神州数码交换机CS6200命令(信息安全管理与评估赛项)
CS6200命令(一)
1.端口鏡像
Monitor session source interface
鏡像源端口沒有限制,如:
Monitor session 1 source int eth1/0/1-4 rx
不指定默認為缺省both
Monitor seeion source access-list
使用此命令必須保證已經創建好ACL,如:
Monitor session 1 source int 1/0/6 access-lit 120 rx
Monitor session destination interface
支持4個鏡像目的端口,不可以選擇端口聚合,如:
Monitor session 1 destination int eth1/0/7
Show monitor
顯示所有鏡像session的鏡像源、目的端口信息
2.端口操作命令
Clear port-security
特權模式:
Clear port-security all 端口清除所有安全MAC
Show port-security
顯示端口安全地址
Switchport port-security
用來配置端口port-security功能,No關閉
Port-security、private-vlan、mac-notifition、mac-limit都要先開啟mac軟學習功能:mac-address-learing cpu-control
Switchport port-security aging {static | time | type}
Static --端口上配置的MAC地址
Time --端口地MAC老化時間
Type --absolute,到時間全部從mac表移除,inactivity有流量的保留
端口配置安全MAC老化時間為10s
Switchport port-security aging time 10
Switchport port-security mac-address
Max數量要大于指定的mac數量,否則會出現違規情況
Switchport port-security mac-address xx-xx-xx-xx-xx-xx
Sticky,sticky作用是靜態記下端口的mac地址,max=3,那么交換機口會主動記下最先就插入設備的mac地址,不可以超過最大值
Switchport port-security maximum
配置端口安全mac的最大數量:
Swichport port-security maximum 100
Switchport port-security violation
當超過設置的最大值,會違反MAC地址安全
Protect模式:保護模式,不學習新的mac,丟棄數據包不告警
Restrict模式:限制模式,不學習新的mac,丟棄數據包,發送snmp trap,
在syslog日志記錄
Shutdown模式:關閉模式,默認模式,端口立即關閉,發送snmp trap,
在日志記錄
3.AM(Access Management-訪問管理)
作用:網絡管理員可以將合法用戶MAC-IP地址綁定到指定端口,只有這些用戶發出的報文才可能通過該端口轉發
am enable
全局模式下啟用AM功能,no關閉
am port
端口默認關閉,開啟am功能
am ip-pool
設置端口訪問管理ip地址段最大不得超過32,例如:
am ip-pool 10.10.10.1 10
am mac-ip-pool
設置端口訪問管理的MAC-IP地址
在交換機端口配置允許源mac地址為xx-xx-xx-xx-xx-xx,且ip為10.10.10.1的地址進行轉發
am mac-ip-pool xx-xx-xx-xx-xx-xx 10.10.10.1
no am all
刪除ip-pool和mac-ip-pool設置
Show am
查看am入口表項
4.防ARP掃描
基于端口
規定時間,接收到ARP報文數量超過設定閾值,down掉端口
基于ip
規定時間,某ip接收到ARP報文數量超過設定閾值,禁用ip而不是端口
Anti-arpscan enable
全局啟用防ARP掃描功能,使用telnet等手段需把上聯端口設置為超級信任端口,
默認非信任
Anti-arpscan port-based threshold
設置基于端口的防ARP掃描閾值,單位為個/秒,如:
Anti-arpscan port-based threshold 10
Anti-arpscan ip-based threshod
設置基于ip的防ARP掃描閾值
Anti-arpscan ip-based threshold 6
Anti-arpscan trust
設置信任端口或超級信任端口,信任端口ARP不對此進行限制
Anti-arpscan trust port
Anti-arpscan trust ip
設置某ip為信任ip,如果被禁掉則立即恢復,如:
Anti-arpscn trust ip
Anti-arpscan recovery enable
啟動自動恢復功能,被禁端口或ip超過一段時間自動恢復正常
Anti-arpscan recovery time
配置自動恢復時間,如:
Anti-arpscan recovery time 3600
Anti-arpscan log enable
啟用防ARP掃描日志功能
Anti-arpscan trap enable
啟動防ARP掃描的SNMP TRAP功能,網關軟件可以收到
Show anti-arpscan
查看配置如:
Show anti-arpscan trust port
5.radius配置命令
aaa enable
打開交換機AAA功能
aaa-accontig enable
交換機開啟AAA計費功能
aaa-accounting update
交換機AAA計費更新功能
Radius-server accounting host
設置radius計費服務器,如:
Radius-server accounting host xx.xx.xx.xx
