神码9816命令手册_11_安全功能命令.pdf-道客多多

资源描述

1、安全功能命令目录目录第 1 章 ACL配置命令 1-1 1.1 absolute-periodic/periodic 1-1 1.2 absolute start . 1-2 1.3 access-list(ip extended) . 1-2 1.4 access-list(ip standard) . 1-3 1.5 access-list(mac extended) 1-4 1.6 access-list(mac-ip extended). 1-4 1.7 access-list(mac standard) 1-6 1.8 clear access-group (in | out

2、) statistic interface 1-7 1.9 firewall . 1-7 1.10 ip access extended . 1-7 1.11 ip access standard 1-7 1.12 ipv6 access-list . 1-8 1.13 ipv6 access standard . 1-9 1.14 ipv6 access extended . 1-9 1.15 ip|ipv6|mac|mac-ip access-group 1-9 1.16 mac access extended 1-10 1.17 mac-ip access extended1-11 1.

4、rewall 1-18 1.27 show ipv6 access-lists 1-19 1.28 show time-range 1-19 1.29 time-range 1-20 第 2 章 802.1x配置命令 . 2-1 2.1 debug dot1x detail. 2-1 2.2 debug dot1x error . 2-1 2.3 debug dot1x fsm 2-1 2.4 debug dot1x packet . 2-2 2.5 dot1x accept-mac. 2-2 1 安全功能命令目录 2.6 dot1x eapor enable 2-3 2.7 dot1x e

5、nable. 2-3 2.8 dot1x ipv6 passthrough. 2-3 2.9 dot1x guest-vlan 2-4 2.10 dot1x macfilter enable 2-4 2.11 dot1x max-req 2-5 2.12 dot1x user free-resource . 2-5 2.13 dot1x max-user macbased 2-5 2.14 dot1x max-user userbased 2-6 2.15 dot1x port-control . 2-6 2.16 dot1x port-method 2-6 2.17 dot1x privat

6、eclient enable 2-7 2.18 dot1x re-authenticate 2-7 2.19 dot1x re-authentication 2-8 2.20 dot1x timeout quiet-period. 2-8 2.21 dot1x timeout re-authperiod 2-8 2.22 dot1x timeout tx-period 2-9 2.23 dot1x unicast enable 2-9 2.24 dot1x web authentication enable . 2-9 2.25 dot1x web authentication ipv6 pa

7、ssthrough . 2-10 2.26 dot1x web redirect. 2-10 2.27 dot1x web redirect enable. 2-10 2.28 show dot1x 2-11 第 3 章端口、VLAN 中 MAC、 IP数量限制命令 . 3-1 3.1 switchport mac-address dynamic maximum 3-1 3.2 vlan mac-address dynamic maximum. 3-1 3.3 switchport arp dynamic maximum . 3-2 3.4 switchport nd dynamic max

8、imum. 3-2 3.5 ip arp dynamic maximum 3-2 3.6 ipv6 nd dynamic maximum 3-3 3.7 mac-address query timeout 3-3 3.8 show mac-address dynamic count . 3-4 3.9 show arp-dynamic count 3-4 3.10 show nd-dynamic count 3-5 3.11 debug switchport mac count 3-5 3.12 debug switchport arp count . 3-6 3.13 debug switc

9、hport nd count. 3-6 3.14 debug vlan mac count . 3-6 3.15 debug ip arp count 3-7 3.16 debug ipv6 nd count 3-7 2 安全功能命令目录第 4 章 AM配置命令 4-1 4.1 am enable . 4-1 4.2 am port. 4-1 4.3 am ip-pool 4-1 4.4 am mac-ip-pool 4-2 4.5 no am all. 4-2 4.6 show am 4-2 第 5 章安全特性配置命令 5-1 5.1 dosattack-check srcip-equ

