安全功能命令.doc

目 錄第1章 ACL配置命令11.1 absolute-periodic/periodic11.2 absolute start21.3 access-list(ip extended)21.4 access-list(ip standard)31.5 access-list(mac extended)41.6 access-list(mac-ip extended)51.7 access-list(mac standard)61.8 clear access-group statistic interface71.9 firewall71.10 firewall default81.11 ip access extended81.12 ip access standard81.13 ipv6 access-list91.14 ipv6 access standard101.15 ipv6 access extended101.16 ip|ipv6|mac|mac-ip access-group101.17 mac access extended111.18 mac-ip access extended121.19 permit | deny(ip extended)121.20 permit | deny(ip standard)131.21 permit | deny(ipv6 extended)131.22 permit | deny(ipv6 standard)141.23 permit | deny(mac extended)151.24 permit | deny(mac-ip extended)161.25 show access-lists181.26 show access-group191.27 show firewall201.28 show ipv6 access-lists201.29 show time-range211.30 time-range21第2章 802.1x配置命令232.1 debug dot1x detail232.2 debug dot1x error232.3 debug dot1x fsm242.4 debug dot1x packet242.5 dot1x accept-mac242.6 dot1x eapor enable252.7 dot1x enable252.8 dot1x ipv6 passthrough262.9 dot1x guest-vlan262.10 dot1x macfilter enable272.11 dot1x max-req272.12 dot1x user free-resource272.13 dot1x max-user macbased282.14 dot1x max-user userbased282.15 dot1x port-control282.16 dot1x port-method292.17 dot1x privateclient enable302.18 dot1x re-authenticate302.19 dot1x re-authentication302.20 dot1x timeout quiet-period312.21 dot1x timeout re-authperiod312.22 dot1x timeout tx-period312.23 dot1x unicast enable322.24 dot1x web authentication enable322.25 dot1x web redirect332.26 dot1x web redirect enable332.27 show dot1x33第3章 端口、VLAN中MAC、IP數(shù)量限制命令363.1 switchport mac-address dynamic maximum363.2 vlan mac-address dynamic maximum363.3 switchport arp dynamic maximum373.4 switchport nd dynamic maximum373.5 ip arp dynamic maximum383.6 ipv6 nd dynamic maximum383.7 mac-address query timeout393.8 show mac-address dynamic count393.9 show arp-dynamic count403.10 show nd-dynamic count403.11 debug switchport mac count413.12 debug switchport arp count413.13 debug switchport nd count413.14 debug vlan mac count423.15 debug ip arp count423.16 debug ipv6 nd count43第4章 AM配置命令444.1 am enable444.2 am port444.3 am ip-pool444.4 am mac-ip-pool454.5 no am all454.6 show am45第5章 安全特性配置命令475.1 dosattack-check srcip-equal-dstip enable475.2 dosattack-check ipv4-first-fragment enable475.3 dosattack-check tcp-flags enable475.4 dosattack-check srcport-equal-dstport enable485.5 dosattack-check tcp-fragment enable485.6 dosattack-check tcp-segment485.7 dosattack-check icmp-attacking enable495.8 dosattack-check icmpV4-size495.9 dosattack-check icmpv6-size49第6章 