1 命令行高危操作
1.1 简介
高危险的命令只能由有资质、且经过培训的维护人员执行。如果对此类命令操作不当,可能会导致设备/单板断电、设备/单板重启、业务中断、业务运行异常、重要文件被删除、所有配置被清除、用户无法登录、用户下线等现象发生。
在对高危命令进行操作之前,请先了解可能带来的风险再进行操作。
1.2 高危命令行介绍
模块 | 命令行 | 描述 | 高危提示 |
登录设备 | authentication-mode | 设置用户登录设备时的认证方式。 | 当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。 |
登录设备 | auto-execute command | 设置自动执行命令。 | 执行该命令后,可能导致用户不能通过该终端线对本系统进行配置,需谨慎使用。 |
RBAC | interface policy deny | 进入接口策略视图。 | 进入接口策略视图后,如果不配置允许操作的接口列表,则用户将没有操作任何接口的权限;如果需要限制或区分用户对接口资源的使用权限,则还应该通过permit interface命令配置允许用户操作的接口列表。 |
RBAC | security-zone policy deny | 进入安全域策略视图。 | 进入安全域策略视图后,如果不配置允许操作的安全域列表,则用户将没有操作任何安全域的权限;如果需要限制或区分用户对安全域资源的使用权限,则还应该通过permit security-zone命令配置允许用户操作的安全域列表。 |
RBAC | vlan policy deny | 进入VLAN策略视图。 | 进入VLAN策略视图后,如果不配置允许操作的VLAN列表,则用户将没有操作任何VLAN的权限;如果需要限制或区分用户对VLAN资源的使用权限,则还应该通过permit vlan命令配置允许用户操作的VLAN列表。 |
RBAC | vpn-instance policy deny | 进入VPN策略视图。 | 进入VPN策略视图后,如果不配置允许操作的VPN实例列表,则用户将没有操作任何VPN实例的权限;如果需要限制或区分用户对VPN资源的使用权限,则还应该通过permit vpn-instance命令配置允许用户操作的VPN实例列表。 |
FTP和TFTP | delete | 彻底删除FTP服务器上的文件。 | 执行本命令前,请确认指定文件不会再被使用,以免误删有用文件。 |
FTP和TFTP | rmdir | 彻底删除FTP服务器上的目录。 | 执行本命令前,请确认指定目录不会再被使用,以免误删有用目录。 |
文件系统管理 | delete [ /unreserved ] file | 删除设备上的文件。 | delete /unreserved file命令用来永久删除文件,系统会将该文件从设备上彻底删除。被删除的文件不再存在,不能恢复。 |
文件系统管理 | format | 格式化文件系统。 | 格式化操作将导致文件系统中的所有文件丢失,并且不可恢复;尤其需要注意的是,如果文件系统中有启动配置文件,格式化该文件系统,将丢失启动配置文件。 |
文件系统管理 | reset recycle-bin | 清除回收站中的文件。 | 回收站中的文件可以通过undelete命令恢复,如果将文件从回收站中删除,将永远无法恢复文件。执行本命令前,请确认回收站的文件都是无效文件,不会再被使用。 |
文件系统管理 | rmdir | 删除设备上的文件夹。 | 在删除文件夹前,必须先永久删除或者暂时删除文件夹中的所有文件和子文件夹。如果文件只是暂时删除,那么执行rmdir会导致这些文件从回收站中彻底删除。执行本操作前,请先确认该文件夹及其中的内容不会再被使用。 |
配置文件管理 | configuration replace file | 执行配置回滚操作。 | 配置回滚是在不重启设备的情况下,将当前的配置回退到指定配置文件中的配置状态,回滚前的配置将会丢失。配置回滚过程中,可能会导致业务中断,请谨慎使用。 |
配置文件管理 | configuration replace server file | 开启远程配置回滚功能。 | 该命令会使设备立即或者在将来的某个时间点从配置回滚服务器上下载配置文件并执行配置回滚,回滚前的配置会丢失,且配置回滚可能导致业务中断,请谨慎使用。 |
配置文件管理 | reset saved-configuration | 删除设备存储介质中保存的下次启动配置文件。 | 执行该命令会将配置文件彻底删除,请谨慎使用。 |
配置文件管理 | save | 保存设备的当前配置。 | 执行本命令时,可能会导致当前已经存在的配置文件被覆盖,请根据设备提示谨慎操作。 |
ISSU | issu commit | 完成ISSU升级操作。 | 执行此命令后,不能再通过ISSU回滚命令或者回滚定时器进行回滚操作,请谨慎使用。 |
ISSU | reset install rollback oldest | 用来清除ISSU回滚点。 | 执行本命令后,将清除指定回滚点以及在此回滚点之前创建的所有回滚点,请谨慎使用。 |
