- 配置全局密码管理
1. 配置限制和指导
系统视图下的全局密码管理参数对所有设备管理类和网络接入类的本地用户生效。
设备管理类用户支持所有的密码管理功能,其中对于密码老化时间、密码最小长度、密码复杂度检查策略、密码组合策略以及用户登录尝试失败后的行为的配置,可分别在系统视图、用户组视图、本地用户视图下配置相关参数,其生效优先级从高到低依次为:本地用户视图->用户组视图->系统视图。
开启全局密码管理功能后,系统会持续记录历史密码。当记录的某用户的历史密码条数达到最大值后,该用户的后续新密码历史记录将覆盖最老的一条密码历史记录。只有关闭全局密码管理功能(undo password-control enable)或手动清除历史密码记录时(reset password-control history-record),历史密码记录才会被清除掉。
网络接入类用户支持的密码管理功能仅包括:配置密码最小长度、配置密码的复杂度检查策略、配置密码的组合策略、配置密码更新的最小时间间隔、配置每个用户密码历史记录的最大条数。其中对密码最小长度、密码复杂度检查策略以及密码组合策略的配置,可分别在系统视图、用户组视图、本地用户视图下配置相关参数,其生效优先级从高到低依次为:本地用户视图->用户组视图->系统视图。
除用户登录尝试失败后的行为配置属于即时生效的配置,会在配置生效后立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录之外,其它全局密码管理配置生效后仅对后续登录的用户以及后续设置的用户密码有效,不影响当前用户。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 控制密码设置
? 配置用户密码的最小长度。
password-control length length
缺省情况下,用户密码的最小长度为10个字符。
? 配置用户密码的组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,密码元素的最少组合类型为2种,至少要包含每种元素的个数为1。
? 配置用户密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,对用户密码中是否包含用户名或者在字符顺序颠倒的用户名进行检查,但对用户密码中是否包含连续三个或以上的相同字符不进行检查。
? 配置每个用户密码历史记录的最大条数。
password-control history max-record-number
缺省情况下,每个用户密码历史记录的最大条数为4条。
(3) 管理密码更新与老化
? 配置用户密码更新的最小时间间隔。
password-control update-interval interval
缺省情况下,用户密码更新的最小时间间隔为24小时。
? 配置用户密码的老化时间。
password-control aging aging-time
缺省情况下,用户密码的老化时间为90天。
? 配置密码过期前的提醒时间。
password-control alert-before-expire alert-time
缺省情况下,密码过期前的提醒时间为7天。
? 配置密码过期后允许用户登录的时间和次数。
password-control expired-user-login delay delay times times
缺省情况下,密码过期后的30天内允许用户登录3次。
(4) 控制用户登录
? 配置用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,用户登录尝试次数为3次;如果用户登录失败,则1分钟后再允许该用户重新登录。
? 配置用户帐号的闲置时间。
password-control login idle-time idle-time
缺省情况下,用户帐号的闲置时间为90天。
用户账号闲置超时后该账号将会失效,用户将无法正常登录设备。若不需要账号闲置时间检查功能,可将idle-time配置为0,表示Password Control对账号闲置时间无限制。
? 关闭首次登录修改密码功能。
undo password-control change-password first-login enable
? 开启弱密码登录修改密码功能。
password-control change-password weak-password enable
缺省情况下,弱密码登录修改密码功能处于关闭状态。
3 配置用户组密码管理
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,不存在任何用户组。
用户组的相关配置请参见“安全配置指导”中的“AAA”。
(3) 配置用户组的密码老化时间。
password-control aging aging-time
缺省情况下,采用全局密码老化时间。
(4) 配置用户组的密码最小长度。
password-control length length
缺省情况下,采用全局密码最小长度。
(5) 配置用户组密码的组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,采用全局密码组合策略。
(6) 配置用户组密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,采用全局密码复杂度检查策略。
(7) 配置用户组登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用全局的用户登录尝试限制策略。
4 配置本地用户密码管理
(1) 进入系统视图。
system-view
(2) 创建设备管理类本地用户或网络接入类本地用户,并进入本地用户视图。
? 创建设备管理类本地用户,并进入本地用户视图
local-user user-name class manage
? 创建网络接入类本地用户,并进入本地用户视图。
local-user user-name class network
缺省情况下,不存在任何本地用户。
本地用户密码管理功能仅对设备管理类的本地用户生效,对于网络接入类本地用户不起作用。本地用户的相关配置请参见“安全配置指导”中的“AAA”。
(3) 开启网络接入类本地用户视图下的密码管理功能。
password-control enable
缺省情况下,网络接入类本地用户视图下的密码管理功能处于开启状态。
(4) 配置本地用户的密码老化时间。
password-control aging aging-time
缺省情况下,采用本地用户所属用户组的密码老化时间。
仅设备管理类本地用户支持此配置。
(5) 配置本地用户的密码最小长度。
password-control length length
缺省情况下,采用本地用户所属用户组的密码最小长度。
(6) 配置本地用户的密码组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,采用本地用户所属用户组的密码组合策略。
(7) 配置本地用户密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,采用本地用户所属用户组的密码复杂度检查策略。
(8) 配置本地用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用本地用户所属用户组的用户登录尝试限制策略。
仅设备管理类本地用户支持此配置。
5 配置super密码管理
(1) 进入系统视图。
system-view
(2) 配置super密码的老化时间。
password-control super aging aging-time
缺省情况下,密码的老化时间为90天。
(3) 配置super密码的最小长度。
password-control super length length
缺省情况下,密码的最小长度与设备的型号有关,请以设备的实际情况为准。
(4) 配置super密码的组合策略。
password-control super composition type-number type-number [ type-length type-length ]
缺省情况下,密码的元素最少组合至少为2种,至少要包含每种元素的个数为1个。
