神州数码交换机CS6200命令（信息安全管理与评估赛项）

CS6200命令（一）

1.端口镜像

Monitor session source interface

镜像源端口没有限制，如：

Monitor session 1 source int eth1/0/1-4 rx

不指定默认为缺省both

Monitor seeion source access-list

使用此命令必须保证已经创建好ACL，如:

Monitor session 1 source int 1/0/6 access-lit 120 rx

Monitor session destination interface

支持4个镜像目的端口，不可以选择端口聚合，如：

Monitor session 1 destination int eth1/0/7

Show monitor

显示所有镜像session的镜像源、目的端口信息

2.端口操作命令

Clear port-security

特权模式:

Clear port-security all 端口清除所有安全MAC

Show port-security

显示端口安全地址

Switchport port-security

用来配置端口port-security功能，No关闭

Port-security、private-vlan、mac-notifition、mac-limit都要先开启mac软学习功能：mac-address-learing cpu-control

Switchport port-security aging {static | time | type}

Static --端口上配置的MAC地址

Time --端口地MAC老化时间

Type --absolute，到时间全部从mac表移除，inactivity有流量的保留

端口配置安全MAC老化时间为10s

Switchport port-security aging time 10

Switchport port-security mac-address

Max数量要大于指定的mac数量，否则会出现违规情况

Switchport port-security mac-address xx-xx-xx-xx-xx-xx

Sticky，sticky作用是静态记下端口的mac地址，max=3，那么交换机口会主动记下最先就插入设备的mac地址，不可以超过最大值

Switchport port-security maximum

配置端口安全mac的最大数量：

Swichport port-security maximum 100

Switchport port-security violation

当超过设置的最大值，会违反MAC地址安全

Protect模式：保护模式，不学习新的mac，丢弃数据包不告警

Restrict模式：限制模式，不学习新的mac，丢弃数据包，发送snmp trap，

在syslog日志记录

Shutdown模式：关闭模式，默认模式，端口立即关闭，发送snmp trap，

在日志记录

3.AM(Access Management-访问管理)

作用：网络管理员可以将合法用户MAC-IP地址绑定到指定端口，只有这些用户发出的报文才可能通过该端口转发

am enable

全局模式下启用AM功能，no关闭

am port

端口默认关闭，开启am功能

am ip-pool

设置端口访问管理ip地址段最大不得超过32,例如：

am ip-pool 10.10.10.1 10

am mac-ip-pool

设置端口访问管理的MAC-IP地址

在交换机端口配置允许源mac地址为xx-xx-xx-xx-xx-xx,且ip为10.10.10.1的地址进行转发

am mac-ip-pool xx-xx-xx-xx-xx-xx 10.10.10.1

no am all

删除ip-pool和mac-ip-pool设置

Show am

查看am入口表项

4.防ARP扫描

基于端口

规定时间，接收到ARP报文数量超过设定阈值，down掉端口

基于ip

规定时间，某ip接收到ARP报文数量超过设定阈值，禁用ip而不是端口

Anti-arpscan enable

全局启用防ARP扫描功能，使用telnet等手段需把上联端口设置为超级信任端口，

默认非信任

Anti-arpscan port-based threshold

设置基于端口的防ARP扫描阈值，单位为个/秒，如：

Anti-arpscan port-based threshold 10

Anti-arpscan ip-based threshod

设置基于ip的防ARP扫描阈值

Anti-arpscan ip-based threshold 6

Anti-arpscan trust

设置信任端口或超级信任端口，信任端口ARP不对此进行限制

Anti-arpscan trust port

Anti-arpscan trust ip

设置某ip为信任ip，如果被禁掉则立即恢复，如：

Anti-arpscn trust ip

Anti-arpscan recovery enable

启动自动恢复功能，被禁端口或ip超过一段时间自动恢复正常

Anti-arpscan recovery time

配置自动恢复时间，如：

Anti-arpscan recovery time 3600

Anti-arpscan log enable

启用防ARP扫描日志功能

Anti-arpscan trap enable

启动防ARP扫描的SNMP TRAP功能，网关软件可以收到

Show anti-arpscan

查看配置如：

Show anti-arpscan trust port

5.radius配置命令

aaa enable

打开交换机AAA功能

aaa-accontig enable

交换机开启AAA计费功能

aaa-accounting update

交换机AAA计费更新功能

Radius-server accounting host

设置radius计费服务器，如：

Radius-server accounting host xx.xx.xx.xx

Radius-server authention host

设置radius认证服务器，如:

