CS6200命令(一)
1.端口镜像
Monitor session source interface
镜像源端口没有限制,如:
Monitor session 1 source int eth1/0/1-4 rx
不指定默认为缺省both
Monitor seeion source access-list
使用此命令必须保证已经创建好ACL,如:
Monitor session 1 source int 1/0/6 access-lit 120 rx
Monitor session destination interface
支持4个镜像目的端口,不可以选择端口聚合,如:
Monitor session 1 destination int eth1/0/7
Show monitor
显示所有镜像session的镜像源、目的端口信息
2.端口操作命令
Clear port-security
特权模式:
Clear port-security all 端口清除所有安全MAC
Show port-security
显示端口安全地址
Switchport port-security
用来配置端口port-security功能,No关闭
Port-security、private-vlan、mac-notifition、mac-limit都要先开启mac软学习功能:mac-address-learing cpu-control
Switchport port-security aging {static | time | type}
Static --端口上配置的MAC地址
Time --端口地MAC老化时间
Type --absolute,到时间全部从mac表移除,inactivity有流量的保留
端口配置安全MAC老化时间为10s
Switchport port-security aging time 10
Switchport port-security mac-address
Max数量要大于指定的mac数量,否则会出现违规情况
Switchport port-security mac-address xx-xx-xx-xx-xx-xx
Sticky,sticky作用是静态记下端口的mac地址,max=3,那么交换机口会主动记下最先就插入设备的mac地址,不可以超过最大值
Switchport port-security maximum
配置端口安全mac的最大数量:
Swichport port-security maximum 100
Switchport port-security violation
当超过设置的最大值,会违反MAC地址安全
Protect模式:保护模式,不学习新的mac,丢弃数据包不告警
Restrict模式:限制模式,不学习新的mac,丢弃数据包,发送snmp trap,
在syslog日志记录
Shutdown模式:关闭模式,默认模式,端口立即关闭,发送snmp trap,
在日志记录
3.AM(Access Management-访问管理)
作用:网络管理员可以将合法用户MAC-IP地址绑定到指定端口,只有这些用户发出的报文才可能通过该端口转发
am enable
全局模式下启用AM功能,no关闭
am port
端口默认关闭,开启am功能
am ip-pool
设置端口访问管理ip地址段最大不得超过32,例如:
am ip-pool 10.10.10.1 10
am mac-ip-pool
设置端口访问管理的MAC-IP地址
在交换机端口配置允许源mac地址为xx-xx-xx-xx-xx-xx,且ip为10.10.10.1的地址进行转发
am mac-ip-pool xx-xx-xx-xx-xx-xx 10.10.10.1
no am all
删除ip-pool和mac-ip-pool设置
Show am
查看am入口表项
4.防ARP扫描
基于端口
规定时间,接收到ARP报文数量超过设定阈值,down掉端口
基于ip
规定时间,某ip接收到ARP报文数量超过设定阈值,禁用ip而不是端口
Anti-arpscan enable
全局启用防ARP扫描功能,使用telnet等手段需把上联端口设置为超级信任端口,
默认非信任
Anti-arpscan port-based threshold
设置基于端口的防ARP扫描阈值,单位为个/秒,如:
Anti-arpscan port-based threshold 10
Anti-arpscan ip-based threshod
设置基于ip的防ARP扫描阈值
Anti-arpscan ip-based threshold 6
Anti-arpscan trust
设置信任端口或超级信任端口,信任端口ARP不对此进行限制
Anti-arpscan trust port
Anti-arpscan trust ip
设置某ip为信任ip,如果被禁掉则立即恢复,如:
Anti-arpscn trust ip
Anti-arpscan recovery enable
启动自动恢复功能,被禁端口或ip超过一段时间自动恢复正常
Anti-arpscan recovery time
配置自动恢复时间,如:
Anti-arpscan recovery time 3600
Anti-arpscan log enable
启用防ARP扫描日志功能
Anti-arpscan trap enable
启动防ARP扫描的SNMP TRAP功能,网关软件可以收到
Show anti-arpscan
查看配置如:
Show anti-arpscan trust port
5.radius配置命令
aaa enable
打开交换机AAA功能
aaa-accontig enable
交换机开启AAA计费功能
aaa-accounting update
交换机AAA计费更新功能
Radius-server accounting host
设置radius计费服务器,如:
Radius-server accounting host xx.xx.xx.xx
