第七部分 安全配置命令参考

1、RGOS命令参考手册安全配置第七部分安全配置命令参考目录目录第一章1.1AAA命令1身份认证相关命令.....101.1.11aaa authentication ppp1aaa authentication login2aaa new-model3login4login authentication5login local6ppp authentication6ppp chap hostname8ppp chap password8ppp pap sent-username9debug aaa10第二章

2、2.1RADIUS命令11RADIUS相关命令...6ip radius source-interface11radius-server host12radius-server key13radius-server retransmit14radius-server timeout15debug radius15第三章3.1访问控制列表（）命令17访问控制列表相关命令.....103.1.11access-list17clear access-li

3、st23ip access-group24show access-lists25show ip access-lists26absolute27clock set28clock update-calendar29periodic29time-range30show time-range31口令设置命令33enable password33password34username34端口镜像配置37mirror37抗攻击配置39security anti-wan-attack level39security anti-wan-attack parameter40show security40第四章4

4、.14.24.3第五章5.1第六章第七部分安全配置命令参考目录6.4ARP抗攻击配置命令4........166.4.17arp request-update enable42arp reply-update enable42arp gratuitous-learning enable43arp trust-monitor enable44arp trust-monitor timeout45arp attacker-de

5、tect enable46arp scan-detected enable46arp virus-host detect interface47show arp arp-attacker48clear arp-cache49security deny50security anti-igm-dog50show security anti-igm-dog suspicion51clear security anti-igm-dog52preserve-ip52show preserve-ip53clear dynamic-preserve-ip53第七章7.4URL关键字过滤配置

6、55url-filter enable55url-filter log55url-filter url56url-filter file-load56第七部分安全配置命令参考第一章 AAA 命令第一章 AAA 命令1.1身份认证相关命令身份认证包括以下命令：zzzzzzzzzzzaaa authentication ppp aaa authentication login aaa debugaaa new-model loginlogin authentication login localppp authentication ppp chap hostname ppp chap passwo

7、rdppp pap sent-username1.1.1 aaa authentication ppp要使用 AAA 进行 PPP 认证，请执行全局配置命令 aaa authentication pppPPP 认证的方法列表。该命令的 no 形式删除 PPP 认证的方法列表。配置aaa authentication ppp default | list-name method1 method2.no aaa authentication ppp default | list-name【参数说明】default法。使用该参数，则后面定义的身份方法列表作为 PPP 认证的默认方list-name定

8、义一个登录身份认证的方法列表，可以是任何字符串。method必须为表 1-3 所列关键字之一。表 1-1AAA PPP 身份认证方法第1页 共60页关键字描述local使用本地用户名数据库进行身份认证none不进行身份认证radius使用 RADIUS 进行身份认证第七部分 安全配置命令参考第一章 AAA 命令【缺省情况】如果没有配置默认的 default 方法列表，则只检查本地用户数据库。等同于下面的方法列表：aaa authentication ppp default local【命令模式】全局配置模式。【使用指南】如果路由器启用 AAA 安全

9、服务，PPP 就必须使用 AAA 进行认证协商。您必须使用 aaa authentication ppp 配置默认的或可选的方法列表用于 PPP 认证。PPP 认证同其他 AAA 认证方式一样，只有前面的方法没有反应，才能使用后面的方法进行身份认证。【举例】下面的示例定义一个名为 radius_ppp 的 AAA 身份认证方法列表。该认证方法列表先使用 RADIUS 安全服务器进行身份认证，如果 RADIUS 安全服务器没有反应，则使用本地用户数据库进行身份认证。Router(config)#aaa authentication ppp radius_ppp radius local【相关命令

10、】1.1.2 aaa authentication login要使用 AAA 进行登录认证，请执行全局配置命令 aaa authentication login登录认证的方法列表。该命令的 no 形式删除登录认证的方法列表。配置aaa authentication login default | list-name method1 method2.no aaa authentication login default | list-name【参数说明】default法。使用该参数，则后面定义的身份方法列表作为登录认证的默认方list-name定义一个登录身份认证的方法列表，可以是任何字符串。m

