SmartHammer 系列产品 命令参考
第一部分
系统命令
第二部分
AAA 命令
第三部分
防火墙命令
第四部分
VPN 命令
第五部分
接入认证命令
第六部分
交换转发服务命令
第七部分
路由协议命令
SmartHammer 系列产品命令参考 资料编号 产品版本 资料状态
P-1801XXXX-20040801-130 V01R03B0122 发行
版权声明 © 港湾网络有限公司版权所有,并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归港湾网络有限公司所有。未得到港湾网络有限公司的书面许可,任何人不得以任 何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将 其全部或部分用于商业用途。
免责声明 本手册依据现有信息制作,其内容如有更改,恕不另行通知。港湾网络有限公司在编写该手册的 时候已尽最大努力保证其内容准确可靠,但港湾网络有限公司不对本手册中的遗漏、不准确或错 误导致的损失和损害承担责任 Users’ Manual Copyright and Disclaimer Copyright © Copyright Harbour Networks Limited. All rights reserved. The copyright of this document is owned by Harbour Networks Limited. Without the prior written permission obtained from Harbour Networks Limited, this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an "AS IS" basis. Harbour Networks Limited may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Harbour Networks Limited with reasonable care and is believed to be accurate. However, Harbour Networks Limited shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.
手册使用说明 读者对象 本手册的读者对象为配置和管理 SmartHammer 系列产品的工程技术人员。本手 册需要读者熟悉防火墙、交换、路由以及认证技术的基础知识。
内容介绍 本手册详细介绍了 SmartHammer 系列产品的命令,是工程技术人员了解该设备的 软件特性,并顺利完成设备配置的指导文档。 具体包括以下内容: 第一部分:系统命令 章序号
题目
内容描述
第1章
系统管理命令
介绍了HSOS操作系统的常用命令
第2章
系统引导命令
介绍了系统引导的各种命令
第3章
SNMP命令
介绍了简单网络管理服务SNMP的基本命 令
第4章
系统监控与诊断命令
介绍了常用的系统信息查看以及系统诊断 的命令。
第5章
系统日志命令
介绍了系统日志的相关命令
第6章
以太网接口命令
介绍了以太网接口的相关类型命令
第7章
GRE接口命令
介绍了GRE接口的相关命令
第8章
VLAN接口命令
介绍了VLAN接口的相关命令
第9章
LoopBack接口命令
介绍了LoopBack接口的相关命令
第10章
透明桥命令
介绍了透明桥的相关命令
第11章
ARP和代理ARP命令
介绍了地址解析协议ARP和代理ARP的的 相关命令。
第12章
DHCP服务命令
介绍了动态主机配置协议DHCP的相关命 令。
第13章
DHCP Relay服务命令
介绍了DHCP Relay的相关命令。
第14章
VRRP命令
介绍了虚拟冗余路由器协议VRRP的相关 命令。
第15章
QoS命令
介绍了服务质量QoS的相关命令。
第二部分:AAA 命令 章序号
题目
内容描述
第16章
AAA授权功能功能命令
介绍了AAA授权功能相关命令
第17章
AAA认证和计费功能命令
介绍了AAA认证在和计费相关命令
第三部分:防火墙命令 章序号
题目
内容描述
第18章
ACL命令
介绍了访问控制列表ACL的相关命令
第19章
自适应安全过滤命令
介绍了自适应安全过滤的相关命令
第20章
基于状态的资源和连接控 制命令
介绍了基于状态的资源控制的相关命令
第21章
NAT命令
介绍了NAT协议的相关命令
第22章
链路层过滤命令
介绍了链路层过滤的相关命令
第四部分:VPN 命令 章序号
题目
内容描述
第23章
IPSec VPN命令
介绍了IPSec VPN的相关命令
第24章
L2TP VPDN命令
介绍了L2TP VPDN的相关命令
第五部分:接入认证命令 章序号
题目
内容描述
第25章
PPP Profile命令
介绍了PPP Profile的相关命令
第26章
PPPoE认证命令
介绍了PPPoE认证的相关命令
第27章
WEB/Portal认证命令
介绍了WEB/Portal认证的相关命令
第28章
IEEE802.1X接入认证命令
介绍了IEEE802.1X接入认证的相关命令
第六部分:交换转发服务命令 章序号
题目
内容描述
第29章
NetFlow命令
介绍了交换转发服务的相关命令
第七部分:路由协议命令 章序号
题目
内容描述
第30章
静态路由命令
介绍了静态路由的相关命令
第31章
策略路由命令
介绍了SmartHammer设备上支持的策略路 由的相关命令
手册约定 手册中有关图标的约定如下: 图标
说明 这个图标表示提醒用户注意事项。
注意
提示
这个图标主要给出一些与正文相关的信息,同时给用户一些指引,协 助用户更好的理解正文的内容。
获取技术支援 港湾网络有限公司建立了以总部技术支援中心、区域技术支援中心和本地技术支援 中心为主体的完善的三级服务体系,并提供全天候 24 小时×365 天的电话热线服 务。客户在产品使用及网络运行过程中遇到问题时请随时与港湾网络有限公司各地 方的服务支持热线联系。请客户到www.harbournetworks.com获取各地服务支持热 线电话。此外,客户还可通过港湾网络有限公司网站及时了解最新产品动态,以及 下载需要的技术文档。
目录 第一部分 系统命令 第 1 章 系统管理命令........................................................................................................................... 1-1 1.1 clear tty .................................................................................................................................... 1-1 1.2 copy.......................................................................................................................................... 1-1 1.3 date........................................................................................................................................... 1-3 1.4 dir ............................................................................................................................................. 1-3 1.5 enable password .................................................................................................................... 1-4 1.6 end ........................................................................................................................................... 1-4 1.7 exit............................................................................................................................................ 1-5 1.8 format ...................................................................................................................................... 1-5 1.9 hostname ................................................................................................................................. 1-5 1.10 line tty.................................................................................................................................... 1-6 1.11 list........................................................................................................................................... 1-6 1.12 login ....................................................................................................................................... 1-6 1.13 reboot..................................................................................................................................... 1-7 1.14 password ............................................................................................................................... 1-7 1.15 set boot config....................................................................................................................... 1-8 1.16 set boot options .................................................................................................................... 1-8 1.17 set boot system ..................................................................................................................... 1-9 1.18 show ip traffic-map............................................................................................................ 1-10 1.19 show memory..................................................................................................................... 1-10 1.20 show running-config ......................................................................................................... 1-11 1.21 show startup-config........................................................................................................... 1-11 1.22 terminal monitor ................................................................................................................ 1-12 1.23 terminal speed .................................................................................................................... 1-13 1.24 who ...................................................................................................................................... 1-14 1.25 write erase........................................................................................................................... 1-14 1.26 write file .............................................................................................................................. 1-15 1.27 write memory ..................................................................................................................... 1-15 1.28 write terminal ..................................................................................................................... 1-15 1.29 configure memory.............................................................................................................. 1-16 第 2 章 系统引导命令........................................................................................................................... 2-1 1
2.1 boot .......................................................................................................................................... 2-1 2.2 load .......................................................................................................................................... 2-1 2.3 go.............................................................................................................................................. 2-2 2.4 help .......................................................................................................................................... 2-2 2.5 ifconfig..................................................................................................................................... 2-2 2.6 ping .......................................................................................................................................... 2-3 2.7 printenv ................................................................................................................................... 2-3 2.8 reset.......................................................................................................................................... 2-3 2.9 set console ............................................................................................................................... 2-3 2.10 set time .................................................................................................................................. 2-4 2.11 setenv..................................................................................................................................... 2-4 2.12 show devices......................................................................................................................... 2-4 2.13 show time.............................................................................................................................. 2-5 2.14 test cpld ................................................................................................................................. 2-5 2.15 test disk disk0 ....................................................................................................................... 2-5 2.16 test fatfs ................................................................................................................................. 2-5 2.17 test flash................................................................................................................................. 2-6 2.18 test nvram ............................................................................................................................. 2-6 2.19 test pci.................................................................................................................................... 2-6 2.20 test sdram.............................................................................................................................. 2-7 第 3 章 SNMP 命令 ............................................................................................................................. 3-1 3.1 community.............................................................................................................................. 3-1 3.2 community rw ........................................................................................................................ 3-1 3.3 snmp-server ............................................................................................................................ 3-2 3.4 trap-community ..................................................................................................................... 3-2 3.5 trap-host .................................................................................................................................. 3-3 第 4 章 系统监控与诊断命令............................................................................................................... 4-2 4.1 ping .......................................................................................................................................... 4-2 4.2 show system ........................................................................................................................... 4-2 4.3 show cpu-usage...................................................................................................................... 4-4 4.4 show memory-usage ............................................................................................................. 4-4 4.5 show version........................................................................................................................... 4-5 4.6 traceroute ................................................................................................................................ 4-5 第 5 章 系统日志命令........................................................................................................................... 5-1 5.1 log DAEMON LOCATION MASKPRI PRIORITY ........................................................... 5-1 5.2 log memsize ............................................................................................................................ 5-2
2
5.3 show logmemory ................................................................................................................... 5-2 5.4 log DAEMON ratelimit <1-15>............................................................................................ 5-3 第 6 章 以太网接口命令....................................................................................................................... 6-1 6.1 auto .......................................................................................................................................... 6-1 6.2 duplex...................................................................................................................................... 6-1 6.3 ip address................................................................................................................................ 6-2 6.4 shutdown ................................................................................................................................ 6-2 6.5 speed........................................................................................................................................ 6-3 第 7 章 GRE 接口命令 ......................................................................................................................... 7-1 7.1 destination .............................................................................................................................. 7-1 7.2 interface gre ............................................................................................................................ 7-1 7.3 key............................................................................................................................................ 7-2 7.4 source....................................................................................................................................... 7-2 第 8 章 VLAN 接口命令...................................................................................................................... 8-1 8.1 debug vlan .............................................................................................................................. 8-1 8.2 interface IFNAME .VID......................................................................................................... 8-1 第 9 章 LoopBack 接口命令................................................................................................................ 9-1 9.1 duplex...................................................................................................................................... 9-1 9.2 interface lo............................................................................................................................... 9-1 9.3 ip address secondary............................................................................................................. 9-2 9.4 speed........................................................................................................................................ 9-2 第 10 章 透明桥命令........................................................................................................................... 10-1 10.1 debug bridge....................................................................................................................... 10-1 10.2 show bridge ........................................................................................................................ 10-1 10.3 show bridge-group ............................................................................................................ 10-2 10.4 show bridge-fdb ................................................................................................................. 10-2 10.5 interface IFNAME.............................................................................................................. 10-2 10.6 bridge-group....................................................................................................................... 10-3 10.7 bridge-group priority ........................................................................................................ 10-4 10.8 bridge priority .................................................................................................................... 10-4 第 11 章 ARP 和代理 ARP 命令 ....................................................................................................... 11-1 11.1 debug arp ............................................................................................................................ 11-1 11.2 ip arp A.B.C.D xx:xx:xx:xx:xx:xx...................................................................................... 11-1 11.3 ip proxy-arp ........................................................................................................................ 11-2 11.4 ip arp queue-len ................................................................................................................. 11-2 11.5 show ip arp ......................................................................................................................... 11-3
3
11.6 clear ip arp dynamic .......................................................................................................... 11-3 第 12 章 DHCP 服务命令.................................................................................................................. 12-1 12.1 dhcp ..................................................................................................................................... 12-1 12.2 share-net NAME A.B.C.D E.F.G.H
................................................................ 12-1 12.3 share-net NAME dns......................................................................................................... 12-2 12.4 share-net NAME router .................................................................................................... 12-2 12.5 share-net NAME subnet.................................................................................................... 12-3 12.6 share-net NAME wins....................................................................................................... 12-4 第 13 章 DHCP Relay 服务命令 ...................................................................................................... 13-1 13.1 relay ..................................................................................................................................... 13-1 第 14 章 VRRP 命令 .......................................................................................................................... 14-1 14.1 advertise-time..................................................................................................................... 14-1 14.2 debug vrrp .......................................................................................................................... 14-1 14.3 end ....................................................................................................................................... 14-2 14.4 exit........................................................................................................................................ 14-2 14.5 list......................................................................................................................................... 14-2 14.6 ip address ............................................................................................................................ 14-3 14.7 ip vrrp authentication password ..................................................................................... 14-3 14.8 ip vrrp router ...................................................................................................................... 14-4 14.9 preempt-mode.................................................................................................................... 14-4 14.10 priority............................................................................................................................... 14-5 14.11 show vrrp router .............................................................................................................. 14-5 14.12 show vrrp interface.......................................................................................................... 14-6 14.13 show vrrp state................................................................................................................. 14-6 14.14 vrrp-router ........................................................................................................................ 14-7 14.15 write memory ................................................................................................................... 14-7 14.16 write terminal ................................................................................................................... 14-7 第 15 章 QoS 命令.............................................................................................................................. 15-1 15.1 ip output-traffic-map MAPNAME .................................................................................. 15-1 15.2 filter ID priority <0-7> rate <64-102400> ........................................................................ 15-1 15.3 show ip traffic-map memory............................................................................................ 15-2 15.4 traffic-map MAPNAME.................................................................................................... 15-3
第二部分 AAA 命令 第 16 章 AAA 授权功能命令 ............................................................................................................ 16-1 16.1 debug aaam......................................................................................................................... 16-1 16.2 line tty.................................................................................................................................. 16-1 4
16.3 login ..................................................................................................................................... 16-2 16.4 no user block....................................................................................................................... 16-2 16.5 privilege reset ..................................................................................................................... 16-3 16.6 privilege .............................................................................................................................. 16-4 16.7 show local user................................................................................................................... 16-5 16.8 user access-class ................................................................................................................. 16-6 16.9 user password admin ........................................................................................................ 16-7 16.10 user privilege .................................................................................................................... 16-7 16.11 user secret admin ............................................................................................................. 16-8 16.12 user try-limit ..................................................................................................................... 16-8 第 17 章 AAA 认证和计费功能命令................................................................................................. 17-1 17.1 show local acct.................................................................................................................... 17-1 17.2 show local user................................................................................................................... 17-1 17.3 aaa ........................................................................................................................................ 17-2 17.4 accounting local.................................................................................................................. 17-2 17.5 accounting none ................................................................................................................. 17-2 17.6 accounting server ............................................................................................................... 17-3 17.7 authentication local............................................................................................................ 17-3 17.8 authentication server ......................................................................................................... 17-4 17.9 source-ip.............................................................................................................................. 17-4 17.10 user password .................................................................................................................. 17-5 17.11 user secret ......................................................................................................................... 17-5 17.12 end...................................................................................................................................... 17-6 17.13 exit...................................................................................................................................... 17-6 17.14 list....................................................................................................................................... 17-6 17.15 write memory ................................................................................................................... 17-7 17.16 write terminal ................................................................................................................... 17-7
第三部分 防火墙命令 第 18 章 ACL 命令 ............................................................................................................................. 18-1 18.1 access-list <1-99>................................................................................................................ 18-1 18.2 access-list (<100-199>|<2000-2699>)............................................................................... 18-1 18.3 access-list <200-299>.......................................................................................................... 18-3 18.4 access-list <700-799>.......................................................................................................... 18-3 18.5 access-list <1300-1999>...................................................................................................... 18-4 18.6 access-list <1300-1999> icmp ............................................................................................ 18-5 18.7 access-list <1300-1999> tcp ............................................................................................... 18-6 5
18.8 access-list <1300-1999> udp.............................................................................................. 18-8 18.9 access-list (<2000-2699>) icmp ....................................................................................... 18-10 18.10 access-list (<2000-2699>|<2700-2999>) tcp ................................................................ 18-11 18.11 access-list (<2000-2699>|<2700-2999>) udp............................................................... 18-13 18.12 access-list compiled ....................................................................................................... 18-15 18.13 access-list remark ........................................................................................................... 18-16 18.14 show ip access-list.......................................................................................................... 18-17 18.15 show ip access-list compiled ........................................................................................ 18-17 第 19 章 自适应安全过滤命令........................................................................................................... 19-1 19.1 security-policy .................................................................................................................... 19-1 19.2 ip access-group in .............................................................................................................. 19-2 19.3 ip access-group out............................................................................................................ 19-2 19.4 ip security-level .................................................................................................................. 19-3 19.5 ip security-policy ............................................................................................................... 19-4 19.6 local ip security-policy ...................................................................................................... 19-4 19.7 ip servic adaptive-security................................................................................................ 19-5 19.8 show security-policy.......................................................................................................... 19-5 19.9 debug acl ............................................................................................................................. 19-5 第 20 章 基于状态的资源和连接控制命令....................................................................................... 20-1 20.1 debug inspect...................................................................................................................... 20-1 20.2 ip inspect idletime.............................................................................................................. 20-1 20.3 ip inspect max <0-655360>................................................................................................ 20-3 20.4 ip inspect maxincomplete high NUMBER ..................................................................... 20-3 20.5 ip inspect maxincomplete low NUMBER....................................................................... 20-4 20.6 ip inspect one-minute high NUMBER ............................................................................ 20-5 20.7 ip inspect one-minute low NUMBER.............................................................................. 20-6 20.8 ip inspect max <0-655360> (tcp|udp|icmp|generic) .................................................. 20-7 20.9 ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic) ........................ 20-8 20.10 ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic)........................ 20-9 20.11 ip inspect one-minute high NUMBER (tcp|udp|icmp|generic) ........................... 20-10 20.12 ip inspect one-minute low NUMBER (tcp|udp|icmp|generic)............................. 20-11 20.13 ip inspect max flow list ................................................................................................. 20-12 20.14 ip inspect tcp close-time................................................................................................ 20-13 20.15 ip inspect tcp closewait-time ........................................................................................ 20-13 20.16 ip inspect tcp finwait-time ............................................................................................ 20-14 20.17 ip inspect udp halfopen idletime................................................................................. 20-15
6
20.18 ip inspect tcp synrecv-time........................................................................................... 20-16 20.19 ip inspect tcp synsent-time ........................................................................................... 20-16 20.20 ip inspect tcp timewait-time ......................................................................................... 20-17 20.21 show ip inspect information......................................................................................... 20-18 20.22 show ip inspect information (tcp|udp|icmp|generic|flow) ................................. 20-18 20.23 show ip inspect statistics............................................................................................... 20-19 20.24 show ip inspect statistics (tcp|udp|icmp|generic|flow) ....................................... 20-19 20.25 show ip inspect idletime ............................................................................................... 20-20 第 21 章 NAT 命令............................................................................................................................. 21-1 21.1 clear ip nat translations ..................................................................................................... 21-1 21.2 debug nat ............................................................................................................................ 21-1 21.3 ip nat destination (tcp|udp) A.B.C.D <0-65535> A.B.C.D [<0-65535>] ..................... 21-1 21.4 ip nat destination A.B.C.D (A.B.C.D|NAME) ............................................................... 21-2 21.5 ip nat destination list ......................................................................................................... 21-3 21.6 ip nat source list ................................................................................................................. 21-3 21.7 ip nat source static ............................................................................................................. 21-4 21.8 ip nat pool netmask ........................................................................................................... 21-5 21.9 ip nat .................................................................................................................................... 21-5 21.10 show ip nat........................................................................................................................ 21-6 21.11 show ip nat pool............................................................................................................... 21-6 21.12 show ip nat statistics........................................................................................................ 21-6 21.13 show ip nat translations .................................................................................................. 21-7 第 22 章 链路层过滤命令................................................................................................................... 22-1 22.1 debug acl ............................................................................................................................. 22-1 22.2 ethernet access-group Num (in|out) .............................................................................. 22-1
第四部分 VPN 命令 第 23 章 IPSec VPN 命令.................................................................................................................. 23-1 23.1 crypto ipsec transform-set ................................................................................................ 23-1 23.2 crypto isakmp enable ........................................................................................................ 23-1 23.3 crypto isakmp policy ......................................................................................................... 23-2 23.4 crypto isakmp key.............................................................................................................. 23-2 23.5 crypto map local-address.................................................................................................. 23-3 23.6 crypto map NAME ............................................................................................................ 23-3 23.7 crypto map WORD ............................................................................................................ 23-4 23.8 encryption ........................................................................................................................... 23-4 23.9 group ................................................................................................................................... 23-5 7
23.10 hash.................................................................................................................................... 23-6 23.11 ip domain-name ............................................................................................................... 23-6 23.12 lifetime............................................................................................................................... 23-7 23.13 mode .................................................................................................................................. 23-7 23.14 match address................................................................................................................... 23-8 23.15 set peer............................................................................................................................... 23-8 23.16 set pfs................................................................................................................................. 23-9 23.17 set transform-set............................................................................................................... 23-9 23.18 set security-association lifetime ................................................................................... 23-10 第 24 章 L2TP 命令 ............................................................................................................................ 24-1 24.1 clear l2tp tunnel.................................................................................................................. 24-1 24.2 clear l2tp session ................................................................................................................ 24-1 24.3 debug l2tp ........................................................................................................................... 24-2 24.4 end ....................................................................................................................................... 24-2 24.5 exit........................................................................................................................................ 24-3 24.6 l2tp peer ip password........................................................................................................ 24-3 24.7 hello-time ............................................................................................................................ 24-4 24.8 list......................................................................................................................................... 24-4 24.9 listen address ...................................................................................................................... 24-5 24.10 localname .......................................................................................................................... 24-5 24.11 max session ....................................................................................................................... 24-6 24.12 max tunnel ........................................................................................................................ 24-6 24.13 ppp profile ........................................................................................................................ 24-7 24.14 receive-window................................................................................................................ 24-7 24.15 show l2tp session ............................................................................................................. 24-8 24.16 show l2tp subcriber-template......................................................................................... 24-8 24.17 show l2tp tunnel............................................................................................................... 24-9 24.18 show vpdn ........................................................................................................................ 24-9 24.19 subscriber-template l2tp................................................................................................ 24-10 24.20 tunnel authentication .................................................................................................... 24-10 24.21 unique-ip......................................................................................................................... 24-11 24.22 vpdn enable l2tp subscriber-template......................................................................... 24-11 24.23 write memory ................................................................................................................. 24-12 24.24 write terminal ................................................................................................................. 24-12
第五部分 接入认证命令 第 25 章 PPP Profile 命令 ................................................................................................................. 25-1 8
25.1 aaa-group ............................................................................................................................ 25-1 25.2 aaa-group by....................................................................................................................... 25-1 25.3 accounting-interval............................................................................................................ 25-2 25.4 address local ....................................................................................................................... 25-3 25.5 address pool dhcp.............................................................................................................. 25-3 25.6 address pool local .............................................................................................................. 25-4 25.7 address pool radius ........................................................................................................... 25-5 25.8 address pool static ............................................................................................................. 25-5 25.9 authentication..................................................................................................................... 25-6 25.10 clear ppp interface ........................................................................................................... 25-7 25.11 clear ppp user ................................................................................................................... 25-7 25.12 debug ppp......................................................................................................................... 25-8 25.13 dns...................................................................................................................................... 25-8 25.14 echo-time........................................................................................................................... 25-9 25.15 end.................................................................................................................................... 25-10 25.16 exit.................................................................................................................................... 25-10 25.17 idle-time .......................................................................................................................... 25-10 25.18 ip pool.............................................................................................................................. 25-11 25.19 list..................................................................................................................................... 25-12 25.20 max-user.......................................................................................................................... 25-12 25.21 ppp-profile ...................................................................................................................... 25-12 25.22 show ip pool ................................................................................................................... 25-13 25.23 show ppp profile............................................................................................................ 25-14 25.24 show ppp total................................................................................................................ 25-14 25.25 show ppp summary....................................................................................................... 25-14 25.26 show ppp user ................................................................................................................ 25-15 25.27 show ppp interface ........................................................................................................ 25-15 25.28 traffic to id priority rate ................................................................................................ 25-16 25.29 traffic to name priority rate .......................................................................................... 25-17 25.30 unique-user-name.......................................................................................................... 25-17 25.31 wins.................................................................................................................................. 25-18 25.32 write memory ................................................................................................................. 25-18 25.33 write terminal ................................................................................................................. 25-19 第 26 章 PPPoE 认证命令.................................................................................................................. 26-1 26.1 acname................................................................................................................................. 26-1 26.2 debug pppoe....................................................................................................................... 26-1
9
26.3 end ....................................................................................................................................... 26-2 26.4 exit........................................................................................................................................ 26-2 26.5 hurl....................................................................................................................................... 26-2 26.6 list......................................................................................................................................... 26-3 26.7 ppp profile .......................................................................................................................... 26-3 26.8 service.................................................................................................................................. 26-4 26.9 show pppoe interface ........................................................................................................ 26-5 26.10 show pppoe subscribe-template .................................................................................... 26-5 26.11 subscriber-template pppoe ............................................................................................. 26-6 26.12 unique-mac ....................................................................................................................... 26-6 26.13 write memory ................................................................................................................... 26-7 26.14 write terminal ................................................................................................................... 26-7 26.15 pppoe max-session .......................................................................................................... 26-7 26.16 pppoe subscriber-template ............................................................................................. 26-8 第 27 章 WEB&Portal 认证命令 ...................................................................................................... 27-1 27.1 aaa-group ............................................................................................................................ 27-1 27.2 aaa-group by....................................................................................................................... 27-1 27.3 access-server default.......................................................................................................... 27-2 27.4 accounting-interval............................................................................................................ 27-2 27.5 authentification .................................................................................................................. 27-3 27.6 authentication-url .............................................................................................................. 27-3 27.7 clear user webauth............................................................................................................. 27-4 27.8 clear user webauth USER.................................................................................................. 27-4 27.9 clear user webauth USER INTERFACE .......................................................................... 27-5 27.10 dns-server.......................................................................................................................... 27-5 27.11 debug portal ..................................................................................................................... 27-6 27.12 debug webauth................................................................................................................. 27-6 27.13 idle-time ............................................................................................................................ 27-7 27.14 keep-alive .......................................................................................................................... 27-7 27.15 portal-url ........................................................................................................................... 27-8 27.16 show webauth interface .................................................................................................. 27-8 27.17 show webauth regex_user .............................................................................................. 27-9 27.18 show webauth subscriber-template .............................................................................. 27-9 27.19 show webauth subscriber-template id........................................................................ 27-10 27.20 show webauth subscriber-template regex.................................................................. 27-10 27.21 show webauth summary .............................................................................................. 27-10
10
27.22 show webauth user........................................................................................................ 27-11 27.23 traffic to id priority rate ................................................................................................ 27-11 27.24 traffic to name priority rate .......................................................................................... 27-12 27.25 unique-verify .................................................................................................................. 27-12 27.26 webauth authorize ......................................................................................................... 27-13 27.27 webauth max-session .................................................................................................... 27-13 27.28 webauth subscriber-template....................................................................................... 27-14 第 28 章 IEEE802.1X 接入认证命令 ................................................................................................. 28-1 28.1 aaa-group ............................................................................................................................ 28-1 28.2 aaa-group by....................................................................................................................... 28-2 28.3 accounting-interval............................................................................................................ 28-2 28.4 authentication-style ........................................................................................................... 28-3 28.5 clear user dot1x .................................................................................................................. 28-4 28.6 debug dot1x ........................................................................................................................ 28-4 28.7 dot1x authorize .................................................................................................................. 28-5 28.8 dot1x max-session.............................................................................................................. 28-5 28.9 dot1x subscriber-template ................................................................................................ 28-6 28.10 end...................................................................................................................................... 28-7 28.11 exit...................................................................................................................................... 28-7 28.12 idle-timeout ...................................................................................................................... 28-7 28.13 keep-alive .......................................................................................................................... 28-8 28.14 list....................................................................................................................................... 28-8 28.15 show dot1x interface........................................................................................................ 28-9 28.16 show dot1x subscribe-template ..................................................................................... 28-9 28.17 show dot1x summary .................................................................................................... 28-10 28.18 show dot1x user ............................................................................................................. 28-10 28.19 subscriber-template dot1x ............................................................................................ 28-11 28.20 traffic to id priority rate ................................................................................................ 28-11 28.21 traffic to name priority rate .......................................................................................... 28-12 28.22 unique-verify .................................................................................................................. 28-13 28.23 write memory ................................................................................................................. 28-13 28.24 write terminal ................................................................................................................. 28-14
第六部分 交换转发服务命令 第 29 章 NetFlow 命令 ...................................................................................................................... 29-1 29.1 clear ip flow stat ................................................................................................................. 29-1 29.2 ip flow-collect ..................................................................................................................... 29-1 11
29.3 ip flow-export ..................................................................................................................... 29-3 29.4 show ip flows info.............................................................................................................. 29-3 29.5 show ip flow stat ................................................................................................................ 29-4
第七部分 路由协议命令 第 30 章 静态路由命令....................................................................................................................... 30-1 30.1 ip route A.B.C.D/M........................................................................................................... 30-1 30.2 ip route A.B.C.D A.B.C.D.................................................................................................. 30-1 30.3 show ip route...................................................................................................................... 30-2 第 31 章 策略路由命令....................................................................................................................... 31-1 31.1 list nexthop ......................................................................................................................... 31-1 31.2 show ip policy-map ........................................................................................................... 31-1 31.3 show ip traffic-map memory............................................................................................ 31-2
12
第一部分
系统命令
第 1 章 系统管理命令
第一部分 系统命令
1
第1章
系统管理命令
1.1 clear tty 命令格式
clear tty [user NAME][host A.B.C.D]
命令功能
清除其他登录操作员。主要用在多个操作员登录进系统时,出于管理的必要,某个 操作员可以将其他操作员踢出系统。执行该操作后,执行该操作的操作员保持在线 上,其他操作员下线。
使用指导
本指令只能清除满足条件的使用Console、telnet、SSH登录的管理员,对于使用港湾 安全管理平台登录的管理员用户,该指令无法清除。
命令模式
特权模式
配置实例
剔除其他所有从 10.1.1.2 上使用 telnet 或 SSH 登录的管理员用户 SmartHammer#clear tty host 10.1.1.2
1.2 copy 命令格式
copy (logmemory|local_accounting|running-config|startup-config|disk0:|fl ash0:|ftp://|tftp://|zmodem:|SOURCE) (startup-config|ids-config|disk0:|flash0:|ftp://| tftp://DESTINATION)
命令功能
文件拷贝。主要用在上传和下载配置文件、升级系统、保存系统程序文件 以及保存一些有用的其他信息如计费信息、日志记录信息等场合。
命令模式
特权模式
参数说明
参数
说明
logmemory
保存在系统内存中的日志记录信息
local_accounting
计费信息
running-config
当前配置信息
startup-config
系统启动时的配置信息 1-1
第 1 章 系统管理命令
第一部分 系统命令
SOURCE
可变拷贝来源地和源文件,有效来源地为:tftp、 tfp、zmodem、disk0、flash0 等,有效文件主要 是配置文件和系统应用程序文件
startup- config
系统启动时的配置文件
DESTINATION
可变拷贝目的地和目标文件,有效目的地为: ftp、tfp、zmodem、disk0、flash0 等,有效文件 主要是配置文件和系统应用程序文件
disk0:
第一块 CF 卡上的文件
flash0:
第一块 Flash 卡上的文件
zmodem:
与防火墙串口相连的计算机上的文件
ftp:
FTP 服务器上的文件
tftp:
TFTP 服务器上的文件
使用指导
关于copy命令的详细介绍,请参考《SmartHammer系列产品软件配置手册》。
配置实例
将配置文件从TFTP服务器192.168.0.1上下载到第一块CF卡上,并取名为config1。这 里disk0中的0表示CF卡的序号,如果系统中存在多个CF卡,您可以指定其他序号。 一般来讲,CF卡或者Flash卡都只有一块,所以序号往往就只是0。 SmartHammer#copy tftp://192.168.0.1/config disk0:config1
将系统应用程序文件从TFTP服务器192.168.0.1上下载到第一块CF卡上,并取名为 hsos1。 SmartHammer#copy tftp://192.168.0.1/hsos disk0:hsos1
将配置文件从第一块CF卡上传到TFTP服务器192.168.0.1上,文件名为config1。 SmartHammer#copy disk0:config tftp://192.168.0.1/config1
将系统应用程序文件从第一块CF卡上传到TFTP服务器192.168.0.1上,文件名为 hsos1。 SmartHammer#copy disk0:hsos tftp://192.168.0.1/hsos1
将内存中的日志信息系统应用程序文件拷贝到TFTP服务器192.168.0.1上,文件名为 lmemory。 SmartHammer#copy logmemory tftp://192.168.0.1
将系统中的计费信息文件拷贝到TFTP服务器192.168.0.1上,文件名为 local_accounting。 SmartHammer#copy local_accounting tftp://192.168.0.1
将系统中的当前配置信息拷贝到FTP服务器192.168.0.1上,文件名为 local_accounting。用户cvsuser为服务器上的合法用户,其密码为cvsuser。 SmartHammer#copy running-config ftp:cvsuser:cvsuser@//192.168.0.1
1-2
第 1 章 系统管理命令
第一部分 系统命令
将与系统以超级终端相连的某一机器上的文件config,下载到系统中,作为下一次 系统启动使的配置文件。这需要该机器必须在超级终端下用zmodem接收,关于超 级终端的操作,请参考《SmartHammer系列产品软件配置手册》。 SmartHammer#copy zmodem:config startup-config
1.3 date 命令格式
date <1-12> <1-31> <0-23> <0-59> [<2000-2030>]
命令功能
设置系统的当前时间
命令模式
特权模式
参数说明
配置实例
参数
说明
<1-12>
月份
<1-31>
日期
<0-23>
小时
<0-59>
分钟
<2000-2030>
年份
设置当前的系统时间为 2005 年 12 月 12 日 12 时 12 分 SmartHammer#date 12 12 12 12 2005
1.4 dir 命令格式
dir (disk0:|flash0:)
命令功能
查看 CF 卡或者 Flash 卡的内容
命令模式
特权模式
参数说明
配置实例
参数
说明
disk0:
第一块 CF 卡上。这里 disk0 中的 0 表示 CF 卡的序号,如果系统 中存在多个 CF 卡,您可以指定其他序号。一般来讲,CF 卡或者 Flash 卡都只有一块,所以序号往往就只是 0。
flash0:
第一块 Flash 卡
查看 CF 卡上的内容 SmartHammer#dir disk0:
1-3
第 1 章 系统管理命令
第一部分 系统命令
查看 Flash 卡上的内容 SmartHammer#dir flash0:
1.5 enable password 命令格式
enable password(8|)WORD
命令功能
使用 enable password WORD 设置进入特权模式的密码。
命令模式
配置模式
参数说明
默认状态
参数 8
后面跟着的密码是已加密后的密码
说明
WORD
enable密码
WORD 的默认值为 harbour
使用指导
不推荐使用 enable password (8|) WORD 设置 enable 密码,该命令用于设 备在启动时从配置文件中读取配置,因为 8 后面跟的密码表示已加密后的 密码,您将无法知道加密前的密码。
配置实例
设置进入特权模式的密码为 hammer SmartHammer(config)#enable password hammer
1.6 end 命令格式
end
命令功能
退出当前模式,返回到特权模式
命令模式
除普通模式外的任意模式
配置实例
进入全局配置模式 SmartHammer#config terminal
退出当前模式,返回到特权模式 SmartHammer(config)#end
1-4
第 1 章 系统管理命令
第一部分 系统命令
1.7 exit 命令格式
exit
命令功能
退出当前模式,返回到上一模式,当在普通模式下时,退出当前终端
命令模式
任意模式
配置实例
退出当前模式 SmartHammer#exit
1.8 format 命令格式
format (disk0:|flash0:)
命令功能
格式化 CF 卡或者 Flash 卡
命令模式
特权模式
参数说明
配置实例
参数
说明
disk0:
第一块 CF 卡上。这里 disk0 中的 0 表示 CF 卡 的序号,如果系统中存在多个 CF 卡,您可以指 定其他序号。一般来讲,CF 卡或者 Flash 卡都 只有一块,所以序号往往就只是 0
flash0:
第一块 Flash 卡
格式化 CF 卡 SmartHammer#format disk0:
格式化 Flash 卡 SmartHammer#format flash0:
1.9 hostname 命令格式
{no}hostname WORD
命令功能
设置系统名称
命令模式
全局配置模式 1-5
第 1 章 系统管理命令
参数说明
第一部分 系统命令
参数 WORD
说明 不能超过 20 个字符
使用指导
系统提示符就是系统的名称,默认情况下系统的名称为 SmartHammer,如 果没有设置系统名称,系统名称也为 SmartHammer
配置实例
SmartHammer(config)#hostname SmartHammer
1.10 line tty 命令格式
line tty
命令功能
进入 TTY 配置模式
命令模式
配置模式
配置实例
SmartHammer(config)#line tty SmartHammer(config-line)#
1.11 list 命令格式
list
命令功能
查看当前命令模式下的所有命令
命令模式
任意模式
使用指导
此命令是一个帮助命令,当您不知道当前命令模式下有些什么命令时,可 以使用该命令查询
配置实例
查询当前命令模式下的所有命令 SmartHammer#list
1.12 login
1-6
命令格式
{no} login
命令功能
login 配置使用用户名和密码登录, no login 配置只使用密码登录。
第 1 章 系统管理命令
第一部分 系统命令
缺省配置为 no login。 命令模式
TTY 配置模式
使用指导
配置使用 login 方式登录(使用用户名和密码登录) SmartHammer (config-line)# login
1.13 reboot 命令格式
reboot
命令功能
重新启动系统
命令模式
特权模式
使用指导
主要在升级系统、下载配置文件后,要让新的系统程序和配置文件生效时使用。
配置实例
重新启系统 SmartHammer#reboot
1.14 password 命令格式
password (8|) WORD
命令功能
设置使用 no login(只使用密码)登录方式时进入用户模式的密码
命令模式
配置模式
参数说明
默认状态
参数 8
后面跟着的密码是已加密后的密码
说明
WORD
enable密码
WORD 的默认值为 harbour
使用指导
不推荐使用 password (8|) WORD 设置密码,该命令用于设备在启动时从配 置文件中读取配置。而且因为 8 后面跟的密码表示已加密后的密码,您将 无法知道加密前的密码。
配置实例
设置进入用户模式的密码为 hammer 1-7
第 1 章 系统管理命令
第一部分 系统命令
SmartHammer(config)#password hammer
1.15 set boot config 命令格式
set boot config WORD
命令功能
设置系统启动时的配置文件
命令模式
特权模式
参数说明
参数 WORD
说明 系统重启后,指明采用哪个配置文件
使用指导
如果其他启动选项中设置了 noconfig(set boot options noconfig) ,则系统 忽略对 set boot config 的设置,即系统始终以无配置的方式启动。
配置实例
本系统中,存放系统配置文件的地方三两个:CF 卡、Flash 卡以及 nvram, 如果 CF 卡或者 Flash 卡上或者 nvram 上存放了配置文件 config,则可以 如下设置系统重新启动时的配置文件: SmartHammer#set boot config disk0:config
或者 SmartHammer#set boot config flash0:config
或者 SmartHammer#set boot config nvram
这里 disk 表示 CF 卡,Flash 表示 Flash 卡,数字 0 表示第几块卡,系统 一般只配备了一块 CF 卡和 Flash 卡,所以他们的序号都是 0。另外需要注 意的是,nvram 是一块特殊的存储区域,我们将配置文件通过 copy SOURCEFILE startup-config 将配置文件拷贝到 nvram 中,但是并不需要 指明存成什么名字,同样,指定启动时从 nvram 读取配置文件,也不需要 指定配置文件名。 相关命令
set boot options .OPTIONS set boot system PLACE show system boot
1.16 set boot options
1-8
命令格式
set boot options .OPTIONS
命令功能
设置系统启动时的其他启动选项
第 1 章 系统管理命令
第一部分 系统命令
命令模式 参数说明
使用指导
特权模式 参数
说明
.OPTIONS
系统重启后,将以指定参数作为其他启动选项
OPTIONS 的有效参数有: nowatchdog –无看门狗 noconfig –无配置文件 console=ttyS0 –打印启动信息,一般用作调试
配置实例
系统重启后,将以无看门狗无配置的方式启动,如果配置了 noconfig,则 系统忽略对 set boot config 的设置,即系统始终以无配置的方式启动。 SmartHammer#set boot options nowatchdog noconfig
相关命令
set boot config WORD set boot system PLACE show system boot
1.17 set boot system 命令格式
set boot system PLACE
命令功能
设置系统启动时的应用程序文件
命令模式
特权模式
参数说明
参数 PLACE
说明 指明系统用哪个应用程序文件启动
使用指导
本系统中,存放系统应用程序文件 hsos 的地方有两个:CF 卡和 Flash 卡
配置实例
如果 CF 卡或者 Flash 卡上存放了应用程序文件 hsos,则可以如下设置系 统重新启动时的引导文件: SmartHammer#set boot system disk0:hsos
或者 SmartHammer#set boot system flash0:hsos
这里 disk 表示 CF 卡,Flash 表示 Flash 卡,数字 0 表示第几块卡,系统 一般只配备了一块 1-9
第 1 章 系统管理命令
第一部分 系统命令
CF 卡和 Flash 卡,所以他们的序号都是 0。 相关命令
set boot options .OPTIONS set boot config WORD show system boot
1.18 show ip traffic-map 命令格式
show ip traffic-map [NAME]
命令功能
显示 traffic-map 的内存使用情况
命令模式
特权模式
参数说明
参数 NAME
配置实例
说明 Traffice-map的模板名
显示 traffic-map map1 的内存使用情况 SmartHammer(config)#show ip traffic-map
1.19 show memory 命令格式
show memory (crypto|dot1x|l2tp|local|ospf|pim| portal|pppoe|proxy http |rip|vrrp|webauth)
命令功能
显示各模块使用内存情况(供高级用户分析故障使用)
命令模式
特权模式
参数说明
1-10
参数
说明
crypto
显示 ipsec 模块内存使用情况
dot1x
显示 IEEE802.1x 模块内存使用情况
l2tp
显示 l2tp 模块内存使用情况
local
显示 local 本地认证模块内存使用情况
ospf
显示 ospf 模块内存使用情况
pim
显示 pim 模块内存使用情况
portal
显示 portal 模块内存使用情况
pppoe
显示 PPPoE 模块内存使用情况
proxy http
显示 proxy http 模块内存使用情况
rip
显示 rip 模块内存使用情况
第 1 章 系统管理命令
第一部分 系统命令
配置实例
vrrp
显示 vrrp 模块内存使用情况
webauth
显示 webauth 模块内存使用情况
显示 PPPoE 模块内存使用情况 SmartHammer#show memory pppoe
1.20 show running-config 命令格式
show running-config
命令功能
显示当前的配置信息
命令模式
特权模式
配置实例
该命令有个别名:write terminal SmartHammer#show running-config Current configuration: hostname SmartHammer line tty login ! service password-encryption !
