CS6200命令（一）

1.端口鏡像

Monitor session source interface

鏡像源端口沒有限制，如：

Monitor session 1 source int eth1/0/1-4 rx

不指定默認為缺省both

Monitor seeion source access-list

使用此命令必須保證已經創建好ACL，如:

Monitor session 1 source int 1/0/6 access-lit 120 rx

Monitor session destination interface

支持4個鏡像目的端口，不可以選擇端口聚合，如：

Monitor session 1 destination int eth1/0/7

Show monitor

顯示所有鏡像session的鏡像源、目的端口信息

2.端口操作命令

Clear port-security

特權模式:

Clear port-security all 端口清除所有安全MAC

Show port-security

顯示端口安全地址

Switchport port-security

用來配置端口port-security功能，No關閉

Port-security、private-vlan、mac-notifition、mac-limit都要先開啟mac軟學習功能：mac-address-learing cpu-control

Switchport port-security aging {static | time | type}

Static --端口上配置的MAC地址

Time --端口地MAC老化時間

Type --absolute，到時間全部從mac表移除，inactivity有流量的保留

端口配置安全MAC老化時間為10s

Switchport port-security aging time 10

Switchport port-security mac-address

Max數量要大于指定的mac數量，否則會出現違規情況

Switchport port-security mac-address xx-xx-xx-xx-xx-xx

Sticky，sticky作用是靜態記下端口的mac地址，max=3，那么交換機口會主動記下最先就插入設備的mac地址，不可以超過最大值

Switchport port-security maximum

配置端口安全mac的最大數量：

Swichport port-security maximum 100

Switchport port-security violation

當超過設置的最大值，會違反MAC地址安全

Protect模式：保護模式，不學習新的mac，丟棄數據包不告警

Restrict模式：限制模式，不學習新的mac，丟棄數據包，發送snmp trap，

在syslog日志記錄

Shutdown模式：關閉模式，默認模式，端口立即關閉，發送snmp trap，

在日志記錄

3.AM(Access Management-訪問管理)

作用：網絡管理員可以將合法用戶MAC-IP地址綁定到指定端口，只有這些用戶發出的報文才可能通過該端口轉發

am enable

全局模式下啟用AM功能，no關閉

am port

端口默認關閉，開啟am功能

am ip-pool

設置端口訪問管理ip地址段最大不得超過32,例如：

am ip-pool 10.10.10.1 10

am mac-ip-pool

設置端口訪問管理的MAC-IP地址

在交換機端口配置允許源mac地址為xx-xx-xx-xx-xx-xx,且ip為10.10.10.1的地址進行轉發

am mac-ip-pool xx-xx-xx-xx-xx-xx 10.10.10.1

no am all

刪除ip-pool和mac-ip-pool設置

Show am

查看am入口表項

4.防ARP掃描

基于端口

規定時間，接收到ARP報文數量超過設定閾值，down掉端口

基于ip

規定時間，某ip接收到ARP報文數量超過設定閾值，禁用ip而不是端口

Anti-arpscan enable

全局啟用防ARP掃描功能，使用telnet等手段需把上聯端口設置為超級信任端口，

默認非信任

Anti-arpscan port-based threshold

設置基于端口的防ARP掃描閾值，單位為個/秒，如：

Anti-arpscan port-based threshold 10

Anti-arpscan ip-based threshod

設置基于ip的防ARP掃描閾值

Anti-arpscan ip-based threshold 6

Anti-arpscan trust

設置信任端口或超級信任端口，信任端口ARP不對此進行限制

Anti-arpscan trust port

Anti-arpscan trust ip

設置某ip為信任ip，如果被禁掉則立即恢復，如：

Anti-arpscn trust ip

Anti-arpscan recovery enable

啟動自動恢復功能，被禁端口或ip超過一段時間自動恢復正常

Anti-arpscan recovery time

配置自動恢復時間，如：

Anti-arpscan recovery time 3600

Anti-arpscan log enable

啟用防ARP掃描日志功能

Anti-arpscan trap enable

啟動防ARP掃描的SNMP TRAP功能，網關軟件可以收到

Show anti-arpscan

查看配置如：

Show anti-arpscan trust port

5.radius配置命令

aaa enable

打開交換機AAA功能

aaa-accontig enable

交換機開啟AAA計費功能

aaa-accounting update

交換機AAA計費更新功能

Radius-server accounting host

設置radius計費服務器，如：

Radius-server accounting host xx.xx.xx.xx

Radius-server authention host

設置radius認證服務器，如:

Radius-server authention host xx.xx.xx.xx

Radius-server key

設置RADIUS服務器的鑰匙字符串，如：

Radius-server key 0 test

Radius-server retransmit

設置RADIUS服務器重傳次數，默認為3次，如：

Radius-server retransmit 5

Radius-server timeout

設置RADIUS服務器超市定時器值，如

Radius-server timeout 30

Radius-server accounting-interim-update timeout

設置計費更新報文發送的時間間隔；默認300s

Radius-server dead-time

設置RADIUS服務器死機后的恢復時間為3分鐘

Radius-server dead-time 3

Show aaa authenticated-user

顯示已經通過認證的在線用戶

Show aaa authenticating-user

顯示正在進行認證的用戶

Show aaa config

顯示交換機是否打開aaa認證、計費功能，及密鑰，認證、計費服務器的信息

CS6200命令（二）

1.基于流的重定向

QOS(Quality of Servcie)-服務品質保障，不產生新的帶寬而是根據需求控制帶寬

簡易配置順序：

1.配置分類表(class map)

對數據建立一個分類規則

2.配置策略表(policy map)

對數據建立一個策略表，關聯分類表

3.將Qos應用到端口或者vlan

策略綁定到具體端口才可生效

Class map

建立class-map

Policy map

建立policy-map

舉例：

在端口eth1/0/4，將網段192.168.10.0報文帶寬限制為10M bit/s，突發值設為5

Bit/s,超過該數值報文一律丟棄

2.DHCP配置命令

(1)DHCP基本配置

Show ip dhcp binding

查看IP地址與相應的DHCP客戶機硬件地址綁定信息，無特殊原因租期不到不會自動解除，

Clear ip dhcp binding

與show對應，可以刪除自動綁定記錄，DHCP地址池中所有地址都會重新分配

此時再次show ip dhcp binding，數據為空

Client-identifier

手工綁定ip，MAC，指定用戶唯一標識，如：

Client-identifier xx-xx-xx-xx-xx-xx

Host xx.xx.xx.xx. (host用來指定對應ip地址)

