1、H3C S5120-EI 系列以太網交換機安全命令參考杭州華三通信技術資料版本：6W102-20100722版本：Release 2202者所有，保留一切權利。本書內容的部分或全部，并不得以任何Copyright 2009-2010 杭州華三通信技術及其本公司形式。，任何和個人不得擅自摘抄、H3Care、H3C、Aolynk、TOP G、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、Inno

2、Vision、HUASAN、華三均為杭州華三通信技術利人擁有。的商標。對于本手冊中出現的其它公司的商標、標識及商品名稱，由各自權由于版本升級或其他，本手冊內容有可能變更。H3C 保留在沒有任何通知或者提示的情況下對本手冊的內容進行修改的權利。本手冊僅作為使用指導，H3C 盡全力在本手冊中提供準確的信息，但是 H3C 并不確保手冊內容完全沒有錯誤，本手冊中的所有陳述、信息和建議也不明示或暗示的擔保。任何前 言H3C S5120-EI 系列以太網交換機命令參考共分為十本手冊，主要S5120-EI Release2202 軟件版本支持令進行了介紹。安全命令參考主要介紹安全業務特性的配置命令，包括 A

3、AA、802.1X、MAC 地址認證等接入認證配置命令，以及 IP Source Guard、ARP技術的配置命令。前言部分包含如下內容：l 讀者對象防御等安全防御l 內容組織l 本書約定l 配套資料l 資料獲取方式l 技術支持l 資料意見反饋讀者對象本手冊主要適用于如下工程師：l 網絡l 現場技術支持與維護l 負責網絡配置和維護的網絡管理員內容組織本書主要從如下部分介紹 S5120-EI 系列以太網交換機支持的安全業務配置命令。命令參考內容安全命令參考AAA 配置命令RADIUS 配置命令HWTACACS 配置命令802.1X 配置命令802.1X 支持EAD快速部署配置命令MAC 地址認證

4、配置命令端口安全配置命令User Profile 配置命令HABP 配置命令公鑰管理配置命令PKI 配置命令SSH2.0 配置命令SFTP 配置命令SSL 配置命令IP Source Guard配置命令ARP防御配置命令本書約定1.命令行格式約定2.各類標志本書還采用各種醒目標志來表示在操作過程中應該特別注意的地方，這些標志的意義如下：配套資料H3C S5120-EI 系列以太網交換機的配套資料包括如下部分：大類資料名稱內容介紹知識介紹 彩頁幫助您了解的主要規格參數及亮點技術白皮書幫助您了解和特性功能，對于特色及復雜技術從細節上進行介紹RPS電源用戶手冊幫助您了解支持的 RPS 電源的外觀、功

5、能、規格H3C低端系列以太網交換機 RPS電源選購指南幫助您了解各種 RPS 電源適用的交換機型號及 RPS 電源配套電纜的相關規格該標志后的注釋需給予格外關注，不當的操作可能會對人身造成。提醒操作中應注意的事項，不當的操作可能會導致數據丟失或者設備損壞。為確保設備配置或者正常工作而需要特別關注的操作或信息。對操作內容的描述進行必要的補充和說明。配置、操作、或使用設備的技巧、小竅門。格 式意 義粗體命令行關鍵字（命令中保持不變、必須照輸的部分）采用加粗字體表示。斜體命令行參數（命令中必須由實際值進行替代的部分）采用斜體表示。 表示用“ ”括起來的部分在命令配置時是可選的。 x | y | .

6、表示從兩個或多個選項中選取一個。 x | y | . 表示從兩個或多個選項中選取一個或者不選。 x | y | . *表示從兩個或多個選項中選取多個，最少選取一個，最多選取所有選項。 x | y | . *表示從兩個或多個選項中選取多個或者不選。&表示符號&前面的參數可以重復輸入 1n 次。#由“#”號開始的行表示為注釋行。資料獲取方式您可以通過 H3C（）獲取最新的資料：H3C與資料相關的主要欄目介紹如下：l 服務支持/文檔中心：可以獲取硬件安裝類、軟件升級類、配置類或維護類等資料。l 技術：可以獲取書等。介紹和技術介紹的文檔，包括相關介紹、技術介紹、技術白皮l 解決方案：可以獲取解決方案類

