国家 / 地区

H3C无线局域网产品高危操作手册-6W100

02-命令行高危操作

本章节下载  (163.07 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Maintenance/High_Risk/H3C_Wlan_HR-6W100/202007/1311688_30005_0.htm

02-命令行高危操作


1 命令行高危操作

1.1  简介

高危险的命令只能由有资质、且经过培训的维护人员执行。如果对此类命令操作不当,可能会导致设备/单板断电、设备/单板重启、业务中断、业务运行异常、重要文件被删除、所有配置被清除、用户无法登录、用户下线等现象发生。

在对高危命令进行操作之前,请先了解可能带来的风险再进行操作。

1.2  高危命令行介绍

模块

命令行

描述

高危提示

登录设备

authentication-mode

设置用户登录设备时的认证方式

当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。

如果设置认证方式为password或scheme,但是没有配置认证密码或者认证用户,会影响下次登录设备。

登录设备

auto-execute command

设置自动执行命令

执行该命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用。

RBAC

interface policy deny

进入接口策略视图

进入接口策略视图后,如果不配置允许操作的接口列表,则用户将没有操作任何接口的权限;如果需要限制或区分用户对接口资源的使用权限,则还应该通过permit interface命令配置允许用户操作的接口列表。

RBAC

vlan policy deny

进入VLAN策略视图

进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限;如果需要限制或区分用户对VLAN资源的使用权限,则还应该通过permit vlan命令配置允许用户操作的VLAN列表。

FTP和TFTP

delete

彻底删除FTP服务器上的文件

执行本命令前,请确认指定文件不会再被使用,以免误删有用文件。

FTP和TFTP

rmdir

彻底删除FTP服务器上的目录

执行本命令前,请确认指定目录不会再被使用,以免误删有用目录。

文件系统管理

delete [ /unreserved ] file

删除设备上的文件

delete /unreserved file命令用来永久删除文件,系统会将该文件从设备上彻底删除。被删除的文件不再存在,不能恢复。

文件系统管理

format

格式化文件系统

格式化操作将导致文件系统中的所有文件丢失,并且不可恢复;尤其需要注意的是,如果文件系统中有启动配置文件,格式化该文件系统,将丢失启动配置文件。

文件系统管理

reset recycle-bin

清除回收站中的文件

回收站中的文件可以通过undelete命令恢复,如果将文件从回收站中删除,将永远无法恢复文件。执行本命令前,请确认回收站的文件都是无效文件,不会再被使用。

文件系统管理

rmdir

删除设备上的文件夹

在删除文件夹前,必须先永久删除或者暂时删除文件夹中的所有文件和子文件夹。如果文件只是暂时删除,那么执行rmdir会导致这些文件从回收站中彻底删除。执行本操作前,请先确认该文件夹及其中的内容不会再被使用。