设备管理 | reboot | 重启设备。 | 重新启动可能会导致业务中断,请谨慎使用。 |
设备管理 | restore factory-default | 将设备恢复到出厂状态。 | 使用本命令会将设备恢复到出厂状态,请谨慎使用。 |
设备管理 | monitor cpu-usage threshold | 配置CPU利用率告警门限。 | CPU利用率高级别告警门限如果设置过低,可能导致设备提前进入门限状态,不再进行正常业务处理。 |
IRF | undo chassis convert mode | 将设备从IRF模式切换到运行模式。 | 将设备从IRF模式切换到运行模式,会使得设备从IRF只分离出来,并因为配置和IRF冲突,导致设备和IRF的通信都受到影响。 |
IRF | irf mac-address persistent | 配置IRF桥MAC的保留时间。 | 桥MAC变化可能导致流量短时间中断,请谨慎配置。 |
IRF | irf member renumber | 配置设备的成员编号。 | 在IRF中以设备编号标志设备,配置IRF端口和优先级也是根据设备编号来配置的,所以,修改设备成员编号可能导致设备配置发生变化或者丢失,请慎重处理。 |
IRF(星堆) | undo chassis convert mode | 将设备从IRF模式切换到运行模式。 | 将设备从IRF模式切换到运行模式,会使得设备从IRF只分离出来,并因为配置和IRF冲突,导致设备和IRF的通信都受到影响。 |
IRF(星堆) | irf mac-address persistent | 配置IRF的桥MAC地址的保留时间。 | 桥MAC变化可能导致流量短时间中断,请谨慎配置。 |
IRF(星堆) | irf member renumber | 配置设备的成员编号。 | 在IRF中以设备编号标志设备,配置IRF端口和优先级也是根据设备编号来配置的,所以,修改设备成员编号可能导致设备配置发生变化或者丢失,请慎重处理。 |
IRF(星堆) | undo irf member stack enable | 关闭指定设备的IRF功能。 | 关闭设备的IRF功能后,会将指定成员设备从IRF中隔离出来。 |
Context | undo context start | 停止当前的Context。 | 停止Context会导致该Context的业务中断,以及登录该Context的用户自动退出,请谨慎使用。为避免Context的当前配置丢失,停止Context前请保存Context的配置。 |
Context | location blade-controller | 将安全引擎加入安全引擎组。 | 缺省安全引擎组中必须至少存在一个安全引擎,否则设备不能正常处理业务。 |
接口公共配置 | default | 恢复当前接口的缺省配置。 | 接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。 |
接口公共配置 | shutdown | 关闭接口。 | 执行本命令会导致使用该接口建立的链路中断,不能通信,请谨慎使用。 |
以太网接口 | port link-mode | 切换以太网接口的工作模式。 | 接口模式切换后,除了shutdown和combo enable命令,该以太网接口下的其它所有命令都将恢复到新模式下的缺省情况。 |
3G/4G Modem管理 | modem reboot | 手动重启3G/4G Modem。 | 当3G/4G Modem处于连接状态时,配置本命令会使3G/4G Modem连接断开。 |
ARP | reset arp | 清除ARP表项。 | 执行本命令会清除设备上已有的ARP表项,可能会导致外部流量无法及时发给局域网中的用户。 |
NAT | reset nat dynamic-load-balance | 重新在多个NAT业务引擎上进行动态NAT(包括动态地址转换和NAT端口块动态映射)的负载分担。 | 执行本命令后,会造成流量的暂时中断,请谨慎使用本命令。 |
NAT | reset nat static-load-balance | 重新在多个NAT业务引擎上进行静态NAT(包括静态地址转换、NAT server和NAT端口块静态映射)的负载分担。 | 执行本命令后,会造成流量的暂时中断,请谨慎使用本命令。 |
ADVPN | reset vam server address-map | 清除注册到VAM Server上的IPv4私网地址和公网地址映射信息。 | 执行本命令后,设备会向注册该IPv4私网地址的VAM Client发送错误通知报文,要求VAM Client下线。 |
ADVPN | reset vam server ipv6 address-map | 清除注册到VAM Server上的IPv6私网地址和公网地址映射信息。 | 执行本命令后,设备会向注册该IPv6私网地址的VAM Client发送错误通知报文,要求VAM Client下线。 |