11、ethod必须为表 1-3 所列关键字之一。第2页 共60页命令说明aaa new-model使用 AAA 安全服务ppp authentication在 PPP 接口上关联特定方法列表Username定义本地用户数据库第七部分 安全配置命令参考第一章 AAA 命令表 1-2AAA 登录身份认证方法【缺省情况】如果没有配置默认的 default 方法列表，则登录认证只检查本地用户数据库或者是使用 VTY 的口令校验。【命令模式】全局配置模式。【使用指南】如果路由器启用 AAA 安全服务，登录认证就必须使用 AAA 进行认证协商。您必须使用 aaa

12、authentication login 配置默认的或可选的方法列表用于登录认证。登录认证同其他 AAA 认证方式一样，只有前面的方法没有反应，才能使用后面的方法进行身份认证。【举例】下面的示例定义一个名为 radius_login 的 AAA 身份认证方法列表。该认证方法列表先使用 RADIUS 安全服务器进行身份认证，如果 RADIUS 安全服务器没有反应，则使用本地用户数据库进行身份认证。Router(config)#aaa authentication login radius_login radius local【相关命令】1.1.3 aaa new-model要使用 RGOS 的

13、AAA 安全服务功能，请执行全局配置命令 aaa new-model 使能 AAA。该命令的 no 形式关闭 AAA 安全服务。aaa new-modelno aaa new-model第3页 共60页命令说明aaa new-model使用 AAA 安全服务login authentication在具体接口上关联特定方法列表Username定义本地用户数据库关键字描述local使用本地用户名数据库进行身份认证none不进行身份认证radius使用 RADIUS 进行身份认证第七部分 安全配置命令参考第一章 AAA 命令【参数说明】该命令没有参数或关

14、键字。【缺省情况】关闭 AAA 安全服务【命令模式】全局配置模式。【使用指南】该命令是 AAA 的使能命令，如果您要使用 AAA 安全服务，就必须使用 aaa new-model 使能 AAA 安全服务。如果没有启用 AAA，则所有 AAA 命令将是不可配置的。【举例】下面的示例使能 AAA 安全服务。Router(config)#aaa new-model【相关命令】1.1.4 login在 AAA 关闭的情况下，如果要在接口上进行简单的登录口令校验，请执行接口配置命令 login。该命令的 no 形式取消登录口令校验。loginno login【参数说明】无参数。【缺省情况】如果没有启用

15、AAA，缺省情况下登录认证将采用简单的口令校验。【命令模式】接口配置模式。【使用指南】如果没有启用 AAA 安全服务，则该命令用于登录认证时作简单的口令校验。这里的口令是是指 VTY 或console 接口中配置的口令。【举例】下面的示例演示在 VTY 上设置登录口令校验。第4页 共60页命令说明aaa authentication ppp定义 PPP 认证方法列表第七部分 安全配置命令参考第一章 AAA 命令Router(config)#no aaa new-model Router(config)#interface vty 0Router(c

16、onfig-if)#password 0 normatest Router(config)#login【相关命令】1.1.5 login authentication在 AAA 打开的情况下，登录认证必须采用 AAA 服务来进行认证，使用该命令关联登录认证方法列表。该命令的 no 形式删除登录认证方法列表。login authentication default|list-nameno login authentication default|list-name【参数说明】default默认的认证方法列表名list-name可选的方法列表名【缺省情况】如果 AAA 打开，则登录认证缺省的将使用

17、 AAA 服务。【命令模式】接口配置模式。【使用指南】如果启用 AAA 安全服务，则该命令用于登录认证时使用制定的方法列表进行认证。【举例】下面的示例演示在 VTY 上关联方法列表并用 radius 进行登录认证。Router(config)#aaa new-modelRouter(config)#aaa authentication login default radius Router(config)#interface vty 0Router(config)#login authentication default【相关命令】第5页 共60页

18、命令说明aaa new-model使能 AAA 安全服务aaa authentication login配置登录认证方法列表命令说明aaa new-model使能 AAA 安全服务第七部分 安全配置命令参考第一章 AAA 命令1.1.6 login local在 AAA 关闭的情况下，如果要在接口上进行本地用户认证，请执行接口配置命令 login local。该命令的 no 形式取消登录本地用户认证。login localno login local【参数说明】无参数。【缺省情况】如果没有启用 AAA，缺省情况下登录认证将采用简单的口令校验，所以要进行本地用户认证必须显示地配置。【命令模式】接

