Smart Hammer Order

November 2019
PDF

Download

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA

Overview

Download & View Smart Hammer Order as PDF for free.

More details

Words: 21,553
Pages: 268

Preview
Full text

SmartHammer 系列产品命令参考

第一部分

系统命令

第二部分

AAA 命令

第三部分

防火墙命令

第四部分

VPN 命令

第五部分

接入认证命令

第六部分

交换转发服务命令

第七部分

路由协议命令

SmartHammer 系列产品命令参考资料编号产品版本资料状态

P-1801XXXX-20040801-130 V01R03B0１２２发行

版权声明 © 港湾网络有限公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本手册的版权归港湾网络有限公司所有。未得到港湾网络有限公司的书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。港湾网络有限公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但港湾网络有限公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任 Users’ Manual Copyright and Disclaimer Copyright © Copyright Harbour Networks Limited. All rights reserved. The copyright of this document is owned by Harbour Networks Limited. Without the prior written permission obtained from Harbour Networks Limited, this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an "AS IS" basis. Harbour Networks Limited may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Harbour Networks Limited with reasonable care and is believed to be accurate. However, Harbour Networks Limited shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.

手册使用说明读者对象本手册的读者对象为配置和管理 SmartHammer 系列产品的工程技术人员。本手册需要读者熟悉防火墙、交换、路由以及认证技术的基础知识。

内容介绍本手册详细介绍了 SmartHammer 系列产品的命令，是工程技术人员了解该设备的软件特性，并顺利完成设备配置的指导文档。具体包括以下内容：第一部分：系统命令章序号

题目

内容描述

第1章

系统管理命令

介绍了HSOS操作系统的常用命令

第2章

系统引导命令

介绍了系统引导的各种命令

第3章

SNMP命令

介绍了简单网络管理服务SNMP的基本命令

第4章

系统监控与诊断命令

介绍了常用的系统信息查看以及系统诊断的命令。

第5章

系统日志命令

介绍了系统日志的相关命令

第6章

以太网接口命令

介绍了以太网接口的相关类型命令

第7章

GRE接口命令

介绍了GRE接口的相关命令

第8章

VLAN接口命令

介绍了VLAN接口的相关命令

第9章

LoopBack接口命令

介绍了LoopBack接口的相关命令

第10章

透明桥命令

介绍了透明桥的相关命令

第11章

ARP和代理ARP命令

介绍了地址解析协议ARP和代理ARP的的相关命令。

第12章

DHCP服务命令

介绍了动态主机配置协议DHCP的相关命令。

第13章

DHCP Relay服务命令

介绍了DHCP Relay的相关命令。

第14章

VRRP命令

介绍了虚拟冗余路由器协议VRRP的相关命令。

第15章

QoS命令

介绍了服务质量QoS的相关命令。

第二部分：AAA 命令章序号

题目

内容描述

第16章

AAA授权功能功能命令

介绍了AAA授权功能相关命令

第17章

AAA认证和计费功能命令

介绍了AAA认证在和计费相关命令

第三部分：防火墙命令章序号

题目

内容描述

第18章

ACL命令

介绍了访问控制列表ACL的相关命令

第19章

自适应安全过滤命令

介绍了自适应安全过滤的相关命令

第20章

基于状态的资源和连接控制命令

介绍了基于状态的资源控制的相关命令

第21章

NAT命令

介绍了NAT协议的相关命令

第22章

链路层过滤命令

介绍了链路层过滤的相关命令

第四部分：VPN 命令章序号

题目

内容描述

第23章

IPSec VPN命令

介绍了IPSec VPN的相关命令

第24章

L2TP VPDN命令

介绍了L2TP VPDN的相关命令

第五部分：接入认证命令章序号

题目

内容描述

第25章

PPP Profile命令

介绍了PPP Profile的相关命令

第26章

PPPoE认证命令

介绍了PPPoE认证的相关命令

第27章

WEB/Portal认证命令

介绍了WEB/Portal认证的相关命令

第28章

IEEE802.1X接入认证命令

介绍了IEEE802.1X接入认证的相关命令

第六部分：交换转发服务命令章序号

题目

内容描述

第29章

NetFlow命令

介绍了交换转发服务的相关命令

第七部分：路由协议命令章序号

题目

内容描述

第30章

静态路由命令

介绍了静态路由的相关命令

第31章

策略路由命令

介绍了SmartHammer设备上支持的策略路由的相关命令

手册约定手册中有关图标的约定如下：图标

说明这个图标表示提醒用户注意事项。

注意

提示

这个图标主要给出一些与正文相关的信息，同时给用户一些指引，协助用户更好的理解正文的内容。

获取技术支援港湾网络有限公司建立了以总部技术支援中心、区域技术支援中心和本地技术支援中心为主体的完善的三级服务体系，并提供全天候 24 小时×365 天的电话热线服务。客户在产品使用及网络运行过程中遇到问题时请随时与港湾网络有限公司各地方的服务支持热线联系。请客户到www.harbournetworks.com获取各地服务支持热线电话。此外，客户还可通过港湾网络有限公司网站及时了解最新产品动态，以及下载需要的技术文档。

目录第一部分系统命令第 1 章系统管理命令........................................................................................................................... 1-1 1.1 clear tty .................................................................................................................................... 1-1 1.2 copy.......................................................................................................................................... 1-1 1.3 date........................................................................................................................................... 1-3 1.4 dir ............................................................................................................................................. 1-3 1.5 enable password .................................................................................................................... 1-4 1.6 end ........................................................................................................................................... 1-4 1.7 exit............................................................................................................................................ 1-5 1.8 format ...................................................................................................................................... 1-5 1.9 hostname ................................................................................................................................. 1-5 1.10 line tty.................................................................................................................................... 1-6 1.11 list........................................................................................................................................... 1-6 1.12 login ....................................................................................................................................... 1-6 1.13 reboot..................................................................................................................................... 1-7 1.14 password ............................................................................................................................... 1-7 1.15 set boot config....................................................................................................................... 1-8 1.16 set boot options .................................................................................................................... 1-8 1.17 set boot system ..................................................................................................................... 1-9 1.18 show ip traffic-map............................................................................................................ 1-10 1.19 show memory..................................................................................................................... 1-10 1.20 show running-config ......................................................................................................... 1-11 1.21 show startup-config........................................................................................................... 1-11 1.22 terminal monitor ................................................................................................................ 1-12 1.23 terminal speed .................................................................................................................... 1-13 1.24 who ...................................................................................................................................... 1-14 1.25 write erase........................................................................................................................... 1-14 1.26 write file .............................................................................................................................. 1-15 1.27 write memory ..................................................................................................................... 1-15 1.28 write terminal ..................................................................................................................... 1-15 1.29 configure memory.............................................................................................................. 1-16 第 2 章系统引导命令........................................................................................................................... 2-1 1

2.1 boot .......................................................................................................................................... 2-1 2.2 load .......................................................................................................................................... 2-1 2.3 go.............................................................................................................................................. 2-2 2.4 help .......................................................................................................................................... 2-2 2.5 ifconfig..................................................................................................................................... 2-2 2.6 ping .......................................................................................................................................... 2-3 2.7 printenv ................................................................................................................................... 2-3 2.8 reset.......................................................................................................................................... 2-3 2.9 set console ............................................................................................................................... 2-3 2.10 set time .................................................................................................................................. 2-4 2.11 setenv..................................................................................................................................... 2-4 2.12 show devices......................................................................................................................... 2-4 2.13 show time.............................................................................................................................. 2-5 2.14 test cpld ................................................................................................................................. 2-5 2.15 test disk disk0 ....................................................................................................................... 2-5 2.16 test fatfs ................................................................................................................................. 2-5 2.17 test flash................................................................................................................................. 2-6 2.18 test nvram ............................................................................................................................. 2-6 2.19 test pci.................................................................................................................................... 2-6 2.20 test sdram.............................................................................................................................. 2-7 第 3 章 SNMP 命令 ............................................................................................................................. 3-1 3.1 community.............................................................................................................................. 3-1 3.2 community rw ........................................................................................................................ 3-1 3.3 snmp-server ............................................................................................................................ 3-2 3.4 trap-community ..................................................................................................................... 3-2 3.5 trap-host .................................................................................................................................. 3-3 第 4 章系统监控与诊断命令............................................................................................................... 4-2 4.1 ping .......................................................................................................................................... 4-2 4.2 show system ........................................................................................................................... 4-2 4.3 show cpu-usage...................................................................................................................... 4-4 4.4 show memory-usage ............................................................................................................. 4-4 4.5 show version........................................................................................................................... 4-5 4.6 traceroute ................................................................................................................................ 4-5 第 5 章系统日志命令........................................................................................................................... 5-1 5.1 log DAEMON LOCATION MASKPRI PRIORITY ........................................................... 5-1 5.2 log memsize ............................................................................................................................ 5-2

2

5.3 show logmemory ................................................................................................................... 5-2 5.4 log DAEMON ratelimit <1-15>............................................................................................ 5-3 第 6 章以太网接口命令....................................................................................................................... 6-1 6.1 auto .......................................................................................................................................... 6-1 6.2 duplex...................................................................................................................................... 6-1 6.3 ip address................................................................................................................................ 6-2 6.4 shutdown ................................................................................................................................ 6-2 6.5 speed........................................................................................................................................ 6-3 第 7 章 GRE 接口命令 ......................................................................................................................... 7-1 7.1 destination .............................................................................................................................. 7-1 7.2 interface gre ............................................................................................................................ 7-1 7.3 key............................................................................................................................................ 7-2 7.4 source....................................................................................................................................... 7-2 第 8 章 VLAN 接口命令...................................................................................................................... 8-1 8.1 debug vlan .............................................................................................................................. 8-1 8.2 interface IFNAME .VID......................................................................................................... 8-1 第 9 章 LoopBack 接口命令................................................................................................................ 9-1 9.1 duplex...................................................................................................................................... 9-1 9.2 interface lo............................................................................................................................... 9-1 9.3 ip address secondary............................................................................................................. 9-2 9.4 speed........................................................................................................................................ 9-2 第 10 章透明桥命令........................................................................................................................... 10-1 10.1 debug bridge....................................................................................................................... 10-1 10.2 show bridge ........................................................................................................................ 10-1 10.3 show bridge-group ............................................................................................................ 10-2 10.4 show bridge-fdb ................................................................................................................. 10-2 10.5 interface IFNAME.............................................................................................................. 10-2 10.6 bridge-group....................................................................................................................... 10-3 10.7 bridge-group priority ........................................................................................................ 10-4 10.8 bridge priority .................................................................................................................... 10-4 第 11 章 ARP 和代理 ARP 命令 ....................................................................................................... 11-1 11.1 debug arp ............................................................................................................................ 11-1 11.2 ip arp A.B.C.D xx:xx:xx:xx:xx:xx...................................................................................... 11-1 11.3 ip proxy-arp ........................................................................................................................ 11-2 11.4 ip arp queue-len ................................................................................................................. 11-2 11.5 show ip arp ......................................................................................................................... 11-3

3

11.6 clear ip arp dynamic .......................................................................................................... 11-3 第 12 章 DHCP 服务命令.................................................................................................................. 12-1 12.1 dhcp ..................................................................................................................................... 12-1 12.2 share-net NAME A.B.C.D E.F.G.H ................................................................ 12-1 12.3 share-net NAME dns......................................................................................................... 12-2 12.4 share-net NAME router .................................................................................................... 12-2 12.5 share-net NAME subnet.................................................................................................... 12-3 12.6 share-net NAME wins....................................................................................................... 12-4 第 13 章 DHCP Relay 服务命令 ...................................................................................................... 13-1 13.1 relay ..................................................................................................................................... 13-1 第 14 章 VRRP 命令 .......................................................................................................................... 14-1 14.1 advertise-time..................................................................................................................... 14-1 14.2 debug vrrp .......................................................................................................................... 14-1 14.3 end ....................................................................................................................................... 14-2 14.4 exit........................................................................................................................................ 14-2 14.5 list......................................................................................................................................... 14-2 14.6 ip address ............................................................................................................................ 14-3 14.7 ip vrrp authentication password ..................................................................................... 14-3 14.8 ip vrrp router ...................................................................................................................... 14-4 14.9 preempt-mode.................................................................................................................... 14-4 14.10 priority............................................................................................................................... 14-5 14.11 show vrrp router .............................................................................................................. 14-5 14.12 show vrrp interface.......................................................................................................... 14-6 14.13 show vrrp state................................................................................................................. 14-6 14.14 vrrp-router ........................................................................................................................ 14-7 14.15 write memory ................................................................................................................... 14-7 14.16 write terminal ................................................................................................................... 14-7 第 15 章 QoS 命令.............................................................................................................................. 15-1 15.1 ip output-traffic-map MAPNAME .................................................................................. 15-1 15.2 filter ID priority <0-7> rate <64-102400> ........................................................................ 15-1 15.3 show ip traffic-map memory............................................................................................ 15-2 15.4 traffic-map MAPNAME.................................................................................................... 15-3

第二部分 AAA 命令第 16 章 AAA 授权功能命令 ............................................................................................................ 16-1 16.1 debug aaam......................................................................................................................... 16-1 16.2 line tty.................................................................................................................................. 16-1 4

16.3 login ..................................................................................................................................... 16-2 16.4 no user block....................................................................................................................... 16-2 16.5 privilege reset ..................................................................................................................... 16-3 16.6 privilege .............................................................................................................................. 16-4 16.7 show local user................................................................................................................... 16-5 16.8 user access-class ................................................................................................................. 16-6 16.9 user password admin ........................................................................................................ 16-7 16.10 user privilege .................................................................................................................... 16-7 16.11 user secret admin ............................................................................................................. 16-8 16.12 user try-limit ..................................................................................................................... 16-8 第 17 章 AAA 认证和计费功能命令................................................................................................. 17-1 17.1 show local acct.................................................................................................................... 17-1 17.2 show local user................................................................................................................... 17-1 17.3 aaa ........................................................................................................................................ 17-2 17.4 accounting local.................................................................................................................. 17-2 17.5 accounting none ................................................................................................................. 17-2 17.6 accounting server ............................................................................................................... 17-3 17.7 authentication local............................................................................................................ 17-3 17.8 authentication server ......................................................................................................... 17-4 17.9 source-ip.............................................................................................................................. 17-4 17.10 user password .................................................................................................................. 17-5 17.11 user secret ......................................................................................................................... 17-5 17.12 end...................................................................................................................................... 17-6 17.13 exit...................................................................................................................................... 17-6 17.14 list....................................................................................................................................... 17-6 17.15 write memory ................................................................................................................... 17-7 17.16 write terminal ................................................................................................................... 17-7

第三部分防火墙命令第 18 章 ACL 命令 ............................................................................................................................. 18-1 18.1 access-list <1-99>................................................................................................................ 18-1 18.2 access-list (<100-199>|<2000-2699>)............................................................................... 18-1 18.3 access-list <200-299>.......................................................................................................... 18-3 18.4 access-list <700-799>.......................................................................................................... 18-3 18.5 access-list <1300-1999>...................................................................................................... 18-4 18.6 access-list <1300-1999> icmp ............................................................................................ 18-5 18.7 access-list <1300-1999> tcp ............................................................................................... 18-6 5

18.8 access-list <1300-1999> udp.............................................................................................. 18-8 18.9 access-list (<2000-2699>) icmp ....................................................................................... 18-10 18.10 access-list (<2000-2699>|<2700-2999>) tcp ................................................................ 18-11 18.11 access-list (<2000-2699>|<2700-2999>) udp............................................................... 18-13 18.12 access-list compiled ....................................................................................................... 18-15 18.13 access-list remark ........................................................................................................... 18-16 18.14 show ip access-list.......................................................................................................... 18-17 18.15 show ip access-list compiled ........................................................................................ 18-17 第 19 章自适应安全过滤命令........................................................................................................... 19-1 19.1 security-policy .................................................................................................................... 19-1 19.2 ip access-group in .............................................................................................................. 19-2 19.3 ip access-group out............................................................................................................ 19-2 19.4 ip security-level .................................................................................................................. 19-3 19.5 ip security-policy ............................................................................................................... 19-4 19.6 local ip security-policy ...................................................................................................... 19-4 19.7 ip servic adaptive-security................................................................................................ 19-5 19.8 show security-policy.......................................................................................................... 19-5 19.9 debug acl ............................................................................................................................. 19-5 第 20 章基于状态的资源和连接控制命令....................................................................................... 20-1 20.1 debug inspect...................................................................................................................... 20-1 20.2 ip inspect idletime.............................................................................................................. 20-1 20.3 ip inspect max <0-655360>................................................................................................ 20-3 20.4 ip inspect maxincomplete high NUMBER ..................................................................... 20-3 20.5 ip inspect maxincomplete low NUMBER....................................................................... 20-4 20.6 ip inspect one-minute high NUMBER ............................................................................ 20-5 20.7 ip inspect one-minute low NUMBER.............................................................................. 20-6 20.8 ip inspect max <0-655360> (tcp|udp|icmp|generic) .................................................. 20-7 20.9 ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic) ........................ 20-8 20.10 ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic)........................ 20-9 20.11 ip inspect one-minute high NUMBER (tcp|udp|icmp|generic) ........................... 20-10 20.12 ip inspect one-minute low NUMBER (tcp|udp|icmp|generic)............................. 20-11 20.13 ip inspect max flow list ................................................................................................. 20-12 20.14 ip inspect tcp close-time................................................................................................ 20-13 20.15 ip inspect tcp closewait-time ........................................................................................ 20-13 20.16 ip inspect tcp finwait-time ............................................................................................ 20-14 20.17 ip inspect udp halfopen idletime................................................................................. 20-15