6 Password Control显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后Password Control的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Password Control统计信息。
操作 |
命令 |
显示密码管理的配置信息 |
display password-control [ super ] |
显示用户认证失败后,被加入密码管理黑名单中的用户信息 |
display password-control blacklist [ user-name user-name | ip ipv4-address | ipv6 ipv6-address ] |
清除密码管理黑名单中的用户 |
reset password-control blacklist [ user-name user-name ] |
清除用户的密码历史记录 |
reset password-control history-record [ user-name user-name | super [ role role-name ] | network-class [ user-name user-name ] ] |
- SSH相关配置核查
1.设置SSH服务器兼容SSH1版本的客户端。
ssh server compatible-ssh1x enable
缺省情况下,SSH服务器不兼容SSH1版本的客户端。
2.设置SSH用户的认证超时时间
ssh server authentication-timeout time-out-value
缺省情况下,SSH用户的认证超时时间为60秒。
为了防止不法用户建立起TCP连接后,不进行接下来的认证而空占进程,妨碍其它合法用户的正常登录,可以设置验证超时时间,如果在规定的时间内没有完成认证就拒绝该连接。
3.设置SSH认证尝试的最大次数。
ssh server authentication-retries retries
缺省情况下,SSH连接认证尝试的最大次数为3次。
本功能可以防止非法用户对用户名和密码进行恶意地猜测和破解。在any认证方式下,SSH客户端通过publickey和password方式进行认证尝试的次数总和,不能超过配置最大次数。
4.设置对SSH用户的访问控制。
(IPv4网络)
ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
(IPv6网络)
ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
缺省情况下,允许所有SSH用户向设备发起SSH访问。
通过配置本功能,使用ACL过滤向SSH服务器发起连接的SSH客户端。
14.1 SSH协议算法集简介
设备作为服务器或者客户端与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的算法优先列表进行协商。指定的算法包括:
·密钥交换算法
·主机签名算法
·加密算法
·MAC算法
协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商。
14.2 配置SSH2协议密钥交换算法优先列表
(1)进入系统视图。
system-view
(2)配置SSH2协议密钥交换算法优先列表。
ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *
缺省情况下,SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1和dh-group1-sha1。
14.3 配置SSH2协议主机签名算法优先列表
(1)进入系统视图。
system-view
(2)配置SSH2协议主机签名算法优先列表。
ssh2 algorithm public-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } *
缺省情况下,SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa和dsa。
14.4 配置SSH2协议加密算法优先列表
(1)进入系统视图。
system-view
(2)配置SSH2协议加密算法优先列表。
ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } *
缺省情况下,SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc和des-cbc。
14.5 配置SSH2协议MAC算法优先列表
(1)进入系统视图。
system-view
(2) 配置SSH2协议MAC算法优先列表。
ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } *
缺省情况下,SSH2协议使用的缺省MAC算法从高到底的优先级列表为sha2-256、sha2-512、sha1、md5、sha1-96和md5-96。
14.6 SSH显示和维护
在完成上述配置后,在任意视图下执行display命令,可以显示配置后SSH的运行情况,通过查看显示信息验证配置的效果。
表1-2 SSH显示和维护
操作 |
命令 |
显示本地密钥对中的公钥部分 |
display public-key local { dsa | ecdsa | rsa } public [ name publickey-name ] |
显示保存在本地的远端主机的公钥信息 |
display public-key peer [ brief | name publickey-name ] |
显示SFTP客户端的源IP地址配置 |
display sftp client source |
显示Stelnet客户端的源IP地址配置 |
display ssh client source |
在SSH服务器端显示该服务器的状态信息或会话信息 |
display ssh server { session [ slot slot-number ] | status } |
在SSH服务器端显示SSH用户信息 |
display ssh user-information [ username ] |
显示设备上配置的SSH2协议使用的算法优先列表 |
display ssh2 algorithm |
在完成上述配置后,在任意视图下执行display命令可以显示配置后SSL的运行情况,通过查看显示信息验证配置的效果。
表1-1 SSL显示和维护
操作 |
命令 |
显示SSL客户端策略的信息 |
display ssl client-policy [ policy-name ] |
显示SSL服务器端策略的信息 |
display ssl server-policy [ policy-name ] |
创建SSL客户端策略,并进入SSL客户端策略视图。
ssl client-policy policy-name
(1) 配置SSL客户端策略所使用的PKI域。
pki-domain domain-name
缺省情况下,未指定SSL客户端策略所使用的PKI域。
如果服务器端需要对客户端进行基于数字证书的身份验证,则必须在SSL客户端指定PKI域,并在该PKI域内为SSL客户端申请本地数字证书。PKI域的创建及配置方法,请参见“安全配置指导”中的“PKI”。
(2)配置SSL客户端策略支持的加密套件。
prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecc_sm2_sm1_sm3 | ecc_sm2_sm4_sm3 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | ecdhe_sm2_sm1_sm3 | ecdhe_sm2_sm4_sm3 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha | rsa_sm1_sha | rsa_sm1_sm3 | rsa_sm4_sha | rsa_sm4_sm3 } *
