安全功能命令.doc

目 录第1章 ACL配置命令11.1 absolute-periodic/periodic11.2 absolute start21.3 access-list(ip extended)21.4 access-list(ip standard)31.5 access-list(mac extended)41.6 access-list(mac-ip extended)51.7 access-list(mac standard)61.8 clear access-group statistic interface71.9 firewall71.10 firewall default81.11 ip access extended81.12 ip access standard81.13 ipv6 access-list91.14 ipv6 access standard101.15 ipv6 access extended101.16 ip|ipv6|mac|mac-ip access-group101.17 mac access extended111.18 mac-ip access extended121.19 permit | deny(ip extended)121.20 permit | deny(ip standard)131.21 permit | deny(ipv6 extended)131.22 permit | deny(ipv6 standard)141.23 permit | deny(mac extended)151.24 permit | deny(mac-ip extended)161.25 show access-lists181.26 show access-group191.27 show firewall201.28 show ipv6 access-lists201.29 show time-range211.30 time-range21第2章 802.1x配置命令232.1 debug dot1x detail232.2 debug dot1x error232.3 debug dot1x fsm242.4 debug dot1x packet242.5 dot1x accept-mac242.6 dot1x eapor enable252.7 dot1x enable252.8 dot1x ipv6 passthrough262.9 dot1x guest-vlan262.10 dot1x macfilter enable272.11 dot1x max-req272.12 dot1x user free-resource272.13 dot1x max-user macbased282.14 dot1x max-user userbased282.15 dot1x port-control282.16 dot1x port-method292.17 dot1x privateclient enable302.18 dot1x re-authenticate302.19 dot1x re-authentication302.20 dot1x timeout quiet-period312.21 dot1x timeout re-authperiod312.22 dot1x timeout tx-period312.23 dot1x unicast enable322.24 dot1x web authentication enable322.25 dot1x web redirect332.26 dot1x web redirect enable332.27 show dot1x33第3章 端口、VLAN中MAC、IP数量限制命令363.1 switchport mac-address dynamic maximum363.2 vlan mac-address dynamic maximum363.3 switchport arp dynamic maximum373.4 switchport nd dynamic maximum373.5 ip arp dynamic maximum383.6 ipv6 nd dynamic maximum383.7 mac-address query timeout393.8 show mac-address dynamic count393.9 show arp-dynamic count403.10 show nd-dynamic count403.11 debug switchport mac count413.12 debug switchport arp count413.13 debug switchport nd count413.14 debug vlan mac count423.15 debug ip arp count423.16 debug ipv6 nd count43第4章 AM配置命令444.1 am enable444.2 am port444.3 am ip-pool444.4 am mac-ip-pool454.5 no am all454.6 show am45第5章 安全特性配置命令475.1 dosattack-check srcip-equal-dstip enable475.2 dosattack-check ipv4-first-fragment enable475.3 dosattack-check tcp-flags enable475.4 dosattack-check srcport-equal-dstport enable485.5 dosattack-check tcp-fragment enable485.6 dosattack-check tcp-segment485.7 dosattack-check icmp-attacking enable495.8 dosattack-check icmpV4-size495.9 dosattack-check icmpv6-size49第6章 TACACS+命令516.1 tacacs-server