10、al-dstip enable . 5-1 5.2 dosattack-check ipv4-first-fragment enable. 5-1 5.3 dosattack-check tcp-flags enable . 5-1 5.4 dosattack-check srcport-equal-dstport enable . 5-2 5.5 dosattack-check tcp-fragment enable . 5-2 5.6 dosattack-check tcp-segment . 5-2 5.7 dosattack-check icmp-attacking enable 5-

11、3 5.8 dosattack-check icmpV4-size . 5-3 5.9 dosattack-check icmpv6-size 5-3 第 6 章 TACACS+命令 6-1 6.1 tacacs-server authentication host 6-1 6.2 tacacs-server key . 6-1 6.3 tacacs-server nas-ipv4. 6-1 6.4 tacacs-server timeout 6-2 6.5 debug tacacs-server. 6-2 第 7 章 RADIUS配置命令 . 7-1 7.1 aaa enable 7-1 7

12、.2 aaa-accounting enable 7-1 7.3 aaa-accounting update 7-1 7.4 debug aaa packet. 7-2 7.5 debug aaa detail attribute 7-2 7.6 debug aaa detail connection . 7-2 7.7 debug aaa detail event 7-3 7.8 debug aaa error . 7-3 7.9 radius nas-ipv4 7-3 7.10 radius nas-ipv6 7-4 7.11 radius-server accounting host 7

13、-4 7.12 radius-server authentication host 7-5 3 安全功能命令目录 7.13 radius-server dead-time 7-5 7.14 radius-server key. 7-6 7.15 radius-server retransmit. 7-6 7.16 radius-server timeout 7-6 7.17 radius-server accounting-interim-update timeout. 7-7 7.18 show aaa authenticated-user 7-7 7.19 show aaa authen

14、ticating-user. 7-8 7.20 show aaa config . 7-8 7.21 show radius count . 7-9 第 8 章 SSL配置命令 . 8-1 8.1 ip http secure-server . 8-1 8.2 ip http secure-port. 8-1 8.3 ip http secure- ciphersuite 8-1 8.4 show ip http secure-server status. 8-2 8.5 debug ssl. 8-2 第 9 章 IPv6 安全RA命令 9-1 9.1 ipv6 security-ra ena

15、ble . 9-1 9.2 ipv6 security-ra enable . 9-1 9.3 show ipv6 security-ra 9-1 9.4 debug ipv6 security-ra 9-2 第 10 章 VLAN-ACL配置命令 . 10-1 10.1 clear vacl statistic vlan 10-1 10.2 show vacl vlan 10-1 10.3 vacl ip access-group 10-2 10.4 vacl ipv6 access-group 10-3 10.5 vacl mac access-group. 10-3 10.6 vacl

17、rsday+Friday+Saturday+Sunday | daily | weekdays | weekend to 功能：定义一周内的各种不同要求的时间范围，每周都循环这个时间。参数： Friday Friday(星期五) Monday Monday (星期一 ) Saturday Saturday (星期六 ) Sunday Sunday (星期日) Thursday Thursday （星期四） Tuesday Tuesday (星期二) Wednesday Wednesday (星期三) daily Every day of the week （每天） weekdays Mon

18、day thru Friday （星期一到星期五） weekend Saturday and Sunday （星期六到星期日） start_time 开始时间点， HH:MM:SS (小时：分钟：秒) end_time 结束时间点， HH:MM:SS (小时：分钟：秒) 注：time-range 轮询时间是 1 分钟一次，所以时间的误差 end 功能：定义一个绝对时间段, 这个时间段是根据本设备的时钟运行。参数：start_time ：开始时间点， HH:MM:SS (小时：分钟：秒) end_time ：结束时间点， HH:MM:SS (小时：分钟：秒) start_data ：开始日期