TACACS+命令516.1 tacacs-server authentication host516.2 tacacs-server key516.3 tacacs-server timeout526.4 debug tacacs-server52第7章 RADIUS配置命令537.1 aaa enable537.2 aaa-accounting enable537.3 aaa-accounting update537.4 debug aaa packet547.5 debug aaa detail attribute547.6 debug aaa detail connection557.7 debug aaa detail event557.8 debug aaa error557.9 radius nas-ipv4567.10 radius nas-ipv6567.11 radius-server accounting host567.12 radius-server authentication host577.13 radius-server dead-time587.14 radius-server key587.15 radius-server retransmit587.16 radius-server timeout597.17 radius-server accounting-interim-update timeout597.18 show aaa authenticated-user607.19 show aaa authenticating-user607.20 show aaa config617.21 show radius count62第8章 SSL配置命令638.1 ip http secure-server638.2 ip http secure-port638.3 ip http secure- ciphersuite638.4 show ip http secure-server status648.5 debug ssl64第9章 IPv6安全RA命令659.1 ipv6 security-ra enable659.2 ipv6 security-ra enable659.3 show ipv6 security-ra659.4 debug ipv6 security-ra66 版權(quán)所有2009，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 65第1章 ACL配置命令1.1 absolute-periodic/periodic命令：no absolute-periodicMonday|Tuesday|Wednesday|Thursday|Friday|Saturday| SundaytoMonday|Tuesday|Wednesday|Thursday|Friday|Saturday| Sunday noperiodicMonday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday|daily| weekdays | weekend to 功能： 定義一周內(nèi)的各種不同要求的時(shí)間范圍，每周都循環(huán)這個(gè)時(shí)間。參數(shù)：Friday Friday(星期五) Monday Monday (星期一) Saturday Saturday (星期六) Sunday Sunday (星期日) Thursday Thursday （星期四） Tuesday Tuesday (星期二) Wednesday Wednesday (星期三) daily Every day of the week （每天） weekdays Monday thru Friday （星期一到星期五） weekend Saturday and Sunday （星期六到星期日） start_time 開(kāi)始時(shí)間點(diǎn)，HH:MM:SS (小時(shí)：分鐘：秒) end_time 結(jié)束時(shí)間點(diǎn)，HH:MM:SS (小時(shí)：分鐘：秒)注：time-range輪詢時(shí)間是1分鐘一次，所以時(shí)間的誤差=1分鐘。命令模式：時(shí)間范圍模式缺省情況：沒(méi)有時(shí)間范圍配置使用指南：周期性的時(shí)間和日期，周期是定義每周的16 和周日的具體時(shí)間段，可以同時(shí)配置多個(gè)周期性時(shí)段，它們之間是“或”的關(guān)系。它的形式是：day1 hh:mm:ss To day2 hh:mm:ss 或者day1+day2+day3+day4+day5+day6+day7|weekend|weekdays|daily hh:mm:ss To hh:mm:ss舉例：使能在Tuesday到Saturday內(nèi)的9:15:30到12:30:00時(shí)間段內(nèi)配置生效Switch(config)#time-range dc_timerSwitch(Config-Time-Range-dc_timer)#absolute-periodic tuesday 9:15:30 to saturday 12:30:00使能在Monday、Wednesday、Friday和Sunday四天內(nèi)的14:30:00到16:45:00時(shí)間段配置生效Switch (Config-Time-Range-dc_timer)#periodic monday wednesday friday sunday 14:30:00 to 16:45:001.2 absolute start命令：noabsolute start end 功能：定義一個(gè)絕對(duì)時(shí)間段,這個(gè)時(shí)間段是根據(jù)本設(shè)備的時(shí)鐘運(yùn)行。 