ADVPN | reset vam client fsm | 重置VAM Client的状态机。 | 重置VAM Client的状态机后,VAM Client会立刻尝试重新上线。 |
ADVPN | reset vam client ipv6 fsm | 重置IPv6 VAM Client的状态机。 | 重置IPv6 VAM Client的状态机后,IPv6 VAM Client会立刻尝试重新上线。 |
静态路由 | delete static-routes all | 删除所有静态路由。 | 删除全部静态路由可能导致网络不通,报文转发失败,请谨慎使用。 |
IPv6静态路由 | delete ipv6 static-routes all | 删除所有IPv6静态路由。 | 删除全部IPv6静态路由可能导致网络不通,报文转发失败,请谨慎使用。 |
IS-IS | network-entity | 配置IS-IS进程的网络实体名称(Network Entity Title,简称NET)。 | 批量执行cost-style、is-level和network-entity命令时,建议最后执行network-entity命令,以避免因配置顺序不正确引发IS-IS进程重启,以及重启期间可能导致的配置丢失。 |
BGP | label-allocation-mode | 配置标签申请方式。 | 改变标签分配方式将重新下刷所有BGP路由,会导致业务的短暂中断,请慎重使用。 |
BGP | peer ignore | 禁止与指定对等体/对等体组建立会话。 | 如果本设备和对等体的会话已经建立,则执行本命令后,会停止该会话,并且清除所有相关路由信息;如果本设备和对等体组的会话已经建立,则执行本命令后,会终止与对等体组内所有对等体之间的会话,并且清除所有相关路由信息。 |
BGP | reset bgp | 复位指定地址族下的BGP会话。 | 复位BGP会话时,会造成短暂的BGP会话中断。 |
BGP | reset bgp all | 复位所有BGP会话。 | 复位BGP会话时,会造成短暂的BGP会话中断。 |
IGMP | igmp version | 在接口上配置IGMP的版本。 | 由于不同版本IGMP协议的报文结构与种类不同,因此需要为同一网段上的所有设备配置相同版本的IGMP,否则IGMP将不能正常运行。 |
IGMP | reset igmp group | 清除IGMP组播组的动态加入记录。 | 执行本命令可能导致接收者中断组播信息的接收。 |
MLD | mld version | 在接口上配置MLD的版本。 | 由于不同版本MLD协议的报文结构与种类不同,因此需要为同一网段上的所有设备配置相同版本的MLD,否则MLD将不能正常运行。 |
MLD | reset mld group | 清除MLD组播组的动态加入记录。 | 执行本命令可能导致接收者中断IPv6组播信息的接收。 |
MPLS L3VPN, MCE | ip binding vpn-instance | 配置接口与指定VPN实例关联。 | 配置或取消接口与VPN实例关联后,该接口上的IP地址、路由协议等配置将被删除。 |
ARP攻击防御 | arp scan | 开启ARP自动扫描功能。 | 扫描操作可能比较耗时,且会占用较大的设备资源和网络负载。可以通过<Ctrl_C>来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项)。 |
Portal | portal authorization strict-checking | 开启Portal授权信息的严格检查模式。 | 接口或者无线服务模板上开启Portal授权信息的严格检查模式后,当服务器给用户下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制该用户下线。 |
Portal | portal user-dhcp-only | 开启仅允许通过DHCP方式获取IP地址的客户端上线的功能。 | 配置本命令后,配置静态IP地址的Portal认证用户不能上线。 |
SSH | ssh server port | 配置SSH服务的端口号。 | 如果修改端口号前SSH服务是开启的,则修改端口号后系统会自动重启SSH服务,正在访问的用户将被断开,用户需要重新建立SSH连接后才可以继续访问。 |
DDoS攻击检测与防范 | anti-ddos detection-mode | 配置DDoS攻击检测模式。 | 模式切换期间可能会有部分报文因未经DDoS检测而导致攻击行为未被识别出。 |
VRRP | vrrp vrid shutdown | 关闭指定的IPv4 VRRP备份组。 | 关闭IPv4 VRRP备份组功能通常用于暂时禁用备份组,用户发送给IPv4 VRRP备份组的报文可能会被丢弃。 |