缺省情况下,SSL客户端策略支持的加密套件为dhe_rsa_aes_128_cbc_sha、dhe_rsa_aes_256_cbc_sha、rsa_3des_ede_cbc_sha、rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。
(3)配置SSL客户端策略使用的SSL协议版本。
version { gm-tls1.1 | ssl3.0 | tls1.0 | tls1.1 | tls1.2 }
本命令中gm-tls1.1参数的支持情况与设备的型号有关,具体请参见命令参考。
缺省情况下,SSL客户端策略使用的SSL协议版本为TLS 1.0。
(4)配置客户端需要对服务器端进行基于数字证书的身份验证。
server-verify enable
缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证。
- 防火墙内的IPS核查
在任意视图下执行display命令可以显示配置后IPS的运行情况,通过查看显示信息验证配置的效果。
IPS显示和维护
操作 |
命令 |
显示IPS策略信息 |
display ips policy policy-name |
显示IPS特征库版本信息 |
display ips signature library |
显示IPS特征属性列表 |
display ips signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] * |
显示指定IPS特征的详细属性 |
display ips signature { pre-defined | user-defined } signature-id |
显示IPS自定义特征解析失败的信息 |
display ips signature user-defined parse-failed |
需要注意的核查问题:激活状态、库(signature library)升级的方式、最近升级时间、DPI的引入、IPS日志、IPS的动作(是否都是仅告警不阻断)等。
IPS动作方向配置:防内à外及外à内,缺省是双向的。
(1)进入IPS策略视图。
ips policy policy-name
(2)配置筛选IPS特征的属性。
? 配置筛选IPS特征的保护对象属性。
protect-target { target [ subtarget | all ] }
缺省情况下,IPS策略匹配所有保护对象的特征。
? 配置筛选IPS特征的攻击分类属性。
attack-category { category [ subcategory ] | all }
缺省情况下,IPS策略匹配所有攻击分类的特征。
? 配置筛选IPS特征的动作属性。
action { block-source | drop | permit | reset } *
缺省情况下,IPS策略匹配所有动作的特征。
? 配置筛选IPS特征的方向属性。
object-dir { client | server } *
缺省情况下,IPS策略匹配所有方向的特征。
? 配置筛选IPS特征的严重级别属性。
severity-level { critical | high | low | medium } *
缺省情况下,IPS策略匹配所有严重级别的特征。
- URL过滤
URL过滤显示和维护
完成上述配置后,在任意视图下执行display命令可以显示URL过滤的配置信息和分类信息等。
在用户视图下执行reset命令可以清除URL过滤的统计信息。
表1-2 URL过滤显示和维护
操作 |
命令 |
查看URL过滤缓存中的信息 |
display url-filter cache |
显示URL过滤父分类或子分类信息 |
display url-filter { category | parent-category } [ verbose ] |
显示URL过滤特征库信息 |
display url-filter signature library |
查看URL过滤的统计信息 |
display url-filter statistics |
清除URL过滤的统计信息 |
reset url-filter statistics |
- 防病毒显示和维护
完成上述配置后,在任意视图下执行display命令可以显示配置后防病毒的运行情况,通过查看显示信息验证配置的效果。
表1-1 防病毒显示和维护
操作 |
命令 |
显示防病毒缓存信息 |
display anti-virus cache [ slot slot-number ] |
显示病毒特征信息 |
display anti-virus signature [ [ signature-id ] | [ severity { critical | high | low | medium } ] ] |
显示病毒特征家族信息 |
display anti-virus signature family-info |
显示病毒特征库版本信息 |
display anti-virus signature library |
显示防病毒统计信息 |
display anti-virus statistics [ policy policy-name ] [ slot slot-number ] |
- WAF显示和维护
在任意视图下执行display命令可以显示配置后WAF的运行情况,通过查看显示信息验证配置的效果。
WAF显示和维护
操作 |
命令 |
显示WAF策略信息 |
display waf policy policy-name |
显示WAF特征库版本信息 |
display waf signature library |
显示WAF特征属性列表 |
display waf signature [ pre-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] * |
显示WAF预定义特征的详细信息 |
display waf signature pre-defined signature-id |
配置筛选WAF特征的属性
1. 功能简介
在WAF策略中,可以定义不同类型的属性作为WAF特征的过滤条件。如果某个属性中配置了多个参数,则WAF特征至少需要匹配上其中一个参数,才表示匹配上该属性。
2. 配置步骤
(1)进入系统视图。
system-view
(2)进入WAF策略视图。
waf policy policy-name
(3)配置筛选WAF特征的属性。
? 配置筛选WAF特征的保护对象属性。
protected-target { target [ sub-target subtarget ]| all }
缺省情况下,WAF策略匹配所有保护对象的特征。
? 配置筛选WAF特征的攻击分类属性。
attack-category { category [ sub-category subcategory ] | all }
缺省情况下,WAF策略匹配所有攻击分类的特征。
? 配置筛选WAF特征的动作属性。
action { block-source | drop | permit | reset } *
缺省情况下,WAF策略匹配所有动作的特征。
? 配置筛选WAF特征的方向属性。
object-dir { client | server } *
缺省情况下,WAF策略匹配所有方向的特征。
? 配置筛选WAF特征的严重级别属性。
severity-level { critical | high | low | medium } *
缺省情况下,WAF策略匹配所有严重级别的特征。
- IPSEC相关
IPsec包括AH和ESP两种安全协议,它们定义了对IP报文的封装格式以及可提供的安全服务。
·AH协议(IP协议号为51)定义了AH头在IP报文中的封装格式,如图1-3所示。AH可提供数据来源认证、数据完整性校验和抗重放功能,它能保护报文免受篡改,但不能防止报文被窃听,适合用于传输非机密数据。AH使用的认证算法有HMAC-MD5和HMAC-SHA1等。AH协议不支持NAT穿越功能。
