神州数码交换机CS6200命令(信息安全管理与评估赛项)
CS6200命令(一)
1.端口鏡像
Monitor session source interface
鏡像源端口沒(méi)有限制,如:
Monitor session 1 source int eth1/0/1-4 rx
不指定默認(rèn)為缺省both
Monitor seeion source access-list
使用此命令必須保證已經(jīng)創(chuàng)建好ACL,如:
Monitor session 1 source int 1/0/6 access-lit 120 rx
Monitor session destination interface
支持4個(gè)鏡像目的端口,不可以選擇端口聚合,如:
Monitor session 1 destination int eth1/0/7
Show monitor
顯示所有鏡像session的鏡像源、目的端口信息
2.端口操作命令
Clear port-security
特權(quán)模式:
Clear port-security all 端口清除所有安全MAC
Show port-security
顯示端口安全地址
Switchport port-security
用來(lái)配置端口port-security功能,No關(guān)閉
Port-security、private-vlan、mac-notifition、mac-limit都要先開(kāi)啟mac軟學(xué)習(xí)功能:mac-address-learing cpu-control
Switchport port-security aging {static | time | type}
Static --端口上配置的MAC地址
Time --端口地MAC老化時(shí)間
Type --absolute,到時(shí)間全部從mac表移除,inactivity有流量的保留
端口配置安全MAC老化時(shí)間為10s
Switchport port-security aging time 10
Switchport port-security mac-address
Max數(shù)量要大于指定的mac數(shù)量,否則會(huì)出現(xiàn)違規(guī)情況
Switchport port-security mac-address xx-xx-xx-xx-xx-xx
Sticky,sticky作用是靜態(tài)記下端口的mac地址,max=3,那么交換機(jī)口會(huì)主動(dòng)記下最先就插入設(shè)備的mac地址,不可以超過(guò)最大值
Switchport port-security maximum
配置端口安全mac的最大數(shù)量:
Swichport port-security maximum 100
Switchport port-security violation
當(dāng)超過(guò)設(shè)置的最大值,會(huì)違反MAC地址安全
Protect模式:保護(hù)模式,不學(xué)習(xí)新的mac,丟棄數(shù)據(jù)包不告警
Restrict模式:限制模式,不學(xué)習(xí)新的mac,丟棄數(shù)據(jù)包,發(fā)送snmp trap,
在syslog日志記錄
Shutdown模式:關(guān)閉模式,默認(rèn)模式,端口立即關(guān)閉,發(fā)送snmp trap,
在日志記錄
3.AM(Access Management-訪問(wèn)管理)
作用:網(wǎng)絡(luò)管理員可以將合法用戶MAC-IP地址綁定到指定端口,只有這些用戶發(fā)出的報(bào)文才可能通過(guò)該端口轉(zhuǎn)發(fā)
am enable
全局模式下啟用AM功能,no關(guān)閉
am port
端口默認(rèn)關(guān)閉,開(kāi)啟am功能
am ip-pool
設(shè)置端口訪問(wèn)管理ip地址段最大不得超過(guò)32,例如:
am ip-pool 10.10.10.1 10
am mac-ip-pool
設(shè)置端口訪問(wèn)管理的MAC-IP地址
在交換機(jī)端口配置允許源mac地址為xx-xx-xx-xx-xx-xx,且ip為10.10.10.1的地址進(jìn)行轉(zhuǎn)發(fā)
am mac-ip-pool xx-xx-xx-xx-xx-xx 10.10.10.1
no am all
刪除ip-pool和mac-ip-pool設(shè)置
Show am
查看am入口表項(xiàng)
4.防ARP掃描
基于端口
規(guī)定時(shí)間,接收到ARP報(bào)文數(shù)量超過(guò)設(shè)定閾值,down掉端口
基于ip
規(guī)定時(shí)間,某ip接收到ARP報(bào)文數(shù)量超過(guò)設(shè)定閾值,禁用ip而不是端口
Anti-arpscan enable
全局啟用防ARP掃描功能,使用telnet等手段需把上聯(lián)端口設(shè)置為超級(jí)信任端口,
默認(rèn)非信任
Anti-arpscan port-based threshold
設(shè)置基于端口的防ARP掃描閾值,單位為個(gè)/秒,如:
Anti-arpscan port-based threshold 10
Anti-arpscan ip-based threshod
設(shè)置基于ip的防ARP掃描閾值
Anti-arpscan ip-based threshold 6
Anti-arpscan trust
設(shè)置信任端口或超級(jí)信任端口,信任端口ARP不對(duì)此進(jìn)行限制
Anti-arpscan trust port
