数时,表示显示所有接口的调试信息。
denied:有关被禁止的数据包的调试信息。
permitted:有关被允许的数据包的调试信息。
【描述】
debugging firewall packet-filter命令用来打开防火墙包过滤调试信息开关, undo debugging firewall packet-filter命令用来关闭防火墙包过滤调试信息开关。
缺省设置是关闭包过滤防火墙全部调试信息开关。
相关配置可参考命令display debugging。
【举例】
# 打开有关UDP包过滤的调试信息。
<H3C> debugging firewall packet-filter udp
【命令】
debugging firewall packet-filter fragments-inspect events
undo debugging firewall packet-filter fragments-inspect events
【视图】
用户视图
【参数】
无
【描述】
debugging firewall packet-filter fragments-inspect events命令用来打开分片报文的检测事件信息的调试开关,undo debugging firewall packet-filter fragments-inspect events命令用来关闭分片报文的检测事件信息的调试开关。
缺省情况下,关闭分片报文的检测事件信息的调试开关。
【举例】
# 打开分片报文的检测事件信息的调试开关。
<H3C> debugging firewall packet-filter fragments-inspect events
【命令】
display firewall fragment
【视图】
任意视图
【参数】
无
【描述】
display firewall fragment命令用来显示防火墙的分片表。
【举例】
# 显示防火墙的分片表。
<H3C> display firewall fragment
【命令】
display firewall packet-filter statistics { all | interface type number | fragments-inspect }
【视图】
任意视图
【参数】
all:表示显示所有接口的过滤报文统计信息。
interface type number:接口类型及接口号,表示显示某接口的过滤报文统计信息。
fragments-inspect:显示分片报文检测统计信息。
【描述】
display firewall packet-filter statistics命令用来显示包过滤防火墙的统计信息。
【举例】
# 显示分片报文检测信息。
[H3C] display firewall packet-filter statistics fragments-inspect
Fragments inspection is enabled.
The high-watermark for clamping is 10000.
The low-watermark for clamping is 1000.
Current records for fragments inspection is 0.
【命令】
firewall packet-filter default { permit | deny }
【视图】
系统视图
【参数】
permit:默认过滤规则为允许。
deny:默认过滤规则为禁止。
【描述】
firewall packet-filter default命令用来设置包过滤防火墙的缺省过滤方式为“允许”或“禁止”。
系统缺省为允许任何报文通过。
【举例】
# 设置防火墙缺省过滤规则为允许。
[H3C] firewall packet-filter default permit
【命令】
firewall packet-filter enable
undo firewall packet-filter enable
【视图】
系统视图
【参数】
无
【描述】
firewall packet-filter enable命令用来启用包过滤防火墙功能,命令undo firewall packet-filter enable用来关闭包过滤防火墙功能。
缺省情况下,禁止包过滤防火墙功能。
【举例】
# 禁止防火墙包过滤防火墙功能。
[H3C] undo firewall packet-filter enable
【命令】
firewall packet-filter fragments-inspect
undo firewall packet-filter fragments-inspect
【视图】
系统视图
【参数】
无
【描述】
firewall packet-filter fragments-inspect命令用来打开分片报文检测开关,undo firewall packet-filter fragments-inspect命令用来关闭分片报文检测开关。
缺省情况下,分片检测开关为关闭。
此命令是实现精确匹配的前提。只有打开分片检测开关,才能进行分片报文的精确匹配。这时,包过滤防火墙将记录分片报文的状态,根据高级ACL规则对三层(IP层)以外的信息进行精确匹配。
包过滤防火墙对分片报文的状态记录需要消耗系统资源。如果不使用精确匹配模式,则可以关闭此功能,以提高系统运行效率,减小系统开销。
只有打开了分片报文检测开关,精确匹配模式才能真正有效。
相关配置可参考命令firewall packet-filter(接口视图)。
【举例】
# 打开分片检测开关。
[H3C] firewall packet-filter fragments-inspect
【命令】
firewall packet-filter fragments-inspect { high | low } { default | number }
undo firewall packet-filter fragments-inspect { high | low }
【视图】
系统视图
【参数】
high number:指定上限分片状态记录数目,取值范围是100~10000。
low number:指定下限分片状态记录数目,取值范围是100~10000。
default:记录分片状态的缺省数目。上限分片状态记录数目(high)缺省值为2000。下限分片状态记录数目(low)缺省值为1500。
【描述】
firewall packet-filter fragments-inspect { high | low }命令用来配置分片报文检测的上、下门限值,undo firewall packet-filter fragments-inspect { high | low }命令用来恢复上、下门限值为缺省值。
如果打开分片检测开关,应用精确匹配过滤后,包过滤的执行效率会略微降低,配置的匹配项目越多,效率降低越多。因此,需要设定门限值(最大允许上、下限域值)。当记录状态数达到上限时,将删除最先保存的状态项直至下限值。
下限值必须小于或等于上限值。
相关配置可参考命令display firewall packet-filter statistics fragments-inspect,firewall packet-filter fragments-inspect。
【举例】
# 配置检测上限3000,下限为缺省值。
[H3C] firewall packet-filter fragments-inspect high 3000
[H3C] firewall packet-filter fragments-inspect low default
【命令】
firewall packet-filter acl-number { inbound | outbound } [ match-fragments { normally | exactly } ]
undo firewall packet-filter acl-number { inbound | outbound }
【视图】
接口视图
【参数】
acl-number:ACL的序号。
inbound:过滤从接口收到的数据包。
outbound:过滤从接口发送的数据包。
match-fragments:指定分片的匹配模式,只有高级访问控制列表有此参数。
normally:标准匹配模式,此模式为缺省模式,只有高级访问控制列表有此参数。
exactly:精确匹配模式,只有高级访问控制列表有此参数。
【描述】
firewall packet-filter命令用来将访问控制列表应用到相应的接口上,undo firewall packet-filter命令用来删除相应的设置。
基于接口的访问控制列表(即序号为1000到1999的ACL)只能用参数outbound。
Comware平台的包过滤提供了对分片报文过滤的功能,可以对所有的分片报文进行三层(IP层)的匹配过滤(例如基于源、目的IP地址);同时,对于包含扩展信息的高级ACL规则(例如包含TCP/UDP端口号,ICMP类型等),提供标准匹配和精确匹配两种匹配方式。标准匹配即三层信息的匹配,匹配将忽略三层以外的信息;精确匹配则对所有的高级ACL的过滤规则进行匹配,这就要求防火墙必须记录首片分片报文的状态以获得完整的后续分片的匹配信息。若使用精确匹配,则必须在相应的接口使用undo ip fast-forwarding命令关闭快速转发功能。
缺省的模式为标准匹配方式。
相关配置可参考命令acl,display acl,firewall packet-filter fragments-inspect。
【举例】
# 在接口GigabitEthernet2/0应用访问控制列表1001,过滤接口发送的报文。
[H3C-GigabitEthernet2/0] firewall packet-filter 1001 outbound
【命令】
reset firewall packet-filter statistics { all | interface type number }
【视图】
用户视图
【参数】
all:表示清除所有接口的过滤报文统计信息。
interface:表示清除某接口的过滤报文统计信息。
type number:接口类型及接口号。
【描述】
reset firewall packet-filter statistics命令用来清除包过滤防火墙的统计信息。
【举例】
# 清除接口GigabitEthernet2/0的接口过滤报文统计信息。
<H3C> reset firewall packet-filter statistics interface gigabitethernet 2/0
【命令】
aging-time { syn | fin | tcp | udp } seconds
undo aging-time { syn | fin | tcp | udp }
【视图】
ASPF策略视图
【参数】
seconds:用于指定在检测到SYN和FIN报文或者TCP和UDP协议时,会话表项的空闲超时时间。
【描述】
aging-time命令用来配置TCP的SYN状态等待超时值、FIN状态等待超时值,以及TCP和UDP会话表项空闲状态超时值,undo aging-time命令用来恢复超时缺省值。
在超时时间以内,系统会保留所建立的连接和会话。
缺省情况下,SYN、FIN、TCP、UDP的超时时间分别为30s、30s、3600s和30s。
相关配置可参考命令display aspf all,display aspf policy,display aspf session,display aspf interface。
【举例】
# 配置TCP的SYN状态等待时间超时值为20秒。
[H3C-aspf-policy-1] aging-time syn 20
# 配置TCP的FIN状态等待时间超时值为10秒。
[H3C-aspf-policy-1] aging-time fin 10
# 配置TCP空闲时间超时值为3000秒。
[H3C-aspf-policy-1] aging-time tcp 3000
# 设置UDP空闲超时值为110秒。
[H3C-aspf-policy-1] aging-time udp 110
【命令】
aspf-policy aspf-policy-number
undo aspf-policy aspf-policy-number
【视图】
系统视图
【参数】
aspf-policy-number:ASPF策略号,范围为1~99。
【描述】
命令aspf-policy用来定义一个ASPF策略。对于一个已定义的ASPF策略,可通过策略号对该策略进行引用。
【举例】
# 定义一个ASPF策略,并进入该ASPF策略视图。
[H3C] aspf-policy 1
[H3C-aspf-policy-1]
【命令】
debugging aspf { all | verbose | events | ftp | h323 | rtsp | session | smtp | tcp | timers | udp }
undo debugging aspf { all | verbose | events | ftp | h323 | rtsp | session | smtp | tcp | timers | udp }
【视图】
用户视图
【参数】
all:所有ASPF调试开关。
verbose:详细功能调试开关。
events:事件调试开关。
ftp:FTP检测信息调试开关。