Radius-server authention host
设置radius认证服务器,如:
Radius-server authention host xx.xx.xx.xx
Radius-server key
设置RADIUS服务器的钥匙字符串,如:
Radius-server key 0 test
Radius-server retransmit
设置RADIUS服务器重传次数,默认为3次,如:
Radius-server retransmit 5
Radius-server timeout
设置RADIUS服务器超市定时器值,如
Radius-server timeout 30
Radius-server accounting-interim-update timeout
设置计费更新报文发送的时间间隔;默认300s
Radius-server dead-time
设置RADIUS服务器死机后的恢复时间为3分钟
Radius-server dead-time 3
Show aaa authenticated-user
显示已经通过认证的在线用户
Show aaa authenticating-user
显示正在进行认证的用户
Show aaa config
显示交换机是否打开aaa认证、计费功能,及密钥,认证、计费服务器的信息
CS6200命令(二)
1.基于流的重定向
QOS(Quality of Servcie)-服务品质保障,不产生新的带宽而是根据需求控制带宽
简易配置顺序:
1.配置分类表(class map)
对数据建立一个分类规则
2.配置策略表(policy map)
对数据建立一个策略表,关联分类表
3.将Qos应用到端口或者vlan
策略绑定到具体端口才可生效
Class map
建立class-map
Policy map
建立policy-map
举例:
在端口eth1/0/4,将网段192.168.10.0报文带宽限制为10M bit/s,突发值设为5
Bit/s,超过该数值报文一律丢弃
2.DHCP配置命令
(1)DHCP基本配置
Show ip dhcp binding
查看IP地址与相应的DHCP客户机硬件地址绑定信息,无特殊原因租期不到不会自动解除,
Clear ip dhcp binding
与show对应,可以删除自动绑定记录,DHCP地址池中所有地址都会重新分配
此时再次show ip dhcp binding,数据为空
Client-identifier
手工绑定ip,MAC,指定用户唯一标识,如:
Client-identifier xx-xx-xx-xx-xx-xx
Host xx.xx.xx.xx. (host用来指定对应ip地址)
Hardware-address
手工绑定硬件地址与ip地址
Hardware-address xx-xx-xx-xx-xx-xx
Host xx.xx.xx.xx
ip dhcp excluded-address xx.xx.xx.xx
排除地址池中的不用于动态分配的地址,方便其它用途
Service dhcp
打开DHCP服务器,不开启地址池设置无法生效
Ip dhcp pool xx
新建地址池
Domain-name xx
为客户机配置域名
Default-router xx.xx.xx.xx
为DHCP客户机配置默认网关,最多设置8个地址,最先设置地址优先级最高
Dns-server xx.xx.xx.xx
为DHCP客户机配置DNS服务器,最多设置8个,按照先后优先级排序同网关
Lease
设置租期时间,单位设置 天 /小时 /分钟
Network-address
设置地址池可分配的地址范围,一个地址池只能对应一个网段,如:
Network-address 192.168.1.0 24
Network-address 192.168.1.0 255.255.255.0
Ip dhcp conflict ping-detection enable
打开ping方式冲突检测功能之前需要先开启日志功能
Ip dhcp ping packets
timeout
设置ping检测地址冲突发送ping请求报文的最大个数,如
Ip dhcp ping packets 5
Ip dhcp ping timeout 100
(2)DHCP中继配置
Ip forward-protocol udp boots
配置DHCP中继转发指定该端口UDP广播报文,boots指的是67 DHCP广播报文,查看配置的支持广文报文转发的协议端口号
Ip helper-address
指定DHCP中继转发UDP报文目标地址,目标地址往往是所在设备的对端ip,查看相关配置命令:show ip helper-address
(3)DHCP Snooping配置命令
Ip dhcp snooping enable
开启DHCP snooping命令,开启后将监听所有非信任端口地DHCP Server包
Ip dhcp snooping limit-rate
首先启动DHCP snooping,设置叫交换机DHCP报文最大转发速率,范围0-100pps,缺省100
Ip dhcp snooping trust
设置端口为信任端口,端口上原本的防御动作会自动去除
Ip dhcp snooping action,进接口配置
Ip dhcp snooping action shutdown
端口检测到伪装DCHP Server时down掉端口,后面跟recovery可以指定恢复时间
Ip dhcp snooping action blackhole
Ip dhcp snooping action xx
设置防御动作数目限制,防止交换机被攻击而耗尽系统资源,默认为10
Ip dhcp snooping binding enable
开启监听绑定功能,开启后记录所有新人端口DHCP Server分配绑定信息,使用之前先开启bing:ip dhcp binding enable