Radius-server authention host xx.xx.xx.xx

Radius-server key

设置RADIUS服务器的钥匙字符串，如：

Radius-server key 0 test

Radius-server retransmit

设置RADIUS服务器重传次数，默认为3次，如：

Radius-server retransmit 5

Radius-server timeout

设置RADIUS服务器超市定时器值，如

Radius-server timeout 30

Radius-server accounting-interim-update timeout

设置计费更新报文发送的时间间隔；默认300s

Radius-server dead-time

设置RADIUS服务器死机后的恢复时间为3分钟

Radius-server dead-time 3

Show aaa authenticated-user

显示已经通过认证的在线用户

Show aaa authenticating-user

显示正在进行认证的用户

Show aaa config

显示交换机是否打开aaa认证、计费功能，及密钥，认证、计费服务器的信息

CS6200命令（二）

1.基于流的重定向

QOS(Quality of Servcie)-服务品质保障，不产生新的带宽而是根据需求控制带宽

简易配置顺序：

1.配置分类表(class map)

对数据建立一个分类规则

2.配置策略表(policy map)

对数据建立一个策略表，关联分类表

3.将Qos应用到端口或者vlan

策略绑定到具体端口才可生效

Class map

建立class-map

Policy map

建立policy-map

举例：

在端口eth1/0/4，将网段192.168.10.0报文带宽限制为10M bit/s，突发值设为5

Bit/s,超过该数值报文一律丢弃

2.DHCP配置命令

(1)DHCP基本配置

Show ip dhcp binding

查看IP地址与相应的DHCP客户机硬件地址绑定信息，无特殊原因租期不到不会自动解除，

Clear ip dhcp binding

与show对应，可以删除自动绑定记录，DHCP地址池中所有地址都会重新分配

此时再次show ip dhcp binding，数据为空

Client-identifier

手工绑定ip，MAC，指定用户唯一标识，如：

Client-identifier xx-xx-xx-xx-xx-xx

Host xx.xx.xx.xx. (host用来指定对应ip地址)

