is2100d操作手冊(cè)命令-安全功能

第1章ACL配置命 1-absolute- 1-absolute 1-access-listdeny- 1- 1- 1-access-list(mac 1-access-list(mac-ip 1-access-list(mac 1- 1- 1-firewall 1-ipaccess 1-ipaccess 1-ipv6access- 1-ipv6access 1-ipv6access 1-{ip|ipv6|mac|mac-ip}access- 1-{ip|ipv6|mac|mac- access-group（接口模式 1-macaccess 1-mac-ipaccess 1-permit|deny(ip 1-permit|deny(ip 1-permit|deny(ipv6 1-permit|deny(ipv6 1-permit|deny(mac 1-permit|deny(mac-ip 1-showaccess- 1- 1-show 17showipv6access- 17showtime- 18time- 18第2章自定義ACL命 1userdefined-access-liststandard 1userdefined-access-listextended 2userdefined-access-list 3userdefined-access-list 4userdefinedaccess- 4 5第3章802.1x配置命 1debugdot1x 1debugdot1x 1debugdot1x 1debugdot1x 2 2dot1xeapor 3dot1x 3dot1xipv6 3dot1xguest- 4dot1xmacfilter 4 5 5dot1xmax- 6dot1xuserallow- 6dot1xuserfree- 6dot1xmax-user 7dot1xmax-user 7dot1xportbasedmodesingle- 7 8dot1xport- 8 9 9 9 10 10dot1xtimeoutre- 10dot1xtimeouttx- 11dot1xunicast 11dot1xwebauthentication 11dot1xwebauthenticationipv6 11dot1xweb 11dot1xwebredirect 12show 12 13user-controllimit 13第4章端口MAC數(shù)量限制命 1debugswitchportmac 1debugvlanmac 1 1showmac-addressdynamic 1 2 2vlanmac-addressdynamic 3第5章AM配置命 1am 1am 1amip- 1ammac-ip- 2noam 2show 2第6章安全特性配置命 1dosattack-checksrcip-equal-dstip 1dosattack-checkipv4-first-fragment 1 1dosattack-checksrcport-equal-dstport 1 2dosattack-checktcp- 2dosattack-checkicmp-attacking 2dosattack-checkicmpV4- 2dosattack-checkicmpv6- 3第7章TACACS+命 1 1 1tacacs-servernas- 2 2 2第8章RADIUS配置命 1aaa 1aaa-accounting 1aaa-accounting 1debugaaa 2debugaaadetail 2debugaaadetail 2debugaaadetail 3debugaaa 3radiusnas- 3radiusnas- 4 4 5radius-serverdead- 5 6 6 6radius-serveraccounting-interim-update 7 7 8showaaa 8 9 9showradius 10第9章SSL配置命 1iphttpsecure- 1iphttpsecure- 1iphttpsecure- 1showiphttpsecure-server 2debug 2第10章IPv6安全RA命 1ipv6security-ra 1ipv6security-ra 1 1 2第11章MAB配置命 1 1clearmac-authentication-bypass 1debugmac-authentication- 1mac-authentication- binding- 2mac-authentication-bypass 2mac-authentication- guest- 2mac-authentication- spoofing-garp- 3mac-authentication-bypasstimeoutlinkup- 3mac-authentication-bypasstimeoutoffline- 11-mac-authentication-bypasstimeoutquiet- 11-mac-authentication-bypasstimeoutreauth- 11-mac-authentication-bypasstimeoutstale- 11-mac-authentication- username- 11-showmac-authentication- 11-第12章PPPoE中間配置命 12-debugpppoeintermediateagentpacket{receive|send} pppoeintermediate- 12- intermediate-agent（端口 12-pppoeintermediate-agentcircuit- 12- 12- 12-pppoeintermediate-agentremote- 12- 12- 12- 12- 12-pppoeintermediate-agenttypetr-101circuit-ididentifier-stringoption 12- 12-showpppoeintermediate-agentidentifier-stringoption 12-第13章WebPortal配置命 13-clearwebportal 13- 13- 13-debugwebportal 13- 2ipdhcpsnoobinding 3show 3 4webportalbinding- 