authentication host516.2 tacacs-server key516.3 tacacs-server timeout526.4 debug tacacs-server52第7章 RADIUS配置命令537.1 aaa enable537.2 aaa-accounting enable537.3 aaa-accounting update537.4 debug aaa packet547.5 debug aaa detail attribute547.6 debug aaa detail connection557.7 debug aaa detail event557.8 debug aaa error557.9 radius nas-ipv4567.10 radius nas-ipv6567.11 radius-server accounting host567.12 radius-server authentication host577.13 radius-server dead-time587.14 radius-server key587.15 radius-server retransmit587.16 radius-server timeout597.17 radius-server accounting-interim-update timeout597.18 show aaa authenticated-user607.19 show aaa authenticating-user607.20 show aaa config617.21 show radius count62第8章 SSL配置命令638.1 ip http secure-server638.2 ip http secure-port638.3 ip http secure- ciphersuite638.4 show ip http secure-server status648.5 debug ssl64第9章 IPv6安全RA命令659.1 ipv6 security-ra enable659.2 ipv6 security-ra enable659.3 show ipv6 security-ra659.4 debug ipv6 security-ra66 版权所有2009，迈普通信技术股份有限公司，保留所有权利 65第1章 ACL配置命令1.1 absolute-periodic/periodic命令：no absolute-periodicMonday|Tuesday|Wednesday|Thursday|Friday|Saturday| SundaytoMonday|Tuesday|Wednesday|Thursday|Friday|Saturday| Sunday noperiodicMonday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday|daily| weekdays | weekend to 功能： 定义一周内的各种不同要求的时间范围，每周都循环这个时间。参数：Friday Friday(星期五) Monday Monday (星期一) Saturday Saturday (星期六) Sunday Sunday (星期日) Thursday Thursday （星期四） Tuesday Tuesday (星期二) Wednesday Wednesday (星期三) daily Every day of the week （每天） weekdays Monday thru Friday （星期一到星期五） weekend Saturday and Sunday （星期六到星期日） start_time 开始时间点，HH:MM:SS (小时：分钟：秒) end_time 结束时间点，HH:MM:SS (小时：分钟：秒)注：time-range轮询时间是1分钟一次，所以时间的误差=1分钟。命令模式：时间范围模式缺省情况：没有时间范围配置使用指南：周期性的时间和日期，周期是定义每周的16 和周日的具体时间段，可以同时配置多个周期性时段，它们之间是“或”的关系。它的形式是：day1 hh:mm:ss To day2 hh:mm:ss 或者day1+day2+day3+day4+day5+day6+day7|weekend|weekdays|daily hh:mm:ss To hh:mm:ss举例：使能在Tuesday到Saturday内的9:15:30到12:30:00时间段内配置生效Switch(config)#time-range dc_timerSwitch(Config-Time-Range-dc_timer)#absolute-periodic tuesday 9:15:30 to saturday 12:30:00使能在Monday、Wednesday、Friday和Sunday四天内的14:30:00到16:45:00时间段配置生效Switch (Config-Time-Range-dc_timer)#periodic monday wednesday friday sunday 14:30:00 to 16:45:001.2 absolute start命令：noabsolute start end 功能：定义一个绝对时间段,这个时间段是根据本设备的时钟运行。 参数：start_time ：开始时间点，HH:MM:SS (小时：分钟：秒) end_time ：结束时间点，HH:MM:SS (小时：分钟：秒) start_data ：开始日期，格式是，YYYY.MM.DD（年.月.日） end_data ：结束日期，格式是，YYYY.MM.DD（年.月.日）注：time-range轮询时间是1分钟一次，所以时间的误差=1分钟。命令模式：时间范围模式缺省情况：没有时间范围配置使用指南：绝对时间及日期，指定具体开始的年，月，日，小时，分钟，不能配置多个绝对时间及日期，重复配置时，后配置的覆盖以前配置的绝对时间及日期。