參數(shù)：start_time ：開(kāi)始時(shí)間點(diǎn)，HH:MM:SS (小時(shí)：分鐘：秒) end_time ：結(jié)束時(shí)間點(diǎn)，HH:MM:SS (小時(shí)：分鐘：秒) start_data ：開(kāi)始日期，格式是，YYYY.MM.DD（年.月.日） end_data ：結(jié)束日期，格式是，YYYY.MM.DD（年.月.日）注：time-range輪詢時(shí)間是1分鐘一次，所以時(shí)間的誤差=1分鐘。命令模式：時(shí)間范圍模式缺省情況：沒(méi)有時(shí)間范圍配置使用指南：絕對(duì)時(shí)間及日期，指定具體開(kāi)始的年，月，日，小時(shí)，分鐘，不能配置多個(gè)絕對(duì)時(shí)間及日期，重復(fù)配置時(shí)，后配置的覆蓋以前配置的絕對(duì)時(shí)間及日期。1.3 access-list(ip extended)命令：access-list deny | permit icmp | any-source | host-source | any-destination | host-destination precedence tos time-rangeaccess-list deny | permit igmp | any-source | host-source | any-destination | host-destination precedence tos time-rangeaccess-list deny | permit tcp | any-source | host-source s-port | range | any-destination | host-destination d-port | range ack+ fin+ psh+ rst+ urg+ syn precedence tos time-range access-list deny | permit udp | any-source | host-source s-port | range | any-destination | host-destination d-port | range precedence tos time-range access-list deny | permit eigrp | gre | igrp | ipinip | ip | ospf | | any-source | host-source | any-destination | host-destination precedence tos time-range no access-list 功能：創(chuàng)建一條匹配特定IP協(xié)議或所有IP協(xié)議的數(shù)字?jǐn)U展IP訪問(wèn)列表，如果已有此訪問(wèn)列表，則增加一條rule表項(xiàng)；本命令的no操作為刪除一條數(shù)字?jǐn)U展IP訪問(wèn)列表。 參數(shù)： 為訪問(wèn)表標(biāo)號(hào)，100-299；為ip上層協(xié)議號(hào)，0-255；為源IP地址，格式為點(diǎn)分十進(jìn)制；為源IP的反掩碼，格式為點(diǎn)分十進(jìn)制；為目的IP地址，格式為點(diǎn)分十進(jìn)制；為目的IP的反掩碼，格式為點(diǎn)分十進(jìn)制，關(guān)心的位置0，忽略的位置1；，igmp的類型， 0-15；，icmp的類型，0-255 ；，icmp的協(xié)議編號(hào)， 0-255；，IP優(yōu)先級(jí)，0-7；，tos值，0-15； ， 源端口號(hào)，0-65535； ， 源端口范圍下邊界； ， 源端口范圍上邊界； ， 目的端口號(hào)，0-65535； ， 目的端口范圍下邊界； ， 目的端口范圍上邊界； ， 時(shí)間范圍名稱。命令模式：全局配置模式 缺省情況：沒(méi)有配置任何的訪問(wèn)列表。使用指南：當(dāng)用戶第一次指定特定時(shí)，創(chuàng)建此編號(hào)的ACL，之后在此ACL中添加表項(xiàng)；標(biāo)號(hào)為200-299訪問(wèn)列表可以配置非連續(xù)IP地址反掩碼。代表IGMP報(bào)文的類型，常用的取值可參照以下的說(shuō)明：17(0x11)：IGMP QUERY報(bào)文18(0x12)：IGMP V1 REPORT報(bào)文22(0x16)：IGMP V2 REPORT報(bào)文23(0x17)：IGMP V2 LEAVE報(bào)文34(0x22)：IGMP V3 REPORT報(bào)文19(0x13)：DVMRP報(bào)文20(0x14)：PIM V1報(bào)文特別提示：這里所指的報(bào)文類型是指不含有IP OPTION情況下的報(bào)文類型，在通常情況下，IGMP報(bào)文是包含有OPTION字段的，這樣的設(shè)置對(duì)這種報(bào)文沒(méi)有作用。如果希望對(duì)包含OPTION的報(bào)文進(jìn)行配置，請(qǐng)直接使用配置OFFSET的方式進(jìn)行。舉例：創(chuàng)建編號(hào)為110的數(shù)字?jǐn)U展訪問(wèn)列表。拒絕icmp報(bào)文通過(guò)，允許目的地址為目的端口為32的udp包通過(guò)。Switch(config)#access-list 110 deny icmp any-source any-destinationSwitch(config)#access-list 110 permit udp any-source host-destination d-port 321.4 access-list(ip standard)命令：access-list deny | permit | any-source | host-source no access-list 功能：創(chuàng)建一條數(shù)字標(biāo)準(zhǔn)IP訪問(wèn)列表，如果已有此訪問(wèn)列表，則增加一條rule表項(xiàng)；本命令的no操作為刪除一條數(shù)字標(biāo)準(zhǔn)IP訪問(wèn)列表。