·ESP协议(IP协议号为50)定义了ESP头和ESP尾在IP报文中的封装格式,如图1-3所示。ESP可提供数据加密、数据来源认证、数据完整性校验和抗重放功能。与AH不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。ESP使用的加密算法有DES、3DES、AES等。同时,作为可选项,ESP还可以提供认证服务,使用的认证算法有HMAC-MD5和HMAC-SHA1等。虽然AH和ESP都可以提供认证服务,但是AH提供的认证服务要强于ESP。
在实际使用过程中,可以根据具体的安全需求同时使用这两种协议或仅使用其中的一种。设备支持的AH和ESP联合使用的方式为:先对报文进行ESP封装,再对报文进行AH封装。
IPsec显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后IPsec的运行情况,通过查看显示信息认证配置的效果。
在用户视图下执行reset命令可以清除IPsec统计信息。
表1-2 IPsec显示和维护
操作 |
命令 |
显示IPsec安全策略的信息 |
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ] |
显示IPsec安全策略模板的信息 |
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ] |
显示IPsec安全框架的信息 |
display ipsec profile [ profile-name ] |
显示IPsec SA的相关信息 |
display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ] |
显示IPsec智能选路策略的配置信息 |
display ipsec smart-link policy [ brief | name policy-name ] |
显示IPsec处理报文的统计信息 |
display ipsec statistics [ tunnel-id tunnel-id ] |
显示IPsec安全提议的信息 |
display ipsec transform-set [ transform-set-name ] |
显示IPsec隧道的信息 |
display ipsec tunnel [ brief | count | tunnel-id tunnel-id ] |
清除已经建立的IPsec SA |
reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ] |
清除IPsec的报文统计信息 |
reset ipsec statistics [ tunnel-id tunnel-id ] |
ADVPN(Auto Discovery Virtual Private Network,自动发现虚拟专用网络)是一种基于VAM(VPN Address Management,VPN地址管理)协议的动态VPN技术。
在企业网各分支机构使用动态地址接入公网的情况下,可以利用ADVPN在各分支机构间建立VPN。
配置VAM协议报文的安全参数
该配置用来设置VAM协议报文的验证、加密算法。VAM Server根据配置的报文完整性验证、加密算法以及优先级与VAM Client发送的算法列表进行协商,协商后的算法分别作为两端协议报文的完整性验证算法和加密算法。
VAM Server与VAM Client固定使用SHA-1验证算法和AES-CBC-128加密算法对连接初始化请求和响应报文进行完整性验证和加密;使用协商出来的验证算法和加密算法对其他VAM协议报文进行完整性验证和加密。
(1)进入系统视图。
system-view
(2)进入ADVPN域视图。
vam server advpn-domain domain-name [ id domain-id ]
(3)配置VAM协议报文的验证算法。
authentication-algorithm { aes-xcbc-mac | md5 | none | sha-1 | sha-256 } *
缺省情况下,VAM协议报文的验证算法为SHA-1。
(4)配置VAM协议报文的加密算法。
encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | des-cbc | none } *
缺省情况下,按照优先级由高到低依次使用AES-CBC-256、AES-CBC-192、AES-CBC-128、AES-CTR-256、AES-CTR-192、AES-CTR-128、3DES-CBC、DES-CBC算法。
(5) 配置VAM Server对VAM Client的身份认证方式。
authentication-method { none | { chap | pap } [ domain isp-name ] }
缺省情况下,VAM Server使用CHAP方式,对VAM Client进行身份认证,认证使用的ISP域为用户配置的缺省ISP域。
(6) 配置VAM Client的预共享密钥。
pre-shared-key { cipher | simple } string
缺省情况下,未配置预共享密钥。
(7) 配置认证用户名和密码。
user username password { cipher | simple } string
缺省情况下,没有配置认证用户名和密码。
(8) 开启ADVPN日志功能。
advpn logging enable
缺省情况下,ADVPN日志功能处于关闭状态。
ADVPN显示和维护
在任意视图下执行display命令可以显示配置后ADVPN的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相应的统计信息。
操作 |
命令 |
显示注册到VAM Server上的VAM Client的IPv4私网地址和公网地址映射信息 |
display vam server address-map [ advpn-domain domain-name [ private-address private-ip-address ] ] [ verbose ] |
显示注册到VAM Server上的VAM Client的IPv6私网地址和公网地址映射信息 |
display vam server ipv6 address-map [ advpn-domain domain-name [ private-address private-ipv6-address ] ] [ verbose ] |
显示注册到VAM Server上的VAM Client的IPv4私网信息 |
display vam server private-network [ advpn-domain domain-name [ private-address private-ip-address ] ] |
显示注册到VAM Server上的VAM Client的IPv6私网信息 |
display vam server ipv6 private-network [ advpn-domain domain-name [ private-address private-ipv6-address ] ] |
显示VAM Server上ADVPN域的统计信息 |
display vam server statistics [ advpn-domain domain-name ] |
显示VAM Client的状态机信息 |
display vam client fsm [ name client-name ] |
显示VAM Client的统计信息 |
display vam client statistics [ name client-name ] |
显示VAM Client收到的VAM Server下发的跨Hub组建立IPv4 Spoke-Spoke直连隧道的规则 |
display vam client shortcut interest [ name client-name ] |
显示VAM Client收到的VAM Server下发的跨Hub组建立IPv6 Spoke-Spoke直连隧道的规则 |
display vam client shortcut ipv6 interest [ name client-name ] |
显示ADVPN隧道组名与QoS策略的对应关系 |