4 5webportalenable(端口 5webportalnas- 6 6第14章VLAN-ACL配置命 1clearvaclstatistic 1showvacl 1vaclipaccess- 2 3vaclmacaccess- 3 3第15章SAVI配置命 1SAVI配置命 1ipv6cps 1ipv6cpsprefixcheck 1ipv6dhcpsnoo 1ipv6ndsnoo 2savicheck 2savi 2saviipv6binding 3saviipv6checksource 3 4saviipv6{dhcp-only|slaac-only|dhcp-slaac} 4 5savimax-dad- 5 5 5 6SAVI和調(diào)試命 615.2.1和調(diào)試信 6第1ACL配置命absolute-命令：[no]absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<start_time>to{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|Sunday}<end_time>weekdays|weekend}<start_time>to<end_time> Monday(星期一) Saturday(星期六) Sunday(星期日) Thursday（星期四） Tuesday(星期二) Everydayoftheweek（每天） MondaythruFriday（星期一到星期五） SaturdayandSunday（星期六到星期日） 開(kāi)始時(shí)間點(diǎn)，HH:MM:SS(小時(shí)：分鐘：秒) 結(jié)束時(shí)間點(diǎn)，HH:MM:SS(小時(shí)：分鐘：秒)

{[day1+day2+day3+day4+day5+day6+day7]|weekend|weekdays|daily}hh:mm:ssToSwitch(Config-Time-Range-admin_timer)#absolute-periodictuesday9:15:30tosaturdaySwitch(Config-Time-Range-admin_timer)#periodicmondaywednesdayfridaysunday14:30:00to16:45:00absolute><>參數(shù)：start_time：開(kāi)始時(shí)間點(diǎn)，HH:MM:SS(小時(shí)：分鐘：秒)start_data：開(kāi)始日期，格式是，YYYY.MM.DD（年.月.日） end_data：結(jié)access-listdeny-命令：access-list<num>{deny|permiticmp<sIpAddr>sMask>|any-source {host-destination<dIpAddr>}}[<icmp-type>[<icmp-code>]][precedence<prec>][tos<tos>][time-range<time-range-name>]access-list<num>{deny|permit}igmp{{<sIpAddr><sMask>}|any-source access-list<num>{deny|permit}tcp{{<sIpAddr><sMask>}|any-source{host-source<sIpAddr>}}[s-port{<sPort>|range<sPortMin><sPortMax>{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[d-{<dPort>|range<dPortMin><dPortMax>}][ack+fin+psh+rst+urg+syn][precedence<prec>][tos<tos>][time-range<time-range-name>]access-list<num>{deny|permit}udp{{<sIpAddr><sMask>}|any-source{host-source<sIpAddr>}}[s-port{<sPort>|range<sPortMin><sPortMax>{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[d-{<dPort>|range<dPortMin><dPortMax>}][precedence<prec>]access-list<num>{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf<protocol-num>}{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>noaccess-list功能：創(chuàng)建一條匹配特定IP協(xié)議或所有IP協(xié)議的數(shù)字?jǐn)U展IP列表，如果已有此參數(shù)：<num>為表標(biāo)號(hào)，100-299；<protocol>為ip上層協(xié)議號(hào)，0-255；<sIpAddr><dIpAddr>為目的IP地址，格式為點(diǎn)分十進(jìn)制；<dMask>為目的IP的反掩碼，格式為點(diǎn)0-7；<tos>，tos值，0-15；<sPort>，源端，0-65535；<sPortMin>，源端口范圍下邊界；<sPortMax>，源端口范圍上邊界；<dPort>，目的端，0-65535；<dPortMin>，目的端口范圍下邊界；<dPortMax，目的端口范圍上邊界<time-range-name>，命令模式：全局配置模缺省情況：沒(méi)有配置任何的列表使用指南：當(dāng)用戶(hù)第一次指定特定<num>時(shí)，創(chuàng)建此編號(hào)ACLACL中添加表項(xiàng)；標(biāo)號(hào)為200-299列表可以配置非連續(xù)IP地址反掩碼。<igmp-type>IGMP報(bào)文的類(lèi)型，常用的取值可參照以下的說(shuō)明17(0x11)：IGMPQUERY報(bào)18(0x12)：IGMPV1REPORT報(bào)22(0x16)：IGMPV2REPORT報(bào)34(0x22)：IGMPV3REPORT報(bào)19(0x13)：DVMRP報(bào)20(0x14)：PIMV1報(bào)IGMP報(bào)文是包含有OPTION字段的，這樣的設(shè)置對(duì)這種報(bào)文沒(méi)有作用。