Hardware-address

手工綁定硬件地址與ip地址

Hardware-address xx-xx-xx-xx-xx-xx

Host xx.xx.xx.xx

ip dhcp excluded-address xx.xx.xx.xx

排除地址池中的不用于動態分配的地址，方便其它用途

Service dhcp

打開DHCP服務器，不開啟地址池設置無法生效

Ip dhcp pool xx

新建地址池

Domain-name xx

為客戶機配置域名

Default-router xx.xx.xx.xx

為DHCP客戶機配置默認網關，最多設置8個地址，最先設置地址優先級最高

Dns-server xx.xx.xx.xx

為DHCP客戶機配置DNS服務器，最多設置8個，按照先后優先級排序同網關

Lease

設置租期時間，單位設置 天 /小時 /分鐘

Network-address

設置地址池可分配的地址范圍，一個地址池只能對應一個網段，如：

Network-address 192.168.1.0 24

Network-address 192.168.1.0 255.255.255.0

Ip dhcp conflict ping-detection enable

打開ping方式沖突檢測功能之前需要先開啟日志功能

Ip dhcp ping packets

timeout

設置ping檢測地址沖突發送ping請求報文的最大個數，如

Ip dhcp ping packets 5

Ip dhcp ping timeout 100

(2)DHCP中繼配置

Ip forward-protocol udp boots

配置DHCP中繼轉發指定該端口UDP廣播報文，boots指的是67 DHCP廣播報文，查看配置的支持廣文報文轉發的協議端口號

Ip helper-address

指定DHCP中繼轉發UDP報文目標地址，目標地址往往是所在設備的對端ip，查看相關配置命令：show ip helper-address

（3）DHCP Snooping配置命令

Ip dhcp snooping enable

開啟DHCP snooping命令，開啟后將監聽所有非信任端口地DHCP Server包

Ip dhcp snooping limit-rate

首先啟動DHCP snooping，設置叫交換機DHCP報文最大轉發速率，范圍0-100pps，缺省100

Ip dhcp snooping trust

設置端口為信任端口，端口上原本的防御動作會自動去除

Ip dhcp snooping action，進接口配置

Ip dhcp snooping action shutdown

端口檢測到偽裝DCHP Server時down掉端口，后面跟recovery可以指定恢復時間

Ip dhcp snooping action blackhole

Ip dhcp snooping action xx

設置防御動作數目限制，防止交換機被攻擊而耗盡系統資源，默認為10

Ip dhcp snooping binding enable

開啟監聽綁定功能，開啟后記錄所有新人端口DHCP Server分配綁定信息，使用之前先開啟bing：ip dhcp binding enable

Ip dhcp snooping bingding user-control，進接口配置

開啟后DHCP snooping將把捕獲的綁定信息直接作為信任用戶允許訪問所有資源

(4)DHCP option 43命令

Option 43 ascii xx

在ip dhcp pool模式下配置option 43字符串

Option 43 hex xx

在ip dhcp pool模式下配置option 43十六進制格式

Option 43 hex 0104XXXXXXXX

3.安全特性配置

DoS(Denial of Service)的縮寫，意味拒絕服務

(1) 防IP Spoofing攻擊，

Dosattack-check srcip-equal-dstip enable

開啟檢查ip源地址等于目的地址的功能

(2)防TCP非法標志攻擊功能配置

Dosattack-check tcp-flags enable

開啟檢查TCP標志功能

Dosattack-check ipv4-first-fragment enable

開啟檢查IPv4分片功能，單獨使用無作用

（3）防端口欺騙功能

Dosattack-check srcport-equal-dstport enable

開啟防端口欺騙功能

Dosattack-check ipv4-first-fragement enable

開啟檢查IPv4分片功能，單獨使用無效

（4）防TCP碎片攻擊配置任務

Dosattack-check tcp-fragment enable

開啟防TCP碎片攻擊功能

Dosattack-check tcp-segment

設置允許通過的最小TCP報文段長度

（5）防ICMP碎片攻擊功能配置

Dosattack-check icmp-attacking enable

開啟ICMP碎片攻擊功能

Dosattack-check icmpV4-size xx

設置允許通過的最大ICMPv4凈荷長度，單獨使用無作用

4.SSL配置

Ssl-安全通信協議

Ssl只在TCP上運行不可以在UDP或IP上運行

Ip http secure-server

啟動SSL功能

Ip http secure-port

啟動SSL使用的端口號

Ip http secure-ciphersuite

啟動SSL使用的加密套件

Show ip http secure-server status

顯示配置ssl信息

?CS6200命令（三）

1. Loopback-detection 端口環路檢測

Loopback-detection interval-time xx xx

設置恢復環路檢測的時間間隔

Loopback-detection specified-vlan xx

進入接口，啟動端口環路檢測功能

Loopback-detection control

進入接口，打開端口環路控制方式，共有三種方式

Shutdown：發現端口環路將該端口down掉

Block：發現端口環路將端口阻塞掉，只允許bpdu和環路檢測報文通過，block控制，必須先要全局啟動mstp，并且配置生成樹協議與vlan的對應關系

Learning：禁止端口的學習MAC地址功能的受控方式，不轉發流量，并刪除端口MAC地址

Loopback-detection control-recovery timeout xx

配置環路檢測收款方式是否自動恢復的時間間隔

Show loopback-detection

通過該命令顯示出端口段環路檢測狀態和檢測結果

2. ssh遠程管理

ssh-server enable

打開交換機的SSH服務器功能

Ssh-server timeout xx

設置ssh認證超時時間

Ssh-server authention-retries

設置ssh認證重試次數

Ssh-server host-key cre]ate rsa modulus

生成新的ssh服務器的RSA主機密鑰對

3.enable

用于修改從普通用戶進入到特殊用戶配置模式的口令

Enable passwd level xx 0 passwd xx

默認等級為15，配置密碼有效防止非法入侵

Exec-timeout

退出特殊用戶配置模式的超時時間，默認10分鐘

Exec-timeout 6 30 這是設置為6分30秒

4.storm-control

設置交換機的廣播風暴抑制功能

Storm-control unicast (單播) pps

broadcast (廣播)

multicast (組播)

5.SNMP配置

Snmp-server enable

打開SNMP代理服務器功能，使用no關閉

Snmp-server community

設置交換機團體字符串

Snmp-server community ro 0 public

添加只讀權限團體字符串public

Snmp-server community rw 0 private

添加讀寫權限團體字符串private

Snmp-server enable traps

交換機若要通過網管軟件進行配置管理，必須先要用該命令

Snmp-server host xx.xx.xx.xx v2c xx

交換機SNMP的traps的網絡管理站IPv4

Snmp-server engineid

配置當前引擎號

Snmp-server host

設置接收traps消息時使用

Snmp-server securityip

設置允許訪問本交換機的MNS管理站的安全ipv4

注：

網管系統ip往往指的是被管理網絡

服務器地址往往指的是NMS

6.免費ARP

免費ARP，在交換機接口配置定時發送ARP報文，或者在全局配置所有接口當時發送ARP

報文

Ip gratutions-arp

使能免費ARP發送功能，并設置免費ARP報文的發送時間間隔

Ip gratuitous-arp 300 配置時間間隔為300s

Show ip gratuitous-arp

顯示免費ARP發送功能的配置信息

對信息安全管理與評估賽項，CS6200交換機考過的命令進行階段匯總。

總結

以上是生活随笔為你收集整理的神州数码交换机CS6200命令（信息安全管理与评估赛项）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。