Anti-arpscan trust ip
設(shè)置某ip為信任ip,如果被禁掉則立即恢復(fù),如:
Anti-arpscn trust ip
Anti-arpscan recovery enable
啟動(dòng)自動(dòng)恢復(fù)功能,被禁端口或ip超過(guò)一段時(shí)間自動(dòng)恢復(fù)正常
Anti-arpscan recovery time
配置自動(dòng)恢復(fù)時(shí)間,如:
Anti-arpscan recovery time 3600
Anti-arpscan log enable
啟用防ARP掃描日志功能
Anti-arpscan trap enable
啟動(dòng)防ARP掃描的SNMP TRAP功能,網(wǎng)關(guān)軟件可以收到
Show anti-arpscan
查看配置如:
Show anti-arpscan trust port
5.radius配置命令
aaa enable
打開(kāi)交換機(jī)AAA功能
aaa-accontig enable
交換機(jī)開(kāi)啟AAA計(jì)費(fèi)功能
aaa-accounting update
交換機(jī)AAA計(jì)費(fèi)更新功能
Radius-server accounting host
設(shè)置radius計(jì)費(fèi)服務(wù)器,如:
Radius-server accounting host xx.xx.xx.xx
Radius-server authention host
設(shè)置radius認(rèn)證服務(wù)器,如:
Radius-server authention host xx.xx.xx.xx
Radius-server key
設(shè)置RADIUS服務(wù)器的鑰匙字符串,如:
Radius-server key 0 test
Radius-server retransmit
設(shè)置RADIUS服務(wù)器重傳次數(shù),默認(rèn)為3次,如:
Radius-server retransmit 5
Radius-server timeout
設(shè)置RADIUS服務(wù)器超市定時(shí)器值,如
Radius-server timeout 30
Radius-server accounting-interim-update timeout
設(shè)置計(jì)費(fèi)更新報(bào)文發(fā)送的時(shí)間間隔;默認(rèn)300s
Radius-server dead-time
設(shè)置RADIUS服務(wù)器死機(jī)后的恢復(fù)時(shí)間為3分鐘
Radius-server dead-time 3
Show aaa authenticated-user
顯示已經(jīng)通過(guò)認(rèn)證的在線用戶
Show aaa authenticating-user
顯示正在進(jìn)行認(rèn)證的用戶
Show aaa config
顯示交換機(jī)是否打開(kāi)aaa認(rèn)證、計(jì)費(fèi)功能,及密鑰,認(rèn)證、計(jì)費(fèi)服務(wù)器的信息
CS6200命令(二)
1.基于流的重定向
QOS(Quality of Servcie)-服務(wù)品質(zhì)保障,不產(chǎn)生新的帶寬而是根據(jù)需求控制帶寬
簡(jiǎn)易配置順序:
1.配置分類表(class map)
對(duì)數(shù)據(jù)建立一個(gè)分類規(guī)則
2.配置策略表(policy map)
對(duì)數(shù)據(jù)建立一個(gè)策略表,關(guān)聯(lián)分類表
3.將Qos應(yīng)用到端口或者vlan
策略綁定到具體端口才可生效
Class map
建立class-map
Policy map
建立policy-map
舉例:
在端口eth1/0/4,將網(wǎng)段192.168.10.0報(bào)文帶寬限制為10M bit/s,突發(fā)值設(shè)為5
Bit/s,超過(guò)該數(shù)值報(bào)文一律丟棄
2.DHCP配置命令
(1)DHCP基本配置
Show ip dhcp binding
查看IP地址與相應(yīng)的DHCP客戶機(jī)硬件地址綁定信息,無(wú)特殊原因租期不到不會(huì)自動(dòng)解除,
Clear ip dhcp binding
與show對(duì)應(yīng),可以刪除自動(dòng)綁定記錄,DHCP地址池中所有地址都會(huì)重新分配
此時(shí)再次show ip dhcp binding,數(shù)據(jù)為空
Client-identifier
手工綁定ip,MAC,指定用戶唯一標(biāo)識(shí),如:
Client-identifier xx-xx-xx-xx-xx-xx
Host xx.xx.xx.xx. (host用來(lái)指定對(duì)應(yīng)ip地址)
Hardware-address
手工綁定硬件地址與ip地址
Hardware-address xx-xx-xx-xx-xx-xx
Host xx.xx.xx.xx
ip dhcp excluded-address xx.xx.xx.xx
排除地址池中的不用于動(dòng)態(tài)分配的地址,方便其它用途
Service dhcp
打開(kāi)DHCP服務(wù)器,不開(kāi)啟地址池設(shè)置無(wú)法生效
Ip dhcp pool xx
新建地址池
Domain-name xx
為客戶機(jī)配置域名
Default-router xx.xx.xx.xx