h323:H.323检测信息调试开关。
rtsp:RTSP检测信息调试开关。
session:会话信息调试开关。
smtp:SMTP检测信息调试开关。
tcp:TCP检测信息调试开关。
timers:计时器信息调试开关。
udp:UDP检测信息调试开关。
【描述】
debugging aspf命令用来打开ASPF调试信息开关,undo debugging aspf命令用来关闭ASPF调试信息开关。
缺省情况下,关闭ASPF全部调试信息开关。
相关配置可参考命令display aspf all,display aspf policy,display aspf session,display aspf interface。
【举例】
# 打开ASPF所有的调试开关。
<H3C> debugging aspf all
【命令】
debugging aspf http [ java-blocking { all | error | event | filter | packet } ]
undo debugging aspf http [ java-blocking { all | error | event | filter | packet } ]
【视图】
用户视图
【参数】
java-blocking:Java Applet阻断调试开关。
all:所有调试功能。
error:错误调试功能。
event:事件调试功能。
filter:过滤调试功能。
packet:报文调试功能。
【描述】
debugging aspf http命令用来打开HTTP检测调试开关,undo debugging aspf http命令用来关闭HTTP检测调试开关。
缺省情况下,未打开HTTP检测调试开关。
【举例】
# 打开HTTP检测调试开关,并打开Java Applet阻断功能的所有调试开关。
<H3C> debugging aspf http java-blocking all
【命令】
detect protocol [ aging-time seconds ]
undo detect protocol
【视图】
ASPF策略视图
【参数】
protocol:ASPF支持的协议名称。应用层协议包括:FTP、HTTP、H323、SMTP、RTSP;传输层协议包括:TCP、UDP。
seconds:配置协议空闲的超时时间,取值范围是5~43200秒,应用层协议的超时时间缺省值为3600秒。基于TCP协议的超时时间缺省值为3600秒;基于UDP协议的超时时间缺省值为30秒。
【描述】
detect命令用来为应用层协议指定ASPF策略,undo detect命令用来取消所做的配置。
当协议类型为HTTP时,允许Java Applet阻断。
如果同时配置了应用层协议检测和通用TCP/UDP检测,应用层协议检测优先于通用TCP/UDP检测。
ASPF使用超时时间去管理协议的会话状态信息,以便决定何时终结一个会话状态信息的管理或删除一个不能正常建立的会话。设置超时时间是一个全局的配置,适用于所有的会话,可以保护系统资源不被恶意占用。
相关配置可参考命令display aspf all,display aspf policy,display aspf session,display aspf interface。
【举例】
# 配置对FTP协议指定ASPF策略,策略号为1。
[H3C] aspf-policy 1
[H3C-aspf-policy-1] detect ftp
【命令】
detect http [ java-blocking [ acl-number1 ]] [ aging-time seconds ]
undo detect http [ java-blocking ]
【视图】
ASPF策略视图
【参数】
java-blocking:阻断Java Applet。
acl-number1:基本访问控制列表(ACL)号,取值范围是2000~2999。若不指定,则表示阻断所有的Jave Applet。
seconds:配置协议空闲的超时时间,取值范围是5~43200秒,应用层协议的超时时间缺省值为3600秒。基于TCP协议的超时时间缺省值为3600秒;基于UDP协议的超时时间缺省值为30秒。
【描述】
detect http命令用来配置检测HTTP协议,并且可以配置对Jave Applet进行阻断。undo detect http命令用来取消检测HTTP。
缺省情况下,不对HTTP进行检测。
【举例】
# 配置ASPF策略,检测HTTP,并阻断所有来自服务器10.1.1.1的Java Applet。
[H3C] acl number 2000
[H3C-acl-basic-2000] rule deny source 10.1.1.1 0
[H3C-acl-basic-2000] rule permit source any
[H3C-acl-basic-2000] quit
[H3C] aspf-policy 1
[H3C-aspf-policy-1] detect http java-blocking 2000
【命令】
display aspf all
【视图】
任意视图
【参数】
无
【描述】
display aspf all命令用来显示所有的ASPF策略和会话信息。
【举例】
# 下面是display aspf all命令的输出信息。
[H3C] display aspf all
[ASPF Policy Configuration]
Policy Number 1:
Log: disable
SYN timeout: 30 s
FIN timeout: 30 s
TCP timeout: 3600 s
UDP timeout: 30 s
Detect Protocols:
h323 timeout 3600
rtsp timeout 3600
http timeout 3600
smtp timeout 3600
ftp timeout 3600
tcp timeout 3600
udp timeout 30
[Interface Configuration]
Interface InboundPolicy OutboundPolicy
---------------------------------------------------------------
GigabitEthernet1/0 none 1
表5-1 ASPF配置信息显示描述表
|
域名 |
描述 |
|
Log |
表示是否开会话日志功能 |
|
SYN timeout |
TCP连接的SYN状态超时值为30秒 |
|
FIN timeout |
TCP连接的FIN状态超时值为5秒 |
|
TCP timeout |
TCP会话的空闲时间超时值为3600秒 |
|
UDP timeout |
UDP会话的空闲时间超时值为30秒 |
|
Detect Protocols |
ASPF策略所检测的协议 |
|
InboundPolicy |
入方向的ASPF策略 |
|
OutboundPolicy |
出方向的ASPF策略 |
【命令】
display aspf interface
【视图】
任意视图
【参数】
无
【描述】
display aspf interface命令用来显示接口上配置的ASPF策略。
【举例】
# 下面是display aspf interface的输出。
[H3C] display aspf interface
[Interface Configuration]
Interface InboundPolicy OutboundPolicy
---------------------------------------------------------------
GigabitEthernet1/0 none 1
表5-2 ASPF接口配置信息显示描述表
|
域名 |
描述 |
|
InboundPolicy |
入方向的ASPF策略 |
|
OutboundPolicy |
出方向的ASPF策略 |
【命令】
display aspf policy aspf-policy-number
【视图】
任意视图
【参数】
aspf-policy-number:ASPF策略号,范围为1~99。
【描述】
display aspf policy命令用来显示一个特定ASPF策略。
【举例】
# 显示策略号为1的ASPF策略的配置信息。
[H3C] display aspf policy 1
[ASPF Policy Configuration]
Policy Number 1:
Log: disable
SYN timeout: 30 s
FIN timeout: 30 s
TCP timeout: 3600 s
UDP timeout: 30 s
Detect Protocols:
h323 timeout 3600
rtsp timeout 3600
http timeout 3600
smtp timeout 3600
ftp timeout 3600
tcp timeout 3600
udp timeout 30
以上显示信息中的描述请参见表5-1。
【命令】
display aspf session [ verbose ]
【视图】
任意视图
【参数】
verbose:显示会话表项的详细信息。
【描述】
display aspf session命令用来显示ASPF的会话。
display aspf session命令和display firewall session table命令显示的是两个会话表,这两个会话表的默认老化时间是不同的。对于同一条数据流,有可能在ASPF会话表中仍然存在,而在防火墙会话表中已经老化不存在,反之亦然。
【举例】
# 显示当前ASPF会话的相关信息。
[H3C] display aspf session
[Established Sessions]
Session Initiator Responder Application Status
212BA84 169.254.1.121:1427 169.254.1.52:0 ftp-data TCP_DOWN
2B738C4 169.254.1.121:1426 169.254.1.52:21 ftp FTP_CONXN_UP
# 显示当前ASPF会话的详细信息。
[H3C] display aspf session verbose
[Session 0x256E5B24]
Initiator: 1.1.1.4:1024 Responder: 2.1.1.2:1719
Application protocol: unknown Status: UDP_OPENING
Transport protocol: 17 Port: 1719
Child: 0x0 Parent: 0x0
Interface: GigabitGigabitEthernet1/0 Direction: inbound
Timeout 00:00:30 Time left 00:00:10
Initiator Bytes/Packets sent: 110/1
Responder Bytes/Packets sent: 0/0
Initiator tcp SeqNumber/AckNumber: 0/0
Responder tcp SeqNumber/AckNumber: 0/0
【命令】
display firewall session aging-time
【视图】
任意视图
【参数】
无
【描述】
display firewall session aging-time命令用来显示所有协议的会话超时时间。
相关配置命令请参考firewall session aging-time,firewall session aging-time default。
【举例】
# 显示所有协议的会话超时时间。
[H3C] display firewall session aging-time
Firewall aging-time value information:
tcp ---- aging-time value is 240 (seconds)
udp ---- aging-time value is 40 (seconds)
icmp ---- aging-time value is 20 (seconds)
finrst ---- aging-time value is 10 (seconds)
syn ---- aging-time value is 5 (seconds)
fragment ---- aging-time value is 5 (seconds)
h.323 ---- aging-time value is 600 (seconds)
ftp ---- aging-time value is 600 (seconds)
ras ---- aging-time value is 600 (seconds)
http ---- aging-time value is 240 (seconds)
smtp ---- aging-time value is 40 (seconds)
rtsp ---- aging-time value is 240 (seconds)
telnet ---- aging-time value is 240 (seconds)
netbios ---- aging-time value is 240 (seconds)
