安全功能命令.docx
《安全功能命令.docx》由会员分享,可在线阅读,更多相关《安全功能命令.docx(70页珍藏版)》请在冰豆网上搜索。
安全功能命令
第1章ACL配置命令
1.1absolute-periodic/periodic
命令:
[no]absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}to{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}
[no]periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}|daily|weekdays|weekend}to
功能:
定义一周内的各种不同要求的时间范围,每周都循环这个时间。
参数:
FridayFriday(星期五)
MondayMonday(星期一)
SaturdaySaturday(星期六)
SundaySunday(星期日)
ThursdayThursday(星期四)
TuesdayTuesday(星期二)
WednesdayWednesday(星期三)
dailyEverydayoftheweek(每天)
weekdaysMondaythruFriday(星期一到星期五)
weekendSaturdayandSunday(星期六到星期日)
start_time开始时间点,HH:
MM:
SS(小时:
分钟:
秒)
end_time结束时间点,HH:
MM:
SS(小时:
分钟:
秒)
注:
time-range轮询时间是1分钟一次,所以时间的误差<=1分钟。
命令模式:
时间范围模式
缺省情况:
没有时间范围配置
使用指南:
周期性的时间和日期,周期是定义每周的1~6和周日的具体时间段,可以同时配置多个周期性时段,它们之间是“或”的关系。
它的形式是:
day1hh:
mm:
ssToday2hh:
mm:
ss或者
{[day1+day2+day3+day4+day5+day6+day7]|weekend|weekdays|daily}hh:
mm:
ssTohh:
mm:
ss
举例:
使能在Tuesday到Saturday内的9:
15:
30到12:
30:
00时间段内配置生效
Switch(config)#time-rangedc_timer
Switch(Config-Time-Range-dc_timer)#absolute-periodictuesday9:
15:
30tosaturday12:
30:
00
使能在Monday、Wednesday、Friday和Sunday四天内的14:
30:
00到16:
45:
00时间段配置生效
Switch(Config-Time-Range-dc_timer)#periodicmondaywednesdayfridaysunday14:
30:
00to16:
45:
00
1.2absolutestart
命令:
[no]absolutestart[end]
功能:
定义一个绝对时间段,这个时间段是根据本设备的时钟运行。
参数:
start_time:
开始时间点,HH:
MM:
SS(小时:
分钟:
秒)
end_time:
结束时间点,HH:
MM:
SS(小时:
分钟:
秒)
start_data:
开始日期,格式是,YYYY.MM.DD(年.月.日)
end_data:
结束日期,格式是,YYYY.MM.DD(年.月.日)
注:
time-range轮询时间是1分钟一次,所以时间的误差<=1分钟。
命令模式:
时间范围模式
缺省情况:
没有时间范围配置
使用指南:
绝对时间及日期,指定具体开始的年,月,日,小时,分钟,不能配置多个绝对时间及日期,重复配置时,后配置的覆盖以前配置的绝对时间及日期。
1.3access-list(ipextended)
命令:
access-list{deny|permit}icmp{{}|any-source|{host-source}}{{}|any-destination|{host-destination}}[[]][precedence][tos][time-range]
access-list{deny|permit}igmp{{}|any-source|{host-source}}{{}|any-destination|{host-destination}}[][precedence][tos][time-range]
access-list{deny|permit}tcp{{}|any-source|{host-source}}[s-port{|range}]{{}|any-destination|{host-destination}}[d-port{|range}][ack+fin+psh+rst+urg+syn][precedence][tos][time-range]
access-list{deny|permit}udp{{}|any-source|{host-source}}[s-port{|range]{{}|any-destination|{host-destination}}[d-port{|range}][precedence][tos][time-range]
access-list{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|}{{}|any-source|{host-source}}{{}|any-destination|{host-destination}}[precedence][tos][time-range]
noaccess-list
功能:
创建一条匹配特定IP协议或所有IP协议的数字扩展IP访问列表,如果已有此访问列表,则增加一条rule表项;本命令的no操作为删除一条数字扩展IP访问列表。
参数:
为访问表标号,100-299;为ip上层协议号,0-255;为源IP地址,格式为点分十进制;为源IP的反掩码,格式为点分十进制;为目的IP地址,格式为点分十进制;为目的IP的反掩码,格式为点分十进制,关心的位置0,忽略的位置1;,igmp的类型,0-15;,icmp的类型,0-255;,icmp的协议编号,0-255;,IP优先级,0-7;,tos值,0-15;,源端口号,0-65535;,源端口范围下边界;,源端口范围上边界;,目的端口号,0-65535;,目的端口范围下边界;,目的端口范围上边界;,时间范围名称。
命令模式:
全局配置模式
缺省情况:
没有配置任何的访问列表。
使用指南:
当用户第一次指定特定时,创建此编号的ACL,之后在此ACL中添加表项;标号为200-299访问列表可以配置非连续IP地址反掩码。
代表IGMP报文的类型,常用的取值可参照以下的说明:
17(0x11):
IGMPQUERY报文
18(0x12):
IGMPV1REPORT报文
22(0x16):
IGMPV2REPORT报文
23(0x17):
IGMPV2LEAVE报文
34(0x22):
IGMPV3REPORT报文
19(0x13):
DVMRP报文
20(0x14):
PIMV1报文
特别提示:
这里所指的报文类型是指不含有IPOPTION情况下的报文类型,在通常情况下,IGMP报文是包含有OPTION字段的,这样的设置对这种报文没有作用。
如果希望对包含OPTION的报文进行配置,请直接使用配置OFFSET的方式进行。
举例:
创建编号为110的数字扩展访问列表。
拒绝icmp报文通过,允许目的地址为192.168.0.1目的端口为32的udp包通过。
Switch(config)#access-list110denyicmpany-sourceany-destination
Switch(config)#access-list110permitudpany-sourcehost-destination192.168.0.1d-port32
1.4access-list(ipstandard)
命令:
access-list{deny|permit}{{}|any-source|{host-source}}
noaccess-list
功能:
创建一条数字标准IP访问列表,如果已有此访问列表,则增加一条rule表项;本命令的no操作为删除一条数字标准IP访问列表。
参数:
为访问表标号,1-99;为源IP地址,格式为点分十进制;为源IP的反掩码,格式为点分十进制。
命令模式:
全局配置模式
缺省情况:
没有配置任何的访问列表。
使用指南:
当用户第一次指定特定时,创建此编号的ACL,之后在此ACL中添加表项。
举例:
创建一条编号为20的数字标准IP访问列表,允许源地址为10.1.1.0/24的数据包通过,拒绝其余源地址为10.1.1.0/16的数据包通
升级会员 