1.3 access-list(ip extended)命令：access-list deny | permit icmp | any-source | host-source | any-destination | host-destination precedence tos time-rangeaccess-list deny | permit igmp | any-source | host-source | any-destination | host-destination precedence tos time-rangeaccess-list deny | permit tcp | any-source | host-source s-port | range | any-destination | host-destination d-port | range ack+ fin+ psh+ rst+ urg+ syn precedence tos time-range access-list deny | permit udp | any-source | host-source s-port | range | any-destination | host-destination d-port | range precedence tos time-range access-list deny | permit eigrp | gre | igrp | ipinip | ip | ospf | | any-source | host-source | any-destination | host-destination precedence tos time-range no access-list 功能：创建一条匹配特定IP协议或所有IP协议的数字扩展IP访问列表，如果已有此访问列表，则增加一条rule表项；本命令的no操作为删除一条数字扩展IP访问列表。 参数： 为访问表标号，100-299；为ip上层协议号，0-255；为源IP地址，格式为点分十进制；为源IP的反掩码，格式为点分十进制；为目的IP地址，格式为点分十进制；为目的IP的反掩码，格式为点分十进制，关心的位置0，忽略的位置1；，igmp的类型， 0-15；，icmp的类型，0-255 ；，icmp的协议编号， 0-255；，IP优先级，0-7；，tos值，0-15； ， 源端口号，0-65535； ， 源端口范围下边界； ， 源端口范围上边界； ， 目的端口号，0-65535； ， 目的端口范围下边界； ， 目的端口范围上边界； ， 时间范围名称。命令模式：全局配置模式 缺省情况：没有配置任何的访问列表。使用指南：当用户第一次指定特定时，创建此编号的ACL，之后在此ACL中添加表项；标号为200-299访问列表可以配置非连续IP地址反掩码。代表IGMP报文的类型，常用的取值可参照以下的说明：17(0x11)：IGMP QUERY报文18(0x12)：IGMP V1 REPORT报文22(0x16)：IGMP V2 REPORT报文23(0x17)：IGMP V2 LEAVE报文34(0x22)：IGMP V3 REPORT报文19(0x13)：DVMRP报文20(0x14)：PIM V1报文特别提示：这里所指的报文类型是指不含有IP OPTION情况下的报文类型，在通常情况下，IGMP报文是包含有OPTION字段的，这样的设置对这种报文没有作用。如果希望对包含OPTION的报文进行配置，请直接使用配置OFFSET的方式进行。举例：创建编号为110的数字扩展访问列表。拒绝icmp报文通过，允许目的地址为目的端口为32的udp包通过。Switch(config)#access-list 110 deny icmp any-source any-destinationSwitch(config)#access-list 110 permit udp any-source host-destination d-port 321.4 access-list(ip standard)命令：access-list deny | permit | any-source | host-source no access-list 功能：创建一条数字标准IP访问列表，如果已有此访问列表，则增加一条rule表项；本命令的no操作为删除一条数字标准IP访问列表。参数：为访问表标号，1-99；为源IP地址，格式为点分十进制；为源IP的反掩码，格式为点分十进制。命令模式：全局配置模式缺省情况：没有配置任何的访问列表。使用指南：当用户第一次指定特定时，创建此编号的ACL，之后在此ACL中添加表项。举例：创建一条编号为20的数字标准IP访问列表，允许源地址为/24的数据包通过，拒绝其余源地址为/16的数据包通过。Switch(config)#access-list 20 permit 55Switch(config)#access-list 20 deny 551.5 access-list(mac extended)命令：access-listdeny|permitany-source-mac | host-source-mac |any-destination-mac|host-destination-mac| untagged-eth2|tagged-eth2| untagged-802-3 |tagged-802-3 no access-list 功能：定义一条扩展数字MAC ACL规则，No命令删除一个扩展数字MAC访问表规则参数：访问表号，这是一个从11001199的十进制号；deny 如果规则匹配，拒绝访问；permit 如果规则匹配，允许访问；任何源地址； 任何目的地址； ，源MAC地址 ；源MAC地址的掩码(反掩码)； ， 目的MAC地址； 目的MAC地址的掩码(反掩码)； untagged-eth2 未标记的ethernet II包格式； tagged-eth2 标记的ethernet II包格式；untagged-802-3 未标记的ethernet 802.3包格式； tagged-802-3 标记的ethernet 802.3包格式。 