如果希望對(duì)包含OPTION的報(bào)文進(jìn)行配置，請(qǐng)直接使用配置OFFSET的方式進(jìn)行。舉例：創(chuàng)建編號(hào)為110的數(shù)字?jǐn)U展列表。icmp報(bào)文通過(guò)，允許目的地址32udp包通過(guò)Switch(config)#access-list110denyicmpany-sourceany-destinationSwitch(config)#access-list110permitudpany-sourcehost-destinationd-port命令：access-list<num>{deny|permit}{{<sIpAddr><sMask>}|any-source{host-source<sIpAddr>}}功能：創(chuàng)建一條數(shù)字標(biāo)準(zhǔn)IP列表，如果已有此列表，則增加一條rule表項(xiàng)；本命令的no操作為刪除一條數(shù)字標(biāo)準(zhǔn)IP列表。命令模式：全局配置模缺省情況：沒(méi)有配置任何的列表使用指南：當(dāng)用戶(hù)第一次指定特定<num>時(shí)，創(chuàng)建此編號(hào)ACLACL中添加表舉例：創(chuàng)建一條編號(hào)為20的數(shù)字標(biāo)準(zhǔn)IP列表，允許源地址為/24的數(shù)據(jù)包通過(guò)，其余源地址為/16的數(shù)據(jù)包通過(guò)。access-list(macaccess-list<num>{deny|permit}{any-source-mac|{host-source- {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[untagged-eth2|tagged-eth2|untagged-802-3|tagged-802-3]noaccess-list；permit如果規(guī)則匹配，允許；<any-source-mac>任何源地址；<any-destination-mac>任何目的地址；<host_smac<smacMAC<smac-mask>MAC地址的掩碼(反掩碼)<host_dmac>，<dmac>MAC包格式tagged-802-3標(biāo)記ethernet802.3包格式。命令模式：全局配置模缺省配置：沒(méi)有配置任何的列使用指南：當(dāng)用戶(hù)第一次指定特定<num>時(shí)，創(chuàng)建此編號(hào)ACLACL中添加表舉例：允許任意MAC地址任MAC地址tagged-eth2包通過(guò)access-list(mac-ip{host-destination<destination-host-ip>}}[<igmp-type>][precedence<precedence>][tos<tos>][time-range<time-range-name>] {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}tcp{{<source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port{<port1>|range<sPortMin><sPortMax>}]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port{<port3>|range<dPortMin><dPortMax>}][ack+fin+psh+rst+urg+syn] {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port{<port1>| <destination-host-ip>}}[d-port{<port3>|range<dPortMin><dPortMax>}][precedence<precedence>][tos<tos>][time-range<time-range-name>] <dmac-mask>}}{eigrp|gre|igrp|ip|ipinip|ospf|{<protocol-num>}}{{<source-wildcard>}|any-source|{host-source<source-host-ip>}}{{<destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[precedence<precedence>][tos<tos>][time-range<time-range-name>]參數(shù)：num表號(hào)。這是一個(gè)從3100－3299的十進(jìn)制號(hào)；deny如果規(guī)則匹配，；permit如果規(guī)則匹配，允許；any-source-mac任何源MAC地址；smacMAC地址的掩碼(反掩碼)；host_dmac，dmacMAC地址；dmac-mask目的MAC地址的掩碼(反掩碼)protocol名字或IPeigrpgreicmp,igmpigrpipipinipospftcporudp,IP0255的一個(gè)整數(shù)。為了包發(fā)送的源網(wǎng)絡(luò)或源主機(jī)號(hào)。32位二進(jìn)制數(shù)，點(diǎn)分十進(jìn)制表示；host-source表示地址是IPIP地址；source-wildcardIP的掩碼。用四個(gè)點(diǎn)隔開(kāi)的十32位二進(jìn)制數(shù)，反掩碼；destination-host-ip，destination包發(fā)送時(shí)要去往的目的網(wǎng)絡(luò)或主機(jī)號(hào)。32位二進(jìn)制數(shù)，點(diǎn)分十進(jìn)制表示；host-source表示地址是目的IP地址，否則是網(wǎng)絡(luò)IP地址；destination-wildcardIP的掩碼。