VRRP | vrrp ipv6 vrid shutdown | 关闭指定的IPv6 VRRP备份组 | 关闭IPv6 VRRP备份组功能通常用于暂时禁用备份组,用户发送给IPv4 VRRP备份组的报文可能会被丢弃。 |
BFD | bfd init-fail-timer | 配置BFD会话无法建立时,通知上层协议BFD会话down的超时时间。 | 配置本命令后,对于由于配置原因(比如对端设备没有使能BFD,或者两端的BFD认证配置不一致等)造成BFD会话无法进入up状态的情况,如果配置了本定时器,会导致上层协议作出错误的处理,所以,请谨慎使用本命令。 |
进程分布优化 | placement reoptimize | 优化进程运行位置,使进程分布策略生效。 | 执行本命令之前,请确保相关进程已配置了NSR或GR等备份功能,且NSR或GR等备份功能处于稳定状态,否则,可能导致相关协议出现邻居震荡等异常情况。 |
进程监控和维护 | monitor kernel deadloop action | 配置内核线程死循环后系统执行的操作。 | 通常情况下,使用缺省配置即可。如果确实需要修改配置,请在工程师的指导下进行,以免引起系统异常。 |
系统维护与调试 | debugging | 打开指定模块的调试开关 | 过多调试信息的输出会影响系统的运行效率,所以建议在进行网络故障诊断时根据需要打开某个功能模块的调试开关,不要同时打开多个功能模块的调试开关,以免导致设备CPU利用率上升,影响设备正常运行。 |
应用层检测引擎 | inspect bypass | 关闭应用层检测引擎功能。 | 关闭应用层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。可能导致其他基于DPI功能的业务出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等。 |
应用层检测引擎 | inspect activate | 激活DPI各业务模块的策略和规则配置。 | 执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等。 |
安全策略 | undo security-policy | 删除安全策略视图下面的所有配置。 | 该命令会直接删除所有安全策略配置,可能导致网络中断。 |
安全策略 | security-policy disable | 关闭安全策略功能 | 该命令会直接关闭所有安全策略,可能导致网络中断。 |
安全策略 | security-policy | 进入安全策略视图 | 安全策略功能与对象策略功能在设备上不能同时使用,当对象策略处于生效状态时,进入安全策略视图,对象策略功能会立即失效,可能导致网络中断。 |
安全策略 | disable | 禁用安全策略规则 | 该命令会禁用当前安全策略规则,可能导致网络中断。 |
ACL | undo accelerate | 关闭ACL规则的加速匹配功能 | 设备上存在大量ACL规则时,执行此命令可能会导致设备CPU占用率达到上限,业务处理异常。 |
ACL | undo acl | 删除ACL规则 | 如果报文过滤等业务模块引用了ACL规则,执行此命令会删除ACL规则,引用该ACL规则的业务处理异常。 |
攻击检测与防范 | attack-defense policy | 创建一个攻击防范策略,并进入攻击防范策略视图。如果指定的攻击防范策略已经存在,则直接进入攻击防范策略视图 | 攻击防范的缺省触发阈值对于现网环境而言可能过小,这会导致用户上网慢或者网页打不开等情况,请根据实际网络环境配置合理的触发阈值。 |
对象策略 | undo accelerate | 关闭对象策略规则的加速匹配功能 | 设备上存在大量对象策略规则时,执行此命令可能导致设备提前进入门限状态,不再进行正常业务处理。 |
SSL VPN | shutdown | 关闭SSL VPN AC接口 | 关闭该接口后,可能会导致IP接入业务中断,请谨慎执行本操作。 |
SSL VPN | undo service enable | 关闭SSL VPN网关 | 在指定的SSL VPN网关视图下执行该命令,将关闭SSL VPN网关,导致SSL VPN业务中断,请谨慎执行本操作。 |
SSL VPN | undo service enable | 关闭SSL VPN访问实例 | 在指定的SSL VPN访问实例视图下执行该命令,将关闭SSL VPN访问实例,导致SSL VPN业务中断,请谨慎执行本操作。 |
负载均衡 | undo service enable | 关闭虚服务器 | 虚服务器是服务器负载均衡功能的关键配置,在指定的虚服务器视图下执行该命令,将关闭虚服务器,会导致匹配此虚服务器的服务器负载均衡业务中断,请谨慎执行本操作。 |
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/5664.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