Offset(x) 从包头开始起的偏移量，范围为（12-79），窗口必须从源MAC后面开始，从前至后依次配置，并且窗口之间不可重叠，也就是要求： Offset(x1) 必须大于或等于Offset(x)len（x）； Length(x) 长度为1-4 ,而且 Offset(x)Length(x) 必须不大于80（当前必须不大于64）； Value(x) 16进制数表示，取值范围：当 Length(x) =1 为0-ff , 当 Length(x) =2为0-ffff , 当 Length(x) =3为0-ffffff , 当 Length(x) =4为0-ffffffff ；对于 Offset(x)，对不同的数据帧类型，它的取值范围不同： 对untagged-eth2类型帧： 对untagged-802.3类型帧： 对tagged-eth2类型帧： 对tagged-802.3类型帧：命令模式：全局配置配置模式缺省配置：没有配置任何的访问列表使用指南：当用户第一次指定特定时，创建此编号的ACL，之后在此ACL中添加表项。举例：允许任意源MAC地址任意目的MAC地址的tagged-eth2，且其第17 18个字节分别为0x08 ，0x0的包通过。Switch(config)#access-list 1100 permit any-source-mac any-destination-mac tagged-eth2 16 2 08001.6 access-list(mac-ip extended)命令：access-listdeny|permitany-source-mac| host-source-mac| any-destination-mac|host-destination-mac |icmp |any-source|host-source |any-destination| host-destination precedence tos time-rangeaccess-listdeny|permitany-source-mac| host-source-mac| any-destination-mac|host-destination-mac |igmp |any-source|host-source |any-destination| host-destination precedence tos time-rangeaccess-list deny|permitany-source-mac| host-source-mac | any-destination-mac| host-destination-mac | tcp |any-source| host-source s-port | range | any-destination | host-destination d-port | range ack+fin+psh+rst+urg+syn precedence tos time-range access-list deny|permitany-source-mac| host-source-mac | any-destination-mac| host-destination-mac | udp |any-source| host-source s-port | range |any-destination| host-destination d-port | range precedence tos time-range access-list deny|permitany-source-mac| host-source-mac | any-destination-mac|host-destination-mac | eigrp|gre|igrp|ip|ipinip|ospf| |any-source|host-source |any-destination| host-destination precedence tos time-range 功能：定义一条扩展数字MAC-IP ACL规则，No命令删除一个扩展数字MAC-IP ACL访问表规则参数：num 访问表号。这是一个从31003299的十进制号；deny 如果规则匹配，拒绝访问；permit 如果规则匹配，允许访问；any-source-mac任何源MAC地址；any-destination-mac任何目的MAC地址；host_smac ，smac源MAC地址；smac-mask源MAC地址的掩码(反掩码)；host_dmac ，dmac 目的MAC地址；dmac-mask 目的MAC地址的掩码(反掩码)；protocol 名字或IP协议的号。它可以是关键字 eigrp, gre, icmp, igmp, igrp, ip, ipinip, ospf, tcp, or udp, 也可以是表IP协议号的0到255的一个整数。为了匹配任何Internet协议（包括ICMP，TCP和UDP）使用关键字ip；source-host-ip, source包发送的源网络或源主机号。32位二进制数，点分十进制表示；host-source 表示地址是源主机IP地址，否则是网络IP地址；source-wildcard 源IP的掩码。用四个点隔开的十进制数表示的32位二进制数，反掩码；destination-host-ip，destination包发送时要去往的目的网络或主机号。32位二进制数，点分十进制表示；host-source 表示地址是目的主机IP地址，否则是网络IP地址；destination-wildcard 目的IP的掩码。用四个点隔开的十进制数表示的32位二进制数，反掩码； s-port (可选) 表示要匹配TCP/UDP源端口； port1 (可选) TCP/UDP源端口号值，端口号是一个0到65535的数字； ， 源端口范围下边界； ， 源端口范围上边界； d-port (可选)表示要匹配TCP/UDP目的端口； port3 (可选)TCP/UDP目的端口号值，端口号是一个0到65535的数字； ， 目的端口范围下边界； ， 目的端口范围上边界； ack fin psh rst urg syn， (可选) 只对TCP协议，可选多个标志位，当TCP数据报ack fin psh rst urg syn的相应位设置时，即初始化TCP数据报以形成一个连接时出现匹配；precedence (可选) 包可由优先级过滤， 为0到7的数字；tos (可选)包可由服务级类型过滤，为0到15的数字；icmp-type (可选) ICMP包可由ICMP报文类型过滤。