Radius-server authention host
設置radius認證服務器,如:
Radius-server authention host xx.xx.xx.xx
Radius-server key
設置RADIUS服務器的鑰匙字符串,如:
Radius-server key 0 test
Radius-server retransmit
設置RADIUS服務器重傳次數,默認為3次,如:
Radius-server retransmit 5
Radius-server timeout
設置RADIUS服務器超市定時器值,如
Radius-server timeout 30
Radius-server accounting-interim-update timeout
設置計費更新報文發送的時間間隔;默認300s
Radius-server dead-time
設置RADIUS服務器死機后的恢復時間為3分鐘
Radius-server dead-time 3
Show aaa authenticated-user
顯示已經通過認證的在線用戶
Show aaa authenticating-user
顯示正在進行認證的用戶
Show aaa config
顯示交換機是否打開aaa認證、計費功能,及密鑰,認證、計費服務器的信息
CS6200命令(二)
1.基于流的重定向
QOS(Quality of Servcie)-服務品質保障,不產生新的帶寬而是根據需求控制帶寬
簡易配置順序:
1.配置分類表(class map)
對數據建立一個分類規則
2.配置策略表(policy map)
對數據建立一個策略表,關聯分類表
3.將Qos應用到端口或者vlan
策略綁定到具體端口才可生效
Class map
建立class-map
Policy map
建立policy-map
舉例:
在端口eth1/0/4,將網段192.168.10.0報文帶寬限制為10M bit/s,突發值設為5
Bit/s,超過該數值報文一律丟棄
2.DHCP配置命令
(1)DHCP基本配置
Show ip dhcp binding
查看IP地址與相應的DHCP客戶機硬件地址綁定信息,無特殊原因租期不到不會自動解除,
Clear ip dhcp binding
與show對應,可以刪除自動綁定記錄,DHCP地址池中所有地址都會重新分配
此時再次show ip dhcp binding,數據為空
Client-identifier
手工綁定ip,MAC,指定用戶唯一標識,如:
Client-identifier xx-xx-xx-xx-xx-xx
Host xx.xx.xx.xx. (host用來指定對應ip地址)
Hardware-address
手工綁定硬件地址與ip地址
Hardware-address xx-xx-xx-xx-xx-xx
Host xx.xx.xx.xx
ip dhcp excluded-address xx.xx.xx.xx
排除地址池中的不用于動態分配的地址,方便其它用途
Service dhcp
打開DHCP服務器,不開啟地址池設置無法生效
Ip dhcp pool xx
新建地址池
Domain-name xx
為客戶機配置域名
Default-router xx.xx.xx.xx
為DHCP客戶機配置默認網關,最多設置8個地址,最先設置地址優先級最高
Dns-server xx.xx.xx.xx
為DHCP客戶機配置DNS服務器,最多設置8個,按照先后優先級排序同網關
Lease
設置租期時間,單位設置 天 /小時 /分鐘
Network-address
設置地址池可分配的地址范圍,一個地址池只能對應一個網段,如:
Network-address 192.168.1.0 24
Network-address 192.168.1.0 255.255.255.0
Ip dhcp conflict ping-detection enable
打開ping方式沖突檢測功能之前需要先開啟日志功能
Ip dhcp ping packets
timeout
設置ping檢測地址沖突發送ping請求報文的最大個數,如
Ip dhcp ping packets 5
Ip dhcp ping timeout 100
(2)DHCP中繼配置
Ip forward-protocol udp boots
配置DHCP中繼轉發指定該端口UDP廣播報文,boots指的是67 DHCP廣播報文,查看配置的支持廣文報文轉發的協議端口號
Ip helper-address
指定DHCP中繼轉發UDP報文目標地址,目標地址往往是所在設備的對端ip,查看相關配置命令:show ip helper-address
(3)DHCP Snooping配置命令
Ip dhcp snooping enable
開啟DHCP snooping命令,開啟后將監聽所有非信任端口地DHCP Server包
Ip dhcp snooping limit-rate
首先啟動DHCP snooping,設置叫交換機DHCP報文最大轉發速率,范圍0-100pps,缺省100
Ip dhcp snooping trust
設置端口為信任端口,端口上原本的防御動作會自動去除
Ip dhcp snooping action,進接口配置
Ip dhcp snooping action shutdown
端口檢測到偽裝DCHP Server時down掉端口,后面跟recovery可以指定恢復時間
Ip dhcp snooping action blackhole
Ip dhcp snooping action xx
設置防御動作數目限制,防止交換機被攻擊而耗盡系統資源,默認為10
Ip dhcp snooping binding enable
開啟監聽綁定功能,開啟后記錄所有新人端口DHCP Server分配綁定信息,使用之前先開啟bing:ip dhcp binding enable
Ip dhcp snooping bingding user-control,進接口配置
開啟后DHCP snooping將把捕獲的綁定信息直接作為信任用戶允許訪問所有資源