用四個(gè)點(diǎn)隔開(kāi)32位二進(jìn)制數(shù)，反掩碼；s-port(可選TCP/UDP源端口；port1(可選)TCP/UDP源端值，端是一個(gè)0到65535的數(shù)字；<sPortMin>，源端口范圍下邊界<sPortMax>，源端口范圍上邊界；d-port(可選)表示要TCP/UDP目的端口；port3(可選)TCP/UDP目的端值，端是一個(gè)0到65535的數(shù)字；<dPortMin><dPortMax>[ack][fin][psh][rst][urg][syn]，(可選)TCPTCP數(shù)據(jù)報(bào)[ack][fin][psh][rst][urg][syn]的相應(yīng)位設(shè)置時(shí)即初始化TCP數(shù)據(jù)報(bào)以形成接時(shí)出現(xiàn)匹配；precedence(可選)07的數(shù)字；tos(可選)包可由服務(wù)級(jí)類(lèi)型過(guò)濾，為015的數(shù)字；icmp-type(可選)ICMPICMP報(bào)文類(lèi)型過(guò)濾。類(lèi)型是igmp-type(可選)IGMP包可由IGMP報(bào)文類(lèi)型或報(bào)文名過(guò)濾。類(lèi)型是數(shù)字0到15；<time-range-name時(shí)間范圍名稱(chēng)。項(xiàng)；標(biāo)號(hào)為3200-3299列表可以配置非連續(xù)IP地址反掩碼。55，任意目的IP地址，且源端口是100TCP報(bào)文通過(guò) access-list(macaccess-list<num>{deny|permit}{any-source-mac|{host-source-<host_smac>}|{<smac><smac-mask>}}noaccess-list<num>功能：定義一條標(biāo)準(zhǔn)數(shù)字MACACL規(guī)則，No命令刪除一個(gè)標(biāo)準(zhǔn)數(shù)字MAC表規(guī)則參數(shù)：<num>表號(hào)，這是一個(gè)從700到799的十進(jìn)制號(hào)；deny如果規(guī)則匹配， 源MAC地址 舉例：允許源MAC地址為00-00-XX-XX-00-01的數(shù)據(jù)包通過(guò)，源地址Switch(config)#access-list700permit00-00-00-00-00-0100-00-FF-FF-00-00 [<命令：firewallenable|缺省情況：缺省為不起作用。將規(guī)則應(yīng)用至特定端口。使不起作用后將刪除端口上綁定的所有ACL。firewallipaccess命令：ipaccessextendednoipaccessextended舉例：創(chuàng)建一條名為tcpFlow名擴(kuò)展IP列表。ipaccess命令：ipaccessstandardnoipaccessstandard舉例：創(chuàng)建一條名為ipFlow名標(biāo)準(zhǔn)IP列表。命令：ipv6access-list<num-std>{deny|permit}{<sIPv6Prefix/sPrefixlen>|any-source|{host-source<sIPv6Addr>}}功能：創(chuàng)建一條IPv6數(shù)字標(biāo)準(zhǔn)列表，如果已有此列表，則增加一條rule表項(xiàng)；本命令的no操作為刪除一條數(shù)字標(biāo)準(zhǔn)IPv6列表。參數(shù)：<num-std>為表標(biāo)號(hào)，取值范圍為500～599；<sIPv6Prefix>為源IPv6地<sPrefixlenIPv61～128<sIPv6Addr為源IPv6地址。當(dāng)用戶(hù)第一次以特定<num>aclacl中添加表項(xiàng)。段的數(shù)據(jù)包通過(guò)，其余源地址為2003:1:2::1/48網(wǎng)段的數(shù)據(jù)包通過(guò)。Switch(config)#ipv6access-list520permit2003:1:2:3::1/64Switch(config)#ipv6access-list520deny2003:1:2::1/48ipv6accessnoipv6access-liststandard舉例：創(chuàng)建一條名為ip6Flow名標(biāo)準(zhǔn)IPv6列表。ipv6access{ip|ipv6|mac|mac- access-命令：{ip|ipv6|mac|mac-ipaccess-group<name{in}[traffic-statistic]no{ip|ipv6|mac|mac-ip}access-group<name>{in}上統(tǒng)計(jì)計(jì)數(shù)器；本命令的no操作為刪除綁定在端口上的access-list。參數(shù)：<name>，命名表的名字，字符串長(zhǎng)度 1-32缺省情況：端口沒(méi)有綁定ACL某種情況下，當(dāng)一個(gè)數(shù)據(jù)包匹配四條ACL中的多條時(shí)，ACL的過(guò)濾動(dòng)作（permit，deny）會(huì)發(fā)生?；诮Y(jié)果確定性的考慮，為每一種ACL指定了嚴(yán)格的優(yōu)先級(jí)。當(dāng)過(guò)濾動(dòng)作發(fā)當(dāng)同時(shí)綁定四條ACL且數(shù)據(jù)包同時(shí)匹配其中多條ACL時(shí)，優(yōu)先關(guān)系從高到低如下，IPV6ACLMAC-IPACLMACACLIPACL{ip|ipv6|mac|mac- access-group（接口模式macaccess功能：定義一個(gè)命名方式的MACACL表或進(jìn)入表配置模式，no命令刪除命名方式例：創(chuàng)建一個(gè)名字為mac_acl的MACACL。Switch(config)#mac-access-listextendedmac_aclmac-ipaccess功能：定義一個(gè)命名方式的MAC-IPACL表或進(jìn)入表配置模式，no命令刪除命名方式的ACL表。