02-命令行高危操作
本章节下载: 02-命令行高危操作 (196.44 KB)
高危险的命令只能由有资质、且经过培训的维护人员执行。如果对此类命令操作不当,可能会导致设备/单板断电、设备/单板重启、业务中断、业务运行异常、重要文件被删除、所有配置被清除、用户无法登录、用户下线等现象发生。
在对高危命令进行操作之前,请先了解可能带来的风险再进行操作。
模块 |
命令行 |
描述 |
高危提示 |
登录设备 |
authentication-mode |
设置用户登录设备时的认证方式 |
当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。如果设置认证方式为password或scheme,但是没有配置认证密码或者认证用户,会影响下次登录设备 |
登录设备 |
auto-execute command |
设置自动执行命令 |
执行该命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用 |
登录设备 |
redirect disconnect |
强制断开已经建立的Telnet重定向连接 |
强制断开已经建立的Telnet重定向连接,会导致通过Telnet重定向登录到目标设备的用户下线 |
RBAC |
interface policy deny |
进入接口策略视图 |
进入接口策略视图后,如果不配置允许操作的接口列表,则用户将没有操作任何接口的权限;如果需要限制或区分用户对接口资源的使用权限,则还应该通过permit interface命令配置允许用户操作的接口列表 |
RBAC |
security-zone policy deny |
进入安全域策略视图 |
进入安全域策略视图后,如果不配置允许操作的安全域列表,则用户将没有操作任何安全域的权限;如果需要限制或区分用户对安全域资源的使用权限,则还应该通过permit security-zone命令配置允许用户操作的安全域列表 |
RBAC |
vlan policy deny |
进入VLAN策略视图 |
进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限;如果需要限制或区分用户对VLAN资源的使用权限,则还应该通过permit vlan命令配置允许用户操作的VLAN列表 |
RBAC |
vpn-instance policy deny |
进入VPN策略视图 |
进入VPN策略视图后,如果不配置允许操作的VPN实例列表,则用户将没有操作任何VPN实例的权限;如果需要限制或区分用户对VPN资源的使用权限,则还应该通过permit vpn-instance命令配置允许用户操作的VPN实例列表 |
FTP和TFTP |
delete |
彻底删除FTP服务器上的文件 |
执行本命令前,请确认指定文件不会再被使用,以免误删有用文件 |
FTP和TFTP |
rmdir |
彻底删除FTP服务器上的目录 |
执行本命令前,请确认指定目录不会再被使用,以免误删有用目录 |
文件系统管理 |
delete [ /unreserved ] file |
删除设备上的文件 |
delete /unreserved file命令用来永久删除文件,系统会将该文件从设备上彻底删除。被删除的文件不再存在,不能恢复。当缺省MDC的管理员执行delete file命令删除非缺省MDC文件系统中的文件时,系统将永久删除对应文件 |
文件系统管理 |
format |
格式化文件系统 |
格式化操作将导致文件系统中的所有文件丢失,并且不可恢复;尤其需要注意的是,如果文件系统中有启动配置文件,格式化该文件系统,将丢失启动配置文件 |
文件系统管理 |
reset recycle-bin |
清除回收站中的文件 |
回收站中的文件可以通过undelete命令恢复,如果将文件从回收站中删除,将永远无法恢复文件。执行本命令前,请确认回收站的文件都是无效文件,不会再被使用 |
文件系统管理 |
rmdir |
删除设备上的文件夹 |
在删除文件夹前,必须先永久删除或者暂时删除文件夹中的所有文件和子文件夹。如果文件只是暂时删除,那么执行rmdir会导致这些文件从回收站中彻底删除。执行本操作前,请先确认该文件夹及其中的内容不会再被使用 |
配置文件管理 |
configuration replace file |
执行配置回滚操作 |
配置回滚是在不重启设备的情况下,将当前的配置回退到指定配置文件中的配置状态,回滚前的配置将会丢失。配置回滚过程中,可能会导致业务中断,请谨慎使用 |
配置文件管理 |
configuration replace server file |
开启远程配置回滚功能 |
该命令会使设备立即或者在将来的某个时间点从配置回滚服务器上下载配置文件并执行配置回滚,回滚前的配置会丢失,且配置回滚可能导致业务中断,请谨慎使用 |
配置文件管理 |
reset saved-configuration |