19、口配置模式。【使用指南】如果没有启用 AAA 安全服务，则该命令用于登录认证时作作本地用户认证。这里的本地用户是指通过 username 命令配置地用户信息。【举例】下面的示例演示在 VTY 上设置登录本地认证。Router(config)#no aaa new-model Router(config)#username test password 0 test Router(config)#interface vty 0 Router(config)#login local【相关命令】1.1.7 ppp authentication要在接口上进行 PPP 认证，请执行接口配置命令 ppp a

20、uthentication用 AAA 安全服务，则使用该命令关联认证的方法列表。该命令的 no关联，恢复默认配置。，如果启形式取消ppp authentication chap|pap|chap pap|pap chap list-name | defaultcallinno ppp authentication第6页 共60页命令说明aaa new-model使能 AAA 安全服务username配置本地用户信息第七部分 安全配置命令参考第一章 AAA 命令【参数说明】chap在接口上启用 CHAP 认证。PAP在接口上启用 PAP 认证。CHA

21、P PAP同时启用 CHAP 和 PAP 认证，在执行 PAP 认证以前，先进行CHAP 认证。PAP CHAPPAP 认证。同时启用 CHAP 和 PAP 认证，在执行 CHAP 认证以前，先进行List-name 和 AAA 一起使用。关联特定的认证方法列表。Default使用默认的方法列表进行 PPP 认证。【缺省情况】如果没有启用 AAA，缺省情况不使用 PPP 认证。如果启用 AAA，则缺省情况使用使用默认方法列表进行 PPP 认证，如果没有使用 aaa authentication ppp 定义默认方法列表，则使用本地数据库进行 PPP 认证。【命令模式】接口配置模式。【使用指南】

22、如果没有启用 AAA 安全服务，则该命令定义 PPP 认证方式。如果已经启用 AAA安全服务，则该命令用于关联方法列表进行 PPP 认证。如果该命令关联一个没有定义的方法列表，则使用本地用户数据库进行 PPP 认证。【举例】下面的示例在 Virtual-Template 1 上启用 CHAP 认证。Router(config)#interface Virtual-Template 1 Router(config-if)#ppp authentication chap【相关命令】第7页 共60页命令说明aaa authentication ppp定义

23、 PPP 认证的方法列表aaa new-model使能 AAA 安全服务aaa authentication ppp定义 PPP 认证的方法列表aaa new-model使能 AAA 安全服务encapsulation ppp封装 PPPUsername定义本地用户数据库第七部分 安全配置命令参考第一章 AAA 命令1.1.8 ppp chap hostname要指定 CHAP 认证时使用的主机名，请执行接口配置命令 ppp chap hostname。该命令的 no 形式恢复缺省使用的主机名。ppp chap hostname hostnameno ppp chap hostname【参数说

24、明】hostname在 chap 认证中发送的主机名称。【缺省情况】在任何 chap 认证中，均使用路由器的名称。【命令模式】接口配置模式。【使用指南】随着网络规模的不断扩大，为了进行 chap 认证，则必须在每台参与认证的路由器上配置新加入的用户名/对，配置修改量非常大。如果使用 ppp chaphostname 定义 CHAP 认证的公共主机别名，则每台路由器上只需配置一个公共用户名/对，就可避免庞大繁琐的用户/对配置。【举例】下面的示例在Virtual-Template 1 上将chap 认证时的主机名称指定为comhost：Router(config)#int Virtual-Temp

25、late 1 Router(config-if)#ppp chap hostname comhost【相关命令】1.1.9 ppp chap password要配置 chap 认证的公共口令，请执行接口配置命令 ppp chap password。该命令的 no 形式取消 chap 认证的公共口令。ppp chap password encryption-type secret第8页 共60页命令说明aaa authentication ppp定义 AAA 的 ppp 身份认证方法列表ppp authentication配置 ppp 认证方式ppp