配置文件管理

configuration replace file

执行配置回滚操作。

配置回滚是在不重启设备的情况下,将当前的配置回退到指定配置文件中的配置状态,回滚前的配置将会丢失。配置回滚过程中,可能会导致业务中断,请谨慎使用。

配置文件管理

reset saved-configuration

删除设备存储介质中保存的下次启动配置文件

执行该命令会将配置文件彻底删除,请谨慎使用。

配置文件管理

save

保存设备的当前配置

执行本命令时,可能会导致当前已经存在的配置文件被覆盖,请根据设备提示谨慎操作。

设备管理

clock datetime

配置设备的系统时间

执行本命令会修改设备的系统时间,会影响和系统时间相关特性的执行(例如定时执行任务功能),以及和其他设备的协同操作(例如日志上报和统计),请谨慎执行。

设备管理

reboot

重启设备

重新启动可能会导致业务中断,请谨慎使用。

使用force参数时,系统在重启时不会做任何保护性措施。重启后,可能导致文件系统损坏,请谨慎使用该参数。建议在系统故障或无法正常重启时,才使用该参数。

设备管理

restore factory-default

将设备恢复到出厂状态

使用本命令会将设备恢复到出厂状态,请谨慎使用。

IRF

undo port group interface

来取消IRF端口和IRF物理端口的绑定关系

配置本命令后,会导致设备从IRF中分离,影响设备和IRF的流量转发,请谨慎使用。

IRF

irf mac-address persistent

配置IRF的桥MAC地址的保留时间

桥MAC变化可能导致流量短时间中断,请谨慎配置。

IRF

irf member renumber

配置设备的成员编号

在IRF中以设备编号标志设备,配置IRF端口和优先级也是根据设备编号来配置的,所以,修改设备成员编号可能导致设备配置发生变化或者丢失,请慎重处理。

IRF

undo irf member stack enable

关闭指定设备的IRF功能

关闭设备的IRF功能后,会将指定成员设备从IRF中隔离出来。

接口公共配置

default

恢复当前接口的缺省配置

接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。

接口公共配置

shutdown

关闭接口

执行本命令会导致使用该接口建立的链路中断,不能通信,请谨慎使用。

以太网接口

port link-mode

切换以太网接口的工作模式

接口模式切换后,除了shutdowncombo enable命令,该以太网接口下的其它所有命令都将恢复到新模式下的缺省情况。

ARP

reset arp

清除ARP表项

执行本命令会清除设备上已有的ARP表项,可能会导致外部流量无法及时发给局域网中的用户。

DHCP

dhcp snooping deny

开启DHCP Snooping报文阻断功能

在接口上开启本功能后,DHCP Snooping会上丢弃该接口收到的所有DHCP请求方向报文,这会使连接该接口的DHCP客户端无法申请到IP地址。所以,本功能只能在不存在DHCP客户端的接口上开启。

DHCPv6

ipv6 dhcp snooping deny

开启DHCPv6 Snooping报文阻断功能

在接口上开启本功能后,DHCPv6 Snooping设备会丢弃该接口收到的所有DHCPv6请求方向报文,这会使连接该接口的DHCPv6客户端无法申请到IPv6地址或IPv6前缀。所以,本功能只能在不存在DHCPv6客户端的接口上开启。

静态路由

delete static-routes all

删除所有静态路由

删除全部静态路由可能导致网络不通,报文转发失败,请谨慎使用。

IPv6静态路由

delete ipv6 static-routes all

删除所有IPv6静态路由

删除全部IPv6静态路由可能导致网络不通,报文转发失败,请谨慎使用。

ARP攻击防御

arp scan

开启ARP自动扫描功能

扫描操作可能比较耗时,且会占用较大的设备资源和网络负载。可以通过<Ctrl_C>来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项)。

Portal

portal authorization strict-checking

开启Portal授权信息的严格检查模式

接口或者无线服务模板上开启Portal授权信息的严格检查模式后,当服务器给用户下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制该用户下线。
可同时开启对授权ACL和授权User Profile的严格检查模式。若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线。

Portal

portal user-dhcp-only

开启仅允许通过DHCP方式获取IP地址的客户端上线的功能

配置本命令后,配置静态IP地址的Portal认证用户不能上线。

在AC+Fit AP组网中,仅当AC作DHCP服务器时,本命令才生效。

在IPv6网络中,配置本命令后,无线客户端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以必须关闭临时IPv6地址。

SSH

ssh server port

配置SSH服务的端口号

如果修改端口号前SSH服务是开启的,则修改端口号后系统会自动重启SSH服务,正在访问的用户将被断开,用户需要重新建立SSH连接后才可以继续访问。

如果使用1~1024之间的知名端口号,有可能会导致其他服务启动失败。

AP管理

undo wlan detect-anomaly enable

关闭重启业务异常AC功能

关闭该功能,设备在发生业务异常时无法通过自动重启立即恢复,只能通过手动重启设备进行恢复。因此,如无特殊需要,请不要关闭该功能。

AP管理

undo wlan enable

关闭WLAN功能

请在确定不需要WLAN相关功能后再关闭WLAN功能。

关闭无线功能,会导致当前上线AP全部掉线,请谨慎使用。

应用层检测引擎

inspect bypass

关闭应用层检测引擎功能

关闭应用层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。可能导致其他基于DPI功能的业务出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等。

应用层检测引擎

inspect activate

激活DPI各业务模块的策略和规则配置

执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部