6

20.18 ip inspect tcp synrecv-time........................................................................................... 20-16 20.19 ip inspect tcp synsent-time ........................................................................................... 20-16 20.20 ip inspect tcp timewait-time ......................................................................................... 20-17 20.21 show ip inspect information......................................................................................... 20-18 20.22 show ip inspect information (tcp|udp|icmp|generic|flow) ................................. 20-18 20.23 show ip inspect statistics............................................................................................... 20-19 20.24 show ip inspect statistics (tcp|udp|icmp|generic|flow) ....................................... 20-19 20.25 show ip inspect idletime ............................................................................................... 20-20 第 21 章 NAT 命令............................................................................................................................. 21-1 21.1 clear ip nat translations ..................................................................................................... 21-1 21.2 debug nat ............................................................................................................................ 21-1 21.3 ip nat destination (tcp|udp) A.B.C.D <0-65535> A.B.C.D [<0-65535>] ..................... 21-1 21.4 ip nat destination A.B.C.D (A.B.C.D|NAME) ............................................................... 21-2 21.5 ip nat destination list ......................................................................................................... 21-3 21.6 ip nat source list ................................................................................................................. 21-3 21.7 ip nat source static ............................................................................................................. 21-4 21.8 ip nat pool netmask ........................................................................................................... 21-5 21.9 ip nat .................................................................................................................................... 21-5 21.10 show ip nat........................................................................................................................ 21-6 21.11 show ip nat pool............................................................................................................... 21-6 21.12 show ip nat statistics........................................................................................................ 21-6 21.13 show ip nat translations .................................................................................................. 21-7 第 22 章链路层过滤命令................................................................................................................... 22-1 22.1 debug acl ............................................................................................................................. 22-1 22.2 ethernet access-group Num (in|out) .............................................................................. 22-1

第四部分 VPN 命令第 23 章 IPSec VPN 命令.................................................................................................................. 23-1 23.1 crypto ipsec transform-set ................................................................................................ 23-1 23.2 crypto isakmp enable ........................................................................................................ 23-1 23.3 crypto isakmp policy ......................................................................................................... 23-2 23.4 crypto isakmp key.............................................................................................................. 23-2 23.5 crypto map local-address.................................................................................................. 23-3 23.6 crypto map NAME ............................................................................................................ 23-3 23.7 crypto map WORD ............................................................................................................ 23-4 23.8 encryption ........................................................................................................................... 23-4 23.9 group ................................................................................................................................... 23-5 7

23.10 hash.................................................................................................................................... 23-6 23.11 ip domain-name ............................................................................................................... 23-6 23.12 lifetime............................................................................................................................... 23-7 23.13 mode .................................................................................................................................. 23-7 23.14 match address................................................................................................................... 23-8 23.15 set peer............................................................................................................................... 23-8 23.16 set pfs................................................................................................................................. 23-9 23.17 set transform-set............................................................................................................... 23-9 23.18 set security-association lifetime ................................................................................... 23-10 第 24 章 L2TP 命令 ............................................................................................................................ 24-1 24.1 clear l2tp tunnel.................................................................................................................. 24-1 24.2 clear l2tp session ................................................................................................................ 24-1 24.3 debug l2tp ........................................................................................................................... 24-2 24.4 end ....................................................................................................................................... 24-2 24.5 exit........................................................................................................................................ 24-3 24.6 l2tp peer ip password........................................................................................................ 24-3 24.7 hello-time ............................................................................................................................ 24-4 24.8 list......................................................................................................................................... 24-4 24.9 listen address ...................................................................................................................... 24-5 24.10 localname .......................................................................................................................... 24-5 24.11 max session ....................................................................................................................... 24-6 24.12 max tunnel ........................................................................................................................ 24-6 24.13 ppp profile ........................................................................................................................ 24-7 24.14 receive-window................................................................................................................ 24-7 24.15 show l2tp session ............................................................................................................. 24-8 24.16 show l2tp subcriber-template......................................................................................... 24-8 24.17 show l2tp tunnel............................................................................................................... 24-9 24.18 show vpdn ........................................................................................................................ 24-9 24.19 subscriber-template l2tp................................................................................................ 24-10 24.20 tunnel authentication .................................................................................................... 24-10 24.21 unique-ip......................................................................................................................... 24-11 24.22 vpdn enable l2tp subscriber-template......................................................................... 24-11 24.23 write memory ................................................................................................................. 24-12 24.24 write terminal ................................................................................................................. 24-12

第五部分接入认证命令第 25 章 PPP Profile 命令 ................................................................................................................. 25-1 8

25.1 aaa-group ............................................................................................................................ 25-1 25.2 aaa-group by....................................................................................................................... 25-1 25.3 accounting-interval............................................................................................................ 25-2 25.4 address local ....................................................................................................................... 25-3 25.5 address pool dhcp.............................................................................................................. 25-3 25.6 address pool local .............................................................................................................. 25-4 25.7 address pool radius ........................................................................................................... 25-5 25.8 address pool static ............................................................................................................. 25-5 25.9 authentication..................................................................................................................... 25-6 25.10 clear ppp interface ........................................................................................................... 25-7 25.11 clear ppp user ................................................................................................................... 25-7 25.12 debug ppp......................................................................................................................... 25-8 25.13 dns...................................................................................................................................... 25-8 25.14 echo-time........................................................................................................................... 25-9 25.15 end.................................................................................................................................... 25-10 25.16 exit.................................................................................................................................... 25-10 25.17 idle-time .......................................................................................................................... 25-10 25.18 ip pool.............................................................................................................................. 25-11 25.19 list..................................................................................................................................... 25-12 25.20 max-user.......................................................................................................................... 25-12 25.21 ppp-profile ...................................................................................................................... 25-12 25.22 show ip pool ................................................................................................................... 25-13 25.23 show ppp profile............................................................................................................ 25-14 25.24 show ppp total................................................................................................................ 25-14 25.25 show ppp summary....................................................................................................... 25-14 25.26 show ppp user ................................................................................................................ 25-15 25.27 show ppp interface ........................................................................................................ 25-15 25.28 traffic to id priority rate ................................................................................................ 25-16 25.29 traffic to name priority rate .......................................................................................... 25-17 25.30 unique-user-name.......................................................................................................... 25-17 25.31 wins.................................................................................................................................. 25-18 25.32 write memory ................................................................................................................. 25-18 25.33 write terminal ................................................................................................................. 25-19 第 26 章 PPPoE 认证命令.................................................................................................................. 26-1 26.1 acname................................................................................................................................. 26-1 26.2 debug pppoe....................................................................................................................... 26-1

9

26.3 end ....................................................................................................................................... 26-2 26.4 exit........................................................................................................................................ 26-2 26.5 hurl....................................................................................................................................... 26-2 26.6 list......................................................................................................................................... 26-3 26.7 ppp profile .......................................................................................................................... 26-3 26.8 service.................................................................................................................................. 26-4 26.9 show pppoe interface ........................................................................................................ 26-5 26.10 show pppoe subscribe-template .................................................................................... 26-5 26.11 subscriber-template pppoe ............................................................................................. 26-6 26.12 unique-mac ....................................................................................................................... 26-6 26.13 write memory ................................................................................................................... 26-7 26.14 write terminal ................................................................................................................... 26-7 26.15 pppoe max-session .......................................................................................................... 26-7 26.16 pppoe subscriber-template ............................................................................................. 26-8 第 27 章 WEB&Portal 认证命令 ...................................................................................................... 27-1 27.1 aaa-group ............................................................................................................................ 27-1 27.2 aaa-group by....................................................................................................................... 27-1 27.3 access-server default.......................................................................................................... 27-2 27.4 accounting-interval............................................................................................................ 27-2 27.5 authentification .................................................................................................................. 27-3 27.6 authentication-url .............................................................................................................. 27-3 27.7 clear user webauth............................................................................................................. 27-4 27.8 clear user webauth USER.................................................................................................. 27-4 27.9 clear user webauth USER INTERFACE .......................................................................... 27-5 27.10 dns-server.......................................................................................................................... 27-5 27.11 debug portal ..................................................................................................................... 27-6 27.12 debug webauth................................................................................................................. 27-6 27.13 idle-time ............................................................................................................................ 27-7 27.14 keep-alive .......................................................................................................................... 27-7 27.15 portal-url ........................................................................................................................... 27-8 27.16 show webauth interface .................................................................................................. 27-8 27.17 show webauth regex_user .............................................................................................. 27-9 27.18 show webauth subscriber-template .............................................................................. 27-9 27.19 show webauth subscriber-template id........................................................................ 27-10 27.20 show webauth subscriber-template regex.................................................................. 27-10 27.21 show webauth summary .............................................................................................. 27-10

10

27.22 show webauth user........................................................................................................ 27-11 27.23 traffic to id priority rate ................................................................................................ 27-11 27.24 traffic to name priority rate .......................................................................................... 27-12 27.25 unique-verify .................................................................................................................. 27-12 27.26 webauth authorize ......................................................................................................... 27-13 27.27 webauth max-session .................................................................................................... 27-13 27.28 webauth subscriber-template....................................................................................... 27-14 第 28 章 IEEE802.1X 接入认证命令 ................................................................................................. 28-1 28.1 aaa-group ............................................................................................................................ 28-1 28.2 aaa-group by....................................................................................................................... 28-2 28.3 accounting-interval............................................................................................................ 28-2 28.4 authentication-style ........................................................................................................... 28-3 28.5 clear user dot1x .................................................................................................................. 28-4 28.6 debug dot1x ........................................................................................................................ 28-4 28.7 dot1x authorize .................................................................................................................. 28-5 28.8 dot1x max-session.............................................................................................................. 28-5 28.9 dot1x subscriber-template ................................................................................................ 28-6 28.10 end...................................................................................................................................... 28-7 28.11 exit...................................................................................................................................... 28-7 28.12 idle-timeout ...................................................................................................................... 28-7 28.13 keep-alive .......................................................................................................................... 28-8 28.14 list....................................................................................................................................... 28-8 28.15 show dot1x interface........................................................................................................ 28-9 28.16 show dot1x subscribe-template ..................................................................................... 28-9 28.17 show dot1x summary .................................................................................................... 28-10 28.18 show dot1x user ............................................................................................................. 28-10 28.19 subscriber-template dot1x ............................................................................................ 28-11 28.20 traffic to id priority rate ................................................................................................ 28-11 28.21 traffic to name priority rate .......................................................................................... 28-12 28.22 unique-verify .................................................................................................................. 28-13 28.23 write memory ................................................................................................................. 28-13 28.24 write terminal ................................................................................................................. 28-14

第六部分交换转发服务命令第 29 章 NetFlow 命令 ...................................................................................................................... 29-1 29.1 clear ip flow stat ................................................................................................................. 29-1 29.2 ip flow-collect ..................................................................................................................... 29-1 11

29.3 ip flow-export ..................................................................................................................... 29-3 29.4 show ip flows info.............................................................................................................. 29-3 29.5 show ip flow stat ................................................................................................................ 29-4

第七部分路由协议命令第 30 章静态路由命令....................................................................................................................... 30-1 30.1 ip route A.B.C.D/M........................................................................................................... 30-1 30.2 ip route A.B.C.D A.B.C.D.................................................................................................. 30-1 30.3 show ip route...................................................................................................................... 30-2 第 31 章策略路由命令....................................................................................................................... 31-1 31.1 list nexthop ......................................................................................................................... 31-1 31.2 show ip policy-map ........................................................................................................... 31-1 31.3 show ip traffic-map memory............................................................................................ 31-2

12

第一部分

系统命令

第 1 章系统管理命令

第一部分系统命令

1

第1章

系统管理命令

1.1 clear tty 命令格式

clear tty [user NAME][host A.B.C.D]

命令功能

清除其他登录操作员。主要用在多个操作员登录进系统时，出于管理的必要，某个操作员可以将其他操作员踢出系统。执行该操作后，执行该操作的操作员保持在线上，其他操作员下线。

使用指导

本指令只能清除满足条件的使用Console、telnet、SSH登录的管理员，对于使用港湾安全管理平台登录的管理员用户，该指令无法清除。

命令模式

特权模式

配置实例

剔除其他所有从 10.1.1.2 上使用 telnet 或 SSH 登录的管理员用户 SmartHammer#clear tty host 10.1.1.2

1.2 copy 命令格式

copy (logmemory|local_accounting|running-config|startup-config|disk0:|fl ash0:|ftp://|tftp://|zmodem:|SOURCE) (startup-config|ids-config|disk0:|flash0:|ftp://| tftp://DESTINATION)

命令功能

文件拷贝。主要用在上传和下载配置文件、升级系统、保存系统程序文件以及保存一些有用的其他信息如计费信息、日志记录信息等场合。

命令模式

特权模式

参数说明

参数

说明

logmemory

保存在系统内存中的日志记录信息

local_accounting

计费信息

running-config

当前配置信息

startup-config

系统启动时的配置信息 1-1

第 1 章系统管理命令

第一部分系统命令

SOURCE

可变拷贝来源地和源文件，有效来源地为：tftp、 tfp、zmodem、disk0、flash0 等，有效文件主要是配置文件和系统应用程序文件

startup- config

系统启动时的配置文件

DESTINATION

可变拷贝目的地和目标文件，有效目的地为： ftp、tfp、zmodem、disk0、flash0 等，有效文件主要是配置文件和系统应用程序文件

disk0:

第一块 CF 卡上的文件

flash0:

第一块 Flash 卡上的文件

zmodem:

与防火墙串口相连的计算机上的文件

ftp:

FTP 服务器上的文件

tftp:

TFTP 服务器上的文件

使用指导

关于copy命令的详细介绍，请参考《SmartHammer系列产品软件配置手册》。

配置实例

将配置文件从TFTP服务器192.168.0.1上下载到第一块CF卡上，并取名为config1。这里disk0中的0表示CF卡的序号，如果系统中存在多个CF卡，您可以指定其他序号。一般来讲，CF卡或者Flash卡都只有一块，所以序号往往就只是0。 SmartHammer#copy tftp://192.168.0.1/config disk0:config1

将系统应用程序文件从TFTP服务器192.168.0.1上下载到第一块CF卡上，并取名为 hsos1。 SmartHammer#copy tftp://192.168.0.1/hsos disk0:hsos1

将配置文件从第一块CF卡上传到TFTP服务器192.168.0.1上，文件名为config1。 SmartHammer#copy disk0:config tftp://192.168.0.1/config1

将系统应用程序文件从第一块CF卡上传到TFTP服务器192.168.0.1上，文件名为 hsos1。 SmartHammer#copy disk0:hsos tftp://192.168.0.1/hsos1

将内存中的日志信息系统应用程序文件拷贝到TFTP服务器192.168.0.1上，文件名为 lmemory。 SmartHammer#copy logmemory tftp://192.168.0.1

将系统中的计费信息文件拷贝到TFTP服务器192.168.0.1上，文件名为 local_accounting。 SmartHammer#copy local_accounting tftp://192.168.0.1

将系统中的当前配置信息拷贝到FTP服务器192.168.0.1上，文件名为 local_accounting。用户cvsuser为服务器上的合法用户，其密码为cvsuser。 SmartHammer#copy running-config ftp:cvsuser:cvsuser@//192.168.0.1

1-2

第 1 章系统管理命令

第一部分系统命令

将与系统以超级终端相连的某一机器上的文件config，下载到系统中，作为下一次系统启动使的配置文件。这需要该机器必须在超级终端下用zmodem接收，关于超级终端的操作，请参考《SmartHammer系列产品软件配置手册》。 SmartHammer#copy zmodem:config startup-config

1.3 date 命令格式

date <1-12> <1-31> <0-23> <0-59> [<2000-2030>]

命令功能

设置系统的当前时间

命令模式

特权模式

参数说明

配置实例

参数

说明

<1-12>

月份

<1-31>

日期

<0-23>

小时

<0-59>

分钟

<2000-2030>

年份

设置当前的系统时间为 2005 年 12 月 12 日 12 时 12 分 SmartHammer#date 12 12 12 12 2005

1.4 dir 命令格式

dir (disk0:|flash0:)

命令功能

查看 CF 卡或者 Flash 卡的内容

命令模式

特权模式

参数说明

配置实例

参数

说明

disk0:

第一块 CF 卡上。这里 disk0 中的 0 表示 CF 卡的序号，如果系统中存在多个 CF 卡，您可以指定其他序号。一般来讲，CF 卡或者 Flash 卡都只有一块，所以序号往往就只是 0。

flash0:

第一块 Flash 卡

查看 CF 卡上的内容 SmartHammer#dir disk0:

1-3

第 1 章系统管理命令

第一部分系统命令

查看 Flash 卡上的内容 SmartHammer#dir flash0:

1.5 enable password 命令格式

enable password(8|)WORD

命令功能

使用 enable password WORD 设置进入特权模式的密码。

命令模式

配置模式

参数说明

默认状态

参数 8

后面跟着的密码是已加密后的密码

说明

WORD

enable密码

WORD 的默认值为 harbour

使用指导

不推荐使用 enable password (8|) WORD 设置 enable 密码，该命令用于设备在启动时从配置文件中读取配置，因为 8 后面跟的密码表示已加密后的密码，您将无法知道加密前的密码。

配置实例

设置进入特权模式的密码为 hammer SmartHammer(config)#enable password hammer

1.6 end 命令格式

end

命令功能

退出当前模式，返回到特权模式

命令模式

除普通模式外的任意模式

配置实例

进入全局配置模式 SmartHammer#config terminal

退出当前模式，返回到特权模式 SmartHammer(config)#end

1-4

第 1 章系统管理命令

第一部分系统命令

1.7 exit 命令格式

exit

命令功能

退出当前模式，返回到上一模式，当在普通模式下时，退出当前终端

命令模式

任意模式

配置实例

退出当前模式 SmartHammer#exit

1.8 format 命令格式

format (disk0:|flash0:)

命令功能

格式化 CF 卡或者 Flash 卡

命令模式

特权模式

参数说明

配置实例

参数

说明

disk0:

第一块 CF 卡上。这里 disk0 中的 0 表示 CF 卡的序号，如果系统中存在多个 CF 卡，您可以指定其他序号。一般来讲，CF 卡或者 Flash 卡都只有一块，所以序号往往就只是 0

flash0:

第一块 Flash 卡

格式化 CF 卡 SmartHammer#format disk0:

格式化 Flash 卡 SmartHammer#format flash0:

1.9 hostname 命令格式

{no}hostname WORD

命令功能

设置系统名称

命令模式

全局配置模式 1-5

第 1 章系统管理命令

参数说明

第一部分系统命令

参数 WORD

说明不能超过 20 个字符

使用指导

系统提示符就是系统的名称，默认情况下系统的名称为 SmartHammer，如果没有设置系统名称，系统名称也为 SmartHammer

配置实例

SmartHammer(config)#hostname SmartHammer

1.10 line tty 命令格式

line tty

命令功能

进入 TTY 配置模式

命令模式

配置模式

配置实例

SmartHammer(config)#line tty SmartHammer(config-line)#

1.11 list 命令格式

list

命令功能

查看当前命令模式下的所有命令

命令模式

任意模式

使用指导

此命令是一个帮助命令，当您不知道当前命令模式下有些什么命令时，可以使用该命令查询

配置实例

查询当前命令模式下的所有命令 SmartHammer#list

1.12 login

1-6

命令格式

{no} login

命令功能

login 配置使用用户名和密码登录， no login 配置只使用密码登录。

第 1 章系统管理命令

第一部分系统命令

缺省配置为 no login。命令模式

TTY 配置模式

使用指导

配置使用 login 方式登录（使用用户名和密码登录） SmartHammer (config-line)# login

1.13 reboot 命令格式

reboot

命令功能

重新启动系统

命令模式

特权模式

使用指导

主要在升级系统、下载配置文件后，要让新的系统程序和配置文件生效时使用。

配置实例

重新启系统 SmartHammer#reboot

1.14 password 命令格式

password (8|) WORD

命令功能

设置使用 no login（只使用密码）登录方式时进入用户模式的密码

命令模式

配置模式

参数说明

默认状态

参数 8

后面跟着的密码是已加密后的密码

说明

WORD

enable密码

WORD 的默认值为 harbour

使用指导

不推荐使用 password (8|) WORD 设置密码，该命令用于设备在启动时从配置文件中读取配置。而且因为 8 后面跟的密码表示已加密后的密码，您将无法知道加密前的密码。

配置实例

设置进入用户模式的密码为 hammer 1-7

第 1 章系统管理命令

第一部分系统命令

SmartHammer(config)#password hammer

1.15 set boot config 命令格式

set boot config WORD

命令功能

设置系统启动时的配置文件

命令模式

特权模式

参数说明

参数 WORD

说明系统重启后，指明采用哪个配置文件

使用指导

如果其他启动选项中设置了 noconfig（set boot options noconfig），则系统忽略对 set boot config 的设置，即系统始终以无配置的方式启动。

配置实例

本系统中，存放系统配置文件的地方三两个：CF 卡、Flash 卡以及 nvram，如果 CF 卡或者 Flash 卡上或者 nvram 上存放了配置文件 config，则可以如下设置系统重新启动时的配置文件： SmartHammer#set boot config disk0:config

或者 SmartHammer#set boot config flash0:config

或者 SmartHammer#set boot config nvram

这里 disk 表示 CF 卡，Flash 表示 Flash 卡，数字 0 表示第几块卡，系统一般只配备了一块 CF 卡和 Flash 卡，所以他们的序号都是 0。另外需要注意的是，nvram 是一块特殊的存储区域，我们将配置文件通过 copy SOURCEFILE startup-config 将配置文件拷贝到 nvram 中，但是并不需要指明存成什么名字，同样，指定启动时从 nvram 读取配置文件，也不需要指定配置文件名。相关命令

set boot options .OPTIONS set boot system PLACE show system boot

1.16 set boot options

1-8

命令格式

set boot options .OPTIONS

命令功能

设置系统启动时的其他启动选项

第 1 章系统管理命令

第一部分系统命令

命令模式参数说明

使用指导

特权模式参数

说明

.OPTIONS

系统重启后，将以指定参数作为其他启动选项

OPTIONS 的有效参数有： nowatchdog –无看门狗 noconfig –无配置文件 console=ttyS0 –打印启动信息，一般用作调试

配置实例

系统重启后，将以无看门狗无配置的方式启动，如果配置了 noconfig，则系统忽略对 set boot config 的设置，即系统始终以无配置的方式启动。 SmartHammer#set boot options nowatchdog noconfig

相关命令

set boot config WORD set boot system PLACE show system boot

1.17 set boot system 命令格式

set boot system PLACE

命令功能

设置系统启动时的应用程序文件

命令模式

特权模式

参数说明

参数 PLACE

说明指明系统用哪个应用程序文件启动

使用指导

本系统中，存放系统应用程序文件 hsos 的地方有两个：CF 卡和 Flash 卡

配置实例

如果 CF 卡或者 Flash 卡上存放了应用程序文件 hsos，则可以如下设置系统重新启动时的引导文件： SmartHammer#set boot system disk0:hsos

或者 SmartHammer#set boot system flash0:hsos

这里 disk 表示 CF 卡，Flash 表示 Flash 卡，数字 0 表示第几块卡，系统一般只配备了一块 1-9

第 1 章系统管理命令

第一部分系统命令

CF 卡和 Flash 卡，所以他们的序号都是 0。相关命令

set boot options .OPTIONS set boot config WORD show system boot

1.18 show ip traffic-map 命令格式

show ip traffic-map [NAME]

命令功能

显示 traffic-map 的内存使用情况

命令模式

特权模式

参数说明

参数 NAME

配置实例

说明 Traffice-map的模板名

显示 traffic-map map1 的内存使用情况 SmartHammer(config)#show ip traffic-map

1.19 show memory 命令格式

show memory (crypto|dot1x|l2tp|local|ospf|pim| portal|pppoe|proxy http |rip|vrrp|webauth)

命令功能

显示各模块使用内存情况（供高级用户分析故障使用）

命令模式

特权模式

参数说明

1-10

参数

说明

crypto

显示 ipsec 模块内存使用情况

dot1x

显示 IEEE802.1x 模块内存使用情况

l2tp

显示 l2tp 模块内存使用情况

local

显示 local 本地认证模块内存使用情况

ospf

显示 ospf 模块内存使用情况

pim

显示 pim 模块内存使用情况

portal

显示 portal 模块内存使用情况

pppoe

显示 PPPoE 模块内存使用情况

proxy http

显示 proxy http 模块内存使用情况

rip

显示 rip 模块内存使用情况

第 1 章系统管理命令

第一部分系统命令

配置实例

vrrp

显示 vrrp 模块内存使用情况

webauth

显示 webauth 模块内存使用情况

显示 PPPoE 模块内存使用情况 SmartHammer#show memory pppoe

1.20 show running-config 命令格式

show running-config

命令功能

显示当前的配置信息

命令模式

特权模式

配置实例

该命令有个别名：write terminal SmartHammer#show running-config Current configuration: hostname SmartHammer line tty login ! service password-encryption !

crypto isakmp enable crypto isakmp identity address crypto isakmp key AC-NH address 11.1.1.10 crypto isakmp key 1111 address 11.1.1.2 crypto isakmp key 1111 address 11.1.1.6 ! crypto isakmp policy 1 encryption des hash md5 group 2 lifetime 3600

1.21 show startup-config 命令格式

show startup-config

命令功能

显示系统启动时的配置信息 1-11

第 1 章系统管理命令

第一部分系统命令

命令模式

特权模式

配置实例

显示启动配置信息 SmartHammer#show startup-config Current configuration: hostname SmartHammer line tty login ! service password-encryption ! crypto isakmp enable crypto isakmp identity address crypto isakmp key AC-NH address 11.1.1.10 crypto isakmp key 1111 address 11.1.1.2 crypto isakmp key 1111 address 11.1.1.6 ! crypto isakmp policy 1 encryption des hash md5 group 2 lifetime 3600

1.22 terminal monitor 命令格式

{no}terminal monitor

命令功能

配置 log 到 console 后，将日志信息输出到输出到操作者所在的终端

命令模式

特权模式

使用指导

可以在 console 终端和 telnet 终端、ssh 终端上使用该命令，将日志信息或者 debug 信息显示出来

配置实例

配置 PPPoE 大于等于 warning 的日志信息到 console 上 SmartHammer(config)#log pppoe console upto warning

在 telnet 或者 ssh 终端上使用如下命令，将在该终端上显示 PPPoE 日志信息 SmartHammer#terminal monitor

1-12

第 1 章系统管理命令

第一部分系统命令

提示

1。console 所表示的控制终端是用串口相连的终端，即配置日志记录地方为 console 时，相应的日志信息只会通过串口输出到对应的终端上，如果您是通过 telnet 或者 ssh 进入系统的，您不能在终端上看到日志输出信息，如果您要看到相应的信息，需要执行命令 terminal monitor。 2．terminal monitor 将 log 到 console 或者 debug 信息显示到操作员所在的终端，如果没有配置日志信息记录的地方为 console 或者删除了对应的配置项，也没有 debug 信息，则 terminal monitor 配置后仍然不会有对应的日志信息显示。 3．默认情况下，通过串口登录的终端，terminal monitor 已经打开，即日志信息可以输出到串口，而 telnet 或者 ssh 终端，terminal monitor 默认关闭，即日志信息可以不输出到 telnet 或者 ssh 终端。

相关命令

log debug

1.23 terminal speed 命令格式

terminal speed (1200|2400|4800|9600|19200|38400|57600|115200|)

命令功能

更改 SmartHammer 设备的终端速率，慎用

命令模式

特权模式

参数说明

使用指导

参数

说明

1200

终端速率更改为 1200 字节/秒

2400

终端速率更改为 2400 字节/秒

4800

终端速率更改为 4800 字节/秒

9600

终端速率更改为 9600 字节/秒

19200

终端速率更改为 19200 字节/秒

38400

终端速率更改为 38400 字节/秒

57600

终端速率更改为 57600 字节/秒

115200

终端速率更改为 115200 字节/秒

默认情况下，终端速率为 9600BPS，通常操作员不应该更改终端速率。该操作主要用在使用 zmodem 协议下载 hsos 时，这样可以加快执行的速度。

1-13

第 1 章系统管理命令

第一部分系统命令

1。更改了系统的速率，你必须同时更改更改客户机的速率（比如超级终端），两者必须一样，才能通过串口操作系统。提示

配置实例

2．如果为了通过 zmodem 协议升级系统而更改了系统速率和客户机速率，必须在重起系统前将速率改回 9600，因为系统重起后又恢复到 9600，如果客户机保持更改后的速率，则不能建立连接。

更改 SmartHammer 设备的终端速率为 115200 SmartHammer#terminal speed 115200

1.24 who 命令格式

who

命令功能

命令显示当前有哪些操作员登录进系统

命令模式

特权模式

配置实例

显示当前的操作员用户信息 SmartHammer#who User admin *

From

Graphic

console

guest1

A.B.C.D

guest2

A.B.C.D

yes

以上结果表示目前有三个操作员在线上，他们都是通过 login 方式进入系统的），其中一个由 console 口接入，一个（就是自己）是从 A.B.C.D 使用 telnet 或 SSH 连接到系统，另外一个用户使用图形化界面登录。

1.25 write erase 命令格式

write erase

命令功能

删除系统启动配置文件

命令模式

特权模式

配置实例

删除配置信息 SmartHammer#write erase

该命令必须重起系统后才有效 1-14

第 1 章系统管理命令

第一部分系统命令

1.26 write file 命令格式

write file

命令功能

保存配置文件

命令模式

特权模式

使用指导

该命令有两个别名： write memory 和 copy running-config startup-config

配置实例

保存配置文件 SmartHammer#write file

1.27 write memory 命令格式

write memory

命令功能

保存配置文件

命令模式

特权模式

使用指导

该命令有两个别名： write file 和 copy running-config startup-config

配置实例

保存配置文件 SmartHammer#write memory

1.28 write terminal 命令格式

write terminal

命令功能

显示当前的配置信息

命令模式

特权模式

使用指导

该命令有个别名：show running-config

1-15

第 1 章系统管理命令

配置实例

第一部分系统命令

显示当前的配置信息 SmartHammer#write terminal Current configuration: hostname SmartHammer line tty login ! service password-encryption ! service telnet log memsize 100 log all memory upto informational crypto isakmp enable crypto isakmp identity address crypto isakmp key AC-NH address 11.1.1.10 crypto isakmp key 1111 address 11.1.1.2 crypto isakmp key 1111 address 11.1.1.6 ! crypto isakmp policy 1 encryption des hash md5 group 2 lifetime 3600

1.29 configure memory 命令格式

configure memory

命令功能

重新分发配置文件里的配置

命令模式

特权模式

使用指导

该命令有个别名主要用在以无配置启动时（比如忘记登录密码），重新分发配置

配置实例

重新分发配置信息 SmartHammer#configure memory

1-16

第 2 章系统引导命令

第一部分系统命令

2

第2章

系统引导命令

2.1 boot 命令格式

boot

命令功能

加载通过HSOS_IMAGE环境变量指定的设备和文件名，并直接引导。

命令模式

特权模式

使用指导

SmartHammer>boot

2.2 load 命令格式

load〔options〕device-name:file-name

命令功能

加载系统通过配置指定的设备和文件名，但不引导系统，如果是加载压缩文件请使用-z 选项。或加载 SYSINFO 文件通过配置指定的设备和文件名，如果是加载 SYSINFO 文件请使用-raw 选项。设备名，CF 卡为 disk0，flash 为 flash0。特别注意如果是网络接口请使用该网络接口的 IP 地址作为设备名。

命令模式

特权模式

参数说明

配置实例

参数

说明

－Z

加载压缩的文件

－raw

加载 SYSINFO 文件

SmartHammer>load －z disk0:hsos.img

加载 CF 卡上的压缩文件 hsos.img SmartHammer> load －z flash0:hsos.img

2-1

第 2 章系统引导命令

第一部分系统命令

加载 flash 上的压缩文件 hsos.img SmartHammer> load 192.168.100.18:hsos

加载 192.168.100.18 机器上的非压缩文件 hsos。 Harbour> load －raw 192.168.100.18:sysinfo

加载 192.168.100.18 机上的 SYSINFO 文件 sysinfo。

2.3 go 命令格式

go

命令功能

引导通过 load 命令加载的主机软件。

命令模式

特权模式

命令格式

help

命令功能

显示 CFE 下的命令信息。

命令模式

特权模式

配置实例

SmartHammer>help

2.4 help

2.5 ifconfig 命令格式

ifconfig device 〔options〕

命令功能

配置指定的网络接口。该命令可以配置 MAC 地址，子网掩码，IP 地址等， device 指以太网的设备名。特别注意在 M504 下，eth0 和 eth1 只能配置硬件的 MAC 地址。

命令模式

特权模式

参数说明

2-2

参数

说明

－hwaddr＝xx:xx:xx:xx:xx:xx

指定该网络接口的MAC地址

－addr ＝a.d.c.d

指定该网络接口的IP地址

第 2 章系统引导命令

第一部分系统命令

配置实例

－mask ＝a.b.c.d

指定该网络接口的子网掩码

－gw ＝a.b.c.d

指定该网络接口的缺省网关

－domain ＝string

-domain=string 替DNS的请求指定一个域名 (举例，“Harbournetworks.com”)

－dns = a.b.c.d

指定接口的DNS服务器

Ifconfig eth0 －hwaddr ＝ 00:08:0c:09:13:01 设置 eth0 的 mac 地址为 00：08： 0c：09：13：01 Ifconfig eth0 －addr ＝ 192.168.100.18 设置 eth0 的 IP 地址为 192.168.100.18

2.6 ping 命令格式

ping

命令功能

发送 ICMP echo 消息到指定的主机同时等待一个应答。

命令模式

特权模式

配置实例

SmartHammer> ping

2.7 printenv 命令格式

printenv

命令功能

显示当前的环境变量列表和各个环境变量的值

命令模式

特权模式

2.8 reset 命令格式

reset

命令功能

重新启动系统

命令模式

特权模式

2.9 set console 命令格式

set console device

2-3

第 2 章系统引导命令

第一部分系统命令

命令功能

改变 CFE 的 console 到指定的设备

命令模式

特权模式

使用指导

一般用该命令测试另外 UART 是否可用。 SmartHammer> set console uart1

2.10 set time 命令格式

set time time

命令功能

设置系统的年月日时分妙格式为 hh：mm：ss：mm：dd：yyyy

命令模式

特权模式

使用指导

设置当前时间为 2006 年 4 月 5 号 1 小时 2 分 3 秒 SmartHammer>set time 01:02:03:04:05:2006

2.11 setenv 命令格式

setenv varname value

命令功能

设置系统启动时的环境变量

命令模式

特权模式

使用指导

本系统中，只有 HSOS_OPTIONS、HSOS_CONFIG 以及 HSOS_IMAGE 三个游泳的环境变量需要使用 setenv 设置，其它和网口有关的环境变量请使用 ifconfig 进行设置。

配置实例

SmartHammer> setenv HSOS_IMAGE “disk0：hsos.Img”

2.12 show devices

2-4

命令格式

show devices

命令功能

设置系统启动时的应用程序文件

命令模式

特权模式

第 2 章系统引导命令

第一部分系统命令

使用指导

显示在 CFE 中已经配置了的驱动设备列表

2.13 show time 命令格式

show time

命令功能

显示系统当前的时间

命令模式

特权模式

2.14 test cpld 命令格式

test cpld

命令功能

检测 CPLD 设备是否完好

命令模式

特权模式

2.15 test disk disk0 命令格式

test disk disk0

命令功能

检测 CF 卡设备是否完好

命令模式

特权模式

配置实例

SmartHammer> test disk disk0

2.16 test fatfs 命令格式

test fatfs device

命令功能

测试设备是否有文件系统，且查看里面的内容。

命令模式

特权模式

使用指导

查看 CF 卡（device=disk0）或者 Flash（device=flash0）里面的内容 2-5

第 2 章系统引导命令

第一部分系统命令

SmartHammer> test fatfs disk0 查看 disk0 里面保存的文件。

2.17 test flash 命令格式

test flash

命令功能

检测 FLASH 设备是否完好。

命令模式

特权模式

使用指导

用于出厂是自检，谨慎使用。

配置实例

SmartHammer> test flash

2.18 test nvram 命令格式

test nvram

命令功能

检测 NVRAM 设备是否完好

命令模式

特权模式

使用指导

用于出厂是自检，谨慎使用

配置实例

SmartHammer> test nvram

2.19 test pci

2-6

命令格式

test pci

命令功能

测试 pci 设备是否完好

命令模式

特权模式

配置实例

SmartHammer> test pci

第 2 章系统引导命令

第一部分系统命令

2.20 test sdram 命令格式

test sdram

命令功能

测试 sdram 设备是否完好

命令模式

特权模式

配置实例

SmartHammer> test sdram

2-7

第 3 章 SNMP 命令

第一部分系统命令

3

第3章

SNMP 命令

3.1 community 命令格式

community WORD [ro] no community WORD

命令功能

设置 community 只读（ro）访问权限。使用 no community WORD 可以删除已设置的访问权限

命令模式

SNMP 配置模式

参数说明

参数

说明

WORD

访问权限字符串

[ro]