7、資料。l 服務支持/軟件：可以獲取與軟件版本配套的資料。技術支持用戶支持郵箱：customer_service技術支持：（、固話均可撥打）：H3C低端系列以太網交換機可插拔模塊手冊幫助您了解支持的可插拔模塊類型、外觀和規格接口模塊擴展卡用戶手冊幫助您了解該接口模塊擴展卡的外觀、規格設備安裝S5120-EI系列以太網交換機安全兼容性手冊列出的兼容性，并對兼容性和安全的細節進行說明H3C 設備防雷安裝指導手冊幫助您了解防雷接地設計和工程安裝方法，以保證交換機具有良好的抗雷擊性能S5120-EI系列以太網交換機安裝手冊幫助您詳細了解設備硬件規格和安裝方法，指導您對設備進行安裝H3C可插拔SFPSFP

8、+XFP模塊安裝指南幫助您掌握SFP/SFP+/XFP 模塊的正確安裝方法，避免因操作不當而造成器件損壞接口模塊擴展卡用戶手冊幫助您了解該接口模塊擴展卡的安裝方法業務配置配置指導幫助您掌握設備軟件功能的配置方法及配置步驟命令參考詳細介紹設備令，相當于命令字典，方便您查閱各個命令的功能運行維護H3C系列以太網交換機登錄恢復手冊指導您在設備登錄丟失的情況下，找回密碼、或重新配置登錄故障處理手冊指導您快速并處理軟件故障版本說明書幫助您了解 版本的相關信息（包括：版本配套說明、兼容性說明、特性變更說明、技術支持信息）及軟件升級方法資料意見反饋如果您在使用過程中發現：info資料的任何問題，可以通過以下

9、方式反饋：感謝您的反饋，讓我們做得更好！目錄1 AAA配置命令1-11.1 AAA配置命令1-11.1.1 access-limit enable1-11.1.2 access-limit1-11.1.3 accounting command1-21.1.4 accounting default1-31.1.5 accounting lan-access1-31.1.6 accounting login.1-41.1.7 accounting optional1-51.1.8 authentication default1-61.1.9 authentication lan-access1-7

10、1.1.10 authentication login1-71.1.11 authorization command1-81.1.12 authorization default1-91.1.13 authorization lan-access1-101.1.14 authorization login1-111.1.15 authorization-attribute1-121.1.16 bind-attribute1-131.1.17 cut connection1-141.1.18 display connection1-151.1.19 display domain.1-161.1.

11、20 display local-user1-181.1.21 display user-group1-201.1.22 domain1-211.1.23 domain default enable1-221.1.24 expiration-date1-221.1.25 group1-231.1.26 idle-cut enable1-231.1.27 local-user1-241.1.28 local-user password-display-mode1-251.1.29 password1-251.1.30 self-service-url enable1-261.1.31 servi

12、ce-type1-271.1.32 state1-281.1.33 user-group1-28i2 RADIUS配置命令2-12.1 RADIUS配置命令2-12.1.1 data-flow-format (RADIUS scheme view)2-12.1.2 display radius scheme2-22.1.3 display radius statistics2-32.1.4 display stop-accounting-buffer2-72.1.5 key (RADIUS scheme view)2-82.1.6 nas-ip (RADIUS scheme view)2-82

13、.1.7 primary accounting (RADIUS scheme view)2-92.1.8 primary authentication (RADIUS scheme view)2-102.1.9 radius client2-112.1.10 radius nas-ip2-112.1.11 radius scheme2-122.1.12 radius trap2-132.1.13 reset radius statistics2-132.1.14 reset stop-accounting-buffer2-142.1.15 retry2-152.1.16 retry realt

14、ime-accounting2-152.1.17 retry stop-accounting (RADIUS scheme view)2-162.1.18 secondary accounting (RADIUS scheme view)2-172.1.19 secondary authentication (RADIUS scheme view)2-182.1.20 security-policy-server2-182.1.21 server-type2-192.1.22 state2-202.1.23 stop-accounting-buffer enable (RADIUS schem