22、配置命令列表，则增加一条 rule 表项；本命令的 no 操作为删除一条数字扩展 IP 访问列表。参数：为访问表标号，100-299 ；为 ip 上层协议号，0-255；为源 IP 地址，格式为点分十进制；为源 IP 的反掩码，格式为点分十进制；为目的 IP 地址，格式为点分十进制；为目的 IP 的反掩码，格式为点分十进制，关心的位置 0，忽略的位置 1；， igmp 的类型， 0-15；， icmp 的类型，0-255 ；， icmp 的协议编号， 0-255；， IP 优先级， 0-7；， tos 值，0-15；，源端口号， 0-65535；，源端口范围下

23、边界；，源端口范围上边界；，目的端口号， 0-65535；，目的端口范围下边界；，目的端口范围上边界；，时间范围名称。命令模式：全局配置模式缺省情况：没有配置任何的访问列表。使用指南：当用户第一次指定特定时，创建此编号的 ACL，之后在此 ACL 中添加表项；标号为 200-299 访问列表可以配置非连续 IP 地址反掩码。代表 IGMP 报文的类型，常用的取值可参照以下的说明： 17(0x11)：IGMP QUERY 报文 18(0x12)：IGMP V1 REPORT 报文 22(0x16)：IGMP V2 REPORT 报文 23(0x17)：IGMP

24、 V2 LEAVE 报文 34(0x22)：IGMP V3 REPORT 报文 19(0x13)：DVMRP 报文 20(0x14)：PIM V1 报文特别提示：这里所指的报文类型是指不含有 IP OPTION 情况下的报文类型，在通常情况下，IGMP 报文是包含有 OPTION 字段的，这样的设置对这种报文没有作用。如果希望对包含OPTION 的报文进行配置，请直接使用配置 OFFSET 的方式进行。举例：创建编号为 110 的数字扩展访问列表。拒绝 icmp 报文通过，允许目的地址为 192.168.0.1目的端口为 32 的 udp 包通过。 Switch(config)#acce

25、ss-list 110 deny icmp any-source any-destination Switch(config)#access-list 110 permit udp any-source host-destination 192.168.0.1 d-port 32 1.4 access-list(ip standard) 命令：access-list deny | permit | any-source | host-source no access-list 功能：创建一条数字标准 IP 访问列表，如果已有此访问列表，则增加一条 rule 表项；本命令的 no 操作为删除一条

26、数字标准 IP 访问列表。参数：为访问表标号， 1-99；为源 IP 地址，格式为点分十进制；为源 IP 的反掩码，格式为点分十进制。命令模式：全局配置模式缺省情况：没有配置任何的访问列表。使用指南：当用户第一次指定特定时，创建此编号的 ACL，之后在此 ACL 中添加表项。举例：创建一条编号为 20 的数字标准 IP 访问列表，允许源地址为 10.1.1.0/24 的数据包通过，1-3 安全功能命令第 1 章 ACL 配置命令拒绝其余源地址为 10.1.1.0/16 的数据包通过。 Switch(config)#access-list 20 permit 10.

28、L 规则，No 命令删除一个扩展数字 MAC 访问表规则参数：访问表号，这是一个从 1100 1199 的十进制号； deny 如果规则匹配，拒绝访问； permit 如果规则匹配，允许访问；任何源地址；任何目的地址；，源 MAC 地址；源 MAC 地址的掩码( 反掩码) ；，目的 MAC 地址；目的 MAC 地址的掩码( 反掩码) ； untagged-eth2 未标记的 ethernet II 包格式； tagged-eth2 标记的 ethernet II 包格式；untagged-802-3 未标记的 ethernet 802.3 包格式； tagged-802-

29、3 标记的 ethernet 802.3包格式。 Offset(x) 从包头开始起的偏移量，范围为（12-79 ），窗口必须从源 MAC 后面开始，从前至后依次配置，并且窗口之间不可重叠，也就是要求： Offset(x 1) 必须大于或等于 Offset(x)len （x ）； Length(x) 长度为 1-4，而且 Offset(x)Length(x) 必须不大于 80（当前必须不大于 64）； Value(x) 16 进制数表示，取值范围：当 Length(x) =1 为 0-ff , 当 Length(x) =2 为 0-ffff , 当 Length(x) =3 为 0-ffffff

