Huawei设备核查命令汇总---IPS6000F
- 核查设备名称
执行命令display sysname,查看设备当前的主机名。
- 核查设备版本信息
执行命令display version,查看设备当前的版本信息。
- 核查时钟信息
执行命令display clock,查看系统当前日期和时钟。
- 查看当前生效的配置信息:
display current-configuration
对于某些正在生效的配置参数,如果与缺省参数相同,则不显示。
- 查看当前视图下生效的配置信息:
display this
对于某些正在生效的配置参数,如果与缺省参数相同,则不显示。
- 核查历史信息(剩余信息)
执行命令display history-command [ all-users ]
- 不指定all-users,显示当前用户键入的历史命令。
- 指定all-users,显示的是所有登录用户键入的历史命令。(3级及3级以上的用户才能执行此参数)
- 配置Console
操作步骤 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入Console用户界面视图 | user-interface console interface-number | - |
设置用户超时断连功能 | idle-timeout minutes [ seconds ] | 在设定的时间内,如果连接始终处于空闲状态,系统将自动断开该连接。 缺省情况下,Console用户界面断连的超时时间为5分钟。 说明: 设置用户连接的超时时间过长或者为0会导致终端一直处于登录状态,存在安全风险,建议用户执行命令lock锁定当前连接。 |
设置历史命令缓冲区大小 | history-command max-size size-value | 缺省情况下,用户界面历史命令缓冲区大小为10条历史命令。 |
进入AAA视图 | aaa | - |
配置本地用户名和密码 | local-user user-name password irreversible-cipher password | 为充分保证设备安全,请用户定期修改密码。 |
进入系统视图 | system-view | - |
进入Console用户界面视图 | user-interface console interface-number | - |
配置本地用户的接入类型为Console | local-user user-name service-type terminal | - |
设置用户验证方式为密码验证 | authentication-mode password | - |
设置验证密码 | set authentication password [ cipher password ] | 输入的密码可以是显式或者密文,当不指定cipher password参数时,将采用交互方式输入显式密码,当指定cipher password参数时,既可以输入显式密码也可以输入密文密码,但都将以密文形式保存在配置文件中。为充分保证设备安全,请用户定期修改密码。 |
- console接口的配置,如果采用了authentication-mode password,代表无用户名,仅需要密码登录;密码配置一般仅有cipher模式。
- 缺省情况下,Console用户界面断连的超时时间为5分钟。
- 配置VTY接口
操作步骤 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入VTY用户界面视图 | user-interface vty first-ui-number [ last-ui-number ] | - |
设置用户超时断连功能 | idle-timeout minutes [ seconds ] | 在设定的时间内,如果连接始终处于空闲状态,系统将自动断开该连接。 缺省情况下,VTY用户界面断连的超时时间为10分钟。 |
设置历史命令缓冲区大小 | history-command max-size size-value | 缺省情况下,用户界面历史命令缓冲区大小为10条历史命令。 |
设置用户级别 | user privilege level level | 缺省情况下,VTY用户界面的用户级别是0。 如果用户界面下配置的命令级别访问权限与用户名本身对应的操作权限冲突,以用户名本身对应的级别为准。 |
设置用户验证方式为AAA验证 | authentication-mode aaa | - |
进入AAA视图 | aaa | - |
配置本地用户名和密码 | local-user user-name password irreversible-cipher password | 为充分保证设备安全,请用户定期修改密码。 |
配置本地用户的接入类型为Telnet或SSH | local-user user-name service-type { telnet | ssh } | - |
也可以设置仅口令登录模式 | ||
设置用户验证方式为密码验证 | authentication-mode password | - |
设置验证密码 | set authentication password [ cipher password ] | 输入的密码可以是显式或者密文,当不指定cipher password参数时,将采用交互方式输入显式密码,当指定cipher password参数时,既可以输入显式密码也可以输入密文密码,但都将以密文形式保存在配置文件中。为充分保证设备安全,请用户定期修改密码。 |
使能VTY用户界面的安全策略 | undo user-interface vty security-policy disable | 缺省情况下,VTY用户界面的安全策略使能。 |
