安全功能命令文档格式.docx
《安全功能命令文档格式.docx》由会员分享,可在线阅读,更多相关《安全功能命令文档格式.docx(70页珍藏版)》请在冰豆网上搜索。
![安全功能命令文档格式.docx](https://file1.bdocx.com/fileroot1/2022-10/12/b9cf1f16-9163-4ea5-98e4-a8d403c2af23/b9cf1f16-9163-4ea5-98e4-a8d403c2af231.gif)
WednesdayWednesday(星期三)
dailyEverydayoftheweek(每天)
weekdaysMondaythruFriday(星期一到星期五)
weekendSaturdayandSunday(星期六到星期日)
start_time开始时间点,HH:
MM:
SS(小时:
分钟:
秒)
end_time结束时间点,HH:
秒)
注:
time-range轮询时间是1分钟一次,所以时间的误差<
=1分钟。
命令模式:
时间范围模式
缺省情况:
没有时间范围配置
使用指南:
周期性的时间和日期,周期是定义每周的1~6和周日的具体时间段,可以同时配置多个周期性时段,它们之间是“或”的关系。
它的形式是:
day1hh:
mm:
ssToday2hh:
ss或者
{[day1+day2+day3+day4+day5+day6+day7]|weekend|weekdays|daily}hh:
ssTohh:
ss
举例:
使能在Tuesday到Saturday内的9:
15:
30到12:
30:
00时间段内配置生效
Switch(config)#time-rangedc_timer
Switch(Config-Time-Range-dc_timer)#absolute-periodictuesday9:
30tosaturday12:
00
使能在Monday、Wednesday、Friday和Sunday四天内的14:
00到16:
45:
00时间段配置生效
Switch(Config-Time-Range-dc_timer)#periodicmondaywednesdayfridaysunday14:
00to16:
1.2absolutestart
[no]absolutestart<
<
start_data>
[end<
end_data>
]
定义一个绝对时间段,这个时间段是根据本设备的时钟运行。
start_time:
开始时间点,HH:
end_time:
结束时间点,HH:
start_data:
开始日期,格式是,YYYY.MM.DD(年.月.日)
end_data:
结束日期,格式是,YYYY.MM.DD(年.月.日)
绝对时间及日期,指定具体开始的年,月,日,小时,分钟,不能配置多个绝对时间及日期,重复配置时,后配置的覆盖以前配置的绝对时间及日期。
1.3access-list(ipextended)
access-list<
num>
{deny|permit}icmp{{<
sIpAddr>
sMask>
}|any-source|{host-source<
}}{{<
dIpAddr>
dMask>
}|any-destination|{host-destination<
}}[<
icmp-type>
[<
icmp-code>
]][precedence<
prec>
][tos<
tos>
][time-range<
time-range-name>
{deny|permit}igmp{{<
igmp-type>
][precedence<
{deny|permit}tcp{{<
}|any-source|{host-source<
}}[s-port{<
sPort>
|range<
sPortMin>
sPortMax>
}]{{<
}|any-destination|{host-destination<
}}[d-port{<
dPort>
dPortMin>
dPortMax>
}][ack+fin+psh+rst+urg+syn][precedence<
][tos<
][time-range<
]
{deny|permit}udp{{<
]{{<
}][precedence<
][time-range<
{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|<
protocol-num>
}{{<
}}{{<
}}[precedence<
noaccess-list<
创建一条匹配特定IP协议或所有IP协议的数字扩展IP访问列表,如果已有此访问列表,则增加一条rule表项;
本命令的no操作为删除一条数字扩展IP访问列表。
为访问表标号,100-299;
<
protocol>
为ip上层协议号,0-255;
为源IP地址,格式为点分十进制;
sMask>
为源IP的反掩码,格式为点分十进制;
为目的IP地址,格式为点分十进制;
为目的IP的反掩码,格式为点分十进制,关心的位置0,忽略的位置1;
,igmp的类型,0-15;
,icmp的类型,0-255;
,icmp的协议编号,0-255;
,IP优先级,0-7;
,tos值,0-15;
,源端口号,0-65535;
,源端口范围下边界;
,源端口范围上边界;
,目的端口号,0-65535;
,目的端口范围下边界;
,目的端口范围上边界;
,时间范围名称。
全局配置模式
没有配置任何的访问列表。
当用户第一次指定特定<
时,创建此编号的ACL,之后在此ACL中添加表项;
标号为200-299访问列表可以配置非连续IP地址反掩码。
代表IGMP报文的类型,常用的取值可参照以下的说明:
17(0x11):
IGMPQUERY报文
18(0x12):
IGMPV1REPORT报文
22(0x16):
IGMPV2REPORT报文
23(0x17):
IGMPV2LEAVE报文
34(0x22):
IGMPV3REPORT报文
19(0x13):
DVMRP报文
20(0x14):
PIMV1报文
特别提示:
这里所指的报文类型是指不含有IPOPTION情况下的报文类型,在通常情况下,IGMP报文是包含有OPTION字段的,这样的设置对这种报文没有作用。
如果希望对包含OPTION的报文进行配置,请直接使用配置OFFSET的方式进行。
创建编号为110的数字扩展访问列表。
拒绝icmp报文通过,允许目的地址为192.168.0.1目的端口为32的udp包通过。
Switch(config)#access-list110denyicmpany-sourceany-destination
Switch(config)#access-list110permitudpany-sourcehost-destination192.168.0.1d-port32
1.4access-list(ipstandard)
{deny|permit}{{<
}}
noaccess-list<
创建一条数字标准IP访问列表,如果已有此访问列表,则增加一条rule表项;
本命令的no操作为删除一条数字标准IP访问列表。
为访问表标号,1-99;
为源IP的反掩码,格式为点分十进制。
全局配置模式
时,创建此编号的ACL,之后在此ACL中添加表项。
创建一条编号为20的数字标准IP访问列表,允许源地址为10.1.1.0/24的数据包通过,拒绝其余源地址为10.1.1.0/16的数据包通