(4)DHCP option 43命令
Option 43 ascii xx
在ip dhcp pool模式下配置option 43字符串
Option 43 hex xx
在ip dhcp pool模式下配置option 43十六進制格式
Option 43 hex 0104XXXXXXXX
3.安全特性配置
DoS(Denial of Service)的縮寫,意味拒絕服務
(1) 防IP Spoofing攻擊,
Dosattack-check srcip-equal-dstip enable
開啟檢查ip源地址等于目的地址的功能
(2)防TCP非法標志攻擊功能配置
Dosattack-check tcp-flags enable
開啟檢查TCP標志功能
Dosattack-check ipv4-first-fragment enable
開啟檢查IPv4分片功能,單獨使用無作用
(3)防端口欺騙功能
Dosattack-check srcport-equal-dstport enable
開啟防端口欺騙功能
Dosattack-check ipv4-first-fragement enable
開啟檢查IPv4分片功能,單獨使用無效
(4)防TCP碎片攻擊配置任務
Dosattack-check tcp-fragment enable
開啟防TCP碎片攻擊功能
Dosattack-check tcp-segment
設置允許通過的最小TCP報文段長度
(5)防ICMP碎片攻擊功能配置
Dosattack-check icmp-attacking enable
開啟ICMP碎片攻擊功能
Dosattack-check icmpV4-size xx
設置允許通過的最大ICMPv4凈荷長度,單獨使用無作用
4.SSL配置
Ssl-安全通信協議
Ssl只在TCP上運行不可以在UDP或IP上運行
Ip http secure-server
啟動SSL功能
Ip http secure-port
啟動SSL使用的端口號
Ip http secure-ciphersuite
啟動SSL使用的加密套件
Show ip http secure-server status
顯示配置ssl信息
?CS6200命令(三)
1. Loopback-detection 端口環路檢測
Loopback-detection interval-time xx xx
設置恢復環路檢測的時間間隔
Loopback-detection specified-vlan xx
進入接口,啟動端口環路檢測功能
Loopback-detection control
進入接口,打開端口環路控制方式,共有三種方式
Shutdown:發現端口環路將該端口down掉
Block:發現端口環路將端口阻塞掉,只允許bpdu和環路檢測報文通過,block控制,必須先要全局啟動mstp,并且配置生成樹協議與vlan的對應關系
Learning:禁止端口的學習MAC地址功能的受控方式,不轉發流量,并刪除端口MAC地址
Loopback-detection control-recovery timeout xx
配置環路檢測收款方式是否自動恢復的時間間隔
Show loopback-detection
通過該命令顯示出端口段環路檢測狀態和檢測結果
2. ssh遠程管理
ssh-server enable
打開交換機的SSH服務器功能
Ssh-server timeout xx
設置ssh認證超時時間
Ssh-server authention-retries
設置ssh認證重試次數
Ssh-server host-key cre]ate rsa modulus
生成新的ssh服務器的RSA主機密鑰對
3.enable
用于修改從普通用戶進入到特殊用戶配置模式的口令
Enable passwd level xx 0 passwd xx
默認等級為15,配置密碼有效防止非法入侵
Exec-timeout
退出特殊用戶配置模式的超時時間,默認10分鐘
Exec-timeout 6 30 這是設置為6分30秒
4.storm-control
設置交換機的廣播風暴抑制功能
Storm-control unicast (單播) pps
broadcast (廣播)
multicast (組播)
5.SNMP配置
Snmp-server enable
打開SNMP代理服務器功能,使用no關閉
Snmp-server community
設置交換機團體字符串
Snmp-server community ro 0 public
添加只讀權限團體字符串public
Snmp-server community rw 0 private
添加讀寫權限團體字符串private
Snmp-server enable traps
交換機若要通過網管軟件進行配置管理,必須先要用該命令
Snmp-server host xx.xx.xx.xx v2c xx
交換機SNMP的traps的網絡管理站IPv4
Snmp-server engineid
配置當前引擎號
Snmp-server host
設置接收traps消息時使用
Snmp-server securityip
設置允許訪問本交換機的MNS管理站的安全ipv4
注:
網管系統ip往往指的是被管理網絡
服務器地址往往指的是NMS
6.免費ARP
免費ARP,在交換機接口配置定時發送ARP報文,或者在全局配置所有接口當時發送ARP
報文
Ip gratutions-arp
使能免費ARP發送功能,并設置免費ARP報文的發送時間間隔
Ip gratuitous-arp 300 配置時間間隔為300s
Show ip gratuitous-arp
顯示免費ARP發送功能的配置信息
對信息安全管理與評估賽項,CS6200交換機考過的命令進行階段匯總。
總結
以上是生活随笔為你收集整理的神州数码交换机CS6200命令(信息安全管理与评估赛项)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Latex三线表格制作及相关问题
- 下一篇: 微博抽奖软件