15、e view)2-202.1.24 timer quiet (RADIUS scheme view)2-212.1.25 timer realtime-accounting (RADIUS scheme view)2-222.1.26 timer response-timeout (RADIUS scheme view)2-232.1.27 user-name-format (RADIUS scheme view)2-233 HWTACACS配置命令3-13.1 HWTACACS配置命令3-13.1.1 data-flow-format (HWTACACS scheme view)3-13.1

16、.2 display hwtacacs3-13.1.3 display stop-accounting-buffer3-33.1.4 hwtacacs nas-ip3-43.1.5 hwtacacs scheme3-43.1.6 key (HWTACACS scheme view)3-53.1.7 nas-ip (HWTACACS scheme view)3-6ii3.1.8 primary accounting (HWTACACS scheme view)3-63.1.9 primary authentication (HWTACACS scheme view)3-73.1.10 prima

17、ry authorization3-83.1.11 reset hwtacacs statistics3-83.1.12 reset stop-accounting-buffer3-93.1.13 retry stop-accounting (HWTACACS scheme view)3-93.1.14 secondary accounting (HWTACACS scheme view)3-103.1.15 secondary authentication (HWTACACS scheme view)3-103.1.16 secondary authorization3-113.1.17 s

18、top-accounting-buffer enable (HWTACACS scheme view)3-123.1.18 timer quiet (HWTACACS scheme view)3-123.1.19 timer realtime-accounting (HWTACACS scheme view)3-133.1.20 timer response-timeout (HWTACACS scheme view)3-143.1.21 user-name-format (HWTACACS scheme view)3-144 802.1X配置命令4-14.1 802.1X配置命令4-14.1

19、.1 display dot1x4-14.1.2 dot1x4-44.1.3 dot1x authentication-method4-54.1.4 dot1x guest-vlan4-64.1.5 dot1x handshake4-74.1.6 dot1x handshake secure4-84.1.7 dot1x mandatory-domain4-84.1.8 dot1x max-user4-94.1.9 dot1x multicast-trigger4-104.1.10 dot1x port-control4-114.1.11 dot1x port-method4-124.1.12

20、dot1x quiet-period4-134.1.13 dot1x re-authenticate4-134.1.14 dot1x retry4-144.1.15 dot1x timer4-154.1.16 reset dot1x statistics4-165 EAD快速部署命令5-15.1 EAD快速部署命令5-15.1.1 dot1x free-ip5-15.1.2 dot1x timer ead-timeout5-15.1.3 dot1x url5-2iii6 MAC地址認證配置命令6-16.1 MAC地址認證配置命令6-16.1.1 display mac-authenticati

21、on6-16.1.2 mac-authentication6-36.1.3 mac-authentication domain6-46.1.4 mac-authentication guest-vlan6-46.1.5 mac-authentication timer6-56.1.6 mac-authentication user-name-format6-66.1.7 reset mac-authentication statistics6-77端口安全配置命令7-17.1 端口安全配置命令7-17.1.1 display port-security7-17.1.2 display port

22、-security mac-address block7-47.1.3 display port-security mac-address security7-57.1.4 port-security authorization ignore7-67.1.5 port-security enable7-77.1.6 port-security intrusion-mode7-87.1.7 port-security mac-address security7-97.1.8 port-security max-mac-count7-107.1.9 port-security ntk-mode7-

23、107.1.10 port-security oui7-117.1.11 port-security port-mode7-127.1.12 port-security timer disableport7-147.1.13 port-security trap.7-158 User Profile配置命令8-18.1 User Profile配置命令8-18.1.1 display user-profile8-18.1.2 user-profile enable8-18.1.3 user-profile8-29 HABP配置命令9-19.1 HABP配置命令9-19.1.1 display

24、habp9-19.1.2 display habp table.9-19.1.3 display habp traffic9-29.1.4 habp enable9-39.1.5 habp server vlan9-39.1.6 habp timer9-4iv10 公鑰管理配置命令10-110.1 公鑰管理配置命令10-110.1.1 display public-key local public10-110.1.2 display public-key peer10-210.1.3 peer-public-key end10-410.1.4 public-key-code begin10-4

25、10.1.5 public-key-code end10-510.1.6 public-key local create10-610.1.7 public-key local destroy10-710.1.8 public-key local export dsa10-710.1.9 public-key local export rsa10-910.1.10 public-key peer10-1010.1.11 public-key peer import sshkey10-1011 PKI配置命令11-111.1 PKI配置命令11-111.1.1 attribute11-111.1.