类型是数字0到255；icmp-code (可选) ICMP包可由ICMP报文码过滤。该代码是数字0到255；igmp-type (可选) IGMP包可由IGMP报文类型或报文名过滤。类型是数字0到15； 时间范围名称。命令模式：全局配置模式 缺省情况：没有配置任何的访问列表。使用指南：当用户第一次指定特定时，创建此编号的ACL，之后在此ACL中添加表项；标号为3200-3299访问列表可以配置非连续IP地址反掩码。举例：允许源MAC为00-12-34-45-XX-XX，任意目的MAC地址，源IP地址为： 55，任意目的IP地址，且源端口是100，目的端口是40000的TCP报文通过Switch(config)# access-list 3199 permit 00-12-34-45-67-00 00-00-00-00-FF-FF any-destination-mac tcp 55 s-port 100 any-destination d-port 400001.7 access-list(mac standard)命令：access-list deny|permit any-source-mac | host-source-mac | no access-list 功能：定义一条标准数字MAC ACL规则，No命令删除一个标准数字 MAC访问表规则参数：访问表号，这是一个从700到799的十进制号；deny 如果规则匹配，拒绝访问；permit 如果规则匹配，允许访问；， 源MAC地址；源MAC地址的掩码（反掩码）命令模式：全局配置模式缺省情况：没有配置任何的访问列表。使用指南：当用户第一次指定特定时，创建此编号的ACL，之后在此ACL中添加表项。举例：允许源MAC地址为00-00-XX-XX-00-01的数据包通过，拒绝源地址为00-00-00-XX-00-ab的数据包通过。Switch(config)# access-list 700 permit 00-00-00-00-00-01 00-00-FF-FF-00-00Switch(config)# access-list 700 deny 00-00-00-00-00-ab 00-00-00-FF-00-001.8 clear access-group statistic interface命令： clear access-group statistic interface | ethernet 功能： 清空指定接口的包过滤统计信息。参数： ：接口名称。命令模式： 特权用户模式。缺省情况： 无。举例：清空1/1接口的包过滤统计信息。Switch#clear access-group statistic interface ethernet 1/11.9 firewall命令：firewall enable | disable功能：允许防火墙起作用或禁止防火墙起作用。参数：enable表示允许防火墙起作用；disable表示禁止防火墙起作用。缺省情况：缺省为防火墙不起作用。命令模式：全局配置模式。使用指南：在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口。使防火墙不起作用后将删除端口上绑定的所有ACL。举例：允许防火墙起作用。Switch(config)#firewall enable1.10 firewall default命令：firewall default permit | deny ipv4 | ipv6 | all功能：设置防火墙默认动作。参数：permit 表示允许任何类型的报文通过； deny ipv4 | ipv6 | all 表示禁止ipv4|ipv6任何类型报文通过。如果设置了default deny *，可以通过default permit来取消。 命令模式：全局配置模式缺省情况：缺省动作为permit。使用指南：此命令只影响端口入口方向的所有数据包。举例：设置防火墙默认动作为允许数据包通过。Switch(config)#firewall default permit1.11 ip access extended命令：ip access extended no ip access extended 功能：创建一条命名扩展IP访问列表；本命令的no操作为删除此命名扩展IP访问列表（包含所有表项）。参数：为访问表标名，字符串长度为1-32，不允许为纯数字序列。命令模式：全局配置模式 缺省情况：没有配置任何的访问列表。使用指南：第一次调用此命令后，只是创建一个空的命名访问列表，其中不包含任何表项。举例：创建一条名为tcpFlow的命名扩展IP访问列表。Switch(config)#ip access-list extended tcpFlow1.12 ip access standard命令：ip access standard no ip access standard 功能：创建一条命名标准IP访问列表；本命令的no操作为删除此命名标准IP访问列表（包含所有表项）。参数：为访问表标名，字符串长度为1-32，不允许为纯数字序列。命令模式：全局配置模式 缺省情况：没有配置任何的访问列表。使用指南：第一次调用此命令后，只是创建一个空的命名访问列表，其中不包含任何表项。举例：创建一条名为ipFlow的命名标准IP访问列表。Switch(config)#ip access-list standard ipFlow1.13 ipv6 access-list 命令： ipv6 access-list deny | permit | any-source | host-source ipv6 access-list deny | permit icmp | any-source | host-source | any-destination | host-destination dscp flow-label time-range ipv6 access-list deny | permit tcp sIP