02-命令行高危操作
本章节下载: 02-命令行高危操作 (201.05 KB)
高危险的命令只能由有资质、且经过培训的维护人员执行。如果对此类命令操作不当,可能会导致设备/单板断电、设备/单板重启、业务中断、业务运行异常、重要文件被删除、所有配置被清除、用户无法登录、用户下线等现象发生。
在对高危命令进行操作之前,请先了解可能带来的风险再进行操作。
模块 |
命令行 |
功能描述 |
高危提示 |
登录设备 |
authentication-mode |
设置用户登录设备时的认证方式。 |
当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。 |
登录设备 |
auto-execute command |
设置自动执行命令。 |
执行该命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用。 |
RBAC |
interface policy deny |
进入接口策略视图。 |
进入接口策略视图后,如果不配置允许操作的接口列表,则用户将没有操作任何接口的权限;如果需要限制或区分用户对接口资源的使用权限,则还应该通过permit interface命令配置允许用户操作的接口列表。 |
RBAC |
vlan policy deny |
进入VLAN策略视图。 |
进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限;如果需要限制或区分用户对VLAN资源的使用权限,则还应该通过permit vlan命令配置允许用户操作的VLAN列表。 |
RBAC |
vpn-instance policy deny |
进入VPN策略视图。 |
进入VPN策略视图后,如果不配置允许操作的VPN实例列表,则用户将没有操作任何VPN实例的权限;如果需要限制或区分用户对VPN资源的使用权限,则还应该通过permit vpn-instance命令配置允许用户操作的VPN实例列表。 |
FTP和TFTP |
delete |
彻底删除FTP服务器上的文件。 |
执行本命令前,请确认指定文件不会再被使用,以免误删有用文件。 |
FTP和TFTP |
rmdir |
彻底删除FTP服务器上的目录。 |
执行本命令前,请确认指定目录不会再被使用,以免误删有用目录。 |
文件系统管理 |
delete [ /unreserved ] file |
删除设备上的文件。 |
delete /unreserved
file命令用来永久删除文件,系统会将该文件从设备上彻底删除。被删除的文件不再存在,不能恢复。 |
文件系统管理 |
format |
格式化文件系统。 |
格式化操作将导致文件系统中的所有文件丢失,并且不可恢复;尤其需要注意的是,如果文件系统中有启动配置文件,格式化该文件系统,将丢失启动配置文件。 |
文件系统管理 |
reset recycle-bin |
清除回收站中的文件。 |
回收站中的文件可以通过undelete命令恢复,如果将文件从回收站中删除,将永远无法恢复文件。执行本命令前,请确认回收站的文件都是无效文件,不会再被使用。 |
文件系统管理 |
rmdir |
删除设备上的文件夹。 |
在删除文件夹前,必须先永久删除或者暂时删除文件夹中的所有文件和子文件夹。如果文件只是暂时删除,那么执行rmdir会导致这些文件从回收站中彻底删除。执行本操作前,请先确认该文件夹及其中的内容不会再被使用。 |
配置文件管理 |
configuration replace file |
执行配置回滚操作。 |
配置回滚是在不重启设备的情况下,将当前的配置回退到指定配置文件中的配置状态,回滚前的配置将会丢失。配置回滚过程中,可能会导致业务中断,请谨慎使用。 |
配置文件管理 |
reset saved-configuration |
删除设备存储介质中保存的下次启动配置文件。 |
执行该命令会将配置文件彻底删除,请谨慎使用。 |
配置文件管理 |
save |
保存设备的当前配置。 |
执行本命令时,可能会导致当前已经存在的配置文件被覆盖,请根据设备提示谨慎操作。 |
软件升级 |
undo version auto-update enable |
关闭备用主控板自动加载启动软件包的功能。 |
配置undo version auto-update enable和version check ignore命令后,在设备启动过程中,如果备用主控板和主用主控板启动软件包版本不一致,备用主控板仍然使用不一致的版本启动,可能会造成设备功能问题。 |
软件升级 |
version check ignore |
关闭对备用主控板进行启动软件包版本一致性检查功能。 |
如果关闭对备用主控板进行启动软件包版本一致性检查功能,当备用主控板和主用主控板启动软件包版本不一致时,备用主控板仍然使用不一致的版本启动,可能会造成设备功能问题。 |
ISSU |
issu commit |
完成ISSU升级操作。 |
执行此命令后,不能再通过ISSU回滚命令或者回滚定时器进行回滚操作,请谨慎使用。 |
ISSU |
reset install rollback oldest |
用来清除ISSU回滚点。 |
执行本命令后,将清除指定回滚点以及在此回滚点之前创建的所有回滚点,请谨慎使用。 |