參數(shù)：name表的名字，不包括空格或引號(hào)，必須用字母字符開(kāi)頭。長(zhǎng)度最大為32舉例：創(chuàng)建一個(gè)名字為macip_acl的MAC-IPACL。Switch(config)#mac-ip-access-listextendedmacip_aclpermit|deny(ip命令：[nodeny|permit}icmp{{<sIpAddr><sMask>}|any-source|host-<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}} [no]{deny|permit}igmp{{<sIpAddr><sMask>}|any-source|{host-<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[<igmp-type>][precedence<prec>][tos<tos>][time-range<time-range-name>][no]{deny|permit}tcp{{<sIpAddr><sMask>}|any-source|{host-<sIpAddr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{{<dMask>}|any-destination|{host-destination<dIpAddr>}}[d-port{<dPort>|range<dPortMin><dPortMax>}][ack+fin+psh+rst+urg+syn][precedence<prec>][tos<tos>][time-range<time-range-name>][no]{deny|permit}udp{{<sIpAddr><sMask>}|any-source|{host-<sIpAddr>}}[s-port{<sPort>|range<sPortMin><sPortMax>}]{{<dMask>}|any-destination|{host-destination<dIpAddr>}}[d-port{<dPort> [no]{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|<protocol-{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}{{<dMask>}|any-destination|{host-destination<dIpAddr>}}[precedence<prec>][tos<tos>][time-range<time-range-name>]參數(shù)：<sIpAddr>為源IP地址，格式為點(diǎn)分十進(jìn)制；<sMask>為源IP的反掩碼，格式為點(diǎn)分十進(jìn)制；<dIpAddr>為目的IP地址，格式為點(diǎn)分十進(jìn)制；<dMask>為目的IP的反掩碼，格式為點(diǎn)分十進(jìn)制，關(guān)心的位0，忽略1；<igmp-type>，igmp的類(lèi)型，0－<pec>IP0－7<tos>tos15<sPor>源端口范圍下邊界；<sPortMax>，源端口范圍上邊界；<dPort>，目的端，0-65535；<dPortMin>，目的端口范圍下邊界；<dPortMax，目的端口范圍上邊界<time-range-name>，時(shí)間范圍名稱(chēng)。命令模式：命名擴(kuò)展IP列表配置模式使用指南：無(wú)32udp包通過(guò)。Switch(Config-Ext-Nacl-udpFlow)#permitudpany-sourcehost-destinationd-port32permit|deny(ip命令：{deny|permit<sIpAddrsMask>|any-source|host-source<sIpAddr>}}no{deny|permit}{{<sIpAddr><sMask>}|any-source|{host-rule（ruleSwitch(config)#ipaccess-liststandardipFlowpermit|deny(ipv6permit|deny(ipv6命令：[no]{deny|permit}{{<sIPv6Prefix/sPrefixlen>}|any-source|{host-（rule（rule圍為1～128。<sIPv6Addr>為源IPv6地址。Switch(config)#ipv6access-liststandardipv6FlowSwitch(Config-Std-Nacl-ipv6Flow)#permit2001:1:2:3::1/64Switch(Config-Std-Nacl-ipv6Flow)#deny2001:1:2:3::1/48permit|deny(mac[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{ <host_dmac>}|{<dmac><dmac-mask>}}[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]][no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{ [no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{ [no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{ <host_dmac>}|{<dmac><dmac-mask>}}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]]][no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{ <host_dmac>}|{<dmac><dmac-mask>}}[tagged-802-3[cos<cos-[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>功能：定義一條擴(kuò)展命名MACACL規(guī)則，No命令刪除一個(gè)擴(kuò)展命名MACACL表規(guī)參數(shù)：any-source-mac：任何MAC地址；any-destination-macMAC地址；host_smacsmacMAC地址smac-maskMAC地址的掩碼反掩碼；host_dmac，dmac目的MAC地址；dmac-mask目的MAC地址的掩碼(反掩碼)；untagged-eth2:ethernetII包格式；tagged-eth2:標(biāo)記ethernetII包格式；::包格式；cos-val:cos值，0-7；cos-bitmask:cos掩碼0-7反掩碼且掩碼比特連續(xù)；vid-value:vlan號(hào)，1-4094；vid-bitmask:vlan掩碼，0-4095，反掩碼且掩碼比特連續(xù)；protocol:特定的以太網(wǎng)協(xié)議號(hào)，1536－65535；protocol-bitmask:協(xié)議掩碼，0－65535，位，例如：一個(gè)字節(jié)的反掩碼形式為 b；正掩碼形式為 。Switch(Config-Mac-Ext-Nacl-macExt)#deny00-12-11-23-00-0000-00-00-00-ff-ffany-destination-macuntagged-802-3Switch(Config-Mac-Ext-Nacl-macExt)#deny00-12-11-23-00-0000-00-00-00-ff-ffanytagged-802permit|deny(mac-ip[no]<destination-host-ip>}}[<icmp-type>[<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>] [no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{ <source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port{<port1>|range<sPortMin><sPortMax>}]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port{<port3>|range<dPortMin><dPortMax>}][ack＋fin＋psh＋rst＋urg＋syn] <source><source- {host-source<source-host-ip>}}[s-port{<port1>|range<sPortMin><sPortMax> <destination-host-ip>}}[d-port{<port3>|range<dPortMin><dPortMax>}][precedence<precedence>][tos<tos>][time-range<time-range-name>] 參數(shù)：num表號(hào)。這是一個(gè)從3100－3199的十進(jìn)制號(hào)；deny如果規(guī)則匹配，；permit如果規(guī)則匹配，允許；any-source-mac：任何源MAC地址；any-destination-mac：任何目的MAC地址；host_smac，smac：源MAC地址；smac-mask：源MAC地址的掩碼(反掩碼)；host_dmac，dmas目的MAC地址；dmac-maskMAC地址的掩碼(反掩碼)；protocolIP協(xié)議的號(hào)。它可以是關(guān)鍵字eigrp,gre,icmp,igmp,igrp,ip,ipinip,ospf,tcporudp,IP0到255的一個(gè)整數(shù)。為了匹配任何Internet協(xié)議（ICMP，TCP和UDP）ip；source-host-ip,source包發(fā)送的源網(wǎng)絡(luò)或源主機(jī)號(hào)。32位二進(jìn)制數(shù)，點(diǎn)分十進(jìn)制表示；host-source:IPIP地址；source-wildcard:IP的掩碼。用四個(gè)點(diǎn)隔開(kāi)的十進(jìn)制數(shù)表示的32位二進(jìn)制數(shù)，反掩碼；destination-host-ip，destination包發(fā)送時(shí)要去往的目的網(wǎng)絡(luò)或主機(jī)號(hào)。32位二進(jìn)制數(shù)，點(diǎn)分十進(jìn)制表示；host-source:IPIP地址；destination-wildcard：IP32位二進(jìn)制數(shù)，反掩碼；s-port(可選)：表示要匹配TCP/UDP源端口；port1(可選):TCP/UDP源端值，端是一個(gè)0到65535<sPortMin><sPortMax>d-port(可選)：表示要匹配TCP/UDP目的端口；port3(可選)：TCP/UDP目的端值，端是一個(gè)0到65535的數(shù)字；<dPortMin>，目的端口范圍下邊界；<dPortMax>，目的端口范圍上邊界；[ack][fin][psh][rst][urg][syn](可選)TCP協(xié)議，可選多個(gè)標(biāo)志位，當(dāng)TCP數(shù)據(jù)報(bào)[ack][fin][psh][rst][urg][syn]TCP數(shù)據(jù)報(bào)以形成接時(shí)出現(xiàn)匹配；precedence(可選)包可由優(yōu)先級(jí)過(guò)濾，為0到7的數(shù)字；tos(可選)015的數(shù)字；icmp-type(可選)ICMP包可ICMP0255；icmp-code(可選ICMPICMP報(bào)文0255；igmp-type(可選)IGMPIGMP報(bào)文類(lèi)型或報(bào)文名過(guò)濾。類(lèi)型是數(shù)字0到15；<time-range-name>，時(shí)間范圍名稱(chēng)。是100的UDP報(bào)文通過(guò)Switch(Config-MacIp-Ext-Nacl-macIpExt)#denyany-source-macany-destination-參數(shù)：<acl-name>，特定的控制列表命名字符串；<num>，特定的控制列表的缺省情況：無(wú)。