【命令】
display firewall session table [ verbose ] [ source ip-address ] [ destination ip-address ]
【视图】
任意视图
【参数】
verbose:显示详细信息。
source ip-address:会话的源IP地址。
destination ip-address:会话的目的IP地址。
【描述】
display firewall session table命令用来显示防火墙的会话表。
display firewall session table命令和display aspf session命令显示的是两个会话表,这两个会话表的默认老化时间是不同的。对于同一条数据流,有可能在ASPF会话表中仍然存在,而在防火墙会话表中已经老化不存在,反之亦然。
【举例】
# 显示防火墙的会话表
[H3C] display firewall session table
Total session number: 12
HTTP:192.168.4.1:80<--192.168.4.8:3391
HTTP:192.168.4.1:80<--192.168.4.8:3392
HTTP:192.168.4.1:80<--192.168.4.8:3387
NBT datagram:192.168.4.255:138<--192.168.4.8:138
HTTP:192.168.4.1:80<--192.168.4.8:3396
NBT name:192.168.4.255:137<--192.168.4.8:137
HTTP:192.168.4.1:80<--192.168.4.8:3389
HTTP:192.168.4.1:80<--192.168.4.8:3398
HTTP:192.168.4.1:80<--192.168.4.8:3397
HTTP:192.168.4.1:80<--192.168.4.8:3393
HTTP:192.168.4.1:80<--192.168.4.8:3390
HTTP:192.168.4.1:80<--192.168.4.8:3395
【命令】
display port-mapping [ application-name | port port-number ]
【视图】
任意视图
【参数】
application-name:指定用于端口映射的应用的名称。可选的应用有:FTP、HTTP、H.323、SMTP、RTSP。
port-number:端口号,范围为0~65535。
【描述】
命令display port-mapping用来显示用户定义的端口映射情况。
相关配置可参考命令port-mapping。
【举例】
# 显示端口映射的所有信息。
[H3C] display port-mapping
SERVICE PORT ACL TYPE
-------------------------------------------------
ftp 21 system defined
smtp 25 system defined
http 80 system defined
rtsp 554 system defined
h323 1720 system defined
【命令】
firewall aspf aspf-policy-number { inbound | outbound }
undo firewall aspf aspf-policy-number { inbound | outbound }
【视图】
接口视图
【参数】
aspf-policy-number:在接口上使用的ASPF策略号。
inbound:对接口的入方向的报文应用ASPF策略。
outbound:对接口的出方向的报文应用ASPF策略。
【描述】
firewall aspf命令用来在一个接口的指定方向上应用ASPF策略,undo firewall aspf命令用来删除该接口的指定方向上应用的ASPF策略。
对ASPF策略,有两个概念:内部接口和外部接口。如果路由器连接了内部网和Internet,并且路由器要通过部署ASPF来保护内部网的服务器,则路由器上与内部网连接的接口就是内部接口,与Internet相连的接口就是外部接口。
【举例】
# 接口GigabitEthernet2/0的出方向上配置ASPF防火墙功能。
[H3C-GigabitEthernet2/0] firewall aspf 1 outbound
【命令】
firewall session aging-time { fin-rst | fragment | ftp | h323 | http | icmp | netbios | ras | rtsp | smtp | syn | tcp | telnet | udp } { default | seconds }
【视图】
系统视图
【参数】
default:设置协议的超时时间为缺省值。
seconds:协议的超时时间,单位为“秒”。
各种协议的缺省超时时间如下:
fin-rst:10秒
fragment:5秒
ftp:600秒
h323:600秒
http:240秒
icmp:20秒
netbios:240秒
ras:600秒
rtsp:240秒
smtp:40秒
syn:5秒
tcp:240秒
telnet:240秒
udp:40秒
【描述】
firewall session aging-time命令用来设置各种协议的会话表的超时时间。
相关配置命令请参考firewall session aging-time default,display firewall session aging-time。
【举例】
# 设置http协议的超时时间为1200秒。
[H3C] firewall session aging-time http 1200
【命令】
firewall session aging-time default
【视图】
系统视图
【参数】
无
【描述】
firewall session aging-time default命令用来将所有协议的超时时间恢复到缺省值。
相关配置命令请参考firewall session aging-time,display firewall session aging-time。
【举例】
# 设置所有协议的超时时间为缺省值。
[H3C] firewall session aging-time default
【命令】
log enable
undo log enable
【视图】
ASPF策略视图
【描述】
log enable命令用来使能ASPF的会话日志功能, undo log enable命令用来关闭日志功能。
缺省情况下,关闭会话日志功能。
ASPF提供了增强的会话日志功能。可以对所有的连接进行记录,记录包括连接的时间、源地址、目的地址、使用的端口和传输的字节数。
相关配置可参考命令display aspf all,display aspf policy,display aspf session,display aspf interface。
【举例】
# 使能ASPF会话日志功能。
[H3C-aspf-policy-1] log enable
【命令】
port-mapping application-name port port-number [ acl acl-number ]
undo port-mapping [ application-name port port-number [ acl acl-number ] ]
【视图】
系统视图
【参数】
application-name:应用协议的名称。可选的应用协议有:FTP、HTTP、H.323、SMTP、RTSP。
port-number:端口号范围为0~65535。
acl-number:基本访问列表号,范围为2000~2999。
【描述】
port-mapping命令用来建立端口到应用层协议的映射,undo port-mapping命令用来删除端口映射项。
有两类映射机制:通用端口映射和基于基本访问控制列表(ACL)的主机端口映射。通用端口映射是将用户自定义端口号和应用层协议建立映射关系;例如:将8080端口映射为HTTP协议,这样所有目标端口是8080的TCP报文被认为是HTTP报文。基于基本访问控制列表(ACL)的主机端口映射是对来自某些特定主机的报文建立自定义端口号和应用协议的映射,例如:将去往1.1.0.0网段的使用8080端口的TCP报文映射为HTTP报文。主机的范围由基本的ACL指定。
相关配置可参考命令display port-mapping。
【举例】
# 设置FTP协议使用端口3456。
[H3C] port-mapping ftp port 3456
【命令】
reset aspf session
【视图】
用户视图
【参数】
无
【描述】
reset aspf session命令用来清除ASPF的会话信息。
【举例】
# 清除ASPF的会话信息。
<H3C> reset aspf session
【命令】
reset firewall session table
【视图】
用户视图
【参数】
无
【描述】
reset firewall session table命令用来清除防火墙的会话表信息。
【举例】
# 清除防火墙的会话表信息。
<H3C> reset firewall session table
【命令】
debugging firewall mac-binding { all | item | packet }
undo debugging firewall mac-binding { all | item | packet }
【视图】
用户视图
【参数】
all:显示全部调试信息。
item:显示地址绑定表项变化调试信息。
packet:显示报文中地址绑定表项调试信息。
【描述】
debugging firewall mac-binding命令用来打开防火墙地址绑定功能调试开关,undo debugging firewall mac-binding命令用来关闭防火墙地址绑定功能调试信息开关。
缺省情况关闭防火墙全部调试信息开关。
相关配置可参考命令display debugging。
【举例】
# 打开地址绑定表项全部调试信息。
<H3C> debugging firewall mac-binding all
【命令】
display firewall mac-binding { enable | item [ ip-addr ] [ statistic ] }
【视图】
任意视图
【参数】
enable:显示地址绑定功能运行状况。
item:显示地址绑定表项内容。
ip-addr:显示指定IP地址的表项内容。
statistic:显示地址绑定功能的统计信息。
【描述】
display firewall mac-binding命令用来显示防火墙地址绑定功能的运行状况和地址绑定表项信息。参数item [ ip-addr ]显示地址绑定表项信息。如果不指定IP地址,显示当前全部地址绑定表项的概要信息。如果指定了要显示的IP地址,显示特定地址绑定表项的详细信息。
【举例】
# 显示全部地址绑定表项概要信息。
<H3C> display firewall mac-binding item
Firewall mac-binding item(s) :
Current items:2
192.168.1.1 00e0-0f0c-1149
20.202.16.5 0adc-0e0f-23ed
# 显示特定地址绑定表项详细信息。
<H3C> display firewall mac-binding item 192.168.1.1
Firewall mac-binding item(s) :
192.168.1.1 00e0-0f0c-1149
# 显示地址绑定表项的运行状况。
<H3C> display firewall mac-binding enable
Mac-binding is Disabled
# 显示地址绑定功能的统计信息。
<H3C> display firewall mac-binding item statistic
Firewall Mac-binding item(s) :
IP Address Mac True Pkts False Pkts
192.168.1.2 000f-1f73-fec5 0 57
【命令】
firewall mac-binding ip-addr mac-addr
undo firewall mac-binding [ ip-addr ]
【视图】
系统视图
【参数】
ip-addr:指定地址绑定对的IP地址。
mac-addr:指定地址绑定对的MAC地址。
【描述】
firewall mac-binding命令用来添加MAC地址绑定条目。undo firewall mac-binding命令用来删除MAC地址绑定条目,若undo firewall mac-binding命令使用ip-addr参数,表示删除特定的绑定条目,否则将删除所有绑定条目。
【举例】
# 在地址绑定表项中插入一条IP地址为192.168.10.10,MAC地址为00e0-0000-0001的地址绑定条目。
[H3C] firewall mac-binding 192.168.10.10 00e0-0000-0001
# 使能地址绑定功能。
[H3C] firewall mac-binding enable
【命令】