crypto isakmp enable crypto isakmp identity address crypto isakmp key AC-NH address 11.1.1.10 crypto isakmp key 1111 address 11.1.1.2 crypto isakmp key 1111 address 11.1.1.6 ! crypto isakmp policy 1 encryption des hash md5 group 2 lifetime 3600
1.21 show startup-config 命令格式
show startup-config
命令功能
显示系统启动时的配置信息 1-11
第 1 章 系统管理命令
第一部分 系统命令
命令模式
特权模式
配置实例
显示启动配置信息 SmartHammer#show startup-config Current configuration: hostname SmartHammer line tty login ! service password-encryption ! crypto isakmp enable crypto isakmp identity address crypto isakmp key AC-NH address 11.1.1.10 crypto isakmp key 1111 address 11.1.1.2 crypto isakmp key 1111 address 11.1.1.6 ! crypto isakmp policy 1 encryption des hash md5 group 2 lifetime 3600
1.22 terminal monitor 命令格式
{no}terminal monitor
命令功能
配置 log 到 console 后,将日志信息输出到输出到操作者所在的终端
命令模式
特权模式
使用指导
可以在 console 终端和 telnet 终端、ssh 终端上使用该命令,将日志信息或 者 debug 信息显示出来
配置实例
配置 PPPoE 大于等于 warning 的日志信息到 console 上 SmartHammer(config)#log pppoe console upto warning
在 telnet 或者 ssh 终端上使用如下命令,将在该终端上显示 PPPoE 日志信 息 SmartHammer#terminal monitor
1-12
第 1 章 系统管理命令
第一部分 系统命令
提示
1。console 所表示的控制终端是用串口相连的终端,即配置 日志记录地方为 console 时,相应的日志信息只会通过串口 输出到对应的终端上,如果您是通过 telnet 或者 ssh 进入系 统的,您不能在终端上看到日志输出信息,如果您要看到相 应的信息,需要执行命令 terminal monitor。 2.terminal monitor 将 log 到 console 或者 debug 信息显示 到操作员所在的终端,如果没有配置日志信息记录的地方为 console 或者删除了对应的配置项,也没有 debug 信息,则 terminal monitor 配置后仍然不会有对应的日志信息显示。 3.默认情况下,通过串口登录的终端,terminal monitor 已 经打开,即日志信息可以输出到串口,而 telnet 或者 ssh 终 端,terminal monitor 默认关闭,即日志信息可以不输出到 telnet 或者 ssh 终端。
相关命令
log debug
1.23 terminal speed 命令格式
terminal speed (1200|2400|4800|9600|19200|38400|57600|115200|)
命令功能
更改 SmartHammer 设备的终端速率,慎用
命令模式
特权模式
参数说明
使用指导
参数
说明
1200
终端速率更改为 1200 字节/秒
2400
终端速率更改为 2400 字节/秒
4800
终端速率更改为 4800 字节/秒
9600
终端速率更改为 9600 字节/秒
19200
终端速率更改为 19200 字节/秒
38400
终端速率更改为 38400 字节/秒
57600
终端速率更改为 57600 字节/秒
115200
终端速率更改为 115200 字节/秒
默认情况下,终端速率为 9600BPS,通常操作员不应该更改终端速率。该 操作主要用在使用 zmodem 协议下载 hsos 时,这样可以加快执行的速度。
1-13
第 1 章 系统管理命令
第一部分 系统命令
1。更改了系统的速率,你必须同时更改更改客户机的速率(比 如超级终端),两者必须一样,才能通过串口操作系统。 提示
配置实例
2.如果为了通过 zmodem 协议升级系统而更改了系统速率 和客户机速率,必须在重起系统前将速率改回 9600,因为系 统重起后又恢复到 9600,如果客户机保持更改后的速率,则 不能建立连接。
更改 SmartHammer 设备的终端速率为 115200 SmartHammer#terminal speed 115200
1.24 who 命令格式
who
命令功能
命令显示当前有哪些操作员登录进系统
命令模式
特权模式
配置实例
显示当前的操作员用户信息 SmartHammer#who User admin *
From
Graphic
console
guest1
A.B.C.D
guest2
A.B.C.D
yes
以上结果表示目前有三个操作员在线上,他们都是通过 login 方式进入系统 的),其中一个由 console 口接入,一个(就是自己)是从 A.B.C.D 使用 telnet 或 SSH 连接到系统,另外一个用户使用图形化界面登录。
1.25 write erase 命令格式
write erase
命令功能
删除系统启动配置文件
命令模式
特权模式
配置实例
删除配置信息 SmartHammer#write erase
该命令必须重起系统后才有效 1-14
第 1 章 系统管理命令
第一部分 系统命令
1.26 write file 命令格式
write file
命令功能
保存配置文件
命令模式
特权模式
使用指导
该命令有两个别名: write memory 和 copy running-config startup-config
配置实例
保存配置文件 SmartHammer#write file
1.27 write memory 命令格式
write memory
命令功能
保存配置文件
命令模式
特权模式
使用指导
该命令有两个别名: write file 和 copy running-config startup-config
配置实例
保存配置文件 SmartHammer#write memory
1.28 write terminal 命令格式
write terminal
命令功能
显示当前的配置信息
命令模式
特权模式
使用指导
该命令有个别名:show running-config
1-15
第 1 章 系统管理命令
配置实例
第一部分 系统命令
显示当前的配置信息 SmartHammer#write terminal Current configuration: hostname SmartHammer line tty login ! service password-encryption ! service telnet log memsize 100 log all memory upto informational crypto isakmp enable crypto isakmp identity address crypto isakmp key AC-NH address 11.1.1.10 crypto isakmp key 1111 address 11.1.1.2 crypto isakmp key 1111 address 11.1.1.6 ! crypto isakmp policy 1 encryption des hash md5 group 2 lifetime 3600
1.29 configure memory 命令格式
configure memory
命令功能
重新分发配置文件里的配置
命令模式
特权模式
使用指导
该命令有个别名主要用在以无配置启动时(比如忘记登录密码),重新分发 配置
配置实例
重新分发配置信息 SmartHammer#configure memory
1-16
第 2 章 系统引导命令
第一部分 系统命令
2
第2章
系统引导命令
2.1 boot 命令格式
boot
命令功能
加载通过HSOS_IMAGE环境变量指定的设备和文件名,并直接引导。
命令模式
特权模式
使用指导
SmartHammer>boot
2.2 load 命令格式
load〔options〕device-name:file-name
命令功能
加载系统通过配置指定的设备和文件名,但不引导系统,如果是加载压缩 文件请使用-z 选项。或加载 SYSINFO 文件通过配置指定的设备和文件名, 如果是加载 SYSINFO 文件请使用-raw 选项。设备名,CF 卡为 disk0,flash 为 flash0。特别注意如果是网络接口请使用该网络接口的 IP 地址作为设备 名。
命令模式
特权模式
参数说明
配置实例
参数
说明
-Z
加载压缩的文件
-raw
加载 SYSINFO 文件
SmartHammer>load -z disk0:hsos.img
加载 CF 卡上的压缩文件 hsos.img SmartHammer> load -z flash0:hsos.img
2-1
第 2 章 系统引导命令
第一部分 系统命令
加载 flash 上的压缩文件 hsos.img SmartHammer> load 192.168.100.18:hsos
加载 192.168.100.18 机器上的非压缩文件 hsos。 Harbour> load -raw 192.168.100.18:sysinfo
加载 192.168.100.18 机上的 SYSINFO 文件 sysinfo。
2.3 go 命令格式
go
命令功能
引导通过 load 命令加载的主机软件。
命令模式
特权模式
命令格式
help
命令功能
显示 CFE 下的命令信息。
命令模式
特权模式
配置实例
SmartHammer>help
2.4 help
2.5 ifconfig 命令格式
ifconfig device 〔options〕
命令功能
配置指定的网络接口。该命令可以配置 MAC 地址,子网掩码,IP 地址等, device 指以太网的设备名。特别注意在 M504 下,eth0 和 eth1 只能配置 硬件的 MAC 地址。
命令模式
特权模式
参数说明
2-2
参数
说明
-hwaddr=xx:xx:xx:xx:xx:xx
指定该网络接口的MAC地址
-addr =a.d.c.d
指定该网络接口的IP地址
第 2 章 系统引导命令
第一部分 系统命令
配置实例
-mask =a.b.c.d
指定该网络接口的子网掩码
-gw =a.b.c.d
指定该网络接口的缺省网关
-domain =string
-domain=string 替DNS的请求指定一个域名 (举例,“Harbournetworks.com”)
-dns = a.b.c.d
指定接口的DNS服务器
Ifconfig eth0 -hwaddr = 00:08:0c:09:13:01 设置 eth0 的 mac 地址为 00:08: 0c:09:13:01 Ifconfig eth0 -addr = 192.168.100.18 设置 eth0 的 IP 地址为 192.168.100.18
2.6 ping 命令格式
ping
命令功能
发送 ICMP echo 消息到指定的主机同时等待一个应答。
命令模式
特权模式
配置实例
SmartHammer> ping
2.7 printenv 命令格式
printenv
命令功能
显示当前的环境变量列表和各个环境变量的值
命令模式
特权模式
2.8 reset 命令格式
reset
命令功能
重新启动系统
命令模式
特权模式
2.9 set console 命令格式
set console device
2-3
第 2 章 系统引导命令
第一部分 系统命令
命令功能
改变 CFE 的 console 到指定的设备
命令模式
特权模式
使用指导
一般用该命令测试另外 UART 是否可用。 SmartHammer> set console uart1
2.10 set time 命令格式
set time time
命令功能
设置系统的年月日时分妙 格式为 hh:mm:ss:mm:dd:yyyy
命令模式
特权模式
使用指导
设置当前时间为 2006 年 4 月 5 号 1 小时 2 分 3 秒 SmartHammer>set time 01:02:03:04:05:2006
2.11 setenv 命令格式
setenv varname value
命令功能
设置系统启动时的环境变量
命令模式
特权模式
使用指导
本系统中, 只有 HSOS_OPTIONS、HSOS_CONFIG 以及 HSOS_IMAGE 三个游泳的环境变量需要使用 setenv 设置,其它和网口有关的环境变量请 使用 ifconfig 进行设置。
配置实例
SmartHammer> setenv HSOS_IMAGE “disk0:hsos.Img”
2.12 show devices
2-4
命令格式
show devices
命令功能
设置系统启动时的应用程序文件
命令模式
特权模式
第 2 章 系统引导命令
第一部分 系统命令
使用指导
显示在 CFE 中已经配置了的驱动设备列表
2.13 show time 命令格式
show time
命令功能
显示系统当前的时间
命令模式
特权模式
2.14 test cpld 命令格式
test cpld
命令功能
检测 CPLD 设备是否完好
命令模式
特权模式
2.15 test disk disk0 命令格式
test disk disk0
命令功能
检测 CF 卡设备是否完好
命令模式
特权模式
配置实例
SmartHammer> test disk disk0
2.16 test fatfs 命令格式
test fatfs device
命令功能
测试设备是否有文件系统,且查看里面的内容。
命令模式
特权模式
使用指导
查看 CF 卡(device=disk0)或者 Flash(device=flash0)里面的内容 2-5
第 2 章 系统引导命令
第一部分 系统命令
SmartHammer> test fatfs disk0 查看 disk0 里面保存的文件。
2.17 test flash 命令格式
test flash
命令功能
检测 FLASH 设备是否完好。
命令模式
特权模式
使用指导
用于出厂是自检,谨慎使用。
配置实例
SmartHammer> test flash
2.18 test nvram 命令格式
test nvram
命令功能
检测 NVRAM 设备是否完好
命令模式
特权模式
使用指导
用于出厂是自检,谨慎使用
配置实例
SmartHammer> test nvram
2.19 test pci
2-6
命令格式
test pci
命令功能
测试 pci 设备是否完好
命令模式
特权模式
配置实例
SmartHammer> test pci
第 2 章 系统引导命令
第一部分 系统命令
2.20 test sdram 命令格式
test sdram
命令功能
测试 sdram 设备是否完好
命令模式
特权模式
配置实例
SmartHammer> test sdram
2-7
第 3 章 SNMP 命令
第一部分 系统命令
3
第3章
SNMP 命令
3.1 community 命令格式
community WORD [ro] no community WORD
命令功能
设置 community 只读(ro)访问权限。使用 no community WORD 可以删 除已设置的访问权限
命令模式
SNMP 配置模式
参数说明
参数
说明
WORD
访问权限字符串
[ro]
设置只读访问权限
默认状态
只读访问权限为 public
使用指导
只读的 community 只能对设备信息进行查询
配置实例
设置 community 只读访问权限为 public SmartHammer(config -snmp)# community public
相关命令
community WORD rw
3.2 community rw 命令格式
community WORD rw no community WORD
命令功能
设置 community 读写(rw)访问权限。使用 no community WORD 可以删 除已设置的访问权限
命令模式
SNMP 配置模式
3-1
第 3 章 SNMP 命令
参数说明
第一部分 系统命令
参数 WORD
说明 访问权限字符串
默认状态
读写访问权限为 private
使用指导
读写的 community 能对设备进行查询和配置
配置实例
设置 community 读写访问权限为 private SmartHammer(config -snmp)# community private rw
相关命令
community WORD [ro]
3.3 snmp-server 命令格式
{no}snmp-server
命令功能
进入 SNMP 配置节点。使用 no snmp-server 命令将删除所有 snmp 配置。
命令模式
配置模式
配置实例
进入 SNMP 配置节点 SmartHammer(config)#snmp-server
3.4 trap-community 命令格式
trap-community WORD no trap-community
命令功能
设置 trap 的访问权限。使用 no trap-community 命令将取消对 trap 访问权 限的配置。
命令模式
SNMP 配置模式
参数说明
参数 WORD
3-2
说明 trap community 访问权限
默认状态
trap community 访问权限为 public
配置实例
设置 trap community 访问权限为 public
第 3 章 SNMP 命令
第一部分 系统命令
SmartHammer(config -snmp)# trap-community public
相关命令
trap-host A.B.C.D
3.5 trap-host 命令格式
trap-host A.B.C.D no trap-host
命令功能
设置接收 trap 的目的主机的 IP 地址。使用 no trap-community 命令将取消 对接收 trap 的目的主机的 IP 地址的配置。
命令模式
SNMP 配置模式
参数说明
参数 A.B.C.D
配置实例
说明 IP 地址
设置接收 trap 的目的主机的 IP 地址为 192.168.19.191 SmartHammer(config-snmp)# trap-host 192.168.19.191
相关命令
trap-community WORD
3-3
第 4 章 系统监控与诊断命令
4
第一部分 系统命令
第4章
系统监控与诊断命令
4.1 ping 命令格式
ping WORD
命令功能
测试网络的连通性
命令模式
特权模式
参数说明
参数 WORD
配置实例
说明 目的主机的 ip 地址
测试系统与 192.168.0.6 主机的连通性 SmartHammer#ping 192.168.0.6
相关命令
traceroute
4.2 show system 命令格式
show system (boot|cmdline|cpuinfo|date|meminfo|service|slabinfo|uptime)
命令功能
显示系统的一些基本信息
命令模式
特权模式
参数说明
4-2
参数
说明
boot
显示系统的启动参数
cmdline
显示命令行的情况
cpuinfo
显示系统的 cpu 运行状况
date
显示当前的日期
meminfo
显示系统的内存使用情况
service
显示系统提供的服务
slabinfo
显示模块内存情况
第 4 章 系统监控与诊断命令
第一部分 系统命令
显示系统连续运行的时间
uptime
配置实例
显示系统的启动参数 SmartHammer#show system boot HSOS_IMAGE
disk0:hsos2059
HSOS_CONFIG
nvram
HSOS_OPTIONS
nowatchdog
表示系统以第一块 cf 卡上的 hsos2059 应用程序文件启动,从 nvram 读取 配置信息,系统以无看门狗方式运行 显示系统提供的服务 SmartHammer#show system service Service
On/Off
Telnet
on
SSH
on
表示系统提供了两种服务:telnet 和 ssh,这两种服务都已经打开,说明您 可以通过 telnet 和 ssh 登录系统 显示系统的内存使用情况 SmartHammer#show system meminfo total: Mem:
used:
free:
shared: buffers:
1053356032 139894784 913461248
Swap: MemTotal: MemFree:
0
0
0
892052 kB 0 kB
Buffers:
392 kB
SwapCached: Active: Inactive: HighTotal:
cached:
401408 77529088
1028668 kB
MemShared: Cached:
0
75712 kB 0 kB 3260 kB 119304 kB 131072 kB
HighFree:
69500 kB
LowTotal:
897596 kB
LowFree:
822552 kB
SwapTotal:
0 kB
SwapFree:
0 kB
可以看到系统当前的内存使用情况,如果要了解某个模块使用的内存,请 使用命令 show memory
4-3
第 4 章 系统监控与诊断命令
第一部分 系统命令
4.3 show cpu-usage 命令格式
show cpu-usage
命令功能
查看系统的 cpu 利用率信息
命令模式
特权模式
配置实例
查看系统的 cpu 利用率信息 SmartHammer#show cpu-usage CPU usage statics: Recent 1 sec:
average 0.00%
Recent 5 sec:
average 1.27%
Recent 1 min:
average 1.36%
分别表示最近 1 秒钟、5 秒钟、1 分钟 cpu 的利用率
4.4 show memory-usage 命令格式
show memory-usage
命令功能
查看系统的内存利用率信息
命令模式
特权模式
配置实例
查看系统的内存利用率信息 SmartHammerG503# show memory-usage Memory usage statics: Total memory:
1010434048
Used memory:
147058688
Free memory:
863375360
Usage:
14.55%
表示当前系统可用内存为:1010434048 字节,已经使用的内存为: 863375360,使用了 14.55%,对于内存使用情况,show system meminfo 反映的信息更为详细 相关命令
4-4
show system meminfo
第 4 章 系统监控与诊断命令
第一部分 系统命令
4.5 show version 命令格式
show version
命令功能
查看系统的版本信息
命令模式
特权模式
配置实例
查看系统的版本信息 SmartHammer#show version Harbour OS KIDA_1.3_2059 Build 2059 at Tue Jan 13 16:45:23 EST 2004. Copyright (c) Harbour Networks Limited All rights reserved.
可以看到当前的系统版本是第 3 版,build 号是 2059,编译时间是 2004 年 1 月 13 号星期二下午 4 点。
4.6 traceroute 命令格式
traceroute WORD
命令功能
测试网络的连通性,获取到达某一目的网络的路径
命令模式
普通模式和特权模式
参数说明
参数 WORD
配置实例
说明 目的网络的 ip 地址
测试系统与 192.168.0.6 主机的连通性 SmartHammer#traceroute 192.168.0.6
相关命令
ping
4-5
第 5 章 统日志命令
第一部分 系统命令
5
第5章
统日志命令
5.1 log DAEMON LOCATION MASKPRI PRIORITY 命令格式
{no}log (all|aaam|acl|arp|bgp|bridge|cli|crypto|dhcp|dot1x|gre|inspect|l2tp |nat|netflow|nsm|policy|portal|ppp|pppoe|qos|urlf|vrrp|vlan|webauth |packet) (A.B.C.D|memory|console)(upto|only|except)(emergencies|alerts|criti cal|errors|warnings|notifications|informational)
命令功能
记录某一(全部)模块的日志信息
命令模式
全局配置模式
参数说明
配置实例
参数
说明
all aaam 等
所有模块
A.B.C.D
将日志记录到日志服务器的 ip 地址
memory
将日志记录到系统内存
console
将日志记录到控制终端
upto
记录大于等于指定级别的日志 信息
only
记录等于指定级别的日志信息
except
记录不等于指定级别的日志信 息
emergencies
日志级别:0(最高)
alerts
日志级别:1
critical
日志级别:2
errors
日志级别:3
warnings
日志级别:4
notifications
日志级别:5
informational
日志级别:6
aaam 等模块
将 pppoe 模块等于优先级 informational 的日志信息记录到系统内存 5-1
第 5 章 统日志命令
第一部分 系统命令
SmartHammer(config)#log pppoe memory only informational SmartHammer(config)#log all 192.168.0.1 upto informational
将所有模块大于等于优先级 informational 的日志信息记录到日志服务器 192.168.0.1 informational 的优先级最低,这其实表示了系统将记录最为广泛的日志信 息。
5.2 log memsize 命令格式
log
memsize
<1-10000>
no log memsize
命令功能
设置记录日志信息的系统内存的大小
命令模式
全局配置模式
参数说明
参数
说明
<1-10000>
系统内存大小,单位为 K 字节
默认状态
记录日志的内存默认为 1K 字节
配置实例
设置记录日志信息的系统内存大小为 10K SmartHammer(config)#log memsize 10
5.3 show logmemory 命令格式
show logmemory
命令功能
显示系统内存中记录的日志信息
命令模式
特权模式
使用指导
必须先配置某个模块的记录地方为系统内存,本条命令才有意义
配置实例
将 cli 模块大于等于优先级 informational 的日志信息记录到系统内存 SmartHammer(config)#log cli memory only informational
显示系统内存中记录的日志信息 SmartHammer#show logmemory
5-2
第 5 章 统日志命令
第一部分 系统命令
Jan 17 18:54:49 Router vtysh[380]: command line(192.168.0.192): end Jan 17 18:54:50 Router vtysh[380]: command line(192.168.0.192): wr t Jan 17 18:54:54 Router vtysh[380]: command line(192.168.0.192): show logmemory
5.4 log DAEMON ratelimit <1-15> 命令格式
{no}log (all|aaam|acl|arp|bgp|bridge|cli|crypto|dhcp|dot1x|gre|inspect|l2tp |nat|netflow|nsm|policy|portal|ppp|pppoe|qos|urlf|vrrp|vlan|webauth |packet) ratelimit <1-15>
命令功能
设置某一(全部)模块的日志信息
命令模式
全局配置模式
使用指导
只有在有持续大量的日志情况下,才会表现出多少秒钟记录一次日志,在 少量或者突发情况下,ratelimit 不会限制速率
参数说明
参数
说明
all aaam 等
所有模块
ratelimit
速率限制
<1-15>
速率限制的具体值,表示多少秒 一次
aaam 等模块
默认状态
没有速率限制
配置实例
将 pppoe 模块的速率限制到 5 秒钟一次 SmartHammer(config)#log pppoe ratelimit 5
相关命令
debug DAEMON ratelimit <1-15>
5-3
第 6 章 以太网接口命令
第一部分 系统命令
6
第6章
以太网接口命令
6.1 auto 命令格式
auto (on|off)
命令功能
启用或者禁止端口的自协商功能
命令模式
以太网接口配置模式
参数说明
参数
说明
on
启用端口的自协商功能
off
禁止端口的自协商功能
默认状态
on,即默认状态下,端口的自协商功能打开
使用指导
当端口工作在自协商模式下时,不能配置端口参数(如速率、双工状态等) , 如果需要手工配置端口参数,则必须禁止端口的自协商功能。另外,不能 配置光口为 auto off,即光口都是 auto on 的。
配置实例
禁止端口的自协商功能 SmartHammer(config-if)#auto off
6.2 duplex 命令格式
duplex (full|half) no duplex
命令功能
设置端口工作在全双工或者半双工模式下
命令模式
以太网接口配置模式
参数说明
参数
说明
full
设置端口工作在全双工模式下
half
设置端口工作在半双工模式下 6-1
第 6 章 以太网接口命令
配置实例
第一部分 系统命令
指定某个接口工作在全双工模式下 SmartHammer(config-if)#duplex full
6.3 ip address 命令格式
{no}ip address A.B.C.D/M
命令功能
设置某一接口的 ip 地址
命令模式
以太网接口配置模式
参数说明
参数 A.B.C.D/M
说明 某一接口的 ip 地址和掩码长度
使用指导
只有配置了接口的 ip 地址,该接口才实际可用
配置实例
进入太网接口配置模式 SmartHammer(config)#interface ge0
设置 ge0 接口的 ip 地址为 192.168.0.1,掩码长度为 16,即掩码为 255.255.0.0 SmartHammer(config-if)#ip address 192.168.0.1/16
6.4 shutdown 命令格式
{no}shutdown
命令功能
关闭端口
命令模式
以太网接口配置模式
使用指导
端口关闭后将不再收发数据,主要用于系统故障的发现和诊断,但是通常 情况下不需要这样做。
配置实例
进入以太网接口配置模式 SmartHammer(config)#interface ge0
关闭 ge0 端口 SmartHammer(config-if)#shutdown
6-2
第 6 章 以太网接口命令
第一部分 系统命令
6.5 speed 命令格式
speed (10|100) no speed
命令功能
设置端口速率
命令模式
以太网接口配置模式
参数说明
参数
说明
10
端口速率为 10Mbps
100
端口速率为 100Mbps
默认状态
100Mbps
配置实例
设置某一端口的速率为 100Mbps SmartHammer(config-if)#speed 100
6-3
第 7 章 GRE 接口命令
第一部分 系统命令
7
第7章
GRE 接口命令
7.1 destination 命令格式
{no} destination A.B.C.D
命令功能
配置 GRE 对端物理接口 IP 地址
命令模式
配置模式
参数说明
参数 A.B.C.D
说明 GRE对端物理接口IP
使用指导
GRE 对端物理接口 IP 地址是 GRE 隧道通信的对端
配置实例
设置 GRE 对端物理接口 IP,使用以下命令: SmartHammer(config-if)#destination 1.1.1.1 SmartHammer(config-if)#
7.2 interface gre 命令格式
{no} interface gre<0-1023>
命令功能
本节讲述针对 GRE 端口的配置选项
命令模式
配置模式
参数说明
参数 <0-1023>
默认状态
说明 GRE端口编号
接口不存在
7-1
第 7 章 GRE 接口命令
第一部分 系统命令
使用指导
本节讲述针 GRE 端口的配置选项, 使用 GRE 协议与对端路由器或防火墙 设备建立虚拟的、点对点通信。GRE 是第三层的隧道协议,它利用一种协 议的传输能力为另一种协议建立了点到点的隧道,被封装的报文将在隧道 的两端进行封装和解封
配置实例
创建和配置 gre0,使用以下命令: SmartHammer(config)#interface gre0 SmartHammer(config-if)#
7.3 key 命令格式
{no} key <1-1023>
命令功能
配置隧道的标识 key
命令模式
配置模式
参数说明
参数 <1-1023>
说明 隧道的标识key范围
使用指导
GRE 隧道的 KEY 值用于区分不同的隧道,系统自动为隧道分配初始值为 0 的默认值
配置实例
配置隧道 gre0 的 key 为 10,使用以下命令: SmartHammer(config)#interface gre0 SmartHammer(config-if)#key 10
7.4 source 命令格式
{no} source (A.B.C.D|IFNAME)
命令功能
绑定 GRE 接口到物理接口
命令模式
配置模式
参数说明
使用指导 7-2
参数
说明
要绑定的接口的名称
要绑定的接口的IP地址
可以绑定物理接口和 loopback 虚拟接口
第 7 章 GRE 接口命令
第一部分 系统命令
配置实例
设置绑定 ge0,使用以下命令: SmartHammer(config-if)#source ge0 SmartHammer(config-if)#
7-3
第 8 章 VLAN 接口命令
第一部分 系统命令
8
第8章
VLAN 接口命令
8.1 debug vlan 命令格式
{no}debug vlan [(recv|send)]
命令功能
实现对从 VLAN 接口接收和发送报文的调试。由于 debug 命令会在命令行 上打印大量信息,占用很多 CPU 资源,因此强烈建议用户,当调试结束时, 一定要用 no debug vlan 命令禁用此功能。
命令模式
特权模式
参数说明
参数 recv
说明
send
调试从VLAN接口发送报文问题
调试从VLAN接口接收报文问题
使用指导
您可以使用 debug vlan 指令调试所有与 VLAN 接口报文接收相关问题。
配置实例
SmartHammer#debug vlan
8.2 interface IFNAME .VID 命令格式
{no} interface IFNAME.VID
命令功能
创建以太网接口 IFNAME 的子接口,并在该子接口上使用 VLAN 封装, VLAN ID 为 VID。使用 no interface IFNAME.VID 可以删除已创建的 VLAN 子接口。
命令模式
配置模式
参数说明
参数 IFNAME
说明
VID
VLAN ID
物理以太网接口名
8-1
第 8 章 VLAN 接口命令
使用指导
第一部分 系统命令
如果要让 SmartHammer 设备识别带 VLAN 标识的包,需要创建一个以太 网子接口,并且为其指定一个 VLAN ID,则可以通过该子接口接收/转发带 VLAN 标识的包。 SmartHammer 设备的 VLAN ID 值的范围是 1-4094。
当该以太网接口已加入网桥,则不能创建 VLAN 子接口 提示
配置实例
创建物理接口 ge0 的 VLAN 子接口,VLAN ID 为 20: SmartHammer(config)#interface ge0.20 SmartHammer(config-if)#
8-2
第 9 章 LoopBack 接口命令
第一部分 系统命令
9
第9章
LoopBack 接口命令
9.1 duplex 命令格式
duplex (full|half) no duplex
命令功能
设置端口工作在全双工或者半双工模式下
命令模式
LoopBack 接口配置模式
参数说明
使用指导
参数 full
说明 设置端口工作在全双工模式下
half
设置端口工作在半双工模式下
指定某个接口工作在全双工模式下 SmartHammer(config-if)#duplex full
9.2 interface lo 命令格式
{no} interface loNUM
命令功能
Loopback 接口是 SmartHammer 中由软件实现的环回接口,它是 SmartHammer 中应用广泛的一种虚拟接口,通常用于测试及管理的作用
命令模式
配置模式
参数说明
参数 NUM
说明 LoopBack接口编号
默认状态
只有一个名为 lo 的 LoopBack 接口
使用指导
LoopBack 接口可以手工创建多个,dhcp 服务器给 pppoe 用户分配 ip 地址 就需要配置 LoopBack 接口,详细说明请参考 DHCP 有关章节
9-1
第 9 章 LoopBack 接口命令
配置实例
第一部分 系统命令
创建 LoopBack 接口 lo1, SmartHammer(config)#interface lo1
9.3 ip address secondary 命令格式
{no}ip address A.B.C.D/M secondary
命令功能
为指定的接口配置第二个 IP 地址
命令模式
LoopBack 接口配置模式
参数说明
参数
说明
A.B.C.D/M 使用指导
可以给接口配置第二个 IP 地址,接口的第二个 IP 地址与其主 IP 地址功能 一样,SmartHammer 内置的 PPPoE 服务器可以通过内置的 DHCP 服务 器获得地址,此时必须正确配置 LoopBack 接口的第二个 IP 地址
配置实例
配置 LoopBack 接口 lo 的第二个 IP 地址为 172.1.20.1/24,使用以下命令: SmartHammer(config)#interface lo SmartHammer(config-if)#ip address 172.1.20.1/24 secondary SmartHammer(config-if)#exit
9.4 speed 命令格式
speed (10|100) no speed
命令功能
设置端口速率
命令模式
LoopBack 接口配置模式
参数说明
9-2
参数 10
说明 端口速率为 10Mbps
100
端口速率为 100Mbps
默认状态
100Mbps
配置实例
端口速率设置为 100Mbps
第 9 章 LoopBack 接口命令
第一部分 系统命令
SmartHammer(config-if)#speed 100
9-3
第 10 章 透明桥命令
第一部分 系统命令
10
第10章
透明桥命令
10.1 debug bridge 命令格式
{no}debug bridge [(recv|send)]
命令功能
实现对从网桥接收和发送报文的调试,以及网桥其他工作情况的调试。
由于 debug 命令会在命令行上打印大量信息,占用很多 CPU 资源,因此 强烈建议用户,当调试结束时,一定要用 no debug bridge 命令禁用此功能。 命令模式 参数说明
特权模式 参数 recv
说明
send
调试从网桥发送报文问题
调试从网桥接收报文问题
使用指导
您可以使用 debug bridge 指令调试所有与网桥接口报文接收相关问题。
配置实例
SmartHammer#debug bridge
10.2 show bridge 命令格式
show bridge [NUM]
命令功能
显示网桥(组)信息
命令模式
特权模式
参数说明
参数 NUM
配置实例
说明 网桥组号,例如网桥组bvi10的组 号为10
显示网桥组 bvi20 的信息 SmartHammer#show bridge 20
10-1
第 10 章 透明桥命令
第一部分 系统命令
10.3 show bridge-group 命令格式
show bridge-group [NUM]
命令功能
显示网桥(组)中各端口的信息
命令模式
特权模式
参数说明
参数 NUM
配置实例
说明 网桥组号,例如网桥组bvi10的组 号为10
显示网桥组 bvi20 中各端口的信息 SmartHammer#show bridge-group 20