使用指南：不指定控制列表的名字時(shí)，會(huì)顯示所有的控制列表；usedxtime（s）表明了此ACL被的次數(shù)。Switch#showaccess-listsaccess-list10(used0time(s))access-list10denyany-access-list100(used1access-list100denyipany-sourceany-destinationaccess-list100denytcpany-sourceany-destinationaccess-list10(used1數(shù)字ACL10，被0access-list100(used1數(shù)字ACL100，被1access-list100denyipany-任意源IP地址及目的IP地址的IP過(guò)access-list100denytcpany-任意源IP地址及目的IP地址的TCPaccess-list1100permitany-source-macany-destination-mactagged-eth214允許任意源MAC地址任意目的MACtagged-eth215160x08，0x0命令：showaccess-groupininterfaceEthernet|Ethernet功能：顯示端口上ACL命令模式：和配置模式使用指南：不指定接口名時(shí)，會(huì)顯示所有端口上綁ACLinterfacename:Ethernet1/1IPIngressaccess-listusedis100,traffic-statisticsDerfacename:Ethernet1/2IPIngressaccess-listusedis1,packet(s)numberisEthernet1/1的綁定情IPIngressaccess-listused端口Ethernet1/1方向綁定了編號(hào)100的數(shù)packet(s)numberisshowshow功能：顯示濾功能配置信息無(wú)無(wú)命令模式：和配置模式Switch#showfirewallFirewallDefaultRule:FirewallStatus:FirewallDefaultRule:showipv6access-[功能：顯示配置的IPv6控制列表參數(shù)：<num>為特定的控制列表的編號(hào)，取值范圍為500～699，其中500～599為數(shù)字IPv6ACL編號(hào)，600～699為數(shù)字?jǐn)UIPv6ACL編號(hào)；<acl-name>為特定的控制列表命名字符串，長(zhǎng)1～32使用指南：不指定控制列表的名字時(shí)，會(huì)顯示所有的控制列表；usedxtime（s）表明了此ACL被的次數(shù)。Switch#showipv6access-listsipv6access-list500(used1time(s))ipv6access-list500denyany-ipv6access-list510(used1ipv6access-list510denyipany-sourceany-destinationipv6access-list510denytcpany-sourceany-destinationipv6access-list520(used1ipv6access-list520permitipany-sourceany-showtime-showtime-word指定要顯示的time-range的名字缺省情況：無(wú)。time-range的名字時(shí)，顯示所有的time-range。time-rangetimer1(inactive,used0absolute-periodicSaturday0:0:0toSunday23:59:59time-rangetimer2(inactive,used0times)time-第2定義ACL命userdefined-access-liststandard<offset>][window2{l2endoftag|l3start|l4start}<offset>][window3{l2endoftag|l3start|l4start}<offset>][window4{l2endoftag|l3start|l4start}<offset>][window5{l2endoftag|l3start|l4start}<offset>][window6{l2endoftag|l3start|l4start}<offset>][window7{l2endoftag|l3start|l4start}<offset>][window8{l2endoftag|l3start|l4start}<offset>][window9{l2endoftag|l3start|l4start|l3start|l4start}nouserdefined-access-liststandardoffset[window1][window2][window3][window4][window5][window6][window7][window8][window9][window10]功能：創(chuàng)建標(biāo)準(zhǔn)自定義列表模板，如果已有此模板則修改模板對(duì)應(yīng)的window；本命令 偏移起始位置為二層tag 配置的偏移量<0-31>（單位為2字節(jié)）本自定義ACL模板，在配置有使用了某個(gè)window的自定義ACL規(guī)則時(shí)該模板中對(duì)應(yīng)的window無(wú)法被修改，當(dāng)沒(méi)有規(guī)則某個(gè)window時(shí)可以用本命令修改這個(gè)window的配指定任何具體的windowwindow沒(méi)有被自定義ACL規(guī)則使用時(shí)才能刪Switch(config)#userdefined-access-liststandardoffsetwindow3l20window4l22window5l30window6l31window7l32window8l41window9l42userdefined-access-listextended命令：userdefined-access-listextendedoffsetswindow1l2start|l2endoftag|l3start|l4start}<sOffset