30、，当 Length(x) =4 为 0-ffffffff ；对于 Offset(x)，对不同的数据帧类型，它的取值范围不同：对 untagged-eth2 类型帧：对 untagged-802.3 类型帧：对 tagged-eth2 类型帧：对 tagged-802.3 类型帧：命令模式：全局配置配置模式缺省配置：没有配置任何的访问列表使用指南：当用户第一次指定特定时，创建此编号的 ACL，之后在此 ACL 中添加表项。举例：允许任意源 MAC 地址任意目的 MAC 地址的 tagged-eth2，且其第 17 18 个字节分别为 0x08 ，0x0 的包通过。 Sw

35、tos time-range 功能：定义一条扩展数字 MAC-IP ACL 规则， No 命令删除一个扩展数字 MAC-IP ACL 访问表规则参数：num 访问表号。这是一个从 31003299 的十进制号；deny 如果规则匹配，拒绝访问；permit 如果规则匹配，允许访问；any-source-mac 任何源 MAC 地址；any-destination-mac 任何目的 MAC 地址； host_smac ， smac 源 MAC 地址； smac-mask 源MAC 地址的掩码( 反掩码) ；host_dmac ， dmac 目的 MAC 地址； dmac-mask 目的 MA

36、C地址的掩码( 反掩码) ； protocol 名字或 IP 协议的号。它可以是关键字 eigrp, gre, icmp, igmp, igrp, ip, ipinip, ospf, tcp, or udp, 也可以是表 IP 协议号的 0 到 255 的一个整数。为了匹配任何Internet 协议（包括 ICMP， TCP 和 UDP）使用关键字 ip； source-host-ip, source 包发送的源网络或源主机号。 32 位二进制数，点分十进制表示； host-source 表示地址是源主机 IP 地址，1-5 安全功能命令第 1 章 ACL 配置命令否则是网络 IP 地址；

37、 source-wildcard 源 IP 的掩码。用四个点隔开的十进制数表示的 32 位二进制数，反掩码；destination-host-ip ， destination 包发送时要去往的目的网络或主机号。32 位二进制数，点分十进制表示；host-source 表示地址是目的主机 IP 地址，否则是网络IP 地址；destination-wildcard 目的 IP 的掩码。用四个点隔开的十进制数表示的 32 位二进制数，反掩码； s-port (可选) 表示要匹配 TCP/UDP 源端口； port1 (可选) TCP/UDP 源端口号值，端口号是一个 0 到 65535 的数字；，

38、源端口范围下边界；，源端口范围上边界； d-port (可选) 表示要匹配 TCP/UDP 目的端口； port3 (可选)TCP/UDP目的端口号值，端口号是一个 0 到 65535 的数字；，目的端口范围下边界；，目的端口范围上边界； ack fin psh rst urg syn， (可选) 只对 TCP协议，可选多个标志位，当 TCP 数据报 ack fin psh rst urg syn的相应位设置时，即初始化 TCP 数据报以形成一个连接时出现匹配； precedence (可选) 包可由优先级过滤，为0 到 7 的数字； tos (可选) 包可由服务级类型过滤，为

39、 0 到 15 的数字； icmp-type (可选) ICMP包可由 ICMP 报文类型过滤。类型是数字 0 到 255； icmp-code (可选) ICMP 包可由 ICMP 报文码过滤。该代码是数字 0 到 255； igmp-type (可选) IGMP 包可由 IGMP 报文类型或报文名过滤。类型是数字 0 到 15；时间范围名称。命令模式：全局配置模式缺省情况：没有配置任何的访问列表。使用指南：当用户第一次指定特定时，创建此编号的 ACL，之后在此 ACL 中添加表项；标号为 3200-3299 访问列表可以配置非连续 IP 地址反掩码。举例：允许源 MAC