為DHCP客戶機(jī)配置默認(rèn)網(wǎng)關(guān),最多設(shè)置8個(gè)地址,最先設(shè)置地址優(yōu)先級(jí)最高
Dns-server xx.xx.xx.xx
為DHCP客戶機(jī)配置DNS服務(wù)器,最多設(shè)置8個(gè),按照先后優(yōu)先級(jí)排序同網(wǎng)關(guān)
Lease
設(shè)置租期時(shí)間,單位設(shè)置 天 /小時(shí) /分鐘
Network-address
設(shè)置地址池可分配的地址范圍,一個(gè)地址池只能對(duì)應(yīng)一個(gè)網(wǎng)段,如:
Network-address 192.168.1.0 24
Network-address 192.168.1.0 255.255.255.0
Ip dhcp conflict ping-detection enable
打開(kāi)ping方式?jīng)_突檢測(cè)功能之前需要先開(kāi)啟日志功能
Ip dhcp ping packets
timeout
設(shè)置ping檢測(cè)地址沖突發(fā)送ping請(qǐng)求報(bào)文的最大個(gè)數(shù),如
Ip dhcp ping packets 5
Ip dhcp ping timeout 100
(2)DHCP中繼配置
Ip forward-protocol udp boots
配置DHCP中繼轉(zhuǎn)發(fā)指定該端口UDP廣播報(bào)文,boots指的是67 DHCP廣播報(bào)文,查看配置的支持廣文報(bào)文轉(zhuǎn)發(fā)的協(xié)議端口號(hào)
Ip helper-address
指定DHCP中繼轉(zhuǎn)發(fā)UDP報(bào)文目標(biāo)地址,目標(biāo)地址往往是所在設(shè)備的對(duì)端ip,查看相關(guān)配置命令:show ip helper-address
(3)DHCP Snooping配置命令
Ip dhcp snooping enable
開(kāi)啟DHCP snooping命令,開(kāi)啟后將監(jiān)聽(tīng)所有非信任端口地DHCP Server包
Ip dhcp snooping limit-rate
首先啟動(dòng)DHCP snooping,設(shè)置叫交換機(jī)DHCP報(bào)文最大轉(zhuǎn)發(fā)速率,范圍0-100pps,缺省100
Ip dhcp snooping trust
設(shè)置端口為信任端口,端口上原本的防御動(dòng)作會(huì)自動(dòng)去除
Ip dhcp snooping action,進(jìn)接口配置
Ip dhcp snooping action shutdown
端口檢測(cè)到偽裝DCHP Server時(shí)down掉端口,后面跟recovery可以指定恢復(fù)時(shí)間
Ip dhcp snooping action blackhole
Ip dhcp snooping action xx
設(shè)置防御動(dòng)作數(shù)目限制,防止交換機(jī)被攻擊而耗盡系統(tǒng)資源,默認(rèn)為10
Ip dhcp snooping binding enable
開(kāi)啟監(jiān)聽(tīng)綁定功能,開(kāi)啟后記錄所有新人端口DHCP Server分配綁定信息,使用之前先開(kāi)啟bing:ip dhcp binding enable
Ip dhcp snooping bingding user-control,進(jìn)接口配置
開(kāi)啟后DHCP snooping將把捕獲的綁定信息直接作為信任用戶允許訪問(wèn)所有資源
(4)DHCP option 43命令
Option 43 ascii xx
在ip dhcp pool模式下配置option 43字符串
Option 43 hex xx
在ip dhcp pool模式下配置option 43十六進(jìn)制格式
Option 43 hex 0104XXXXXXXX
3.安全特性配置
DoS(Denial of Service)的縮寫,意味拒絕服務(wù)
(1) 防IP Spoofing攻擊,
Dosattack-check srcip-equal-dstip enable
開(kāi)啟檢查ip源地址等于目的地址的功能
(2)防TCP非法標(biāo)志攻擊功能配置
Dosattack-check tcp-flags enable
開(kāi)啟檢查TCP標(biāo)志功能
Dosattack-check ipv4-first-fragment enable
開(kāi)啟檢查IPv4分片功能,單獨(dú)使用無(wú)作用
(3)防端口欺騙功能
Dosattack-check srcport-equal-dstport enable
開(kāi)啟防端口欺騙功能
Dosattack-check ipv4-first-fragement enable
開(kāi)啟檢查IPv4分片功能,單獨(dú)使用無(wú)效
(4)防TCP碎片攻擊配置任務(wù)
Dosattack-check tcp-fragment enable
開(kāi)啟防TCP碎片攻擊功能
Dosattack-check tcp-segment
設(shè)置允許通過(guò)的最小TCP報(bào)文段長(zhǎng)度
(5)防ICMP碎片攻擊功能配置
Dosattack-check icmp-attacking enable
開(kāi)啟ICMP碎片攻擊功能
Dosattack-check icmpV4-size xx
設(shè)置允許通過(guò)的最大ICMPv4凈荷長(zhǎng)度,單獨(dú)使用無(wú)作用