firewall mac-binding enable
undo firewall mac-binding enable
【视图】
系统视图
【参数】
enable:使能地址绑定功能。
【描述】
firewall mac-binding enable命令用来使能MAC地址绑定功能,undo firewall mac-binding enable命令用来关闭MAC地址绑定功能。
【举例】
# 使能MAC地址绑定功能。
[H3C] firewall mac-binding enable
【命令】
reset firewall mac-binding item [ ip-addr ] statistic
【视图】
用户视图
【参数】
item:MAC和IP地址绑定表项。
ip-addr:清除指定IP地址的绑定信息。
statistic:MAC和IP地址绑定的统计信息。
【描述】
reset firewall mac-binding命令用来清除MAC和IP地址绑定的统计信息。
【举例】
# 清除所有MAC和IP地址绑定的统计信息。
<H3C> reset firewall mac-binding item statistic
【命令】
add interface interface-type interface-number
undo add interface interface-type interface-number
【视图】
区域视图
【参数】
interface-type interface-number:指定接口类型及接口号。
【描述】
add interface命令用来将接口加入到安全区域,undo add interface命令用来将接口从安全区域中删除。
将接口加入到一个安全区域中前,这个接口不能已经属于其它的区域,否则需要先将此接口从其它区域中删除,即一个接口只能属于一个安全区域。
缺省情况下,所有安全区域中未添加任何接口。
若要实现防火墙和其它设备的互通,必须将相应的接口添加到某一安全区域中。
& 说明:
添加了防火墙到某一安全区域中后,若要使防火墙生效,需要配置如下命令:
firewall defend enable
【举例】
# 将接口GigabitEthernet1/0加入到DMZ区域。
[H3C] firewall zone trust
[H3C-zone-trust] undo add interface gigabitethernet 1/0
[H3C-zone-trust] quit
[H3C] firewall zone DMZ
[H3C-zone-DMZ] add interface gigabitethernet 1/0
【命令】
display zone [ zone-name ] [ interface | priority ]
【视图】
任意视图
【参数】
zone-name:安全区域的名称。系统预先定义了4个安全区域:Trust、Untrust、DMZ和Local。
interface:显示安全区域所包含的接口。
priority:显示安全区域的优先级。
【描述】
display zone命令用来显示安全区域所包含的接口以及安全区域的优先级。
【举例】
# 显示所有安全区域的优先级。
<H3C> display zone priority
local
priority is 100
#
trust
priority is 85
#
untrust
priority is 5
#
DMZ
priority is 50
#
【命令】
set priority number
【视图】
区域视图
【参数】
number:区域的优先级数值,范围为1~100。
【描述】
set priority命令用来设置安全区域的优先级,优先级数值越高,表示此区域的安全性越高。
系统预定义了4个安全区域:Local、Trust、Untrust和DMZ。这些区域的优先级是不能被更改的。set priorit命令只能用来设置和修改新建的区域的优先级。
缺省情况下,Local区域的优先级为100,Trust区域的优先级为85,Untrust区域的优先级为5,DMZ区域的优先级为50。
【举例】
# 设置区域newzone的优先级为70。
[H3C] firewall zone newzone
[H3C-zone-newzone] set priority 70
【命令】
firewall zone zonename
【视图】
系统视图
【参数】
zonename:安全区域名。
【描述】
firewall zone命令用来进入安全区域视图。
【举例】
# 进入DMZ区域视图。
[H3C] firewall zone DMZ
[H3C-zone-DMZ]
【命令】
firewall zone name zonename
undo firewall zone name zonename
【视图】
系统视图
【参数】
zonename:安全区域名。
【描述】
firewall zone name命令用来创建新的安全区域,undo firewall zone name命令用来删除新建的安全区域。
缺省情况下,系统预先定义了4个安全区域:Trust、Untrust、DMZ和Local,这些安全区域是不能被删除的。
【举例】
# 创建一个新的名为newzone的安全区域。
[H3C] firewall zone name newzone
[H3C-zone-newzone]
【命令】
firewall defend enable
undo firewall defend enable
【视图】
系统视图
【参数】
无
【描述】
firewall defend enable命令用来使能攻击防范功能。undo firewall defend enable命令用来关闭攻击防范功能。
系统缺省为关闭攻击防范功能。本章的所有命令必须在使能攻击防范功能后才能生效。
【举例】
# 使能攻击防范功能。
<H3C> firewall defend enable
【命令】
debugging firewall defend { all | arp-flood | arp-reverse-query | arp-spoofing | ip-spoofing | land | smurf | fraggle | frag-flood | winnuke | syn-flood | icmp-flood | udp-flood | icmp-redirect | icmp-unreachable | ip-sweep | port-scan | source-route | route-record | tracert | ping-of-death | teardrop | tcp-flag | ip-fragment | large-icmp }
undo debugging firewall defend { all | arp-flood | arp-reverse-query | arp-spoofing | ip-spoofing | land | smurf | fraggle | frag-flood | winnuke | syn-flood | icmp-flood | udp-flood | icmp-redirect | icmp-unreachable | ip-sweep | port-scan | source-route | route-record | tracert | ping-of-death | teardrop | tcp-flag | ip-fragment | large-icmp }
【视图】
用户视图
【参数】
各参数:表示启动或关闭指定攻击防范功能的调试开关。
【描述】
debugging firewall defend命令用来打开攻击防范功能的调试开关,undo debugging firewall defend命令用来关闭攻击防范功能的调试开关。
系统缺省为关闭各攻击防范功能的调试开关。
相关配置可参考命令display debugging。
【举例】
# 对SYN Flood攻击防范功能进行调试。
<H3C> debugging firewall defend syn-flood
【命令】
display firewall defend [ flag | arpquerynumber | arpspoofnumber | arptable ]
【视图】
任意视图
【参数】
flag:显示启用的攻击防范的类型。
arpquerynumber:显示通过反向查询发现的ARP欺骗的数目。
arpspoofnumber:显示已发现的ARP欺骗的数目。
arptable:显示反向查询用的ARP表。
【描述】
display firewall defend命令用来显示路由器攻击防范的信息。
【举例】
# 显示路由器采用的攻击防范的类型信息。
<H3C> display firewall defend flag
The attack defend flag is:
ip-spoofing land smurf fraggle
winnuke icmp-redirect icmp-unreachable source-route
route-record tracert ping-of-death tcp-flag
ip-fragment large-icmp teardrop ip-sweep
port-scan syn-flood udp-flood icmp-flood
arp-spoofing arp-reverse-query arp-flood frag-flood
【命令】
display firewall tcp-proxy session [ zone zone-name | ip ip-address ]
【视图】
任意视图
【参数】
zone:安全区域的名称,显示指定安全区域的TCP代理的会话信息。
ip-address:IP地址,显示指定IP地址的TCP代理的会话信息。
【描述】
display firewall tcp-proxy session命令用来显示TCP代理的会话信息,若不指定参数,则显示所有的TCP代理会话信息。
【举例】
# 显示所有的TCP-Proxy会话信息。
<H3C> display firewall tcp-proxy session
Firewall Tcp-proxy session table information:
SrcZone SrcIP & SrcPort DestZone DestIP & DestPort State
Trust 1.0.0.1:1025 untrust 2.0.0.1:1026 2
Untrust 2.0.0.3:1028 trust 1.0.0.2:1026 4
Untrust 2.0.0.5:1032 trust 1.0.0.6:1028 6
Trust 1.0.0.3:1035 untrust 2.0.0.8:1045 2
# 显示指定安全区域的TCP-Proxy会话信息。
<H3C> display firewall tcp-proxy session zone trust
Firewall Tcp-proxy session table information for destination zone trust:
SrcZone SrcIP & SrcPort DestZone DestIP & DestPort State
Untrust 2.0.0.3:1028 trust 1.0.0.2:1026 4
Untrust 2.0.0.5:1032 trust 1.0.0.6:1028 6
# 显示指定目的IP的TCP-Proxy会话信息。
<H3C> display firewall tcp-proxy session ip 2.0.0.1
Firewall Tcp-proxy session table information for destination IP 2.0.0.1:
SrcZone SrcIP & SrcPort DestZone DestIP & DestPort State
Trust 1.0.0.1:1025 untrust 2.0.0.1:1026 2
表6-1 display firewall tcp-proxy session命令显示信息描述表
|
字段 |
描述 |
|
SrcZone |
源安全区域名 |
|
SrcIP |
源IP地址 |
|
SrcPort |
源端口号 |
|
DestZone |
目的安全区域名 |
|
DestIP |
目的IP地址 |
|
DestPort |
目的端口号 |
|
State |
TCP-Proxy会话状态值 |
【命令】
firewall defend all
undo firewall defend all
【视图】
系统视图
【参数】
无
【描述】
firewall defend all命令用来打开所有的攻击防范功能,undo firewall defend all命令用来关闭所有的攻击防范功能。
缺省情况下,关闭任何攻击防范功能。
【举例】
# 打开所有攻击防范功能。
[H3C] firewall defend all
【命令】
firewall defend arp-flood [ max-rate rate-number ]
undo firewall defend arp-flood
【视图】
系统视图
【参数】