进入VTY用户界面视图 | user-interface vty first-ui-number [ last-ui-number ] | - |
配置VTY类型用户界面的基于ACL的登录限制 | acl [ ipv6 ] { acl-number | acl-name } { inbound | outbound } | 当需要限制某个地址或地址段的用户登录到设备时,使用inbound。 当需要限制已经登录的用户登录到其他设备时,使用outbound。 说明: 用户界面支持基本访问控制列表(2000~2999)和高级访问控制列表(3000~3999)。 当ACL的rule配置为permit时,来自其他设备的报文匹配该规则时: 如果该ACL应用在inbound方向,则允许其他设备访问本设备。 如果该ACL应用在outbound方向,则允许本设备访问其他设备。 当ACL的rule配置为deny时,来自其他设备的报文匹配该规则时: 如果该ACL应用在inbound方向,则拒绝其他设备访问本设备。 如果该ACL应用在outbound方向,则拒绝本设备访问其他设备。 当ACL配置了rule,但来自其他设备的报文没有匹配该规则时: 如果该ACL应用在inbound方向,则拒绝其他设备访问本设备。 如果该ACL应用在outbound方向,则拒绝本设备访问其他设备。 当ACL未配置rule时: 如果该ACL应用在inbound方向,则允许任何其他设备访问本设备。 如果该ACL应用在outbound方向,则允许本设备访问任何其他设备。 关于ACL配置的更多内容,请参见《CLI配置指南-IP地址与服务配置》中的“ACL配置”。 |
- 配置登录设备Web界面
如果通过非管理口登录设备,则需要将非管理口加入安全区域,同时允许https方式访问该接口(service-manage https permit)或者关闭该接口访问控制功能(undo service-manage enable)并配置对应安全策略允许用户访问该接口。
system-view
- 进入AAA视图。
aaa
- 配置本地用户名和密码。
local-user user-name password { cipher | irreversible-cipher } password
- 配置本地用户的服务类型为http。
local-user user-name service-type http
- 配置本地用户的级别为3。
local-user user-name privilege level 3
用户级别为3的用户默认可以访问所有页面。如果想设置不同用户访问不同级别的页面,请参考《Web配置指南-系统-管理员》中的“创建管理员角色”。
- 回退到系统视图。
quit
- 开启HTTPS服务。
web-manager enable [ port port-number ]
- 可选:配置HTTP协议强制跳转为HTTPS协议。
web-manager http forward enable
缺省情况下,该功能为开启状态。开启该功能后,如果使用HTTP协议访问Web界面,登录设备的管理接口IP地址“http://ip-address”,设备会自动使用安全性更高的HTTPS协议进入Web界面。如果未开启该功能,无法使用HTTP协议访问Web界面。
- 可选:配置客户端通过HTTPS协议登录设备时,设备向客户端发送的证书。
web-manager security server-certificate server-certificate-file
当不指定证书时,客户端通过HTTPS登录服务器端时,服务器端会发送默认的证书给客户端。当指定证书时,客户端通过HTTPS登录服务器端时,服务器端会发送指定的证书给客户端。客户端用户可以在设备web界面或者CA服务器上获取CA根证书并导入到浏览器,然后通过该CA证书可以验证设备的合法性。
本地证书需向CA服务器申请。CA服务器生成证书后,管理员需要将本地证书下载至设备存储路径,并导入内存中使之生效。具体配置过程请参见《CLI配置指南-安全防护配置》中的“PKI配置”。
颁发证书的机构可以是国际公认的证书机构,也可以是一台安装有证书服务的计算机。客户端是否信任证书,取决于客户端的浏览器中是否导入了证书颁发者的CA证书。不将CA证书导入浏览器,客户端仍可通过HTTPS访问设备,此时客户端无法验证设备证书的合法性,容易受到攻击。
如果本地证书由多级CA机构颁发,则需要将本地证书和CA证书制作成证书链文件导入设备,不能分开单独导入设备,否则登录界面下载到的CA根证书无法消除访问设备时候产生的非安全告警。
- 可选:配置双向认证。启用该功能前,客户端需要将客户端证书导入浏览器,服务器端需要导入客户端证书对应的CA证书。客户端通过HTTPS登录服务器端时,会将客户端证书发送给服务器端,服务器端则用CA证书校验客户端证书。
- 启用服务器端和客户端之间的证书双向认证功能。
web-manager security verify-ssl-peer
- 指定设备校验客户端证书时使用的CA证书。
web-manager security ca-certificate ca-certificate
- 可选:配置可用于访问Web界面的IP地址。
web-manager { ipv4 | ipv6 } server-source -a ip-address vpn-instance vpn-instance
缺省情况下,没有配置用于访问Web界面的IP地址,即所有IP地址都可用于访问Web界面。
- 可选:配置可用于访问Web界面的接口。
- 配置某个接口可用于访问Web界面。
web-manager server-source -i interface-type interface-num
- 配置所有接口都可用于访问Web界面。
web-manager server-source all-interface
- 缺省情况下,可通过管理口MEth0/0/0访问Web界面。