10.4 show bridge-fdb 命令格式
show bridg- fdb [NUM]
命令功能
显示网桥(组)的 FDB 信息
命令模式
特权模式
参数说明
参数 NUM
配置实例
说明 网桥组号,例如网桥组bvi10的组号为10
显示网桥组 bvi10 的 FDB 信息 SmartHammer#show bridge-fdb bvi10
10.5 interface IFNAME
10-2
命令格式
{no} interface IFNAME
命令功能
创建网桥(组)。使用 no interface IFNAME 可以删除已创建的网桥(组)
命令模式
配置模式
第 10 章 透明桥命令
第一部分 系统命令
参数说明
配置实例
参数 IFNAME
说明 网桥(组)名,以bvi开头,后面添加从0到255 的数字,代表从0到255的网桥
创建网桥(组)bvi10 : SmartHammer(config)#interface bvi10 SmartHammer(config-if)#
相关命令
bridge-group <0-255>
1)将一个端口加入一个网桥组时该端口的所有 IP 地址将被 删除。 提示
2)以太网主接口和子接口(VLAN 接口)不能同时属于同一 个网桥组。 3)以太网主接口和子接口(VLAN 接口)不能同时属于不同 的网桥组。 4)一个网桥组中最多只能加入 254 个端口。
10.6 bridge-group 命令格式
{no}bridge-group <0-255>
命令功能
将物理以太网接口或虚拟接口加入一个特定的网桥组,no bridge-group 将 从特定的网桥组中剥离该接口
命令模式
以太网接口模式
参数说明
配置实例
参数 <0-255>
说明 网桥组组号(即BVI接口号)
将接口 ge0 加入网桥组 10 SmartHammer(config)#interface ge0 SmartHammer(config-if)#bridge-group 10
1)将一个端口加入一个网桥组时该端口的所有 IP 地址将被 删除。 提示
2)以太网主接口和子接口(VLAN 接口)不能同时属于同一 个网桥组。 3)以太网主接口和子接口(VLAN 接口)不能同时属于不同 的网桥组。 4)一个网桥组中最多只能加入 254 个端口。 10-3
第 10 章 透明桥命令
第一部分 系统命令
10.7 bridge-group priority 命令格式
bridge-group priority <0-65535> no bridge-group priority
命令功能
如果网桥组端口优先级。使用 no bridge-group priority 可以取消对网桥组 端口优先级的设置,使其恢复到缺省配置。
命令模式
以太网接口模式
参数说明
参数 <0-65535>
说明 网桥组端口的优先级
默认状态
32768
使用指导
网桥组端口的 ID 由两部分组成:1 字节的优先级和 1 字节的端口号。当网 桥有两个端口都连接在 LAN 上从而形成回路时,可以通过网桥端口 ID 来 影响端口的选择,ID 越小的端口越有可能成为指定端口。因此,如果网桥 端口的优先级越小,则网桥端口的 ID 越小,越有可能成为指定端口。
配置实例
设置已加入网桥(组)的以太网接口 ge0 的优先级为 10000 SmartHammer(config)#interface ge0 SmartHammer(config-if)#bridge-group priority 10000
10.8 bridge priority 命令格式
bridge priority <0-65535> no bridge priority
命令功能
设置网桥(组)的优先级,使用使用 no bridge priority 可以取消对网桥(组) 优先级的设置,使其恢复到缺省配置。
命令模式
BVI 接口模式
参数说明
参数 <0-65535>
默认状态
10-4
32768
说明 网桥优先级
第 10 章 透明桥命令
第一部分 系统命令
使用指导
网桥的 ID 由网桥优先级和网桥 MAC 地址组成。网桥优先级是一个 2 字节 的值,可以影响根网桥以及指定网桥的选择。它是桥 ID 中的最高位。数字 越小,说明该网桥越有可能成为根网桥。
配置实例
设置网桥(组)bvi10 的优先级为 64000 SmartHammer(config)#interface bvi10 SmartHammer(config-if)#bridge priority 64000
10-5
第 11 章 ARP 和代理 ARP 命令
第一部分 系统命令
11
第11章
ARP 和代理 ARP 命令
11.1 debug arp 命令格式
{no}debug arp [(recv|send)]
命令功能
实现对接收和发送 ARP 报文的调试。由于 debug 命令会在命令行上打印 大量信息,占用很多 CPU 资源,因此强烈建议用户,当调试结束时,一定 要用 no debug arp 命令禁用此功能。
命令模式
特权配置模式
参数说明
参数 recv
说明
send
调试发送ARP报文问题
调试接收ARP报文问题
使用指导
可以使用 debug arp 指令调试所有与 ARP 相关问题。
配置实例
实现对接收和发送 ARP 报文的调试。 SmartHammer#debug arp
11.2 ip arp A.B.C.D xx:xx:xx:xx:xx:xx 命令格式
{no} ip arp A.B.C.D xx:xx:xx:xx:xx:xx
命令功能
添加静态 ARP。 使用 no ip arp A.B.C.D [xx:xx:xx:xx:xx:xx]命令可以删除已添加的静态 ARP
命令模式 参数说明
全局配置模式 参数
说明
A.B.C.D
要添加静态 ARP 的 IP 地址
xx:xx:xx:xx:xx:xx
要添加静态 ARP 的 MAC 地址
11-1
第 11 章 ARP 和代理 ARP 命令
配置实例
第一部分 系统命令
添加静态 ARP,IP 地址为 192.168.0.191,MAC 地址为 00-10-dc-4e-a8-41 SmartHammer(config)# ip arp 192.168.0.191 00:10:dc:4e:a8:41
11.3 ip proxy-arp 命令格式
ip proxy-arp
命令功能
在接口下启动代理 ARP 功能
命令模式
以太网接口模式、VLAN 接口模式
默认状态
不启用代理 ARP 功能
配置实例
在以太网接口 ge0 上启动代理 ARP 功能 SmartHammer(config)#interface ge0 SmartHammer(config-if)#ip proxy-arp
11.4 ip arp queue-len 命令格式
ip arp queue-len <0-10>
命令功能
设置在 ARP 被解析前,该 ARP 队列中保留的数据包个数。
命令模式
以太网接口模式、VLAN 接口模式
参数说明
参数 <0-10>
说明 ARP 队列中保留的数据包个数
默认状态
3
使用指导
在 ARP 被解析前,数据包无法被正常转发,因此在该 ARP 队列中可以保 留一定数量的数据包,当 ARP 被解析后,将这些数据包正常转发。 并不是 ARP 队列越大越好,ARP 队列越大,当受到 ARP 攻击时,系统中 保留的数据包越多,占用系统资源就越多。
配置实例
设置在 ARP 被解析前,该 ARP 队列中只保留 1 个数据包 SmartHammer(config-if)#ip arp queue-len 1
11-2
第 11 章 ARP 和代理 ARP 命令
第一部分 系统命令
11.5 show ip arp 命令格式
show ip arp [A.B.C.D]
命令功能
显示当前系统中的 ARP 表或特定的表项。
命令模式
特权模式
参数说明
参数 [A.B.C.D]
配置实例
说明 需要显示的特定 ARP 表项中的 IP 地址
显示当前系统中的 ARP 表 SmartHammer#show ip arp
11.6 clear ip arp dynamic 命令格式
clear ip arp dynamic
命令功能
清除当前系统中的动态 ARP 表项,不包括静态 ARP 表项。
命令模式
特权模式
配置实例
清除当前系统中的动态 ARP 表表项 SmartHammer#clear ip arp dynamic
11-3
第 12 章 DHCP 服务命令
第一部分 系统命令
12
第12章
DHCP 服务命令
12.1 dhcp 命令格式
dhcp
命令功能
进入 DHCP 配置结点,配置内置的 DHCP 服务器选项
命令模式
配置模式
默认状态
不启用内置的 DHCP 服务器
使用指导
DHCP 服务器用来给 PPPoE 用户、 Dot1X 用户和 WEB 认证的用户分配 IP 地址,配置网络参数。
配置实例
进入 DHCP 相关配置,使用以下命令: SmartHammer(config)#dhcp SmartHammer(config-dhcp)#
12.2 share-net NAME A.B.C.D E.F.G.H 命令格式
{no} share-net NAME A.B.C.D E.F.G.H
命令功能
命令 share-net NAME A.B.C.D E.F.G.H 用于向 DHCP 子网中增 加地址池
命令模式
配置模式
参数说明
参数 A.B.C.D
地址池开始地址
E.F.G.H
地址池结束地址
地址池租期
NAME
share-net 名
说明
12-1
第 12 章 DHCP 服务命令
使用指导
第一部分 系统命令
命令 share-net NAME A.B.C.D E.F.G.H 用于向 DHCP 子网中增 加地址池
提示
配置实例
租期的设置视情况而定,一般在地址紧张的情况下可设定较 短的租期如两小时。如果地址池充分,可以考虑分配客户端 长达数星期的地址租期
增加一个 192.168.0.10 到 192.168.0.50 的地址池,使用以下命令: SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 192.168.0.20 192.168.0.50 SmartHammer(config-dhcp)# exit
12.3 share-net NAME dns 命令格式
{no} share-net NAME dns A.B.C.D
命令功能
命令 share-net NAME dns A.B.C.D 用于配置 DHCP 服务器分 配给客户端的 DNS 域名服务器地址
命令模式
配置模式
参数说明
参数 NAME
Share-net 名
A.B.C.D
主DNS地址
辅DNS地址
说明
使用指导
命令 share-net NAME dns A.B.C.D 用于配置 DHCP 服务器分 配给客户端的 DNS 域名服务器地址
配置实例
设置分配的 DNS 地址 10.0.0.1,使用以下命令: SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 dns 10.0.0.1 SmartHammer(config-dhcp)# exit
12.4 share-net NAME router
12-2
命令格式
{no} share-net NAME router A.B.C.D
命令功能
命令 share-net NAME router A.B.C.D 用于配置 DHCP 服务器分配给客户 端的默认网关地址
第 12 章 DHCP 服务命令
第一部分 系统命令
命令模式
配置模式
参数说明
参数 NAME
share-net 名
A.B.C.D
网关IP
说明
使用指导
命令 share-net NAME router A.B.C.D 用于配置 DHCP 服务器分配给客户 端的默认网关地址。
配置实例
设置分配的网关地址 192.168.0.1,使用以下命令: SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 router 192.168.0.1 SmartHammer(config-dhcp)# end
12.5 share-net NAME subnet 命令格式
{no} share-net NAME subnet A.B.C.D/M
命令功能
配置 DHCP 服务器分配地址的子网范围
命令模式
配置模式
参数说明
参数 NAME
share-net名
A.B.C.D/M
待分配的地址池子网范围
使用指导
说明
该命令用于配置 DHCP 的子网范围,同时启用子网范围所在接口的 DHCP 服务
合法的 DHCP 子网范围隶属于某个接口所在的子网 提示
配置实例
设置 192.168.0.0/24 的子网,使用以下命令: SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 subnet 192.168.0.0/24
12-3
第 12 章 DHCP 服务命令
第一部分 系统命令
12.6 share-net NAME wins 命令格式
{no} share-net NAME wins A.B.C.D
命令功能
命令 share-net NAME wins A.B.C.D 用于配置 DHCP 服务器分配给客户端 的 Windows 域名解析服务器地址。
参数说明
使用指导
参数 NAME
Share-net 名
A.B.C.D
WINS服务器地址
命令 share-net NAME wins A.B.C.D 用于配置 DHCP 服务器分配给客户端 的 Windows 域名解析服务器地址。
提示
配置实例
说明
Windows 域 名 解 析 仅 用 于 联 网 的 windows 机 器 解 析 windows 域名
设置分配的 WINS 地址 10.0.0.1,使用以下命令: SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 wins 10.0.0.1 SmartHammer(config-dhcp)# exit
12-4
第 13 章 DHCP Relay 服务命令
第一部分 系统命令
13
第13章
DHCP Relay 服务命令
13.1 relay 命令格式
{no} relay A.B.C.D
命令功能
配置 DHCP Relay 服务器 IP 地址
命令模式
配置模式
参数说明
参数 A.B.C.D
主DHCP服务器地址
辅DHCP服务器地址
默认状态 使用指导
无 配置 DHCP Relay 服务器 IP 地址,可以指定两个 DHCP Server 的 IP。
提示
配置实例
说明
不能同时启用 DHCP 和 DHCP RELAY 服务,DHCP 服务器 必须有到达 DHCP Relay 的路由客户端才能正确获得 IP 地址
设置 dhcp relay 地址 10.0.0.1,使用以下命令: SmartHammer(config)#dhcp SmartHammer(config-dhcp)# relay 10.0.0.1 SmartHammer(config-dhcp)# exit
13-1
第 14 章 VRRP 命令
第一部分 系统命令
14
第14章
VRRP 命令
14.1 advertise-time 命令格式
advertise-time <1-10> no advertise-time
命令功能
配置 VRRP 路由器的通告时间间隔
命令模式
VRRP 路由器配置模式
参数说明
参数 <1-10>
说明 VRRP路由器的通告时间间隔可 以配置为1到10秒
默认状态
1秒
使用指导
虚拟路由器中的主路由器每隔一段时间要发送通告报文,通知备份路由器 自己的状态。如果备份路由器在三个间隔时间收不到通告报文,将重新进 行路由器选举,选出新的主路由器。默认的通告时间间隔为 1 秒。
配置实例
配置 vrrp router 1 的通告时间间隔为 3 秒,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1 SmartHammer(config-vrrp)# advertise-time 3
14.2 debug vrrp 命令格式
{no}debug vrrp [(state|packet)]
命令功能
显示 VRRP 模块的调试信息
命令模式
特权模式
参数说明
参数
说明 14-1
第 14 章 VRRP 命令
第一部分 系统命令
state
显示vrrp router的状态转换信息
packet
显示接收和发送的vrrp报文
使用指导
可以使用 debug vrrp 指令调试所有的 VRRP 问题。由于 VRRP 报文接收 和发送的频率比较快,如果不想显示太多的 VRRP 报文信息,也可以单独 使用 debug vrrp state 只显示状态转换信息。
配置实例
SmartHammer#debug vrrp SmartHammer#terminal monitor
14.3 end 命令格式
end
命令功能
终止配置模式
命令模式
VRRP 路由器配置模式
使用指导
使用该命令将终止 VRRP 路由器配置模式,回到特权模式。
配置实例
SmartHammer(config-vrrp)# end SmartHammer#
14.4 exit 命令格式
exit
命令功能
退出 VRRP 路由器配置模式
命令模式
VRRP 路由器配置模式
使用指导
使用该命令将退出 VRRP 路由器配置模式,回到上一级配置模式。
配置实例
SmartHammer(config-vrrp)# exit SmartHammer(config)#
14.5 list 命令格式
14-2
list
第 14 章 VRRP 命令
第一部分 系统命令
命令功能
列出VRRP路由器配置模式下可以使用的所有命令
命令模式
VRRP 路由器配置模式
使用指导
使用该命令将列出 VRRP 路由器配置模式下可以使用的所有命令,及其简 单说明。
配置实例
SmartHammer (config-vrrp)# list
14.6 ip address 命令格式
{no} ip address A.B.C.D
命令功能
配置虚拟路由器的 IP 地址
命令模式
VRRP路由器配置模式
参数说明
参数 A.B.C.D
使用指导
配置实例
说明 A.B.C.D为VRRP虚拟路由器的 IP地址
该命令配置 VRRP 虚拟路由器的 IP 地址。该地址必须与工作接口主 IP 地 址在同一网段内。如果配置的虚拟路由器 IP 地址与工作接口的主 IP 地址 相同,则该虚拟路由器成为 IP 地址所有者。 配置 vrrp router 1 的 IP 地址为 10.1.1.2,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1 SmartHammer(config-vrrp)# ip address 10.1.1.2
14.7 ip vrrp authentication password 命令格式
ip vrrp authentication (pap|ah) password WORD no ip vrrp authentication
命令功能
配置接口上VRRP虚拟路由器的认证方式和认证密码
命令模式
接口配置模式
14-3
第 14 章 VRRP 命令
参数说明
第一部分 系统命令
参数 (pap|ah)
说明 pap/ah认证方式
WORD
认证密码
默认状态
不使用认证
使用指导
为了保证安全性,VRRP 路由器可以对收到的每个 VRRP 报文进行认证, 检测报文的合法性。可以使用的认证方法有两种:一种是明文密码认证, 相当于 pap 认证;另一种是 IP 头认证,相当于 IPSEC 使用的 AH 认证。 默认不使用认证。
配置实例
配置接口 ge0 上启用的 VRRP 路由器使用 pap 明文认证方式,认证密码为 123,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#interface ge0 SmartHammer(config-if)#ip vrrp authentication pap password 123
14.8 ip vrrp router 命令格式
{no} ip vrrp router <1-255>
命令功能
在接口下启用VRRP虚拟路由器
命令模式
接口配置模式
参数说明
参数 <1-255>
说明 要启用的VRRP虚拟路由器的ID
使用指导
该命令在接口上启用指定的 VRRP 虚拟路由器
配置实例
配置接口 ge0 上启用 VRRP 路由器 1,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#interface ge0 SmartHammer(config-if)#ip vrrp router 1
14.9 preempt-mode
14-4
命令格式
{no} preempt-mode
命令功能
配置虚拟路由器使用强制模式
第 14 章 VRRP 命令
第一部分 系统命令
命令模式
VRRP路由器配置模式
使用指导
如果设置了抢占模式,则优先级高的备份路由器可以抢占主路由器。但是 如果主路由器是 IP 地址所有者,则不能被抢占。默认不使用抢占模式。
配置实例
配置 vrrp router 1 使用抢占模式,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1 SmartHammer(config-vrrp)# preempt-mode
14.10 priority 命令格式
priority <1-254> no priority
命令功能
配置 VRRP 路由器的优先级
命令模式
VRRP 路由器配置模式
参数说明
参数 <1-254>
说明 VRRP路由器的优先级
默认状态
100
使用指导
备份路由器的优先级可以配置为 1-254。优先级 255 为虚拟 IP 地址所有者 保留,不能配置。默认的优先级为 100。
配置实例
配置 vrrp router 1 使用优先级 200,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1 SmartHammer(config-vrrp)# priority 200
14.11 show vrrp router 命令格式
show vrrp router [<1-255>]
命令功能
显示配置的 VRRP 虚拟路由器信息
命令模式
特权模式
14-5
第 14 章 VRRP 命令
参数说明
第一部分 系统命令
参数 <1-255>
说明 要显示的VRRP路由器的ID
使用指导
使用该命令将显示 VRRP 路由器的配置信息。如果指定了 ID,则只显示指 定 VRRP 路由器的配置信息;如果没有指定 ID,则显示所有 VRRP 路由 器的配置信息。
配置实例
显示 ID 为 1 的 VRRP 路由器的配置信息,使用如下命令: SmartHammer#show vrrp router 1
显示所有 VRRP 路由器,使用如下命令: SmartHammer#show vrrp router
14.12 show vrrp interface 命令格式
show vrrp interface
命令功能
显示启用 VRRP 虚拟路由器的接口信息
命令模式
特权模式
使用指导
使用该命令可以显示已经配置了 VRRP 虚拟路由器的所有接口的信息
配置实例
显示所有配置 VRRP 路由器的接口的信息,使用如下命令: SmartHammer#show vrrp interface
14.13 show vrrp state 命令格式
show vrrp state
命令功能
显示启用的 VRRP 虚拟路由器的运行状态和信息
命令模式
特权模式
使用指导
使用该命令可以显示已经启用的 VRRP 虚拟路由器的运行状态和信息
配置实例
显示所有启用的 VRRP 路由器的信息,使用如下命令: SmartHammer#show vrrp state
14-6
第 14 章 VRRP 命令
第一部分 系统命令
14.14 vrrp-router 命令格式
{no} vrrp-router <1-255>
命令功能
配置一个 VRRP 路由器
命令模式
配置模式
参数说明
参数 <1-255>
说明 虚拟路由器的ID可以配置为1到 255之间
使用指导
使用该命令将进入 VRRP 路由器配置模式。如果该 VRRP 路由器不存在, 则会自动创建该 VRRP 路由器,然后进入 VRRP 路由器配置模式。no vrrp router NUM 命令将删除该 VRRP 路由器。如果该 VRRP 路由器已经启用, 则必须先禁用,然后才能删除该 VRRP 路由器。
配置实例
配置 ID 为 1 的 VRRP 路由器,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1
14.15 write memory 命令格式
write memory
命令功能
保存配置
命令模式
VRRP 路由器配置模式
使用指导
使用该命令可以将当前修改的配置保存下来。如果不使用该命令,当前修 改的配置只是当前有效,系统重启后修改的部分将丢失。
配置实例
SmartHammer(config-vrrp)# write memory
14.16 write terminal 命令格式
write terminal
命令功能
显示配置 14-7
第 14 章 VRRP 命令
14-8
第一部分 系统命令
命令模式
VRRP 路由器配置模式
使用指导
使用该命令可以将当前的配置显示在终端上。
配置实例
SmartHammer(config-vrrp)# write terminal
第 15 章 QoS 命令
第一部分 系统命令
15
第15章
QoS 命令
15.1 ip output-traffic-map MAPNAME 命令格式
ip output-traffic-map MAPNAME
命令功能
在接口上使能 traffic-map
命令模式
接口模式
参数说明
参数
说明
MAPNAME
模板名称
默认状态
默认情况下接口上不使能。
使用指导
在相应接口上使能 traffic-map 模板,进行 qos。
配置实例
在接口 ge1 上启动建立的 traffic-map,使用以下命令: SmartHammer(config)#interface ge1 SmartHammer(config-if)#ip output-traffic-map qos1
相关命令
traffic-map MAPNAME
15.2 filter ID priority <0-7> rate <64-102400> 命令格式
filter ID priority <0-7> rate <64-102400> no filter ID
命令功能
添加 qos 规则,指定 qos 的级别和速率。 删除 qos 规则。
命令模式
Traffic-map 配置模式
15-1
第 15 章 QoS 命令
参数说明
第一部分 系统命令
参数
说明
ID
Access-list ID
<0-7>
优先级值域范围为0-7,其中0代 表最高优先级,7为最低优先级
<64-102400>
速率值域范围为64-102400,单 位为kbit。
默认状态
默认情况下会根据报文中的 tos 进行 qos。
使用指导
可以用此命令设置指定 ACLID 的优先级和速率要求。
配置实例
首先添加一条 access-list,使用以下命令: SmartHammer(config)#access-list 2001 permit ip host 192.168.0.20 host 10.1.0.1
然后建立 traffic-map 模板,使用以下命令: SmartHammer(config)#traffic-map qos1
然后在模板中添加 qos 规则,使用以下命令: SmartHammer(config-traffic-map)#filter 2001 priority 0 rate 1024
相关命令
ip output-traffic-map MAPNAME
15.3 show ip traffic-map memory 命令格式
show ip traffic-map [NAME] memory
命令功能
显示 traffic-map 的内存使用情况
命令模式
特权模式
参数说明
配置实例
参数
说明
NAME
Traffice-map的模板名
显示 traffic-map map1 的内存使用情况 SmartHammer(config)#show ip traffic-map map1 memory
15-2
第 15 章 QoS 命令
第一部分 系统命令
15.4 traffic-map MAPNAME 命令格式
traffic-map MAPNAME no traffic-map MAPNAME
命令功能
建立 qos 模板。
命令模式
配置模式
参数说明
参数 MAPNAME
说明 模板名称
默认状态
默认情况无模板建立
使用指导
在使用 qos 之前,需要先建立此模板,然后再定义 qos 具体规则。
配置实例
建立 qos 模板 qos1,使用以下命令: SmartHammer(config)#traffic-map qos1
删除 qos 模板 qos1,使用以下命令: SmartHammer(config)#no traffic-map qos1
相关命令
filter ID priority <0-7> rate <64-102400>
15-3
第二部分
AAA 命令
第二部分 AAA 命令
第 16 章 AAA 授权功能命令
16
第16章
AAA 授权功能命令
16.1 debug aaam 命令格式
{no}debug aaam [(login|auth|acct|packet)]
命令功能
debug aaam login 实现对用户使用 Console 口、Telenet 或 SSH 登录 SmartHammer 设备的调试功能。 debug aaam auth 和 debug aaam acct 实现对用户使用本地认证和计费功 能的调试功能。 debug aaam packet 用于调试用户使用本地认证、计费的报文。 由于 debug 命令会在命令行上打印大量信息,占用很多 CPU 资源,因此强 烈建议用户,当调试结束时,一定要用 no debug nsm 命令禁用此功能。
命令模式 参数说明
配置实例
特权模式 参数 login
说明 实现对管理员使用Console口、Telenet或SSH登 录SmartHammer设备的调试
auth
实现对用户使用本地认证功能的调试
acct
实现对用户使用本地计费功能的调试
packet
调试用户使用本地认证、计费的报文
对用户登录 SmartHammer 设备出现问题进行的调试 SmartHammer#debug aaam login
16.2 line tty 命令格式
line tty
命令功能
进入TTY配置模式
命令模式
配置模式
16-1
第 16 章 AAA 授权功能命令
配置实例
第二部分 AAA 命令
进入 TTY 配置模式 SmartHammer(config)#line tty SmartHammer(config-line)#
16.3 login 命令格式
{no} login
命令功能
login 配置使用用户名和口令登录, no login 配置只使用口令登录。 缺省配置为 no login。
命令模式 默认状态 配置实例
TTY 配置模式 no login
配置使用 login 方式登录(使用用户名和口令登录) SmartHammer(config-line)# login
16.4 no user block 命令格式
no user NAME block
命令功能
对一个正处于封禁状态的用户解禁。
命令模式
配置模式
使用指导
当一个用户正处于封禁期时,他无论是用正确还是错误的用户名、口令,都无法登 陆系统,这时可以使用本命令对用户封禁。
配置实例
对管理员用户 harbour 解禁 SmartHammer(config)#no user harbour block
相关命令
user NAME password PASSWD admin user try-limit <3-60> block <10-10000000> login
16-2
第二部分 AAA 命令
第 16 章 AAA 授权功能命令
16.5 privilege reset 命令格式
privilege (exec|privilege|config|ppp|pppoe|l2tp|vrrp|web|dot1x|dhcp|interface |vlan|bridge|gre|rip|ospf||portal|snmp|qos|aaa|ipsec-crypto|ipsec-m ap|isakmp|route-policy) reset [.COMMANDSTRING]
命令功能
复原某一模式(所有模式如下表所示)下指令的优先级为 0。 不带.COMMANDSTRING 参数的本命令将对该模式下除 end 和 exit 指令 外其余所有指令生效。
命令模式 参数说明
配置模式 参数
说明
exec
用户模式
privilege
特权模式
config
配置模式
ppp
PPP 模板配置模式
pppoe
PPPoE 认证模板配置模式
l2tp
L2TP 模板配置模式
vrrp
vrrp 模板配置模式
web
WEB 认证模板配置模式
dot1x
802.1x 认证模板配置模式
dhcp
DHCP 配置模式
interface
以太网接口模式
vlan
VLAN 接口模式
bridge
BVI 接口模式
gre
GRE 配置模式
rip
RIP 配置模式
ospf
OSPF 配置模式
portal
PORTAL 配置模式
snmp
SNMP 配置模式
qos
QoS 模板配置模式
aaa
AAA 模板配置模式
crypto-map
IPSEC MAP 配置模式
crypto-ipsec
IPSEC 变换集配置模式
isakmp
ISAKMP 配置模式
route-policy
策略路由配置模式
<0-15>
指令优先级 16-3
第 16 章 AAA 授权功能命令
第二部分 AAA 命令
.COMMANDSTRING
配置实例
该模式下具体指令
复原 exec 模式下 enable 指令的优先级 SmartHammer(config)#privilege exec reset enable
相关命令
user NAME password PASSWD admin login user NAME privilege <0-15>
1) 本指令只作用于 login 登录方式 提示
2) 在您进行管理员用户登录操作前,必须要先设置管理员 用户名和口令。
16.6 privilege 命令格式
privilege (exec|privilege|config|ppp|pppoe|l2tp|vrrp|web|dot1x|dhcp|interface |vlan|bridge|gre|rip|ospf|portal|snmp|qos|aaa|ipsec-crypto|ipsec-ma p|isakmp| route-policy) level <0-15> [.COMMANDSTRING]
命令功能
配置某一模式(所有模式如下表所示)下指令的优先级。 不带.COMMANDSTRING 参数的本命令将对该模式下除 end 和 exit 指令 外其余所有指令生效。
命令模式 参数说明
16-4
配置模式 参数
说明
exec
用户模式
privilege
特权模式
config
配置模式
ppp
PPP 模板配置模式
pppoe
PPPoE 认证模板配置模式
l2tp
L2TP 模板配置模式
vrrp
vrrp 配置模式
web
WEB 认证模板配置模式
dot1x
802.1x 认证模板配置模式
dhcp
DHCP 配置模式
interface
以太网接口模式
vlan
VLAN 接口模式
bridge
BVI 接口模式
第二部分 AAA 命令
第 16 章 AAA 授权功能命令
gre
gre 配置模式
rip
rip 配置模式
ospf
ospf 配置模式
portal
PORTAL 配置模式
snmp
SNMP 配置模式
qos
QoS 模板配置模式
aaa
AAA 模板配置模式
crypto-map
IPSEC MAP 配置模式
crypto-ipsec
IPSEC 变换集配置模式
isakmp
ISAKMP 配置模式
route-policy
策略路由配置模式
<0-15>
指令优先级
.COMMANDSTRING
该模式下具体指令
默认状态
指令优先级为 0
使用指导
通过配置指令优先级别和管理员用户优先级别,可以确保不同的管理员用 户可以具有不同的配置、管理级别。级别低的管理员用户不可以进行高级 别的配置管理工作。 指令优先级从 0 到 15,数字越大,优先级越高。
配置实例
设置 exec 模式下除 end 和 exit 指令外其余指令的优先级为 4 SmartHammer(config)#privilege exec level 4
相关命令
user NAME password PASSWD admin login user NAME privilege <0-15>
1) 本指令只作用于 login 登录方式 提示
2) 在您进行管理员用户登录操作前,必须要先设置管理员 用户名和口令。 3) 在 SmartHammer 设备中,您可以对大多数指令配置指 令优先级别,除了用户几条敏感指令以外(见 《SmartHammer 系列产品软件配置手册》第二部分) 。
16.7 show local user 命令格式
show local user [NAME]
16-5
第 16 章 AAA 授权功能命令
第二部分 AAA 命令
命令功能
显示已添加的管理员用户和本地用户
命令模式
特权模式
参数说明
参数 [NAME]
配置实例
说明 要显示的用户的用户名
SmartHammer#show local user ---------------------------------------------------------Name : hammer;
Password:
********
admin
---------------------------------------------------------Total Users:
相关命令
1
user NAME password PASSWD admin
16.8 user access-class 命令格式
{no} user NAME access-class <1-99>
命令功能
设置管理员用户能够登录的 IP 地址范围,使用 no user NAME access-group 指令可以取消对该管理员使用 IP 地址范围的限制。
命令模式
配置模式
参数说明
使用指导
参数
说明
NAME
用户名
<1-99>
ACL组
只有在绑定的 ACL 允许 IP 地址范围内的管理员用户可以登录。 1) 指令只作用于 login 登录方式 提示
配置实例
2) 在您进行管理员用户登录操作前,必须要先设置管理员 用户名和口令。
设置管理员用户 hammer 只能使用 ACL 1 中允许的 IP 地址登录 SmartHammer(config)#user hammer access-group 1
相关命令
user NAME password PASSWD admin login
16-6
第二部分 AAA 命令
第 16 章 AAA 授权功能命令
16.9 user password admin 命令格式
{no} user NAME password PASSWD admin
命令功能
添加管理员用户名和口令(PASSWD 为明文口令)。 使用 no user NAME admin 可以删除该用户。
命令模式 参数说明
配置实例
配置模式 参数
说明
NAME
用户名
PASSWD
明文口令
添加管理员用户,用户名为 hammer,口令为 123456 SmartHammer(config)#user hammer password 123456 admin
1) 本指令只作用于 login 登录方式 提示
2) 本指令与 AAA 认证与计费功能的添加本地认证用户名 指令不同
16.10 user privilege 命令格式
user NAME privilege <0-15>
命令功能
设置管理员用户的优先级
命令模式
配置模式
参数说明
参数 NAME <0-15>
说明 用户名 用户的优先级
默认状态
15
使用指导
管理员用户优先级从 0 到 15,数字越大,优先级越高。 当登录的管理员用户的优先级大于或等于指令的优先级时,管理员用户可 以看见该条指令,并使用该条指令。 当登录的管理员用户的优先级别小于指令的优先级别时,该指令对管理员用户不可 16-7
第 16 章 AAA 授权功能命令
第二部分 AAA 命令
见(管理员用户对于这些指令既不能使用,也不能通过list、?等命令查看到改指令)
配置实例
设置管理员用户 hammer 的优先级为 2 SmartHammer(config)#user hammer privilege 2
相关命令
user NAME password PASSWD admin login privilege MODE level <0-15> [.COMMANDSTRING]
1) 本指令只作用于 login 登录方式 提示
2) 在您进行管理员用户登录操作前,必须要先设置管理员 用户名和口令。
16.11 user secret admin 命令格式
{no} user NAME secret SECRET admin
命令功能