max-rate rate-number:设定收到的ARP包速率的阈值,即一秒钟出现ARP包的总数,超过该阈值将视为攻击。rate-number的默认值为100包/秒,取值范围为1~10,000包/秒。
【描述】
firewall defend arp-flood命令用来打开arp_flood攻击防范功能,undo firewall defend arp-flood命令用来关闭arp_flood攻击防范功能。
缺省情况下,关闭ARP Flood攻击防范功能。
【举例】
# 打开ARP Flood攻击防范功能。
[H3C] firewall defend arp-flood
【命令】
firewall defend arp-reverse-query
undo firewall defend arp-reverse-query
【视图】
系统视图
【参数】
无
【描述】
firewall defend arp-reverse-query命令用来打开ARP反向查询攻击防范功能,undo firewall defend arp-reverse-query命令用来关闭ARP反向查询攻击防范功能。
缺省情况下,关闭ARP反向查询攻击防范功能。
【举例】
# 打开ARP反向查询攻击防范功能。
[H3C] firewall defend arp-reverse-query
【命令】
firewall defend arp-spoofing
undo firewall defend arp-spoofing
【视图】
系统视图
【参数】
无
【描述】
firewall defend arp-spoofing命令用来打开ARP欺骗攻击防范功能,undo firewall defend arp-spoofing命令用来关闭ARP欺骗攻击防范功能。
缺省情况下,关闭ARP欺骗攻击防范功能。
【举例】
# 打开ARP欺骗攻击防范功能。
[H3C] firewall defend arp-spoofing
【命令】
firewall defend fraggle
undo firewall defend fraggle
【视图】
系统视图
【参数】
无
【描述】
firewall defend fraggle命令用来打开Fraggle攻击防范功能,undo firewall defend fraggle命令用来关闭Fraggle攻击防范功能。
系统缺省为关闭Fraggle攻击防范功能。
【举例】
# 打开Fraggle攻击防范功能。
[H3C] firewall defend fraggle
【命令】
firewall defend frag-flood [ max-identical-rate max-identical-rate ] [ max-total-rate max-total-rate ]
undo firewall defend frag-flood
【视图】
系统视图
【参数】
max-identical-rate:最大相同分片报文速率,缺省值为50。
max-total-rate:最大分片报文速率,缺省值为100。
【描述】
firewall defend frag-flood命令用来打开Frag Flood攻击防范功能,undo firewall defend frag-flood命令用来关闭Frag Flood攻击防范功能。
缺省情况下,关闭Frag Flood攻击防范功能。
【举例】
# 打开Frag Flood攻击防范功能。
[H3C] firewall defend frag-flood
【命令】
firewall defend icmp-flood { ip ip-address | zone zone-name } [ max-rate rate-number ]
undo firewall defend icmp-flood [ ip [ ip-address ] | zone [ zone-name ] ]
【视图】
系统视图
【参数】
ip ip-address:设定受保护的主机IP地址。如果undo形式只列出ip而不指定具体ip-address,则关闭对所有已配置了IP保护的主机进行ICMP Flood检测。
zone zone-name:设定受保护的安全区域名,此参数表示对安全区域内的所有IP地址使能ICMP Flood攻击检测功能。如果undo形式只列出zone而不指定具体安全区域名zone-name,则关闭对所有已配置了保护的安全区域进行ICMP Flood检测。
max-rate rate-number:设定连接特定目的IP的ICMP包速率的阈值,即一秒钟出现ICMP包的总数,超过该阈值将视为攻击。rate-number的默认值为1000包/秒,取值范围为1~1,000,000包/秒。
【描述】
firewall defend icmp-flood命令用来使能ICMP Flood攻击检测功能,该命令可选择对指定IP或指定安全区域进行保护;undo firewall defend icmp-flood命令用来关闭ICMP Flood攻击检测功能。
ICMP Flood的IP配置的优先级比安全区域配置的优先级高。如果对特定IP配置开启ICMP Flood攻击防范功能,同时也对该IP所在的安全区域内的所有IP配置开启了防范功能,则该IP的各检测参数以IP配置为准;若此时取消IP配置,则该IP的各检测参数以安全区域配置为准。
系统缺省为关闭ICMP Flood攻击检测功能。
除使用命令firewall defend icmp-flood外,使能ICMP Flood攻击检测功能还需使用命令firewall defend icmp-flood enable打开全局开关,并开启受保护IP或安全区域入方向的IP统计功能。
【举例】
# 打开对Trust安全区域内所有IP的ICMP Flood攻击检测的开关,设定ICMP包连接速率的阈值为500包/秒。
[H3C] firewall defend icmp-flood zone trust max-rate 500
【命令】
firewall defend icmp-flood enable
undo firewall defend icmp-flood enable
【视图】
系统视图
【参数】
无
【描述】
firewall defend icmp-flood enable命令用来打开ICMP Flood攻击检测功能;undo firewall defend icmp-flood enable命令用来关闭ICMP Flood攻击检测功能。
系统缺省为关闭ICMP Flood攻击检测功能。
【举例】
# 打开ICMP Flood攻击检测功能。
[H3C] firewall defend icmp-flood enable
【命令】
firewall defend icmp-redirect
undo firewall defend icmp-redirect
【视图】
系统视图
【参数】
无
【描述】
firewall defend icmp-redirect命令用来打开ICMP重定向报文攻击防范功能,undo firewall defend icmp-redirect命令用来关闭ICMP重定向报文攻击防范功能。
系统缺省为关闭ICMP重定向报文攻击防范功能。
【举例】
# 打开ICMP重定向报文攻击防范功能。
[H3C] firewall defend icmp-redirect
【命令】
firewall defend icmp-unreachable
undo firewall defend icmp-unreachable
【视图】
系统视图
【参数】
无
【描述】
firewall defend icmp-unreachable命令用来打开ICMP不可达报文攻击防范功能,undo firewall defend icmp-unreachable命令用来关闭ICMP不可达报文攻击防范功能。
系统缺省为关闭ICMP不可达报文攻击防范功能。
【举例】
# 打开ICMP不可达报文攻击防范功能。
[H3C] firewall defend icmp-unreachable
【命令】
firewall defend ip-fragment
undo firewall defend ip-fragment
【视图】
系统视图
【参数】
无
【描述】
firewall defend ip-fragment命令用来打开IP分片报文检测功能,undo firewall defend ip-fragment命令用来关闭IP分片报文检测功能。
系统缺省为关闭IP分片报文检测功能。
【举例】
# 打开IP分片报文检测功能。
[H3C] firewall defend ip-fragment
【命令】
firewall defend ip-spoofing
undo firewall defend ip-spoofing
【视图】
系统视图
【参数】
无
【描述】
firewall defend ip-spoofing命令用来打开IP欺骗防范功能,undo firewall defend ip-spoofing命令用来关闭IP欺骗防范功能。
系统缺省为关闭IP欺骗防范功能。
& 说明:
IP欺骗攻击防范功能不能在透明模式下应用。
【举例】
# 打开IP欺骗防范功能。
[H3C] firewall defend ip-spoofing
【命令】
firewall defend ip-sweep [ max-rate rate-number ]
undo firewall defend ip-sweep
【视图】
系统视图
【参数】
max-rate rate-number:设定从同一源地址向外发送报文的目的地址变化速率的阈值。rate-number默认值为4000次/秒,取值范围为1~10,000次/秒。
【描述】
firewall defend ip-sweep命令用来打开地址扫描攻击防范功能,undo firewall defend ip-sweep命令用来关闭地址扫描攻击防范功能。
缺省情况下为关闭地址扫描攻击防范功能。
此命令只有在配置了相关源IP或安全区域出方向的IP统计功能才起作用。
【命令】
firewall defend land
undo firewall defend land
【视图】
系统视图
【参数】
无
【描述】
firewall defend land命令用来打开Land攻击防范功能,undo firewall defend land命令用来关闭Land攻击防范功能。
系统缺省为关闭Land攻击防范功能。
【举例】
# 打开Land攻击防范功能。
[H3C] firewall defend land
【命令】
firewall defend large-icmp [ length ]
undo firewall defend large-icmp
【视图】
系统视图
【参数】
length:允许通过的ICMP报文的最大长度,length的默认值为4000字节,取值范围为28~65535字节。
【描述】
firewall defend large-icmp命令用来打开超大ICMP报文攻击检测功能,undo firewall defend large-icmp命令用来关闭超大ICMP报文攻击检测功能。
系统缺省为关闭超大ICMP报文攻击检测功能。
【举例】
# 打开超大ICMP报文攻击检测功能,设定允许报文长度小于4000字节的ICMP报文通过。
[H3C] firewall defend large-icmp 4000
【命令】
firewall defend ping-of-death
undo firewall defend ping-of-death
【视图】
系统视图
【参数】
无
【描述】
firewall defend ping-of-death命令用来打开ping-of-death攻击检测功能,undo firewall defend ping-of-death命令用来关闭ping-of-death攻击检测功能。
系统缺省为关闭ping-of-death攻击检测功能。
【举例】
# 打开ping-of-death攻击检测功能。
[H3C] firewall defend ping-of-death
【命令】
firewall defend port-scan [ max-rate rate-number ]
undo firewall defend port-scan
【视图】
系统视图
【参数】
max-rate rate-number:设定从同一源地址向外发送报文的目的端口变化速率的阈值。rate-number默认值为4000次/秒,取值范围为1~10,000次/秒。
【描述】
firewall defend port-scan命令用来打开端口扫描攻击防范功能,undo firewall defend port-scan命令用来关闭端口扫描攻击防范功能。
缺省情况下为关闭端口扫描攻击防范功能。
此命令只有在配置了相关源IP或安全区域出方向的IP统计功能后才起作用。
【命令】
firewall defend route-record
undo firewall defend route-record
【视图】
系统视图
【参数】
无
【描述】
firewall defend route-record命令用来打开带路由记录选项报文攻击防范功能,undo firewall defend route-record命令用来关闭带路由记录选项报文攻击防范功能。
系统缺省为关闭带路由记录选项报文攻击防范功能。
【举例】
# 打开带路由记录选项报文攻击防范功能。
[H3C] firewall defend route-record