display advpn group-qos-map [ interface tunnel number [ group group-name ] ] |
显示IPv4 ADVPN隧道的信息 |
display advpn session [ interface tunnel number [ private-address private-ip-address ] ] [ verbose ] |
显示IPv6 ADVPN隧道的信息 |
display advpn ipv6 session [ interface tunnel number [ private-address private-ipv6-address ] ] [ verbose ] |
显示不同状态下ADVPN会话的个数 |
display advpn session count |
在任意视图下执行display命令可以显示配置后HA的运行情况,通过查看显示信息验证配置的效果。
表1-1 HA显示和维护
操作 |
命令 |
显示HA的状态信息 |
display remote-backup-group status |
显示HA关键配置信息的一致性检查结果 |
display remote-backup-group sync-check |
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 0 min
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_P[DeviceA] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Master
Total number of virtual routers : 2
在完成上述配置后,在任意视图下执行display命令都可以显示配置后生成树的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除生成树的统计信息。
操作 |
命令 |
显示生成树的状态和统计信息 |
display stp [ instance instance-list | vlan vlan-id-list ] [ interface interface-list | slot slot-number ] [ brief ] |
显示生成树端口角色计算的历史信息 |
display stp [ instance instance-list | vlan vlan-id-list ] history [ slot slot-number ] |
显示生成树所有端口收发的TC或TCN报文数 |
display stp [ instance instance-list | vlan vlan-id-list ] tc [ slot slot-number ] |
显示被生成树保护功能阻塞的端口信息 |
display stp abnormal-port |
显示端口上的BPDU统计信息 |
display stp bpdu-statistics [ interface interface-type interface-number [ instance instance-list ] ] |
显示被生成树保护功能down掉的端口信息 |
display stp down-port |
显示生效的MST域配置信息 |
display stp region-configuration |
显示所有生成树的根桥信息 |
display stp root |
- 信息中心显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后信息中心的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset logbuffer命令可以将日志缓冲区的统计信息清除。
操作 |
命令 |
显示设备或登录软件当前使用的字符集编码 |
display character-set [ terminal ] |
显示诊断日志文件的配置 |
display diagnostic-logfile summary |
显示各个输出方向的信息 |
display info-center |
显示用户创建的日志输出规则的相关信息 |
display info-center filter [ filtername ] |
显示日志信息的输出规则 |
display info-center source [ module module-name ] |
显示日志缓冲区的状态和日志缓冲区记录的日志信息 |
display logbuffer [ module module-name [ submodule submodule-name ] ] [ reverse ] [ level severity | size buffersize | slot slot-number ] * |
显示日志缓冲区的概要信息 |
display logbuffer summary [ level severity | slot slot-number ] * |
显示日志文件的配置 |
display logfile summary |
显示安全日志文件的概要信息(只有安全日志管理员才能执行该命令) |
display security-logfile summary |
清除日志缓冲区内的信息 |
reset logbuffer [ module module-name [ submodule submodule-name ] ] |
与华为的设备相比,h3c的info-center的日志上传采用flow格式、syslog协议,但没有tcp ssl的配置项;
但h3c的日志可以通过snmp进行上传syslog,不仅仅是trap了:
snmp-agent trap enable syslog
- Smart Link显示和维护
Smart Link用于双上行组网中实现主备链路的冗余备份,并提供亚秒级的快速链路切换。如图1-1所示,在Device C和Device D上采用Smart Link功能,可以实现主用上行链路故障时,将流量快速切换到备用上行链路。
在任意视图下执行display命令可以显示配置后Smart Link的运行情况以及Flush报文的统计信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Flush报文的统计信息。
操作 |
命令 |
显示设备收到的Flush报文信息 |
display smart-link flush |
显示Smart Link组的信息 |
display smart-link group { group-id | all } |
清除Flush报文的统计信息 |
reset smart-link statistics |
接口备份是指同一台设备上的接口之间形成备份或负载分担的关系。通常由主接口承担业务传输,备份接口处于备份状态。当主接口本身或其所在线路发生故障而导致业务传输无法正常进行时,或当主接口的流量超过设定的阈值时,备份接口将被用来传输业务,从而提高了网络的可靠性。
操作 |
命令 |
查看主接口与备份接口的状态 |
display interface-backup state |
查看参与负载分担的接口的流量统计信息 |
display interface-backup statistics |
接口组联动功能通过将设备上不同的接口加入到同一个联动组中,实现同一个联动组内接口状态之间相互关联,使得这些成员接口都具备或不具备报文传输能力。
接口组联动显示和维护
操作 |
命令 |
显示联动组的信息 |
display collaboration-group { group-id | all } [ verbose ] |
- NTP显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后NTP的运行情况,通过查看显示信息验证配置的效果。
表1-6 NTP显示和维护
操作 |
命令 |
显示NTP服务的所有IPv6会话信息 |
display ntp-service ipv6 sessions [ verbose ] |