设置只读访问权限

默认状态

只读访问权限为 public

使用指导

只读的 community 只能对设备信息进行查询

配置实例

设置 community 只读访问权限为 public SmartHammer(config -snmp)# community public

相关命令

community WORD rw

3.2 community rw 命令格式

community WORD rw no community WORD

命令功能

设置 community 读写（rw）访问权限。使用 no community WORD 可以删除已设置的访问权限

命令模式

SNMP 配置模式

3-1

第 3 章 SNMP 命令

参数说明

第一部分系统命令

参数 WORD

说明访问权限字符串

默认状态

读写访问权限为 private

使用指导

读写的 community 能对设备进行查询和配置

配置实例

设置 community 读写访问权限为 private SmartHammer(config -snmp)# community private rw

相关命令

community WORD [ro]

3.3 snmp-server 命令格式

{no}snmp-server

命令功能

进入 SNMP 配置节点。使用 no snmp-server 命令将删除所有 snmp 配置。

命令模式

配置模式

配置实例

进入 SNMP 配置节点 SmartHammer(config)#snmp-server

3.4 trap-community 命令格式

trap-community WORD no trap-community

命令功能

设置 trap 的访问权限。使用 no trap-community 命令将取消对 trap 访问权限的配置。

命令模式

SNMP 配置模式

参数说明

参数 WORD

3-2

说明 trap community 访问权限

默认状态

trap community 访问权限为 public

配置实例

设置 trap community 访问权限为 public

第 3 章 SNMP 命令

第一部分系统命令

SmartHammer(config -snmp)# trap-community public

相关命令

trap-host A.B.C.D

3.5 trap-host 命令格式

trap-host A.B.C.D no trap-host

命令功能

设置接收 trap 的目的主机的 IP 地址。使用 no trap-community 命令将取消对接收 trap 的目的主机的 IP 地址的配置。

命令模式

SNMP 配置模式

参数说明

参数 A.B.C.D

配置实例

说明 IP 地址

设置接收 trap 的目的主机的 IP 地址为 192.168.19.191 SmartHammer(config-snmp)# trap-host 192.168.19.191

相关命令

trap-community WORD

3-3

第 4 章系统监控与诊断命令

4

第一部分系统命令

第4章

系统监控与诊断命令

4.1 ping 命令格式

ping WORD

命令功能

测试网络的连通性

命令模式

特权模式

参数说明

参数 WORD

配置实例

说明目的主机的 ip 地址

测试系统与 192.168.0.6 主机的连通性 SmartHammer#ping 192.168.0.6

相关命令

traceroute

4.2 show system 命令格式

show system (boot|cmdline|cpuinfo|date|meminfo|service|slabinfo|uptime)

命令功能

显示系统的一些基本信息

命令模式

特权模式

参数说明

4-2

参数

说明

boot

显示系统的启动参数

cmdline

显示命令行的情况

cpuinfo

显示系统的 cpu 运行状况

date

显示当前的日期

meminfo

显示系统的内存使用情况

service

显示系统提供的服务

slabinfo

显示模块内存情况

第 4 章系统监控与诊断命令

第一部分系统命令

显示系统连续运行的时间

uptime

配置实例

显示系统的启动参数 SmartHammer#show system boot HSOS_IMAGE

disk0:hsos2059

HSOS_CONFIG

nvram

HSOS_OPTIONS

nowatchdog

表示系统以第一块 cf 卡上的 hsos2059 应用程序文件启动，从 nvram 读取配置信息，系统以无看门狗方式运行显示系统提供的服务 SmartHammer#show system service Service

On/Off

Telnet

on

SSH

on

表示系统提供了两种服务：telnet 和 ssh，这两种服务都已经打开，说明您可以通过 telnet 和 ssh 登录系统显示系统的内存使用情况 SmartHammer#show system meminfo total: Mem:

used:

free:

shared: buffers:

1053356032 139894784 913461248

Swap: MemTotal: MemFree:

0

0

0

892052 kB 0 kB

Buffers:

392 kB

SwapCached: Active: Inactive: HighTotal:

cached:

401408 77529088

1028668 kB

MemShared: Cached:

0

75712 kB 0 kB 3260 kB 119304 kB 131072 kB

HighFree:

69500 kB

LowTotal:

897596 kB

LowFree:

822552 kB

SwapTotal:

0 kB

SwapFree:

0 kB

可以看到系统当前的内存使用情况，如果要了解某个模块使用的内存，请使用命令 show memory

4-3

第 4 章系统监控与诊断命令

第一部分系统命令

4.3 show cpu-usage 命令格式

show cpu-usage

命令功能

查看系统的 cpu 利用率信息

命令模式

特权模式

配置实例

查看系统的 cpu 利用率信息 SmartHammer#show cpu-usage CPU usage statics: Recent 1 sec:

average 0.00%

Recent 5 sec:

average 1.27%

Recent 1 min:

average 1.36%

分别表示最近 1 秒钟、5 秒钟、1 分钟 cpu 的利用率

4.4 show memory-usage 命令格式

show memory-usage

命令功能

查看系统的内存利用率信息

命令模式

特权模式

配置实例

查看系统的内存利用率信息 SmartHammerG503# show memory-usage Memory usage statics: Total memory:

1010434048

Used memory:

147058688

Free memory:

863375360

Usage:

14.55%

表示当前系统可用内存为：1010434048 字节，已经使用的内存为： 863375360，使用了 14.55%，对于内存使用情况，show system meminfo 反映的信息更为详细相关命令

4-4

show system meminfo

第 4 章系统监控与诊断命令

第一部分系统命令

4.5 show version 命令格式

show version

命令功能

查看系统的版本信息

命令模式

特权模式

配置实例

查看系统的版本信息 SmartHammer#show version Harbour OS KIDA_1.3_2059 Build 2059 at Tue Jan 13 16:45:23 EST 2004. Copyright (c) Harbour Networks Limited All rights reserved.

可以看到当前的系统版本是第 3 版，build 号是 2059，编译时间是 2004 年 1 月 13 号星期二下午 4 点。

4.6 traceroute 命令格式

traceroute WORD

命令功能

测试网络的连通性，获取到达某一目的网络的路径

命令模式

普通模式和特权模式

参数说明

参数 WORD

配置实例

说明目的网络的 ip 地址

测试系统与 192.168.0.6 主机的连通性 SmartHammer#traceroute 192.168.0.6

相关命令

ping

4-5

第 5 章统日志命令

第一部分系统命令

5

第5章

统日志命令

5.1 log DAEMON LOCATION MASKPRI PRIORITY 命令格式

{no}log (all|aaam|acl|arp|bgp|bridge|cli|crypto|dhcp|dot1x|gre|inspect|l2tp |nat|netflow|nsm|policy|portal|ppp|pppoe|qos|urlf|vrrp|vlan|webauth |packet) (A.B.C.D|memory|console)(upto|only|except)(emergencies|alerts|criti cal|errors|warnings|notifications|informational)

命令功能

记录某一（全部）模块的日志信息

命令模式

全局配置模式

参数说明

配置实例

参数

说明

all aaam 等

所有模块

A.B.C.D

将日志记录到日志服务器的 ip 地址

memory

将日志记录到系统内存

console

将日志记录到控制终端

upto

记录大于等于指定级别的日志信息

only

记录等于指定级别的日志信息

except

记录不等于指定级别的日志信息

emergencies

日志级别：0（最高）

alerts

日志级别：1

critical

日志级别：2

errors

日志级别：3

warnings

日志级别：4

notifications

日志级别：5

informational

日志级别：6

aaam 等模块

将 pppoe 模块等于优先级 informational 的日志信息记录到系统内存 5-1

第 5 章统日志命令

第一部分系统命令

SmartHammer(config)#log pppoe memory only informational SmartHammer(config)#log all 192.168.0.1 upto informational

将所有模块大于等于优先级 informational 的日志信息记录到日志服务器 192.168.0.1 informational 的优先级最低，这其实表示了系统将记录最为广泛的日志信息。

5.2 log memsize 命令格式

log

memsize

<1-10000>

no log memsize

命令功能

设置记录日志信息的系统内存的大小

命令模式

全局配置模式

参数说明

参数

说明

<1-10000>

系统内存大小，单位为 K 字节

默认状态

记录日志的内存默认为 1K 字节

配置实例

设置记录日志信息的系统内存大小为 10K SmartHammer(config)#log memsize 10

5.3 show logmemory 命令格式

show logmemory

命令功能

显示系统内存中记录的日志信息

命令模式

特权模式

使用指导

必须先配置某个模块的记录地方为系统内存，本条命令才有意义

配置实例

将 cli 模块大于等于优先级 informational 的日志信息记录到系统内存 SmartHammer(config)#log cli memory only informational

显示系统内存中记录的日志信息 SmartHammer#show logmemory

5-2

第 5 章统日志命令

第一部分系统命令

Jan 17 18:54:49 Router vtysh[380]: command line(192.168.0.192): end Jan 17 18:54:50 Router vtysh[380]: command line(192.168.0.192): wr t Jan 17 18:54:54 Router vtysh[380]: command line(192.168.0.192): show logmemory

5.4 log DAEMON ratelimit <1-15> 命令格式

{no}log (all|aaam|acl|arp|bgp|bridge|cli|crypto|dhcp|dot1x|gre|inspect|l2tp |nat|netflow|nsm|policy|portal|ppp|pppoe|qos|urlf|vrrp|vlan|webauth |packet) ratelimit <1-15>

命令功能

设置某一（全部）模块的日志信息

命令模式

全局配置模式

使用指导

只有在有持续大量的日志情况下，才会表现出多少秒钟记录一次日志，在少量或者突发情况下，ratelimit 不会限制速率

参数说明

参数

说明

all aaam 等

所有模块

ratelimit

速率限制

<1-15>

速率限制的具体值，表示多少秒一次

aaam 等模块

默认状态

没有速率限制

配置实例

将 pppoe 模块的速率限制到 5 秒钟一次 SmartHammer(config)#log pppoe ratelimit 5

相关命令

debug DAEMON ratelimit <1-15>

5-3

第 6 章以太网接口命令

第一部分系统命令

6

第6章

以太网接口命令

6.1 auto 命令格式

auto (on|off)

命令功能

启用或者禁止端口的自协商功能

命令模式

以太网接口配置模式

参数说明

参数

说明

on

启用端口的自协商功能

off

禁止端口的自协商功能

默认状态

on，即默认状态下，端口的自协商功能打开

使用指导

当端口工作在自协商模式下时，不能配置端口参数（如速率、双工状态等），如果需要手工配置端口参数，则必须禁止端口的自协商功能。另外，不能配置光口为 auto off，即光口都是 auto on 的。

配置实例

禁止端口的自协商功能 SmartHammer(config-if)#auto off

6.2 duplex 命令格式

duplex (full|half) no duplex

命令功能

设置端口工作在全双工或者半双工模式下

命令模式

以太网接口配置模式

参数说明

参数

说明

full

设置端口工作在全双工模式下

half

设置端口工作在半双工模式下 6-1

第 6 章以太网接口命令

配置实例

第一部分系统命令

指定某个接口工作在全双工模式下 SmartHammer(config-if)#duplex full

6.3 ip address 命令格式

{no}ip address A.B.C.D/M

命令功能

设置某一接口的 ip 地址

命令模式

以太网接口配置模式

参数说明

参数 A.B.C.D/M

说明某一接口的 ip 地址和掩码长度

使用指导

只有配置了接口的 ip 地址，该接口才实际可用

配置实例

进入太网接口配置模式 SmartHammer(config)#interface ge0

设置 ge0 接口的 ip 地址为 192.168.0.1，掩码长度为 16，即掩码为 255.255.0.0 SmartHammer(config-if)#ip address 192.168.0.1/16

6.4 shutdown 命令格式

{no}shutdown

命令功能

关闭端口

命令模式

以太网接口配置模式

使用指导

端口关闭后将不再收发数据，主要用于系统故障的发现和诊断，但是通常情况下不需要这样做。

配置实例

进入以太网接口配置模式 SmartHammer(config)#interface ge0

关闭 ge0 端口 SmartHammer(config-if)#shutdown

6-2

第 6 章以太网接口命令

第一部分系统命令

6.5 speed 命令格式

speed (10|100) no speed

命令功能

设置端口速率

命令模式

以太网接口配置模式

参数说明

参数

说明

10

端口速率为 10Mbps

100

端口速率为 100Mbps

默认状态

100Mbps

配置实例

设置某一端口的速率为 100Mbps SmartHammer(config-if)#speed 100

6-3

第 7 章 GRE 接口命令

第一部分系统命令

7

第7章

GRE 接口命令

7.1 destination 命令格式

{no} destination A.B.C.D

命令功能

配置 GRE 对端物理接口 IP 地址

命令模式

配置模式

参数说明

参数 A.B.C.D

说明 GRE对端物理接口IP

使用指导

GRE 对端物理接口 IP 地址是 GRE 隧道通信的对端

配置实例

设置 GRE 对端物理接口 IP，使用以下命令： SmartHammer(config-if)#destination 1.1.1.1 SmartHammer(config-if)#

7.2 interface gre 命令格式

{no} interface gre<0-1023>

命令功能

本节讲述针对 GRE 端口的配置选项

命令模式

配置模式

参数说明

参数 <0-1023>

默认状态

说明 GRE端口编号

接口不存在

7-1

第 7 章 GRE 接口命令

第一部分系统命令

使用指导

本节讲述针 GRE 端口的配置选项, 使用 GRE 协议与对端路由器或防火墙设备建立虚拟的、点对点通信。GRE 是第三层的隧道协议，它利用一种协议的传输能力为另一种协议建立了点到点的隧道，被封装的报文将在隧道的两端进行封装和解封

配置实例

创建和配置 gre0，使用以下命令： SmartHammer(config)#interface gre0 SmartHammer(config-if)#

7.3 key 命令格式

{no} key <1-1023>

命令功能

配置隧道的标识 key

命令模式

配置模式

参数说明

参数 <1-1023>

说明隧道的标识key范围

使用指导

GRE 隧道的 KEY 值用于区分不同的隧道，系统自动为隧道分配初始值为 0 的默认值

配置实例

配置隧道 gre0 的 key 为 10,使用以下命令: SmartHammer(config)#interface gre0 SmartHammer(config-if)#key 10

7.4 source 命令格式

{no} source (A.B.C.D|IFNAME)

命令功能

绑定 GRE 接口到物理接口

命令模式

配置模式

参数说明

使用指导 7-2

参数

说明

要绑定的接口的名称

要绑定的接口的IP地址

可以绑定物理接口和 loopback 虚拟接口

第 7 章 GRE 接口命令

第一部分系统命令

配置实例

设置绑定 ge0，使用以下命令： SmartHammer(config-if)#source ge0 SmartHammer(config-if)#

7-3

第 8 章 VLAN 接口命令

第一部分系统命令

8

第8章

VLAN 接口命令

8.1 debug vlan 命令格式

{no}debug vlan [(recv|send)]

命令功能

实现对从 VLAN 接口接收和发送报文的调试。由于 debug 命令会在命令行上打印大量信息，占用很多 CPU 资源，因此强烈建议用户，当调试结束时，一定要用 no debug vlan 命令禁用此功能。

命令模式

特权模式

参数说明

参数 recv

说明

send

调试从VLAN接口发送报文问题

调试从VLAN接口接收报文问题

使用指导

您可以使用 debug vlan 指令调试所有与 VLAN 接口报文接收相关问题。

配置实例

SmartHammer#debug vlan

8.2 interface IFNAME .VID 命令格式

{no} interface IFNAME.VID

命令功能

创建以太网接口 IFNAME 的子接口，并在该子接口上使用 VLAN 封装， VLAN ID 为 VID。使用 no interface IFNAME.VID 可以删除已创建的 VLAN 子接口。

命令模式

配置模式

参数说明

参数 IFNAME

说明

VID

VLAN ID

物理以太网接口名

8-1

第 8 章 VLAN 接口命令

使用指导

第一部分系统命令

如果要让 SmartHammer 设备识别带 VLAN 标识的包，需要创建一个以太网子接口，并且为其指定一个 VLAN ID，则可以通过该子接口接收/转发带 VLAN 标识的包。 SmartHammer 设备的 VLAN ID 值的范围是 1-4094。

当该以太网接口已加入网桥，则不能创建 VLAN 子接口提示

配置实例

创建物理接口 ge0 的 VLAN 子接口，VLAN ID 为 20： SmartHammer(config)#interface ge0.20 SmartHammer(config-if)#

8-2

第 9 章 LoopBack 接口命令

第一部分系统命令

9

第9章

LoopBack 接口命令

9.1 duplex 命令格式

duplex (full|half) no duplex

命令功能

设置端口工作在全双工或者半双工模式下

命令模式

LoopBack 接口配置模式

参数说明

使用指导

参数 full

说明设置端口工作在全双工模式下

half

设置端口工作在半双工模式下

指定某个接口工作在全双工模式下 SmartHammer(config-if)#duplex full

9.2 interface lo 命令格式

{no} interface loNUM

命令功能

Loopback 接口是 SmartHammer 中由软件实现的环回接口，它是 SmartHammer 中应用广泛的一种虚拟接口，通常用于测试及管理的作用

命令模式

配置模式

参数说明

参数 NUM

说明 LoopBack接口编号

默认状态

只有一个名为 lo 的 LoopBack 接口

使用指导

LoopBack 接口可以手工创建多个，dhcp 服务器给 pppoe 用户分配 ip 地址就需要配置 LoopBack 接口，详细说明请参考 DHCP 有关章节