添加管理员用户名和加密后的口令(SECRET 为已加密后的口令),使用 no user NAME admin 可以删除该用户。
命令模式
配置模式
参数说明
参数
说明
NAME
用户名
SECRET
已加密后的口令
使用指导
本指令主要用于设备在启动时从配置文件中读取配置,不推荐使用本指令 添加管理员用户名和口令。
相关命令
user NAME password PASSWD admin login
1) 本指令只作用于 login 登录方式 提示
2) 本指令与 AAA 认证与计费功能的添加本地认证用户名 指令不同
16.12 user try-limit 命令格式 16-8
{no} user try-limit <3-60> block <10-10000000>
第二部分 AAA 命令
第 16 章 AAA 授权功能命令
命令功能
设置管理员密码最大重试次数。当管理员使用同一用户名,输入错误密码 N 次后,对使用该用户名登录的管理员封禁的时间(秒)。 使用 no user try-limit 可以取消对管理员密码最大重试次数的限制。 使用 no user NAME block 可以对一个正处于封禁状态的用户解禁。
命令模式 参数说明
配置模式 参数
说明
<3-60>
密码最大重试次数
<10-10000000>
封禁时间(秒)
使用指导
当管理员使用正确的用户名和错误的密码登录,输入密码的次数超过我们 的限制时,为了防止有人恶意破译密码,可以在一段时间内封禁改用户名, 即在这一段时间内,使用该用户名登录,无论密码正确还是错误,用户都 无法登录。当超过这段时间后,使用正确的用户名、密码,可以登录。
配置实例
设置管理员在使用同一用户名,输入错误密码 6 次后,对使用该用户名登 录的管理员封禁 6000 秒。 SmartHammer(config)#user try-limit 6 block 6000
相关命令
user NAME password PASSWD admin login
1) 本指令只作用于 login 登录方式 提示
2) 在您进行管理员用户登录操作前,必须要先设置管理员 用户名和口令。 3) 本指令只对从网络登录的管理员做限制,对从 console 登录的管理员不做限制。
16-9
第二部分 AAA 命令
第 17 章 AAA 认证和计费功能命令
17
第17章
AAA 认证和计费功能命令
17.1 show local acct 命令格式
show local acct
命令功能
显示本地计费信息
命令模式
特权模式
使用指导
当使用本地计费的用户下线,您可以使用本命令查看用户的本地计费信息。 本地计费信息只保存最新的 1000 条信息。
配置实例
SmartHammer#show local acct =============================================================== Name
IPAddress
MAC
Hammer 10.1.1.120
OnlineTime
00:50:0b:43:78:0c
280
Bytes-in 3489
Bytes-out 7892
=============================================================== Total:
1
Users
17.2 show local user 命令格式
show local user [NAME]
命令功能
显示已添加的本地用户和管理员用户
命令模式
特权模式
参数说明
参数 [NAME]
配置实例
说明 要显示的用户的用户名
SmartHammer#show local user ---------------------------------------------------------Name : hammer;
Password:
********
---------------------------------------------------------Total Users:
1
17-1
第 17 章 AAA 认证和计费功能命令
第二部分 AAA 命令
相关命令
user NAME password PASSWD
命令格式
{no}aaa NAME
命令功能
配置 AAA 认证和计费模板,no aaa NAME 指令能够删除已配置的 AAA 认 证和计费模板。
命令模式
配置模式
17.3 aaa
参数说明
配置实例
参数
说明
NAME
模板名
配置 AAA 认证和计费模板 hammer SmartHammer(config)#aaa hammer SmartHammer(config-aaa)#
17.4 accounting local 命令格式
{no}accounting local
命令功能
配置该 AAA 模板使用本地计费,no accounting local 指令将取消在该模板 下使用本地计费,恢复到缺省配置不计费。
命令模式
AAA 模板配置模式
使用指导
使用本地计费,接入用户的计费信息将保存在 SmartHammer 设备上, SmartHammer 设备只保存最新的 1000 条计费信息,在 SmartHammer 设 备重启后将不保存重启前所有的本地计费信息。
配置实例
SmartHammer(config-aaa)# accounting local
17.5 accounting none
17-2
命令格式
{no}accounting none
命令功能
配置该 AAA 模板不计费,no accounting none 指令将取消在该模板下使用 不计费,恢复到缺省配置不计费。
第二部分 AAA 命令
第 17 章 AAA 认证和计费功能命令
命令模式
AAA 模板配置模式
配置实例
SmartHammer(config-aaa)# accounting none
17.6 accounting server 命令格式
accounting server A.B.C.D <1-10000> SECRETS no accounting server [A.B.C.D]
命令功能
配置该 AAA 模板使用 Radius 计费服务器计费,no accounting server 指令 将取消在该模板下使用 Radius 服务器计费,恢复到缺省配置不计费。
命令模式
AAA 模板配置模式
参数说明
配置实例
参数 A.B.C.D
说明 Radius计费服务器的IP地址
<1-10000>
Radius计费服务器使用的计费端 口
SECRETS
Radius计费服务器使用的共享密 钥
配置使用 Radius 计费服务器计费,服务器地址为 192.168.0.191,端口为 1813,共享密钥为:88—99 SmartHammer(config-aaa)# accounting server 192.168.0.191 1813 88--99
17.7 authentication local 命令格式
{no}authentication local
命令功能
配置该 AAA 模板使用本地认证,no authentication local 指令将取消在该模 板下使用本地认证,恢复到缺省配置本地认证。
命令模式
AAA 模板配置模式
配置实例
SmartHammer(config-aaa)# authentication local
17-3
第 17 章 AAA 认证和计费功能命令
第二部分 AAA 命令
17.8 authentication server 命令格式
authentication server A.B.C.D <1-10000> SECRETS no authentication server [A.B.C.D]
命令功能
配置该 AAA 模板使用 Radius 认证服务器认证,no authentication server 指令将取消在该模板下使用 Radius 服务器认证,恢复到缺省配置本地认 证。
命令模式
AAA 模板配置模式
参数说明
配置实例
参数 A.B.C.D
说明 Radius认证服务器的IP地址
<1-10000>
Radius认证服务器使用的计费端口
SECRETS
Radius认证服务器使用的共享密钥
配置使用 Radius 认证服务器认证,服务器地址为 192.168.0.191,端口为 1812,共享密钥为:88—99 SmartHammer(config-aaa)# authentication server 192.168.0.191 1812 88--99
17.9 source-ip 命令格式
source-ip A.B.C.D no source-ip [A.B.C.D]
命令功能
配置该 AAA 模板使用 Radius 认证时的 NAS 地址。使用 no source-ip 指令 将删除该 AAA 模板的 NAS 地址。
命令模式
AAA 模板配置模式
参数说明
参数 A.B.C.D
说明 使用Radius认证时的NAS地址
使用指导
该 IP 地址必须是 SmartHammer 上与 Radius 服务器相连的那个接口的 IP 地址,否则 SmartHammer 设备无法向 Radius 认证服务器发送认证信息。
配置实例
配置使用 Radius 认证时的 NAS 地址为 10.1.1.1 SmartHammer(config-aaa)# source-ip 10.1.1.1
17-4
第二部分 AAA 命令
相关命令
第 17 章 AAA 认证和计费功能命令
authentication server A.B.C.D <1-10000> SECRETS accounting server A.B.C.D <1-10000> SECRETS
使用 Radius 计费或认证时必须配置 source-ip 提示
17.10 user password 命令格式
{no} user NAME password PASSWD
命令功能
添加本地认证用户名和口令(PASSWD 为明文口令) ,使用 no user NAME 可以删除该用户。
命令模式
配置模式
参数说明
配置实例
参数
说明
NAME
用户名
PASSWD
明文口令
添加本地认证用户,用户名为 hammer,口令为 123456 SmartHammer(config)#user hammer password 123456 admin
1) 指令与 AAA 授权功能的添加管理员用户名指令不同 提示
17.11 user secret 命令格式
{no} user NAME secret SECRET
命令功能
添加本地用户名和加密后的口令(SECRET 为已加密后的口令),使用 no user NAME 可以删除该用户。
命令模式
配置模式
参数说明
参数
说明
NAME
用户名
SECRET
已加密后的口令
17-5
第 17 章 AAA 认证和计费功能命令
第二部分 AAA 命令
使用指导
本指令主要用于设备在启动时从配置文件中读取配置,不推荐使用本指令 添加本地认证用户名和口令。
相关命令
user NAME password PASSWD
1) 指令与 AAA 授权功能的添加管理员用户名指令不同 提示
17.12 end 命令格式
end
命令功能
退出到特权模式
命令模式
AAA 模板配置模式
配置实例
SmartHammer(config-aaa)# end SmartHammer#
17.13 exit 命令格式
exit
命令功能
退出本配置模式,到上级配置模式
命令模式
AAA 模板配置模式
配置实例
SmartHammer(config-aaa)# exit SmartHammer(config)#
17.14 list
17-6
命令格式
list
命令功能
列出本模式下所有命令
命令模式
AAA 模板配置模式
配置实例
SmartHammer(config-aaa)# list
第二部分 AAA 命令
第 17 章 AAA 认证和计费功能命令
17.15 write memory 命令格式
write memory
命令功能
保存配置
命令模式
AAA 模板配置模式
配置实例
SmartHammer(config-aaa)# write memory
17.16 write terminal 命令格式
write terminal
命令功能
查看当前正在使用的配置文件
命令模式
AAA 模板配置模式
配置实例
SmartHammer(config-aaa)# write terminal
17-7
第三部分
防火墙命令
第 18 章 ACL 命令
第三部分 防火墙命令
18
第18章
ACL 命令
18.1 access-list <1-99> 命令格式
{no}access-list <1-99> (deny|permit) ([host] A.B.C.D|A.B.C.D A.B.C.D|any)
命令功能
配置针对源地址的标准 Access-list
命令模式
配置模式
参数说明
参数 <1-99>
说明
deny
禁止数据包通过
permit
允许数据包通过
[Host] A.B.C.D
指定源主机地址
A.B.C.D A.B.C.D
指定源网络地址和掩码,掩码0表示严格匹配
any
任何源地址
基于源地址的access-list
默认状态
无
使用指导
针对源地址进行匹配,对目标地址不进行匹配
配置实例
配置一条 Access-list 的规则,允许源地址 172.168.0.0/16 的数据包 SmartHammer(config)#access-list 1 permit 172.168.0.0 0.0.255.255
18.2 access-list (<100-199>|<2000-2699>) 命令格式
{no}access-list (<100-199>|<2000-2699>) (deny|permit) (<0-255> |PROTOCOL |eigrp |egp |gre |icmp |igmp |igrp |ip |ospf |pim |tcp |udp) (host A.B.C.D|A.B.C.D A.B.C.D|any) (host A.B.C.D |A.B.C.D A.B.C.D |any) (host A.B.C.D |A.B.C.D A.B.C.D |any)
命令功能
配置针对源和目标地址的扩展 Access-list,可以指定协议
18-1
第 18 章 ACL 命令
命令模式 参数说明
第三部分 防火墙命令
配置模式 参数 <100-199>
说明
<2000-2699>
基于源和目标地址的access-list,可以指定协议 端口
deny
禁止数据包通过
permit
允许数据包通过
<0-255>
协议编号
PROTOCOL
协议
eigrp
增强型内部网关路由选择协议
egp
外部网关协议
gre
通用路由封装协议
icmp
网间控制报文协议
igmp
互连网组管理协议
igrp
内部网关路由选择协议
ip
网际协议
ospf
开放最短路径优先协议
pim
协议无关多播
tcp
传输控制协议
udp
用户数据报协议
Host A.B.C.D
指定源主机地址
A.B.C.D A.B.C.D
指定源网络地址和掩码,掩码0表示严格匹配
any
任何源地址
Host A.B.C.D
指定目标主机地址
A.B.C.D A.B.C.D
指定目标网络地址和掩码,掩码0表示严格匹配
any
任何目标地址
基于源地址的access-list,可以指定协议端口
使用指导
针对源地址、目标地址、协议进行匹配
配置实例
配置一条 Access-list 的规则,允许源地址为 172.168.0.1,目标地址为 200.1.1.0/24 SmartHammer(config)#access-list 100 permit ip host 172.168.0.1 200.1.1.0 0.0.0.255
18-2
第 18 章 ACL 命令
第三部分 防火墙命令
18.3 access-list <200-299> 命令格式
{no} access-list <200-299> (deny|permit) <0x0-0xFFFF> <0x0-0xFFFF> [H.H.H H.H.H]
命令功能
配置针对二层协议的 Access-list
命令模式
全局配置模式
参数说明
参数 <200-299>
说明
deny
禁止数据包通过
permit
允许数据包通过
<0x0-0xFFFF>
指定二层协议
<0x0-0xFFFF>
指定二层协议掩码
H.H.H
指定MAC地址
H.H.H
指定MAC地址掩码
基于二层协议和MAC的过滤
使用指导
当 Access-list 应用到入口上,MAC 针对源 MAC,当 Access-list 应用到出 口上,MAC 针对目标 MAC。
配置实例
配置一条 Access-list 的规则,禁止 MAC 为 00:01:02:03:04:05 的 ARP 请 求数据包 SmartHammer(config)#access-list 200 deny 0x0806 0x0000 0001.0203.0405 0.0.0
18.4 access-list <700-799> 命令格式
{no} access-list <700-799> (deny|permit) H.H.H H.H.H
命令功能
配置针对 MAC 的 Access-list
命令模式
全局配置模式
参数说明
参数 <700-799>
说明
deny
禁止数据包通过
permit
允许数据包通过
基于MAC的过滤
18-3
第 18 章 ACL 命令
第三部分 防火墙命令
H.H.H
指定MAC地址
H.H.H
指定MAC地址掩码
使用指导
当 Access-list 应用到入口上,MAC 针对源 MAC,当 Access-list 应用到出 口上,MAC 针对目标 MAC。
配置实例
配置一条 Access-list 的规则,禁止 MAC 为 00:01:02:03:04:05 的数据包, SmartHammer(config)#access-list 700 deny 0001.0203.0405 0.0.0
18.5 access-list <1300-1999> 命令格式
{no}access-list <1300-1999> (deny|permit) (<0-255> |PROTOCOL |eigrp |egp |gre |icmp |igmp |igrp |ip |ospf |pim |tcp |udp) (host A.B.C.D|A.B.C.D A.B.C.D|any)
命令功能
配置针对源地址的标准 Access-list,可以指定协议
命令模式
配置模式
参数说明
18-4
参数
说明
<1300-1999>
基于源地址的access-list,可以指
deny
禁止数据包通过
permit
允许数据包通过
<0-255>
协议编号
PROTOCOL
协议
eigrp
增强型内部网关路由选择协议
egp
外部网关协议
gre
通用路由封装协议
icmp
网间控制报文协议
igmp
互连网组管理协议
igrp
内部网关路由选择协议
ip
网际协议
ospf
开放最短路径优先协议
pim
协议无关多播
tcp
传输控制协议
udp
用户数据报协议
Host A.B.C.D
指定源主机地址
A.B.C.D A.B.C.D
指定源网络地址和掩码,掩码0
第 18 章 ACL 命令
第三部分 防火墙命令
表示严格匹配 any
任何源地址
使用指导
针对源地址和协议进行匹配,对目标地址不进行匹配
配置实例
配置一条 Access-list 的规则,允许源地址 172.168.0.1,且协议为 ICMP 的数据包 SmartHammer(config)#access-list 1300 permit icmp host 172.168.0.1
18.6 access-list <1300-1999> icmp 命令格式
{no}access-list <1300-1999> (deny|permit) icmp (host A.B.C.D |A.B.C.D A.B.C.D |any) [(<0-255>|T.C |echo-reply |destination-unreachable |source-quench |redirect |alternate-address |echo |router-advertisement |router-selection |time-exceeded |parameter-problem |timestamp |timestamp-reply |information-request |information-reply |address-mask-request |address-mask-reply |traceroute |datagram-conversion-error |domain-name-request |domain-name-reply)]
命令功能
配置针对源地址且协议为 ICMP 的标准 access-list,可以指定 ICMP 类型 和代码。
命令模式
配置模式
参数说明
参数
说明
<1300-1999> deny
基于源地址的access-list,可以指 定协议端 禁止数据包通过
permit
允许数据包通过
Host A.B.C.D
指定源主机地址
A.B.C.D A.B.C.D any
指定源网络地址和掩码,掩码0 表示严格匹配 任何源地址
<0-255>
网间控制报文协议类型
T.C
ICMP消息类型和代码
echo-reply
回显应答
destination-unreachable
目标地址不可达
source-quench
源站抑制
redirect
重定向
alternate-address
可选主机 18-5
第 18 章 ACL 命令
第三部分 防火墙命令
alternate-address
可选主机
echo
回显
router-advertisement
路由器通告
router-selection
路由器选择
time-exceeded
超时
parameter-problem
参数错误
timestamp
时间戳请求
timestamp-reply
时间戳请求应答
information-request
信息请求
information-reply
信息应答
address-mask-request
地址掩码请求
address-mask-reply
地址掩码应答
traceroute
路由探测
datagram-conversion-error
报文交换错误
domain-name-request
域名请求
domain-name-reply
域名应答
使用指导
针对 ICMP 协议,对源地址进行匹配。
配置实例
配置一条 access-list 的规则,允许源地址 172.168.0.1,且协议为 ICMP, ICMP 类型为 echo SmartHammer(config)#access-list 1300 permit icmp host 172.168.0.1 echo
18.7 access-list <1300-1999> tcp 命令格式
{no}access-list <1300-1999> (deny|permit) tcp (host A.B.C.D|A.B.C.D A.B.C.D|any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |bgp |chargen |shell |daytime |discard |domain |echo |exec |finger |ftp |ftp-data |gopher |hostname |auth |irc |klogin |kshell |login |printer |nntp |pim-rp-disc |pop2 |pop3 |smtp |sunrpc |syslog |tacacs |talk |telnet |time |uucp |nicname |http)]
命令功能
配置针对源地址且协议为 TCP 的标准 Access-list,可以指定源端口
命令模式
配置模式
参数说明
18-6
参数
说明
<1300-1999>
基于源地址的access-list,可以指定协议端口
deny
禁止数据包通过
第 18 章 ACL 命令
第三部分 防火墙命令
permit
允许数据包通过
Host A.B.C.D
指定源主机地址
A.B.C.D A.B.C.D
指定源网络地址和掩码,掩码0表示严格匹 配
any
任何源地址
eq
等于
gt
大于
lt
小于
neq
不等于
range
范围,对于范围,只能使用B:E模式
<0-65535>
端口,可输入0到65535之间的整形数字
NAME
名称形式的端口,如ftp、http等
B:E
端口范围,B为起始端口,E为终止端口,如 20:100,必须为0到65535之间的整形数字
bgp
边界网关协议
chargen
字符发生器
shell
命令
daytime
时间
discard
丢弃
domain
域名服务器
echo
回显
exec
执行
finger
FINGER(查询远程主机在线用户等信息)
ftp
文件传输协议(控制)
ftp-data
文件传输协议(默认数据口)
gopher
信息检索协议
hostname
主机名
auth
标识协议
irc
网络聊天
klogin
Kerberos 登录
kshell
Kerberos 命令
login
登录
printer
打印机服务
nntp
网络新闻传输协议
pim-rp-disc
PIM Auto-RP (496)
pop2
邮局协议版本2 18-7
第 18 章 ACL 命令
第三部分 防火墙命令
pop3
邮局协议版本3
smtp
简单邮件发送协议
sunrpc
远程过程调用
syslog
日志日志
tacacs
登录主机协议
talk
谈话
telnet
终端仿真协议
time
时间
uucp
Unix文件拷贝
nicname
“绰号” who is服务
http
全球信息网超文本传输协议
使用指导
针对 TCP 协议,对源地址和源端口进行匹配。
配置实例
配置一条 access-list 的规则,允许源地址 172.168.0.1,且协议为 TCP, 源端口大于 1024 SmartHammer(config)#access-list 1300 permit tcp host 172.168.0.1 gt 1024
18.8 access-list <1300-1999> udp 命令格式
{no}access-list <1300-1999> (deny|permit) udp (host A.B.C.D |A.B.C.D A.B.C.D |any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |biff |bootpc |bootps |discard |domain |echo |isakmp |mobileip-agent |nameserver |netbios-dgm |netbios-ns |netbios-ssn |ntp |pim-rp-disc |router |snmp |snmptrap |sunrpc |syslog |tacacs |talk |tftp |time |who |xdmcp)]
命令功能
配置针对源地址且协议为 UDP 的标准 access-list,可以指定源端口
命令模式
配置模式
参数说明
18-8
参数
说明
<1300-1999> deny
基于源地址的access-list,可以指定协议 端 禁止数据包通过
permit
允许数据包通过
Host A.B.C.D
指定源主机地址
A.B.C.D A.B.C.D any
指定源网络地址和掩码,掩码0表示严 格匹配 任何源地址
eq
等于
第 18 章 ACL 命令
第三部分 防火墙命令
eq
等于
gt
大于
lt
小于
neq
不等于
range
范围,对于范围,只能使用B:E模式
<0-65535>
端口,可输入0到65535之间的整形数字
NAME
名称形式的端口,如ftp、http等
B:E
端口范围,B为起始端口,E为终止端口, 如20:100,必须为0到65535之间的整形 数字
biff
邮件通知
bootpc
引导程序协议客户端
bootps
引导程序协议服务器
discard
丢弃
domain
域名服务
echo
回显
isakmp
互联网安全关联及密钥管理协议
mobileip-agent
移动IP注册
nameserver
名称服务
netbios-dgm
网络基本输入输出系统数据报服务
netbios-ns
网络基本输入输出系统名称服务
netbios-ssn
网络基本输入输出系统会话服务
ntp
网络时间协议
pim-rp-disc
协议无关多播集合点选择
router
路由信息协议
snmp
简单网络管理协议
snmptrap
简单网络管理协议自陷处理器
sunrpc
Sun远程过程调用
syslog
系统日志
tacacs
TACACS登录主机协议
Talk
Talk (517) 谈话
tftp
简单文件传输协议
time
时间
who
在线用户
xdmcp
远程显示管理控制协议
18-9
第 18 章 ACL 命令
第三部分 防火墙命令
使用指导
针对 UDP 协议,对源地址和源端口进行匹配。
配置实例
配置一条 access-list 的规则,允许源地址 172.168.0.1,且协议为 UDP, 源端口范围为 1025:2048 SmartHammer(config)#access-list 1300 permit udp host 172.168.0.1 range 1025:2048
18.9 access-list (<2000-2699>) icmp 命令格式
{no}access-list (<2000-2699>) (deny|permit) icmp (host A.B.C.D |A.B.C.D A.B.C.D |any) (host A.B.C.D |A.B.C.D A.B.C.D |any) [(<0-255> |T.C |echo-reply |destination-unreachable |source-quench |redirect |alternate-address |echo |router-advertisement |router-selection |time-exceeded |parameter-problem |timestamp |timestamp-reply |information-request |information-reply |address-mask-request |address-mask-reply |traceroute |datagram-conversion-error |domain-name-request |domain-name-reply)]
命令功能
配置针对源和目标地址且协议为 ICMP 的扩展 Access-list,可以指定 ICMP 类型和代码。
命令模式
配置模式
参数说明
18-10
参数 <2000-2699>
说明
deny
禁止数据包通过
permit
允许数据包通过
Host A.B.C.D
指定源主机地址
A.B.C.D A.B.C.D
指定源网络地址和掩码,掩码0表示严格 匹配
any
任何源地址
Host A.B.C.D
指定目标主机地址
A.B.C.D A.B.C.D
指定目标网络地址和掩码,掩码0表示严 格匹配
any
任何目标地址
<0-255>
网间控制报文协议类型
T.C
ICMP消息类型和代码
echo-reply
回显应答
destination-unreachable
目标地址不可达
基于源和目标地址的access-list,可以指 定协议端口
第 18 章 ACL 命令
第三部分 防火墙命令
source-quench
源站抑制
redirect
重定向
alternate-address
可选主机
echo
回显
router-advertisement
路由器通告
router-selection
路由器选择
time-exceeded
超时
parameter-problem
参数错误
timestamp
时间戳请求
timestamp-reply
时间戳请求应答
information-request
信息请求
information-reply
信息应答
address-mask-request
地址掩码请求
address-mask-reply
地址掩码应答
traceroute
路由探测
datagram-conversion-error
报文交换错误
domain-name-request
域名请求
domain-name-reply
域名应答
使用指导
针对 ICMP 协议,对源地址、目标地址、ICMP 类型和代码进行匹配。
配置实例
配置一条 Access-list 的规则,允许源地址为 172.168.0.1,目标地址为 200.1.1.0/24,且协议为 ICMP,ICMP 类型为 0,代码为 1 SmartHammer(config)#access-list 2000 permit icmp host 172.168.0.1 200.1.1.0 0.0.0.255 0.1
18.10 access-list (<2000-2699>|<2700-2999>) tcp 命令格式
{no}access-list (<2000-2699>|<2700-2999>) (deny|permit) tcp (host A.B.C.D|A.B.C.D A.B.C.D|any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |bgp |chargen |shell |daytime |discard |domain |echo |exec |finger |ftp |ftp-data |gopher |hostname |auth |irc |klogin |kshell |login |printer |nntp |pim-rp-disc |pop2 |pop3 |smtp |sunrpc |syslog |tacacs |talk |telnet |time |uucp |nicname |http)] (host A.B.C.D|A.B.C.D A.B.C.D|any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |bgp |chargen |shell |daytime |discard |domain |echo |exec |finger |ftp |ftp-data |gopher |hostname |auth |irc |klogin |kshell |login |printer |nntp |pim-rp-disc |pop2 |pop3 |smtp |sunrpc |syslog |tacacs |talk |telnet |time |uucp |nicname |http)]
18-11
第 18 章 ACL 命令
命令功能
配置针对源和目标地址且协议为 TCP 的扩展 Access-list,可以指定源和目 标端口范围。
命令模式
配置模式
参数说明
18-12
第三部分 防火墙命令
参数 <2000-2699>
说明
<2700-2999>
基于源和目标地址的access-list,只能适用于 TCP和UDP协议,可以指定协议端口
deny
禁止数据包通过
permit
允许数据包通过
Host A.B.C.D
指定源主机地址
A.B.C.D A.B.C.D
指定源网络地址和掩码,掩码0表示严格匹 配
any
任何源地址
eq
等于
gt
大于
lt
小于
neq
不等于
range
范围,对于范围,只能使用B:E模式
<0-65535>
端口,可输入0到65535之间的整形数字
NAME
名称形式的端口,如ftp、http等
B:E
端口范围,B为起始端口,E为终止端口,如 20:100,必须为0到65535之间的整形数字
biff
邮件通知
bootpc
引导程序协议客户端
bootps
引导程序协议服务器
discard
丢弃
domain
域名服务
echo
回显
isakmp
互联网安全关联及密钥管理协议
mobileip-agent
移动IP注册
nameserver
名称服务
netbios-dgm
网络基本输入输出系统数据报服务
netbios-ns
网络基本输入输出系统名称服务
netbios-ssn
网络基本输入输出系统会话服务
ntp
网络时间协议
基于源和目标地址的access-list,可以指定协 议端口
第 18 章 ACL 命令
第三部分 防火墙命令
pim-rp-disc
协议无关多播集合点选择
router
路由信息协议
snmp
简单网络管理协议
snmptrap
简单网络管理协议自陷处理器
sunrpc
Sun远程过程调用
syslog
系统日志
tacacs
TAC Access Control System (49) TACACS登录主机协议
Talk
谈话
tftp
简单文件传输协议
time
时间
who
在线用户
xdmcp
远程显示管理控制协议
Host A.B.C.D
指定目标主机地址
A.B.C.D A.B.C.D
指定目标网络地址和掩码,掩码0表示严格 匹配
any
任何目标地址
eq …….
同上
<0-65535>……
同上
使用指导
针对 TCP 协议,对源地址、源端口、目标地址、目标端口进行匹配
配置实例
配置一条 Access-list 的规则,允许源地址为 172.168.0.1,目标地址为 200.1.1.0/24,且协议为 TCP,目标端口为 FTP。 SmartHammer(config)#access-list 2000 permit tcp host 172.168.0.1 200.1.1.0 0.0.0.255 eq ftp
18.11 access-list (<2000-2699>|<2700-2999>) udp 命令格式
{no}access-list (<2000-2699>|<2700-2999>) (deny|permit) udp (host A.B.C.D |A.B.C.D A.B.C.D |any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |biff |bootpc |bootps |discard |domain |echo |isakmp |mobileip-agent |nameserver |netbios-dgm |netbios-ns |netbios-ssn |ntp |pim-rp-disc |router |snmp |snmptrap |sunrpc |syslog |tacacs |talk |tftp |time |who |xdmcp)] (host A.B.C.D |A.B.C.D A.B.C.D |any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |biff |bootpc |bootps |discard |domain |echo |isakmp |mobileip-agent |nameserver |netbios-dgm |netbios-ns |netbios-ssn |ntp |pim-rp-disc |router |snmp |snmptrap |sunrpc |syslog |tacacs |talk |tftp |time |who |xdmcp)]
18-13
第 18 章 ACL 命令
命令功能
配置针对源和目标地址且协议为 UDP 的扩展 Access-list,可以指定源和目 标端口范围
命令模式
配置模式
参数说明
18-14
第三部分 防火墙命令
参数 <2000-2699>
说明
<2700-2999>
基于源和目标地址的access-list,只能适用 于TCP和UDP协议,可以指定协议端口
deny
禁止数据包通过
permit
允许数据包通过
Host A.B.C.D
指定源主机地址
A.B.C.D A.B.C.D
指定源网络地址和掩码,掩码0表示严格 匹配
any
任何源地址
eq
等于
gt
大于
lt
小于
neq
不等于
range
范围,对于范围,只能使用B:E模式
<0-65535>
端口,可输入0到65535之间的整形数字
NAME
名称形式的端口,如ftp、http等
B:E
端口范围,B为起始端口,E为终止端口, 如20:100,必须为0到65535之间的整形数 字
biff
邮件通知
bootpc
引导程序协议客户端
bootps
引导程序协议服务器
discard
丢弃
domain
域名服务
echo
回显
isakmp
互联网安全关联及密钥管理协议
mobileip-agent
移动IP注册
nameserver
名称服务
netbios-dgm
网络基本输入输出系统数据报服务
netbios-ns
网络基本输入输出系统名称服务
netbios-ssn
网络基本输入输出系统会话服务
基于源和目标地址的access-list,可以指定 协议端口
第 18 章 ACL 命令
第三部分 防火墙命令
ntp
网络时间协议
pim-rp-disc
协议无关多播集合点选择
router
路由信息协议
snmp
简单网络管理协议
snmptrap
简单网络管理协议自陷处理器
sunrpc
Sun远程过程调用
syslog
系统日志
tacacs
TACACS登录主机协议
Talk
谈话
tftp
Trivial File Transfer Protocol (69) 简单文件传输协议
time
时间
who
在线用户
xdmcp
远程显示管理控制协议
Host A.B.C.D
指定目标主机地址
A.B.C.D A.B.C.D
指定目标网络地址和掩码,掩码0表示严 格匹配
any
任何目标地址
eq …….