Hardware-address

手工绑定硬件地址与ip地址

Hardware-address xx-xx-xx-xx-xx-xx

Host xx.xx.xx.xx

ip dhcp excluded-address xx.xx.xx.xx

排除地址池中的不用于动态分配的地址，方便其它用途

Service dhcp

打开DHCP服务器，不开启地址池设置无法生效

Ip dhcp pool xx

新建地址池

Domain-name xx

为客户机配置域名

Default-router xx.xx.xx.xx

为DHCP客户机配置默认网关，最多设置8个地址，最先设置地址优先级最高

Dns-server xx.xx.xx.xx

为DHCP客户机配置DNS服务器，最多设置8个，按照先后优先级排序同网关

Lease

设置租期时间，单位设置 天 /小时 /分钟

Network-address

设置地址池可分配的地址范围，一个地址池只能对应一个网段，如：

Network-address 192.168.1.0 24

Network-address 192.168.1.0 255.255.255.0

Ip dhcp conflict ping-detection enable

打开ping方式冲突检测功能之前需要先开启日志功能

Ip dhcp ping packets

timeout

设置ping检测地址冲突发送ping请求报文的最大个数，如

Ip dhcp ping packets 5

Ip dhcp ping timeout 100

(2)DHCP中继配置

Ip forward-protocol udp boots

配置DHCP中继转发指定该端口UDP广播报文，boots指的是67 DHCP广播报文，查看配置的支持广文报文转发的协议端口号

Ip helper-address

指定DHCP中继转发UDP报文目标地址，目标地址往往是所在设备的对端ip，查看相关配置命令：show ip helper-address

（3）DHCP Snooping配置命令

Ip dhcp snooping enable

开启DHCP snooping命令，开启后将监听所有非信任端口地DHCP Server包

Ip dhcp snooping limit-rate

首先启动DHCP snooping，设置叫交换机DHCP报文最大转发速率，范围0-100pps，缺省100

Ip dhcp snooping trust

设置端口为信任端口，端口上原本的防御动作会自动去除

Ip dhcp snooping action，进接口配置

Ip dhcp snooping action shutdown

端口检测到伪装DCHP Server时down掉端口，后面跟recovery可以指定恢复时间

Ip dhcp snooping action blackhole

Ip dhcp snooping action xx

设置防御动作数目限制，防止交换机被攻击而耗尽系统资源，默认为10

Ip dhcp snooping binding enable

开启监听绑定功能，开启后记录所有新人端口DHCP Server分配绑定信息，使用之前先开启bing：ip dhcp binding enable

Ip dhcp snooping bingding user-control，进接口配置

开启后DHCP snooping将把捕获的绑定信息直接作为信任用户允许访问所有资源

(4)DHCP option 43命令

Option 43 ascii xx

在ip dhcp pool模式下配置option 43字符串

Option 43 hex xx

在ip dhcp pool模式下配置option 43十六进制格式

Option 43 hex 0104XXXXXXXX

3.安全特性配置

DoS(Denial of Service)的缩写，意味拒绝服务

(1) 防IP Spoofing攻击，

Dosattack-check srcip-equal-dstip enable

开启检查ip源地址等于目的地址的功能

(2)防TCP非法标志攻击功能配置

Dosattack-check tcp-flags enable

开启检查TCP标志功能

Dosattack-check ipv4-first-fragment enable

开启检查IPv4分片功能，单独使用无作用

（3）防端口欺骗功能

Dosattack-check srcport-equal-dstport enable

开启防端口欺骗功能

Dosattack-check ipv4-first-fragement enable

开启检查IPv4分片功能，单独使用无效

（4）防TCP碎片攻击配置任务

Dosattack-check tcp-fragment enable

开启防TCP碎片攻击功能

Dosattack-check tcp-segment

设置允许通过的最小TCP报文段长度

（5）防ICMP碎片攻击功能配置

Dosattack-check icmp-attacking enable

开启ICMP碎片攻击功能

Dosattack-check icmpV4-size xx

设置允许通过的最大ICMPv4净荷长度，单独使用无作用

4.SSL配置

Ssl-安全通信协议

Ssl只在TCP上运行不可以在UDP或IP上运行

Ip http secure-server

启动SSL功能

Ip http secure-port

启动SSL使用的端口号

Ip http secure-ciphersuite

启动SSL使用的加密套件

Show ip http secure-server status

显示配置ssl信息

 CS6200命令（三）

1. Loopback-detection 端口环路检测

Loopback-detection interval-time xx xx

设置恢复环路检测的时间间隔

Loopback-detection specified-vlan xx

进入接口，启动端口环路检测功能

Loopback-detection control

进入接口，打开端口环路控制方式，共有三种方式

Shutdown：发现端口环路将该端口down掉

Block：发现端口环路将端口阻塞掉，只允许bpdu和环路检测报文通过，block控制，必须先要全局启动mstp，并且配置生成树协议与vlan的对应关系

Learning：禁止端口的学习MAC地址功能的受控方式，不转发流量，并删除端口MAC地址

Loopback-detection control-recovery timeout xx

配置环路检测收款方式是否自动恢复的时间间隔

Show loopback-detection

通过该命令显示出端口段环路检测状态和检测结果

2. ssh远程管理

ssh-server enable

打开交换机的SSH服务器功能

Ssh-server timeout xx

设置ssh认证超时时间

Ssh-server authention-retries

设置ssh认证重试次数

Ssh-server host-key cre]ate rsa modulus

生成新的ssh服务器的RSA主机密钥对

3.enable

用于修改从普通用户进入到特殊用户配置模式的口令

Enable passwd level xx 0 passwd xx

默认等级为15，配置密码有效防止非法入侵

Exec-timeout

退出特殊用户配置模式的超时时间，默认10分钟

Exec-timeout 6 30 这是设置为6分30秒

4.storm-control

设置交换机的广播风暴抑制功能

Storm-control unicast (单播) pps

broadcast (广播)

multicast (组播)

5.SNMP配置

Snmp-server enable

打开SNMP代理服务器功能，使用no关闭

Snmp-server community

设置交换机团体字符串

Snmp-server community ro 0 public

添加只读权限团体字符串public

Snmp-server community rw 0 private

添加读写权限团体字符串private

Snmp-server enable traps

交换机若要通过网管软件进行配置管理，必须先要用该命令

Snmp-server host xx.xx.xx.xx v2c xx

交换机SNMP的traps的网络管理站IPv4

Snmp-server engineid

配置当前引擎号

Snmp-server host

设置接收traps消息时使用

Snmp-server securityip

设置允许访问本交换机的MNS管理站的安全ipv4

注：

网管系统ip往往指的是被管理网络

服务器地址往往指的是NMS

6.免费ARP

免费ARP，在交换机接口配置定时发送ARP报文，或者在全局配置所有接口当时发送ARP

报文

Ip gratutions-arp

使能免费ARP发送功能，并设置免费ARP报文的发送时间间隔

Ip gratuitous-arp 300 配置时间间隔为300s

Show ip gratuitous-arp

显示免费ARP发送功能的配置信息

对信息安全管理与评估赛项，CS6200交换机考过的命令进行阶段汇总。