40、为 00-12-34-45-XX-XX，任意目的 MAC 地址，源 IP 地址为：100.1.1.0 0.255.255.255，任意目的 IP 地址，且源端口是 100，目的端口是 40000 的 TCP 报文通过 Switch(config)# access-list 3199 permit 00-12-34-45-67-00 00-00-00-00-FF-FF any-destination-mac tcp 100.1.1.0 0.255.255.255 s-port 100 any-destination d-port 40000 1.7 access-list(mac standar

41、d) 命令：access-list deny|permit any-source-mac | host-source-mac | no access-list 功能：定义一条标准数字 MAC ACL 规则，No 命令删除一个标准数字 MAC 访问表规则参数：访问表号，这是一个从 700 到 799 的十进制号； deny 如果规则匹配，拒绝访问； permit 如果规则匹配，允许访问；，源 MAC 地址；源 MAC 地址的掩码（反掩码）命令模式：全局配置模式缺省情况：没有配置任何的访问列表。使用指南：当用户第一次指定特定时，创建此编号的 ACL，之后在此 ACL 中添加

42、表项。举例：允许源 MAC 地址为 00-00-XX-XX-00-01 的数据包通过，拒绝源地址为00-00-00-XX-00-ab 的数据包通过。 Switch(config)# access-list 700 permit 00-00-00-00-00-01 00-00-FF-FF-00-00 Switch(config)# access-list 700 deny 00-00-00-00-00-ab 00-00-00-FF-00-00 1-6 安全功能命令第 1 章 ACL 配置命令 1.8 clear access-group (in | out) statistic inter

43、face 命令： clear access-group (in | out) statistic interface | ethernet 功能：清空指定端口的指定方向的包过滤统计信息。参数：：接口名称。命令模式：特权用户模式。缺省情况：无。举例：清空 1/1 接口的包过滤统计信息。 Switch#clear access-group out statistic interface ethernet 1/1 1.9 firewall 命令：firewall enable | disable 功能：允许防火墙起作用或禁止防火墙起作用。参数：enable 表示允许防火墙起作用；dis

44、able 表示禁止防火墙起作用。缺省情况：缺省为防火墙不起作用。命令模式：全局配置模式。使用指南：在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口。使防火墙不起作用后将删除端口上绑定的所有 ACL。举例：允许防火墙起作用。 Switch(config)#firewall enable 1.10 ip access extended 命令：ip access extended no ip access extended 功能：创建一条命名扩展 IP 访问列表；本命令的 no 操作为删除此命名扩展 IP 访问列表（包含所有表项）。参数：

45、为访问表标名，字符串长度为 1-32，不允许为纯数字序列。命令模式：全局配置模式缺省情况：没有配置任何的访问列表。使用指南：第一次调用此命令后，只是创建一个空的命名访问列表，其中不包含任何表项。举例：创建一条名为 tcpFlow 的命名扩展 IP 访问列表。 Switch(config)#ip access-list extended tcpFlow 1.11 ip access standard 命令：ip access standard 1-7 安全功能命令第 1 章 ACL 配置命令 no ip access standard 功能：创建一条命名标准 IP 访问列表；本

46、命令的 no 操作为删除此命名标准 IP 访问列表（包含所有表项）。参数：为访问表标名，字符串长度为 1-32，不允许为纯数字序列。命令模式：全局配置模式缺省情况：没有配置任何的访问列表。使用指南：第一次调用此命令后，只是创建一个空的命名访问列表，其中不包含任何表项。举例：创建一条名为 ipFlow 的命名标准 IP 访问列表。 Switch(config)#ip access-list standard ipFlow 1.12 ipv6 access-list 命令：ipv6 access-list deny | permit | any-source | host-sou

展开阅读全文