【命令】
firewall defend smurf
undo firewall defend smurf
【视图】
系统视图
【参数】
无
【描述】
firewall defend smurf命令用来打开Smurf攻击防范功能,undo firewall defend smurf命令用来关闭Smurf攻击防范功能。
系统缺省为关闭Smurf攻击防范功能开关。
【举例】
# 打开Smurf攻击防范功能。
[H3C] firewall defend smurf
【命令】
firewall defend source-route
undo firewall defend source-route
【视图】
系统视图
【参数】
无
【描述】
firewall defend source-route命令用来打开带源路由选项报文攻击防范功能,undo firewall defend source-route命令用来关闭带源路由选项报文攻击防范功能。
系统缺省为关闭带源路由选项报文攻击防范功能。
【举例】
# 打开带源路由选项报文攻击防范功能。
[H3C] firewall defend source-route
【命令】
firewall defend syn-flood { ip ip-address | zone zone-name } [ max-rate rate-number ] [ tcp-proxy ]
undo firewall defend syn-flood [ ip [ ip-address ] | zone [ zone-name ] ]
【视图】
系统视图
【参数】
ip ip-address:设定受保护的主机IP地址。如果undo形式只列出ip而不指定具体ip-address,则关闭对所有已配置了IP保护的主机进行SYN Flood检测。
zone zone-name:设定受保护的安全区域名,此参数表示对安全区域内的所有IP地址使能SYN Flood攻击检测功能。如果undo形式只列出zone而不指定具体安全区域名zone-name,则关闭对所有已配置了保护的安全区域进行SYN Flood检测。
max-rate rate-number:设定连接特定目的IP的SYN包速率的阈值,即一秒钟出现SYN包的总数,超过该阈值将视为攻击。rate-number的默认值为1000包/秒,取值范围为1~1,000,000包/秒。
tcp-proxy:启动TCP代理。当检测到受保护主机受到SYN Flood攻击时,TCP代理自动启动;当不再受到攻击时,TCP代理自动关闭。
【描述】
firewall defend syn-flood命令用来使能SYN Flood攻击检测功能,该命令可选择对指定IP或指定安全区域进行保护;undo firewall defend syn-flood命令用来关闭SYN Flood攻击检测功能。
SYN Flood的IP配置的优先级比安全区域配置的优先级高。如果对特定IP配置开启SYN Flood攻击防范功能,同时也对该IP所在的安全区域内的所有IP配置开启了防范功能,则该IP的各检测参数以IP配置为准;若此时取消IP配置,则该IP的各检测参数以安全区域配置为准。
若要对SYN Flood攻击进行防范,则必须配置TCP代理。
系统缺省为关闭SYN Flood攻击检测功能。
除使用命令firewall defend syn-flood外,使能SYN Flood攻击检测功能还需使用命令firewall defend syn-flood enable打开全局开关,并开启受保护IP或安全区域入方向的IP统计功能。
【举例】
# 打开对Trust安全区域内所有IP的SYN Flood攻击检测的开关,设定SYN包连接速率的阈值为100包/秒,并启动TCP代理功能。
[H3C] firewall defend syn-flood zone trust max-rate 100 tcp-proxy
【命令】
firewall defend syn-flood enable
undo firewall defend syn-flood enable
【视图】
系统视图
【参数】
无
【描述】
firewall defend syn-flood enable命令用来打开SYN Flood攻击检测功能,undo firewall defend syn-flood enable命令用来关闭SYN Flood攻击检测功能。
系统缺省为关闭SYN Flood攻击检测功能。
【举例】
# 打开SYN Flood攻击检测功能。
[H3C] firewall defend syn-flood enable
【命令】
firewall defend tcp-flag
undo firewall defend tcp-flag
【视图】
系统视图
【参数】
无
【描述】
firewall defend tcp-flag命令用来打开TCP报文标志合法性检测功能,undo firewall defend tcp-flag命令用来关闭TCP报文标志合法性检测功能。
系统缺省为关闭TCP报文标志合法性检测功能。
【举例】
# 打开TCP报文标志合法性检测功能。
[H3C] firewall defend tcp-flag
【命令】
firewall defend teardrop
undo firewall defend teardrop
【视图】
系统视图
【参数】
无
【描述】
firewall defend teardrop命令用来打开teardrop攻击检测功能,undo firewall defend teardrop命令用来关闭teardrop攻击检测功能。
系统缺省为关闭teardrop攻击检测功能。
【举例】
# 打开teardrop攻击检测功能。
[H3C] firewall defend teardrop
【命令】
firewall defend tracert
undo firewall defend tracert
【视图】
系统视图
【参数】
无
【描述】
firewall defend tracert命令用来打开tracert报文攻击防范功能,undo firewall defend tracert命令用来关闭tracert报文攻击防范功能。
系统缺省为关闭tracert报文攻击防范功能。
【举例】
# 打开tracert报文攻击防范功能。
[H3C] firewall defend tracert
【命令】
firewall defend udp-flood { ip ip-address | zone zone-name } [ max-rate rate-number ]
undo firewall defend udp-flood [ ip [ ip-address ] | zone [ zone-name ] ]
【视图】
系统视图
【参数】
ip ip-address:设定受保护的主机IP地址。如果undo形式只列出ip而不指定具体ip-address,则关闭对所有已配置了IP保护的主机进行UDP Flood检测。
zone zone-name:设定受保护的安全区域名,此参数表示对安全区域内的所有IP地址使能UDP Flood攻击检测功能。如果undo形式只列出zone而不指定具体安全区域名zone-name,则关闭对所有已配置了保护的安全区域进行UDP Flood检测。
max-rate rate-number:设定连接特定目的IP的UDP包速率的阈值,即一秒钟出现UDP包的总数,超过该阈值将视为攻击,rate-number的默认值为1000包/秒,取值范围为1~1,000,000包/秒。
【描述】
firewall defend udp-flood命令用来使能UDP Flood攻击检测功能,该命令可选择对指定IP或指定安全区域进行保护,undo firewall defend udp-flood命令用来关闭UDP Flood攻击检测功能。
UDP Flood的IP配置的优先级比安全区域配置的优先级高。如果对特定IP配置开启UDP Flood攻击防范功能,同时也对该IP所在的安全区域内的所有IP配置开启了防范功能,则该IP的各检测参数以IP配置为准;若此时取消IP配置,则该IP的各检测参数以安全区域配置为准。
系统缺省为关闭UDP Flood攻击检测功能。
除使用命令firewall defend udp-flood外,使能UDP Flood攻击检测功能还需使用命令firewall defend udp-flood enable打开全局开关,并开启受保护IP或安全区域入方向的IP统计功能。
【举例】
# 打开对Trust安全区域内所有IP的UDP Flood攻击检测的开关,设定UDP包连接速率的阈值为500包/秒。
[H3C] firewall defend udp-flood zone trust max-rate 500
【命令】
firewall defend udp-flood enable
undo firewall defend udp-flood enable
【视图】
系统视图
【参数】
无
【描述】
firewall defend udp-flood enable命令用来打开UDP Flood攻击检测功能,undo firewall defend udp-flood enable命令用来关闭UDP Flood攻击检测功能。
系统缺省为关闭UDP Flood攻击检测功能。
【举例】
# 打开UDP Flood攻击检测功能。
[H3C] firewall defend udp-flood enable
【命令】
firewall defend winnuke
undo firewall defend winnuke
【视图】
系统视图
【参数】
无
【描述】
firewall defend winnuke命令用来打开WinNuke攻击防范功能,undo firewall defend winnuke命令用来关闭WinNuke攻击防范功能。
系统缺省为关闭WinNuke攻击防范功能。
【举例】
# 打开WinNuke攻击防范功能。
[H3C] firewall defend winnuke
【命令】
firewall tcp-proxy { ip ip-address | zone zone-name }
undo firewall tcp-proxy { ip ip-address | zone zone-name }
【视图】
系统视图
【参数】
ip ip-address:设定受保护的主机IP地址。
zone zone-name:设定受保护的安全区域名。
【描述】
firewall tcp-proxy命令用来配置为特定主机或安全区域启用TCP代理,undo firewall tcp-proxy命令用来配置为特定主机或安全区域关闭TCP代理。
缺省情况下,未对任何IP地址或安全区域启用TCP代理。
& 说明:
如果在配置SYN Flood攻击时也启用了TCP代理(参见命令firewall defend syn-flood),则在此处的配置优先于SYN Flood攻击中的配置,即无论是否受到SYN Flood攻击,都启用TCP代理,对目的主机或目的安全区域进行保护。
【举例】
# 为Trust区域中的所有主机启用TCP代理。
[H3C] firewall tcp-proxy zone trust
【命令】
display firewall statistic { system | zone zone-name { inzone | outzone } | ip { ip-address { source-ip | destination-ip | both } | which } }
【视图】
任意视图
【参数】
system:显示路由器系统的统计信息。
zone zone-name:显示安全区域的统计信息。zone-name是安全区域名称,包括dmz、trust、untrust和local。
ip ip-address:显示IP地址的统计信息。ip-address为指定的IP地址。
inzone:指定安全区域的入方向的统计信息;
outzone:指定安全区域的出方向的统计信息;
source-ip:源地址表的统计信息;
destination-ip:目的地址表的统计信息。
which:显示IP地址。
【描述】
display firewall statistic命令用来显示通过路由器模块处理的系统统计信息,或者显示通过路由器模块处理的基于指定安全区域的入/出方向统计信息,或者显示通过路由器模块处理的某IP地址在源/目的地址表的统计信息。
【举例】
# 显示系统全局统计信息。
<H3C> display firewall statistic system
Firewall system statistic information:
TotalBootCon, 787, Total connection since last reboot
CurTotalCon, 4, Current total connections
MaxSessSpeed, 9, Peak session speed(num/s)
CurSessSpeed, 0, Current session speed(num/s)
CurTcpSess, 2, Total current TCP session tables
CurUdpSess, 2, Total current UDP sessions
CurIcmpSess, 0, Total current ICMP sessions