- 将管理员PC网口与设备的登录接口通过网线或者二层交换机相连。
- 在管理员PC中打开网络浏览器,访问需要登录设备的接口IP地址“https://ip-address :port”。使用步骤1中配置的帐号密码登录设备Web页面,首次登录时设备会提示修改密码。
- 启用Web认证页面图形验证码功能。
web-manager captcha enable
- 配置Web服务超时时间。
web-manager timeout time-out
超时时间内,如果Web界面无任何操作,设备会自动登出Web界面。
- 配置在线Web用户的最大个数。
web-manager max-user-number max-user-num
- 配置Web服务器的HTTP慢速攻击防御的异常报文检查参数。
web-manager slow-attack check [ content-length content-length | payload-length payload-length | packet-number packet-number ] *
- 开启IP地址锁定功能。在重试时间间隔内,如果某个IP地址连续登录失败达到限制次数,该IP地址将被锁定,并在锁定时间内禁止登录。
web-manager lock-ip retry-interval retry-interval retry-time retry-time block-time block-time
缺省情况下,IP地址锁定已开启,用户的重试时间间隔为15分钟,连续登录失败的限制次数为16次,IP锁定时间为5分钟。
- 在系统视图下执行命令display web-manager configuration查看是否开启HTTPS服务功能。如果HTTPS服务被人为关闭,用户可以在系统视图下执行命令web-manager enable,开启HTTPS服务。
- 检查设备上是否配置了对Web用户进行安全策略控制。
在系统视图下,执行命令display security-policy rule,查看是否有不允许HTTPS流量通行的配置。如果有,请修改安全策略。
- 检查Web用户的接入类型是否正确。
在AAA视图下执行命令display this,查看Web用户的接入类型是否为HTTPS。如果配置中存在local-user user-name service-type http,则说明用户名为user-name的用户接入类型为HTTPS;如果没有该配置,请在AAA视图下执行命令local-user user-name service-type http,配置Web用户的接入类型为HTTPS。
- 检查接口是否开启HTTPS协议的访问控制功能。
在接口视图下执行命令display this,查看是否有service-manage https permit的配置。如果没有,则需要开启。
缺省情况下,管理口已经开启了HTTPS协议的访问控制功能且不支持配置,非管理口没有开启HTTPS协议的访问控制功能,可以执行命令service-manage开启HTTPS协议的访问控制功能。
- 核查设备的主控板(CPU)等单板的相关信息
查看配置的单板信息 | display device configuration | 查看配置的单板信息。 |
查看设备的电源状态信息 | display device power [ verbose ] | 当设备的供电出现异常时,用户可以执行该命令查看设备的电源状态信息,主要包括:电源模块的槽位号、电源模块在位状态、电源模块的工作模式等。 |
查看设备的当前温度值 | display device temperature [ slot slot-id ] | 设备温度过高或过低可能会导致硬件的损坏,如果想了解设备的当前温度值,可以查看温度信息。 当单板温度达到告警阈值时,设备上会产生相应告警,提醒设备维护人员对设备工作环境变量进行调整。 若要调整单板的温度告警阈值,请参考配置单板温度告警阈值。 |
查看CPU占用率 | display cpu-usage [ slot slot-id [ cpu cpu-id ] | all ] | 查看CPU占用率的统计信息。 |
display cpu-usage threshold [ slot slot-id [ cpu cpu-id ] ] | 查看CPU占用率的阈值信息。 | |
display cpu-usage monitor { all | slot slot-id [ cpu cpu-id ] } | 查看CPU占用率的过载状态。 | |
display cpu-usage monitor history [ slot slot-id [ cpu cpu-id ] ] | 查看CPU占用率过载状态的历史信息。 | |
查看内存占用率 | display memory [ slot slot-id [ cpu cpu-id ] ] | 查看内存占用率的统计信息。 |
display memory threshold [ slot slot-id [ cpu cpu-id ] ] | 查看内存占用率的阈值信息。 |
- 配置CPU过载可靠性
CPU占用率超过告警阈值时会产生告警,如果未能采取有效措施,CPU持续处于过载状态,会影响业务的正常运行。为了提升CPU过载时业务的可靠性,可以配置单板的CPU过载的一级和二级通知阈值,对CPU过载程度分级,二级大于一级。当CPU占用率达到过载的通知阈值时,设备会将单板CPU占用率大于5%的组件信息(最多取10个)通知给所有组件。组件收到通知后,根据通知中的过载级别,执行自己的可靠性保证机制,以维持业务的运行。
- 进入系统视图。
- system-view
- 配置CPU过载的一级和二级通知阈值以及检测周期:
set cpu-reliability first-recover first-recover-value first-alarm first-alarm-value second-recover second-recover-value second-alarm second-alarm-value period period-value [ slave | slot slotId ]
执行命令display current-configuration,查看CPU过载一级和二级通知阈值。
- 执行命令display cpu [ slot slot-id ],查看CPU占用率的统计信息。
- 执行命令display cpu monitor { all | slot slot-id },查看CPU过载状态。
- 执行命令display cpu monitor history [ slot slot-id ],查看CPU过载状态的历史信息。
- 执行命令display cpu threshold [ slot slot-id ],查看CPU占用率的阈值信息。
- 信息的等级
显示值 | 严重等级 | 描述 |
0 | Emergency | 设备致命的异常,系统已经无法恢复正常,必须重启设备,如程序异常导致设备重启、内存的使用被检测出错误等。 |
1 | Alert | 设备重大的异常,需要立即采取措施,如设备内存占用率达到极限。 |
2 | Critical | 设备严重的异常,需要采取措施进行处理或原因分析,如设备温度超过低温告警线、BFD探测出设备不可达等。 |
3 | Error | 错误的操作或设备的异常流程,不会影响后续业务,但是需要关注和原因分析,如用户的错误指令、用户密码错误、检测出错误协议报文等。 |
4 | Warning | 设备运转的异常点,可能引起业务故障,需要引起注意,如用户关闭路由进程、BFD探测的一次报文丢失、检测出错误协议报文等。 |
5 | Notice | 设备正常运转的关键操作信息,如用户对接口执行shutdown命令、邻居发现、协议状态机的正常跳转等。 |
6 | Informational | 设备正常运转的一般性操作信息,如用户执行display命令。 |
7 | Debugging | 设备正常运转产生的一般性信息,主要是设备内部运行状态的记录。 |
- 信息的输出
设备产生的信息可以向控制台、远程终端、Log缓冲区、日志文件、SNMP代理等方向输出信息。本节介绍信息的通道和输出方向、信息输出文件、信息输出的典型应用场景。
信息的通道和输出方向
为了便于各个方向信息的输出控制,信息管理定义了10条信息通道,通道之间独立输出,互不影响。使用信息通道前必须为信息通道指定信息源,缺省情况下指定了前6个通道(console,monitor,loghost,trapbuffer,logbuffer,snmpagent)和通道9(Logfile)的信息源,如图1所示。
用户可以根据自己的需要配置信息的输出规则,控制不同类别、不同级别的信息从不同的信息通道输出到不同的输出方向。例如,用户配置通道6的名称为user1,发往日志主机的信息使用通道6,则发往日志主机的信息都会从通道6输出,不再从通道2输出。
缺省情况下,Log信息、Trap信息、Debug信息都从缺省的信息通道输出。信息输出通道的缺省情况如表1所示。
通道号 | 缺省通道名 | 输出方向 | 描述 |
0 | console | 控制台 | 本地控制台,即通过Console口登录设备的方式,可以接收Log信息、Trap信息、Debug信息,方便本地查看。 |
1 | monitor | 远程终端 | 远程终端,即通过VTY(Virtual Type Terminal)登录设备的方式,可以接收Log信息、Trap信息、Debug信息,方便远程维护。 |
2 | loghost | 日志主机 | 日志主机,可以接收Log信息、Trap信息,不可以接收Debug信息。信息在日志文件上以文件形式保存,供随时查看。 通过选择日志主机的IP地址、UDP端口号、信息记录设备和信息级别,可使信息往所指定的日志主机输出,以备存储和查阅,为网络管理员监控的运行情况和诊断网络故障提供依据。而且,可以设置不同的源接口信息,那么日志主机就可以通过源接口地址判断信息消息是从哪台设备发出的,从而便于日志主机对收到的信息消息检索。 |
3 | trapbuffer | Trap缓冲区 | Trap缓冲区,可以接收Trap信息,不可以接收Log信息、Debug信息。 |
4 | logbuffer | Log缓冲区 | Log缓冲区,可以接收Log信息,不可以接收Trap信息、Debug信息。 |
5 | snmpagent | SNMP代理 | SNMP代理,可以接收Trap信息,不可以接收Log信息、Debug信息。 |
6 | channel6 | 未指定 | 保留,可由用户指定输出方向。 |
7 | channel7 | 未指定 | 保留,可由用户指定输出方向。 |
8 | channel8 | 未指定 | 保留,可由用户指定输出方向。 |
9 | channel9 | 信息文件 | 日志文件,可以接收Log信息、Trap信息,不可以接收Debug信息。在设备的硬件存储设备上以文件形式保存。 |
通过为每个输出方向关联信息通道,信息将经过指定通道发送到对应的输出方向。用户可以根据需要更改信息通道的名称,也可以更改信息通道与输出方向之间的对应关系。
信息的输出文件
信息可以以文件的形式保存在设备上,这种文件叫做日志文件。日志文件,如表2所示。
命名方式 | 描述 |
log.log和service.log | 系统的当前日志文件,以log格式保存。 |
diag.log | 系统启动和运行过程中的异常日志,称为诊断日志,以log格式保存。 |
pads.pads | 设备启动后各业务运行中产生的日志,称为运维日志,以pads格式保存。 |
