安全功能命令文档格式.docx

安全功能命令文档格式.docx

《安全功能命令文档格式.docx》由会员分享，可在线阅读，更多相关《安全功能命令文档格式.docx（70页珍藏版）》请在冰豆网上搜索。

WednesdayWednesday（星期三）

dailyEverydayoftheweek（每天）

weekdaysMondaythruFriday（星期一到星期五）

weekendSaturdayandSunday（星期六到星期日）

start_time开始时间点，HH:

MM:

SS（小时：

分钟：

秒）

end_time结束时间点，HH:

秒）

注：

time-range轮询时间是1分钟一次，所以时间的误差<

=1分钟。

命令模式：

时间范围模式

缺省情况：

没有时间范围配置

使用指南：

周期性的时间和日期，周期是定义每周的1～6和周日的具体时间段，可以同时配置多个周期性时段，它们之间是“或”的关系。

它的形式是：

day1hh:

mm:

ssToday2hh:

ss或者

{[day1+day2+day3+day4+day5+day6+day7]|weekend|weekdays|daily}hh:

ssTohh:

ss

举例：

使能在Tuesday到Saturday内的9:

15:

30到12:

30:

00时间段内配置生效

Switch（config）#time-rangedc_timer

Switch（Config-Time-Range-dc_timer）#absolute-periodictuesday9:

30tosaturday12:

00

使能在Monday、Wednesday、Friday和Sunday四天内的14:

00到16:

45:

00时间段配置生效

Switch（Config-Time-Range-dc_timer）#periodicmondaywednesdayfridaysunday14:

00to16:

1.2absolutestart

[no]absolutestart<

<

start_data>

[end<

end_data>

]

定义一个绝对时间段,这个时间段是根据本设备的时钟运行。

start_time：

开始时间点，HH:

end_time：

结束时间点，HH:

start_data：

开始日期，格式是，YYYY.MM.DD（年.月.日）

end_data：

结束日期，格式是，YYYY.MM.DD（年.月.日）

绝对时间及日期，指定具体开始的年，月，日，小时，分钟，不能配置多个绝对时间及日期，重复配置时，后配置的覆盖以前配置的绝对时间及日期。

1.3access-list（ipextended）

access-list<

num>

{deny|permit}icmp{{<

sIpAddr>

sMask>

}|any-source|{host-source<

}}{{<

dIpAddr>

dMask>

}|any-destination|{host-destination<

}}[<

icmp-type>

[<

icmp-code>

]][precedence<

prec>

][tos<

tos>

][time-range<

time-range-name>

{deny|permit}igmp{{<

igmp-type>

][precedence<

{deny|permit}tcp{{<

}|any-source|{host-source<

}}[s-port{<

sPort>

|range<

sPortMin>

sPortMax>

}]{{<

}|any-destination|{host-destination<

}}[d-port{<

dPort>

dPortMin>

dPortMax>

}][ack+fin+psh+rst+urg+syn][precedence<

][tos<

][time-range<

]

{deny|permit}udp{{<

]{{<

}][precedence<

][time-range<

{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|<

protocol-num>

}{{<

}}{{<

}}[precedence<

noaccess-list<

创建一条匹配特定IP协议或所有IP协议的数字扩展IP访问列表，如果已有此访问列表，则增加一条rule表项；

本命令的no操作为删除一条数字扩展IP访问列表。

为访问表标号，100-299；

<

protocol>

为ip上层协议号，0-255；

为源IP地址，格式为点分十进制；

sMask>

为源IP的反掩码，格式为点分十进制；

为目的IP地址，格式为点分十进制；

为目的IP的反掩码，格式为点分十进制，关心的位置0，忽略的位置1；

，igmp的类型，0-15；

，icmp的类型，0-255；

，icmp的协议编号，0-255；

，IP优先级，0-7；

，tos值，0-15；

，源端口号，0-65535；

，源端口范围下边界；

，源端口范围上边界；

，目的端口号，0-65535；

，目的端口范围下边界；

，目的端口范围上边界；

，时间范围名称。

全局配置模式

没有配置任何的访问列表。

当用户第一次指定特定<

时，创建此编号的ACL，之后在此ACL中添加表项；

标号为200-299访问列表可以配置非连续IP地址反掩码。

代表IGMP报文的类型，常用的取值可参照以下的说明：

17（0x11）：

IGMPQUERY报文

18（0x12）：

IGMPV1REPORT报文

22（0x16）：

IGMPV2REPORT报文

23（0x17）：

IGMPV2LEAVE报文

34（0x22）：

IGMPV3REPORT报文

19（0x13）：

DVMRP报文

20（0x14）：

PIMV1报文

特别提示：

这里所指的报文类型是指不含有IPOPTION情况下的报文类型，在通常情况下，IGMP报文是包含有OPTION字段的，这样的设置对这种报文没有作用。

如果希望对包含OPTION的报文进行配置，请直接使用配置OFFSET的方式进行。

创建编号为110的数字扩展访问列表。

拒绝icmp报文通过，允许目的地址为192.168.0.1目的端口为32的udp包通过。

Switch（config）#access-list110denyicmpany-sourceany-destination

Switch（config）#access-list110permitudpany-sourcehost-destination192.168.0.1d-port32

1.4access-list（ipstandard）

{deny|permit}{{<

}}

noaccess-list<

创建一条数字标准IP访问列表，如果已有此访问列表，则增加一条rule表项；

本命令的no操作为删除一条数字标准IP访问列表。

为访问表标号，1-99；

为源IP的反掩码，格式为点分十进制。

全局配置模式

时，创建此编号的ACL，之后在此ACL中添加表项。

创建一条编号为20的数字标准IP访问列表，允许源地址为10.1.1.0/24的数据包通过，拒绝其余源地址为10.1.1.0/16的数据包通