9-1

第 9 章 LoopBack 接口命令

配置实例

第一部分系统命令

创建 LoopBack 接口 lo1, SmartHammer(config)#interface lo1

9.3 ip address secondary 命令格式

{no}ip address A.B.C.D/M secondary

命令功能

为指定的接口配置第二个 IP 地址

命令模式

LoopBack 接口配置模式

参数说明

参数

说明

A.B.C.D/M 使用指导

可以给接口配置第二个 IP 地址，接口的第二个 IP 地址与其主 IP 地址功能一样，SmartHammer 内置的 PPPoE 服务器可以通过内置的 DHCP 服务器获得地址，此时必须正确配置 LoopBack 接口的第二个 IP 地址

配置实例

配置 LoopBack 接口 lo 的第二个 IP 地址为 172.1.20.1/24,使用以下命令： SmartHammer(config)#interface lo SmartHammer(config-if)#ip address 172.1.20.1/24 secondary SmartHammer(config-if)#exit

9.4 speed 命令格式

speed (10|100) no speed

命令功能

设置端口速率

命令模式

LoopBack 接口配置模式

参数说明

9-2

参数 10

说明端口速率为 10Mbps

100

端口速率为 100Mbps

默认状态

100Mbps

配置实例

端口速率设置为 100Mbps

第 9 章 LoopBack 接口命令

第一部分系统命令

SmartHammer(config-if)#speed 100

9-3

第 10 章透明桥命令

第一部分系统命令

10

第10章

透明桥命令

10.1 debug bridge 命令格式

{no}debug bridge [(recv|send)]

命令功能

实现对从网桥接收和发送报文的调试，以及网桥其他工作情况的调试。

由于 debug 命令会在命令行上打印大量信息，占用很多 CPU 资源，因此强烈建议用户，当调试结束时，一定要用 no debug bridge 命令禁用此功能。命令模式参数说明

特权模式参数 recv

说明

send

调试从网桥发送报文问题

调试从网桥接收报文问题

使用指导

您可以使用 debug bridge 指令调试所有与网桥接口报文接收相关问题。

配置实例

SmartHammer#debug bridge

10.2 show bridge 命令格式

show bridge [NUM]

命令功能

显示网桥（组）信息

命令模式

特权模式

参数说明

参数 NUM

配置实例

说明网桥组号，例如网桥组bvi10的组号为10

显示网桥组 bvi20 的信息 SmartHammer#show bridge 20

10-1

第 10 章透明桥命令

第一部分系统命令

10.3 show bridge-group 命令格式

show bridge-group [NUM]

命令功能

显示网桥（组）中各端口的信息

命令模式

特权模式

参数说明

参数 NUM

配置实例

说明网桥组号，例如网桥组bvi10的组号为10

显示网桥组 bvi20 中各端口的信息 SmartHammer#show bridge-group 20

10.4 show bridge-fdb 命令格式

show bridg- fdb [NUM]

命令功能

显示网桥（组）的 FDB 信息

命令模式

特权模式

参数说明

参数 NUM

配置实例

说明网桥组号，例如网桥组bvi10的组号为10

显示网桥组 bvi10 的 FDB 信息 SmartHammer#show bridge-fdb bvi10

10.5 interface IFNAME

10-2

命令格式

{no} interface IFNAME

命令功能

创建网桥（组）。使用 no interface IFNAME 可以删除已创建的网桥（组）

命令模式

配置模式

第 10 章透明桥命令

第一部分系统命令

参数说明

配置实例

参数 IFNAME

说明网桥（组）名，以bvi开头，后面添加从0到255 的数字，代表从0到255的网桥

创建网桥（组）bvi10 ： SmartHammer(config)#interface bvi10 SmartHammer(config-if)#

相关命令

bridge-group <0-255>

1）将一个端口加入一个网桥组时该端口的所有 IP 地址将被删除。提示

2）以太网主接口和子接口（VLAN 接口）不能同时属于同一个网桥组。 3）以太网主接口和子接口（VLAN 接口）不能同时属于不同的网桥组。 4）一个网桥组中最多只能加入 254 个端口。

10.6 bridge-group 命令格式

{no}bridge-group <0-255>

命令功能

将物理以太网接口或虚拟接口加入一个特定的网桥组，no bridge-group 将从特定的网桥组中剥离该接口

命令模式

以太网接口模式

参数说明

配置实例

参数 <0-255>

说明网桥组组号（即BVI接口号）

将接口 ge0 加入网桥组 10 SmartHammer(config)#interface ge0 SmartHammer(config-if)#bridge-group 10

1）将一个端口加入一个网桥组时该端口的所有 IP 地址将被删除。提示

2）以太网主接口和子接口（VLAN 接口）不能同时属于同一个网桥组。 3）以太网主接口和子接口（VLAN 接口）不能同时属于不同的网桥组。 4）一个网桥组中最多只能加入 254 个端口。 10-3

第 10 章透明桥命令

第一部分系统命令

10.7 bridge-group priority 命令格式

bridge-group priority <0-65535> no bridge-group priority

命令功能

如果网桥组端口优先级。使用 no bridge-group priority 可以取消对网桥组端口优先级的设置，使其恢复到缺省配置。

命令模式

以太网接口模式

参数说明

参数 <0-65535>

说明网桥组端口的优先级

默认状态

32768

使用指导

网桥组端口的 ID 由两部分组成：1 字节的优先级和 1 字节的端口号。当网桥有两个端口都连接在 LAN 上从而形成回路时，可以通过网桥端口 ID 来影响端口的选择，ID 越小的端口越有可能成为指定端口。因此，如果网桥端口的优先级越小，则网桥端口的 ID 越小，越有可能成为指定端口。

配置实例

设置已加入网桥（组）的以太网接口 ge0 的优先级为 10000 SmartHammer(config)#interface ge0 SmartHammer(config-if)#bridge-group priority 10000

10.8 bridge priority 命令格式

bridge priority <0-65535> no bridge priority

命令功能

设置网桥（组）的优先级，使用使用 no bridge priority 可以取消对网桥（组）优先级的设置，使其恢复到缺省配置。

命令模式

BVI 接口模式

参数说明

参数 <0-65535>

默认状态

10-4

32768

说明网桥优先级

第 10 章透明桥命令

第一部分系统命令

使用指导

网桥的 ID 由网桥优先级和网桥 MAC 地址组成。网桥优先级是一个 2 字节的值，可以影响根网桥以及指定网桥的选择。它是桥 ID 中的最高位。数字越小，说明该网桥越有可能成为根网桥。

配置实例

设置网桥（组）bvi10 的优先级为 64000 SmartHammer(config)#interface bvi10 SmartHammer(config-if)#bridge priority 64000

10-5

第 11 章 ARP 和代理 ARP 命令

第一部分系统命令

11

第11章

ARP 和代理 ARP 命令

11.1 debug arp 命令格式

{no}debug arp [(recv|send)]

命令功能

实现对接收和发送 ARP 报文的调试。由于 debug 命令会在命令行上打印大量信息，占用很多 CPU 资源，因此强烈建议用户，当调试结束时，一定要用 no debug arp 命令禁用此功能。

命令模式

特权配置模式

参数说明

参数 recv

说明

send

调试发送ARP报文问题

调试接收ARP报文问题

使用指导

可以使用 debug arp 指令调试所有与 ARP 相关问题。

配置实例

实现对接收和发送 ARP 报文的调试。 SmartHammer#debug arp

11.2 ip arp A.B.C.D xx:xx:xx:xx:xx:xx 命令格式

{no} ip arp A.B.C.D xx:xx:xx:xx:xx:xx

命令功能

添加静态 ARP。使用 no ip arp A.B.C.D [xx:xx:xx:xx:xx:xx]命令可以删除已添加的静态 ARP

命令模式参数说明

全局配置模式参数

说明

A.B.C.D

要添加静态 ARP 的 IP 地址

xx:xx:xx:xx:xx:xx

要添加静态 ARP 的 MAC 地址

11-1

第 11 章 ARP 和代理 ARP 命令

配置实例

第一部分系统命令

添加静态 ARP，IP 地址为 192.168.0.191，MAC 地址为 00-10-dc-4e-a8-41 SmartHammer（config）# ip arp 192.168.0.191 00:10:dc:4e:a8:41

11.3 ip proxy-arp 命令格式

ip proxy-arp

命令功能

在接口下启动代理 ARP 功能

命令模式

以太网接口模式、VLAN 接口模式

默认状态

不启用代理 ARP 功能

配置实例

在以太网接口 ge0 上启动代理 ARP 功能 SmartHammer(config)#interface ge0 SmartHammer(config-if)#ip proxy-arp

11.4 ip arp queue-len 命令格式

ip arp queue-len <0-10>

命令功能

设置在 ARP 被解析前，该 ARP 队列中保留的数据包个数。

命令模式

以太网接口模式、VLAN 接口模式

参数说明

参数 <0-10>

说明 ARP 队列中保留的数据包个数

默认状态

3

使用指导

在 ARP 被解析前，数据包无法被正常转发，因此在该 ARP 队列中可以保留一定数量的数据包，当 ARP 被解析后，将这些数据包正常转发。并不是 ARP 队列越大越好，ARP 队列越大，当受到 ARP 攻击时，系统中保留的数据包越多，占用系统资源就越多。

配置实例

设置在 ARP 被解析前，该 ARP 队列中只保留 1 个数据包 SmartHammer(config-if)#ip arp queue-len 1

11-2

第 11 章 ARP 和代理 ARP 命令

第一部分系统命令

11.5 show ip arp 命令格式

show ip arp [A.B.C.D]

命令功能

显示当前系统中的 ARP 表或特定的表项。

命令模式

特权模式

参数说明

参数 [A.B.C.D]

配置实例

说明需要显示的特定 ARP 表项中的 IP 地址

显示当前系统中的 ARP 表 SmartHammer#show ip arp

11.6 clear ip arp dynamic 命令格式

clear ip arp dynamic

命令功能

清除当前系统中的动态 ARP 表项，不包括静态 ARP 表项。

命令模式

特权模式

配置实例

清除当前系统中的动态 ARP 表表项 SmartHammer#clear ip arp dynamic

11-3

第 12 章 DHCP 服务命令

第一部分系统命令

12

第12章

DHCP 服务命令

12.1 dhcp 命令格式

dhcp

命令功能

进入 DHCP 配置结点，配置内置的 DHCP 服务器选项

命令模式

配置模式

默认状态

不启用内置的 DHCP 服务器

使用指导

DHCP 服务器用来给 PPPoE 用户、 Dot1X 用户和 WEB 认证的用户分配 IP 地址，配置网络参数。

配置实例

进入 DHCP 相关配置，使用以下命令： SmartHammer(config)#dhcp SmartHammer(config-dhcp)#

12.2 share-net NAME A.B.C.D E.F.G.H 命令格式

{no} share-net NAME A.B.C.D E.F.G.H

命令功能

命令 share-net NAME A.B.C.D E.F.G.H 用于向 DHCP 子网中增加地址池

命令模式

配置模式

参数说明

参数 A.B.C.D

地址池开始地址

E.F.G.H

地址池结束地址

地址池租期

NAME

share-net 名

说明

12-1

第 12 章 DHCP 服务命令

使用指导

第一部分系统命令

命令 share-net NAME A.B.C.D E.F.G.H 用于向 DHCP 子网中增加地址池

提示

配置实例

租期的设置视情况而定，一般在地址紧张的情况下可设定较短的租期如两小时。如果地址池充分，可以考虑分配客户端长达数星期的地址租期

增加一个 192.168.0.10 到 192.168.0.50 的地址池，使用以下命令： SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 192.168.0.20 192.168.0.50 SmartHammer(config-dhcp)# exit

12.3 share-net NAME dns 命令格式

{no} share-net NAME dns A.B.C.D

命令功能

命令 share-net NAME dns A.B.C.D 用于配置 DHCP 服务器分配给客户端的 DNS 域名服务器地址

命令模式

配置模式

参数说明

参数 NAME

Share-net 名

A.B.C.D

主DNS地址

辅DNS地址

说明

使用指导

命令 share-net NAME dns A.B.C.D 用于配置 DHCP 服务器分配给客户端的 DNS 域名服务器地址

配置实例

设置分配的 DNS 地址 10.0.0.1，使用以下命令： SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 dns 10.0.0.1 SmartHammer(config-dhcp)# exit

12.4 share-net NAME router

12-2

命令格式

{no} share-net NAME router A.B.C.D

命令功能

命令 share-net NAME router A.B.C.D 用于配置 DHCP 服务器分配给客户端的默认网关地址

第 12 章 DHCP 服务命令

第一部分系统命令

命令模式

配置模式

参数说明

参数 NAME

share-net 名

A.B.C.D

网关IP

说明

使用指导

命令 share-net NAME router A.B.C.D 用于配置 DHCP 服务器分配给客户端的默认网关地址。

配置实例

设置分配的网关地址 192.168.0.1，使用以下命令： SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 router 192.168.0.1 SmartHammer(config-dhcp)# end

12.5 share-net NAME subnet 命令格式

{no} share-net NAME subnet A.B.C.D/M

命令功能

配置 DHCP 服务器分配地址的子网范围

命令模式

配置模式

参数说明

参数 NAME

share-net名

A.B.C.D/M

待分配的地址池子网范围

使用指导

说明

该命令用于配置 DHCP 的子网范围，同时启用子网范围所在接口的 DHCP 服务

合法的 DHCP 子网范围隶属于某个接口所在的子网提示

配置实例

设置 192.168.0.0/24 的子网，使用以下命令： SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 subnet 192.168.0.0/24

12-3

第 12 章 DHCP 服务命令

第一部分系统命令

12.6 share-net NAME wins 命令格式

{no} share-net NAME wins A.B.C.D

命令功能

命令 share-net NAME wins A.B.C.D 用于配置 DHCP 服务器分配给客户端的 Windows 域名解析服务器地址。

参数说明

使用指导

参数 NAME

Share-net 名

A.B.C.D

WINS服务器地址

命令 share-net NAME wins A.B.C.D 用于配置 DHCP 服务器分配给客户端的 Windows 域名解析服务器地址。

提示

配置实例

说明

Windows 域名解析仅用于联网的 windows 机器解析 windows 域名

设置分配的 WINS 地址 10.0.0.1，使用以下命令： SmartHammer(config)#dhcp SmartHammer(config-dhcp)# share-net 1 wins 10.0.0.1 SmartHammer(config-dhcp)# exit

12-4

第 13 章 DHCP Relay 服务命令

第一部分系统命令

13

第13章

DHCP Relay 服务命令

13.1 relay 命令格式

{no} relay A.B.C.D

命令功能

配置 DHCP Relay 服务器 IP 地址

命令模式

配置模式

参数说明

参数 A.B.C.D

主DHCP服务器地址

辅DHCP服务器地址

默认状态使用指导

无配置 DHCP Relay 服务器 IP 地址，可以指定两个 DHCP Server 的 IP。

提示

配置实例

说明

不能同时启用 DHCP 和 DHCP RELAY 服务，DHCP 服务器必须有到达 DHCP Relay 的路由客户端才能正确获得 IP 地址

设置 dhcp relay 地址 10.0.0.1，使用以下命令： SmartHammer(config)#dhcp SmartHammer(config-dhcp)# relay 10.0.0.1 SmartHammer(config-dhcp)# exit

13-1

第 14 章 VRRP 命令

第一部分系统命令

14

第14章

VRRP 命令

14.1 advertise-time 命令格式

advertise-time <1-10> no advertise-time

命令功能

配置 VRRP 路由器的通告时间间隔

命令模式

VRRP 路由器配置模式

参数说明

参数 <1-10>

说明 VRRP路由器的通告时间间隔可以配置为1到10秒

默认状态

1秒

使用指导

虚拟路由器中的主路由器每隔一段时间要发送通告报文，通知备份路由器自己的状态。如果备份路由器在三个间隔时间收不到通告报文，将重新进行路由器选举，选出新的主路由器。默认的通告时间间隔为 1 秒。

配置实例

配置 vrrp router 1 的通告时间间隔为 3 秒，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1 SmartHammer(config-vrrp)# advertise-time 3

14.2 debug vrrp 命令格式

{no}debug vrrp [(state|packet)]

命令功能

显示 VRRP 模块的调试信息

命令模式

特权模式

参数说明

参数

说明 14-1

第 14 章 VRRP 命令

第一部分系统命令

state

显示vrrp router的状态转换信息

packet

显示接收和发送的vrrp报文

使用指导

可以使用 debug vrrp 指令调试所有的 VRRP 问题。由于 VRRP 报文接收和发送的频率比较快，如果不想显示太多的 VRRP 报文信息，也可以单独使用 debug vrrp state 只显示状态转换信息。

配置实例

SmartHammer#debug vrrp SmartHammer#terminal monitor

14.3 end 命令格式

end

命令功能

终止配置模式

命令模式

VRRP 路由器配置模式

使用指导

使用该命令将终止 VRRP 路由器配置模式，回到特权模式。

配置实例

SmartHammer(config-vrrp)# end SmartHammer#

14.4 exit 命令格式

exit

命令功能

退出 VRRP 路由器配置模式

命令模式

VRRP 路由器配置模式

使用指导

使用该命令将退出 VRRP 路由器配置模式，回到上一级配置模式。

配置实例

SmartHammer(config-vrrp)# exit SmartHammer(config)#

14.5 list 命令格式

14-2

list

第 14 章 VRRP 命令

第一部分系统命令

命令功能

列出VRRP路由器配置模式下可以使用的所有命令

命令模式

VRRP 路由器配置模式

使用指导

使用该命令将列出 VRRP 路由器配置模式下可以使用的所有命令，及其简单说明。

配置实例

SmartHammer (config-vrrp)# list

14.6 ip address 命令格式

{no} ip address A.B.C.D

命令功能

配置虚拟路由器的 IP 地址

命令模式

VRRP路由器配置模式

参数说明

参数 A.B.C.D

使用指导

配置实例

说明 A.B.C.D为VRRP虚拟路由器的 IP地址

该命令配置 VRRP 虚拟路由器的 IP 地址。该地址必须与工作接口主 IP 地址在同一网段内。如果配置的虚拟路由器 IP 地址与工作接口的主 IP 地址相同，则该虚拟路由器成为 IP 地址所有者。配置 vrrp router 1 的 IP 地址为 10.1.1.2，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1 SmartHammer(config-vrrp)# ip address 10.1.1.2

