安全功能命令Word格式文档下载.docx
《安全功能命令Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《安全功能命令Word格式文档下载.docx(88页珍藏版)》请在冰豆网上搜索。
=1分钟。
命令模式:
时间范围模式
缺省情况:
没有时间范围配置
使用指南:
周期性的时间和日期,周期是定义每周的1~6和周日的具体时间段,可以同时配置多个周期性时段,它们之间是“或”的关系。
它的形式是:
day1hh:
mm:
ssToday2hh:
ss或者
{[day1+day2+day3+day4+day5+day6+day7]|weekend|weekdays|daily}hh:
ssTohh:
ss
举例:
使能在Tuesday到Saturday内的9:
15:
30到12:
30:
00时间段内配置生效
Switch(config)#time-rangedc_timer
Switch(Config-Time-Range-dc_timer)#absolute-periodictuesday9:
30tosaturday12:
00
使能在Monday、Wednesday、Friday和Sunday四天内的14:
00到16:
45:
00时间段配置生效
Switch(Config-Time-Range-dc_timer)#periodicmondaywednesdayfridaysunday14:
00to16:
1.2absolutestart
[no]absolutestart<
<
start_data>
[end<
end_data>
]
定义一个绝对时间段,这个时间段是根据本设备的时钟运行。
start_time:
开始时间点,HH:
end_time:
结束时间点,HH:
start_data:
开始日期,格式是,YYYY.MM.DD(年.月.日)
end_data:
结束日期,格式是,YYYY.MM.DD(年.月.日)
绝对时间及日期,指定具体开始的年,月,日,小时,分钟,不能配置多个绝对时间及日期,重复配置时,后配置的覆盖以前配置的绝对时间及日期。
1.3access-list(ipextended)
access-list<
num>
{deny|permit}icmp{{<
sIpAddr>
<
sMask>
}|any-source|{host-source<
}}{{<
dIpAddr>
dMask>
}|any-destination|{host-destination<
}}[<
icmp-type>
[<
icmp-code>
]][precedence<
prec>
][tos<
tos>
][time-range<
time-range-name>
{deny|permit}igmp{{<
igmp-type>
][precedence<
access-list<
{deny|permit}tcp{{<
}|any-source|{host-source<
}}[s-port{<
sPort>
|range<
sPortMin>
sPortMax>
}]{{<
}|any-destination|{host-destination<
}}[d-port{<
dPort>
dPortMin>
dPortMax>
}][ack+fin+psh+rst+urg+syn][precedence<
][tos<
{deny|permit}udp{{<
|range<
]{{<
}][precedence<
{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|<
protocol-num>
}{{<
}|any-source|{host-source<
}}{{<
}|any-destination|{host-destination<
}}[precedence<
][tos<
][time-range<
]
noaccess-list<
创建一条匹配特定IP协议或所有IP协议的数字扩展IP访问列表,如果已有此访问列表,则增加一条rule表项;
本命令的no操作为删除一条数字扩展IP访问列表。
为访问表标号,100-299;
protocol>
为ip上层协议号,0-255;
为源IP地址,格式为点分十进制;
sMask>
为源IP的反掩码,格式为点分十进制;
为目的IP地址,格式为点分十进制;
为目的IP的反掩码,格式为点分十进制,关心的位置0,忽略的位置1;
,igmp的类型,0-15;
,icmp的类型,0-255;
,icmp的协议编号,0-255;
,IP优先级,0-7;
,tos值,0-15;
,源端口号,0-65535;
,源端口范围下边界;
,源端口范围上边界;
,目的端口号,0-65535;
,目的端口范围下边界;
,目的端口范围上边界;
,时间范围名称。
全局配置模式
没有配置任何的访问列表。
当用户第一次指定特定<
时,创建此编号的ACL,之后在此ACL中添加表项;
标号为200-299访问列表可以配置非连续IP地址反掩码。
代表IGMP报文的类型,常用的取值可参照以下的说明:
17(0x11):
IGMPQUERY报文
18(0x12):
IGMPV1REPORT报文
22(0x16):
IGMPV2REPORT报文
23(0x17):
IGMPV2LEAVE报文
34(0x22):
IGMPV3REPORT报文
19(0x13):
DVMRP报文
20(0x14):
PIMV1报文
特别提示:
这里所指的报文类型是指不含有IPOPTION情况下的报文类型,在通常情况下,IGMP报文是包含有OPTION字段的,这样的设置对这种报文没有作用。
如果希望对包含OPTION的报文进行配置,请直接使用配置OFFSET的方式进行。
创建编号为110的数字扩展访问列表。
拒绝icmp报文通过,允许目的地址为192.168.0.1目的端口为32的udp包通过。
Switch(config)#access-list110denyicmpany-sourceany-destination
Switch(config)#access-list110permitudpany-sourcehost-destination192.168.0.1d-port32
1.4access-list(ipstandard)
{deny|permit}{{<
}}
noaccess-list<
创建一条数字标准IP访问列表,如果已有此访问列表,则增加一条rule表项;
本命令的no操作为删除一条数字标准IP访问列表。
为访问表标号,1-99;
为源IP的反掩码,格式为点分十进制。
时,创建此编号的ACL,之后在此ACL中添加表项。
创建一条编号为20的数字标准IP访问列表,允许源地址为10.1.1.0/24的数据包通过,拒绝其余源地址为10.1.1.0/16的数据包通过。
Switch(config)#access-list20permit10.1.1.00.0.0.255
