基础命令
quit //返回上一层
return //配置完成退回视图界面
interface //连入接口命令
ip address //配置ip地址、子网掩码
enable命令
port-isolate enable //端口隔离命令使能
stp edged-port enable //stp边缘端口启用
save命令
<S3>save //save两次回车即可保存
clear命令
[SW2]clear configuration interface Ethernet 0/0/2 //清除接口E/0/2的配置
display常用命令
display this //在当前接口下,查看命令配置
display ip interface brief //查看接口信息状态
display mac-address //查看MAC地址
display ip routing-table //查看路由表信息
display pim routing-table 查看pim-dm组播路由表
display pim interface verbose //查看pim接口配置
display ospf spf-statistics //查看ospf进程下路由计算统计信息
display bgp error //查看bgp错误
display ospf spf-statistics //查看ospf进程下路由计算统计信息
peer default-mute-advertise //给邻居发布缺省路由
display bgp routing-table //查看bgp路由表
compare-differnet-as-med //使能med比较来自不同AS之间的MED值。
undo命令
undo portswitch 将二层接口切换至三层接口
<AR2>system-view
[AR2]inter e0/0/0
[AR2-Ethernet0/0/0]undo portswitch
清除
undo ip route-static 2.2.2.0 24 10.0.0.2 目的网段-掩码 下一跳
shutdown命令
[interface gigabitEthernet1/0/1]shutdown //shutdown执行后,用undo shutdown打开
防火墙命令配置:
扫描窥探攻击之
IP Sweep攻击:
firwall defend ip-sweep //攻击者ping ip
firwall blacklist enable //将其拉入黑名单
防火墙会检测有无连续性去Ping ip地址,Ping .1、.2、.3、.4....一直往下ping, 那么便将此ip拉入黑名单。
Port Scan攻击:
firewall defend port-scan //扫描端口
firewall blacklist enable //将其拉入黑名单
攻击者通过探测之后,发现某服务器IP,做端口扫描,port 1、port 2、port 3...查到端口,针对性的对端口进行攻击。
拒绝服务攻击之
smurf攻击:
firewall defend smurf enable
原理:判断ping广播地址是否为广播型ip,是,则丢弃。
fraggle攻击:
firewall defend fraggle enable
原理:判断UDP请求是否为port 7 or 19特殊端口号,是,丢弃。
Land攻击:
firewall defend land enable
防火墙收到syn报文,检查源ip于目标ip是一样,丢弃。
安全区域配置(配置域间策略:默认情况下,Internet与未配置的防火墙是不可通信的,隔离的。)
[USG 2100] firewall zone product //创建一个安全区域
[USG2100-zone-product]set priority 60 //设置优先级
[USG2100-zone-product]add interface GigabitEthernet 0/0/1 //给安全区域添加接口
[USG2100]display zone product //查看防火墙安全区域配置
<USG2100>system-view
[usg 2100 ] prlicy interzone trust untrust outbound 定义两个安全区域之间的策略,outbound方向--高到低优先级,trust untrust 前后配置先后无影响。
[usg 2100 prlicy interzone trust untrust outbound]policy 1 策略1
[usg 2100 prlicy interzone trust untrust outbound-1]action permit //所有报文可通过这便实现了内部可将报文发送到Internet。
静态黑名单配置:
[USG 2100]firewall blacklist item 202.169.168.2 timeout 100 //将IP加入黑名单,timeout 的单位为分钟,若不使用参数,意味着表永远有效,不会老化。
[USG 2100]firewall blacklist enable //根据报文的源IP地址进行过滤。
动态黑名单配置:
[USG 2100]firewall defend ip-sweep enable 当有主机去ping各个地址,看哪个在线,防火墙认为它有问题,在窥探服务器在线IP,使能ip sweep检测。
[USG 2100]firewall defend ip-sweep max-rate 1000 //如果窥探了1000次,我将你加入黑名单。
[USG 2100]firewall defend ip-sweep blacklist-timeout 20 //超时时间是20分钟
[USG 2100]firewall blacklist enable //使能黑名单
[USG 2100]display firewall blacklist item // 黑名单验证、查看黑名单配置
MAC绑定配置:
[USG 2100]firewall mac-binding enable
[USG 2100]firewall mac-binding 202.169.168.2 0011-2233-4455 //担心主机被攻击瘫痪,IP被人冒充,便需要使用IP地址与MAC地址绑定。