14.7 ip vrrp authentication password 命令格式

ip vrrp authentication (pap|ah) password WORD no ip vrrp authentication

命令功能

配置接口上VRRP虚拟路由器的认证方式和认证密码

命令模式

接口配置模式

14-3

第 14 章 VRRP 命令

参数说明

第一部分系统命令

参数 (pap|ah)

说明 pap/ah认证方式

WORD

认证密码

默认状态

不使用认证

使用指导

为了保证安全性，VRRP 路由器可以对收到的每个 VRRP 报文进行认证，检测报文的合法性。可以使用的认证方法有两种：一种是明文密码认证，相当于 pap 认证；另一种是 IP 头认证，相当于 IPSEC 使用的 AH 认证。默认不使用认证。

配置实例

配置接口 ge0 上启用的 VRRP 路由器使用 pap 明文认证方式，认证密码为 123，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#interface ge0 SmartHammer(config-if)#ip vrrp authentication pap password 123

14.8 ip vrrp router 命令格式

{no} ip vrrp router <1-255>

命令功能

在接口下启用VRRP虚拟路由器

命令模式

接口配置模式

参数说明

参数 <1-255>

说明要启用的VRRP虚拟路由器的ID

使用指导

该命令在接口上启用指定的 VRRP 虚拟路由器

配置实例

配置接口 ge0 上启用 VRRP 路由器 1，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#interface ge0 SmartHammer(config-if)#ip vrrp router 1

14.9 preempt-mode

14-4

命令格式

{no} preempt-mode

命令功能

配置虚拟路由器使用强制模式

第 14 章 VRRP 命令

第一部分系统命令

命令模式

VRRP路由器配置模式

使用指导

如果设置了抢占模式，则优先级高的备份路由器可以抢占主路由器。但是如果主路由器是 IP 地址所有者，则不能被抢占。默认不使用抢占模式。

配置实例

配置 vrrp router 1 使用抢占模式，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1 SmartHammer(config-vrrp)# preempt-mode

14.10 priority 命令格式

priority <1-254> no priority

命令功能

配置 VRRP 路由器的优先级

命令模式

VRRP 路由器配置模式

参数说明

参数 <1-254>

说明 VRRP路由器的优先级

默认状态

100

使用指导

备份路由器的优先级可以配置为 1-254。优先级 255 为虚拟 IP 地址所有者保留，不能配置。默认的优先级为 100。

配置实例

配置 vrrp router 1 使用优先级 200，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1 SmartHammer(config-vrrp)# priority 200

14.11 show vrrp router 命令格式

show vrrp router [<1-255>]

命令功能

显示配置的 VRRP 虚拟路由器信息

命令模式

特权模式

14-5

第 14 章 VRRP 命令

参数说明

第一部分系统命令

参数 <1-255>

说明要显示的VRRP路由器的ID

使用指导

使用该命令将显示 VRRP 路由器的配置信息。如果指定了 ID，则只显示指定 VRRP 路由器的配置信息；如果没有指定 ID，则显示所有 VRRP 路由器的配置信息。

配置实例

显示 ID 为 1 的 VRRP 路由器的配置信息，使用如下命令： SmartHammer#show vrrp router 1

显示所有 VRRP 路由器，使用如下命令： SmartHammer#show vrrp router

14.12 show vrrp interface 命令格式

show vrrp interface

命令功能

显示启用 VRRP 虚拟路由器的接口信息

命令模式

特权模式

使用指导

使用该命令可以显示已经配置了 VRRP 虚拟路由器的所有接口的信息

配置实例

显示所有配置 VRRP 路由器的接口的信息，使用如下命令： SmartHammer#show vrrp interface

14.13 show vrrp state 命令格式

show vrrp state

命令功能

显示启用的 VRRP 虚拟路由器的运行状态和信息

命令模式

特权模式

使用指导

使用该命令可以显示已经启用的 VRRP 虚拟路由器的运行状态和信息

配置实例

显示所有启用的 VRRP 路由器的信息，使用如下命令： SmartHammer#show vrrp state

14-6

第 14 章 VRRP 命令

第一部分系统命令

14.14 vrrp-router 命令格式

{no} vrrp-router <1-255>

命令功能

配置一个 VRRP 路由器

命令模式

配置模式

参数说明

参数 <1-255>

说明虚拟路由器的ID可以配置为1到 255之间

使用指导

使用该命令将进入 VRRP 路由器配置模式。如果该 VRRP 路由器不存在，则会自动创建该 VRRP 路由器，然后进入 VRRP 路由器配置模式。no vrrp router NUM 命令将删除该 VRRP 路由器。如果该 VRRP 路由器已经启用，则必须先禁用，然后才能删除该 VRRP 路由器。

配置实例

配置 ID 为 1 的 VRRP 路由器，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#vrrp-router 1

14.15 write memory 命令格式

write memory

命令功能

保存配置

命令模式

VRRP 路由器配置模式

使用指导

使用该命令可以将当前修改的配置保存下来。如果不使用该命令，当前修改的配置只是当前有效，系统重启后修改的部分将丢失。

配置实例

SmartHammer(config-vrrp)# write memory

14.16 write terminal 命令格式

write terminal

命令功能

显示配置 14-7

第 14 章 VRRP 命令

14-8

第一部分系统命令

命令模式

VRRP 路由器配置模式

使用指导

使用该命令可以将当前的配置显示在终端上。

配置实例

SmartHammer(config-vrrp)# write terminal

第 15 章 QoS 命令

第一部分系统命令

15

第15章

QoS 命令

15.1 ip output-traffic-map MAPNAME 命令格式

ip output-traffic-map MAPNAME

命令功能

在接口上使能 traffic-map

命令模式

接口模式

参数说明

参数

说明

MAPNAME

模板名称

默认状态

默认情况下接口上不使能。

使用指导

在相应接口上使能 traffic-map 模板，进行 qos。

配置实例

在接口 ge1 上启动建立的 traffic-map，使用以下命令： SmartHammer(config)#interface ge1 SmartHammer(config-if)#ip output-traffic-map qos1

相关命令

traffic-map MAPNAME

15.2 filter ID priority <0-7> rate <64-102400> 命令格式

filter ID priority <0-7> rate <64-102400> no filter ID

命令功能

添加 qos 规则，指定 qos 的级别和速率。删除 qos 规则。

命令模式

Traffic-map 配置模式

15-1

第 15 章 QoS 命令

参数说明

第一部分系统命令

参数

说明

ID

Access-list ID

<0-7>

优先级值域范围为0-7，其中0代表最高优先级，7为最低优先级

<64-102400>

速率值域范围为64-102400，单位为kbit。

默认状态

默认情况下会根据报文中的 tos 进行 qos。

使用指导

可以用此命令设置指定 ACLID 的优先级和速率要求。

配置实例

首先添加一条 access-list，使用以下命令： SmartHammer(config)#access-list 2001 permit ip host 192.168.0.20 host 10.1.0.1

然后建立 traffic-map 模板，使用以下命令： SmartHammer(config)#traffic-map qos1

然后在模板中添加 qos 规则，使用以下命令： SmartHammer(config-traffic-map)#filter 2001 priority 0 rate 1024

相关命令

ip output-traffic-map MAPNAME

15.3 show ip traffic-map memory 命令格式

show ip traffic-map [NAME] memory

命令功能

显示 traffic-map 的内存使用情况

命令模式

特权模式

参数说明

配置实例

参数

说明

NAME

Traffice-map的模板名

显示 traffic-map map1 的内存使用情况 SmartHammer(config)#show ip traffic-map map1 memory

15-2

第 15 章 QoS 命令

第一部分系统命令

15.4 traffic-map MAPNAME 命令格式

traffic-map MAPNAME no traffic-map MAPNAME

命令功能

建立 qos 模板。

命令模式

配置模式

参数说明

参数 MAPNAME

说明模板名称

默认状态

默认情况无模板建立

使用指导

在使用 qos 之前，需要先建立此模板，然后再定义 qos 具体规则。

配置实例

建立 qos 模板 qos1，使用以下命令： SmartHammer(config)#traffic-map qos1

删除 qos 模板 qos1，使用以下命令： SmartHammer(config)#no traffic-map qos1

相关命令

filter ID priority <0-7> rate <64-102400>

15-3

第二部分

AAA 命令

第二部分 AAA 命令

第 16 章 AAA 授权功能命令

16

第16章

AAA 授权功能命令

16.1 debug aaam 命令格式

{no}debug aaam [(login|auth|acct|packet)]

命令功能

debug aaam login 实现对用户使用 Console 口、Telenet 或 SSH 登录 SmartHammer 设备的调试功能。 debug aaam auth 和 debug aaam acct 实现对用户使用本地认证和计费功能的调试功能。 debug aaam packet 用于调试用户使用本地认证、计费的报文。由于 debug 命令会在命令行上打印大量信息，占用很多 CPU 资源，因此强烈建议用户，当调试结束时，一定要用 no debug nsm 命令禁用此功能。

命令模式参数说明

配置实例

特权模式参数 login

说明实现对管理员使用Console口、Telenet或SSH登录SmartHammer设备的调试

auth

实现对用户使用本地认证功能的调试

acct

实现对用户使用本地计费功能的调试

packet

调试用户使用本地认证、计费的报文

对用户登录 SmartHammer 设备出现问题进行的调试 SmartHammer#debug aaam login

16.2 line tty 命令格式

line tty

命令功能

进入TTY配置模式

命令模式

配置模式

16-1

第 16 章 AAA 授权功能命令

配置实例

第二部分 AAA 命令

进入 TTY 配置模式 SmartHammer(config)#line tty SmartHammer(config-line)#

16.3 login 命令格式

{no} login

命令功能

login 配置使用用户名和口令登录， no login 配置只使用口令登录。缺省配置为 no login。

命令模式默认状态配置实例

TTY 配置模式 no login

配置使用 login 方式登录（使用用户名和口令登录） SmartHammer(config-line)# login

16.4 no user block 命令格式

no user NAME block

命令功能

对一个正处于封禁状态的用户解禁。

命令模式

配置模式

使用指导

当一个用户正处于封禁期时，他无论是用正确还是错误的用户名、口令，都无法登陆系统，这时可以使用本命令对用户封禁。

配置实例

对管理员用户 harbour 解禁 SmartHammer(config)#no user harbour block

相关命令

user NAME password PASSWD admin user try-limit <3-60> block <10-10000000> login

16-2

第二部分 AAA 命令

第 16 章 AAA 授权功能命令

16.5 privilege reset 命令格式

privilege (exec|privilege|config|ppp|pppoe|l2tp|vrrp|web|dot1x|dhcp|interface |vlan|bridge|gre|rip|ospf||portal|snmp|qos|aaa|ipsec-crypto|ipsec-m ap|isakmp|route-policy) reset [.COMMANDSTRING]

命令功能

复原某一模式（所有模式如下表所示）下指令的优先级为 0。不带.COMMANDSTRING 参数的本命令将对该模式下除 end 和 exit 指令外其余所有指令生效。

命令模式参数说明

配置模式参数

说明

exec

用户模式

privilege

特权模式

config

配置模式

ppp

PPP 模板配置模式

pppoe

PPPoE 认证模板配置模式

l2tp

L2TP 模板配置模式

vrrp

vrrp 模板配置模式

web

WEB 认证模板配置模式

dot1x

802.1x 认证模板配置模式

dhcp

DHCP 配置模式

interface

以太网接口模式

vlan

VLAN 接口模式

bridge

BVI 接口模式

gre

GRE 配置模式

rip

RIP 配置模式

ospf

OSPF 配置模式

portal

PORTAL 配置模式

snmp

SNMP 配置模式

qos

QoS 模板配置模式

aaa

AAA 模板配置模式

crypto-map

IPSEC MAP 配置模式

crypto-ipsec

IPSEC 变换集配置模式

isakmp

ISAKMP 配置模式

route-policy

策略路由配置模式

<0-15>

指令优先级 16-3

第 16 章 AAA 授权功能命令

第二部分 AAA 命令

.COMMANDSTRING

配置实例

该模式下具体指令

复原 exec 模式下 enable 指令的优先级 SmartHammer(config)#privilege exec reset enable

相关命令

user NAME password PASSWD admin login user NAME privilege <0-15>

1）本指令只作用于 login 登录方式提示

2）在您进行管理员用户登录操作前，必须要先设置管理员用户名和口令。

16.6 privilege 命令格式

privilege (exec|privilege|config|ppp|pppoe|l2tp|vrrp|web|dot1x|dhcp|interface |vlan|bridge|gre|rip|ospf|portal|snmp|qos|aaa|ipsec-crypto|ipsec-ma p|isakmp| route-policy) level <0-15> [.COMMANDSTRING]

命令功能

配置某一模式（所有模式如下表所示）下指令的优先级。不带.COMMANDSTRING 参数的本命令将对该模式下除 end 和 exit 指令外其余所有指令生效。

命令模式参数说明

16-4

配置模式参数

说明

exec

用户模式

privilege

特权模式

config

配置模式

ppp

PPP 模板配置模式

pppoe

PPPoE 认证模板配置模式

l2tp

L2TP 模板配置模式

vrrp

vrrp 配置模式

web

WEB 认证模板配置模式

dot1x

802.1x 认证模板配置模式

dhcp

DHCP 配置模式

interface

以太网接口模式

vlan

VLAN 接口模式

bridge

BVI 接口模式

第二部分 AAA 命令

第 16 章 AAA 授权功能命令

gre

gre 配置模式

rip

rip 配置模式

ospf

ospf 配置模式

portal

PORTAL 配置模式

snmp

SNMP 配置模式

qos

QoS 模板配置模式

aaa

AAA 模板配置模式

crypto-map

IPSEC MAP 配置模式

crypto-ipsec

IPSEC 变换集配置模式

isakmp

ISAKMP 配置模式

route-policy

策略路由配置模式

<0-15>

指令优先级

.COMMANDSTRING

该模式下具体指令

默认状态

指令优先级为 0

使用指导

通过配置指令优先级别和管理员用户优先级别，可以确保不同的管理员用户可以具有不同的配置、管理级别。级别低的管理员用户不可以进行高级别的配置管理工作。指令优先级从 0 到 15，数字越大，优先级越高。

配置实例

设置 exec 模式下除 end 和 exit 指令外其余指令的优先级为 4 SmartHammer(config)#privilege exec level 4

相关命令

user NAME password PASSWD admin login user NAME privilege <0-15>

1）本指令只作用于 login 登录方式提示

2）在您进行管理员用户登录操作前，必须要先设置管理员用户名和口令。 3）在 SmartHammer 设备中，您可以对大多数指令配置指令优先级别，除了用户几条敏感指令以外（见《SmartHammer 系列产品软件配置手册》第二部分）。

16.7 show local user 命令格式

show local user [NAME]

16-5

第 16 章 AAA 授权功能命令

第二部分 AAA 命令

命令功能

显示已添加的管理员用户和本地用户

命令模式

特权模式

参数说明

参数 [NAME]

配置实例

说明要显示的用户的用户名

SmartHammer#show local user ---------------------------------------------------------Name : hammer;

Password:

********

admin

---------------------------------------------------------Total Users:

相关命令

1

user NAME password PASSWD admin

16.8 user access-class 命令格式

{no} user NAME access-class <1-99>

命令功能

设置管理员用户能够登录的 IP 地址范围，使用 no user NAME access-group 指令可以取消对该管理员使用 IP 地址范围的限制。

命令模式

配置模式

参数说明

使用指导

参数

说明

NAME

用户名

<1-99>

ACL组

只有在绑定的 ACL 允许 IP 地址范围内的管理员用户可以登录。 1）指令只作用于 login 登录方式提示

配置实例

2）在您进行管理员用户登录操作前，必须要先设置管理员用户名和口令。

设置管理员用户 hammer 只能使用 ACL 1 中允许的 IP 地址登录 SmartHammer(config)#user hammer access-group 1

相关命令

user NAME password PASSWD admin login

16-6

第二部分 AAA 命令

第 16 章 AAA 授权功能命令

16.9 user password admin 命令格式

{no} user NAME password PASSWD admin

命令功能

添加管理员用户名和口令（PASSWD 为明文口令）。使用 no user NAME admin 可以删除该用户。

命令模式参数说明

配置实例

配置模式参数

说明

NAME

用户名

PASSWD

明文口令

添加管理员用户，用户名为 hammer，口令为 123456 SmartHammer(config)#user hammer password 123456 admin

1）本指令只作用于 login 登录方式提示

2）本指令与 AAA 认证与计费功能的添加本地认证用户名指令不同

16.10 user privilege 命令格式

user NAME privilege <0-15>

命令功能

设置管理员用户的优先级

命令模式

配置模式

参数说明

参数 NAME <0-15>

说明用户名用户的优先级

默认状态

15

使用指导

管理员用户优先级从 0 到 15，数字越大，优先级越高。当登录的管理员用户的优先级大于或等于指令的优先级时，管理员用户可以看见该条指令，并使用该条指令。当登录的管理员用户的优先级别小于指令的优先级别时，该指令对管理员用户不可 16-7

第 16 章 AAA 授权功能命令

第二部分 AAA 命令

见（管理员用户对于这些指令既不能使用，也不能通过list、?等命令查看到改指令）

配置实例

设置管理员用户 hammer 的优先级为 2 SmartHammer(config)#user hammer privilege 2

相关命令

user NAME password PASSWD admin login privilege MODE level <0-15> [.COMMANDSTRING]