同上
<0-65535>……
同上
使用指导
针对 UDP 协议,对源地址、源端口、目标地址、目标端口进行匹配
配置实例
配置一条 Access-list 的规则,允许源地址为 172.168.0.1,目标地址为 200.1.1.0/24,且协议为 UDP,目标端口范围为 100 到 200 SmartHammer(config)#access-list 2000 permit udp host 172.168.0.1 200.1.1.0 0.0.0.255 range 100:200
18.12 access-list compiled 命令格式
{no}access-list (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) compiled
命令功能
对 Access-list 进行预编译,编译后的 Access-list 匹配速度与规则数无关。
命令模式
配置模式
参数说明
参数
说明
<1-99>
基于源地址的Access-list 18-15
第 18 章 ACL 命令
第三部分 防火墙命令
<100-199>
基于源和目标地址的Access-list
<1300-1999>
基于源地址的Access-list,可以指定协议端口
<2000-2699>
基于源和目标地址的Access-list,可以指定协 议端口
<2700-2999>
基于源和目标地址的Access-list,只能适用于 TCP和UDP协议,可以指定协议端口
默认状态
不进行预编译
使用指导
当同一个 access-list 的规则数目超过 10 条时,可进行预编译
配置实例
对 Access-list 1300 进行预编译 SmartHammer(config)#access-list 1300 compiled
18.13 access-list remark
18-16
命令格式
{no}access-list(<1-99>|<100-199>|<200-299>|<700-799>|<1300-1999>|<2 000-2699>|<2700-2999>|WORD) remark .LINE
命令功能
对 Access-list 进行注释
命令模式
配置模式
参数说明
参数 <1-99>
说明
<100-199>
基于源和目标地址的access-list
<200-299>
基于二层协议和MAC的过滤
<700-799>
基于MAC的过滤
<1300-1999>
基于源地址的access-list,可以指 定协议端口
<2000-2699>
基于源和目标地址的access-list, 可以指定协议端口
<2700-2999>
基于源和目标地址的access-list, 只能适用于TCP和UDP协议,可 以指定协议端口
.LINE
对access-list的注释
基于源地址的access-list
默认状态
无
使用指导
对 access-list 进行注释,可以不配置
第 18 章 ACL 命令
第三部分 防火墙命令
配置实例
对 Access-list 1300 进行注释 SmartHammer(config)#access-list 1300 remark used for eth0
18.14 show ip access-list 命令格式
show ip access-list (<1-99>|<100-199>|<200-299>|<700-799>|<1300-1999>|<2000-2699>|<2700 -2999>|WORD)
命令功能
显示 access-list 的配置信息
命令模式
特权模式
参数说明
参数 <1-99>
说明
<100-199>
基于源和目标地址的Access-list
<200-299>
基于二层协议和MAC的过滤
<700-799>
基于MAC的过滤
<1300-1999>
基于源地址的Access-list,可以指定协议端口
<2000-2699>
基于源和目标地址的Access-list,可以指定协 议端口
<2700-2999>
基于源和目标地址的Access-list,只能适用于 TCP和UDP协议,可以指定协议端口
基于源地址的Access-list
使用指导
配置了 access-list 后,可以使用此命令查看 access-list 的配置信息
配置实例
显示 Access-list 1300 的所有规则信息 SmartHammer(config)#show ip access-list 1300
18.15 show ip access-list compiled 命令格式
show ip access-list [<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>] compiled
命令功能
显示 Access-list 预编译状态及内存使用情况
命令模式
特权模式
参数说明
参数
说明 18-17
第 18 章 ACL 命令
第三部分 防火墙命令
<1-99>
基于源地址的access-list
<100-199>
基于源和目标地址的access-list
<1300-1999>
基于源地址的access-list,可以指定协议端口
<2000-2699>
基于源和目标地址的access-list,可以指定协议 端口
<2700-2999>
基于源和目标地址的access-list,只能适用于 TCP和UDP协议,可以指定协议端口
使用指导
当 access-list 进行了预编译后,可以用此命令查看 access-list 预编译和内 存使用情况。
配置实例
显示 Access-list 1300 的预编译及内存使用情况。 SmartHammer(config)#show ip access-list 1300 compiled
相关命令
18-18
{no}access-list (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) compiled
第 19 章 自适应安全过滤命令
第三部分 防火墙命令
19
第19章
自适应安全过滤命令
19.1 security-policy 命令格式
security-policy (restricted|controlled|protected) NAME no security-policy NAME
命令功能
根据特定的安全域创建用户自定义安全域
命令模式
全局配置模式
参数说明
默认状态 使用指导 配置实例
参数 restricted
说明 基于限制级安全域来创建。限制级安全域 一般在外部接口使用。
controlled
基于控制级安全域来创建。控制级安全域 一般在DMZ接口使用。
protected
基于保护级安全域来创建。保护级安全域 一般在内部接口使用。
无 对设备本身进行保护时,可使用此命令。单独使用此命令没有状态。 根据控制级安全域设定生成用户自定义控制级安全域 SmartHammer(config)#security-policy controlled test
相关命令
ip security-level ip access-group (in|out)
提示
默认安全域和新创建的安全域不包含 access-list 控制功能, 用户可以在自定义的安全域中设定特定的 access-list。
19-1
第 19 章 自适应安全过滤命令
第三部分 防火墙命令
19.2 ip access-group in 命令格式
ip access-group (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) in no ip access-group in
命令功能
设定用户自定义安全域配置中的 access-list,对进入使用此安全域的接口 的数据进行访问控制。
命令模式
安全域配置模式
参数说明
使用指导 配置实例
参数 <1-99>
说明
<100-199>
基于源和目标地址的access-list
<1300-1999>
基于源地址的access-list,可以指 定协议端口
<2000-2699>
基于源和目标地址的access-list, 可以指定协议端口
<2700-2999>
基于源和目标地址的access-list, 只能适用于TCP和UDP协议,可 以指定协议端口
基于源地址的access-list
对进入接口的数据包进行访问控制 设定安全域启用 access-list 1,对进入接口的数据包进行访问控制 SmartHammer (config-security-policy)# ip access-group 1 in
提示
Access-list 本身没有缺省策略。在没有启用自适应安全过 滤功能的情况下,启用空的 access-list 表示不对数据包进 行过滤。
19.3 ip access-group out 命令格式
ip access-group (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) out no ip access-group out
命令功能
19-2
设定用户自定义安全域配置中的 access-list,对离开使用此安全域的接口 的数据进行访问控制。
第 19 章 自适应安全过滤命令
第三部分 防火墙命令
命令模式
安全域配置模式
参数说明
参数 <1-99>
说明
<100-199>
基于源和目标地址的access-list
<1300-1999>
基于源地址的access-list,可以指定协议端口
<2000-2699>
基于源和目标地址的access-list,可以指定协 议端口
<2700-2999>
基于源和目标地址的access-list,只能适用于 TCP和UDP协议,可以指定协议端口
基于源地址的access-list
使用指导
对离开接口的数据包进行访问控制,即对接口所接入的安全域进行保护
配置实例
设定安全域启用 access-list 2,对离开接口的数据包进行访问控制 SmartHammer (config-security-policy)# ip access-group 2 out
提示
Access-list 本身没有缺省策略。在没有启用自适应安全过 滤功能的情况下,启用空的 access-list 表示不对数据包进 行过滤。
19.4 ip security-level 命令格式
ip security-level <10-39> ip security-level <40-69> ip security-level <70-99> no ip security-level
命令功能
调整安全域的安全级别,限制级安全域使用安全级别范围为<10-39>,控制 级安全域使用安全级别为<40-69>,保护级安全域使用安全级别为<70–99 >。
命令模式
安全域配置模式
参数说明
默认状态
参数 <10-39>
说明
<40-69>
控制级安全域安全级别,40最高,69最低
<70-99>
保护级安全域安全级别,99最高,70最低
限制级安全域安全级别,39最高,10最低
限制级安全域默认安全级别为 20,控制级安全域默认安全级别为 50, 19-3
第 19 章 自适应安全过滤命令
第三部分 防火墙命令
保护级安全域默认安全级别为 80。 使用 no 命令后安全级别值恢复其安全域的默认安全级别。 使用指导
与 ip service adaptive-security 结合使用。没有启用 adaptive-security 功 能时没有意义。
配置实例
设置用户自定义控制级安全域安全级别为 89 SmartHammer (config-security-policy)# ip security-level 89
相关命令
ip service adaptive-security
19.5 ip security-policy 命令格式
ip security-policy ( general| restricted| controlled| protected| isolated| NAME) no ip security-policy NAME)]
[( general| restricted| controlled| protected| isolated|
命令功能
在指定接口上应用指定的安全域
命令模式
接口模式
参数说明
可以使用系统初始设定的安全域;也可以使用用户自定义的安全域。
默认状态
系统默认 ge0 接口使用 restricted 安全域,ge1 接口使用 protected 安全 域,其他 ge 接口使用 controlled 安全域
配置实例
在接口上应用隔离安全域设置 SmartHammer(config-if)#ip security-policy isolated
19.6 local ip security-policy 命令格式
ip security-policy (unrestricted| general| restricted| controlled| protected| isolated| NAME) no local ip security-policy protected| isolated| NAME)]
19-4
命令功能
指定设备本身的安全域
命令模式
全局配置模式
[(unrestricted| general| restricted| controlled|
第 19 章 自适应安全过滤命令
第三部分 防火墙命令
参数说明
可以使用系统初始设定的安全域;也可以使用用户自定义的安全域。
默认状态
系统默认使用 protected 安全域
配置实例
在接口上应用隔离安全域设置 SmartHammer(config)#local ip security-policy isolated
19.7 ip servic adaptive-security 命令格式
ip servic adaptive-security no ip servic adaptive-security
命令功能
启用自适应安全过滤功能
命令模式
全局配置模式
默认状态
系统默认为开启。
使用指导
可通过调整各安全域安全级别达到对各安全域的访问控制和有效保护。
配置实例
设置启用自适应安全过滤功能 SmartHammer(config)#ip servic adaptive-security
19.8 show security-policy 命令格式
show security-policy [NAME]
命令功能
显示安全域设定
命令模式
特权模式
参数说明
指定安全域名称后将显示指定安全域设定,未指定名称则限制所有安全域 设定。
19.9 debug acl 命令格式
debug acl no debug acl
19-5
第 19 章 自适应安全过滤命令
19-6
命令功能
控制 ACL 调试信息
命令模式
特权模式
默认状态
ACL 的调试信息处于关闭状态
第三部分 防火墙命令
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
20
第20章
基于状态的资源和连接控 制命令
20.1 debug inspect 命令格式
{no} debug inspect (tcp|udp|icmp|generic|flow)
命令功能
调试 TCP、UDP、ICMP 其它协议或者基于 ACL 的流数限制 inspect 流程 取消调试 inspect
命令模式 参数说明
特权模式 参数 (tcp|udp|icmp|generic|flow)
说明 TCP、UDP、ICMP其它协议,基于ACL 的流数限制的inspect调试
默认状态
无调试
使用指导
可以使用 debug 跟踪 inspect 的工作流程
配置实例
调试 TCP 的 inspect 流程,使用以下命令: SmartHammer(config)#debug ip inspect tcp
提示
调试不包括错误提示,并且打开后会在命令行上打印大量 信息,消耗大量资源,影响设备正常工作,因此建议用户, 当调试结束时,一定要用 no debug 命令禁用此功能
20.2 ip inspect idletime 命令格式
ip inspect idletime <0-2592000> (tcp|udp|icmp|generic) no ip inspect idletime (tcp|udp|icmp|generic|all)
20-1
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
命令功能
设置 tcp、Udp、Icmp、其它协议超时时间
命令模式
配置模式
参数说明
参数 <0-2592000>
说明 各协议超时时间。 值域范围为<0-2592000>,最长30天。
默认状态
tcp
TCP协议
udp
UDP协议
icmp
ICMP协议
generic
其它所有协议
默认状态下: TCP 连接超时时间 3600 seconds UDP 连接超时时间 30 seconds ICMP 连接超时时间 10 seconds generic 连接超时时间 30 seconds
使用指导
此命令用来设置,各协议的连接超时时间。此命令 TCP 针对连接(即 TCP 的三次握手成功),UDP 针对有应答报文,ICMP 为半连接超时时间。
配置实例
设置各协议的连接超时时间,使用以下命令: SmartHammer(config)#ip inspect idletime 86400 tcp SmartHammer(config)#ip inspect idletime 180 udp SmartHammer(config)#ip inspect idletime 30 icmp SmartHammer(config)#ip inspect idletime 600 generic
恢复所有连接超时时间为缺省值,使用以下命令: SmartHammer(config)#no ip inspect idletime all
相关命令
ip inspect udp halfopen idletime <0-3600>
提示
如果配置 tcp 超时时间很小,会造成超时后设备断开 tcp 连 接,而 Client 和 Server 一无所知,而继续发 Ack 报文,这 样防火墙的状态检测会认为是非法报文。 此命令对已经建立的连接无效,这些连接还按照以前的设 置生效,新的连接会按照新的设置值生效。
20-2
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
20.3 ip inspect max <0-655360> 命令格式
ip inspect max <0-655360> no ip inspect max
命令功能
设置系统所允许的最大连接数目(包含半连接),包括半连接和已建立连接。
命令模式
配置模式
参数说明
参数 <0-655360>
说明 系统所有连接数目
默认状态
默认情况下允许最大连接数目 655360。
使用指导
可以用此命令来限制系统所允许的最大连接数目。 如果配置了最大连接数目为 0,则将不会有任何连接建立。 提示
配置实例
设置 SmartHammer 允许最大连接数目(为 50000),使用以下命令: SmartHammer(config)#ip inspect max
50000
恢复设置 SmartHammer 允许最大连接数目,使用以下命令: SmartHammer(config)#no ip inspect max
相关命令
ip inspect max <0-655360> (tcp|udp|icmp|generic) no ip inspect max (tcp|udp|icmp|generic)
20.4 ip inspect maxincomplete high NUMBER 命令格式
ip inspect maxincomplete high NUMBER no ip inspect maxincomplete high
命令功能
设置系统所允许的半连接数目高警戒线
命令模式
配置模式
参数说明
参数 NUMBER
说明 系统半连接数目高警戒线。 值域范围为<-1-655360>,其中-1代表不限制高警戒线。 20-3
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
默认状态
默认状态下为 500。
使用指导
此命令用来设置系统所允许的半连接数目高警戒线,当系统的半连接数目 达到高警戒线时,会删除半连接直到达到低警戒线水平,以保护设备,同 时也可以保证网络上存在大量半连接报文时,在高低警戒线间正常连接报 文可以通过。 请根据实际网络情况确定警戒线值。
提示
如果配置了高警戒线为-1,则不对系统的半连接进行限制; 如果配置了高警戒线为 0,则不允许建立半连接,这也意味 着不允许建立连接。 恢复缺省值时,如果配置的低警戒线值高于缺省高警戒线, 系统会提示配置错误。
配置实例
设置系统所允许的半连接数目高警戒线(为 1000),使用以下命令: SmartHammer(config)#ip inspect maxincomplete high 1000
恢复系统所允许的半连接数目高警戒线,使用以下命令: SmartHammer(config)#no ip inspect maxincomplete high
相关命令
ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic) no ip inspect maxincomplete high (tcp|udp|icmp|generic)
20.5 ip inspect maxincomplete low NUMBER 命令格式
ip inspect maxincomplete low NUMBER no ip inspect maxincomplete low
命令功能
设置系统所允许的半连接数目低警戒线
命令模式
配置模式
参数说明
默认状态
20-4
参数 NUMBER
说明 系统半连接数目低警戒线。值域范围为<-1-655360>。
默认状态下为 400。
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
使用指导
此命令用来设置系统所允许的半连接数目低警戒线,当系统的半连接数目 达到高警戒线时,会删除半连接直到达到低警戒线水平,以保护设备,同 时也可以保证网络上存在大量半连接报文时,在高低警戒线间正常连接报 文可以通过。 请根据实际网络情况确定警戒线值。 如果配置了低警戒线为-1,则当做 0 处理。 提示
配置实例
恢复缺省值时,如果配置的高警戒线低于缺省低警戒线, 则系统会提示配置错误。
设置系统所允许的半连接数目低警戒线(为 800),使用以下命令: SmartHammer(config)#ip inspect maxincomplete low 800
恢复系统所允许的半连接数目低警戒线,使用以下命令: SmartHammer(config)#no ip inspect maxincomplete low
相关命令
ip inspect maxincomplete high NUMBER ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic)
20.6 ip inspect one-minute high NUMBER 命令格式
ip inspect one-minute high NUMBER no ip inspect one-minute high
命令功能
设置系统所允许的每分钟半连接数目高警戒线
命令模式
配置模式
参数说明
参数 NUMBER
说明 系统每分钟半连接数目高警戒线。 值域范围为<-1-655360>,其中-1代表不限制高警戒线。
默认状态 使用指导
默认状态下为 500。 此命令用来设置系统所允许的每分钟半连接数目高警戒线,当系统的每分 钟半连接数目达到高警戒线时,会删除半连接直到达到低警戒线水平,以 保护设备,同时也可以保证网络上存在大量半连接报文时,在高低警戒线 间正常连接报文可以通过。 请根据实际网络情况确定警戒线值。 20-5
第 20 章 基于状态的资源和连接控制命令
提示
第三部分 防火墙命令
如果配置了高警戒线为-1,则不对系统的每分钟半连接进行 限制;如果配置了高警戒线为 0,则不允许建立半连接,这 也意味着不允许建立连接。 恢复缺省值时,如果配置了低警戒线,并且低警戒线值高 于此缺省值,系统会提示配置错误。
配置实例
设置系统所允许的每分钟半连接数目高警戒线(为 600),使用以下命令: SmartHammer(config)#ip inspect one-minute high 600
恢复系统所允许的每分钟半连接数目高警戒线,使用以下命令: SmartHammer(config)#no ip inspect one-minute high
相关命令
ip inspect one-minute low NUMBER ip inspect one-minute high NUMBER (tcp|udp|icmp|generic)
20.7 ip inspect one-minute low NUMBER 命令格式
ip inspect one-minute low NUMBER no ip inspect one-minute low
命令功能
设置系统所允许的每分钟半连接数目低警戒线
命令模式
配置模式
参数说明
参数 NUMBER
说明 系统半连接数目低警戒线,值域范围为<-1-655360>。
默认状态
默认状态下为 400。
使用指导
此命令用来设置系统所允许的每分钟半连接数目低警戒线,当系统的每分 钟半连接数目达到高警戒线时,会删除半连接直到达到低警戒线水平,以 保护设备,同时也可以保证网络上存在大量半连接报文时,在高低警戒线 间正常连接报文可以通过。 请根据实际网络情况确定警戒线值。 如果配置了低警戒线为-1,则当做 0 处理。 提示
配置实例
20-6
恢复缺省值时,如果配置了高警戒线,并且高警戒线值低 于此缺省值,系统会提示配置错误。
设置系统所允许的每分钟半连接数目低警戒线为 500,使用以下命令:
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
SmartHammer(config)#ip inspect one-minute low 500
恢复系统所允许的每分钟半连接数目低警戒线为缺省值,使用以下命令: SmartHammer(config)#no ip inspect one-minute low
相关命令
ip inspect one-minute high NUMBER ip inspect one-minute low NUMBER (tcp|udp|icmp|generic)
20.8 ip inspect max <0-655360> (tcp|udp|icmp|generic) 命令格式
ip inspect max <0-655360> (tcp|udp|icmp|generic) no ip inspect max (tcp|udp|icmp|generic|all)
命令功能
设置 TCP、UDP、ICMP、其它协议所允许的最多连接数目(包括连接和半 连接)
命令模式
配置模式
参数说明
参数 <0-655360>
说明 每协议的所有连接数目(包括连接和半连接), 值域范围为<0-655360>
tcp
TCP协议
udp
UDP协议
icmp
ICMP协议
generic
其它所有协议
默认状态
默认状态下为 655360。
使用指导
可以根据实际情况,合理分配 tcp、udp、icmp、generic(其它所有协议), 所占连接数目的比例。
提示
配置实例
如果配置了协议最大连接数目为 0,则将不会有任何该协议 连接建立。
设置各协议所允许的连接数目,使用以下命令: SmartHammer(config)#ip inspect max 100000 tcp SmartHammer(config)#ip inspect max 50000 udp SmartHammer(config)#ip inspect max 1000 icmp SmartHammer(config)#ip inspect max 100000 generic
20-7
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
恢复各协议所允许的连接数目为缺省值,使用以下命令: SmartHammer(config)#no ip inspect max all
相关命令
ip inspect max
20.9 ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic) 命令格式
ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic) no ip inspect maxincomplete high (tcp|udp|icmp|generic|all)
命令功能
设置各协议所允许的半连接数目高警戒线
命令模式
配置模式
参数说明
参数 NUMBER
说明 各协议半连接数目高警戒线。 值域范围为<-1-655360>,其中-1代表不限制高警戒线。
tcp
TCP协议
udp
UDP协议
icmp
ICMP协议
generic
其它所有协议
默认状态
默认状态下为 500。
使用指导
此命令用来设置指定协议所允许的半连接数目高警戒线,当指定协议的半 连接数目达到高警戒线时,会删除半连接直到达到低警戒线水平,以保护 设备,同时也可以保证网络上存在大量指定协议半连接报文时,在高低警 戒线间正常连接报文可以通过。 请根据实际网络情况确定警戒线值。
提示
如果配置了高警戒线为-1,则不对指定协议的半连接进行限 制;如果配置了高警戒线为 0,则不允许指定协议建立半连 接,这也意味着不允许指定协议建立连接。 恢复缺省值时,如果配置的低警戒线高于缺省的高警戒线, 则系统会提示配置错误。
配置实例
设置各协议所允许的半连接数目高警戒线,使用以下命令: SmartHammer(config)#ip inspect maxincomplete high 1000 tcp SmartHammer(config)#ip inspect maxincomplete high 1000 udp SmartHammer(config)#ip inspect maxincomplete high 100 icmp SmartHammer(config)#ip inspect maxincomplete high 1000 generic
20-8
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
恢复各协议所允许的半连接数目高警戒线为缺省值,使用以下命令: SmartHammer(config)#no ip inspect maxincomplete high all
相关命令
ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic) ip inspect maxincomplete high NUMBER
20.10 ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic) 命令格式
ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic) no ip inspect maxincomplete low (tcp|udp|icmp|generic|all)
命令功能
设置 tcp、Udp、Icmp、其它协议所允许的半连接数目低警戒线
命令模式
配置模式
参数说明
默认状态 使用指导
参数 NUMBER
各协议半连接数目低警戒线,值域范围为<-1-655360>。
说明
tcp
TCP协议
udp
UDP协议
icmp
ICMP协议
generic
其它所有协议
默认状态下为 400。 此命令用来设置指定协议所允许的半连接数目低警戒线,当指定协议的半 连接数目达到高警戒线时,会删除半连接直到达到低警戒线水平,以保护 设备,同时也可以保证网络上存在大量指定协议半连接报文时,在高低警 戒线间正常连接报文可以通过。 请根据实际网络情况确定警戒线值。 如果配置了低警戒线为-1,则当做 0 处理。 提示
配置实例
恢复缺省值时,如果配置的高警戒线低于缺省的低警戒线, 则系统会提示配置错误。
设置各协议所允许的半连接数目低警戒线,使用以下命令: SmartHammer(config)#ip inspect maxincomplete low 800 tcp SmartHammer(config)#ip inspect maxincomplete low 800 udp SmartHammer(config)#ip inspect maxincomplete low 80 icmp SmartHammer(config)#ip inspect maxincomplete low 800 generic
20-9
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
恢复各协议所允许的半连接数目低警戒线为缺省值,使用以下命令: SmartHammer(config)#no ip inspect maxincomplete low all
相关命令
ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic)
20.11 ip inspect one-minute high NUMBER (tcp|udp|icmp|generic) 命令格式
ip inspect one-minute high NUMBER (tcp|udp|icmp|generic) no ip inspect one-minute high (tcp|udp|icmp|generic|all)
命令功能
设置 tcp、Udp、Icmp、其它协议所允许的每分钟半连接数目高警戒线
命令模式
配置模式
参数说明
参数 NUMBER
说明 各协议每分钟半连接数目高警 戒线。 值域范围为<-1-655360>,其中-1 代表不限制高警戒线。
tcp
TCP协议
udp
UDP协议
icmp
ICMP协议
generic
其它所有协议
默认状态
默认状态下为 500。
使用指导
此命令用来设置指定协议所允许的每分钟半连接数目高警戒线,当指定协 议的每分钟半连接数目达到高警戒线时,会删除半连接直到达到低警戒线 水平,以保护设备,同时也可以保证网络上存在大量指定协议半连接报文 时,在高低警戒线间正常连接报文可以通过。 请根据实际网络情况确定警戒线值。
提示
如果配置了高警戒线为-1,则不对指定协议的每分钟半连接 进行限制;如果配置了高警戒线为 0,则不允许建立半连接, 这也意味着不允许建立连接。 恢复缺省值时,如果配置的低警戒线高于缺省的高警戒线, 则系统会提示配置错误。
配置实例
20-10
设置各协议所允许的每分钟半连接数目高警戒线,使用以下命令:
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
SmartHammer(config)#ip inspect one-minute high 1000 tcp SmartHammer(config)#ip inspect one-minute high 1000 udp SmartHammer(config)#ip inspect one-minute high 100 icmp SmartHammer(config)#ip inspect one-minute high 1000 generic
恢复各协议所允许的每分钟半连接数目高警戒线为缺省值,使用以下命令: SmartHammer(config)#no ip inspect one-minute high all
相关命令
ip inspect one-minute low NUMBER (tcp|udp|icmp|generic)
20.12 ip inspect one-minute low NUMBER (tcp|udp|icmp|generic) 命令格式
ip inspect one-minute low NUMBER (tcp|udp|icmp|generic) no ip inspect one-minute low (tcp|udp|icmp|generic|all)
命令功能
设置 tcp、Udp、Icmp、其它协议所允许的每分钟半连接数目低警戒线
命令模式
配置模式
参数说明
默认状态 使用指导
参数 NUMBER
说明 协议半连接数目低警戒线,值域范围为<-1-655360>。
tcp
TCP协议
udp
UDP协议
icmp
ICMP协议
generic
其它所有协议
默认状态下为 400。 此命令用来设置指定协议所允许的每分钟半连接数目低警戒线,当指定协 议的每分钟半连接数目达到高警戒线时,会删除半连接直到达到低警戒线 水平,以保护设备,同时也可以保证网络上存在大量指定协议半连接报文 时,在高低警戒线间正常连接报文可以通过。 请根据实际网络情况确定警戒线值。 如果配置了低警戒线为-1,则当做 0 处理。 提示
配置实例
恢复缺省值时,如果配置的高警戒线低于缺省的低警戒线, 则系统会提示配置错误。
设置各协议所允许的每分钟半连接数目低警戒线,使用以下命令: SmartHammer(config)#ip inspect one-minute low 800 tcp SmartHammer(config)#ip inspect one-minute low 800 udp
20-11
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
SmartHammer(config)#ip inspect one-minute low 80 icmp SmartHammer(config)#ip inspect one-minute low 800 generic
恢复所有协议所允许的每分钟半连接数目低警戒线为缺省值,使用以下命 令: SmartHammer(config)#no ip inspect one-minute low all
相关命令
ip inspect one-minute high NUMBER (tcp|udp|icmp|generic)
20.13 ip inspect max flow list 命令格式
ip inspect max flow <0-655360> (src|dst|dst-dport) list ACCESS-LIST no ip inspect max flow list ACCESS-LIST
命令功能
设置基于 ACL 的主机连接数限制
命令模式
配置模式
参数说明
参数 <0-655360>
说明
(src|dst|dst-dport)
指定限制种类:源,目的或者目的+目的端口号
list ACCESS-LIST
ACL名称
限制的连接数目值,值域范围为<0-655360>。
默认状态
无限制
使用指导
如果限制某些(或某个)主机可以建立的流数,可以通过指定 src 关键字来 限制。 如果为保护某个(或某些)Server,限制它们可以接受的流数,可以通过指定 dst 关键字来限制。 如果为保护某个(或某些)Server 上的特殊服务,限制它们可以接受的流数, 可以通过指定 dst-dport 关键字来限制。 如果需要取消对某些主机的流数限制,可以使用 no 命令。或者取消相应的 ACCESS-LIST 也可以。
提示
配置实例
如果 ACL 配置范围较大,会所有主机或者主机+端口号进 行限制,会占用大量空间。
设置基于 ACL 的主机连接数限制,使用以下命令: SmartHammer(config)#ip inspect max flow 5 src list 88
20-12
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
取消基于 ACL 的主机连接数限制,使用以下命令: SmartHammer(config)#no ip inspect max flow list 88
相关命令
show ip inspect information (tcp|udp|icmp|generic|flow)
20.14 ip inspect tcp close-time 命令格式
ip inspect tcp close-time <0-2592000> no ip inspect tcp close-time
命令功能
设置 tcp 协议 close 超时时间
命令模式
配置模式
参数说明
参数 <0-2592000>
说明 设置tcp协议close超时时间,单位为秒。值域范围 为<0-2592000>。
默认状态
默认状态下为 5 seconds。
使用指导
如果 Client 发出 SynSent,Server 直接应答 Rst,则 Client 进入关闭状态。 closetime 就是收到 Rst 报文后的老化时间,对于连接关闭后。
配置实例
设置 tcp 协议 close 超时时间,使用以下命令: SmartHammer(config)#ip inspect tcp close-time 4
恢复 tcp 协议 close 超时时间为缺省值,使用以下命令: SmartHammer(config)#no ip inspect tcp close-time
相关命令
ip inspect tcp finwait-time <0-2592000> ip inspect tcp timewait-time <0-2592000> ip inspect tcp closewait-time <0-2592000>
20.15 ip inspect tcp closewait-time 命令格式
ip inspect tcp closewait-time <0-2592000> no ip inspect tcp closewait-time
命令功能
设置 tcp 协议 closewait 超时时间 20-13
第 20 章 基于状态的资源和连接控制命令
命令模式 参数说明
第三部分 防火墙命令
配置模式 参数 <0-2592000>
说明 设置tcp协议closewait超时时间,单位为秒。 值域范围为<0-2592000>。
默认状态
默认状态下为 5 seconds。
使用指导
Server 主动发 FIN 请求,Client 回应 ACK,整个 TCP 连接结束。
tcp closewait 超时时间是指当设备收到 Server 发送的 fin 报文后,进入 closewait 状态,直到收到 Client 发送的 ack 报文前的超时时间。 配置实例
设置 tcp 协议 closewait 超时时间,使用以下命令: SmartHammer(config)#ip inspect tcp closewait-time 4
恢复 tcp 协议 closewait 超时时间为缺省值,使用以下命令: SmartHammer(config)#no ip inspect tcp closewait-time
相关命令
ip inspect tcp finwait-time <0-2592000> ip inspect tcp timewait-time <0-2592000> ip inspect tcp close-time <0-2592000>
20.16 ip inspect tcp finwait-time 命令格式
ip inspect tcp finwait-time <0-2592000> no ip inspect tcp finwait-time
命令功能
设置 tcp 协议 fin 超时时间
命令模式
配置模式
参数说明
参数 <0-2592000>
说明 设置tcp协议fin超时时间,单位 为秒。 值域范围为<0-2592000>。
默认状态
20-14
默认状态下为 5 seconds。
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
使用指导
此命令设置 tcp finwait 超时时间,当设备收到 Client 发送的 fin 报文后,进 入 finwait 状态,直到收到 Server 发送的 ack 报文前的等待时间。当收到 ack 后,继续等待 Server 的 fin 报文,也是 finwait 超时时间。
提示
配置实例
如果设置过小,可能导致 client 或者 server 的 tcp 状态机非 正常老化。
设置 tcp 协议 fin 超时时间,使用以下命令: SmartHammer(config)#ip inspect tcp finwait-time 4
恢复 tcp 协议 fin 超时时间为缺省值,使用以下命令: SmartHammer(config)#no ip inspect tcp finwait-time
相关命令
ip inspect tcp closewait-time <0-2592000> ip inspect tcp timewait-time <0-2592000> ip inspect tcp close-time <0-2592000>
20.17 ip inspect udp halfopen idletime 命令格式
ip inspect udp halfopen idletime <0-3600> no ip inspect udp halfopen idletime
命令功能
设置 udp 协议半连接超时时间
命令模式
配置模式
参数说明
参数 <0-3600>
说明 udp协议半连接超时时间,单位为秒。值域范围 为<0-3600>。
默认状态
默认状态下为 10 seconds。
使用指导
如果网络上出现大量 udp 半连接攻击,可以适当减小超时值,以快速老化 udp 半连接。
配置实例
设置 udp 协议半连接超时时间为 5seconds,使用以下命令: SmartHammer(config)#ip inspect udp halfopen idletime 5
恢复 udp 协议半连接超时时间为缺省值,使用以下命令: 20-15
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
SmartHammer(config)#no ip inspect udp halfopen idletime
20.18 ip inspect tcp synrecv-time 命令格式
ip inspect tcp synrecv-time <0-2592000> no ip inspect tcp synrecv-time
命令功能
设置 tcp 协议 synrecv 超时时间,等待 Client 对 Server 的确认
命令模式
配置模式
参数说明
参数 <0-2592000>
说明 各协议超时时间。值域范围为<0-2592000>。
默认状态
默认状态下为 10 seconds。
使用指导
此命令用来设置设备收到 Server 发送的 ack 报文后,发送给 Client,然后 等待的超时时间,如果 Client 为伪装,可以设置较小值。 请根据实际网络情况确定。
配置实例
设置 tcp 协议 synrecv 超时时间,使用以下命令: SmartHammer(config)#ip inspect tcp synrecv-time 5
恢复 tcp 协议 synrecv 超时时间为缺省值,使用以下命令: SmartHammer(config)#no ip inspect tcp synrecv-time
相关命令
ip inspect tcp synsent-time <0-2592000>
提示
如果设置超时值过小,可能导致无法建立连接。可以设置 较小值,防止 syn-flood 攻击。
20.19 ip inspect tcp synsent-time 命令格式
ip inspect tcp synsent-time <0-2592000> no ip inspect tcp synsent-time
命令功能
20-16
设置 tcp 协议 synsent 超时时间,等待 Server 应答确认的时间
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
命令模式 参数说明
配置模式 参数 <0-2592000>
说明 各协议超时时间。值域范围为<0-2592000>。
默认状态
默认状态下为 20 seconds。
使用指导
此命令用来设置设备收到 Client 发送的 syn 报文后,发送给 Server,然后 等待的超时时间,如果 Server 比较忙,可以设置较大值。请根据实际网络 情况确定。
配置实例
设置 tcp 协议的设备等待 server 应答的超时时间,使用以下命令: SmartHammer(config)#ip inspect tcp synsent-time 30
恢复 tcp 协议 synsent 超时时间为缺省值,使用以下命令: SmartHammer(config)#no ip inspect tcp synsent-time
相关命令
ip inspect tcp synrecv-time <0-2592000>
如果设置超时值过小,可能导致无法建立连接。 提示
可以设置较大值,防止 server 响应不过来。
20.20 ip inspect tcp timewait-time 命令格式
ip inspect tcp timewait-time <0-2592000> no ip inspect tcp timewait-time
命令功能
设置 tcp 协议 timewait 超时时间
命令模式
配置模式
参数说明
参数 <0-2592000>
说明 设置tcp协议timewait超时时间,单位为秒。 值域范围为<0-2592000>。
默认状态
默认状态下为 5 seconds。
20-17
第 20 章 基于状态的资源和连接控制命令
使用指导
第三部分 防火墙命令
Client 主动发 fin 请求,Server 会回应 ack,然后发送 fin 报文,Client 发 ack 回应,整个 tcp 连接结束。 tcp timewait 超时时间是指,当设备收到 Server 发送的 fin 报文后,进入 timewait 状态,直到收到 Client 发送的 ack 报文前的超时时间
配置实例
设置 tcp 协议 timewait 超时时间,使用以下命令: SmartHammer(config)#ip inspect tcp timewait-time 4
恢复 tcp 协议 timewait 超时时间为缺省值,使用以下命令: SmartHammer(config)#no ip inspect tcp timewait-time
相关命令
ip inspect tcp finwait-time <0-2592000> ip inspect tcp closewait-time <0-2592000> ip inspect tcp close-time <0-2592000>
20.21 show ip inspect information 命令格式
show ip inspect information
命令功能
显示 ip inspect 的配置信息
命令模式
特权模式,用户模式
使用指导
显示所有 ip inspect 的配置信息
配置实例
显示 ip inspect 的配置信息,使用以下命令: SmartHammer(config)#show ip inspect information
相关命令
show ip inspect information (tcp|udp|icmp|generic|flow)
20.22 show ip inspect information (tcp|udp|icmp|generic|flow) 命令格式
show ip inspect information (tcp|udp|icmp|generic|flow)
命令功能
分别显示 ip inspect 的各协议以及基于 ACL 的主机流限制配置信息
命令模式
特权模式,用户模式
参数说明
20-18
参数
说明
第 20 章 基于状态的资源和连接控制命令
第三部分 防火墙命令
(tcp|udp|icmp|generic|flow)
TCP、UDP、ICMP或者其它协议,基于ACL 的主机流限制配置信息。
使用指导
可以按协议显示配置信息,或者显示基于 ACL 的主机流限制配置信息。
配置实例
显示 ip inspect 的 tcp 协议配置信息,使用以下命令: SmartHammer(config)#show ip inspect information tcp
相关命令
show ip inspect information
20.23 show ip inspect statistics 命令格式
show ip inspect statistics
命令功能
显示 ip inspect 的统计信息
命令模式
特权模式,用户模式
使用指导
可以用来显示 inspect 对系统,tcp,udp,icmp,其它协议的连接和半连接 统计。
配置实例
显示当前系统的连接和半连接统计,使用以下命令: SmartHammer(config)#show ip inspect statistics
相关命令
show ip inspect statistics (tcp|udp|icmp|generic|flow)
20.24 show ip inspect statistics (tcp|udp|icmp|generic|flow) 命令格式
show ip inspect statistics (tcp|udp|icmp|generic|flow)
命令功能
显示 inspect 的统计信息
命令模式
特权模式,用户模式
参数说明
使用指导
参数 (tcp|udp|icmp|generic|flow)
说明 TCP、UDP、ICMP和其它协议,基于ACL 的主机流限制统计信息。
可以分别用来显示 inspect 对 tcp,udp,icmp,其它协议的连接和半连接 统计。还可以用来显示 inspect 对主机流数的统计。 20-19
第 20 章 基于状态的资源和连接控制命令
配置实例
第三部分 防火墙命令
显示基于 ACL 的主机连接数限制统计,使用以下命令: SmartHammer(config)#show ip inspect statistics flow
相关命令
show ip inspect statistics
20.25 show ip inspect idletime 命令格式
show ip inspect idletime (tcp|udp|icmp|generic)
命令功能
显示 TCP、UDP、ICMP 或者其它协议超时时间配置信息
命令模式
特权模式,用户模式
参数说明
参数 (tcp|udp|icmp|generic)
说明 TCP、UDP、ICMP或者其它协议超时时间配置 信息。
使用指导
可以使用此功能显示对超时时间的配置信息。
配置实例
显示所有超时时间配置信息,使用以下命令: SmartHammer(config)#show ip inspect idletime
20-20
第 21 章 NAT 命令
第三部分 防火墙命令
21
第21章
NAT 命令
21.1 clear ip nat translations 命令格式
clear ip nat translations
命令功能
清除目前的地址转换的连接信息,执行命令后会导致当前 NAT 转换的连接 断开
命令模式
特权模式
配置实例
清除地址转换的连接信息 SmartHammer#clear ip nat translations
21.2 debug nat 命令格式
{no}debug nat
命令功能
在命令行终端输出地址转换的相关信息,用于调试地址转换功能
命令模式
特权模式
配置实例
对地址转换功能进行调试 SmartHammer#debug nat
21.3 ip nat destination (tcp|udp) A.B.C.D <0-65535> A.B.C.D [<0-65535>] 命令格式
{no}ip nat NAME destination (tcp|udp) A.B.C.D <0-65535> A.B.C.D [<0-65535>]
命令功能
配置针对目标地址的 NAT,将满足指定目标地址和目标端口的数据包的目 标地址和端口进行转换,转换为另外的地址和端口
命令模式
全局配置模式
21-1
第 21 章 NAT 命令
参数说明
第三部分 防火墙命令
参数
说明
NAME
NAT 规则链的名字
tcp
Transmission Control Protocol
udp
User Datagram Protocol
A.B.C.D
数据包的原有目标地址
<0-65535>
数据包的原有目标端口
A.B.C.D
转换后的目标地址
<0-65535>
转换后的目标端口,如不指定则端 口不转换
使用指导
针对特定的服务端口,进行目标地址和目标端口的转换。可隐藏内部地址 和服务端口
配置实例
配置一条 NAT 转换规则,将协议为 TCP,目标地址 200.1.1.1,端口为 80 的数据包的目标地址转换为 172.16.0.1,端口转换为 8080 SmartHammer(config)#ip nat outside destination tcp 200.1.1.1 80 172.16.0.1 8080
21.4 ip nat destination A.B.C.D (A.B.C.D|NAME) 命令格式
{no}ip nat NAME destination A.B.C.D (A.B.C.D|NAME)
命令功能
配置针对目标地址的 NAT,将满足指定目标地址的数据包的目标地址进行 转换,转换为另外一个固定地址或一组地址
命令模式
全局配置模式
参数说明
参数
说明
NAME
NAT 规则链的名字
A.B.C.D
数据包的原有目标地址
A.B.C.D
转换后的目标地址
NAME
转换后的地址池的名字,由 ip nat pool 定义
使用指导
针对目标地址的转换,可隐藏内部地址
配置实例
配置一条 NAT 转换规则,将目标地址 200.1.1.1 的数据包的目标地址转换 为 172.16.0.1 SmartHammer(config)#ip nat outside destination 200.1.1.1 172.16.0.1
再配置一条 NAT 转换规则,将目标地址 200.1.1.2 的数据包的目标地址转 换为到一个地址池中 21-2
第 21 章 NAT 命令
第三部分 防火墙命令
SmartHammer(config)#ip nat outside destination 200.1.1.2 webserver
21.5 ip nat destination list 命令格式
{no}ip nat NAME destination
list <2700-2999> (A.B.C.D|local)
[<0-65535>]
命令功能
配置针对目标地址的 NAT,将满足指定 access-list 的数据包的目标地址和 端口进行转换,目标地址转换为指定的地址或设备接口地址,如配置了端 口,将目标端口转换为指定的端口
命令模式
全局配置模式
参数说明
参数
说明
NAME
NAT 规则链的名字
<2700-2999>
Access-list 的名字
A.B.C.D
转换后的目标地址
local
转换为设备接口地址
<0-65535>
转换后的目标端口,如不指定则端 口不转换
使用指导
用于数据的重定向,目标主机必须提供相应的功能支持,一般情况下不使 用此功能
配置实例
配置一条 NAT 转换规则,将满足 access-list 2700 的数据包的目标地址转 换为 172.16.0.1,端口转换为 8080 SmartHammer(config)#ip nat outside destination list 2700 172.16.0.1 8080
再配置一条 NAT 转换规则,将满足 access-list 2701 的数据包的目标地址 转换为设备接口地址 SmartHammer(config)#ip nat outside destination list 2701 local
21.6 ip nat source list 命令格式
{no}ip nat NAME source list (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) (A.B.C.D|interface|pool NAME)
命令功能
配置针对源地址的 NAT,将满足指定 access-list 的数据包的源地址进行转 换,转换为指定的地址、出口地址或地址池
命令模式
全局配置模式 21-3
第 21 章 NAT 命令
参数说明
第三部分 防火墙命令
参数
说明
<1-99>
基于源地址的 access-list
<100-199>
基于源和目标地址的 access-list
<1300-1999>
基于源地址的 access-list,可以 指定协议端口
<2000-2699>
基于源和目标地址的 access-list, 可以指定协议端口
<2700-2999>
基于源和目标地址的 access-list, 只能适用于 TCP 和 UDP 协议, 可以指定协议端口
A.B.C.D
转换后的源地址
interface
转换为出口 interface 的地址
pool NAME
转换后的源地址池
使用指导
动态地址转换,可用于弥补公有地址不足的缺陷,同时对内部主机进行保护
配置实例
配置一条 NAT 转换规则,将满足 access-list 1 的数据包的源地址转换为 200.1.1.1 SmartHammer(config)#ip nat inside source list 1 200.1.1.1
再配置一条 NAT 转换规则,将满足 access-list 3 的数据包的源地址转换为 出口 interface 的地址 SmartHammer(config)#ip nat inside source list 3 interface
再配置一条 NAT 转换规则,将满足 access-list 2 的数据包的源地址转换为 地址池 pool1 中的地址 SmartHammer(config)#ip nat inside source list 2 pool pool1
21.7 ip nat source static 命令格式
{no}ip nat NAME source static A.B.C.D A.B.C.D
命令功能
配置静态地址转换,正向将前一个地址转换为后一个地址,反向将后一个 地址转换为前一个地址。
命令模式
全局配置模式
参数说明
参数 NAME
21-4
说明 NAT 规则链的名称
第 21 章 NAT 命令
第三部分 防火墙命令
A.B.C.D
正向转换的源地址,一般为内部地址
A.B.C.D
正向转换时转换后的源地址,一般为外部地址
使用指导
配置一对一静态地址映射
配置实例
配置一条静态 NAT 转换规则,将内部地址 172.16.0.1 映射为外部地址 200.0.0.1 SmartHammer(config)#ip nat inside source static 172.16.0.1 200.0.0.1
21.8 ip nat pool netmask 命令格式
ip nat pool NAME A.B.C.D A.B.C.D netmask A.B.C.D no ip nat pool NAME
命令功能
配置地址池,与 NAT 功能配合使用
命令模式
全局配置模式
参数说明
参数
说明
NAME
地址池的名称
A.B.C.D
地址池的起始地址
A.B.C.D
地址池的终止地址
A.B.C.D
地址掩码
使用指导
配置一个地址范围。掩码是网络掩码,仅用来对起始和终止地址进行校验
配置实例
配置一个地址池,范围为 200.0.0.1 到 200.0.0.100 SmartHammer(config)#ip nat pool pool1 200.0.0.1 200.0.0.100 netmask 255.255.255.0
21.9 ip nat 命令格式
{no}ip nat NAME
命令功能
在接口上启用 NAT 规则链
命令模式
以太网接口模式
参数说明
参数
说明
NAME
NAT规则链的名称 21-5
第 21 章 NAT 命令
第三部分 防火墙命令
使用指导
源地址转换在出口配置,目标地址转换在进口配置
配置实例
在接口上启用 NAT 规则链 nat1 SmartHammer(config-if)#ip nat nat1
21.10 show ip nat 命令格式
show ip nat
命令功能
显示 NAT 的配置信息
命令模式
特权模式
配置实例
显示 NAT 的配置信息 SmartHammer#show ip nat
21.11 show ip nat pool 命令格式
show ip nat pool
命令功能
显示 NAT 地址池的配置信息
命令模式
特权模式
配置实例
显示 NAT 地址池的配置信息 SmartHammer#show ip nat pool
21.12 show ip nat statistics 命令格式
show ip nat statistics
命令功能
显示地址转换的连接数统计
命令模式
特权模式
配置实例
显示地址转换的连接数统计 SmartHammer#show ip nat statistics
21-6
第 21 章 NAT 命令
第三部分 防火墙命令
21.13 show ip nat translations 命令格式
show ip nat translations
命令功能
显示地址转换的连接信息
命令模式
特权模式
配置实例
显示地址转换的连接信息 SmartHammer#show ip nat translations
21-7
第 22 章 链路层过滤命令
第三部分 防火墙命令
22
第22章
链路层过滤命令
22.1 debug acl 命令格式
{no}debug acl
命令功能
在命令行终端输出包过滤的相关信息,用于调试包过滤功能。
命令模式
特权模式
配置实例
对包过滤功能进行调试 SmartHammer#debug acl
22.2 ethernet access-group Num (in|out) 命令格式
ethernet access-group (<200-299>|<700-799>) (in|out) no ip access-group (in|out)
命令功能
启用接口 access-list,在链路层对进入接口的数据包进行访问控制
命令模式
接口模式
参数说明
使用指导
参数 <200-299>
说明
<700-799>
基于MAC的过滤
基于二层协议和MAC的过滤
在链路层对进入接口的数据包进行访问控制 ethernet access-group 指定的 acess-list 没有缺省策略。启 用空的 access-list 表示不对数据包进行过滤。 提示
链路层过滤与自适应安全过滤没有关系,自适应安全过滤 是 IP 层的基于状态的包过滤,而链路层过滤是链路层的包 过滤,没有状态。
22-1
第 22 章 链路层过滤命令
配置实例
第三部分 防火墙命令
在进入接口启用 access-list 200,对进入接口的数据包进行访问控制. SmartHammer(config-if)#ethernet access-group 200 in
22-2
第四部分
VPN 命令
第四部分 VPN 命令
第 23 章 IPSec VPN 命令
23
第23章
IPSec VPN 命令
23.1 crypto ipsec transform-set 命令格式
crypto ipsec transform-set transform-set-name transform1 [[transform2] transform3] no crypto transform-set transform-set-name
命令功能
定义一套转换集
命令模式
全局配置模式
参数说明
参数 transform-set-name
转换集名
说明
转换集
转换集
转换集
使用指导
转换集是可接受的安全协议和算法组合。两端路由器通过协商达成共识使 用某个相同的转换集进行 IPSec 通信。
配置实例
配置使用 md5/3des 的 esp 协议算法组合,使用以下命令: SmartHammer(config)#crypto ipsec transform-set test esp-3des esp-md5-hmac SmartHammer(cfg-crypto-trans)# exit
23.2 crypto isakmp enable 命令格式
{no} crypto isakmp enable
命令功能
配置允许 IKE 协商
命令模式
全局配置模式
23-1
第 23 章 IPSec VPN 命令
第四部分 VPN 命令
默认状态
不允许 IKE 协商
使用指导
IKE 协商默认为允许,IKE 不需要在不同的接口上分别启用,而是在路由器 的所有接口上启用.