4.SSL配置
Ssl-安全通信協(xié)議
Ssl只在TCP上運(yùn)行不可以在UDP或IP上運(yùn)行
Ip http secure-server
啟動(dòng)SSL功能
Ip http secure-port
啟動(dòng)SSL使用的端口號(hào)
Ip http secure-ciphersuite
啟動(dòng)SSL使用的加密套件
Show ip http secure-server status
顯示配置ssl信息
?CS6200命令(三)
1. Loopback-detection 端口環(huán)路檢測(cè)
Loopback-detection interval-time xx xx
設(shè)置恢復(fù)環(huán)路檢測(cè)的時(shí)間間隔
Loopback-detection specified-vlan xx
進(jìn)入接口,啟動(dòng)端口環(huán)路檢測(cè)功能
Loopback-detection control
進(jìn)入接口,打開(kāi)端口環(huán)路控制方式,共有三種方式
Shutdown:發(fā)現(xiàn)端口環(huán)路將該端口down掉
Block:發(fā)現(xiàn)端口環(huán)路將端口阻塞掉,只允許bpdu和環(huán)路檢測(cè)報(bào)文通過(guò),block控制,必須先要全局啟動(dòng)mstp,并且配置生成樹(shù)協(xié)議與vlan的對(duì)應(yīng)關(guān)系
Learning:禁止端口的學(xué)習(xí)MAC地址功能的受控方式,不轉(zhuǎn)發(fā)流量,并刪除端口MAC地址
Loopback-detection control-recovery timeout xx
配置環(huán)路檢測(cè)收款方式是否自動(dòng)恢復(fù)的時(shí)間間隔
Show loopback-detection
通過(guò)該命令顯示出端口段環(huán)路檢測(cè)狀態(tài)和檢測(cè)結(jié)果
2. ssh遠(yuǎn)程管理
ssh-server enable
打開(kāi)交換機(jī)的SSH服務(wù)器功能
Ssh-server timeout xx
設(shè)置ssh認(rèn)證超時(shí)時(shí)間
Ssh-server authention-retries
設(shè)置ssh認(rèn)證重試次數(shù)
Ssh-server host-key cre]ate rsa modulus
生成新的ssh服務(wù)器的RSA主機(jī)密鑰對(duì)
3.enable
用于修改從普通用戶進(jìn)入到特殊用戶配置模式的口令
Enable passwd level xx 0 passwd xx
默認(rèn)等級(jí)為15,配置密碼有效防止非法入侵
Exec-timeout
退出特殊用戶配置模式的超時(shí)時(shí)間,默認(rèn)10分鐘
Exec-timeout 6 30 這是設(shè)置為6分30秒
4.storm-control
設(shè)置交換機(jī)的廣播風(fēng)暴抑制功能
Storm-control unicast (單播) pps
broadcast (廣播)
multicast (組播)
5.SNMP配置
Snmp-server enable
打開(kāi)SNMP代理服務(wù)器功能,使用no關(guān)閉
Snmp-server community
設(shè)置交換機(jī)團(tuán)體字符串
Snmp-server community ro 0 public
添加只讀權(quán)限團(tuán)體字符串public
Snmp-server community rw 0 private
添加讀寫權(quán)限團(tuán)體字符串private
Snmp-server enable traps
交換機(jī)若要通過(guò)網(wǎng)管軟件進(jìn)行配置管理,必須先要用該命令
Snmp-server host xx.xx.xx.xx v2c xx
交換機(jī)SNMP的traps的網(wǎng)絡(luò)管理站IPv4
Snmp-server engineid
配置當(dāng)前引擎號(hào)
Snmp-server host
設(shè)置接收traps消息時(shí)使用
Snmp-server securityip
設(shè)置允許訪問(wèn)本交換機(jī)的MNS管理站的安全ipv4
注:
網(wǎng)管系統(tǒng)ip往往指的是被管理網(wǎng)絡(luò)
服務(wù)器地址往往指的是NMS
6.免費(fèi)ARP
免費(fèi)ARP,在交換機(jī)接口配置定時(shí)發(fā)送ARP報(bào)文,或者在全局配置所有接口當(dāng)時(shí)發(fā)送ARP
報(bào)文
Ip gratutions-arp
使能免費(fèi)ARP發(fā)送功能,并設(shè)置免費(fèi)ARP報(bào)文的發(fā)送時(shí)間間隔
Ip gratuitous-arp 300 配置時(shí)間間隔為300s
Show ip gratuitous-arp
顯示免費(fèi)ARP發(fā)送功能的配置信息
對(duì)信息安全管理與評(píng)估賽項(xiàng),CS6200交換機(jī)考過(guò)的命令進(jìn)行階段匯總。
總結(jié)
以上是生活随笔為你收集整理的神州数码交换机CS6200命令(信息安全管理与评估赛项)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Latex三线表格制作及相关问题
- 下一篇: 微博抽奖软件