26、 chap password配置 chap 认证公共第七部分 安全配置命令参考第一章 AAA 命令【参数说明】encryption-type报文的加密类型。【缺省情况】没有公共口令。【命令模式】接口配置模式。【使用指南】与 ppp chap hostname 配置公共主机名作用一样，ppp chap password 也是为了在不断扩大的网络中 chap 认证不更改现有网络设备的配置。不同于 ppp chap hostname 配置公共主机名，使用 ppp chap password共 chap 认证口令还可以在不清楚对方的主机名情况下进行认证。定义公【举例】下面的示例指定 chap 认证的公

27、共口令为 comword。Router(config)#int Virtual-Template 1 Router(config-if)#ppp chap password 0 comword【相关命令】1.1.10ppp pap sent-username要配置对远程 PAP 认证的支持，请执行接口配置命令 ppppap sent-username指定本地路由器的用户名和口令。该命令的no 形式取消对远程PAP 认证的支持。ppp pap sent-username username password encryption-type passwordno ppp pap sent-usern

28、ame【参数说明】usename在 PAP 身份认证中发送的用户名encryption-type在 PAP 身份认证中发送口令的加密类型password在 PAP 身份认证中发送的口令第9页 共60页命令说明aaa authentication ppp定义 AAA 的 ppp 身份认证方法列表ppp authentication配置 ppp 认证方式ppp chap hostname配置 chap 认证公共主机名第七部分 安全配置命令参考第一章 AAA 命令【缺省情况】不发送本地路由器的用户名和口令。【命令模式】接口配置模式。【使用指南】如果远程路

29、由器对本地路由器进行 PAP 身份认证，则在本地路由器上必须使用ppp pap sent-username 命令定义 PAP 身份认证中发送的用户名和。【举例】下面的示例指定在 PAP 身份认证过程中发送的用户名和pappassword。Router(config)#int Virtual-Template 1Router(config-if)#ppp pap sent-username papuser password为 papuser 和0 pappassword【相关命令】1.1.11debug aaa打开 AAA 服务调试开关。该命令的 no 形式关闭调试开关。debug aaano

30、debug aaa【参数说明】无参数或关键字。【命令模式】EXEC 配置模式。第10页 共60页命令说明aaa authentication ppp定义 AAA 的 ppp 身份认证方法列表ppp authentication配置 ppp 认证方式ppp chap hostname配置 chap 认证公共主机名ppp chap password配置 chap 认证公共第七部分 安全配置命令参考第二章 RADIUS 命令第二章 RADIUS 命令2.1 RADIUS 相关命令RADIUS 配置包括以下相关命令：zzzzzzip raius sourc

31、e-interface radius-server host radius-server keyradius-server retransmitradius-server timeout debug radius2.1.1 ip radius source-interface要指定 radius 报文的源地址，请执行全局配置命令 ip radius source-interface。该命令的 no 形式删除指定的 RADIUS 报文源地址。ip radius source-interfaceinterfaceno radius source-interface【参数说明】Interfacera

32、dius 报文的源地址接口【缺省情况】radius 报文的源地址由网络层设置。【命令模式】全局配置模式。【使用指南】为了减少在 radius 服务器上维护大量的 nas 信息的工作量，可以通过该命令来设置 radius 报文的源地址。该命令将把指定接口的第一个 ip 地址作为 radius 报文的源地址。【举例】下面的示例指定了 radius 报文从 fastEthernet 0/0 接口获取ip 地址来作为radius报文的源地址：Router(config)#ip radius source-interface fastEthernet 0/0【相关命令】第11页 共60页http:/ww

33、命令说明第七部分 安全配置命令参考第二章 RADIUS 命令2.1.2 radius-server host要指定 RADIUS 安全服务器主机，请执行全局配置命令 radius-server。该命令的 no 形式删除指定的 RADIUS 安全服务器主机。radius-serverhosthostname|ip-addressauth-portport-numberacct-portport-numberno radius-server host hostname | ip-address【参数说明】hostnameRADIUS 安全服务器主机的 DNS 名称。I