配置实例
配置禁止 IKE 协商,使用以下命令: SmartHammer(config)#no crypto isakmp enable
23.3 crypto isakmp policy 命令格式
{no} crypto isakmp policy <1-1000>
命令功能
配置 ISAKMP SA 协商策略的参数
命令模式
全局配置模式
参数说明
参数 <1-1000>
说明 策略优先级编号
默认状态
默认使用 3des 加密,md5 哈希算法, DH 数组 group 2
使用指导
IKE 策略定义了 IKE 协商的一组参数。两端 VPN 设备通过 IKE 协议协商 相同的策略,IKE 策略用来定义 IKE 协商过程中的参数,这些参数用于建 立 isakmp SA。
可以配置多条不同的 IKE 协商策略供两端 VPN 设备协商 提示
配置实例
配置一条 isakmp sa 协商策略,使用以下命令: SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#exit
23.4 crypto isakmp key
23-2
命令格式
{no} crypto isakmp key key-string address A.B.C.D
命令功能
配置 IPSec 通信对端的共享密钥
第四部分 VPN 命令
命令模式 参数说明
默认状态
第 23 章 IPSec VPN 命令
全局配置模式 参数 key-string
密钥字符
说明
A.B.C.D
对端VPN设备的IP地址
无
使用指导
如果配置 A.B.C.D 为 0.0.0.0,则对所有地址的 IKE 协商都将使用相同的密 钥,这将非常不安全
配置实例
设置对 IP 为 1.1.1.1 的对端使用密钥 SmartHammer,使用以下命令: SmartHammer(config)#crypto isakmp key SmartHammer address 1.1.1.1
23.5 crypto map local-address 命令格式
{no} crypto map NAME local-address IFNAME
命令功能
指定本地地址
命令模式
全局配置模式
参数说明
参数 NAME
说明 Crypto map 名
<0-65535>
序列号
默认状态
默认本地地址为所绑定接口的 IP 地址
使用指导
指定本地地址,用于 IKE 协商已经 IPsec 隧道模式的本地地址
配置实例
配置名为 test,序列号为 0 的自动协商策略,使用以下命令: SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# exit
相关命令
{no} crypto map NAME <0-65535> manual
23.6 crypto map NAME 命令格式
{no} crypto map NAME <0-65535> isakmp
23-3
第 23 章 IPSec VPN 命令
第四部分 VPN 命令
命令功能
配置 IPSec SA 自动协商策略
命令模式
全局配置模式
参数说明
参数 NAME
说明 Crypto map 名
<0-65535>
序列号
使用指导
配置 IPSec SA 自动协商策略,配置进入 crypto map 模式
配置实例
配置名为 test,序列号为 0 的自动协商策略,使用以下命令: SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# exit
相关命令
{no} crypto map NAME <0-65535> manual
23.7 crypto map WORD 命令格式
{no} crypto map WORD
命令功能
启用 IPSec 通信保护
命令模式
接口配置模式
参数说明
配置实例
参数 WORD
说明 Map名
在接口 eth0 上启用名为 test 的 IPSec 保护通信,使用以下命令: SmartHammer(config)#interface ge0 SmartHammer(config-if)#crypto map test SmartHammer(config-if)#exit
23.8 encryption
23-4
命令格式
encryption (3des | des | blowfish | twofish)
命令功能
配置 isakmp 策略的加密算法
命令模式
ISAKMP 配置模式
第四部分 VPN 命令
参数说明
第 23 章 IPSec VPN 命令
参数 3des
说明 3des算法
des
Des算法
blowfish
Blowfish算法
twofish
Twofish算法
默认状态
3des 算法
使用指导
des 算法不安全,应避免使用
配置实例
配置使用 3des 算法,使用以下命令: SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#encryption 3des SmartHammer(config-isakmp)#exit
23.9 group 命令格式
{no} group (1|2|modp1536|modp2048|modp4096)
命令功能
配置 isakmp 协商策略 DH 数组
命令模式
ISAKMP 配置模式
参数说明
默认状态
参数 1
使用第一组DH数组
说明
2
使用第二组DH数组
modp1536
使用1536位的DH数组
modp2048
使用2048位的DH数组
modp4096
使用4096位的DH数组
group1
使用指导
1024 位的第二组和 768 位的第一组数都是不太安全的数组,应避免使用
配置实例
配置 isakmp 协商策略使用 1536 位的 DH 组,使用以下命令: SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#group modp1536 SmartHammer(config-isakmp)#exit
23-5
第 23 章 IPSec VPN 命令
第四部分 VPN 命令
23.10 hash 命令格式
{no} hash (md5|sha)
命令功能
配置 isakmp 策略的 hash 算法
命令模式
ISAKMP 配置模式
参数说明
参数 md5
说明 Md5哈希算法
sha
Sha-1哈希算法
默认状态
md5 算法
使用指导
Md5 算法为 128 位,sha 为 192 位
配置实例
配置 isakmp hash 算法为 md5,使用以下命令: SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#hash md5 SmartHammer(config-isakmp)#exit
23.11 ip domain-name 命令格式
ip domain-name WORD
命令功能
配置防火墙所属的域名
命令模式
全局配置模式
参数说明
23-6
参数 WORD
说明 域名
使用指导
配置防火墙所属的域名,可以配置未向域名机构注册的域名,不影响 IKE 的协商。
配置实例
配置防火墙所属的域名为 test.com,使用以下命令:
相关命令
SmartHammer(config) ip domain-name test.com
第四部分 VPN 命令
第 23 章 IPSec VPN 命令
23.12 lifetime 命令格式
{no} lifetime <60-86400>
命令功能
配置 isakmp sa 的生存期
命令模式
ISAKMP 配置模式
参数说明
默认状态 使用指导 配置实例
参数 <60-86400>
说明 生存期,单位为秒
86400 秒 生存期越短越安全 配置 isakmp 协商策略生存期 3600 秒,使用以下命令: SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#lifetime 3600 SmartHammer(config-isakmp)#exit
23.13 mode 命令格式
{no} mode (tunnel|transport)
命令功能
配置转换集使用的模式,隧道或传输模式
命令模式
IPSEC 变换集配置模式
参数说明
参数 tunnel
说明
transport
传输模式
隧道模式
默认状态
隧道模式
配置实例
设置使用传输模式,使用以下命令: SmartHammer(config)#crypto ipsec transform-set test esp-3des esp-md5-hmac SmartHammer(cfg-crypto-trans)# mode transport SmartHammer(cfg-crypto-trans)# exit
23-7
第 23 章 IPSec VPN 命令
第四部分 VPN 命令
23.14 match address 命令格式
{no} match address (<100-199> | <2000-2699>)
命令功能
配置要匹配的 IPSec 通信的 access list
命令模式
IPSEC MAP 配置模式
参数说明
参数 <100-199>
说明
<2000-2699>
扩展的access list号
标准的access list号
默认状态
无
使用指导
使用该指令选择需要进行 IPSec 保护的通信流量
配置实例
配置 IPSec 保护 access list 为 101 的流量,使用以下命令: SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# match address 101 SmartHammer(config-crypto-map)# exit
23.15 set peer 命令格式
{no} set peer A.B.C.D
命令功能
配置 IPSec 通信的对端地址
命令模式
IPSEC MAP 配置模式
参数说明
默认状态
参数 A.B.C.D
说明 对端IP地址
无
使用指导
配置 IPSec 通信的对端地址,如果用户 IP 地址不固定, 则将此项为 0.0.0.0, 可以达到动态 VPN 的效果。
配置实例
配置 IPSec 通信的对端地址 10.0.0.1,使用以下命令: SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# set peer 10.0.0.1
23-8
第四部分 VPN 命令
第 23 章 IPSec VPN 命令
SmartHammer(config-crypto-map)# exit
23.16 set pfs 命令格式
{no} set pfs (group1|group2|modp1536|modp2048|modp4096)
命令功能
配置 PFS 使用的 DH 数组
命令模式
IPSEC MAP 配置模式
参数说明
参数
说明
group1
使用第一组DH数组
group2
使用第二组DH数组
modp1536
使用1536位的DH数组
modp2048
使用2048位的DH数组
modp4096
使用4096位的DH数组
使用指导
避免使用不安全的第一组和第二组 DH 数组
配置实例
配置 pfs 使用 modp1536 的 DH 数组 SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# set pfs modp1536 SmartHammer(config-crypto-map)# exit
23.17 set transform-set 命令格式
{no} set transform-set TAG
命令功能
配置 ipsec sa 协商的转换集
命令模式
IPSEC MAP 配置模式
参数说明
参数 TAG
说明 变换集名
使用指导
可以配置一个变换集
配置实例
配置使用名为 test 的变换集,使用以下命令: SmartHammer(config)#crypto map test 0 isakmp
23-9
第 23 章 IPSec VPN 命令
第四部分 VPN 命令
SmartHammer(config-crypto-map)# set transform-set test SmartHammer(config-crypto-map)# exit
23.18 set security-association lifetime 命令格式
{no} set security-association lifetime <120-86400>
命令功能
配置 IPSec SA 的生存期
命令模式
IPSEC MAP 配置模式
参数说明
默认状态
参数 <120-86400>
说明 生存期,单位秒
3600 秒
使用指导
配置 IPSec SA 的生存期, 生存期越短越安全, 但同时对性能的影响也越大。
配置实例
设置 IPSec SA 生存期为 300 秒,使用以下命令: SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# set security-association lifetime 300 SmartHammer(config-crypto-map)# exit
23-10
第四部分 VPN 命令
第 24 章 L2TP 命令
24
第24章
L2TP 命令
24.1 clear l2tp tunnel 命令格式
clear l2tp tunnel [A.B.C.D]
命令功能
强制关闭 L2TP 隧道
命令模式
特权模式
参数说明
参数
说明
[A.B.C.D]
L2TP隧道对端的IP地址,可选参 数
使用指导
使用该命令将强制关闭 L2TP 隧道。如果指定了隧道 IP,则只强制关闭指 定的 L2TP 隧道;如果不指定隧道 IP,则强制关闭所有 L2TP 隧道。
配置实例
关闭对端地址为 10.1.1.4 的 L2TP 隧道,使用如下命令: SmartHammer#clear l2tp tunnel 10.1.1.4
关闭所有 L2TP 隧道,使用如下命令: SmartHammer#clear l2tp tunnel
24.2 clear l2tp session 命令格式
clear l2tp session
命令功能
强制关闭所有 L2TP 会话
命令模式
特权模式
使用指导
使用该命令将强制关闭所有 L2TP 会话
24-1
第 24 章 L2TP 命令
配置实例
第四部分 VPN 命令
关闭所有 L2TP 会话,使用如下命令: SmartHammer#clear l2tp session
24.3 debug l2tp 命令格式
{no}debug l2tp [ratelimit||event|packet|session|tunnel]
命令功能
显示 L2TP 模块的调试信息
命令模式
特权模式
参数说明
参数
说明
tunnel
显示 L2TP tunnel 阶段的调试信息
session
显示 L2TP session 阶段的调试信息
packet
显示接收和发送的 L2TP 报文
ratelimit
限制 debug 信息在屏幕的打印速率
event
L2tp 关键事件
显示 l2tp 所有的 debug 信息
使用指导
可以使用 debug l2tp 指令调试所有的 L2TP 问题。由于 L2TP session 中承 载的是 PPP 会话,所以如果要调试 PPP 阶段的问题,请配合使用 debug ppp 指令。
配置实例
SmartHammer#debug l2tp SmartHammer#terminal moniter
24.4 end 命令格式
end
命令功能
终止配置模式
命令模式
L2TP 模板配置模式
使用指导
使用该命令将终止配置模式,回到特权模式。
配置实例
SmartHammer (config-sub)# end SmartHammer#
24-2
第四部分 VPN 命令
第 24 章 L2TP 命令
24.5 exit 命令格式
exit
命令功能
退出 L2TP 模板配置模式
命令模式
L2TP 模板配置模式
使用指导
使用该命令将退出 L2TP 模板配置模式,回到上一级配置模式。
配置实例
SmartHammer (config-sub)# exit SmartHammer(config)#
24.6 l2tp peer ip password 命令格式
l2tp peer ip A.B.C.D password WORD
命令功能
配置隧道对端的认证密码
命令模式
全局配置模式
参数说明
使用指导
参数
说明
A.B.C.D
隧道对端的IP地址
WORD
隧道双方认证的密码
LAC 和 LNS 之间的隧道认证过程类似于 PPP 使用的 CHAP 认证方式。在 建立 L2TP 隧道的过程中, LNS 和 LAC 中的任何一方都可以要求对方认证。 LNS 在接收到对端 LAC 的 SCCRQ 报文后,如果配置了对隧道对端进行认 证,则给对端发送 challenge,并使用配置的对端密码对 LAC 进行认证; 如果对端 LAC 向 LNS 发送 challenge,要求 LNS 认证,则 LNS 也必须给 对端响应同样的密码进行认证。所以,只要隧道双方有一方要求认证,就 必须配置隧道的密码。另外 AVP 加密也使用该密码对 AVP 进行加密和解 密。由于 L2TP 客户端软件不支持隧道认证,因此默认配置为不要求对端 认证。
配置实例
在全局配置模式下配置隧道对端 10.1.4.2 的认证密码为 123456,使用如下 命令: SmartHammer#configure terminal SmartHammer(config)#l2tp peer ip 10.1.4.2 password 123456
24-3
第 24 章 L2TP 命令
第四部分 VPN 命令
24.7 hello-time 命令格式
{no}hello-time <1-3600>
命令功能
配置隧道活动探测时间
命令模式
L2TP 模板配置模式
参数说明
参数
说明
<1-3600>
隧道活动探测时间,以秒为单位
默认状态
60秒
使用指导
在 L2TP 隧道建立之后,如果超过隧道活动探测时间没有报文的交互,则 LAC 或 LNS 发送一个 Hello 控制报文,探测隧道的活动性,对该控制报文, 对方是必须应答的。 如果 3 次重发后得不到应答,则认为该隧道已经不可用,将强制关闭该隧 道。LAC 和 LNS 的 Hello 报文发送是独立的,其时间可以不同。用 no hello-time NUM 命令可以取消该配置,如果不配置 hello-time,则隧道不进 行活动性探测。默认不发送 hello 报文探测隧道活动性。
配置实例
在 L2TP 模板 lns0 中配置隧道活动探测时间为 150,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# hello-time 150
24.8 list
24-4
命令格式
list
命令功能
列出 L2TP 模板配置模式下可以使用的所有命令
命令模式
L2TP 模板配置模式
使用指导
使用该命令将列出 L2TP 模板配置模式下可以使用的所有命令,及其简单 说明。
配置实例
SmartHammer(config-sub)# list
第四部分 VPN 命令
第 24 章 L2TP 命令
24.9 listen address 命令格式
{no} listen address A.B.C.D
命令功能
配置 L2TP 监听的接口地址
命令模式
L2TP 模板配置模式
参数说明
参数 A.B.C.D
说明 A.B.C.D为L2TP监听的接口地址
使用指导
L2TP 客户端或者 LAC 在发送隧道连接请求时,会指定要连接的 LNS 地址。 LNS 则在指定的地址上监听 L2TP 连接请求。这个地址必须是一个活动接 口的地址,而且必须配置。
配置实例
在 L2TP 模板 lns0 中配置监听地址为 10.1.1.2,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# listen address 10.1.1.2
24.10 localname 命令格式
localname NAME
命令功能
配置隧道的本地名称
命令模式
L2TP 模板配置模式
参数说明
参数 NAME
使用指导
说明 隧道的本地名称
一条 L2TP 隧道建立后,会有一个本端分配的数字标识,有一个对端分配 的数字标识,有一个本地名,有一个对端所赋予的远端名。这四项唯一标 志一条隧道。 使用 no localname NAME 可以取消对 L2TP 隧道本地名的设置,使其恢复 到缺省配置。L2TP 隧道本地名的缺省值为防火墙的主机名。
配置实例
在 L2TP 模板 lns0 中配置隧道本地名称为 lns10.1.1.2,使用如下命令: SmartHammer#configure terminal
24-5
第 24 章 L2TP 命令
第四部分 VPN 命令
SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# localname lns10.1.1.2
24.11 max session 命令格式
max session <1-8192>
命令功能
配置 L2TP 会话数上限
命令模式
L2TP 模板配置模式
参数说明
参数 <1-8192>
说明 最大允许的 L2TP 会话数
默认状态
500
使用指导
在一个 L2TP 隧道内可以有多个 L2TP 会话,而每个 L2TP 会话对应于一个 PPP 会话,用户可以根据需要限制 L2TP 会话的个数, 从而限制承载的 PPP 会话的个数。 如果 L2TP 会话数达到该限制,将不再接受 L2TP 会话连接请求。
配置实例
在 L2TP 模板 lns0 中配置使用该模板的 L2TP 会话数最多为 200,使用如 下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# max session 200
24.12 max tunnel 命令格式
max tunnel <1-8192>
命令功能
配置 L2TP 隧道数上限
命令模式
L2TP 模板配置模式
参数说明
默认状态
24-6
参数
说明
<1-8192>
最大允许的L2TP隧道连接数
500
第四部分 VPN 命令
第 24 章 L2TP 命令
使用指导
用户可以根据需要限制 L2TP 隧道的个数。如果 L2TP 隧道数达到该限制, 将不再接受 L2TP 隧道连接请求。
配置实例
在 L2TP 模板 lns0 中配置使用该模板的 L2TP 隧道数最多为 100,使用如 下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# max tunnel 100
24.13 ppp profile 命令格式
{no} ppp profile [NAME]
命令功能
配置 L2TP 模板使用的 ppp-profile
命令模式
L2TP 模板配置模式
参数说明
参数 NAME
使用指导
说明 ppp-profile 名
L2TP 协议是基于 PPP 的应用,L2TP 会话中传输的就是 PPP 会话,因此 必须要有 PPP 的支持。L2TP 模板中所使用的 PPP 相关的参数在 PPP profile 中配置。 使用 no ppp-profile NAME 命令可以取消对名为 NAME 的 ppp-profile 的使 用。
配置实例
在 L2TP 模板 lns0 中配置使用名称为 l2tp0 的 PPP Profile,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# ppp profile l2tp0
24.14 receive-window 命令格式
receive-window <1-300>
命令功能
配置隧道接收窗口的大小
命令模式
L2TP 模板配置模式
参数说明
参数
说明 24-7
第 24 章 L2TP 命令
第四部分 VPN 命令
<1-300>
隧道接收窗口的大小
默认状态
4
使用指导
L2TP 隧道的控制报文是可靠传输的,对所发送的每个控制报文都需要对 方进行确认。为了提高吞吐量,允许 LAC 或 LNS 在得到确认之前连续发 送一窗口的控制报文,然后对端可以予以一次性确认。 这个窗口大小由对端的接收窗口大小来规定,也就是说,对方的接收窗口 大小就是本方的发送窗口大小。默认情况下,这个值是 4。可以通过命令 改变这个默认窗口大小。接收窗口的值对 LAC 和 LNS 而言是独立的,可 以设置为不同的值。
配置实例
在 L2TP 模板 lns0 中配置接收窗口大小为 10,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# receive-window 10
24.15 show l2tp session 命令格式
show l2tp session
命令功能
显示所有 L2TP 会话的统计信息
命令模式
特权模式
使用指导
使用该命令将显示所有 L2TP 会话的统计信息。
配置实例
显示所有 L2TP 会话,使用如下命令: SmartHammer#show l2tp session
24.16 show l2tp subcriber-template 命令格式
show l2tp subscribe-template [NAME]
命令功能
显示配置的 L2TP 模板的信息
命令模式
特权模式
参数说明
参数 [NAME]
24-8
说明 L2TP模板名,可选参数
第四部分 VPN 命令
第 24 章 L2TP 命令
[NAME]
L2TP模板名,可选参数
使用指导
使用该命令将显示 L2TP 模板的配置信息。如果指定了模板名,则只显示 指定 L2TP 模板的配置信息;如果没有指定模板名,则显示所有 L2TP 模板 的配置信息。
配置实例
显示名称为 lns0 的 L2TP 模板,使用如下命令: SmartHammer#show l2tp subsrciber-template lns0
显示所有 L2TP 模板,使用如下命令: SmartHammer#show l2tp subsrciber-template
24.17 show l2tp tunnel 命令格式
show l2tp tunnel [A.B.C.D]
命令功能
显示 L2TP 隧道的信息
命令模式
特权模式
参数说明
参数 [NAME]
使用指导
配置实例
说明 L2TP隧道对端名,可选参数
使用该命令将显示 L2TP 隧道的信息。如果指定了 L2TP 隧道对端的 IP 地 址,则只显示指定隧道的信息;如果没有指定 L2TP 隧道对端 IP 地址,则 显示所有 L2TP 隧道的统计信息。 显示对端地址为 10.1.1.4 的 L2TP 隧道,使用如下命令: SmartHammer#show l2tp tunnel 10.1.1.4
显示所有 L2TP 隧道,使用如下命令: SmartHammer#show l2tp tunnel
24.18 show vpdn 命令格式
show vpdn
命令功能
显示启用的 VPDN 的信息 24-9
第 24 章 L2TP 命令
第四部分 VPN 命令
命令模式
特权模式
使用指导
使用该命令将显示所有启用的 VPDN 的信息。
配置实例
显示所有启用的 VPDN,使用如下命令: SmartHammer#show vpdn
24.19 subscriber-template l2tp 命令格式
{no}subscriber-template l2tp NAME
命令功能
配置 L2TP 模板。使用对应的 no subscriber-template l2tp NAME 可以删除 一个已建立的名为 NAME 的 L2TP 模板。
命令模式
配置模式
参数说明
参数 NAME
使用指导
说明 L2TP 模板名
使用该命令将进入 l2tp 模板配置模式。如果该模板不存在,则会自动创建 该模板,然后进入模板配置模式。 no subscriber-template l2tp NAME 命令将删除该模板。如果该模板已经启 用,则必须先禁用,然后才能删除该模板。
配置实例
配置名称为 lns0 的 L2TP 模板,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0
24.20 tunnel authentication
24-10
命令格式
{no}tunnel authentication
命令功能
配置对 L2TP 隧道对端进行认证
命令模式
L2TP 模板配置模式
第四部分 VPN 命令
第 24 章 L2TP 命令
使用指导
L2TP 隧道建立过程中,可以要求隧道对端认证。如果不配置隧道认证,则 接到对端的连接请求时,不要求对端认证。 如果配置了隧道认证,则必须使用 l2tp peer ip A.B.C.D password WORD 命令配置对端认证的密码,在收到对端的连接请求时,将使用所配置的密 码对对端进行认证。默认不要求认证。
配置实例
在 L2TP 模板 lns0 中配置对接入的隧道对端进行认证,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# tunnel authentication
24.21 unique-ip 命令格式
{no} unique-ip
命令功能
配置 L2TP 隧道 IP 地址唯一性检测
命令模式
L2TP 模板配置模式
使用指导
如果配置对 L2TP 隧道的 IP 地址唯一性进行检测,那么将检查对端的 IP 地址,每个 IP 地址只允许建立一条隧道。 缺省配置为不检测隧道 IP 地址的唯一性,也就是说每个 IP 地址可以允许 建立多条隧道。
配置实例
在 L2TP 模板 lns0 中配置检测隧道对端的 IP 地址唯一性,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# unique-ip
24.22 vpdn enable l2tp subscriber-template 命令格式
vpdn enable l2tp subscriber-template NAME
命令功能
启用 L2TP VPDN,使用名称为 NAME 的 L2TP 模板。
命令模式
全局配置模式
参数说明
参数 NAME
说明 L2TP 模板名
24-11
第 24 章 L2TP 命令
使用指导
第四部分 VPN 命令
该命令将开启 L2TP VPDN 功能,并使用指定的 L2TP 模板。必须保证要 使用的 L2TP 模板已经创建并配置完整和正确。 no vpdn enable l2tp subscriber-template [NAME]命令将禁用开启的 L2TP VPDN,并强制所有使用该 L2TP 模板的 L2TP 隧道关闭。可以同时启用多 个 L2TP 模板,但是每个 L2TP 模板中配置的监听地址必须不同。
配置实例
启用名称为 lns0 的 L2TP 模板,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#vpdn enable l2tp subsrciber-template lns0
24.23 write memory 命令格式
write memory
命令功能
保存配置
命令模式
L2TP 模板配置模式
使用指导
使用该命令可以将当前修改的配置保存下来。如果不使用该命令,当前修 改的配置只是当前有效,系统重启后修改的部分将丢失。
配置实例
SmartHammer (config-sub)# write memory
24.24 write terminal
24-12
命令格式
write terminal
命令功能
显示配置
命令模式
L2TP 模板配置模式
使用指导
使用该命令可以将当前的配置显示在终端上。
配置实例
SmartHammer (config-sub)# write terminal
第五部分
接入认证命令
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25
第25章
PPP Profile 命令
25.1 aaa-group 命令格式
{no}aaa-group NAME
命令功能
配置PPP profile使用的AAA模板
命令模式
PPP Profile 配置模式
参数说明
参数 NAME
说明 AAA认证和计费模板名
使用指导
该命令配置 PPP profile 使用的 AAA 模板,所有使用该 PPP profile 的用户 都使用这个 AAA 模板进行认证和计费。如果已经有使用该 PPP profile 的 用户在线,则必须先让用户下线,才能从 PPP profile 中删除该 AAA 模板。
配置实例
配置 PPP profile 使用的 AAA 模板为 hammer SmartHammer(config-ppp)# aaa-group hammer
25.2 aaa-group by 命令格式
aaa-group NAME by GROUP
命令功能
配置 PPP profile 使用的 AAA 模板,只有用户名与 GROUP 模式匹配字符 串相匹配的用户才使用该 AAA 模板进行认证和计费。GROUP 为一个模式 匹配字符串,即以一个正则表达式来表示一个或一组用户,例如^h 代表以 h 开头,e$代表以 e 结尾等。 使用 no aaa-group NAME 命令可以取消 PPP profile 对名为 NAME 的 AAA 模板的使用。
命令模式
PPP Profile 配置模式
25-1
第 25 章 PPP Profile 命令
参数说明
使用指导
第五部分 接入认证命令
参数
说明
NAME
AAA认证和计费模板名
GROUP
模式匹配字符串
该命令配置 PPP profile 使用的 AAA 模板,该命令可以用来对不同的用户 使用不同的 AAA 模板进行认证。 如果已经有使用该 PPP profile 的用户在线,则必须先让用户下线,才能从 PPP profile 中删除该 AAA 模板。
配置实例
例如:配置只有用户名以@a.com 结束的用户使用 AAA 模板 hammer 进行 认证和计费。 SmartHammer(config-ppp)# aaa-group hammer by @a.com$
25.3 accounting-interval 命令格式
accounting-interval <60-3600> no accounting-interval [NUM]
命令功能
指定对 PPP 用户采用 Radius 实时计费方式时的计费间隔
命令模式
PPP Profile 配置模式
参数说明
参数 <60-3600>
说明 实时计费的时间间隔,以秒为单 位
默认状态
60 秒
使用指导
该命令指定向 Radius 计费服务器发送实时计费报文的间隔,只在使用 Radius 服务器进行认证时才起作用,即指定的 AAA 模板为 Radius 认证模 板。 如果不配置该命令,则不会向 Radius 计费服务器发送实时计费报文。
配置实例
在 PPP Profile p1 中配置 PPP 用户的实时计费间隔为 100, 使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# accounting-interval 100
25-2
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25.4 address local 命令格式
{no}address local A.B.C.D/M
命令功能
指定 PPP 本地的地址和掩码
命令模式
PPP Profile 配置模式
参数说明
参数
说明
A.B.C.D/M
使用指导
A.B.C.D为PPP 本地的地址,M 为掩码长度
该命令用来指定 PPP 本地的地址和掩码。给 PPP 用户分配的地址必须在 该地址和掩码确定的地址范围之内,所以配置的地址池也必须在该地址范 围内,但是不能包括该地址。 例如:PPP 本地地址为 172.16.1.1,掩码长度为 24,那么给客户端分配 的地址将在 172.16.1.1/24 网段范围内,但是不包括 172.16.1.1。
任意接口地址都不能配置在该地址范围内。 提示
配置实例
在 PPP Profile p1 中配置 PPP 的本地地址为 192.168.1.1,掩码为 16,使 用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address local 192.168.1.1/16
25.5 address pool dhcp 命令格式
{no}address pool dhcp
命令功能
指定使用 dhcp 服务器给 PPP 用户分配地址的方式
命令模式
PPP Profile 配置模式
使用指导
使用基于 PPP 的拨号方式时,PPP 在客户端认证通过后将给客户端分配一 个 IP 地址。 该地址可以由 PPP 从本地地址池中分配, 也可以由指定的 dhcp 服务器或 radius 服务器分配。 25-3
第 25 章 PPP Profile 命令
第五部分 接入认证命令
这三种地址分配方式是互斥的,只能使用其中一种。如果已经配置了一种 地址分配方式,想要改变为另外一种,则必须先删除原有的地址分配方式, 才可以配置新的地址分配方式。 配置该命令时,PPP 用户的地址将由 dhcp 服务器分配。可以使用内置的 dhcp 服务器或者通过 dhcp relay 使用其它网段的 dhcp 服务器,因此必须 保证启用了 dhcp 服务器或者 dhcp relay。删除该地址分配方式将导致已 经使用该地址分配方式的所有用户下线。 配置实例
在 PPP Profile p1 中配置 PPP 用户使用 DHCP 服务器动态分配 IP 地址, 使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address pool dhcp
25.6 address pool local 命令格式
{no} address pool local <0-255>
命令功能
配置使用本地地址池给客户端分配 IP 地址,以及使用的 IP 地址池
命令模式
PPP Profile 配置模式
参数说明
使用指导
参数
说明
<0-255>
IP地址池的ID
使用基于 PPP 的拨号方式时,PPP 在客户端认证通过后将给客户端分配一 个 IP 地址。 该地址可以由 PPP 从本地地址池中分配, 也可以由指定的 dhcp 服务器或 radius 服务器分配。 这三种地址分配方式是互斥的,只能使用其中一种。如果已经配置了一种 地址分配方式,想要改变为另外一种,则必须先删除原有的地址分配方式, 才可以配置新的地址分配方式。 配置该命令时,PPP 用户的地址将由 PPP 从本地地址池中分配。本地地址 池可以配置多个。如果已经有使用该 PPP Profile 的用户在线,则必须先让 用户下线,才能删除配置的本地地址池。
配置实例
在 PPP Profile p1 中配置 PPP 用户使用本地配置的 IP 地址池 0 动态分配 IP 地址,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address pool local 0
25-4
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25.7 address pool radius 命令格式
{no}address pool radius
命令功能
指定使用 radius 服务器给 PPP 用户分配地址的方式
使用指导
使用基于 PPP 的拨号方式时,PPP 在客户端认证通过后将给客户端分配一 个 IP 地址。 该地址可以由 PPP 从本地地址池中分配, 也可以由指定的 dhcp 服务器或 radius 服务器分配。 这三种地址分配方式是互斥的,只能使用其中一种。如果已经配置了一种 地址分配方式,想要改变为另外一种,则必须先删除原有的地址分配方式, 才可以配置新的地址分配方式。 配置该命令时,PPP 用户的地址将由 radius 服务器分配。因此必须保证使 用的 radius 服务器具有地址分配功能。删除该地址分配方式将导致已经使 用该地址分配方式的所有用户下线。
配置实例
在 PPP Profile p1 中配置 PPP 用户使用 RADIUS 服务器动态分配 IP 地址, 使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address pool radius
25.8 address pool static 命令格式
address pool static <0-255> no address pool static [<0-255>]
命令功能
指定 PPP 用户使用静态配置 IP 地址时,可以使用的地址池范围
命令模式
PPP Profile 配置模式
参数说明
参数 <0-255>
使用指导
说明 地址池的ID
配置该命令时,PPP 用户可以给自己配置静态的 IP 地址,但是配置的静态 IP 地址必须在该静态地址池范围内。 该地址分配方式可以与以上的三种动态地址分配方式一起使用,但是不能 配置与动态地址池重叠的地址。 25-5
第 25 章 PPP Profile 命令
第五部分 接入认证命令
如果 PPP 用户配置的静态 IP 地址不在该静态地址池范围内,则用户不能 上线。
配置实例
在 PPP Profile p1 中配置 PPP 用户可以静态配置使用地址池 10 中的 IP 地 址,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address pool static 10
25.9 authentication 命令格式
authentication (mschap-v2|mschap|chap|pap) no authentication
命令功能
指定对 PPP 用户进行认证时使用的认证方式
命令模式
PPP Profile 配置模式
参数说明
参数
说明
mschap-v2
Mschap-v2认证方式
mschap
Mschap 认证方式
chap
Chap 认证方式
pap
Pap 认证方式
默认状态
缺省使用 pap 认证
使用指导
PPP 可以支持多种认证方式,包括:pap、chap、mschap(微软的 CHAP 认证)和 mschap-v2(微软的 CHAP 认证第二版)。 本地认证只支持 pap 和 chap 两种认证方式,radius 认证可以支持上述四 种认证方式。如果不配置该指令,将使用默认认证方式 pap。
配置实例
在 PPP Profile p1 中配置 PPP 用户使用 chap 认证方式,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# authentication chap
25-6
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25.10 clear ppp interface 命令格式
clear ppp interface <0-8191>
命令功能
强制清除指定的 PPP 虚拟接口设备
命令模式
特权模式
使用指导
每个 PPP 用户都对应一个 PPP 虚拟设备,使用该命令将强制清除指定的 PPP 虚拟设备对应的 PPP 用户。
配置实例
如果要清除名为 ppp1 的虚拟设备对应的 PPP 用户,使用如下命令: SmartHammer#clear ppp interface 1