预配置 |
undo provision [ subslot subslot-number ] model |
关闭预配置功能。 |
当关闭指定业务板/成员设备/PEX设备的预配置功能后,设备会自动删除该业务板/成员设备/PEX设备及其子卡的所有预配置。 |
设备管理 |
clock datetime |
配置设备的系统时间。 |
执行本命令会修改设备的系统时间,会影响和系统时间相关特性的执行(例如定时执行任务功能),以及和其他设备的协同操作(例如日志上报和统计),请谨慎执行。 |
设备管理 |
power-supply off |
强制给单板断电。 |
强制给单板下电后,单板将无法收发报文,请谨慎使用。 |
设备管理 |
reboot |
重启设备。 |
重新启动可能会导致业务中断,请谨慎使用。 |
设备管理 |
restore factory-default |
将设备恢复到出厂状态。 |
使用本命令会将设备恢复到出厂状态,请谨慎使用。 |
设备管理 |
scheduler reboot |
配置设备重启的具体时间和日期。 |
该命令会使设备在将来的某个时间点重新启动,从而导致业务中断,请谨慎使用。 |
设备管理 |
scheduler reboot delay |
配置重启设备的延迟时间。 |
该命令会使设备在将来的某个时间点重新启动,从而导致业务中断,请谨慎使用。 |
设备管理 |
switch-fabric isolate |
将网板从转发平面隔离出去,所有数据流量都不经过指定网板。 |
每块网板都有一定的转发带宽,隔离一块网板后会减少相应的转发带宽,使设备整体转发带宽降低。请根据需要配置。 |
设备管理 |
switch-fabric removal-signal-suppression |
抑制上报网板中断信号。 |
配置本命令后,网板拔出时可能会有流量丢包,导致业务中断,请谨慎使用。 |
IRF |
undo chassis convert mode |
将设备的运行模式从IRF模式切换到独立运行模式。 |
将设备的运行模式从IRF模式切换到独立运行模式,会导致设备从IRF中分离出来,但是配置和IRF冲突,导致设备和IRF的通信都受到影响。 |
IRF |
irf domain |
配置IRF域编号。 |
修改设备的IRF域编号,会导致设备离开当前IRF,不再属于当前IRF,不能和当前IRF中的设备交互IRF协议报文。 |
IRF |
irf isolate member |
隔离IRF成员编号。 |
成员编号被隔离后,使用该编号的成员设备会离开IRF并且以后也无法加入IRF,请在配置前谨慎确认需要隔离的编号。 |
IRF |
irf mac-address |
配置IRF的桥MAC地址为指定值。 |
桥MAC变化可能导致流量短时间中断,请谨慎配置。 |
IRF |
irf mac-address persistent |
配置IRF桥MAC的保留时间。 |
桥MAC变化可能导致流量短时间中断,请谨慎配置。 |
IRF |
irf member renumber |
配置设备的成员编号。 |
在IRF中以设备编号标志设备,配置IRF端口和优先级也是根据设备编号来配置的,所以,修改设备成员编号可能导致设备配置发生变化或者丢失,请慎重处理。 |
IRF |
undo port group interface |
取消设备的IRF端口和IRF物理端口的绑定关系。 |
执行本命令会影响IRF链路导致IRF分裂,请谨慎配置。 |
IRF3.1 |
pex system-working-mode |
配置设备在IRF3.1系统中的工作模式。 |
本命令可以修改设备的运行模式,决定设备是否可以作为PEX运行。 |
IRF3.1 |
pex-capability enable |
关闭接口连接PEX的能力。 |
关闭接口连接PEX的能力后,接口自动从PEX组中退出,对应PEX设备下线。 |
MDC |
allocate interface |
将物理接口从MDC中删除。 |
配置本命令后,会影响MDC的流量转发,请谨慎使用。 |
MDC |
undo location |
取消MDC对指定接口板的使用权限。 |
配置本命令后,MDC将不能再使用该接口板收发报文,影响MDC的流量转发,请谨慎使用。 |
MDC |
undo mdc start |
停止当前MDC。 |
停止MDC会导致该MDC的业务中断,登录该MDC的用户自动退出,请谨慎使用。 |
接口公共配置 |
default |
恢复当前接口的缺省配置。 |
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。 |
接口公共配置 |
shutdown |
关闭接口。 |
执行本命令会导致使用该接口建立的链路中断,不能通信,请谨慎使用。 |
以太网接口 |
port link-mode |
切换以太网接口的工作模式。 |
接口模式切换后,除了shutdown和combo enable命令,该以太网接口下的其它所有命令都将恢复到新模式下的缺省情况。 |
以太网接口, FC和FCoE |
port-type fc |
在二层以太网接口和FC接口间进行类型切换。 |
接口类型切换后,原接口删除并创建新的接口,该接口下的其它所有命令都将恢复到新接口下的缺省情况。 |
业务环回组 |