參數(shù)：為訪問(wèn)表標(biāo)號(hào)，1-99；為源IP地址，格式為點(diǎn)分十進(jìn)制；為源IP的反掩碼，格式為點(diǎn)分十進(jìn)制。命令模式：全局配置模式缺省情況：沒(méi)有配置任何的訪問(wèn)列表。使用指南：當(dāng)用戶第一次指定特定時(shí)，創(chuàng)建此編號(hào)的ACL，之后在此ACL中添加表項(xiàng)。舉例：創(chuàng)建一條編號(hào)為20的數(shù)字標(biāo)準(zhǔn)IP訪問(wèn)列表，允許源地址為/24的數(shù)據(jù)包通過(guò)，拒絕其余源地址為/16的數(shù)據(jù)包通過(guò)。Switch(config)#access-list 20 permit 55Switch(config)#access-list 20 deny 551.5 access-list(mac extended)命令：access-listdeny|permitany-source-mac | host-source-mac |any-destination-mac|host-destination-mac| untagged-eth2|tagged-eth2| untagged-802-3 |tagged-802-3 no access-list 功能：定義一條擴(kuò)展數(shù)字MAC ACL規(guī)則，No命令刪除一個(gè)擴(kuò)展數(shù)字MAC訪問(wèn)表規(guī)則參數(shù)：訪問(wèn)表號(hào)，這是一個(gè)從11001199的十進(jìn)制號(hào)；deny 如果規(guī)則匹配，拒絕訪問(wèn)；permit 如果規(guī)則匹配，允許訪問(wèn)；任何源地址； 任何目的地址； ，源MAC地址 ；源MAC地址的掩碼(反掩碼)； ， 目的MAC地址； 目的MAC地址的掩碼(反掩碼)； untagged-eth2 未標(biāo)記的ethernet II包格式； tagged-eth2 標(biāo)記的ethernet II包格式；untagged-802-3 未標(biāo)記的ethernet 802.3包格式； tagged-802-3 標(biāo)記的ethernet 802.3包格式。 Offset(x) 從包頭開(kāi)始起的偏移量，范圍為（12-79），窗口必須從源MAC后面開(kāi)始，從前至后依次配置，并且窗口之間不可重疊，也就是要求： Offset(x1) 必須大于或等于Offset(x)len（x）； Length(x) 長(zhǎng)度為1-4 ,而且 Offset(x)Length(x) 必須不大于80（當(dāng)前必須不大于64）； Value(x) 16進(jìn)制數(shù)表示，取值范圍：當(dāng) Length(x) =1 為0-ff , 當(dāng) Length(x) =2為0-ffff , 當(dāng) Length(x) =3為0-ffffff , 當(dāng) Length(x) =4為0-ffffffff ；對(duì)于 Offset(x)，對(duì)不同的數(shù)據(jù)幀類型，它的取值范圍不同： 對(duì)untagged-eth2類型幀： 對(duì)untagged-802.3類型幀： 對(duì)tagged-eth2類型幀： 對(duì)tagged-802.3類型幀：命令模式：全局配置配置模式缺省配置：沒(méi)有配置任何的訪問(wèn)列表使用指南：當(dāng)用戶第一次指定特定時(shí)，創(chuàng)建此編號(hào)的ACL，之后在此ACL中添加表項(xiàng)。舉例：允許任意源MAC地址任意目的MAC地址的tagged-eth2，且其第17 18個(gè)字節(jié)分別為0x08 ，0x0的包通過(guò)。Switch(config)#access-list 1100 permit any-source-mac any-destination-mac tagged-eth2 16 2 08001.6 access-list(mac-ip extended)命令：access-listdeny|permitany-source-mac| host-source-mac| any-destination-mac|host-destination-mac |icmp |any-source|host-source |any-destination| host-destination precedence tos time-rangeaccess-listdeny|permitany-source-mac| host-source-mac| any-destination-mac|host-destination-mac |igmp |any-source|host-source |any-destination| host-destination precedence tos time-rangeaccess-list deny|permitany-source-mac| host-source-mac | any-destination-mac| host-destination-mac | tcp |any-source| host-source s-port | range | any-destination | host-destination d-port | range ack+fin+psh+rst+urg+syn precedence tos time-range access-list deny|permitany-source-mac| host-source-mac | any-destination-mac| host-destination-mac | udp |any-source| host-source s-port | range |any-destination| host-destination d-port | range precedence tos time-range access-list deny|permitany-source-mac| host-source-mac | any-destination-mac|host-destination-mac | eigrp|gre|igrp|ip|ipinip|ospf| |any-source|host-source |any-destination| host-destination precedence tos time-range 功能：定義一條擴(kuò)展數(shù)字MAC-IP ACL規(guī)則，No命令刪除一個(gè)擴(kuò)展數(shù)字MAC-IP ACL訪問(wèn)表規(guī)則參數(shù)：num 訪問(wèn)表號(hào)。這是一個(gè)從31003299的十進(jìn)制號(hào)；deny 如果規(guī)則匹配，拒絕訪問(wèn)；permit 如果規(guī)則匹配，允許訪問(wèn)；any-source-mac任何源MAC地址；any-destination-mac任何目的MAC地址；host_smac ，smac源MAC地址；smac-mask源MAC地址的掩碼(反掩碼)；host_dmac ，dmac 目的MAC地址；dmac-mask 目的MAC地址的掩碼(反掩碼)；protocol 名字或IP協(xié)議的號(hào)。它可以是關(guān)鍵字 eigrp, gre, icmp, igmp, igrp, ip, ipinip, ospf, tcp, or udp, 也可以是表IP協(xié)議號(hào)的0到255的一個(gè)整數(shù)。為了匹配任何Internet協(xié)議（包括ICMP，TCP和UDP）使用關(guān)鍵字ip；source-host-ip, source包發(fā)送的源網(wǎng)絡(luò)或源主機(jī)號(hào)。32位二進(jìn)制數(shù)，點(diǎn)分十進(jìn)制表示；host-source 表示地址是源主機(jī)IP地址，否則是網(wǎng)絡(luò)IP地址；source-wildcard 源IP的掩碼。用四個(gè)點(diǎn)隔開(kāi)的十進(jìn)制數(shù)表示的32位二進(jìn)制數(shù)，反掩碼；destination-host-ip，destination包發(fā)送時(shí)要去往的目的網(wǎng)絡(luò)或主機(jī)號(hào)。32位二進(jìn)制數(shù)，點(diǎn)分十進(jìn)制表示；host-source 表示地址是目的主機(jī)IP地址，否則是網(wǎng)絡(luò)IP地址；destination-wildcard 目的IP的掩碼。用四個(gè)點(diǎn)隔開(kāi)的十進(jìn)制數(shù)表示的32位二進(jìn)制數(shù)，反掩碼； s-port (可選) 表示要匹配TCP/UDP源端口； port1 (可選) TCP/UDP源端口號(hào)值，端口號(hào)是一個(gè)0到65535的數(shù)字； ， 源端口范圍下邊界； ， 源端口范圍上邊界； d-port (可選)表示要匹配TCP/UDP目的端口； port3 (可選)TCP/UDP目的端口號(hào)值，端口號(hào)是一個(gè)0到65535的數(shù)字； ， 目的端口范圍下邊界； ， 目的端口范圍上邊界； ack fin psh rst urg syn， (可選) 只對(duì)TCP協(xié)議，可選多個(gè)標(biāo)志位，當(dāng)TCP數(shù)據(jù)報(bào)ack fin psh rst urg syn的相應(yīng)位設(shè)置時(shí)，即初始化TCP數(shù)據(jù)報(bào)以形成一個(gè)連接時(shí)出現(xiàn)匹配；precedence (可選) 包可由優(yōu)先級(jí)過(guò)濾， 為0到7的數(shù)字；tos (可選)包可由服務(wù)級(jí)類型過(guò)濾，為0到15的數(shù)字；icmp-type (可選) ICMP包可由ICMP報(bào)文類型過(guò)濾。類型是數(shù)字0到255；icmp-code (可選) ICMP包可由ICMP報(bào)文碼過(guò)濾。該代碼是數(shù)字0到255；igmp-type (可選) IGMP包可由IGMP報(bào)文類型或報(bào)文名過(guò)濾。類型是數(shù)字0到15； 時(shí)間范圍名稱。命令模式：全局配置模式 缺省情況：沒(méi)有配置任何的訪問(wèn)列表。使用指南：當(dāng)用戶第一次指定特定時(shí)，創(chuàng)建此編號(hào)的ACL，之后在此ACL中添加表項(xiàng)；標(biāo)號(hào)為3200-3299訪問(wèn)列表可以配置非連續(xù)IP地址反掩碼。舉例：允許源MAC為00-12-34-45-XX-XX，任意目的MAC地址，源IP地址為： 55，任意目的IP地址，且源端口是100，目的端口是40000的TCP報(bào)文通過(guò)Switch(config)# access-list 3199 permit 00-12-34-45-67-00 00-00-00-00-FF-FF any-destination-mac tcp 55 s-port 100 any-destination d-port 400001.7 access-list(mac standard)命令：access-list deny|permit any-source-mac | host-source-mac | no access-list 功能：定義一條標(biāo)準(zhǔn)數(shù)字MAC ACL規(guī)則，No命令刪除一個(gè)標(biāo)準(zhǔn)數(shù)字 MAC訪問(wèn)表規(guī)則參數(shù)：訪問(wèn)表號(hào)，這是一個(gè)從700到799的十進(jìn)制號(hào)；deny 如果規(guī)則匹配，拒絕訪問(wèn)；permit 如果規(guī)則匹配，允許訪問(wèn)；， 源MAC地址；源MAC地址的掩碼（反掩碼）命令模式：全局配置模式缺省情況：沒(méi)有配置任何的訪問(wèn)列表。