删除设备存储介质中保存的下次启动配置文件 |
执行该命令会将配置文件彻底删除,请谨慎使用 |
配置文件管理 |
save |
保存设备的当前配置 |
执行本命令时,可能会导致当前已经存在的配置文件被覆盖,请根据设备提示谨慎操作 |
软件升级 |
undo version auto-update enable |
关闭备用主控板自动加载启动软件包的功能 |
配置undo version auto-update enable和version check ignore命令后,在设备启动过程中,如果备用主控板和主用主控板启动软件包版本不一致,备用主控板仍然使用不一致的版本启动,可能会造成设备功能问题 |
软件升级 |
version check ignore |
关闭对备用主控板进行启动软件包版本一致性检查功能 |
如果关闭对备用主控板进行启动软件包版本一致性检查功能,当备用主控板和主用主控板启动软件包版本不一致时,备用主控板仍然使用不一致的版本启动,可能会造成设备功能问题 |
ISSU |
issu commit |
完成ISSU升级操作 |
执行此命令后,不能再通过ISSU回滚命令或者回滚定时器进行回滚操作,请谨慎使用 |
设备管理 |
reboot |
重启设备 |
重新启动可能会导致业务中断,请谨慎使用。使用force参数时,系统在重启时不会做任何保护性措施。重启后,可能导致文件系统损坏,请谨慎使用该参数。建议在系统故障或无法正常重启时,才使用该参数 |
设备管理 |
restore factory-default |
将设备恢复到出厂状态 |
使用本命令会将设备恢复到出厂状态,请谨慎使用 |
IRF |
undo chassis convert mode |
将设备从IRF模式切换到运行模式 |
将设备从IRF模式切换到运行模式,会导致设备从IRF只分离出来,但是配置和IRF冲突,导致设备和IRF的通信都受到影响 |
IRF |
irf mac-address persistent |
配置IRF桥MAC的保留时间 |
桥MAC变化可能导致流量短时间中断,请谨慎配置 |
IRF |
irf member renumber |
配置设备的成员编号 |
在IRF中以设备编号标志设备,配置IRF端口和优先级也是根据设备编号来配置的,所以,修改设备成员编号可能导致设备配置发生变化或者丢失,请慎重处理 |
MDC |
allocate interface |
将物理接口从MDC中删除 |
配置本命令后,会影响MDC的流量转发,请谨慎使用 |
MDC |
undo location |
取消MDC对指定接口板的使用权限 |
配置本命令后,MDC将不能再使用该接口板收发报文,影响MDC的流量转发,请谨慎使用 |
MDC |
undo mdc start |
停止当前MDC |
停止MDC会导致该MDC的业务中断,登录该MDC的用户自动退出,请谨慎使用 |
接口公共配置 |
default |
恢复当前接口的缺省配置 |
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响 |
接口公共配置 |
shutdown |
关闭接口 |
执行本命令会导致使用该接口建立的链路中断,不能通信,请谨慎使用 |
以太网接口 |
port link-mode |
切换以太网接口的工作模式 |
接口模式切换后,除了shutdown和combo enable命令,该以太网接口下的其它所有命令都将恢复到新模式下的缺省情况 |
以太网接口 |
· port-type switch gigabitethernet · port-type switch pos |
在POS接口和三层GE接口间进行类型切换 |
接口类型切换后,原接口删除并创建新的接口,该接口下的其它所有命令都将恢复到新接口下的缺省情况 |
FlexE接口 |
port link-mode |
切换FlexE业务接口的工作模式 |
接口模式切换后,除了shutdown命令,该FlexE业务接口下的其它所有命令都将恢复到新模式下的缺省情况 |
FlexE接口 |
· port-type flexe · port-type ethernet |
接口在标准以太模式和灵活以太模式间进行类型切换 |
接口类型切换后,原接口删除并创建新的接口,该接口下的其它所有命令都将恢复到新接口下的缺省情况 |
ISDN |
undo power-source |
关闭BRI接口的远程供电功能 |
执行本命令后,由BRI接口提供远程供电的设备(如ISDN数字电话)将断电 |
Modem管理 |
undo modem enable |
关闭Modem的呼入/呼出权限 |
当Modem处于连接状态时,配置本命令会使Modem连接断开 |
3G/4G Modem管理 |
modem reboot |
手动重启3G/4G Modem |
当3G/4G Modem处于连接状态时,配置本命令会使3G/4G Modem连接断开 |
ARP |
reset arp |
清除ARP表项 |