Ip dhcp snooping bingding user-control,进接口配置
开启后DHCP snooping将把捕获的绑定信息直接作为信任用户允许访问所有资源
(4)DHCP option 43命令
Option 43 ascii xx
在ip dhcp pool模式下配置option 43字符串
Option 43 hex xx
在ip dhcp pool模式下配置option 43十六进制格式
Option 43 hex 0104XXXXXXXX
3.安全特性配置
DoS(Denial of Service)的缩写,意味拒绝服务
(1) 防IP Spoofing攻击,
Dosattack-check srcip-equal-dstip enable
开启检查ip源地址等于目的地址的功能
(2)防TCP非法标志攻击功能配置
Dosattack-check tcp-flags enable
开启检查TCP标志功能
Dosattack-check ipv4-first-fragment enable
开启检查IPv4分片功能,单独使用无作用
(3)防端口欺骗功能
Dosattack-check srcport-equal-dstport enable
开启防端口欺骗功能
Dosattack-check ipv4-first-fragement enable
开启检查IPv4分片功能,单独使用无效
(4)防TCP碎片攻击配置任务
Dosattack-check tcp-fragment enable
开启防TCP碎片攻击功能
Dosattack-check tcp-segment
设置允许通过的最小TCP报文段长度
(5)防ICMP碎片攻击功能配置
Dosattack-check icmp-attacking enable
开启ICMP碎片攻击功能
Dosattack-check icmpV4-size xx
设置允许通过的最大ICMPv4净荷长度,单独使用无作用
4.SSL配置
Ssl-安全通信协议
Ssl只在TCP上运行不可以在UDP或IP上运行
Ip http secure-server
启动SSL功能
Ip http secure-port
启动SSL使用的端口号
Ip http secure-ciphersuite
启动SSL使用的加密套件
Show ip http secure-server status
显示配置ssl信息
CS6200命令(三)
1. Loopback-detection 端口环路检测
Loopback-detection interval-time xx xx
设置恢复环路检测的时间间隔
Loopback-detection specified-vlan xx
进入接口,启动端口环路检测功能
Loopback-detection control
进入接口,打开端口环路控制方式,共有三种方式
Shutdown:发现端口环路将该端口down掉
Block:发现端口环路将端口阻塞掉,只允许bpdu和环路检测报文通过,block控制,必须先要全局启动mstp,并且配置生成树协议与vlan的对应关系
Learning:禁止端口的学习MAC地址功能的受控方式,不转发流量,并删除端口MAC地址
Loopback-detection control-recovery timeout xx
配置环路检测收款方式是否自动恢复的时间间隔
Show loopback-detection
通过该命令显示出端口段环路检测状态和检测结果
2. ssh远程管理
ssh-server enable
打开交换机的SSH服务器功能
Ssh-server timeout xx
设置ssh认证超时时间
Ssh-server authention-retries
设置ssh认证重试次数
Ssh-server host-key cre]ate rsa modulus
生成新的ssh服务器的RSA主机密钥对
3.enable
用于修改从普通用户进入到特殊用户配置模式的口令
Enable passwd level xx 0 passwd xx
默认等级为15,配置密码有效防止非法入侵
Exec-timeout
退出特殊用户配置模式的超时时间,默认10分钟
Exec-timeout 6 30 这是设置为6分30秒
4.storm-control
设置交换机的广播风暴抑制功能
Storm-control unicast (单播) pps
broadcast (广播)
multicast (组播)
5.SNMP配置
Snmp-server enable
打开SNMP代理服务器功能,使用no关闭
Snmp-server community
设置交换机团体字符串
Snmp-server community ro 0 public
添加只读权限团体字符串public
Snmp-server community rw 0 private
添加读写权限团体字符串private
Snmp-server enable traps
交换机若要通过网管软件进行配置管理,必须先要用该命令
Snmp-server host xx.xx.xx.xx v2c xx
交换机SNMP的traps的网络管理站IPv4
Snmp-server engineid
配置当前引擎号
Snmp-server host
设置接收traps消息时使用
Snmp-server securityip
设置允许访问本交换机的MNS管理站的安全ipv4
注:
网管系统ip往往指的是被管理网络
服务器地址往往指的是NMS
6.免费ARP
免费ARP,在交换机接口配置定时发送ARP报文,或者在全局配置所有接口当时发送ARP
报文
Ip gratutions-arp
使能免费ARP发送功能,并设置免费ARP报文的发送时间间隔
Ip gratuitous-arp 300 配置时间间隔为300s
Show ip gratuitous-arp
显示免费ARP发送功能的配置信息
对信息安全管理与评估赛项,CS6200交换机考过的命令进行阶段汇总。