34、p-addressRADIUS 安全服务器主机的 IP 地址。Auth-portRADIUS 身份认证的 UDP 端口Port-number不进行身份认证。RADIUS 身份认证的 UDP 端，如果设置为 0，则该主机Acct-portRadius 记帐的 UDP 端口Port-number行记帐。RADIUS 记帐的 UDP 端，如果设置为 0，则该主机不进【缺省情况】没有指定的 RADIUS 主机。【命令模式】全局配置模式。【使用指南】为了使用 RADIUS 实现 AAA 安全服务，必须定义 RADIUS 安全服务器。您可以使用 radius-server 命令定义一个或多个 RADIUS

35、 安全服务器。【举例】下面的示例定义一个 RADIUS 安全服务器主机：Router(config)#radius-server host 【相关命令】第12页 共60页radius-server host定义 RADIUS 服务器Ip address配置接口的 ip 地址第七部分 安全配置命令参考第二章 RADIUS 命令2.1.3 radius-server key要定义网络访问服务器（路由器）与 RADIUS 安全服务器进行通信的共享口令，请执行全局配置命令 radius-server key。该命令的 no 形式取消

36、指定的共享口令。radius-server keytext-stringno radius-server key【参数说明】text-string共享口令的文本【缺省情况】没有指定共享口令。【命令模式】全局配置模式。【使用指南】共享口令是路由器和 RADIUS 安全服务器进行正确通信的基础。为了使路由器和 RADIUS 安全服务器能进行通信，必须在路由器和 RADIUS 安全服务器上定义相同的共享口令。【举例】下面的示例定义 RADIUS 安全服务器的共享口令为 aaa：Router(config)#radius-server key aaa【相关命令】第13页 共60页http:/www.r

37、命令说明radius-server host定义 RADIUS 安全服务器的主机radius-server retransmit定义 RADIUS 报文重发次数radius-server timeout定义 RADIUS 报文超时定时器命令说明aaa authentication定义 AAA 的身份认证方法列表ppp authentication定义 PPP 认证方法radius-server key定义 RADIUS 安全服务器的共享口令radius-server retransmit定义 RADIUS 报文重发次数radius-server timeout定义 RA

38、DIUS 报文超时定时器第七部分 安全配置命令参考第二章 RADIUS 命令2.1.4 radius-server retransmit要配置路由器在认为 RADIUS 安全服务器没有反应以前重发报文的次数，请执行全局配置命令 radius-server retransmit。该命令的 no 形式恢复默认重发次数。radius-server retransmit retriesno radius-server retransmit【参数说明】retriesRADIUS 尝试重发次数。【缺省情况】默认重发次数为 3。【命令模式】全局配置模式。【使用指南】AAA 在使用下一个方法对用户进行认证的前

39、提是当前认证的安全服务器没有反应。路由器判断安全服务器没有反应的标准是安全服务器在路由器重发指定次数RADIUS 报文期间均没有应答，每次重发之间有超时间隔。【举例】下面的示例指定重发次数为 4：Router(config)#radius-serverretransmit4【相关命令】第14页 共60页命令说明radius-server host定义 RADIUS 安全服务器的主机radius-server key定义 RADIUS 的共享口令radius-server timeout定义 RADIUS 报文超时定时器第七部分 安全配置命令参考第二

40、章 RADIUS 命令2.1.5 radius-server timeout要配置路由器重发 RADIUS 报文等待安全服务器应答的时间，请执行全局配置命令 radius-server timeout。该命令的 no 形式，恢复默认值。radius-server timeout secondsno radius-server timeout【参数说明】seconds超时时间（单位为秒）。可设置的值范围为 1-1000 秒。【缺省情况】5 秒【命令模式】全局配置模式。【使用指南】使用该命令对重发报文的超时时间进行调整。【举例】下面的示例将超时时间定义为 10 秒：Router(config)#r

41、adius-server timeout 10【相关命令】2.1.6 debug radius打开 RADIUS 调试开关。该命令的 no 形式关闭 RADIUS 调试开关。debug radiusno debug radius【参数说明】15页 共60页命令说明radius-server host定义 RADIUS 安全服务器的主机radius-server retransmit定义 RADIUS 报文重发次数radius-server key定义 RADIUS 的共享口令第七部分 安全配置命令参考第二章 RADIUS 命令【命令模式】EXEC