执行本命令会清除设备上已有的ARP表项,可能会导致外部流量无法及时发给局域网中的用户 |
ARP |
arp pnp |
开启即插即用网关功能 |
开启该功能后会导致该接口路由及ARP部分特性(如ARP代理功能)不可使用 |
DHCP |
dhcp snooping deny |
开启DHCP Snooping报文阻断功能 |
在接口上开启本功能后,DHCP Snooping会上丢弃该接口收到的所有DHCP请求方向报文,这会使连接该接口的DHCP客户端无法申请到IP地址。所以,本功能只能在不存在DHCP客户端的接口上开启 |
DHCPv6 |
ipv6 dhcp snooping deny |
开启DHCPv6 Snooping报文阻断功能 |
在接口上开启本功能后,DHCPv6 Snooping设备会丢弃该接口收到的所有DHCPv6请求方向报文,这会使连接该接口的DHCPv6客户端无法申请到IPv6地址或IPv6前缀。所以,本功能只能在不存在DHCPv6客户端的接口上开启 |
ADVPN |
reset vam server address-map |
清除注册到VAM Server上的IPv4私网地址和公网地址映射信息 |
执行本命令后,设备会向注册该IPv4私网地址的VAM Client发送错误通知报文,要求VAM Client下线 |
ADVPN |
reset vam server ipv6 address-map |
清除注册到VAM Server上的IPv6私网地址和公网地址映射信息 |
执行本命令后,设备会向注册该IPv6私网地址的VAM Client发送错误通知报文,要求VAM Client下线 |
ADVPN |
reset vam client fsm |
重置VAM Client的状态机 |
重置VAM Client的状态机后,VAM Client会立刻尝试重新上线 |
ADVPN |
reset vam client ipv6 fsm |
重置IPv6 VAM Client的状态机 |
重置IPv6 VAM Client的状态机后,IPv6 VAM Client会立刻尝试重新上线 |
静态路由 |
delete static-routes all |
删除所有静态路由 |
删除全部静态路由可能导致网络不通,报文转发失败,请谨慎使用 |
IPv6静态路由 |
delete ipv6 static-routes all |
删除所有IPv6静态路由 |
删除全部IPv6静态路由可能导致网络不通,报文转发失败,请谨慎使用 |
IS-IS |
network-entity |
配置IS-IS进程的网络实体名称(Network Entity Title,简称NET) |
批量执行cost-style、is-level和network-entity命令时,建议最后执行network-entity命令,以避免因配置顺序不正确引发IS-IS进程重启,以及重启期间可能导致的配置丢失 |
BGP |
label-allocation-mode |
配置标签申请方式 |
改变标签分配方式将重新下刷所有BGP路由,会导致业务的短暂中断,请慎重使用 |
BGP |
peer ignore |
禁止与指定对等体/对等体组建立会话 |
如果本设备和对等体的会话已经建立,则执行本命令后,会停止该会话,并且清除所有相关路由信息;如果本设备和对等体组的会话已经建立,则执行本命令后,会终止与对等体组内所有对等体之间的会话,并且清除所有相关路由信息 |
BGP |
reset bgp |
复位指定地址族下的BGP会话 |
复位BGP会话时,会造成短暂的BGP会话中断 |
BGP |
reset bgp all |
复位所有BGP会话 |
复位BGP会话时,会造成短暂的BGP会话中断 |
IGMP |
igmp version |
在接口上配置IGMP的版本 |
由于不同版本IGMP协议的报文结构与种类不同,因此需要为同一网段上的所有设备配置相同版本的IGMP,否则IGMP将不能正常运行 |
IGMP |
reset igmp group |
清除IGMP组播组的动态加入记录 |
执行本命令可能导致接收者中断组播信息的接收 |
MLD |
mld version |
在接口上配置MLD的版本 |
由于不同版本MLD协议的报文结构与种类不同,因此需要为同一网段上的所有设备配置相同版本的MLD,否则MLD将不能正常运行 |
MLD |
reset mld group |
清除MLD组播组的动态加入记录 |
执行本命令可能导致接收者中断IPv6组播信息的接收 |
MPLS L3VPN, MCE |
ip binding vpn-instance |
配置接口与指定VPN实例关联 |
配置或取消接口与VPN实例关联后,该接口上的IP地址、路由协议等配置将被删除 |
ARP攻击防御 |
arp scan |
开启ARP自动扫描功能 |
扫描操作可能比较耗时,且会占用较大的设备资源和网络负载。可以通过<Ctrl_C>来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项) |