显示NTP服务的所有IPv4会话信息 |
display ntp-service sessions [ verbose ] |
显示NTP服务的状态信息 |
display ntp-service status |
显示从本地设备回溯到主时间服务器的各个NTP时间服务器的简要信息 |
display ntp-service trace [ source interface-type interface-number ] |
SNTP显示和维护
操作 |
命令 |
显示SNTP服务维护的IPv6会话信息 |
display sntp ipv6 sessions |
显示SNTP服务维护的IPv4会话信息 |
display sntp sessions |
EAA(Embedded Automation Architecture,嵌入式自动化架构)是集成在系统软件中的一系列相关软件模块的总称。
使用EAA功能:
·用户可以定制一系列监控策略,在策略中定义自己感兴趣的事件以及事件发生时的处理动作。监控策略被启用后,系统会实时监控设备的运行,当用户定制的事件发生时,就触发相应的监控策略并自动执行监控策略中的动作。
·设备能够智能地监控多种事件,并做出灵活多变的响应,从而大大地提升系统的可维护性。
事件类型 |
描述 |
cli |
监控命令行事件:配置该事件后,当用户输入指定的命令并对其进行特定操作(执行、帮助或者补全)就会触发策略执行 |
syslog |
监控日志事件:配置该事件后,当系统在指定时间段内生成指定规格的日志信息时触发监控策略执行;RTM模块产生的日志不会触发策略执行 |
process |
监控进程事件:配置该事件后,当指定进程(可以为用户命令行触发的或者系统自动触发的)发生指定状态变化(异常、关闭、启动或重启时),触发监控策略执行 |
hotplug |
监控成员设备加入或离开IRF事件:配置该事件后,成员设备加入或离开IRF均会触发监控策略执行 |
interface |
监控接口事件:接口事件中存在一个触发开关: 1.配置该事件后,触发开关立即打开 2.当指定接口上的指定报文的数目达到start-op start-op start-val start-val参数指定的条件时,触发监控策略执行一次(第一次执行),并关闭触发开关,但系统会继续监控接口事件 3.当满足restart-op restart-op restart-val restart-val参数指定的条件时,才重新开启触发开关 4.如果指定接口上的指定报文的数目再次达到start-op start-op start-val start-val参数指定的条件时,则再次触发监控策略执行一次(第二次执行),并关闭触发开关,系统继续监控接口事件 5.如此循环 |
snmp |
监控SNMP节点值变化事件 SNMP节点值变化事件中存在一个触发开关: 1.配置该事件后,触发开关立即打开 2.系统根据用户配置,定时轮询设备上某个节点的值,当该值达到start-op start-op start-val start-val指定的条件时,触发监控策略执行一次(第一次执行),并关闭触发开关,但系统会继续监控SNMP节点值变化事件 3.当节点值满足restart-op restart-op restart-val restart-val指定的条件时,才重新开启触发开关 4.当节点值再次达到start-op start-op start-val start-val指定的条件时,则再次触发监控策略执行一次(第二次执行),并关闭触发开关,系统继续监控SNMP节点值变化事件 5.如此循环 |
snmp-notification |
监控SNMP告警事件 配置该事件后,当系统生成一条告警,告警中携带的MIB对象(由oid参数指定)的值到达oid-val oid-val op op指定的条件时,触发监控策略执行 |
track |
监控Track事件 配置该事件后,当关联的Track项状态由Positive变为Negative或者Negative变为Positive时,触发监控策略执行;如果关联多个Track项,则最后一个处于Positive(Negative)状态的Track项变为Negative(Positive)时,触发监控策略执行 如果配置了抑制时间,触发策略的同时开始计时,定时器超时前,收到状态从Positive(Negative)变为Negative(Positive)的消息,直接丢弃,不会处理。直到定时器超后,收到状态从Positive(Negative)变为Negative(Positive)的消息才处理,再一次触发策略执行 |
EAA显示和维护
操作 |
命令 |
显示CLI监控策略下生效的具体配置 |
display current-configuration |
显示用户自定义的EAA环境变量配置 |
display rtm environment [ var-name ] |
显示监控策略的相关信息 |
display rtm policy { active | registered [ verbose ] } [ policy-name ] |
显示CLI监控策略下生效的具体配置(请在CLI监控策略视图下执行该命令) |
display this |
- SNMPv3
安全模型 |
创建组时必须配置的相关参数 |
创建用户时必须配置的相关参数 |
说明 |
认证加密 |
privacy |
算法、认证密码、加密密码 |
认证密码和加密密码必须和NMS上的一致才能建立SNMP连接 |
认证不加密 |
authentication |
算法、认证密码 |
认证密码必须和NMS上的一致才能建立SNMP连接 |
不认证不加密 |
无 |
无 |
即便配置了认证密码、加密密码,建立SNMP连接时也不会用到 |
相关配置:
(1)创建SNMPv3组。
snmp-agent group v3 group-name [ authentication | privacy ] [ notify-view view-name | read-view view-name | write-view view-name ] * [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *
(2)(可选)为明文密码计算对应的密文密码。
snmp-agent calculate-password plain-password mode { 3desmd5 | 3dessha | md5 | sha } { local-engineid | specified-engineid engineid }
(3)创建SNMPv3用户。请选择其中一项进行配置。
? VACM方式:
snmp-agent usm-user v3 user-name group-name [ remote { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *
? RBAC方式:
snmp-agent usm-user v3 user-name user-role role-name [ remote { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *
当设备需要向目的主机发送SNMPv3 Inform报文时,remote参数必选。
SNMP显示和维护
操作 |
命令 |
显示SNMPv1或SNMPv2c团体信息 |
display snmp-agent community [ read | write ] |
显示SNMP上下文 |
display snmp-agent context [ context-name ] |
显示SNMP组信息 |
display snmp-agent group [ group-name ] |
显示本设备的SNMP引擎ID |
display snmp-agent local-engineid |
显示SNMP支持的MIB节点信息 |
display snmp-agent mib-node [ details | index-node | trap-node | verbose ] |
显示MIB视图的信息 |