CurFtpSess, 0, Current FTP sessions
CurHttpSess, 0, Current Http sessions
CurH323Sess, 0, Current H.323 sessions
CurRtspSess, 0, Current RTSP sessions
CurSmtpSess, 0, Current SMTP sessions
CurFrgTbls 0, Current frag table number
CurTcpproxySess, 0, Total current TCP-Proxy sessions
RcvSynPkts, 724, TCP SYN pkts received
RcvFinPkts, 929, TCP FIN pkts received
RcvSynAckPkts, 578, TCP SYNACK pkts received
RcvRstPkts, 358, TCP RST pkts received
RcvIcmpPkts, 10, Received ICMP pkts
RcvIcmpOcts, 840, Received ICMP bytes
PassIcmpPkts, 10, Passed ICMP pkts
PassIcmpOcts, 840, Passed ICMP bytes
RcvTcpPkts, 11732, Received TCP pkts
RcvTcpOcts, 3288722, Received TCP bytes
PassTcpPkts, 11729, Passed TCP pkts
PassTcpOcts, 3288578, Passed TCP bytes
RcvUdpPkts, 2675, Received UDP pkts
RcvUdpOcts, 225437, Received UDP bytes
PassUdpPkts, 2535, Passed UDP pkts
PassUdpOcts, 211363, Passed UDP bytes
RcvEtcPkts, 0, Received Etc pkts
RcvEtcOcts, 0, Received Etc bytes
PassEtcPkts, 0, Passed Etc pkts
PassEtcOcts, 0, Passed Etc bytes
RcvFragPkts, 0, Received frag pkts
RcvFragOcts, 0, Received frag bytes
RcvFtpPkts, 0, Received FTP pkts
RcvFtpOcts, 0, Received FTP bytes
RcvSmtpPkts, 0, Received SMTP pkts
RcvSmtpOcts, 0, Received SMTP bytes
RcvHttpPkts, 7934, Received Http pkts
RcvHttpOcts, 3096083, Received Http bytes
RcvH323Pkts, 0, Received H.323 pkts
RcvH323Octs, 0, Received H.323 bytes
RcvRtspPkts, 0, Received RTSP pkts
RcvRtspOcts, 0, Received RTSP bytes
SessDscdPkts, 0, Failed session table discard pkts
SessDscdOcts, 0, Failed session table discard bytes
TotalPkts, 14417, Received Total pkts
TotalOcts, 3514999, Received Total bytes
& 说明:
l 以上显示信息中的报文均是指通过路由器检测的报文。
l display firewall statistic命令显示的统计信息是指自统计功能使能后的统计信息,不包括统计功能使能前的信息。如display firewall statistic system命令中显示的CurTotalCon表示自系统统计功能使能后的系统连接数,与系统当前的session数可能不一致;display firewall statistic zone trust inzone命令中显示的CurTotalCon表示自trust区域的入域统计功能使能后的该域的连接数。
【命令】
display firewall statistic system defend
【视图】
任意视图
【参数】
无
【描述】
display firewall statistic system defend命令用来显示收到的各种类型攻击的报文数目或攻击次数。
【举例】
# 显示收到的各种类型攻击的报文数目或攻击次数。
<H3C> display firewall statistic system defend
Display firewall defend statistic:
IP-spoofing, 0 packets
Land, 0 packets
Smurf, 0 packets
Fraggle, 0 packets
Winnuke, 0 packets
SYN-flood, 0 time(s)
UDP-flood, 0 time(s)
ICMP-flood, 0 time(s)
ICMP-redirect, 0 packets
ICMP-unreachable, 0 packets
IP-sweep, 0 time(s)
Source-route attack, 0 packets
Route-record attack, 0 packets
Tracert, 0 packets
Ping-of-death, 0 packets
Teardrop, 0 packets
Tcp-flag, 0 packets
IP-fragment, 0 packets
Large-icmp, 0 packets
Too much Half Con of SYN Flood, 0 time(s)
ARP-spoofing, 0 packets
ARP-reverse-query, 0 time(s)
ARP-flood, 0 time(s)
Frag-flood, 0 time(s)
TCP port-scan, 0 time(s)
UDP port-scan, 0 time(s)
Other attack, 0 packets
total, 0 times
【命令】
display firewall statistic system flow-percent [ default ]
【视图】
任意视图
【参数】
default:报文流量百分比的缺省值。
【描述】
display firewall statistic system flow-percent命令用来显示报文流量的百分比信息。
【举例】
# 显示报文流量百分比信息。
<H3C> display firewall statistic system flow-percent
Current tcp percent: 75
Current udp percent: 15
Current icmp percent: 5
Current alternation: 25
Current time interval: 60
【命令】
firewall statistic system connect-number { tcp | udp } high high-value low low-value
undo firewall statistic system connect-number { tcp | udp }
【视图】
系统视图
【参数】
tcp:TCP连接。
udp:UDP连接。
high high-value:上限阈值,基于系统的TCP和UDP连接的上限阈值范围为1~500000,缺省值为500000。
low low-value:下限阈值,基于系统的TCP和UDP连接的下限阈值范围为1~500000,缺省值为450000。
【描述】
firewall statistic system connect-number命令用来设置基于系统的TCP连接和UDP连接总数的上限阈值和下限阈值。undo firewall statistic system connect-number命令用来恢复缺省值。
基于系统的连接数阈值没有方向,指的是系统的总的连接数。当连接数大于上限阈值时,表明发生异常情况,输出日志告警;当连接数小于下限阈值时,表明系统恢复正常。
注意:firewall statistic system connect-number命令在系统视图下使用,用于配置系统相关的阈值;statistic connect-number命令在安全区域视图下使用,用于配置安全区域或IP地址相关的阈值。
【举例】
# 设置基于系统的TCP连接总数的上限阈值是120000,下限阈值是60000。
[H3C] firewall statistic system connect-number tcp high 120000 low 60000
【命令】
firewall statistic system enable
undo firewall statistic system enable
【视图】
系统视图
【参数】
无
【描述】
firewall statistic system enable命令用来使能全局统计功能,undo firewall statistic system enable命令用来禁止全局统计功能。
缺省情况下,禁止全局统计功能。
【举例】
# 使能全局统计功能。
[H3C] firewall statistic system enable
【命令】
firewall statistic system flow-percent tcp tcp-percent udp udp-percent icmp icmp-percent alternation alternation-percent [ time time-value ]
undo firewall statistic system flow-percent
【视图】
系统视图
【参数】
tcp-percent:TCP报文所占的百分比比率,取值范围是0~100,缺省值是75。
udp-percent:UDP报文所占的百分比比率,取值范围是0~100,缺省值是15。
icmp-percent:ICMP报文所占的百分比比率,取值范围是0~100,缺省值是5。
alternation-percent:各种报文所允许的百分比的波动范围,取值范围是0~25,缺省值是25。
time-value:进行检测计算的时间周期(单位:分钟),取值范围是0~6000,缺省值是60分钟。
【描述】
firewall statistic system flow-percent命令用来设置不同类型的报文在正常情况下一定时间内所占的百分比以及允许的变动范围。undo firewall statistic system flow-percent命令用来恢复缺省值。
TCP、UDP、ICMP三种报文所占百分比需要同时被配置,并且三种报文所占百分比之和必须小于或等于100;如果TCP、UDP、ICMP三种报文百分比之和超过100%,则命令不会生效。
【举例】
# 配置TCP、UDP、ICMP和其它报文分别所占的百分比分别为50、25、15,允许波动10%。
[H3C] firewall statistic system flow-percent tcp 50 udp 25 icmp 15 alternation 10
【命令】
firewall statistic warning-level drop
【视图】
系统视图
【参数】
drop:设置告警级别为输出告警信息,并丢弃报文。
【描述】
firewall statistic warning-level命令用来设置路由器连接数量和连接速率监控的告警级别。
告警级别分为两种,一种为“告警”,是指当连接数量和连接速率超过设置的上限阈值时,仅输出告警信息;另一种为“丢弃”,是指当连接数量或连接速率超过设置的上限阈值时,输出告警信息,并且后续报文将以一定比例被丢弃。仅当连接数量或连接速率恢复到设置的下限阈值时,不再丢弃报文。
缺省情况下,告警级别为仅输出告警信息。
相关配置命令可参考statistic connect-number ip,statistic connect-number zone,statistic connect-speed ip,statistic connect-speed zone。
【举例】
# 设置告警级别为输出告警信息,并丢弃报文。
[H3C] firewall statistic warning-level drop
【命令】
reset firewall statistic ip ip-address { source-ip | destination-ip }
【视图】
用户视图
【参数】
ip ip-address:清除指定IP地址的统计信息。
source-ip:清除源地址表表项。
destination-ip:清除目的地址表表项。
【描述】
reset firewall statistic ip用来清除源/目的地址表中的统计数据。
如果指定的IP地址不存在,则命令无效果。
【举例】