log_SlotID_time.log.zip | 如果当前日志文件达到设置的文件大小上限时,系统自动把当前信息文件转存为一个历史压缩文件,并修改文件名为log_SlotID_time.log.zip。 文件中的SlotID代表槽位号,time是信息压缩转存时的时间。 |
diag_SlotID_time.log.zip | 如果当前诊断日志文件达到设置的文件大小上限时,系统自动把当前诊断日志文件转存为一个历史压缩文件,并修改文件名为diag_SlotID_time.log.zip。 文件中的SlotID代表槽位号,time是信息压缩转存时的时间。 |
pads_SlotID_time.pads.zip | 如果当前运维日志文件达到设置的文件大小上限时,系统自动把当前运维日志文件转存为一个历史压缩文件,并修改文件名为pads_SlotID_time.pads.zip。 文件中的SlotID代表槽位号,time是信息压缩转存时的时间。 |
信息管理缺省配置
信息管理常见参数的缺省配置如表1所示。
参数 | 缺省值 |
信息管理功能 | 已启用 |
Log缓冲区容纳Log信息的条数 | 512条 |
Trap缓冲区容纳Trap信息的条数 | 256条 |
日志文件大小 | 8M |
日志文件保存个数 | 200个 |
日志主机IP地址 | 无 |
时间戳格式 | date时间格式 |
配置Log信息输出到日志主机
通过配置Log信息输出到日志主机,用户可以在日志主机上查看Log信息,以便及时监控设备的运行情况。
操作步骤
- 进入系统视图。
system-view
- 配置向日志主机输出Log信息。
- 配置向IPv4日志主机输出Log信息。
info-center loghost ipv4-address [ { local-time | utc } | channel { channel-number | channel-name } | { public-net | vpn-instance vpn-instance-name } | source-ip source-ip-address | facility local-num | level level-num | port server-port | transport { udp | tcp [ ssl-policy policy-name [ [ security ] | [ verify-dns-name dns-name ] ] * ] } | brief ] *
- 配置向IPv6日志主机输出Log信息。
info-center loghost ipv6 ipv6-address [ { local-time | utc } | channel { channel-number | channel-name } | { public-net | vpn-instance vpn-instance-name } | source-ip source-ipv6-address | facility local-num | level level-num | port server-port | transport { udp | tcp [ ssl-policy policy-name [ [ security ] | [ verify-dns-name dns-name ] ] * ] } | brief ] *
- 配置向指定域名的日志主机输出Log信息。
info-center loghost domain domain-name [ { local-time | utc } | channel { channel-number | channel-name } | { public-net | vpn-instance vpn-instance-name } | facility local-num | level level-num | port server-port | transport { udp | tcp [ ssl-policy policy-name [ [ security ] | [ verify-dns-name dns-name ] ] * ] } | brief ] *
- 配置向信息通道输出Log信息的规则。
info-center source { module-name | default } channel { channel-number | channel-name } log { state { off | on } | level severity } *
- (可选)配置设备向日志主机发送消息的源接口信息。
info-center loghost source { interface-name | interface-type interface-number }
缺省情况下,设备向日志主机发送信息的源接口就是实际发送信息的接口。
配置成功后,如果设备向日志主机发送信息,日志主机就可以通过源接口地址判断信息是从此设备发出的,从而便于日志主机对收到的信息进行检索。
- (可选)配置设备向日志主机发送信息的源端口。
info-center loghost source-port source-port
缺省情况下,设备向日志主机发送信息的源端口是38514。
- (可选)配置设备向日志主机发送消息使用的字符集。
info-center loghost character-set characterset
缺省情况下,设备向日志主机发送消息使用的字符集为UTF-8。
检查配置结果
- 执行命令display info-center [ statistics ]查看信息管理记录的各项信息。
- 执行命令display info-center channel [ channel-number | channel-name ]查看信息通道的内容。
- 执行命令display logbuffer查看Log缓冲区的信息。