display snmp-agent mib-view [ exclude | include | viewname view-name ] |
显示远端SNMP实体引擎信息 |
display snmp-agent remote [ { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] |
显示SNMP报文统计信息 |
display snmp-agent statistics |
显示SNMP设备的系统信息 |
display snmp-agent sys-info [ contact | location | version ] * |
显示告警信息队列的基本信息 |
display snmp-agent trap queue |
显示SNMP告警功能的开启状态 |
display snmp-agent trap-list |
显示SNMPv3用户信息 |
display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ] * |
- RMON显示和维护
在任意视图下执行display命令可以显示配置后RMON的运行情况,通过查看显示信息,验证配置的效果。
表1-2 RMON显示和维护
操作 |
命令 |
显示RMON告警表项的相关信息 |
display rmon alarm [ entry-number ] |
显示RMON事件表项的相关信息 |
display rmon event [ entry-number ] |
显示事件日志表项的相关信息 |
display rmon eventlog [ entry-number ] |
显示RMON历史控制表及历史采样信息 |
display rmon history [ interface-type interface-number ] |
显示RMON扩展告警表项的相关信息 |
display rmon prialarm [ entry-number ] |
显示RMON统计信息 |
display rmon statistics [ interface-type interface-number ] |
Event MIB显示和维护
Event MIB(Event Management Information Base,事件管理信息库)是基于SNMPv3的网络管理协议,是RMON的丰富和增强。Event MIB可监控本设备以及远端设备上的MIB对象,通过阈值比较、布尔值比较或者监控节点的消失、变化、新增等,来判断被监控对象是否满足一定条件,当满足条件时,自动触发预设的Notification或Set事件。
在任意视图下执行display命令可以显示配置后Event MIB的运行情况,通过查看显示信息验证配置的效果。
Event MIB显示和维护
操作 |
命令 |
显示Event MIB相关配置及统计信息 |
display snmp mib event |
显示Event表项的相关信息 |
display snmp mib event event [ owner event-owner name event-name ] |
显示Objects表项的相关信息 |
display snmp mib event object list [ owner group-owner name group-name ] |
显示Event MIB全局配置和统计信息 |
display snmp mib event summary |
显示Trigger表项的相关信息 |
display snmp mib event trigger [ owner trigger-owner name trigger-name ] |
- 为本地AAA认证用户授权角色
1. 功能简介
对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色。有关AAA以及本地用户相关配置的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
2. 配置限制和指导
·由于本地用户缺省就拥有一个用户角色,如果要赋予本地用户新的用户角色,请确认是否需要保留这个缺省的用户角色,若不需要,请删除。
·系统中的最后一个安全日志管理员角色的本地用户不可被删除。
·安全日志管理员与其它用户角色互斥,为一个本地用户授权安全日志管理员角色时,经过界面的交互式确认后,系统会自动删除当前用户的所有其它他用户角色。
·如果已经为当前本地用户授权了安全日志管理员角色,再授权其它的用户角色时,经过界面的交互确认后,系统会自动删除当前用户的安全日志管理员角色。
·可通过多次执行该配置,为本地用户授权多个用户角色,最多可授权64个。
3. 配置步骤
(1)进入系统视图。
system-view
(2)创建本地用户,并进入本地用户视图。
local-user user-name class { manage | network }
(3)为本地用户授权用户角色。
authorization-attribute user-role role-name
缺省情况下,由用户角色为network-admin或level-15的用户创建的本地用户将被授权用户角色network-operator。
RBAC显示和维护
可在任意视图下执行以下命令:
display role [ name role-name ]
·显示特性信息。
display role feature [ name feature-name | verbose ]
·显示特性组信息。
display role feature-group [ name feature-group-name ] [ verbose ]
配置示例:
# 配置接口HundredGigE1/0/1的IP地址,Telnet用户将通过该地址连接Router。
<Router> system-view
[Router] interface hundredgige 1/0/1
[Router-HundredGigE1/0/1] ip address 192.168.1.70 255.255.255.0
[Router-HundredGigE1/0/1] quit
# 开启Router的Telnet服务器功能。
[Router] telnet server enable
# 配置Telnet用户登录采用AAA认证方式。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
# 配置ISP域bbb的AAA方法为本地认证和本地授权。
[Router] domain bbb
[Router-isp-bbb] authentication login local
[Router-isp-bbb] authorization login local
[Router-isp-bbb] quit
# 创建用户角色role1。
[Router] role name role1
# 配置用户角色规则1,允许用户执行所有特性中读类型的命令。
[Router-role-role1] rule 1 permit read feature
# 配置用户角色规则2,允许用户执行进入接口视图以及接口视图下的相关命令。
[Router-role-role1] rule 2 permit command system-view ; interface *
# 进入接口策略视图,允许用户具有操作接口HundredGigE1/0/2~HundredGigE1/0/4的权限。
[Router-role-role1] interface policy deny
[Router-role-role1-ifpolicy] permit interface hundredgige 1/0/2 to hundredgige 1/0/4
[Router-role-role1-ifpolicy] quit
[Router-role-role1] quit
# 创建设备管理类本地用户user1。
[Router] local-user user1 class manage
# 配置用户的密码是明文的123456TESTplat&!。
[Router-luser-manage-user1] password simple 123456TESTplat&!