>][swindow2{l2start|l2endoftag|l3start|l4start}|l3start|l4start}<lOffset>][lwindow3{l2endoftag|l3start|l4start}<lOffset>][lwindow4{l2endoftag|l3start|l4start}<lOffset>][lwindow5{l2endoftag|l3start|l4start}<lOffset>][lwindow6{l2endoftag|l3start|l4start}<lOffset>][lwindow7nouserdefined-access-listextendedoffset[swindow1][swindow2][lwindow1][lwindow2][lwindow3][lwindow4][lwindow5][lwindow6][lwindow7]功能：創(chuàng)建擴(kuò)展自定義列表模板，如果已有此模板則修改模板對(duì)應(yīng)的swindow或果未指定任何swindow或lwindow則刪除整個(gè)擴(kuò)展自定義列表模板。 偏移起始位置為二層tag <sOffset>swindow的偏移量，取值范圍為<0-31>2Bytes0代表0Bytes，12Bytes；{l2endoftag|l3start|l4start}lwindow的偏移起始位置，<lOffset>lwindow的偏移量，取值范圍為<0-15>4Bytes，lwindowACLswindowlwindow無(wú)法被修改，當(dāng)沒(méi)有規(guī)則某個(gè)swindow或lwindow時(shí)可以用本命令修改這個(gè)swindow或lwindow的配置。windowSwitch(config)#userdefined-access-listextendedoffsetswindow1l2s0swindow2l2e0lwindow5l33lwindow7l40userdefined-access- {host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}{untagged-eth2|tagged-eth2[cos<value>[<mask>]][vlanId<value>[<mask>]]|untagged-802-3|<value><mask>][window11<value><mask>]nouserdefined-access-list<num>表項(xiàng)；本命令的no操作為刪除一條標(biāo)準(zhǔn)自定義列表。<dmac-maskMAC地址的掩碼(反掩碼)untagged-eth2ethernetII包格tagged-eth2ethernetII包格式；untagged-802-3ethernet802.3tagged-802-3情況下可以配置，cos可以?xún)H配置<value>，范圍（0-7）匹配單一值，也配合匹vlanId值；各window的<value>和<mask>2字節(jié)長(zhǎng)16進(jìn)制數(shù)。使用指南：當(dāng)用戶(hù)第一次指定特定<num>時(shí)，創(chuàng)建此編號(hào)的ACL，之后在此ACL中添加表個(gè)字節(jié)和L4頭部第4個(gè)字節(jié)分別為0x4501，0xFF的包通過(guò)。Switch(config)#userdefined-access-liststandardoffsetwindow1l30window2l41Switch(config)#userdefined-access-liststandard1200permitany-source-macany-destination-mactagged-eth2window14501FFFFwindow200FF00FF再在同一個(gè)列表中配置一條規(guī)則，任意源MAC地址任意目的MAC地址的untagged-eth2，且對(duì)應(yīng)L35、6個(gè)字節(jié)值為0xFFAA的包通過(guò)。Switch(config)#userdefined-access-liststandardoffsetwindow3l32Switch(config)#userdefined-access-liststandard1200denyany-source-macany-destination-macuntagged-eth2window3FFAAFFFFuserdefined-access- 命令：userdefined-access-listextended<num>{deny|permit}{untagged-eth2|tagged-eth2[cos<value>[<mask>]][vlanId<value>[<mask>]]|untagged-802-3|tagged-802-3cosvaluemaskvlanIdvaluemaskswindow1<value><mask>][swindow2<value><mask>][lwindow1<value><mask>]<value><mask>][lwindow3<value><mask>][lwindow4<value><mask>][lwindow5<value><mask>][lwindow6<value><mask>][lwindow7<value><mask>][lwindow8<value><mask>]表項(xiàng)；本命令的no操作為刪除一條擴(kuò)展自定義列表。參數(shù)：<num>表號(hào)，這是一個(gè)從1300－1399的十進(jìn)制號(hào)；deny如果規(guī)則匹配， 如果規(guī)則匹配，允許；untagged-eth2未標(biāo)記的ethernetII包格式； 標(biāo)記的ethernetII包格式untagged-802-3未標(biāo)記的ethernet802.3包格式；tagged-802-3標(biāo)記的ethernet802.3包格式；cos和vlanId在配置了tagged-eth2或再配置一個(gè)<mask>，范圍（0-7），和<value>配合匹配多個(gè)cos值，vlanId可以?xún)H配置各個(gè)lwindow的<valu