26、2 ca identifier11-211.1.311.1.411.1.511.1.611.1.7request entity11-2request from11-3request mode11-3request polling11-4request url11-511.1.8 common-name.11-511.1.9 country11-611.1.10 crl check11-611.1.11 crl update-period11-711.1.12 crl url11-711.1.13 display pki11.1.14 display pki11.1.15 display pki

27、. 11-8access-control-policy11-10attribute-group11-1011.1.16 display pki crl domain11-1111.1.17 fqdn11-1211.1.18 ip (PKI Entity view)11-1311.1.19 ldap-server11-1311.1.20 locality11-1411.1.21 organization11-1411.1.22 organization-unit11-1511.1.23 pkiaccess-control-policy11-16v11.1.24 pki11.1.25 pki de

28、lete-attribute-group11-16. 11-1711.1.26 pki domain11-1711.1.27 pki entity11-1811.1.28 pki import-11.1.29 pki req11.1.30 pki retrieval-. 11-18ertificate domain11-19. 11-2011.1.31 pki retrieval-crl domain11-2011.1.32 pki validate-11.1.33 root-. 11-21fingerprint11-2111.1.34 rule (PKI Cert access contro

29、l policy view)11-2211.1.35 state11-2212 SSH2.0 配置命令12-112.1 SSH2.0 服務器端配置命令12-112.1.1 display ssh server12-112.1.2 display ssh user-information12-212.1.3 ssh server authentication-retries12-312.1.4 ssh server authentication-timeout12-412.1.5 ssh server compatible-ssh1x enable12-512.1.6 ssh server en

30、able12-512.1.7 ssh server rekey-interval12-612.1.8 ssh user12-612.2 SSH2.0 客戶端配置命令12-712.2.1 display ssh client source12-712.2.2 display ssh server-info12-812.2.3 ssh client authentication server12-912.2.4 ssh client first-time enable12-1012.2.5 ssh client ipv6 source12-1012.2.6 ssh client source12-

31、1112.2.7 ssh212-1112.2.8 ssh2 ipv612-1213 SFTP配置命令13-113.1 SFTP服務器端配置命令13-113.1.1 sftp server enable13-113.1.2 sftp server idle-timeout13-113.2 SFTP客戶端配置命令13-213.2.1 bye13-213.2.2 cd13-2vi13.2.3 cdup13-313.2.4 delete13-313.2.5 dir13-413.2.6 display sftp client source13-413.2.7 exit13-513.2.8 get13-5

32、13.2.9 help13-613.2.10 ls13-613.2.11 mkdir13-713.2.12 put13-713.2.13 pwd13-813.2.14 quit13-813.2.15 remove13-913.2.16 rename13-913.2.17 rmdir13-1013.2.18 sftp13-1013.2.19 sftp client ipv6 source13-1113.2.20 sftp client source13-1213.2.21 sftp ipv613-1314 SSL配置命令14-114.1 SSL配置命令14-114.1.1 ciphersuite

33、14-114.1.2 client-verify enable14-214.1.3 close-mode wait.14-214.1.4 display ssl client-policy14-314.1.5 display ssl server-policy14-314.1.6 handshake timeout14-514.1.7 pki-domain14-514.1.8 prefer-cipher14-614.1.9 session14-714.1.10 ssl client-policy14-714.1.11 ssl server-policy14-814.1.12 version14

34、-915 IP Source Guard配置命令15-115.1 IP Source Guard配置命令15-115.1.1 display ip check source15-115.1.2 display user-bind15-215.1.3 ip check source15-3vii15.1.4 user-bind15-3防御配置命令16-116 ARP16.1 ARP防IP報文配置命令16-116.1.1 arp resolving-route enable16-116.1.2 arp source-suppression enable16-116.1.3 arp source-s

35、uppression limit16-216.1.4 display arp source-suppression.16-216.2 ARP報文限速配置命令16-316.2.1 arp rate-limit16-316.3 源MAC地址固定的ARP檢測配置命令16-416.3.1 arp anti-attack source-mac16-416.3.2 arp anti-attack source-mac aging-time16-416.3.3 arp anti-attack source-mac exclude-mac16-516.3.4 arp anti-attack source-ma