42、配置模式。第16页 共60页第七部分安全配置命令参考第三章 访问控制列表（）命令第三章 访问控制列表（）命令3.1 访问控制列表相关命令访问控制列表包括以下命令：zzzzzaccess-listclear access-list ip access-group show access-listsshow ip access-lists3.1.1 access-list该命令创建一个访问列表规则，用于过滤数据报文。该命令的 no 形式删除指定的访问列表。1）IP 标准访问列表（1 - 99，1300 - 1999）access-list access

43、-list-number deny | permit source source-wildcard 2）IP 扩展访问列表（100 - 199，2000 - 2699）access-list access-list-number deny | permit protocol sourcesource-wildcard destination destination-wildcard precedence precedence tos tos time-range time-range-name一些重要协议的访问控制列表：Internet Control Message Protocol (IC

44、MP)access-list access-list-number deny | permit icmp source source-wildcard destination destination-wildcard icmp-type icmp-type icmp-code | icmp-message precedence precedence tos tos time-rangetime-range-nameTransmission Control Protocol (TCP)access-list access-list-number deny | permit tcp source

45、source-wildcard operator port destination destination-wildcard operator port precedence precedence tos tos time-range time-range-nameUser Datagram Protocol (UDP)第17页 共60页第七部分 安全配置命令参考第三章 访问控制列表（）命令access-list access-list-number deny | permit udp source source-wildcard operator

46、 port port destination destination-wildcard operator port port precedence precedence tos tos time-range time-range-name3）基于 IP 地址范围的标准访问列表（3000 - 3099）access-list access-list-number deny | permit beginning-sourceending-source4）基于 IP 地址范围的扩展访问列表（3100 - 3199）access-list access-list-number deny | permi

47、t protocol beginning-source ending-source beginning-destination ending-destination precedenceprecedence tos tos time-range time-range-name一些重要协议的访问控制列表：Internet Control Message Protocol (ICMP)access-list access-list-number deny | permit icmp beginning-source ending-source beginning-destination endin

48、g-destination icmp-type icmp-type icmp-code | icmp-message precedence precedence tos tos time-range time-range-name Transmission Control Protocol (TCP)access-list access-list-number deny | permit tcp beginning-source ending-source operator port beginning-destination ending-destination operator port

49、precedence precedence tos tos time-rangetime-range-name User Datagram Protocol (UDP)access-list access-list-number deny | permit udp beginning-source ending-source operator port beginning-destination ending-destination operator port precedence precedence tos tos time-rangetime-range-name 5) 访问列表的 no

50、 形式所有访问列表的 no 形式均相同：no access-list access-list-number【参数说明】以下参数说明是以参数出现前后为顺序进行说明，前面已经说明过的参数，在后面配置语句中出现将不再说明。access-list-number 访问列表标号。十进制，可配范围（1-99,100-199,1300-1999,2000-2699，3000-3099，3100-3199）。第18页 共60页第七部分安全配置命令参考第三章 访问控制列表（）命令deny如果匹配，则拒绝访问。permit如果匹配，则允许访问。source报文源地址（主

51、机地址或网络地址）source-wildcard源地址通配符。可以使不连续的，如 2protocolIP 协议编号，可以是 icmp, ip, tcp, udp 中的一个，也可以是代表 IP 协议的 0-255 编号。一些重要协议如 icmp/tcp/udp 等单独列出进行说明。destination报文目标地址（主机地址或网络地址）destination-wildcard目标地址通配符。可以使不连续的，如 2beginning- source报文源地址范围起始地址ending-source报文源地址范围结束地址beginning-destination报文

52、目标地址范围起始地址ending-destination报文目标地址范围结束地址precedence报文的优先级别precedence报文的优先级别值（0-7）time-range报文过滤的时间区time-range-name报文过滤的时间区名称tos报文的服务类型tos报文的服务类型值（0-15）icmp-typeICMP 报文的消息类型（0-255）icmp-codeICMP 报文的消息类型代码（0-255）icmp-messageICMP 报文的消息类型名称operator包含）操作符（lt-小于，eq-等于，gt-大于，neg-不等于，range-port port 一个端端，range 需要两个端码，其他的操作符只要。【缺省情况】第19页 共6