- 执行命令display logfile path [ offset ] *查看日志文件记录的信息。
- 执行命令display logfile [ log | diagnose ] list starttime starttime-value endtime endtime-value查看指定时间段的日志文件列表。
举例:配置SSL加密后的Log信息输出到日志主机
组网需求
如图1所示,DeviceA分别与四个日志主机相连且路由可达。网络管理员希望不同的日志主机接收不同类型和不同严重级别的Log信息,以便对设备不同模块产生的信息进行实时监控,同时希望能够保证日志主机接收Log信息的可靠性。
图1 SSL加密后的Log信息输出到日志主机组网图
本例中interface1代表10GE0/0/1。
配置思路
采用如下思路进行本例的配置:
- 配置客户端型SSL策略,验证日志主机的身份,并保证日志信息传输的安全。
假设日志主机已从CA申请证书,其对应的信任机构文件为1_cacert_pem_rsa.pem、1_rootcert_pem_rsa.pem,并已上传到DeviceA的security子目录下。
- 启用信息管理功能。
- 配置向日志主机发送Log信息的信息通道和输出规则。
- 配置向日志主机发送信息的源接口信息。
- 配置日志主机。
操作步骤
- 配置IP地址和路由协议,使DeviceA和日志主机之间有可达路由(略)。
- 配置客户端型SSL策略。
- <HUAWEI> system-view
- [HUAWEI] sysname DeviceA
- [DeviceA] ssl policy syslog_client
- [DeviceA-ssl-policy-syslog_client] trusted-ca load pem-ca 1_cacert_pem_rsa.pem
- [DeviceA-ssl-policy-syslog_client] trusted-ca load pem-ca 1_rootcert_pem_rsa.pem
[DeviceA-ssl-policy-syslog_client] quit
上述步骤成功配置后,在DeviceA上执行命令display ssl policy,可以看到加载的信任证书机构文件详细信息。
[DeviceA] display ssl policy
SSL Policy Name: syslog_client
Policy Applicants:
Key-pair Type:
Certificate File Type:
Certificate Type:
Certificate Filename:
Key-file Filename:
CRL File:
Trusted-CA File:
Trusted-CA File 1: Format = PEM, Filename = 1_cacert_pem_rsa.pem
Trusted-CA File 2: Format = PEM, Filename = 1_rootcert_pem_rsa.pem
- 启用信息管理功能。
[DeviceA] info-center enable
- 将接口加入安全区域并配置安全策略。
[DeviceA] firewall zone untrust
[DeviceA-zone-untrust] add interface 10ge0/0/1
[DeviceA-zone-untrust] quit
[DeviceA] security-policy
[DeviceA-policy-security] rule name sec_policy1
[DeviceA-policy-security-rule-sec_policy1] source-zone local
[DeviceA-policy-security-rule-sec_policy1] destination-zone untrust
[DeviceA-policy-security-rule-sec_policy1] destination-address 10.2.1.0 24
[DeviceA-policy-security-rule-sec_policy1] destination-address 10.1.1.0 24
[DeviceA-policy-security-rule-sec_policy1] action permit
[DeviceA-policy-security-rule-sec_policy1] quit
[DeviceA-policy-security] quit
- 配置向日志主机发送Log信息的信息通道和输出规则。
配置DeviceA向日志主机Server1发送由ARP模块产生、严重等级为notification的Log信息;Server3作为Server1的备份设备。DeviceA向日志主机Server2发送由AAA模块产生、严重等级为warning的日志信息;Server4作为Server2的备份设备。
# 配置信息通道。
[DeviceA] info-center channel 6 name loghost1
[DeviceA] info-center channel 7 name loghost2
# 配置Log信息输出到日志主机所使用的安全信息通道。
[DeviceA] info-center loghost 10.1.1.1 channel loghost1 transport tcp ssl-policy syslog_client
[DeviceA] info-center loghost 10.1.1.1 channel loghost1 transport tcp ssl-policy syslog_client
[DeviceA] info-center loghost 10.2.1.2 channel loghost2 transport tcp ssl-policy syslog_client