# 清除指定IP地址1.1.1.1在源地址表中的统计信息。
<H3C> reset firewall statistic ip 1.1.1.1 source-ip
【命令】
reset firewall statistic system [ defend | current ]
【视图】
用户视图
【参数】
defend:清除攻击防范信息。
current:清除当前连接数。
【描述】
reset firewall statistic system命令用来清除全局统计信息或全局攻击防范信息。
【举例】
# 清除全局统计信息。
<H3C> reset firewall statistic system
【命令】
reset firewall statistic zone zone-name { inzone | outzone }
【视图】
用户视图
【参数】
zone zone-name:清除基于安全区域统计信息,zone-name是指定安全区域的名称。
inzone:安全区域入方向。
outzone:安全区域出方向。
【描述】
reset firewall statistic zone用来清除当前安全区域的入/出方向的统计数据。
如果指定的安全区域不存在,则命令无效果。
【举例】
# 清除Trust安全区域在出方向的统计信息。
<H3C> reset firewall statistic zone trust outzone
【命令】
statistic connect-number ip outzone { tcp | udp } high high-limit low low-limit
statistic connect-number id id ip outzone { tcp | udp } high high-limit low low-limit
undo statistic connect-number [ id id ] ip outzone { tcp | udp }
statistic connect-number ip inzone { tcp | udp } high high-limit low low-limit
undo statistic connect-number ip inzone { tcp | udp }
【视图】
安全区域视图
【参数】
id id:规则的编号,范围为1~99。
ip:基于IP的阈值。
inzone:安全区域的入方向。
outzone:安全区域的出方向。
tcp:TCP连接。
udp:UDP连接。
high high-value:基于IP地址的TCP和UDP连接的上限阈值,范围为1~10240,缺省值为10240。
low low-value:基于IP地址的TCP和UDP连接的下限阈值,范围为1~10240,缺省值为9000。
【描述】
statistic connect-number ip命令用来设置基于IP地址的某一方向上发起的TCP连接和UDP连接总数的上限阈值和下限阈值。undo statistic connect-number ip命令用来恢复缺省值。
基于IP地址的连接数阈值则要根据数据包流向相对安全区域的方向分别进行设置。当连接数量超过设定的阈值上限或恢复到阈值下限时,系统将根据firewall statistic warning-level命令的设置采取相应操作。
相关配置命令可参考firewall statistic warning-level。
【举例】
# 设置向Untrust安全区域的入方向发起TCP连接总数的基于IP地址的上限阈值为5000,下限阈值为500。
[H3C-zone-untrust] statistic connect-number ip inzone tcp high 5000 low 500
【命令】
statistic connect-number zone { inzone | outzone } { tcp | udp } high high-limit low low-limit
undo statistic connect-number zone { inzone | outzone } { tcp | udp }
【视图】
安全区域视图
【参数】
zone:基于安全区域的阈值。
inzone:安全区域的入方向。
outzone:安全区域的出方向。
tcp:TCP连接。
udp:UDP连接。
high high-value:基于安全区域的TCP和UDP连接的上限阈值,范围为1~500000,缺省值为500000。
low low-value:基于安全区域的TCP和UDP连接的下限阈值,范围为1~500000,缺省值为450000。
【描述】
statistic connect-number zone命令用来设置基于安全区域的某一方向上发起的TCP连接和UDP连接总数的上限阈值和下限阈值。undo statistic connect-number zone命令用来恢复缺省值。
基于安全区域的连接数阈值则要根据数据包流向相对安全区域的方向分别进行设置。当连接数超过设定的阈值上限或恢复到阈值下限时,系统将根据firewall statistic warning-level命令的设置采取相应操作。
相关配置命令可参考firewall statistic warning-level。
【举例】
# 设置向Untrust安全区域的入方向发起TCP连接总数的基于安全区域的上限阈值为25000,下限阈值为10000。
[H3C-zone-untrust] statistic connect-number zone inzone tcp high 25000 low 10000
【命令】
statistic connect-speed ip outzone { tcp | udp } high high-limit low low-limit
statistic connect-speed id id ip outzone { tcp | udp } high high-limit low low-limit undo statistic connect-speed [ id id ] ip outzone { tcp | udp }
statistic connect-speed ip inzone { tcp | udp } high high-limit low low-limit
undo statistic connect-speed ip inzone { tcp | udp }
【视图】
安全区域视图
【参数】
id id:规则的编号,范围为1~99。
ip:基于IP的阈值。
inzone:安全区域的入方向。
outzone:安全区域的出方向。
tcp:TCP连接。
udp:UDP连接。
high high-value:基于IP地址的TCP和UDP连接速率的上限阈值,范围为1~10000,缺省值为10000。
low low-value:基于IP地址的TCP和UDP连接速率的下限阈值,范围为1~10000,缺省值为9000。
【描述】
statistic connect-speed ip命令用来设置基于IP地址的某一方向上发起的TCP连接和UDP连接速率(每秒)的上限阈值和下限阈值。undo statistic connect-speed ip命令用来恢复缺省值。
连接速率阈值是数据包相对安全区域的流向,基于IP地址来分别设定的。当连接速率超过设定的阈值上限或恢复到阈值下限时,系统将根据firewall statistic warning-level命令的设置采取相应操作。
相关配置命令可参考firewall statistic warning-level。
【举例】
# 设置向Untrust安全区域的入方向发起TCP连接速率的基于IP地址的上限阈值为5000,下限阈值为500。
[H3C-zone-untrust] statistic connect-speed ip inzone tcp high 5000 low 500
【命令】
statistic connect-speed zone { inzone | outzone } { tcp | udp } high high-value low low-value
undo statistic connect-speed zone { inzone | outzone } { tcp | udp }
【视图】
安全区域视图
【参数】
zone:基于安全区域的阈值。
inzone:安全区域的入方向。
outzone:安全区域的出方向。
tcp:TCP连接。
udp:UDP连接。
high high-value:基于安全区域的TCP和UDP连接速率的上限阈值,范围为1~10000,缺省值为10000。
low low-value:基于安全区域的TCP和UDP连接速率的下限阈值,范围为1~10000,缺省值为9000。
【描述】
statistic connect-speed zone命令用来设置基于安全区域的某一方向上发起的TCP连接和UDP连接速率(每秒)的上限阈值和下限阈值。undo statistic connect-speed zone命令用来恢复缺省值。
连接速率阈值是数据包相对安全区域的流向,基于安全区域来分别设定的。当连接速率超过设定的阈值上限或恢复到阈值下限时,系统将根据firewall statistic warning-level命令的设置采取相应操作。
相关配置命令可参考firewall statistic warning-level。
【举例】
# 设置向Trust安全区域的入方向发起TCP连接速率(每秒)的基于安全区域的上限阈值为2500,下限阈值为1000。
[H3C-zone-trust] statistic connect-speed zone inzone tcp high 2500 low 1000
【命令】
statistic enable { ip | zone } { inzone | outzone }
undo statistic enable { ip | zone } { inzone | outzone }
【视图】
安全区域视图
【参数】
inzone:基于安全区域或基于IP统计入方向数据包,入方向数据包是指目的地址为本安全区域的数据包。如果基于IP进行统计,则数据包只根据目的地址进行统计。
outzone:基于安全区域或基于IP统计出方向数据包,出方向数据包是指源地址为本安全区域的数据包。如果基于IP进行统计,则数据包只根据源地址进行统计。
【描述】
statistic enable命令用来使能基于安全区域和IP的统计功能,undo statistic enable命令用来禁止基于安全区域和IP的统计功能。
缺省情况下,禁止基于安全区域和IP的统计功能。
【举例】
# 在Trust安全区域上配置基于IP地址的统计功能,对入安全区域方向数据包进行统计(只统计其目的地址)。
[H3C-zone-trust] statistic enable ip inzone
# 在Untrust安全区域上配置基于安全区域的统计功能,对出安全区域方向数据包进行统计。
[H3C-zone-trust] statistic enable zone outzone
【命令】
firewall session log-type syslog
undo firewall session log-type
【视图】
系统视图
【参数】
syslog:设置流日志输出方式为文本格式。
【描述】
firewall session log-type命令用来设置流日志的输出方式为syslog方式,undo firewall session log-type命令用来设置流日志的输出方式为缺省方式。
【举例】
# 设置流日志输出为syslog方式。
[H3C] firewall session log-type syslog
【命令】
firewall { defend | session | statistic | } log-time value
undo firewall { defend | session | statistic } log-time
【视图】
系统视图
【参数】
defend:攻击防范信息。
session:会话信息。
statistic:流量统计信息。
value:日志缓冲区的扫描时间,单位秒,范围1~65535。
【描述】
firewall log-time命令用来设置日志缓冲区的扫描时间。undo firewall log-time命令恢复日志缓冲区扫描时间的缺省值。
缺省情况下,日志缓冲区的扫描时间为30秒。
【举例】
# 设置攻击防范日志缓冲区的扫描时间为100秒。
[H3C] firewall defend log-time 100
# 恢复流日志缓冲区的扫描时间为缺省值。
[H3C] undo firewall session log-time
【命令】
reset firewall log-buf { session | defend | statistic }
【视图】
用户视图
【参数】
session:清除NAT/ASPF流的日志缓冲区。
defend:清除攻击防范的日志缓冲区。
statistic:清除流量监控的日志缓冲区。
【描述】
reset firewall log-buf用来清除日志缓冲区的内容。
【举例】
# 清除NAT/ASPF流的日志缓冲区内容。
<H3C> reset firewall log-buf session
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