port service-loopback group |
将端口加入指定的业务环回组。 |
在将端口加入业务环回组时,该端口上已存在的所有配置都将被清除。执行本命令前请评估对网络造成的影响,做好相关准备工作。 |
ARP |
reset arp |
清除ARP表项。 |
执行本命令会清除设备上已有的ARP表项,可能会导致外部流量无法及时发给局域网中的用户。 |
DHCP |
dhcp snooping deny |
开启DHCP Snooping报文阻断功能。 |
在接口上开启本功能后,DHCP Snooping会上丢弃该接口收到的所有DHCP请求方向报文,这会使连接该接口的DHCP客户端无法申请到IP地址。所以,本功能只能在不存在DHCP客户端的接口上开启。 |
DHCPv6 |
ipv6 dhcp snooping deny |
开启DHCPv6 Snooping报文阻断功能。 |
在接口上开启本功能后,DHCPv6 Snooping设备会丢弃该接口收到的所有DHCPv6请求方向报文,这会使连接该接口的DHCPv6客户端无法申请到IPv6地址或IPv6前缀。所以,本功能只能在不存在DHCPv6客户端的接口上开启。 |
静态路由 |
delete static-routes all |
删除所有静态路由。 |
删除全部静态路由可能导致网络不通,报文转发失败,请谨慎使用。 |
IPv6静态路由 |
delete ipv6 static-routes all |
删除所有IPv6静态路由。 |
删除全部IPv6静态路由可能导致网络不通,报文转发失败,请谨慎使用。 |
IS-IS |
network-entity |
配置IS-IS进程的网络实体名称(Network Entity Title,简称NET)。 |
批量执行cost-style、is-level和network-entity命令时,建议最后执行network-entity命令,以避免因配置顺序不正确引发IS-IS进程重启,以及重启期间可能导致的配置丢失。 |
BGP |
ignore all-peers |
禁止与所有对等体/对等体组建立会话。 |
如果本设备和对等体/对等体组的会话已经建立,则执行本命令后,会断开本设备和对等体/对等体组的会话,并且清除所有路由信息。 |
BGP |
label-allocation-mode |
配置标签申请方式。 |
改变标签分配方式将重新下刷所有BGP路由,会导致业务的短暂中断,请慎重使用。 |
BGP |
peer ignore |
禁止与指定对等体/对等体组建立会话。 |
如果本设备和对等体的会话已经建立,则执行本命令后,会停止该会话,并且清除所有相关路由信息;如果本设备和对等体组的会话已经建立,则执行本命令后,会终止与对等体组内所有对等体之间的会话,并且清除所有相关路由信息。 |
BGP |
reset bgp |
复位指定地址族下的BGP会话。 |
复位BGP会话时,会造成短暂的BGP会话中断。 |
BGP |
reset bgp all |
复位所有BGP会话。 |
复位BGP会话时,会造成短暂的BGP会话中断。 |
BGP |
reset bgp rpki server |
复位BGP RPKI会话。 |
配置本命令后,设备将删除并重新建立指定的BGP RPKI会话,会造成BGP RPKI会话短暂中断。 |
IGMP |
igmp version |
在接口上配置IGMP的版本。 |
由于不同版本IGMP协议的报文结构与种类不同,因此需要为同一网段上的所有设备配置相同版本的IGMP,否则IGMP将不能正常运行。 |
IGMP |
reset igmp group |
清除IGMP组播组的动态加入记录。 |
执行本命令可能导致接收者中断组播信息的接收。 |
MLD |
mld version |
在接口上配置MLD的版本。 |
由于不同版本MLD协议的报文结构与种类不同,因此需要为同一网段上的所有设备配置相同版本的MLD,否则MLD将不能正常运行。 |
MLD |
reset mld group |
清除MLD组播组的动态加入记录。 |
执行本命令可能导致接收者中断IPv6组播信息的接收。 |
MPLS L3VPN |
apply-label |
配置MPLS标签分配方式。 |
执行本命令将改变标签的分配方式,导致VPN实例下的所有路由重分发。因此已经有业务在VPN实例中运行时,执行本命令会导致业务短暂中断,请慎重操作。 |
MPLS L3VPN, MCE |
ip binding vpn-instance |
配置接口与指定VPN实例关联。 |
配置或取消接口与VPN实例关联后,该接口上的IP地址、路由协议等配置将被删除。 |
802.1X |
dot1x eapol untag |
配置端口发送802.1X协议报文不携带VLAN Tag。 |
开启本功能后,端口发送的所有802.1X报文都将去除VLAN Tag,可能导致正常用户无法通过802.1X认证。 |
ARP攻击防御 |
arp scan |
开启ARP自动扫描功能。 |
扫描操作可能比较耗时,且会占用较大的设备资源和网络负载。可以通过<Ctrl_C>来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项)。 |
FIPS |
fips mode enable |