Switch(config)#access-list20deny10.1.1.00.0.255.255
1.5access-list(macextended)
{deny|permit}{any-source-mac|{host-source-mac<
host_smac>
}|{<
smac>
smac-mask>
}}{any-destination-mac|{host-destination-mac<
host_dmac>
dmac>
dmac-mask>
}}{untagged-eth2|tagged-eth2|untagged-802-3|tagged-802-3}[<
offset1>
length1>
value1>
offset2>
length2>
value2>
offset3>
length3>
value3>
offset4>
length4>
value4>
]]]]]
定义一条扩展数字MACACL规则,No命令删除一个扩展数字MAC访问表规则
访问表号,这是一个从1100-1199的十进制号;
deny如果规则匹配,拒绝访问;
permit如果规则匹配,允许访问;
any-source-mac>
任何源地址;
any-destination-mac>
任何目的地址;
,<
源MAC地址;
源MAC地址的掩码(反掩码);
,<
目的MAC地址;
目的MAC地址的掩码(反掩码);
untagged-eth2未标记的ethernetII包格式;
tagged-eth2标记的ethernetII包格式;
untagged-802-3未标记的ethernet802.3包格式;
tagged-802-3标记的ethernet802.3包格式。
Offset(x)从包头开始起的偏移量,范围为(12-79),窗口必须从源MAC后面开始,从前至后依次配置,并且窗口之间不可重叠,也就是要求:
Offset(x+1)必须大于或等于Offset(x)+len(x);
Length(x)长度为1-4,而且Offset(x)+Length(x)必须不大于80(当前必须不大于64);
Value(x)16进制数表示,取值范围:
当Length(x)=1为0-ff,当Length(x)=2为0-ffff,当Length(x)=3为0-ffffff,当Length(x)=4为0-ffffffff;
对于Offset(x),对不同的数据帧类型,它的取值范围不同:
对untagged-eth2类型帧:
12~52>
对untagged-802.3类型帧:
12~60>
对tagged-eth2类型帧:
12~56>
对tagged-802.3类型帧:
12~64>
全局配置配置模式
缺省配置:
没有配置任何的访问列表
允许任意源MAC地址任意目的MAC地址的tagged-eth2,且其第1718个字节分别为0x08,0x0的包通过。
Switch(config)#access-list1100permitany-source-macany-destination-mactagged-eth21620800
1.6access-list(mac-ipextended)
{deny|permit}{any-source-mac|{host-source-mac<
}}{any-destination-mac|{host-destination-mac<
}}icmp{{<
source>
source-wildcard>
}|any-source|{host-source<
source-host-ip>
destination>
destination-wildcard>
}|any-destination|{host-destination<
destination-host-ip>
}}[<
precedence>
}}igmp{{<
{deny|permit}{any-source-mac|{host-source-mac<
}|{<
}}{any-destination-mac|{host-destination-mac<
}}tcp{{<
}|any-source|{host-source<
}}[s-port{<
port1>
}]{{<
}}[d-port{<
port3>
}][ack+fin+psh+rst+urg+syn][precedence<
][time-range<
}}{any-destination-mac|{host-destination-mac<
}|{<
}}udp{{<
}|any-source|{host-source<
}}[s-port{<
|range<
}|any-destination|{host-destination<
}}[d-port{<
}][precedence<
][time-range<
{deny|permit}{any-source-mac|{host-source-mac<
}}{any-destination-mac|{host-destination-mac<
}}{eigrp|gre|igrp|ip|ipinip|ospf|{<
}|any-source|{host-source<
定义一条扩展数字MAC-IPACL规则,No命令删除一个扩展数字MAC-IPACL访问表规则
num访问表号。
这是一个从3100-3299的十进制号;
any-source-mac任何源MAC地址;
any-destination-mac任何目的MAC地址;
host_smac,smac源MAC地址;
smac-mask源MAC地址的掩码(反掩码);
host_dmac,dmac目的MAC地址;
dmac-mask目的MAC地址的掩码(反掩码);
protocol名字或IP协议的号。
它可以是关键字eigrp,gre,icmp,igmp,igrp,ip,ipinip,ospf,tcp,orudp,也可以是表IP协议号的0到255的一个整数。
为了匹配任何Internet协议(包括ICMP,TCP和UDP)使用关键字ip;
source-host-ip,source包发送的源网络或源主机号。
32位二进制数,点分十进制表示;
host-source表示地址是源主机IP地址,否则是网络IP地址;
source-wildcard源IP的掩码。
用四个点隔开的十进制数表示的32位二进制数,反掩码;
destination-host-ip,destination包发送时要去往的目的网络或主机号。
host-source表示地址是目的主机IP地址,否则是网络IP地址;
destination-wildcard目的IP的掩码。
s-port(可选)表示要匹配TCP/UDP源端口;
port1(可选)TCP/UDP源端口号值,端口号是一个0到65535的数字;
d-port(可选)表示要匹配TCP/UDP目的端口;
port3(可选)TCP/UDP目的端口号值,端口号是一个0到65535的数字;
[ack][fin][psh][rst][urg][syn],(可选)只对TCP协议,可选多个标志位,当TCP数据报[ack][fin][psh][rst][
升级会员 