25.11 clear ppp user 命令格式
clear ppp user [NAME]
命令功能
强制 PPP 用户下线
命令模式
特权模式
参数说明
使用指导
参数
说明
[NAME]
PPP用户名,可选参数
使用该命令将强制指定的 PPP 用户下线。如果指定了用户名,则只强制指 定的 PPP 用户下线; 如果不指定用户名,则强制所有 PPP 用户下线。PPP 用户下线将导致对应 的 L2TP 或 PPPoE 会话关闭。
配置实例
如果要清除名为 a1 的 PPP 用户,使用如下命令: SmartHammer#clear ppp user a1
如果要清除所有 PPP 用户,使用如下命令: SmartHammer#clear ppp user
25-7
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25.12 debug ppp 命令格式
{no}debug ppp [(lcp|auth|ipcp|acct|dhcp|packet)]
命令功能
显示 PPP 模块的调试信息
命令模式
特权模式
参数说明
使用指导
参数
说明
lcp
显示lcp阶段的调试信息
auth
显示认证阶段的调试信息
ipcp
显示ipcp阶段的调试信息
acct
显示计费阶段的调试信息
dhcp
显示dhcp分配地址阶段的调试信息
packet
显示接收和发送的PPP报文信息
以上参数针对 PPP 的各个阶段进行调试,您可以使用 debug ppp 指令显示 ppp 所有阶段的调试信息。 该指令可以配合 PPPoE 和 L2TP 的调试指令一起使用。
配置实例
SmartHammer#debug ppp SmartHammerr# terminal moniter
25.13 dns 命令格式
dns A.B.C.D [E.F.G.H] no dns [A.B.C.D]
命令功能
指定 PPP 用户使用的 DNS 服务器地址
命令模式
PPP Profile 配置模式
参数说明
25-8
参数
说明
A.B.C.D
第一个DNS服务器的地址
[E.F.G.H]
第二个DNS服务器的地址
第 25 章 PPP Profile 命令
第五部分 接入认证命令
使用指导
该命令指定 PPP 用户使用的 DNS 服务器地址,可以配置两个 DNS 服务器。 如果不使用 dhcp 服务器给 PPP 用户分配地址的方式,或者 dhcp 服务器 没有配置 DNS 服务器,则 PPP 用户使用该命令配置的 DNS 服务器。 如果模板配置使用 dhcp 服务器分配地址的方式,而且 dhcp 服务器配置了 DNS 服务器,则 PPP 用户使用 dhcp 服务器指定的 DNS 服务器。
配置实例
在 PPP Profile p1 中配置 PPP 用户使用 DNS 服务器 10.1.1.1,使用如下 命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# dns 10.1.1.1
25.14 echo-time 命令格式
echo-time <60-3600> no echo-time
命令功能
指定探测 PPP 用户异常下线的时间间隔
命令模式
PPP Profile 配置模式
参数说明
参数
说明
<60-3600>
异常下线探测时间间隔,以秒为单位
默认状态
60 秒
使用指导
该命令指定探测 PPP 用户异常下线的时间间隔,每隔这个时间段,服务器 端就会向用户端发送 echo request 探测报文,若用户在线就必须发送 echo reply 回应报文。 如果超过三次没有收到回应报文,就认为用户已经异常下线。如果没有配 置该命令,则默认使用的探测时间间隔是 60 秒。
配置实例
在 PPP Profile p1 中配置检测 PPP 用户异常下线的时间间隔为 100,使用 如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# echo-time 100
25-9
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25.15 end 命令格式
end
命令功能
终止配置模式
命令模式
PPP Profile 配置模式
使用指导
使用该命令将终止 PPP Profile 配置模式,回到特权模式。
配置实例
SmartHammer(config-ppp)# end SmartHammer#
25.16 exit 命令格式
exit
命令功能
退出 PPP PROFILE 配置模式
命令模式
PPP Profile 配置模式
使用指导
使用该命令将退出 PPP Profile 配置模式,回到上一级配置模式。
配置实例
SmartHammer(config-ppp)# exit SmartHammer(config)#
25.17 idle-time 命令格式
idle-time <60-3600> no idle-time
命令功能
指定 PPP 用户的最大空闲时间限制。
命令模式
PPP Profile 配置模式
参数说明
参数 <60-3600>
25-10
说明 空闲时间限制,以秒为单位
第 25 章 PPP Profile 命令
第五部分 接入认证命令
使用指导
该命令指定 PPP 用户的最大空闲时间限制,单位为秒。在这段时间内如果 用户没有流量,则强制下线。如果没有配置该命令,则不检测用户的空闲 时间。
配置实例
在 PPP Profile p1 中配置 PPP 用户最大空闲时间为 300,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# idle-time 300
25.18 ip pool 命令格式
ip pool <0-255> A.B.C.D (NUM|E.F.G.H) no ip pool <0-255>
命令功能
配置地址池范围
命令模式
全局配置模式
参数说明
使用指导
参数
说明
<0-255>
地址池的ID
A.B.C.D
地址池的起始地址
NUM
地址池中的地址数
E.F.G.H
地址池的结束地址
地址池最多可以配置 256 个,通过 ID 标志,ID 可以配置为 0-255 之间。 地址池相互之间不能有重叠。PPP Profile 中的本地地址池使用此处配置的 地址池。 如果该地址池已经被 PPP Profile 使用,则必须先从 PPP Profile 中取消, 才能删除该地址池。
配置实例
配置地址池 0 的范围为 192.168.1.1 到 192.168.1.100,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ip pool 0 192.168.1.1 192.168.1.100
还可以使用以下命令: SmartHammer(config)#configure terminal SmartHammer(config)#ip pool 0 192.168.1.1 100
25-11
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25.19 list 命令格式
list
命令功能
列出 PPP PROFILE 配置模式下可以使用的所有命令
命令模式
PPP Profile 配置模式
使用指导
使用该命令将列出 PPP Profile 配置模式下可以使用的所有命令,及其简 单说明。
配置实例
SmartHammer(config-ppp)# list
25.20 max-user 命令格式
max-user <1-8192> no max-user
命令功能
配置使用该 PPP Profile 的最大用户数
命令模式
PPP Profile 配置模式
参数说明
参数 <1-8192>
说明 最大允许的PPP用户数
默认状态
500
使用指导
用户可以根据需要限制 PPP 用户的个数。如果 PPP 用户数达到该限制, 将不再接受 PPP 用户连接请求。
配置实例
在 PPP Profile p1 中配置使用该 PPP Profile 的用户数最多为 1000,使用 如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# max-user 1000
25.21 ppp-profile 命令格式 25-12
{no} ppp-profile NAME
第 25 章 PPP Profile 命令
第五部分 接入认证命令
命令功能
配置 PPP 接入用户的 profile
命令模式
全局配置模式
参数说明
参数 NAME
使用指导
说明 ppp-profile名
使用该命令将进入 ppp-profile 的配置模式。如果该 profile 不存在,则会自 动创建该 profile,然后进入配置模式。no ppp-profile NAME 命令将删除该 profile。 如果该 profile 已经被其它模板使用,例如已经在 L2TP 的模板中配置了, 则必须先从使用它的模板中删除,然后才能删除该 profile。
配置实例
配置名称为 p1 的 PPP Profile,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1
25.22 show ip pool 命令格式
show ip pool <0-255>
命令功能
显示配置的 IP 地址池信息
命令模式
特权模式
参数说明
参数
说明
<0-255>
地址池的ID,可选参数
使用指导
使用该命令将显示配置的 IP 地址池的信息。如果指定了地址池 ID,则只显 示指定地址池的信息;如果没有指定地址池 ID,则显示所有地址池的信息。
配置实例
如果要显示配置的 IP 地址池 0 的信息,使用如下命令: SmartHammer#show ip pool 0
如果要显示所有 IP 地址池的信息,使用如下命令: SmartHammer#show ip pool
25-13
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25.23 show ppp profile 命令格式
show ppp profile [NAME]
命令功能
显示 ppp-profile 的信息
命令模式
特权模式
参数说明
使用指导
参数
说明
[NAME]
ppp-profile名,可选参数
使用该命令将显示配置的 ppp-profile 的信息。如果指定了 ppp-profile 名, 则只显示指定 ppp-profile 的信息; 如果没有指定 ppp-profile 名,则显示所有 ppp-profile 的信息。
配置实例
如果要显示配置的名为 ppp0 的 PPP Profile 的信息,使用如下命令: SmartHammer#show ppp profile ppp0
如果要显示所有 PPP Profile 的信息,使用如下命令: SmartHammer#show ppp profile
25.24 show ppp total 命令格式
show ppp total
命令功能
显示总的 PPP 用户数
命令模式
特权模式
使用指导
使用该命令只显示总的 PPP 用户数。
配置实例
如果要显示 PPP 用户的总数,使用如下命令: SmartHammer#show ppp total
25.25 show ppp summary 命令格式
25-14
show ppp summary
第 25 章 PPP Profile 命令
第五部分 接入认证命令
命令功能
显示所有 PPP 用户的摘要信息
命令模式
特权模式
使用指导
使用该命令将显示所有 PPP 用户的摘要信息。
配置实例
如果要显示所有 PPP 用户的摘要信息,使用如下命令: SmartHammer#show ppp summary
25.26 show ppp user 命令格式
show ppp user [NAME]
命令功能
显示 PPP 用户的详细信息
命令模式
特权模式
参数说明
使用指导
参数
说明
[NAME]
PPP用户名,可选参数
使用该命令将显示 PPP 用户的详细信息。如果指定了用户名,则只显示指 定 PPP 用户的信息; 如果没有指定用户名,则显示所有 PPP 用户的详细信息。
配置实例
如果要显示名为 a1 的 PPP 用户的详细信息,使用如下命令: SmartHammer#show ppp user a1
如果要显示所有 PPP 用户的详细信息,使用如下命令: SmartHammer#show ppp user
25.27 show ppp interface 命令格式
show ppp interface <0-8191>
命令功能
显示 PPP 虚拟设备的信息
命令模式
特权模式
25-15
第 25 章 PPP Profile 命令
参数说明
第五部分 接入认证命令
参数 <0-8191>
说明 PPP虚拟设备号
使用指导
每个 PPP 用户都对应一个 PPP 虚拟设备,使用该命令将显示指定的 PPP 虚拟设备对应的 PPP 用户。
配置实例
如果要显示名为 ppp1 的虚拟设备对应的 PPP 用户,使用如下命令: SmartHammer#show ppp interface 1
25.28 traffic to id priority rate 命令格式
traffic to id WORD priority <0-7> rate <64-102400> no traffic to id NAME
命令功能
根据 Radius 认证服务器返回属性为用户设定的带宽限制和优先级。
命令模式
PPP Profile 配置模式
参数说明
使用指导
参数
说明
NAME
PPP用户所在的组ID
<0-7>
优先级,数字越小优先级越高
<64-102400>
提供的带宽,单位为Kbit
该命令只在使用 radius 服务器对 PPP 户进行认证时才起作用。配置该命令 时,PPP 将根据 Radius 服务器返回的 FilterID 属性值,给用户设定带宽限 制和优先级。 如果 Radius 认证服务器返回的 FilterID 属性值与设定的 id 名相同,则给用 户提供指定的带宽和优先级服务。该命令可以与下面的 traffic to name 命 令同时使用,但该命令的优先级较高,即首先按返回的 FilterID 属性值匹配, 如果没有匹配成功的话再按用户名匹配,如果二者都没有匹配成功,则不 对用户作出优先级和带宽限制。
配置实例
在 PPP Profile p1 中配置 ID 为 13 的 PPP 用户的优先级为 3,最大带宽为 100Kbit,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# traffic to id 13 priority 3 rate 100
25-16
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25.29 traffic to name priority rate 命令格式
traffic to name PATTERN priority <0-7> rate <64-102400> no traffic to name PATTERN
命令功能
根据用户名为用户设定带宽限制和优先级。
命令模式
PPP Profile 配置模式
参数说明
使用指导
参数
说明
PATTERN
模式匹配字符串
<0-7>
优先级,数字越小优先级越高
<64-102400>
提供的带宽,单位为 Kbit
配置该命令时,PPP 将根据用户名给用户设定带宽限制和优先级。如果用 户名和设定的 PATTERN 模式匹配,则给用户提供指定的带宽和优先级服 务。 该命令可以与上面的 traffic to id 命令同时使用,但该命令的优先级较低, 即首先按返回的 FilterID 属性值匹配,如果没有匹配成功的话再按用户名匹 配,如果二者都没有匹配成功,则不对用户作出优先级和带宽限制。
配置实例
在 PPP Profile p1 中配置名称为 a* 的 PPP 用户的优先级为 3,最大带宽 为 100Kbit,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# traffic to name a* priority 3 rate 100
25.30 unique-user-name 命令格式
{no}unique-user-name
命令功能
定义检测 PPP 用户名的唯一性。
命令模式
PPP Profile 配置模式
使用指导
如果没有配置该命令,可以允许使用相同用户名的多个 PPP 用户同时在线。 配置该命令后,则同一个用户名只允许一个用户在线。
配置实例
在 PPP Profile p1 中配置检测 PPP 用户名唯一性,使用如下命令: SmartHammer#configure terminal
25-17
第 25 章 PPP Profile 命令
第五部分 接入认证命令
SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# unique-user-name
25.31 wins 命令格式
wins A.B.C.D [E.F.G.H] no wins [A.B.C.D]
命令功能
指定 PPP 用户使用的 WINS 服务器地址
命令模式
PPP Profile 配置模式
参数说明
使用指导
参数
说明
A.B.C.D
第一个WINS服务器的地址
[E.F.G.H]
第二个WINS服务器的地址
该命令指定 PPP 用户使用的 WINS 服务器地址,可以配置两个 WINS 服务 器。如果不使用 dhcp 服务器给 PPP 用户分配地址的方式,或者 dhcp 服 务器没有配置 WINS 服务器,则 PPP 用户使用该命令配置的 WINS 服务器。 如果模板配置使用 dhcp 服务器分配地址的方式,而且 dhcp 服务器配置了 WINS 服务器,则 PPP 用户使用 dhcp 服务器指定的 WINS 服务器。
配置实例
在 PPP Profile p1 中配置 PPP 用户使用 WINS 服务器 10.1.1.1,使用如下 命令: SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config)#wins 10.1.1.1
25.32 write memory
25-18
命令格式
write memory
命令功能
保存配置
命令模式
PPP Profile 配置模式
使用指导
使用该命令可以将当前修改的配置保存下来。如果不使用该命令,当前修 改的配置只是当前有效,系统重启后修改的部分将丢失。
配置实例
SmartHammer(config-ppp)# write memory
第 25 章 PPP Profile 命令
第五部分 接入认证命令
25.33 write terminal 命令格式
write terminal
命令功能
显示配置
命令模式
PPP Profile 配置模式
使用指导
使用该命令可以将当前的配置显示在终端上。
配置实例
SmartHammer(config-ppp)# write terminal
25-19
第 26 章 PPPoE 认证命令
第五部分 接入认证命令
26
第26章
PPPoE 认证命令
26.1 acname 命令格式
acname NAME no acname [NAME]
命令功能
定义 PPPoE 接入服务器名
命令模式
PPPoE 认证模板配置模式
参数说明
参数
说明 PPPOE 接入服务器名
NAME
使用指导
使用该命令将指定 PPPoE 接入服务器名,在 PPPOE 用户端将可以选择使 用该接入服务器。
配置实例
在 PPPOE 模板 pppoe0 中配置 PPPoE 接入服务器名为 ac0,使用如下命 令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# acname ac0
26.2 debug pppoe 命令格式
{no}debug pppoe [(session|packet)]
命令功能
显示 PPPoE 模块的调试信息
命令模式
特权模式
参数说明
参数
说明
session
显示PPPoE discovery阶段的调试信息 26-1
第 26 章 PPPoE 认证命令
第五部分 接入认证命令
packet
显示接收和发送的PPPoE报文
使用指导
您可以使用 debug pppoe 指令调试所有的 PPPoE 问题。由于 PPPoE session 阶段承载的是 PPP 会话,所以如果要调试 PPP 阶段的问题,请配 合使用 debug ppp 指令。
配置实例
SmartHammer#debug pppoe SmartHammer#terminal moniter
26.3 end 命令格式
end
命令功能
终止配置模式
命令模式
PPPoE 认证模板配置模式
使用指导
使用该命令将终止 PPPoE 模板配置模式,回到特权模式。
配置实例
SmartHammer(config-sub)# end SmartHammer#
26.4 exit 命令格式
exit
命令功能
退出 PPPoE 模板配置模式
命令模式
PPPoE 认证模板配置模式
使用指导
使用该命令将退出 PPPoE 模板配置模式,回到上一级配置模式。
配置实例
SmartHammer(config-sub)# exit SmartHammer(config)#
26.5 hurl 命令格式
hurl WORD no hurl [WORD]
26-2
第 26 章 PPPoE 认证命令
第五部分 接入认证命令
命令功能
指定 PPPoE 认证服务使用的强制门户网站 URL
命令模式
PPPoE 认证模板配置模式
参数说明
使用指导
参数
说明
WORD
强制门户 URL 地址,必须以http://开始
如果使用该命令指定了 PPPoE 认证服务使用的强制门户网站 URL,则当 PPPOE 用户认证通过之后,将向用户端强制推送该门户网站。 如果没有配置该命令,则不向用户端推送门户网站。
配置实例
在 PPPOE 模板 pppoe0 中配置推送 URL 为 http://www.harbournetworks.com 的强制门户网页,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# hurl http://www.harbournetworks.com
26.6 list 命令格式
list
命令功能
列出 PPPoE 模板配置模式下可以使用的所有命令
命令模式
PPPoE 认证模板配置模式
使用指导
使用该命令将列出 PPPoE 模板配置模式下可以使用的所有命令,及其简单 说明。
配置实例
SmartHammer(config-sub)# list
26.7 ppp profile 命令格式
ppp profile NAME no ppp profile [NAME]
命令功能
配置 PPPoE 模板使用的 ppp-profile 26-3
第 26 章 PPPoE 认证命令
命令模式 参数说明
第五部分 接入认证命令
PPPoE 认证模板配置模式 参数 NAME
使用指导
说明 ppp-profile 名
PPPoE 是基于 PPP 的接入方式,PPPoE 会话中传输的就是 PPP 会话, 因此必须要有 PPP 的支持。PPPoE 模板中所使用的 PPP 相关的参数在 PPP profile 中配置。 使用 no ppp-profile NAME 命令可以取消对名为 NAME 的 ppp-profile 的使 用。
配置实例
在 PPPOE 模板 pppoe0 中配置使用名称为 ppp0 的 PPP Profile,使用如下 命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# ppp profile ppp0
26.8 service 命令格式
service WORD no service [WORD]
命令功能
定义 PPPoE 认证服务
命令模式
PPPoE 认证模板配置模式
参数说明
参数 WORD
说明 PPPoE 认证服务
使用指导
PPPoE 服务用来表示 PPPoE 服务器提供的服务类型,在 PPPOE 用户端 将可以选择使用该服务。PPPoE 模板中必须配置至少一个服务。
配置实例
在 PPPOE 模板 pppoe0 中配置 PPPoE 服务名为 service0,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# service service0
26-4
第 26 章 PPPoE 认证命令
第五部分 接入认证命令
26.9 show pppoe interface 命令格式
show pppoe interface [IFNAME]
命令功能
显示启用 PPPOE 认证服务的接口信息
命令模式
特权模式
参数说明
参数 [IFNAME]
说明 接口名,可选参数
使用指导
使用该命令将显示启用了 PPPoE 服务的接口信息。如果指定了接口名,则 只显示指定接口的信息;如果没有指定接口名,则显示所有启用了 PPPOE 服务的接口信息。
配置实例
如果在接口 ge0 上启用了 PPPoE 认证,要显示该接口下 PPPoE 的信息, 使用如下命令: SmartHammer#show pppoe interface ge0
如果要显示所有启用了 PPPoE 认证的接口的信息,使用如下命令: SmartHammer#show pppoe interface
26.10 show pppoe subscribe-template 命令格式
show pppoe subscribe-template [NAME]
命令功能
显示 PPPOE 模板的信息
命令模式
特权模式
参数说明
参数 [template-name]
说明 PPPOE模板名,可选参数
使用指导
使用该命令将显示 PPPOE 模板的信息。如果指定了模板名,则只显示指 定 PPPOE 模板的信息;如果没有指定模板名,则显示所有 PPPOE 模板的 信息。
配置实例
显示名称为 pppoe0 的 PPPoE 模板,使用如下命令: 26-5
第 26 章 PPPoE 认证命令
第五部分 接入认证命令
SmartHammer#show pppoe subsrciber-template pppoe0
显示所有 PPPoE 模板,使用如下命令: SmartHammer#show pppoe subsrciber-template
26.11 subscriber-template pppoe 命令格式
subscriber-template pppoe NAME no subscriber-template pppoe [NAME]
命令功能
配置 PPPOE 模板
命令模式
全局配置模式
参数说明
参数 NAME
说明 PPPoE subsciber-template名
使用指导
使用该命令将进入 PPPOE 模板配置模式。如果该模板不存在,则会自动 创建该模板,然后进入模板配置模式。no subscriber-template pppoe NAME 命令将删除该模板。如果该模板已经启用,则必须先禁用,然后才能删除 该模板。
配置实例
配置名称为 pppoe0 的 PPPOE 模板,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#subsrciber-template pppoe pppoe0
26.12 unique-mac 命令格式
{no} unique-mac
命令功能
配置 PPPoE 服务器检测用户 mac 地址唯一性。
命令模式
PPPoE 认证模板配置模式
使用指导
如果没有配置该命令,PPPoE 服务可以允许使用相同 mac 地址的多个用户 同时在线。配置该命令后,则同一个 mac 地址只允许一个用户在线。
配置实例
在 PPPOE 模板 pppoe0 中配置检测用户 mac 地址唯一性,使用如下命令: SmartHammer#configure terminal
26-6
第 26 章 PPPoE 认证命令
第五部分 接入认证命令
SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# unique-mac
26.13 write memory 命令格式
write memory
命令功能
保存配置
命令模式
PPPoE 认证模板配置模式
使用指导
使用该命令可以将当前修改的配置保存下来。如果不使用该命令,当前修 改的配置只是当前有效,系统重启后修改的部分将丢失。
配置实例
SmartHammer(config-sub)# write memory
26.14 write terminal 命令格式
write terminal
命令功能
显示配置
命令模式
PPPoE 认证模板配置模式
使用指导
使用该命令可以将当前的配置显示在终端上。
配置实例
SmartHammer(config-sub)# write terminal
26.15 pppoe max-session 命令格式
pppoe max-session <1-8192> no pppoe max-session
命令功能
指定该接口下最大允许的 PPPOE 连接数
命令模式
以太网接口配置模式
26-7
第 26 章 PPPoE 认证命令
参数说明
第五部分 接入认证命令
参数 <1-8192>
说明 最大允许的 PPPOE 连接数
默认状态
500
使用指导
使用该命令将指定接口下最大允许的 PPPOE 连接数,如果连接数达到该 限制,将不再接受 PPPOE 客户端的连接请求。如果没有配置该命令,则 默认的最大连接数限制为 500 个。
配置实例
配置接口 ge0 下最多允许 1000 个 PPPOE 连接,使用如下命令: SmartHammer#configure terminal SmartHammer(config)#interface ge0 SmartHammer(config-if)#pppoe max-session 1000
26.16 pppoe subscriber-template 命令格式
pppoe subscriber-template NAME no pppoe subscriber-template [NAME]
命令功能
在接口下开启 PPPoE 认证服务,并指定 PPPOE 认证使用的模板
命令模式
以太网接口配置模式
参数说明
参数 NAME
说明 PPPOE 认证模板名
使用指导
使用该命令将在接口下启用 PPPOE 服务,并使用指定的 PPPOE 模板。必 须保证要使用的 PPPOE 模板已经创建并配置完整和正确。no pppoe subscriber-template [NAME]命令将停止接口下开启的 PPPOE 接入认证服 务,并强制该接口下所有的 PPPOE 用户下线。一个接口下每次只能启用 一个 PPPOE 模板,如果要改变接口下启用的 PPPOE 模板,必须先停止已 经启用的模板,然后再启用新的模板。
配置实例
配置接口 ge0 下开启 PPPoE 认证服务,并使用 PPPOE 模板 pppoe0,使 用如下命令: SmartHammer#configure terminal SmartHammer(config)#interface ge0 SmartHammer(config-if)#pppoe subscriber-template pppoe0
26-8
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
27
第27章
WEB&Portal 认证命令
27.1 aaa-group 命令格式
{no}aaa-group NAME
命令功能
配置该 WEB 接入认证模板使用的 AAA 认证和计费模板,所有使用该用该 接入认证模板的用户都使用的这个 AAA 认证和计费模板。 使用 no aaa-group NAME 命令可以取消在该 WEB 接入认证模板下对名为 NAME 的 AAA 认证和计费模板的引用。
命令模式 参数说明
webauth 认证模板配置模式 参数 NAME
说明 AAA认证和计费模板名
使用指导
配置 web 认证使用的 AAA 认证信息
配置实例
配置 WEB 接入认证模板使用的 AAA 认证和计费模板为 hammer SmartHammer(config-sub)# aaa-group hammer
27.2 aaa-group by 命令格式
aaa-group NAME by GROUP
命令功能
配置该 WEB 接入认证模板使用的 AAA 认证和计费模板,只有用户与 GROUP 匹配的 WEB 接入认证用户使用该 AAA 模板,GROUP 为一个模 式匹配,即以一个正则表达式来表示一个或一组用户,例如^h 代表以 h 开 头,e$代表以 e 结尾等。 使用 no aaa-group NAME 命令可以取消在该 WEB 接入认证模板下对名为 NAME 的 AAA 认证和计费模板的引用。
命令模式
webauth 认证模板配置模式
27-1
第 27 章 WEB&Portal 认证命令
参数说明
参数
第五部分 接入认证命令
NAME
说明 AAA 认证和计费模板名
GROUP
与该 AAA 模板匹配的用户组名
使用指导
使用正则表达式选择 aaa-group
配置实例
配置只有用户名以@a.com 结束的 WEB 接入认证用户使用 AAA 模板 hammer 中的配置。 SmartHammer (config-sub)# aaa-group hammer by @a.com$
27.3 access-server default 命令格式
{no}access-server A.B.C.D default
命令功能
配置 access server 的地址
命令模式
Portal 配置模式
参数说明
参数
说明
A.B.C.D
Access-server 的 地 址 , access server 和 portal server 在一台设 备上时,可不用配置
默认状态
127.0.0.1
使用指导
如 access server 与 portal server 使用同一台设备,可以不配置或配置为 127.0.0.1
配置实例
配置 access server 的地址为 127.0.0.1 SmartHammer(config-portal-server)# access-server 127.0.0.1
27.4 accounting-interval 命令格式
accounting-interval <1-10000> no accounting-interval
27-2
命令功能
配置间歇计费间隔,使用 no accounting-interval 可以取消对间歇计费的设 置,使其恢复到缺省配置。
命令模式
webauth 认证模板配置模式
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
参数说明
参数 <1-10000>
说明 间歇计费间隔,单位秒
默认状态
unlimited
使用指导
使用间歇计费,避免用户异常下线产生的超长计费
配置实例
配置采用间歇计费,且间歇计费间隔为 120 秒 SmartHammer(config-sub)# accounting-interval 120
27.5 authentification 命令格式
authentification (pap|chap) no authentification
命令功能
配置认证方式
命令模式
Portal 配置模式
参数说明
参数
说明
pap
PAP 认证
chap
CHAP 认证
默认状态
chap
使用指导
pap 为明文方式传递口令信息,chap 为加密方式传递口令信息
配置实例
配置 portal server 与 access server 之间的认证方式为 chap SmartHammer(config-portal-server)# authentification chap
27.6 authentication-url 命令格式
authentication-url URL no authentication-url
命令功能
配置 Portal server 的认证 URL
命令模式
webauth 认证模板配置模式 27-3
第 27 章 WEB&Portal 认证命令
参数说明
第五部分 接入认证命令
参数
说明
URL
认证 URL,portal server 内置时,应配置为 http[s]://接口地址/
使用指导
配置认证页面的 URL
配置实例
配置认证 URL 为http://192.168.0.1/ SmartHammer(config-sub)# authentication-url http://192.168.0.1/
27.7 clear user webauth 命令格式
clear user webauth
命令功能
强制清除所有 WEB 用户
命令模式
特权模式
使用指导
依据用户名清除 WEB 用户
配置实例
将所有 WEB 用户都强制下线 SmartHammer#clear user webauth
27.8 clear user webauth USER 命令格式
clear user webauth USER
命令功能
清除指定的 WEB 用户
命令模式
特权模式
参数说明
参数 USER
说明 用户名
使用指导
清除 WEB 用户
配置实例
将指定的 WEB 用户强制下线 SmartHammer#clear user webauth zhang
27-4
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
27.9 clear user webauth USER INTERFACE 命令格式
clear user webauth USER INTERFACE
命令功能
强制清除指定接口上的 WEB 用户
命令模式
webauth 认证模板配置模式
参数说明
参数 USER
说明 用户名
INTERFACE
WEB认证接口名称
使用指导
依据用户名和接口清除 WEB 用户
配置实例
强制用户 zhang 下线 SmartHammer#clear user webauth zhang ge0
27.10 dns-server 命令格式
{no}dns-server
命令功能
配置用户的 DNS,在没有认证的情况下,确保用户的 DNS 请求能正常通 过。这个参数必须配置,否则用户在未认证情况下输入域名后不能被重定 向至认证页面。
命令模式
webauth 认证模板配置模式
参数说明
参数
说明
A.B.C.D [E.F.G.H]
域名服务器的地址
使用指导
辅助实施域名重定向
配置实例
配置用户使用的 DNS 为 10.1.0.4 SmartHammer(config-sub)# dns-server 10.1.0.4
27-5
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
27.11 debug portal 命令格式
{no}debug portal [(login|auth|acct|logoff|force_off|keep_alive|session|packet|memory )]
命令功能
对 portal server 进行调试
命令模式
特权模式
参数说明
参数 login
说明 调试Portal server的用户上线
auth
调试Portal server的认证过程
acct
调试Portal server的计费信息
logoff
调试Portal server的用户下线
force_off
调试Portal server的强制下线
session
调试Portal server的报文交互
packet
调试Portal server的协议报文
memory
调试Portal server的内存使用情况
使用指导
在调制 portal server 功能时使用
配置实例
对 portal server 的协议报文进行调试 SmartHammer#debug portal packet
27.12 debug webauth 命令格式
{no}debug webauth [(login|auth|acct|logoff|force_off|keep_alive|session|packet|memory )]
命令模式 参数说明
27-6
特权模式 参数 login
调试WEB认证模块的用户上线
说明
auth
调试WEB认证模块的认证过程
acct
调试WEB认证模块的计费信息
logoff
调试WEB认证模块的用户下线
force_off
调试WEB认证模块的强制下线
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
session
调试WEB认证模块的报文交互
packet
调试WEB认证模块的协议报文
memory
调试WEB认证模块的内存使用情况
使用指导
在调整 WEB 认证功能时使用
配置实例
对 WEB 认证模块的协议报文进行调试 SmartHammer#debug webauth packet
27.13 idle-time 命令格式
idle-time <60-3600> no idle-time [NUM]
命令功能
配置用户最大闲置时间,使用 no idle-timeout 可以取消对最大闲置时间的 设置,使其恢复到缺省配置。
命令模式
webauth 认证模板配置模式
参数说明
参数
说明
<60-3600>
用户最大闲置时间,单位秒
默认状态
unlimited
使用指导
用户不使用网络时,强制用户下线,在以时长计费的配置环境中保护用户 的利益。
配置实例
配置用户最大闲置时间为 200 秒,上线用户超过 200 秒没有流量,设备强 制用户下线。 SmartHammer(config-sub)# idle-timeout 200
27.14 keep-alive 命令格式
keep-alive <30-600> no keep-alive [SECOND]
命令功能
在线检测时间间隔,推荐配置,否则用户异常下线还会被计费。
命令模式
Portal 配置模式 27-7
第 27 章 WEB&Portal 认证命令
参数说明
第五部分 接入认证命令
参数
说明
<30-600>
在线检测时间间隔,单位为秒
默认状态
不检测
使用指导
配置 keep-alive 用来定期检测用户的在线状态,如发现用户没有按时刷新 状态,会强制用户下线。
如不配置 keep-alive,用户异常下线会引起超长计费 提示
配置实例
配置 keepalive 时间为 60 秒 SmartHammer(config-portal-server)#keep-alive 60
27.15 portal-url 命令格式
portal-url URL no portal-url
命令功能
配置认证后强制弹出的 WEB 页面
命令模式
Portal 配置模式
参数说明
参数
说明
URL
WEB 页面的 URL
使用指导
用于在用户认证成功后弹出广告页面或提示页面
配置实例
配置认证后弹出的 WEB 页面为http://www.harbournetworks.com SmartHammer(config-portal-server)# portal-url http://www.harbournetworks.com
27.16 show webauth interface
27-8
命令格式
show webauth interface [IFNAME]