36、c threshold16-516.3.5 display arp anti-attack source-mac16-616.4 ARP報文源MAC一致性檢查配置命令16-716.4.1 arp anti-attack valid-ack enable.16-716.5 ARP主動確認配置命令16-716.5.1 arp anti-attack active-ack enable16-716.6 ARP Detection配置命令16-816.6.1 arp detection enable16-816.6.2 arp detection mode16-916.6.3 arp detectio

37、n static-bind16-916.6.4 arp detection trust16-1016.6.5 arp detection validate16-1016.6.6 display arp detection16-1116.6.7 display arp detection statistics16-1216.6.8 reset arp detection statistics16-1317 命令索引17-1viii1 AAA 配置命令1.1 AAA 配置命令1.1.1 access-limit enable【命令】access-limit enable max-user-numb

38、erundo access-limit enable【視圖】ISP 域視圖【缺省級別】2：系統級【參數】max-user-number：表示當前 ISP 域可容納接入用戶數的最大值，取值范圍 12147483646?！久枋觥縜ccess-limit enable 命令用來限制當前 ISP 域可容納接入用戶數。undo access-limit enable 命令用來恢復缺省情況。缺省情況下，不限制當前 ISP 域可容納的接入用戶數。需要注意的是，由于接入用戶之間會發生 的爭用，因此適當地配置該值可以使屬于當前 ISP 域的用戶獲得可靠的性能保障。對當前 ISP 域下所能接入的用戶數進行限制后，

39、當接入此域的用戶數超過當前 ISP 域可容納的最大用戶數后，新接入的用戶將被拒絕?！九e例】# 指定 ISP 域 最多可容納 500 個接入用戶。 system-view Sysname domain Sysname-isp- access-limit enable 5001.1.2 access-limit【命令】access-limit max-user-numberundo access-limit【視圖】本地用戶視圖【缺省級別】3：管理級【參數】max-user-number：表示使用當前用戶名接入設備的最大用戶數，取值范圍為 11024。1-1【描述】access-limit 命令用來

40、設置當前用戶名可容納的最大接入用戶數。undo access-limit 命令用來取消對當前用戶名的接入用戶數限制。缺省情況下，不限制當前本地用戶名可容納的接入用戶數。需要注意的是：l 本地用戶的 access-limit 命令只在配置了本地計費方案的情況下生效。l 由于 FTP 用戶不支持計費，因此 FTP 用戶不受此屬性限制。相關配置可參考命令 display local-user?！九e例】#同時以用戶名 abc的用戶數為 5。 system-view Sysname local-user abcSysname-luser-abc access-limit 51.1.3 accountin

41、g command【命令】accounting command hwtacacs-scheme hwtacacs-scheme-nameundo accounting command【視圖】ISP 域視圖【缺省級別】2：系統級【參數】hwtacacs-schemehwtacacs-scheme-name ： 指 定HWTACACS方案 。 其 中 ，hwtacacs-scheme-name 表示 HWTACACS 方案名，為 132 個字符的字符串。【描述】accounting command 命令用來配置命令行計費方案。undo accounting command 命令用來恢復缺省情況。缺

42、省情況下，命令行計費采用缺省的計費方案。需要注意的是：l 當前 ISP 域所的 HWTACACS 方案必須是已配置的。l 目前只有 HWTACACS 方案支持命令行計費。相關配置可參考命令 accounting default、“安全命令參考/HWTACACS 配置命令”中hwtacacs scheme。【舉例】# 在 ISP 域 test 下，配置命令行計費方案為 HWTACACS 計費方案 hwtac。 system-view Sysname domain testSysname-isp-test accounting command hwtacacs-scheme hwtac令1-21.