1）本指令只作用于 login 登录方式提示

2）在您进行管理员用户登录操作前，必须要先设置管理员用户名和口令。

16.11 user secret admin 命令格式

{no} user NAME secret SECRET admin

命令功能

添加管理员用户名和加密后的口令（SECRET 为已加密后的口令），使用 no user NAME admin 可以删除该用户。

命令模式

配置模式

参数说明

参数

说明

NAME

用户名

SECRET

已加密后的口令

使用指导

本指令主要用于设备在启动时从配置文件中读取配置，不推荐使用本指令添加管理员用户名和口令。

相关命令

user NAME password PASSWD admin login

1）本指令只作用于 login 登录方式提示

2）本指令与 AAA 认证与计费功能的添加本地认证用户名指令不同

16.12 user try-limit 命令格式 16-8

{no} user try-limit <3-60> block <10-10000000>

第二部分 AAA 命令

第 16 章 AAA 授权功能命令

命令功能

设置管理员密码最大重试次数。当管理员使用同一用户名，输入错误密码 N 次后，对使用该用户名登录的管理员封禁的时间（秒）。使用 no user try-limit 可以取消对管理员密码最大重试次数的限制。使用 no user NAME block 可以对一个正处于封禁状态的用户解禁。

命令模式参数说明

配置模式参数

说明

<3-60>

密码最大重试次数

<10-10000000>

封禁时间（秒）

使用指导

当管理员使用正确的用户名和错误的密码登录，输入密码的次数超过我们的限制时，为了防止有人恶意破译密码，可以在一段时间内封禁改用户名，即在这一段时间内，使用该用户名登录，无论密码正确还是错误，用户都无法登录。当超过这段时间后，使用正确的用户名、密码，可以登录。

配置实例

设置管理员在使用同一用户名，输入错误密码 6 次后，对使用该用户名登录的管理员封禁 6000 秒。 SmartHammer(config)#user try-limit 6 block 6000

相关命令

user NAME password PASSWD admin login

1）本指令只作用于 login 登录方式提示

2）在您进行管理员用户登录操作前，必须要先设置管理员用户名和口令。 3）本指令只对从网络登录的管理员做限制，对从 console 登录的管理员不做限制。

16-9

第二部分 AAA 命令

第 17 章 AAA 认证和计费功能命令

17

第17章

AAA 认证和计费功能命令

17.1 show local acct 命令格式

show local acct

命令功能

显示本地计费信息

命令模式

特权模式

使用指导

当使用本地计费的用户下线，您可以使用本命令查看用户的本地计费信息。本地计费信息只保存最新的 1000 条信息。

配置实例

SmartHammer#show local acct =============================================================== Name

IPAddress

MAC

Hammer 10.1.1.120

OnlineTime

00:50:0b:43:78:0c

280

Bytes-in 3489

Bytes-out 7892

=============================================================== Total:

1

Users

17.2 show local user 命令格式

show local user [NAME]

命令功能

显示已添加的本地用户和管理员用户

命令模式

特权模式

参数说明

参数 [NAME]

配置实例

说明要显示的用户的用户名

SmartHammer#show local user ---------------------------------------------------------Name : hammer;

Password:

********

---------------------------------------------------------Total Users:

1

17-1

第 17 章 AAA 认证和计费功能命令

第二部分 AAA 命令

相关命令

user NAME password PASSWD

命令格式

{no}aaa NAME

命令功能

配置 AAA 认证和计费模板，no aaa NAME 指令能够删除已配置的 AAA 认证和计费模板。

命令模式

配置模式

17.3 aaa

参数说明

配置实例

参数

说明

NAME

模板名

配置 AAA 认证和计费模板 hammer SmartHammer(config)#aaa hammer SmartHammer(config-aaa)#

17.4 accounting local 命令格式

{no}accounting local

命令功能

配置该 AAA 模板使用本地计费，no accounting local 指令将取消在该模板下使用本地计费，恢复到缺省配置不计费。

命令模式

AAA 模板配置模式

使用指导

使用本地计费，接入用户的计费信息将保存在 SmartHammer 设备上， SmartHammer 设备只保存最新的 1000 条计费信息，在 SmartHammer 设备重启后将不保存重启前所有的本地计费信息。

配置实例

SmartHammer(config-aaa)# accounting local

17.5 accounting none

17-2

命令格式

{no}accounting none

命令功能

配置该 AAA 模板不计费，no accounting none 指令将取消在该模板下使用不计费，恢复到缺省配置不计费。

第二部分 AAA 命令

第 17 章 AAA 认证和计费功能命令

命令模式

AAA 模板配置模式

配置实例

SmartHammer(config-aaa)# accounting none

17.6 accounting server 命令格式

accounting server A.B.C.D <1-10000> SECRETS no accounting server [A.B.C.D]

命令功能

配置该 AAA 模板使用 Radius 计费服务器计费，no accounting server 指令将取消在该模板下使用 Radius 服务器计费，恢复到缺省配置不计费。

命令模式

AAA 模板配置模式

参数说明

配置实例

参数 A.B.C.D

说明 Radius计费服务器的IP地址

<1-10000>

Radius计费服务器使用的计费端口

SECRETS

Radius计费服务器使用的共享密钥

配置使用 Radius 计费服务器计费，服务器地址为 192.168.0.191，端口为 1813，共享密钥为：88—99 SmartHammer(config-aaa)# accounting server 192.168.0.191 1813 88--99

17.7 authentication local 命令格式

{no}authentication local

命令功能

配置该 AAA 模板使用本地认证，no authentication local 指令将取消在该模板下使用本地认证，恢复到缺省配置本地认证。

命令模式

AAA 模板配置模式

配置实例

SmartHammer(config-aaa)# authentication local

17-3

第 17 章 AAA 认证和计费功能命令

第二部分 AAA 命令

17.8 authentication server 命令格式

authentication server A.B.C.D <1-10000> SECRETS no authentication server [A.B.C.D]

命令功能

配置该 AAA 模板使用 Radius 认证服务器认证，no authentication server 指令将取消在该模板下使用 Radius 服务器认证，恢复到缺省配置本地认证。

命令模式

AAA 模板配置模式

参数说明

配置实例

参数 A.B.C.D

说明 Radius认证服务器的IP地址

<1-10000>

Radius认证服务器使用的计费端口

SECRETS

Radius认证服务器使用的共享密钥

配置使用 Radius 认证服务器认证，服务器地址为 192.168.0.191，端口为 1812，共享密钥为：88—99 SmartHammer(config-aaa)# authentication server 192.168.0.191 1812 88--99

17.9 source-ip 命令格式

source-ip A.B.C.D no source-ip [A.B.C.D]

命令功能

配置该 AAA 模板使用 Radius 认证时的 NAS 地址。使用 no source-ip 指令将删除该 AAA 模板的 NAS 地址。

命令模式

AAA 模板配置模式

参数说明

参数 A.B.C.D

说明使用Radius认证时的NAS地址

使用指导

该 IP 地址必须是 SmartHammer 上与 Radius 服务器相连的那个接口的 IP 地址，否则 SmartHammer 设备无法向 Radius 认证服务器发送认证信息。

配置实例

配置使用 Radius 认证时的 NAS 地址为 10.1.1.1 SmartHammer(config-aaa)# source-ip 10.1.1.1

17-4

第二部分 AAA 命令

相关命令

第 17 章 AAA 认证和计费功能命令

authentication server A.B.C.D <1-10000> SECRETS accounting server A.B.C.D <1-10000> SECRETS

使用 Radius 计费或认证时必须配置 source-ip 提示

17.10 user password 命令格式

{no} user NAME password PASSWD

命令功能

添加本地认证用户名和口令（PASSWD 为明文口令），使用 no user NAME 可以删除该用户。

命令模式

配置模式

参数说明

配置实例

参数

说明

NAME

用户名

PASSWD

明文口令

添加本地认证用户，用户名为 hammer，口令为 123456 SmartHammer(config)#user hammer password 123456 admin

1）指令与 AAA 授权功能的添加管理员用户名指令不同提示

17.11 user secret 命令格式

{no} user NAME secret SECRET

命令功能

添加本地用户名和加密后的口令（SECRET 为已加密后的口令），使用 no user NAME 可以删除该用户。

命令模式

配置模式

参数说明

参数

说明

NAME

用户名

SECRET

已加密后的口令

17-5

第 17 章 AAA 认证和计费功能命令

第二部分 AAA 命令

使用指导

本指令主要用于设备在启动时从配置文件中读取配置，不推荐使用本指令添加本地认证用户名和口令。

相关命令

user NAME password PASSWD

1）指令与 AAA 授权功能的添加管理员用户名指令不同提示

17.12 end 命令格式

end

命令功能

退出到特权模式

命令模式

AAA 模板配置模式

配置实例

SmartHammer(config-aaa)# end SmartHammer#

17.13 exit 命令格式

exit

命令功能

退出本配置模式，到上级配置模式

命令模式

AAA 模板配置模式

配置实例

SmartHammer(config-aaa)# exit SmartHammer(config)#

17.14 list

17-6

命令格式

list

命令功能

列出本模式下所有命令

命令模式

AAA 模板配置模式

配置实例

SmartHammer(config-aaa)# list

第二部分 AAA 命令

第 17 章 AAA 认证和计费功能命令

17.15 write memory 命令格式

write memory

命令功能

保存配置

命令模式

AAA 模板配置模式

配置实例

SmartHammer(config-aaa)# write memory

17.16 write terminal 命令格式

write terminal

命令功能

查看当前正在使用的配置文件

命令模式

AAA 模板配置模式

配置实例

SmartHammer(config-aaa)# write terminal

17-7

第三部分

防火墙命令

第 18 章 ACL 命令

第三部分防火墙命令

18

第18章

ACL 命令

18.1 access-list <1-99> 命令格式

{no}access-list <1-99> (deny|permit) ([host] A.B.C.D|A.B.C.D A.B.C.D|any)

命令功能

配置针对源地址的标准 Access-list

命令模式

配置模式

参数说明

参数 <1-99>

说明

deny

禁止数据包通过

permit

允许数据包通过

[Host] A.B.C.D

指定源主机地址

A.B.C.D A.B.C.D

指定源网络地址和掩码，掩码0表示严格匹配

any

任何源地址

基于源地址的access-list

默认状态

无

使用指导

针对源地址进行匹配，对目标地址不进行匹配

配置实例

配置一条 Access-list 的规则，允许源地址 172.168.0.0/16 的数据包 SmartHammer(config)#access-list 1 permit 172.168.0.0 0.0.255.255

18.2 access-list (<100-199>|<2000-2699>) 命令格式

{no}access-list (<100-199>|<2000-2699>) (deny|permit) (<0-255> |PROTOCOL |eigrp |egp |gre |icmp |igmp |igrp |ip |ospf |pim |tcp |udp) (host A.B.C.D|A.B.C.D A.B.C.D|any) (host A.B.C.D |A.B.C.D A.B.C.D |any) (host A.B.C.D |A.B.C.D A.B.C.D |any)

命令功能

配置针对源和目标地址的扩展 Access-list，可以指定协议

18-1

第 18 章 ACL 命令

命令模式参数说明

第三部分防火墙命令

配置模式参数 <100-199>

说明

<2000-2699>

基于源和目标地址的access-list，可以指定协议端口

deny

禁止数据包通过

permit

允许数据包通过

<0-255>

协议编号

PROTOCOL

协议

eigrp

增强型内部网关路由选择协议

egp

外部网关协议

gre

通用路由封装协议

icmp

网间控制报文协议

igmp

互连网组管理协议

igrp

内部网关路由选择协议

ip

网际协议

ospf

开放最短路径优先协议

pim

协议无关多播

tcp

传输控制协议

udp

用户数据报协议

Host A.B.C.D

指定源主机地址

A.B.C.D A.B.C.D

指定源网络地址和掩码，掩码0表示严格匹配

any

任何源地址

Host A.B.C.D

指定目标主机地址

A.B.C.D A.B.C.D

指定目标网络地址和掩码，掩码0表示严格匹配

any

任何目标地址

基于源地址的access-list，可以指定协议端口

使用指导

针对源地址、目标地址、协议进行匹配

配置实例

配置一条 Access-list 的规则，允许源地址为 172.168.0.1，目标地址为 200.1.1.0/24 SmartHammer(config)#access-list 100 permit ip host 172.168.0.1 200.1.1.0 0.0.0.255

18-2

第 18 章 ACL 命令

第三部分防火墙命令

18.3 access-list <200-299> 命令格式

{no} access-list <200-299> (deny|permit) <0x0-0xFFFF> <0x0-0xFFFF> [H.H.H H.H.H]

命令功能

配置针对二层协议的 Access-list

命令模式

全局配置模式

参数说明

参数 <200-299>

说明

deny

禁止数据包通过

permit

允许数据包通过

<0x0-0xFFFF>

指定二层协议

<0x0-0xFFFF>

指定二层协议掩码

H.H.H

指定MAC地址

H.H.H

指定MAC地址掩码

基于二层协议和MAC的过滤

使用指导

当 Access-list 应用到入口上，MAC 针对源 MAC，当 Access-list 应用到出口上，MAC 针对目标 MAC。

配置实例

配置一条 Access-list 的规则，禁止 MAC 为 00:01:02:03:04:05 的 ARP 请求数据包 SmartHammer(config)#access-list 200 deny 0x0806 0x0000 0001.0203.0405 0.0.0

18.4 access-list <700-799> 命令格式

{no} access-list <700-799> (deny|permit) H.H.H H.H.H

命令功能

配置针对 MAC 的 Access-list

命令模式

全局配置模式

参数说明

参数 <700-799>

说明

deny

禁止数据包通过

permit

允许数据包通过

基于MAC的过滤

18-3

第 18 章 ACL 命令

第三部分防火墙命令

H.H.H

指定MAC地址

H.H.H

指定MAC地址掩码

使用指导

当 Access-list 应用到入口上，MAC 针对源 MAC，当 Access-list 应用到出口上，MAC 针对目标 MAC。

配置实例

配置一条 Access-list 的规则，禁止 MAC 为 00:01:02:03:04:05 的数据包， SmartHammer(config)#access-list 700 deny 0001.0203.0405 0.0.0

18.5 access-list <1300-1999> 命令格式

{no}access-list <1300-1999> (deny|permit) (<0-255> |PROTOCOL |eigrp |egp |gre |icmp |igmp |igrp |ip |ospf |pim |tcp |udp) (host A.B.C.D|A.B.C.D A.B.C.D|any)

命令功能

配置针对源地址的标准 Access-list，可以指定协议

命令模式

配置模式

参数说明

18-4

参数

说明

<1300-1999>

基于源地址的access-list，可以指

deny

禁止数据包通过

permit

允许数据包通过

<0-255>

协议编号

PROTOCOL

协议

eigrp

增强型内部网关路由选择协议

egp

外部网关协议

gre

通用路由封装协议

icmp

网间控制报文协议

igmp

互连网组管理协议

igrp

内部网关路由选择协议

ip

网际协议

ospf

开放最短路径优先协议

pim

协议无关多播

tcp

传输控制协议

udp

用户数据报协议

Host A.B.C.D

指定源主机地址

A.B.C.D A.B.C.D

指定源网络地址和掩码，掩码0

第 18 章 ACL 命令

第三部分防火墙命令

表示严格匹配 any

任何源地址

使用指导

针对源地址和协议进行匹配，对目标地址不进行匹配

配置实例

配置一条 Access-list 的规则，允许源地址 172.168.0.1，且协议为 ICMP 的数据包 SmartHammer(config)#access-list 1300 permit icmp host 172.168.0.1

18.6 access-list <1300-1999> icmp 命令格式

{no}access-list <1300-1999> (deny|permit) icmp (host A.B.C.D |A.B.C.D A.B.C.D |any) [(<0-255>|T.C |echo-reply |destination-unreachable |source-quench |redirect |alternate-address |echo |router-advertisement |router-selection |time-exceeded |parameter-problem |timestamp |timestamp-reply |information-request |information-reply |address-mask-request |address-mask-reply |traceroute |datagram-conversion-error |domain-name-request |domain-name-reply)]

命令功能

配置针对源地址且协议为 ICMP 的标准 access-list，可以指定 ICMP 类型和代码。

命令模式

配置模式

参数说明

参数

说明

<1300-1999> deny

基于源地址的access-list，可以指定协议端禁止数据包通过

permit

允许数据包通过

Host A.B.C.D

指定源主机地址

A.B.C.D A.B.C.D any

指定源网络地址和掩码，掩码0 表示严格匹配任何源地址

<0-255>

网间控制报文协议类型

T.C

ICMP消息类型和代码

echo-reply

回显应答

destination-unreachable

目标地址不可达

source-quench

源站抑制

redirect

重定向

alternate-address

可选主机 18-5

第 18 章 ACL 命令

第三部分防火墙命令

alternate-address

可选主机

echo

回显

router-advertisement

路由器通告

router-selection

路由器选择

time-exceeded

超时

parameter-problem

参数错误

timestamp

时间戳请求

timestamp-reply

时间戳请求应答

information-request

信息请求

information-reply

信息应答

address-mask-request

地址掩码请求

address-mask-reply

地址掩码应答

traceroute

路由探测

datagram-conversion-error

报文交换错误

domain-name-request

域名请求

domain-name-reply

域名应答

使用指导

针对 ICMP 协议，对源地址进行匹配。

配置实例

配置一条 access-list 的规则，允许源地址 172.168.0.1，且协议为 ICMP， ICMP 类型为 echo SmartHammer(config)#access-list 1300 permit icmp host 172.168.0.1 echo

18.7 access-list <1300-1999> tcp 命令格式

{no}access-list <1300-1999> (deny|permit) tcp (host A.B.C.D|A.B.C.D A.B.C.D|any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |bgp |chargen |shell |daytime |discard |domain |echo |exec |finger |ftp |ftp-data |gopher |hostname |auth |irc |klogin |kshell |login |printer |nntp |pim-rp-disc |pop2 |pop3 |smtp |sunrpc |syslog |tacacs |talk |telnet |time |uucp |nicname |http)]