命令功能
显示启用 webauth 认证的接口信息
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
命令模式 参数说明
特权模式 参数 [IFNAME]
说明 接口名称
使用指导
用于显示 WEB 认证接口的信息
配置实例
显示 WEB 认证接口的信息 SmartHammer#show webauth interface
27.17 show webauth regex_user 命令格式
show webauth regex_user [USER]
命令功能
显示 WEB 认证上线用户
命令模式
特权模式
参数说明
参数 USER
说明 用户名,正则表达式
使用指导
使用正则表达式清除 WEB 认证用户
配置实例
显示名字为 wang 开头的用户及其上线信息 SmartHammer#show webauth regex_user ^wang
27.18 show webauth subscriber-template 命令格式
show webauth subscriber-template [template-name]
命令功能
显示 WEB 接入认证的模板信息
命令模式
特权模式
参数说明
参数 template-name
说明 模板名称
27-9
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
使用指导
用户显示 WEB 认证模块的配置信息
配置实例
显示 WEB 认证模块 sub1 的信息 SmartHammer#show webauth subscriber-template sub1
27.19 show webauth subscriber-template id 命令格式
show webauth subscriber-template TEMPLATE id <1-65536>
命令功能
显示指定模板上线用户的带宽控制信息,由 traffic to id 设定
命令模式
特权模式
参数说明
配置实例
参数 TEMPLATE
说明
<1-65536>
带宽控制编号,由traffic to id设定
模板名称
显示 WEB 认证模板 sub1 中定义的 trffice id 1 的信息 SmartHammer#show webauth subscriber-template sub1 id 1
27.20 show webauth subscriber-template regex 命令格式
show webauth subscriber-template TEMPLATE regex NAME
命令功能
显示指定模板上线用户的带宽控制信息,由 traffic to name 设定
命令模式
特权模式
参数说明
配置实例
参数 TEMPLATE
说明
NAME
带宽控制编号,由traffic to name设定
模板名称
显示 WEB 认证模板 sub1 中定义的 trffice name zhang 的信息 SmartHammer#show webauth subscriber-template sub1 regex ^zhang$
27.21 show webauth summary 命令格式
27-10
show webauth summary
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
命令功能
显示 WEB 接入认证概要信息
命令模式
特权模式
使用指导
用户显示 WEB 认证的统计信息
配置实例
显示 WEB 认证的统计信息 SmartHammer#show webauth summary
27.22 show webauth user 命令格式
show webauth user [USER]
命令功能
显示 WEB 认证在线用户信息
命令模式
特权模式
参数说明
参数 USER
说明 用户名,精确匹配
使用指导
用于显示 WEB 认证用户的信息
配置实例
显示用户 john 的信息 SmartHammer#show webauth user john
27.23 traffic to id priority rate 命令格式
traffic to id NAME priority <0-7> rate <64-102400> no traffic to id NAME
命令功能
配置接入用户的 QOS。如果该用户认证成功后,从 Radius 返回的 FilterID 属性值和设定的 NAME 相同,则按照定义的带宽和优先级提供给用户。 使用 no traffic to id NAME 可以取消对该 FilterID 的 QOS 限制。
命令模式 参数说明
webauth 认证模板配置模式 参数
说明
NAME
需要做 QOS 的 FilterID 值
<0-7>
用户优先级 27-11
第 27 章 WEB&Portal 认证命令
<64-102400>
第五部分 接入认证命令
分配给用户的带宽,单位为 Kbit
使用指导
对用户进行带宽限制
配置实例
配置 filterID 为 7 的用户的优先级为 3,带宽为 128K SmartHammer(config-sub)# traffic to id 7 priority 3 rate 128
27.24 traffic to name priority rate 命令格式
traffic to name PATTERN priority <0-7> rate <64-102400> no traffic to name PATTERN
命令功能
配置接入用户的 QOS。如果该用户的用户名和设定的某个 PATTERN 模式 匹配,则按照定义的带宽和优先级提供给用户。PATTERN 为一个模式匹配, 即以一个正则表达式来表示一个或一组用户,例如^h 代表以 h 开头,e$代 表以 e 结尾等。 使用 no traffic to name PATTERN 可以取消对该用户名(组)的 QOS 限制。
命令模式
webauth 认证模板配置模式
参数说明
参数
说明
PATTERN
需要做 QOS 的用户名(组)
<0-7>
用户优先级
<64-102400>
分配给用户的带宽,单位为 Kbit
使用指导
本命令与上面的 traffic to id 命令可以同时使用,但本命令具有较低的优先 级,即 WEB 接入认证服务首先按返回的 FilterID 属性值匹配,如果没有匹 配成功的话再按用户名匹配,如果二者都没有匹配成功,则不对用户作 QOS。
配置实例
配置对所有用户名以@a.com 结束的接入用户设置优先级为 3,分配带宽 为 800Kbit SmartHammer(config-sub)# traffic to name @a.com$ priority 3 rate 800
27.25 unique-verify
27-12
命令格式
{no}unique-verify
命令功能
设置用户名唯一性检查,no unique-verify 将取消该模板下用户名唯一性检 查
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
查。 命令模式
webauth 认证模板配置模式
使用指导
限制不同的用户用相同的用户名登录
配置实例
设置用户名唯一性检查 SmartHammer(config-sub)# unique-verify
27.26 webauth authorize 命令格式
{no}webauth authorize A.B.C.D MAC
命令功能
配置免认证用户
命令模式
以太网接口配置模式
参数说明
参数
说明
A.B.C.D
免认证用户 IP 地址
MAC
免认证用户 MAC 地址
使用指导
在启用 web 认证功能的接口下,直接给予访问网络的权限而无需认证
配置实例
在接口 eth0 上配置免认证用户(172.16.0.1,00:11:22:33:44:55) SmartHammer(config-if)#webauth authorize 172.16.0.1 00:11:22:33:44:55
27.27 webauth max-session 命令格式
webauth max-session <1-8000> no webauth max-session [NUM]
命令功能
配置接口上 WEB 认证的用户数限制
命令模式
以太网接口配置模式
参数说明
参数
说明
<1-8000>
用户数
27-13
第 27 章 WEB&Portal 认证命令
第五部分 接入认证命令
使用指导
对通过本接口认证上线的用户数进行限制
配置实例
配置接口的上线用户数为 1000 SmartHammer(config-if)#webauth max-session 1000
相关命令
webauth subscriber-template WORD
27.28 webauth subscriber-template 命令格式
{no}webauth subscriber-template WORD
命令功能
在接口上启用 WEB 认证功能
命令模式
以太网接口配置模式
参数说明
参数
说明
WORD
WEB 认证模板
使用指导
在接口上启用 WEB 认证
配置实例
在接口上启用 WEB 模板 sub1 SmartHammer(config-if)#webauth subscriber-template sub1
27-14
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
28
第28章
IEEE802.1X 接入认证命令
28.1 aaa-group 命令格式
{no}aaa-group NAME
命令功能
配置该 IEEE802.1x 接入认证模板使用的 AAA 认证和计费模板。 使用 no aaa-group NAME 命令可以取消在该 IEEE802.1x 接入认证模板下 对名为 NAME 的 AAA 认证和计费模板的引用。
命令模式 参数说明
802.1x 认证模板配置模式 参数 NAME
说明 指定的AAA认证和计费模板名
使用指导
所有使用该 IEEE802.1x 接入认证模板的用户都使用的这个 AAA 认证和计 费模板。
配置实例
配置 IEEE802.1x 接入认证模板使用的 AAA 认证和计费模板为 dot1x SmartHammer(config-sub)# aaa-group dot1x
相关命令
aaa-group NAME by GROUP
1)在 IEEE802.1x 接入认证模板下必须要配置使用 AAA 认证 和计费模板,否则无法进行接入认证。 提示
2)在同一个 IEEE802.1x 接入认证模板下可以配置使用多个 AAA 模板。 3)不以 by GROUP 为后缀使用的 AAA 认证和计费模板,表 示所有接入用户可以匹配该模板。 4)以 by GROUP 为后缀使用的 AAA 认证和计费模板,表示 只有用户名和 GROUP 可以匹配的用户,可以使用该模板, 用于对多 ISP 的支持。
28-1
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
28.2 aaa-group by 命令格式
aaa-group NAME by GROUP
命令功能
配置该 IEEE802.1x 接入认证模板使用的 AAA 认证和计费模板。 使用 no aaa-group NAME 命令可以取消在该 IEEE802.1x 接入认证模板下 对名为 NAME 的 AAA 认证和计费模板的引用。
命令模式 参数说明
使用指导
802.1x 认证模板配置模式 参数 NAME
说明 指定的AAA认证和计费模板名
GROUP
用户组
属于 GROUP 组的使用该 IEEE802.1x 接入认证模板的用户,使用的这个 AAA 认证和计费模板。 GROUP 为一个模式匹配,即以一个正则表达式来表示一个或一组用户, 例如^h 代表以 h 开头,e$代表以 e 结尾等。
配置实例
配置用户名以 harbournet 结束的 IEEE802.1x 接入认证用户使用的 AAA 认 证和计费模板为 dot1x SmartHammer(config-sub)# aaa-group dot1x by harbournet$
相关命令
aaa-group NAME
1)在 IEEE802.1x 接入认证模板下必须要配置使用 AAA 认证 和计费模板,否则无法进行接入认证。 提示
2)在同一个 IEEE802.1x 接入认证模板下可以配置使用多个 AAA 模板。 3)不以 by GROUP 为后缀使用的 AAA 认证和计费模板,表 示所有接入用户可以匹配该模板。 4)以 by GROUP 为后缀使用的 AAA 认证和计费模板,表示 只有用户名和 GROUP 可以匹配的用户,可以使用该模板, 用于对多 ISP 的支持。
28.3 accounting-interval 命令格式
accounting-interval <1-10000> no accounting-interval [NUM]
28-2
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
命令功能
配置间歇计费间隔,使用 no accounting-interval 可以取消对间歇计费的设 置,使其恢复到缺省配置。
命令模式
802.1x 认证模板配置模式
参数说明
参数 <1-10000>
说明 间歇计费间隔,单位秒
默认状态
unlimited
使用指导
使用 Radius 计费服务器进行计费时,一般在计费开始时发送计费开始报 文,在计费结束时发送计费结束报文 (携带用户上线时长和流量) , 供 Radius 计费服务器计算用户计费信息。为了保证用户计费信息的准确性和实时性, 可以设置用户上线后,每隔一段时间发送一次 Radius 间隔计费报文,也携 带用户上线时长和流量。
配置实例
配置采用间歇计费,且间歇计费间隔为 120 秒。 SmartHammer(config-sub)# accounting-interval 120
28.4 authentication-style 命令格式
authentication-style (eap|chap)
命令功能
配置认证方式。使用 no authentication-style 可以取消对认证方式的设置, 使其恢复到缺省配置。
命令模式
802.1x 认证模板配置模式
参数说明
默认状态 配置实例
参数 eap
说明 EAP/MD5认证方式
chap
CHAP认证
eap 采用 EAP 认证方式 SmartHammer(config-sub)# authentication-style eap
28-3
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
28.5 clear user dot1x 命令格式
clear user dot1x [WORD]
命令功能
强制 SamrtHammer 设备上所有 IEEE802.1x 接入认证用户下线,或所有 用户名为 WORD 的 IEEE802.1x 接入认证用户下线。
命令模式
特权模式
参数说明
参数 [WORD]
说明 强制下线的IEEE802.1x接入认证用户的用户名
使用指导
使用 clear user dot1x 命令将强制 SamrtHammer 设备上所有 IEEE802.1x 接入认证用户都下线。
配置实例
只让用户名为 z1 的用户下线: SmartHammer#clear user dot1x z1
28.6 debug dot1x 命令格式
{no}debug dot1x [(login|auth|acct|force_off|keep_alive|session|packet)]
命令功能
实现对 IEEE802.1x 用户接入的调试。由于 debug 命令会在命令行上打印 大量信息,占用很多 CPU 资源,因此强烈建议用户,当调试结束时,一定 要用 no debug dot1x 命令禁用此功能。
命令模式
特权模式
参数说明
28-4
参数 login
说明
auth
调试IEEE802.1x接入认证用户认证阶段问题
acct
调试IEEE802.1x接入认证用户计费问题
force_off
调试IEEE802.1x接入认证用户异常下线(强 制用户下线)
keep_alive
调 试 IEEE802.1x 接 入 认 证 用 户 异 常 下 线 (Keep alive报文无回应)
session
调试IEEE802.1x接入认证用户异常下线(会 话阶段问题)
packet
调试IEEE802.1x接入认证报文
调试IEEE802.1x接入认证用户接入阶段问题
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
使用指导
以上参数针对 IEEE802.1x 接入认证各个阶段进行调试,您可以使用 debug dot1x 指令调试所有的 IEEE802.1x 接入认证问题。
配置实例
SmartHammer#debug dot1x
28.7 dot1x authorize 命令格式
{no}dot1x authorize A.B.C.D MAC
命令功能
添加在接口启用 IEEE802.1x 接入认证时的免认证用户,no dot1x authorize A.B.C.D MAC 指令将取消该用户的免认证功能。
命令模式
以太网接口模式、VLAN 接口模式
参数说明
参数 A.B.C.D MAC
说明 免认证用户的IP地址 免认证用户的MAC地址,以XX:XX:XX:XX:XX:XX形 式输入
使用指导
在启用 IEEE802.1x 认证的端口下仍然可以有用户可以不使用 IEEE802.1x 认证上网,例如,您有一些服务器需要放问网络,这时您可以使用 dot1x authorize A.B.C.D XX:XX:XX:XX:XX:XX 指令配置免认证用户。
配置实例
配置接在启用 IEEE802.1x 认证的端口下 IP 为 192.168.0.191,MAC 为 00-10-dc-4e-a8-41 的机器可以不用认证,就可以上网: SmartHammer(config-if)#dot1x authorize 192.168.0.191 00:10:dc:4e:a8:41
28.8 dot1x max-session 命令格式
dot1x max-session <1-8000> no dot1x max-session [NUM]
命令功能
设置启用 IEEE802.1x 接入认证的接口最大可接入的 IEEE802.1x 接入认证 用户数,no dot1x max-session 指令将取消在接口下最大可接入的 IEEE802.1x 接入认证用户数设置,恢复为缺省配置。
命令模式
以太网接口模式、VLAN 接口模式
28-5
第 28 章 IEEE802.1X 接入认证命令
参数说明
参数 <1-8000>
第五部分 接入认证命令
说明 该接口下最大可接入的IEEE802.1x接入认证用户数
默认状态
500
配置实例
设置接口最大可接入的 IEEE802.1x 接入认证用户数为 2000 SmartHammer(config-if)# dot1x max-session 2000
相关命令
dot1x subscriber-template WORD
28.9 dot1x subscriber-template 命令格式
dot1x subscriber-template WORD no dot1x subscriber-template [WORD]
命令功能
在接口下启用 IEEE802.1x 接入认证服务,no dot1x subscriber-template 指令将在接口下停用 IEEE802.1x 接入认证服务, 同时该端口下所有接入 的 IEEE802.1x 用户将下线。
命令模式
以太网接口模式、VLAN 接口模式
参数说明
参数 WORD
说明 将启用的IEEE802.1x接入认证模板名
默认状态
disable
使用指导
配置完一个 IEEE802.1x 接入认证模板后必须要在 SmartHammer 设备的 某一个端口上启用它,才可以对该端口下所有接入认证用户使用该模板。 用户可以配置多个 IEEE802.1x 接入认证模板,但在一个以太网端口下一 次只可以使用一个 IEEE802.1x 接入认证模板。
提示
配置实例
在 IEEE802.1x 接入认证模板下必须要配置使用 AAA 认证和计费模 板,否则无法进行接入认证。
在接口下启用 IEEE802.1x 接入认证服务,使用的模板名为 hammer SmartHammer(config-if)#dot1x subscriber-template hammer
28-6
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
28.10 end 命令格式
end
命令功能
退出到特权模式
命令模式
802.1x 认证模板配置模式
配置实例
SmartHammer (config-sub)# end SmartHammer#
28.11 exit 命令格式
exit
命令功能
退出本配置模式,到上级配置模式
命令模式
802.1x 认证模板配置模式
配置实例
SmartHammer(config-sub)# exit SmartHammer(config)#
28.12 idle-timeout 命令格式
idle-timeout <60-3600> no idle-timeout [NUM]
命令功能
配置用户最大闲置时间,使用 no idle-timeout 可以取消对最大闲置时间的 设置,使其恢复到缺省配置。
命令模式
802.1x 认证模板配置模式
参数说明
参数 <60-3600>
说明 用户最大闲置时间,单位秒
默认状态
unlimited
使用指导
当接入用户在设定的 Idle Timeout 时间内没有流量发生,为了在按时长计 费的情况下,确保不会因为接入用户忘记下线而对用户多计费的情况, SmartHammer 设备会强制用户下线,并向计费服务器发送计费信息。 28-7
第 28 章 IEEE802.1X 接入认证命令
配置实例
第五部分 接入认证命令
配置用户最大闲置时间为 200 秒,上线用户超过 200 秒没有流量, SmartHammer 设备强制用户下线。 SmartHammer(config-sub)# idle-timeout 200
28.13 keep-alive 命令格式
keep-alive <1-10000> no keep-alive [NUM]
命令功能
配置用户异常下线检测间隔,使用 no keep-alive 可以取消对异常下线检测 间隔的设置,使其恢复到缺省配置。
命令模式
802.1x 认证模板配置模式
参数说明
参数 <1-10000>
说明 用户异常下线检测间隔,单位秒
默认状态
unlimited
使用指导
SmartHammer 设备每隔 KeepAlive 时间间隔向接入用户的 PC 机发送 KeepAlive 报文,如果接入用户 PC 机返回应答报文,表示接入用户仍在线 上;如果接入用户 PC 机没有返回应答报文,表示接入用户 PC 机出现死机 情况或其他情况导致用户与 SmartHammer 设备之间网络不通,这时用户 也无法正常使用网络,为了不增加用户的费用,当用户 3 个 Keep Alive 时 间不给回应,则 SmartHammer 设备认为用户出现异常,强制用户下线, 并向计费服务器发送计费信息。
配置实例
配置用户异常下线检测间隔为 300 秒,每隔 300 秒 SmartHammer 设备会 发送 keep-alive 报文检测客户端是否在线,如果超过 3*300 秒客户端没有 回应报文,SmartHammer 设备强制用户下线。 SmartHammer(config-sub)# keep-alive 300
28.14 list
28-8
命令格式
list
命令功能
列出本模式下所有命令
命令模式
802.1x 认证模板配置模式
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
配置实例
SmartHammer(config-sub)# list
28.15 show dot1x interface 命令格式
show dot1x interface [IFNAME]
命令功能
显示启用 IEEE802.1x 接入认证的端口信息
命令模式
特权模式
参数说明
参数 IFNAME
配置实例
说明 端口名
SmartHammer#show dot1x interface ============================================= interface
ge1
<enable IEEE802.1x> Subscriber Template Name: Max Session:
hammer
2000
===============================================================
28.16 show dot1x subscribe-template 命令格式
show dot1x subscribe-template [NAME]
命令功能
显示启用 IEEE802.1x 接入认证的端口信息
命令模式
特权模式
参数说明
参数 NAME
配置实例
说明 模板名
SmartHammer#show dot1x subscribe-template ============================================================== Subscriber Template Name: hammer Keep alive Time
: 120
Radius Accounting Interval AAA GROUP Authentication-style
: 120
: dot1x : eap
===============================================================
28-9
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
28.17 show dot1x summary 命令格式
show dot1x summary
命令功能
显示 IEEE802.1x 接入认证概要信息
命令模式
特权模式
配置实例
SmartHammer#show dot1x summary ============================================================== Subscriber Template Name: hammer Keep alive Time
: 120
Radius Accounting Interval AAA GROUP
: 120
: dot1x
Authentication-style
: eap
----------------------------------------------------------interface
:
ge1
maxsession
:
2000
total users
:
1
----------------------------------------------------------Total Interface Total Users
: 1 : 1
==============================================================
28.18 show dot1x user 命令格式
show dot1x user [WORD]
命令功能
显示 IEEE802.1x 接入认证上线用户信息
命令模式
特权模式
参数说明
参数 WORD
配置实例
说明 用户名
SmartHammer#show dot1x user ============================================================== User Name: (hammer) Start Time: Tue Jan 13 14:19:57 2004 Standing Time: 637 Bytes Out : 8646 IP Address: 192.168.1.200 00:0b:db:64:4a:a3
28-10
Bytes In: 9786 MAC Address:
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
Subscribe Template Used: hammer AAA GROUP : dot1x ============================================================== total user :1
28.19 subscriber-template dot1x 命令格式
{no}subscriber-template dot1x NAME
命令功能
配置 IEEE802.1x 接入认证模板, 使用 no subscriber-template dot1x NAME 可以删除一个已建立的,名为 NAME 的 IEEE802.1x 接入认证模板。
命令模式
配置模式
参数说明
参数 NAME
配置实例
说明 模板名
配置 IEEE802.1x 接入认证模板 hammer SmartHammer(config)#subscriber-template dot1x hammer SmartHammer(config-sub)#
28.20 traffic to id priority rate 命令格式
traffic to id NAME priority <0-7> rate <64-102400> no traffic to id NAME
命令功能
按照 FilterID 属性值配置接入用户的 QOS。 使用 no traffic to id NAME 可以取消对该 FilterID 的 QOS 限制。
命令模式 参数说明
802.1x 认证模板配置模式 参数 NAME
说明 需要做QOS的FilterID值
<0-7>
用户优先级
<64-102400>
分配给用户的带宽,单位为Kbit
默认状态
无
使用指导
如果该用户认证成功后,从 Radius 返回的 FilterID 属性值和设定的 NAME 相同,则按照定义的带宽和优先级提供给用户。 28-11
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
本命令与下面的 traffic to name 命令可以同时使用,但本命令具有较高的 优先级,即 IEEE802.1x 接入认证服务首先按返回的 FilterID 属性值匹配, 如果没有匹配成功的话再按用户名匹配,如果二者都没有匹配成功,则不 对用户作 QOS。 配置实例
配置对从 Radius 返回的 FilterID 属性值为 hammer 的接入用户设置优先级 为 2,分配带宽为 600Kbit SmartHammer(config-sub)# traffic to id hammer priority 2 rate 600
相关命令
traffic to name PATTERN priority <0-7> rate <64-102400>
提示
1)如果一个接入认证用户的用户名以及从 Radius 服务器返 回的 FilterID 属性都无法匹配您所配置的这些与 QoS 相关命 令,那么,对该接入用户不作 QoS,该用户可以使用的带宽 为该端口下最大带宽。 2)配置接入用户的 QoS 时, traffic to id 命令与 traffic to name 命令可以同时使用,但 traffic to id 命令具有较高的优先级, 即 IEEE802.1x 接入认证服务首先按返回的 FilterID 属性值匹 配,如果没有匹配成功的话再按用户名匹配,如果二者都没 有匹配成功,则不对用户作 QoS。
28.21 traffic to name priority rate 命令格式
traffic to name PATTERN priority <0-7> rate <64-102400> no traffic to name PATTERN
命令功能
按照接入用户名配置接入用户的 QOS。 使用 no traffic to name PATTERN 可以取消对该用户名(组)的 QOS 限制。
命令模式 参数说明
802.1x 认证模板配置模式 参数 PATTERN
说明 需要做QOS的用户名(组)
<0-7>
用户优先级
<64-102400>
分配给用户的带宽,单位为Kbit
默认状态
无
使用指导
如果该用户的用户名和设定的某个 PATTERN 模式匹配,则按照定义的带 宽和优先级提供给用户。 PATTERN 为一个模式匹配,即以一个正则表达式来表示一个或一组用户,
28-12
第 28 章 IEEE802.1X 接入认证命令
第五部分 接入认证命令
例如^h 代表以 h 开头,e$代表以 e 结尾等。
配置实例
配置对所有用户名以@a.com 结束的接入用户设置优先级为 3,分配带宽 为 800Kbit SmartHammer(config-sub)# traffic to name @a.com$ priority 3 rate 800
相关命令
traffic to id NAME priority <0-7> rate <64-102400>
提示
配置接入用户的 QoS 时,traffic to id 命令与 traffic to name 命令可以同时使用,但 traffic to id 命令具有较高的优先级, 即 IEEE802.1x 接入认证服务首先按返回的 FilterID 属性值匹 配,如果没有匹配成功的话再按用户名匹配,如果二者都没 有匹配成功,则不对用户作 QoS。
28.22 unique-verify 命令格式
{no}unique-verify
命令功能
设置用户名唯一性检查,no unique-verify 将取消该模板下用户名唯一性检 查。
命令模式
802.1x 认证模板配置模式
默认状态
无
使用指导
为了防止用户帐号被占用的情况,可以设置用户名唯一性参数,保证同时 相同的用户名只允许一个用户在线。
配置实例
设置用户名唯一性检查 SmartHammer(config-sub)# unique-verify
28.23 write memory 命令格式
write memory
命令功能
保存配置
28-13
第 28 章 IEEE802.1X 接入认证命令
命令模式
802.1x 认证模板配置模式
使用指导
当用户完成配置以后,如果想下次重新启动设备后,当前配置不丢失,请 一定用该命令进行保存配置的操作。
配置实例
SmartHammer(config-sub)# write memory
28.24 write terminal
28-14
第五部分 接入认证命令
命令格式
write terminal
命令功能
查看当前正在使用的配置文件。
命令模式
802.1x 认证模板配置模式
配置实例
SmartHammer(config-sub)# write terminal
第六部分
交换转发服务命令
第 29 章 NetFlow 命令
第六部分 交换转发服务命令
29
第29章
NetFlow 命令
29.1 clear ip flow stat 命令格式
clear ip flow stat
命令功能
清除流输出的统计
命令模式
特权模式
默认状态
默认情况下当流输出打开时,每 12 小时清除统计一次。
使用指导
可以用此命令清除流输出统计信息。 只是清除当前防火墙的流输出统计。 提示
配置实例
清除当前流输出的统计信息,使用以下命令: SmartHammer#clear ip flow stat
相关命令
ip flow-export A.B.C.D PORT
29.2 ip flow-collect 命令格式
ip flow-collect no ip flow-collect
命令功能
在接口上设置流收集。 在接口上关闭流收集。
命令模式
接口模式
默认状态
默认情况下流收集关闭。
29-1
第 29 章 NetFlow 命令
使用指导
第六部分 交换转发服务命令
可以用此命令设置从指定接口收集流信息。
只是收集从指定接口流入的流信息。 提示
配置实例
在接口 ge1 上收集流信息,使用以下命令: SmartHammer(config)#interface ge1 SmartHammer(config-if)#ip flow-collect
关闭接口 ge1 上收集流信息,使用以下命令: SmartHammer(config)#interface ge1 SmartHammer(config)#no ip flow-collect
相关命令
29-2
ip flow-export A.B.C.D PORT
第 29 章 NetFlow 命令
第六部分 交换转发服务命令
29.3 ip flow-export 命令格式
ip flow-export A.B.C.D PORT no ip flow-export
命令功能
设置流输出的目的地址和接收端口号。 关闭流输出。
命令模式
配置模式
参数说明
参数 A.B.C.D
收集流的目的地址
PORT
收集流的端口号
说明
默认状态
默认情况下流输出关闭
使用指导
可以用此命令来设置需要收集流的 IP 地址和端口号。 如果配置了输出流,对系统性能会产生一定影响。 提示
配置实例
设置 SmartHammer 输出收集的流,使用以下命令: SmartHammer(config)#ip flow-export 192.168.0.20 9898
关闭 SmartHammer 流输出,使用以下命令: SmartHammer(config)#no ip flow-export
相关命令
ip flow flow-collect
29.4 show ip flows info 命令格式
show ip flows info
命令功能
显示当前收集到的流信息
命令模式
特权模式,用户模式
29-3
第 29 章 NetFlow 命令
使用指导
第六部分 交换转发服务命令
可以用此命令显示当前收集到的流。
提示
配置实例
显示收集到的流的五元组信息,连接状态、接口信息以及 接收到流中第一个和最后一个报文的时间。
显示当前收集到的流,使用以下命令: SmartHammer#show ip flows info
29.5 show ip flow stat 命令格式
show ip flows stat
命令功能
显示当前流输出统计信息
命令模式
特权模式,用户模式
使用指导
可以用此命令显示当前流输出的统计信息。
提示
配置实例
显示流输出的流数统计,version 5 的 udp 报文数目,以及 上一次流输出统计的清除时间。
显示当前流输出的统计,使用以下命令: SmartHammer#show ip flows stat
29-4
第七部分
路由协议命令
第 30 章 静态路由命令
第七部分 路由协议命令
30
第30章
静态路由命令
30.1 ip route A.B.C.D/M 命令格式
{no} ip route A.B.C.D/M (A.B.C.D|INTERFACE) [<1-255>]
命令功能
配置一条静态路由
命令模式
全局配置模式
参数说明
参数 A.B.C.D/M
目的网段的IP地址及子网掩码
A.B.C.D
下一跳的IP地址
INTERFACE
下一跳接口名称
<1-255>
metric值
说明
使用指导
用于配置静态路由规则
配置实例
配置静态路由,将目标地址为 200.1.1.0/24 网段的数据包路由至 192.168.0.1 SmartHammer(config)#ip route 200.1.1.0/24 192.168.0.1
30.2 ip route A.B.C.D A.B.C.D 命令格式
{no} ip route A.B.C.D A.B.C.D (A.B.C.D|INTERFACE) [<1-255>]
命令功能
配置一条静态路由
命令模式
全局配置模式
参数说明
参数 A.B.C.D
目的网段的网络地址
说明
A.B.C.D
目的网段的网络掩码
A.B.C.D
下一跳的IP地址 30-1
第 30 章 静态路由命令
第七部分 路由协议命令
INTERFACE
下一跳接口名称
<1-255>
metric值
使用指导
用于配置静态路由规则
配置实例
配置静态路由,将目标地址为 200.1.2.0/24 网段的数据包路由至 192.168.0.2。 SmartHammer(config)#ip route 200.1.2.0 255.255.255.0 192.168.0.2
30.3 show ip route 命令格式
show ip route [(A.B.C.D| A.B.C.D/M)]
命令功能
显示静态路由的配置信息
命令模式
特权模式
参数说明
参数 A.B.C.D
目的地址
A.B.C.D
目的地址及掩码
使用指导
用于显示静态路由的配置信息
配置实例
显示静态路由配置信息 SmartHammer# show ip route
30-2
说明
第 31 章 策略路由命令
第七部分 路由协议命令
31
第31章
策略路由命令
31.1 list nexthop 命令格式
{no} list (<1-99> |<100-199> |<1300-1999> |<2000-2699> |<2700-2999>) nexthop (A.B.C.D|INTERFACE)
命令功能
配置策略路由规则
命令模式
策略路由配置模式
参数说明
参数 <1-99>
基于源地址的access-list
说明
<100-199>
基于源和目标地址的access-list
<1300-1999>
基于源地址的access-list,可以指定协议端口
<2000-2699>
基于源和目标地址的access-list,可以指定协 议端口
<2700-2999>
基于源和目标地址的access-list,只能适用于 TCP和UDP协议,可以指定协议端口
A.B.C.D
下一跳地址
INTERFACE
Interface的名称
使用指导
用于配置策略路由的路由规则
配置实例
配置策略路由规则,将满足 access-list 1 的数据包路由至 200.0.0.1 SmartHammer(config-policy-map)#list 1 nexthop 200.0.0.1
31.2 show ip policy-map 命令格式
show ip policy-map [NAME]
命令功能
显示 policy-map 的配置信息
命令模式
特权模式 31-1
第 31 章 策略路由命令
参数说明
第七部分 路由协议命令
参数 NAME
说明 Policy-map的模板名
使用指导
用于显示策略路由的配置信息
配置实例
显示 policy-map map1 的配置信息 SmartHammer#show ip policy-map map1
31.3 show ip traffic-map memory 命令格式
show ip policy-map [NAME] memory
命令功能
显示 policy-map 的内存使用情况
命令模式
特权模式
参数说明
参数 NAME
说明 Policy-map的模板名
使用指导
用于显示策略路由功能的内存使用情况
配置实例
显示 policy-map map1 的内存使用情况 SmartHammer#show ip policy-map map1 memory
31-2