FIPS |
fips mode enable |
开启FIPS模式 |
开启或者关闭FIPS模式,系统会提示用户选择启动方式并重启设备。重新启动可能会导致业务中断,请谨慎操作。 |
FIPS |
fips self-test |
手工触发密码算法自检 |
只有所有密码算法自检都通过了,整个密码算法自检才算成功。密码算法自检失败后,设备会自动重启 |
Portal |
portal authorization strict-checking |
开启Portal授权信息的严格检查模式 |
接口或者无线服务模板上开启Portal授权信息的严格检查模式后,当服务器给用户下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制该用户下线。可同时开启对授权ACL和授权User Profile的严格检查模式。若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线 |
Portal |
portal user-dhcp-only |
开启仅允许通过DHCP方式获取IP地址的客户端上线的功能 |
配置本命令后,配置静态IP地址的Portal认证用户不能上线。在AC+Fit AP组网中,仅当AC作DHCP服务器时,本命令才生效。在IPv6网络中,配置本命令后,无线客户端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以必须关闭临时IPv6地址 |
SSH |
ssh server port |
配置SSH服务的端口号 |
如果修改端口号前SSH服务是开启的,则修改端口号后系统会自动重启SSH服务,正在访问的用户将被断开,用户需要重新建立SSH连接后才可以继续访问。如果使用1~1024之间的知名端口号,有可能会导致其它服务启动失败 |
IPsec |
ipsec no-nat-process enable |
在接口上开启IPsec流量不进行NAT转换功能 |
该功能会影响NAT业务的处理流程,请谨慎使用 |
AP管理 |
undo wlan detect-anomaly enable |
关闭重启业务异常AC功能 |
关闭该功能,设备在发生业务异常时无法通过自动重启立即恢复,只能通过手动重启设备进行恢复。因此,如无特殊需要,请不要关闭该功能 |
VRRP |
vrrp vrid shutdown |
关闭指定的IPv4 VRRP备份组 |
关闭IPv4 VRRP备份组功能通常用于暂时禁用备份组,用户发送给IPv4 VRRP备份组的报文可能会被丢 |
VRRP |
vrrp ipv6 vrid shutdown |
关闭指定的IPv6 VRRP备份组 |
关闭IPv6 VRRP备份组功能通常用于暂时禁用备份组,用户发送给IPv4 VRRP备份组的报文可能会被丢弃 |
BFD |
bfd init-fail-timer |
配置BFD会话无法建立时,通知上层协议BFD会话down的超时时间 |
配置本命令后,对于由于配置原因(比如对端设备没有使能BFD,或者两端的BFD认证配置不一致等)造成BFD会话无法进入up状态的情况,如果配置了本定时器,会导致上层协议作出错误的处理,所以,请谨慎使用本命令 |
进程分布优化 |
placement reoptimize |
优化进程运行位置,使进程分布策略生效 |
执行该命令后,系统会重新计算主控进程的新位置。如果新当选的主控进程和原主控进程不同,则会触发进程的主备倒换。执行本命令之前,请确保相关进程已配置了NSR或GR等备份功能,且NSR或GR等备份功能处于稳定状态,否则,可能导致相关协议出现邻居震荡等异常情况 |
进程分布优化 |
monitor kernel deadloop action |
配置内核线程死循环后系统执行的操作 |
通常情况下,使用缺省配置即可。如果确实需要修改配置,请在工程师的指导下进行,以免引起系统异常 |
OAP单板 |
oap reboot |
复位OAP单板系统 |
复位操作可能会造成数据丢失以及业务中止,因此执行此操作请前先保存OAP单板系统的业务数据,并对OAP单板操作系统执行关机操作,以免业务中止及数据丢失等情况发生 |
应用层检测引擎 |
inspect bypass |
关闭应用层检测引擎功能 |
关闭应用层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。可能导致其它基于DPI功能的业务出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等 |
应用层检测引擎 |
inspect activate |
激活DPI各业务模块的策略和规则配置 |
执行此命令会暂时中断DPI业务的处理,可能导致其它基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!