开启FIPS模式。 |
开启或者关闭FIPS模式,系统会提示用户选择启动方式并重启设备。重新启动可能会导致业务中断,请谨慎操作。 |
FIPS |
fips self-test |
手工触发密码算法自检。 |
只有所有密码算法自检都通过了,整个密码算法自检才算成功。密码算法自检失败后,设备会自动重启。 |
Portal |
portal authorization strict-checking |
开启Portal授权信息的严格检查模式。 |
接口或者无线服务模板上开启Portal授权信息的严格检查模式后,当服务器给用户下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制该用户下线。 |
Portal |
portal user-dhcp-only |
开启仅允许通过DHCP方式获取IP地址的客户端上线的功能。 |
配置本命令后,配置静态IP地址的Portal认证用户不能上线。 |
SSH |
ssh server port |
配置SSH服务的端口号。 |
如果修改端口号前SSH服务是开启的,则修改端口号后系统会自动重启SSH服务,正在访问的用户将被断开,用户需要重新建立SSH连接后才可以继续访问。 |
AP管理(仅支持融合AC产品适用) |
undo wlan detect-anomaly enable |
关闭重启业务异常AC功能。 |
关闭该功能,设备在发生业务异常时无法通过自动重启立即恢复,只能通过手动重启设备进行恢复。因此,如无特殊需要,请不要关闭该功能。 |
AP管理(仅支持融合AC产品适用) |
undo wlan enable |
关闭WLAN功能。 |
请在确定不需要WLAN相关功能后再关闭WLAN功能。 |
VRRP |
vrrp vrid shutdown |
关闭指定的IPv4 VRRP备份组。 |
关闭IPv4 VRRP备份组功能通常用于暂时禁用备份组,用户发送给IPv4 VRRP备份组的报文可能会被丢弃。 |
VRRP |
vrrp ipv6 vrid shutdown |
关闭指定的IPv6 VRRP备份组 |
关闭IPv6 VRRP备份组功能通常用于暂时禁用备份组,用户发送给IPv4 VRRP备份组的报文可能会被丢弃。 |
进程分布优化 |
placement reoptimize |
优化进程运行位置,使进程分布策略生效。 |
执行该命令后,系统会重新计算主控进程的新位置。如果新当选的主控进程和原主控进程不同,则会触发进程的主备倒换。 |
网络管理和监控 |
poe force-power |
开启PoE接口强制供电功能。 |
配置本命令后,设备会跳过检查直接给PD供电,需要用户自行确保设备提供的电能和PD要求的电能参数匹配,否则,可能会导致PD被损坏,请谨慎开启本功能。 |
进程监控和维护 |
monitor kernel deadloop action |
配置内核线程死循环后系统执行的操作。 |
通常情况下,使用缺省配置即可。如果确实需要修改配置,请在工程师的指导下进行,以免引起系统异常。 |
SmartMC |
smartmc upgrade boot-loader |
升级成员设备或SmartMC组的启动软件。 |
升级设备的启动软件,可能会造成业务中断。执行本命令前,请先确认升级操作不会影响业务正常运行。 |
SmartMC |
smartmc upgrade startup-configuration |
升级成员设备或SmartMC组的配置文件。 |
升级设备的配置后,设备的运行配置将变为指定的配置文件中的配置。执行本命令前,请先确认配置文件内容的正确性,保证设备升级后能够正常运行且配置正确。 |
镜像 |
mirroring-group reflector-port |
为远程源镜像组配置反射端口。 |
不能将反射端口加入到源VLAN中,否则会影响镜像功能的正常使用。 |
OAP manager |
oap client close |
关闭OAP client。 |
若指定的Client为Registered状态,OAP manager会发送一条关闭操作的通告报文给指定的OAP client,OAP client收到此报文后将执行关闭操作。若指定的Client不存在,则会打印提示信息。 |
OAP manager |
oap client reboot |
重启OAP client。 |
输入该命令后,若指定的Client为Registered状态,OAP manager会发送一条重启的通告报文给指定的OAP client,OAP client收到此报文后将执行重启操作。若指定的Client不存在,则会打印提示信息。 |
OAP单板 |
oap reboot |
复位OAP单板系统。 |
复位操作可能会造成数据丢失以及业务中止,因此执行此操作请前先保存OAP单板系统的业务数据,并对OAP单板操作系统执行关机操作,以免业务中止及数据丢失等情况发生。 |
FC和FCoE |
domain restart |
手工发起Fabric重配置。 |
指定disruptive参数发起中断重配置时,将清除所有运行数据重新进行协商,整个Fabric网络的数据传输都会中断,请谨慎使用。 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!