[DeviceA] info-center loghost 10.2.1.2 channel loghost2 transport tcp ssl-policy syslog_client
# 配置向日志主机通道输出Log信息的规则。
[DeviceA] info-center source arp channel loghost1 log level notification
[DeviceA] info-center source aaa channel loghost2 log level warning
- 配置向日志主机发送信息的源接口信息。
[DeviceA] info-center loghost source 10ge0/0/1
- 配置日志主机。
日志主机可以是安装UNIX或LINUX操作系统的主机,也可以是安装第三方日志软件的主机,具体配置步骤请参见相关手册。
检查配置结果
# 查看已经记录的信息管理的各项信息。
[DeviceA] display info-center
Information Center:enabled
Log host:
10.1.1.1, channel number 6, channel name loghost1,
language English , host facility local7, transport tcp ssl-policy syslog_client
10.1.1.2, channel number 6, channel name loghost1,
language English , host facility local7, transport tcp ssl-policy syslog_client
10.2.1.1, channel number 6, channel name loghost1,
language English , host facility local7, transport tcp ssl-policy syslog_client
10.2.1.2, channel number 6, channel name loghost1,
language English , host facility local7, transport tcp ssl-policy syslog_client
Console:
channel number : 0, channel name : console
Monitor:
channel number : 1, channel name : monitor
SNMP Agent:
channel number : 5, channel name : snmpagent
Log buffer:
enabled,max buffer size 10240, current buffer size 512,
current messages 316, channel number : 4, channel name : logbuffer
dropped messages 0, overwritten messages 53
Trap buffer:
enabled,max buffer size 1024, current buffer size 256,
current messages 256, channel number:3, channel name:trapbuffer
dropped messages 0, overwritten messages 0
logfile:
channel number : 9, channel name : channel9, language : English
Information timestamp setting:
log - date, trap - date, debug - date millisecond
# 在syslog服务器端查看接收到的信息。
- NTP检查配置
- 执行命令display ntp status,查看NTP服务的状态信息。
- 执行命令display ntp sessions verbose,查看NTP服务维护的会话状态。
- 执行命令display ntp trace,查看从本地设备到参考时钟源的路径。
- 执行命令display ntp slot-status,查看设备的时钟系统的状态。
- 执行命令display clock,查看系统时间.
- 配置SNMPv3的基本功能
前提条件
在配置设备使用SNMPv3 USM用户与网管通信之前,配置路由协议,使设备和网管站之间可达。
背景信息
网管管理设备主要体现在两方面:
- 网管主动管理设备,进行GetRequest、GetNextRequest、GetResponse、GetBulk、SetRequest操作,获取需要的数据并进行相应设置。
- 网管被动接收被管理设备发送的Trap或Inform告警,根据告警定位和处理设备故障。
配置SNMP的基本功能后,网管即可与被管理设备间进行基本的监控和管理操作,比如GET和SET相关数据,被管理设备主动向网管发送告警。
配置SNMP的基本功能中,在完成必须的配置步骤后网管和被管理设备之间可以进行基本通信。
snmp-agent usm-user命令中的md5、sha、sha2-224、DES56和3DES168参数需要执行命令install feature-software WEAKEA安装弱安全算法/协议特性包(WEAKEA)后才能使用。
在开启弱密码字典维护功能后,snmp-agent usm-user命令交互配置的密码不能使用弱密码字典中定义的密码(可以通过命令display security weak-password-dictionary查看)。