# 指定用户的服务类型是Telnet。
[Router-luser-manage-user1] service-type telnet
# 指定用户user1的授权角色为role1。
[Router-luser-manage-user1] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户user1具有的缺省用户角色network-operator。
[Router-luser-manage-user1] undo authorization-attribute user-role network-operator
[Router-luser-manage-user1] quit
配置对SSH/Telnet用户的访问控制
(IPv4网络)
ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
telnet server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
(IPv6网络)
ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
缺省情况下,未对SSH用户进行ACL限制。
关于ssh server acl、ssh server ipv6 acl命令的详细介绍请参见“安全命令参考”中的“SSH”。
缺省情况下,用户通过Console口登录,认证方式为none;
- 防火墙的日志类型和交换机的日志类型的不同
防火墙F1000日志的类型
日志功能记录并输出各种日志信息,分别是系统日志、安全防护日志、流日志、应用审计日志、网站访问日志和调试(debug)信息。详细分类如表1-1所示。
日志分类 |
日志名称 |
描述 |
系统日志 |
系统日志 |
系统状态,如接口up、down事件 |
操作日志 |
系统操作信息,如对系统进行的命令操作 |
|
系统健康日志 |
系统的健康状态,CPU占用率、磁盘占用率等 |
|
安全防护日志 |
IP-MAC日志 |
ARP攻击 |
扫描攻击防御日志 |
扫描攻击 |
|
Flood攻击防御日志 |
泛洪攻击 |
|
异常报文攻击日志 |
异常报文 |
|
流日志 |
流量日志 |
会话日志 |
NAT日志 |
NAT转换的日志 |
|
应用审计日志 |
IM聊天软件日志 |
IM 即时通讯信息,如QQ、MSN等 |
社区日志 |
网络社区,微博、论坛等 |
|
搜索引擎日志 |
搜索引擎产生的日志 |
|
邮件日志 |
邮件信息 |
|
命令日志 |
FTP、Telnet协议的命令 |
|
其它应用日志 |
其它类型的应用日志,如P2P、网银等使用 |
|
网站访问日志 |
URL日志 |
访问网站 |
恶意URL日志 |
访问恶意网站 |
交换机S12800和MSR路由器日志信息的分类
系统产生的日志信息共分为:
·普通日志:用于记录日常信息。除特殊说明外,下文中的日志均指普通日志。
·诊断日志:用于记录调试信息。
·安全日志:用于记录与认证、授权等安全相关的信息。
·隐藏日志:用于记录需要以日志的方式记录下来但不需要在终端上显示的信息(如用户通过命令行输入命令的记录信息等)。
·调试跟踪日志:用于记录系统跟踪调试信息,调试跟踪日志信息,必须加载devkit包后才可以查看,普通用户无需关注,主要提供给服务工程师定位问题。
注意:交换机和路由器的日志审计信息,并没有流量日志(华为的叫法:流量日志,H3C的叫法:流日志)
EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)是一种二层VPN技术,控制平面采用MP-BGP通告EVPN路由信息,数据平面采用VXLAN封装方式转发报文。租户的物理站点分散在不同位置时,EVPN可以基于已有的服务提供商或企业IP网络,为同一租户的相同子网提供二层互联;通过EVPN网关为同一租户的不同子网提供三层互联,并为其提供与外部网络的三层互联。
EVPN不仅继承了MP-BGP和VXLAN的优势,还提供了新的功能。EVPN具有如下特点:
·简化配置:通过MP-BGP实现VTEP自动发现、VXLAN隧道自动建立、VXLAN隧道与VXLAN自动关联,无需用户手工配置,降低网络部署难度。
·分离控制平面与数据平面:控制平面负责发布路由信息,数据平面负责转发报文,分工明确,易于管理。
·支持对称IRB(Integrated Routing and Bridging,集成的路由和桥接):MP-BGP同时发布二层MAC地址和三层路由信息,VTEP既可以进行二层转发,也可以进行三层路由。这样,不仅可以保证流量采用最优路径转发,还可以减少广播流量。
显示EVPN运行状态和统计信息
可在任意视图下执行以下命令:
· 显示BGP EVPN对等体组的信息。
display bgp [ instance instance-name ] group l2vpn evpn [ group-name group-name ]
本命令的详细介绍请参见“三层技术-IP路由命令参考”中的“BGP基础命令”。
· 显示BGP EVPN对等体或对等体组的状态和统计信息。
display bgp [ instance instance-name ] peer l2vpn evpn [ ipv4-address mask-length | { ipv4-address | group-name group-name } log-info | [ ipv4-address ] verbose ]
本命令的详细介绍请参见“三层技术-IP路由命令参考”中的“BGP基础命令”。
· 显示BGP EVPN地址族的打包组相关信息。
display bgp [ instance instance-name ] update-group l2vpn evpn [ ipv4-address ]
本命令的详细介绍请参见“三层技术-IP路由命令参考”中的“BGP基础命令”。
· 显示EVPN通过BGP自动发现的邻居信息。
display evpn auto-discovery { imet [ peer ip-address] [ vsi vsi-name ] | macip-prefix [ nexthop next-hop ] [ count ] }
· 显示EVPN的路由表信息。
display evpn routing-table { public-instance | vpn-instance vpn-instance-name } [ count ]
· 显示BGP EVPN路由信息。
display bgp [ instance instance-name ] l2vpn evpn [ peer ipv4-address { advertised-routes | received-routes } [ statistics ] | [ route-distinguisher route-distinguisher | route-type { imet | ip-prefix | mac-ip } ] * [ { evpn-route route-length | evpn-prefix } [ advertise-info ] | ipv4-address | mac-address ] | statistics ]
IRF(Intelligent Resilient Framework,智能弹性架构)是H3C自主研发的软件虚拟化技术。它的核心思想是将多台设备连接在一起,进行必要的配置后,虚拟化成一台设备。使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能力,实现多台设备的协同工作、统一管理和不间断维护。
为了便于描述,这个“虚拟设备”也称为IRF。所以,本文中的IRF有两层意思,一个是指IRF技术,一个是指IRF设备。
IRF显示和维护
在任意视图下执行display命令可以显示配置后IRF的运行情况,通过查看显示信息验证配置的效果。
表1-6 IRF显示和维护
操作 |
命令 |
显示IRF中所有成员设备的相关信息 |
display irf |
显示IRF的拓扑信息 |
display irf topology |
显示IRF链路信息 |
display irf link |
显示所有成员设备上重启以后生效的IRF配置 |
display irf configuration |
显示MAD配置信息 |
display mad [ verbose ] |