使用指南：當(dāng)用戶第一次指定特定時(shí)，創(chuàng)建此編號(hào)的ACL，之后在此ACL中添加表項(xiàng)。舉例：允許源MAC地址為00-00-XX-XX-00-01的數(shù)據(jù)包通過(guò)，拒絕源地址為00-00-00-XX-00-ab的數(shù)據(jù)包通過(guò)。Switch(config)# access-list 700 permit 00-00-00-00-00-01 00-00-FF-FF-00-00Switch(config)# access-list 700 deny 00-00-00-00-00-ab 00-00-00-FF-00-001.8 clear access-group statistic interface命令： clear access-group statistic interface | ethernet 功能： 清空指定接口的包過(guò)濾統(tǒng)計(jì)信息。參數(shù)： ：接口名稱。命令模式： 特權(quán)用戶模式。缺省情況： 無(wú)。舉例：清空1/1接口的包過(guò)濾統(tǒng)計(jì)信息。Switch#clear access-group statistic interface ethernet 1/11.9 firewall命令：firewall enable | disable功能：允許防火墻起作用或禁止防火墻起作用。參數(shù)：enable表示允許防火墻起作用；disable表示禁止防火墻起作用。缺省情況：缺省為防火墻不起作用。命令模式：全局配置模式。使用指南：在允許和禁止防火墻時(shí)，都可以設(shè)置訪問(wèn)規(guī)則。但只有在防火墻起作用時(shí)才可以將規(guī)則應(yīng)用至特定端口。使防火墻不起作用后將刪除端口上綁定的所有ACL。舉例：允許防火墻起作用。Switch(config)#firewall enable1.10 firewall default命令：firewall default permit | deny ipv4 | ipv6 | all功能：設(shè)置防火墻默認(rèn)動(dòng)作。參數(shù)：permit 表示允許任何類型的報(bào)文通過(guò)； deny ipv4 | ipv6 | all 表示禁止ipv4|ipv6任何類型報(bào)文通過(guò)。如果設(shè)置了default deny *，可以通過(guò)default permit來(lái)取消。 命令模式：全局配置模式缺省情況：缺省動(dòng)作為permit。使用指南：此命令只影響端口入口方向的所有數(shù)據(jù)包。舉例：設(shè)置防火墻默認(rèn)動(dòng)作為允許數(shù)據(jù)包通過(guò)。Switch(config)#firewall default permit1.11 ip access extended命令：ip access extended no ip access extended 功能：創(chuàng)建一條命名擴(kuò)展IP訪問(wèn)列表；本命令的no操作為刪除此命名擴(kuò)展IP訪問(wèn)列表（包含所有表項(xiàng)）。參數(shù)：為訪問(wèn)表標(biāo)名，字符串長(zhǎng)度為1-32，不允許為純數(shù)字序列。命令模式：全局配置模式 缺省情況：沒(méi)有配置任何的訪問(wèn)列表。使用指南：第一次調(diào)用此命令后，只是創(chuàng)建一個(gè)空的命名訪問(wèn)列表，其中不包含任何表項(xiàng)。舉例：創(chuàng)建一條名為tcpFlow的命名擴(kuò)展IP訪問(wèn)列表。Switch(config)#ip access-list extended tcpFlow1.12 ip access standard命令：ip access standard no ip access standard 功能：創(chuàng)建一條命名標(biāo)準(zhǔn)IP訪問(wèn)列表；本命令的no操作為刪除此命名標(biāo)準(zhǔn)IP訪問(wèn)列表（包含所有表項(xiàng)）。參數(shù)：為訪問(wèn)表標(biāo)名，字符串長(zhǎng)度為1-32，不允許為純數(shù)字序列。命令模式：全局配置模式 缺省情況：沒(méi)有配置任何的訪問(wèn)列表。使用指南：第一次調(diào)用此命令后，只是創(chuàng)建一個(gè)空的命名訪問(wèn)列表，其中不包含任何表項(xiàng)。舉例：創(chuàng)建一條名為ipFlow的命名標(biāo)準(zhǔn)IP訪問(wèn)列表。Switch(config)#ip access-list standard ipFlow1.13 ipv6 access-list 命令： ipv6 access-list deny | permit | any-source | host-source ipv6 access-list deny | permit icmp | any-source | host-source | any-destination | host-destination dscp flow-label time-range ipv6 access-list deny | permit tcp sIP