43、1.4 accounting default【命令】accounting default hwtacacs-scheme hwtacacs-scheme-name local | local | none |radius-scheme radius-scheme-name local undo accounting default【視圖】ISP 域視圖【缺省級別】2：系統級【參數】hwtacacs-schemehwtacacs-scheme-name ： 指 定 HWTACACS方 案 。 其 中 ，hwtacacs-scheme-name 表示 HWTACACS 方案名，為 132 個字符的

44、字符串。local：本地計費。none：不計費。radius-scheme radius-scheme-name：指定 RADIUS 方案。其中，radius-scheme-name 表示RADIUS 方案名，為 132 個字符的字符串。【描述】accounting default 命令用來為所有類型的用戶配置缺省的計費方案。undo accounting default命令用來恢復缺省情況。缺省情況下，所有類型的用戶采用 local 計費方案。需要注意的是：l 當前 ISP 域所的 RADIUS 或 HWTACACS 方案必須是已配置的。l 本命令所配置的計費方案不區分用戶類型，即對所有類型

45、的用戶都起作用。此配置的優先級低于具體接入方式的配置。l 本地計費只是為了支持本地用戶的連接數管理，沒有實際的統計功能。本地的接入數管理只對本地計費有效，對本地認證和沒有作用。相關配置可參考命令 authentication default、authorization default、“安全命令參考/HWTACACS配置命令”中的 hwtacacs scheme 和“安全命令參考/RADIUS 配置命令”中的 radius scheme?！九e例】# 在系統缺省的 ISP 域system 下，為所有類型的用戶配置計費方案為 local。 system-view Sysname domain sy

46、stemSysname-isp-system auccounting default local# 在系統缺省的 ISP 域system 下，為所有類型的用戶配置計費方案為 RADIUS 方案，方案名為 rd， 并且 local 作為備份計費方案。 system-view Sysname domain systemSysname-isp-system accounting default radius-scheme rd local1.1.5 accounting lan-access【命令】1-3accounting lan-access local | none | radius-sche

47、me radius-scheme-name local undo accounting lan-access【視圖】ISP 域視圖【缺省級別】2：系統級【參數】local：本地計費。none：不計費。radius-scheme radius-scheme-name：指定 RADIUS 方案。其中，radius-scheme-name 表示RADIUS 方案名，為 132 個字符的字符串?！久枋觥縜ccounting lan-access 命令用來為lan-access 用戶配置計費方案。undo accounting lan-access命令用來恢復缺省情況。缺省情況下，lan-access

48、用戶采用命令 accounting default 配置的缺省計費方案。需要注意的是，當前 ISP 域所的 RADIUS 方案必須是已配置的。相關配置可參考命令 accounting default 和“安全命令參考/RADIUS 配置命令”中的 radius scheme。【舉例】# 在系統缺省的 ISP 域system 下，為 lan-access 用戶配置計費方案為 local。 system-view Sysname domain systemSysname-isp-systemaccounting lan-access local# 在系統缺省的 ISP 域 system 下，為 l

49、an-access 用戶配置計費方案為 RADIUS 方案，方案名為rd，并且 local 作為備份計費方案。 system-view Sysname domain systemSysname-isp-system accounting lan-access radius-scheme rd local1.1.6 accounting login【命令】accounting login hwtacacs-scheme hwtacacs-scheme-name local | local | none |radius-scheme radius-scheme-name local undo ac

50、counting login【視圖】ISP 域視圖【缺省級別】2：系統級【參數】1-4hwtacacs-schemehwtacacs-scheme-name ： 指 定 HWTACACS方 案 。 其 中 ，hwtacacs-scheme-name 表示 HWTACACS 方案名，為 132 個字符的字符串。local：本地計費。實現了本地用戶連接數的統計和限制，并沒有實際的費用統計功能。none：不計費。radius-scheme radius-scheme-name：指定 RADIUS 方案。其中，radius-scheme-name 表示RADIUS 方案名，為 132 個字符的字符串。

51、【描述】accounting login 命令用來為 login 用戶配置計費方案。undo accounting login 命令用來恢復缺省情況。缺省情況下，login 用戶采用缺省的計費方案。需要注意的是：l 當前 ISP 域所的 RADIUS 或 HWTACACS 方案必須是已配置的。l login 接入方式中的 FTP 服務不支持計費流程。相關配置可參考命令 accounting default、“安全命令參考/HWTACACS 配置命令”中的 hwtacacs scheme 和“安全命令參考/RADIUS 配置命令”中的 radius scheme?！九e例】# 在系統缺省的 ISP 域system 下，為 login 用戶配置計費方案為 local。 system-view Sysname domain systemSysname-isp-system accounting login local# 在系統缺省的 ISP 域 system 下，為 logi