命令功能

配置针对源地址且协议为 TCP 的标准 Access-list，可以指定源端口

命令模式

配置模式

参数说明

18-6

参数

说明

<1300-1999>

基于源地址的access-list，可以指定协议端口

deny

禁止数据包通过

第 18 章 ACL 命令

第三部分防火墙命令

permit

允许数据包通过

Host A.B.C.D

指定源主机地址

A.B.C.D A.B.C.D

指定源网络地址和掩码，掩码0表示严格匹配

any

任何源地址

eq

等于

gt

大于

lt

小于

neq

不等于

range

范围，对于范围，只能使用B:E模式

<0-65535>

端口，可输入0到65535之间的整形数字

NAME

名称形式的端口，如ftp、http等

B:E

端口范围，B为起始端口，E为终止端口，如 20:100，必须为0到65535之间的整形数字

bgp

边界网关协议

chargen

字符发生器

shell

命令

daytime

时间

discard

丢弃

domain

域名服务器

echo

回显

exec

执行

finger

FINGER(查询远程主机在线用户等信息)

ftp

文件传输协议(控制)

ftp-data

文件传输协议(默认数据口)

gopher

信息检索协议

hostname

主机名

auth

标识协议

irc

网络聊天

klogin

Kerberos 登录

kshell

Kerberos 命令

login

登录

printer

打印机服务

nntp

网络新闻传输协议

pim-rp-disc

PIM Auto-RP (496)

pop2

邮局协议版本2 18-7

第 18 章 ACL 命令

第三部分防火墙命令

pop3

邮局协议版本3

smtp

简单邮件发送协议

sunrpc

远程过程调用

syslog

日志日志

tacacs

登录主机协议

talk

谈话

telnet

终端仿真协议

time

时间

uucp

Unix文件拷贝

nicname

“绰号” who is服务

http

全球信息网超文本传输协议

使用指导

针对 TCP 协议，对源地址和源端口进行匹配。

配置实例

配置一条 access-list 的规则，允许源地址 172.168.0.1，且协议为 TCP，源端口大于 1024 SmartHammer(config)#access-list 1300 permit tcp host 172.168.0.1 gt 1024

18.8 access-list <1300-1999> udp 命令格式

{no}access-list <1300-1999> (deny|permit) udp (host A.B.C.D |A.B.C.D A.B.C.D |any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |biff |bootpc |bootps |discard |domain |echo |isakmp |mobileip-agent |nameserver |netbios-dgm |netbios-ns |netbios-ssn |ntp |pim-rp-disc |router |snmp |snmptrap |sunrpc |syslog |tacacs |talk |tftp |time |who |xdmcp)]

命令功能

配置针对源地址且协议为 UDP 的标准 access-list，可以指定源端口

命令模式

配置模式

参数说明

18-8

参数

说明

<1300-1999> deny

基于源地址的access-list，可以指定协议端禁止数据包通过

permit

允许数据包通过

Host A.B.C.D

指定源主机地址

A.B.C.D A.B.C.D any

指定源网络地址和掩码，掩码0表示严格匹配任何源地址

eq

等于

第 18 章 ACL 命令

第三部分防火墙命令

eq

等于

gt

大于

lt

小于

neq

不等于

range

范围，对于范围，只能使用B:E模式

<0-65535>

端口，可输入0到65535之间的整形数字

NAME

名称形式的端口，如ftp、http等

B:E

端口范围，B为起始端口，E为终止端口，如20:100，必须为0到65535之间的整形数字

biff

邮件通知

bootpc

引导程序协议客户端

bootps

引导程序协议服务器

discard

丢弃

domain

域名服务

echo

回显

isakmp

互联网安全关联及密钥管理协议

mobileip-agent

移动IP注册

nameserver

名称服务

netbios-dgm

网络基本输入输出系统数据报服务

netbios-ns

网络基本输入输出系统名称服务

netbios-ssn

网络基本输入输出系统会话服务

ntp

网络时间协议

pim-rp-disc

协议无关多播集合点选择

router

路由信息协议

snmp

简单网络管理协议

snmptrap

简单网络管理协议自陷处理器

sunrpc

Sun远程过程调用

syslog

系统日志

tacacs

TACACS登录主机协议

Talk

Talk (517) 谈话

tftp

简单文件传输协议

time

时间

who

在线用户

xdmcp

远程显示管理控制协议

18-9

第 18 章 ACL 命令

第三部分防火墙命令

使用指导

针对 UDP 协议，对源地址和源端口进行匹配。

配置实例

配置一条 access-list 的规则，允许源地址 172.168.0.1，且协议为 UDP，源端口范围为 1025:2048 SmartHammer(config)#access-list 1300 permit udp host 172.168.0.1 range 1025:2048

18.9 access-list (<2000-2699>) icmp 命令格式

{no}access-list (<2000-2699>) (deny|permit) icmp (host A.B.C.D |A.B.C.D A.B.C.D |any) (host A.B.C.D |A.B.C.D A.B.C.D |any) [(<0-255> |T.C |echo-reply |destination-unreachable |source-quench |redirect |alternate-address |echo |router-advertisement |router-selection |time-exceeded |parameter-problem |timestamp |timestamp-reply |information-request |information-reply |address-mask-request |address-mask-reply |traceroute |datagram-conversion-error |domain-name-request |domain-name-reply)]

命令功能

配置针对源和目标地址且协议为 ICMP 的扩展 Access-list，可以指定 ICMP 类型和代码。

命令模式

配置模式

参数说明

18-10

参数 <2000-2699>

说明

deny

禁止数据包通过

permit

允许数据包通过

Host A.B.C.D

指定源主机地址

A.B.C.D A.B.C.D

指定源网络地址和掩码，掩码0表示严格匹配

any

任何源地址

Host A.B.C.D

指定目标主机地址

A.B.C.D A.B.C.D

指定目标网络地址和掩码，掩码0表示严格匹配

any

任何目标地址

<0-255>

网间控制报文协议类型

T.C

ICMP消息类型和代码

echo-reply

回显应答

destination-unreachable

目标地址不可达

基于源和目标地址的access-list，可以指定协议端口

第 18 章 ACL 命令

第三部分防火墙命令

source-quench

源站抑制

redirect

重定向

alternate-address

可选主机

echo

回显

router-advertisement

路由器通告

router-selection

路由器选择

time-exceeded

超时

parameter-problem

参数错误

timestamp

时间戳请求

timestamp-reply

时间戳请求应答

information-request

信息请求

information-reply

信息应答

address-mask-request

地址掩码请求

address-mask-reply

地址掩码应答

traceroute

路由探测

datagram-conversion-error

报文交换错误

domain-name-request

域名请求

domain-name-reply

域名应答

使用指导

针对 ICMP 协议，对源地址、目标地址、ICMP 类型和代码进行匹配。

配置实例

配置一条 Access-list 的规则，允许源地址为 172.168.0.1，目标地址为 200.1.1.0/24，且协议为 ICMP，ICMP 类型为 0，代码为 1 SmartHammer(config)#access-list 2000 permit icmp host 172.168.0.1 200.1.1.0 0.0.0.255 0.1

18.10 access-list (<2000-2699>|<2700-2999>) tcp 命令格式

{no}access-list (<2000-2699>|<2700-2999>) (deny|permit) tcp (host A.B.C.D|A.B.C.D A.B.C.D|any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |bgp |chargen |shell |daytime |discard |domain |echo |exec |finger |ftp |ftp-data |gopher |hostname |auth |irc |klogin |kshell |login |printer |nntp |pim-rp-disc |pop2 |pop3 |smtp |sunrpc |syslog |tacacs |talk |telnet |time |uucp |nicname |http)] (host A.B.C.D|A.B.C.D A.B.C.D|any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |bgp |chargen |shell |daytime |discard |domain |echo |exec |finger |ftp |ftp-data |gopher |hostname |auth |irc |klogin |kshell |login |printer |nntp |pim-rp-disc |pop2 |pop3 |smtp |sunrpc |syslog |tacacs |talk |telnet |time |uucp |nicname |http)]

18-11

第 18 章 ACL 命令

命令功能

配置针对源和目标地址且协议为 TCP 的扩展 Access-list，可以指定源和目标端口范围。

命令模式

配置模式

参数说明

18-12

第三部分防火墙命令

参数 <2000-2699>

说明

<2700-2999>

基于源和目标地址的access-list，只能适用于 TCP和UDP协议，可以指定协议端口

deny

禁止数据包通过

permit

允许数据包通过

Host A.B.C.D

指定源主机地址

A.B.C.D A.B.C.D

指定源网络地址和掩码，掩码0表示严格匹配

any

任何源地址

eq

等于

gt

大于

lt

小于

neq

不等于

range

范围，对于范围，只能使用B:E模式

<0-65535>

端口，可输入0到65535之间的整形数字

NAME

名称形式的端口，如ftp、http等

B:E

端口范围，B为起始端口，E为终止端口，如 20:100，必须为0到65535之间的整形数字

biff

邮件通知

bootpc

引导程序协议客户端

bootps

引导程序协议服务器

discard

丢弃

domain

域名服务

echo

回显

isakmp

互联网安全关联及密钥管理协议

mobileip-agent

移动IP注册

nameserver

名称服务

netbios-dgm

网络基本输入输出系统数据报服务

netbios-ns

网络基本输入输出系统名称服务

netbios-ssn

网络基本输入输出系统会话服务

ntp

网络时间协议

基于源和目标地址的access-list，可以指定协议端口

第 18 章 ACL 命令

第三部分防火墙命令

pim-rp-disc

协议无关多播集合点选择

router

路由信息协议

snmp

简单网络管理协议

snmptrap

简单网络管理协议自陷处理器

sunrpc

Sun远程过程调用

syslog

系统日志

tacacs

TAC Access Control System (49) TACACS登录主机协议

Talk

谈话

tftp

简单文件传输协议

time

时间

who

在线用户

xdmcp

远程显示管理控制协议

Host A.B.C.D

指定目标主机地址

A.B.C.D A.B.C.D

指定目标网络地址和掩码，掩码0表示严格匹配

any

任何目标地址

eq …….

同上

<0-65535>……

同上

使用指导

针对 TCP 协议，对源地址、源端口、目标地址、目标端口进行匹配

配置实例

配置一条 Access-list 的规则，允许源地址为 172.168.0.1，目标地址为 200.1.1.0/24，且协议为 TCP，目标端口为 FTP。 SmartHammer(config)#access-list 2000 permit tcp host 172.168.0.1 200.1.1.0 0.0.0.255 eq ftp

18.11 access-list (<2000-2699>|<2700-2999>) udp 命令格式

{no}access-list (<2000-2699>|<2700-2999>) (deny|permit) udp (host A.B.C.D |A.B.C.D A.B.C.D |any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |biff |bootpc |bootps |discard |domain |echo |isakmp |mobileip-agent |nameserver |netbios-dgm |netbios-ns |netbios-ssn |ntp |pim-rp-disc |router |snmp |snmptrap |sunrpc |syslog |tacacs |talk |tftp |time |who |xdmcp)] (host A.B.C.D |A.B.C.D A.B.C.D |any) [(eq|gt|lt|neq|range) (<0-65535> |NAME |B:E |biff |bootpc |bootps |discard |domain |echo |isakmp |mobileip-agent |nameserver |netbios-dgm |netbios-ns |netbios-ssn |ntp |pim-rp-disc |router |snmp |snmptrap |sunrpc |syslog |tacacs |talk |tftp |time |who |xdmcp)]

18-13

第 18 章 ACL 命令

命令功能

配置针对源和目标地址且协议为 UDP 的扩展 Access-list，可以指定源和目标端口范围

命令模式

配置模式

参数说明

18-14

第三部分防火墙命令

参数 <2000-2699>

说明

<2700-2999>

基于源和目标地址的access-list，只能适用于TCP和UDP协议，可以指定协议端口

deny

禁止数据包通过

permit

允许数据包通过

Host A.B.C.D

指定源主机地址

A.B.C.D A.B.C.D

指定源网络地址和掩码，掩码0表示严格匹配

any

任何源地址

eq

等于

gt

大于

lt

小于

neq

不等于

range

范围，对于范围，只能使用B:E模式

<0-65535>

端口，可输入0到65535之间的整形数字

NAME

名称形式的端口，如ftp、http等

B:E

端口范围，B为起始端口，E为终止端口，如20:100，必须为0到65535之间的整形数字

biff

邮件通知

bootpc

引导程序协议客户端

bootps

引导程序协议服务器

discard

丢弃

domain

域名服务

echo

回显

isakmp

互联网安全关联及密钥管理协议

mobileip-agent

移动IP注册

nameserver

名称服务

netbios-dgm

网络基本输入输出系统数据报服务

netbios-ns

网络基本输入输出系统名称服务

netbios-ssn

网络基本输入输出系统会话服务

基于源和目标地址的access-list，可以指定协议端口

第 18 章 ACL 命令

第三部分防火墙命令

ntp

网络时间协议

pim-rp-disc

协议无关多播集合点选择

router

路由信息协议

snmp

简单网络管理协议

snmptrap

简单网络管理协议自陷处理器

sunrpc

Sun远程过程调用

syslog

系统日志

tacacs

TACACS登录主机协议

Talk

谈话

tftp

Trivial File Transfer Protocol (69) 简单文件传输协议

time

时间

who

在线用户

xdmcp

远程显示管理控制协议

Host A.B.C.D

指定目标主机地址

A.B.C.D A.B.C.D

指定目标网络地址和掩码，掩码0表示严格匹配

any

任何目标地址

eq …….

同上

<0-65535>……

同上

使用指导

针对 UDP 协议，对源地址、源端口、目标地址、目标端口进行匹配

配置实例

配置一条 Access-list 的规则，允许源地址为 172.168.0.1，目标地址为 200.1.1.0/24，且协议为 UDP，目标端口范围为 100 到 200 SmartHammer(config)#access-list 2000 permit udp host 172.168.0.1 200.1.1.0 0.0.0.255 range 100:200

18.12 access-list compiled 命令格式

{no}access-list (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) compiled

命令功能

对 Access-list 进行预编译，编译后的 Access-list 匹配速度与规则数无关。

命令模式

配置模式

参数说明

参数

说明

<1-99>

基于源地址的Access-list 18-15

第 18 章 ACL 命令

第三部分防火墙命令

<100-199>

基于源和目标地址的Access-list

<1300-1999>

基于源地址的Access-list，可以指定协议端口

<2000-2699>

基于源和目标地址的Access-list，可以指定协议端口

<2700-2999>

基于源和目标地址的Access-list，只能适用于 TCP和UDP协议，可以指定协议端口

默认状态

不进行预编译

使用指导

当同一个 access-list 的规则数目超过 10 条时，可进行预编译

配置实例

对 Access-list 1300 进行预编译 SmartHammer(config)#access-list 1300 compiled

18.13 access-list remark

18-16

命令格式

{no}access-list(<1-99>|<100-199>|<200-299>|<700-799>|<1300-1999>|<2 000-2699>|<2700-2999>|WORD) remark .LINE

命令功能

对 Access-list 进行注释

命令模式

配置模式

参数说明

参数 <1-99>

说明

<100-199>

基于源和目标地址的access-list

<200-299>

基于二层协议和MAC的过滤

<700-799>

基于MAC的过滤

<1300-1999>

基于源地址的access-list，可以指定协议端口

<2000-2699>

基于源和目标地址的access-list，可以指定协议端口

<2700-2999>

基于源和目标地址的access-list，只能适用于TCP和UDP协议，可以指定协议端口

.LINE

对access-list的注释

基于源地址的access-list

默认状态

无

使用指导

对 access-list 进行注释，可以不配置

第 18 章 ACL 命令

第三部分防火墙命令

配置实例

对 Access-list 1300 进行注释 SmartHammer(config)#access-list 1300 remark used for eth0

18.14 show ip access-list 命令格式

show ip access-list (<1-99>|<100-199>|<200-299>|<700-799>|<1300-1999>|<2000-2699>|<2700 -2999>|WORD)

命令功能

显示 access-list 的配置信息

命令模式

特权模式

参数说明

参数 <1-99>

说明

<100-199>

基于源和目标地址的Access-list

<200-299>

基于二层协议和MAC的过滤

<700-799>

基于MAC的过滤

<1300-1999>

基于源地址的Access-list，可以指定协议端口

<2000-2699>

基于源和目标地址的Access-list，可以指定协议端口

<2700-2999>

基于源和目标地址的Access-list，只能适用于 TCP和UDP协议，可以指定协议端口

基于源地址的Access-list

使用指导

配置了 access-list 后，可以使用此命令查看 access-list 的配置信息

配置实例

显示 Access-list 1300 的所有规则信息 SmartHammer(config)#show ip access-list 1300

18.15 show ip access-list compiled 命令格式

show ip access-list [<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>] compiled

命令功能

显示 Access-list 预编译状态及内存使用情况

命令模式

特权模式

参数说明

参数

说明 18-17

第 18 章 ACL 命令

第三部分防火墙命令

<1-99>

基于源地址的access-list

<100-199>

基于源和目标地址的access-list

<1300-1999>

基于源地址的access-list，可以指定协议端口

<2000-2699>

基于源和目标地址的access-list，可以指定协议端口

<2700-2999>

基于源和目标地址的access-list，只能适用于 TCP和UDP协议，可以指定协议端口

使用指导

当 access-list 进行了预编译后，可以用此命令查看 access-list 预编译和内存使用情况。

配置实例

显示 Access-list 1300 的预编译及内存使用情况。 SmartHammer(config)#show ip access-list 1300 compiled

相关命令

18-18

{no}access-list (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) compiled

第 19 章自适应安全过滤命令

第三部分防火墙命令

19

第19章

自适应安全过滤命令

19.1 security-policy 命令格式

security-policy (restricted|controlled|protected) NAME no security-policy NAME

命令功能

根据特定的安全域创建用户自定义安全域

命令模式

全局配置模式

参数说明

默认状态使用指导配置实例

参数 restricted

说明基于限制级安全域来创建。限制级安全域一般在外部接口使用。

controlled

基于控制级安全域来创建。控制级安全域一般在DMZ接口使用。

protected

基于保护级安全域来创建。保护级安全域一般在内部接口使用。

无对设备本身进行保护时，可使用此命令。单独使用此命令没有状态。根据控制级安全域设定生成用户自定义控制级安全域 SmartHammer(config)#security-policy controlled test

相关命令

ip security-level ip access-group (in|out)

提示

默认安全域和新创建的安全域不包含 access-list 控制功能，用户可以在自定义的安全域中设定特定的 access-list。

19-1

第 19 章自适应安全过滤命令

第三部分防火墙命令

19.2 ip access-group in 命令格式

ip access-group (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) in no ip access-group in

命令功能

设定用户自定义安全域配置中的 access-list，对进入使用此安全域的接口的数据进行访问控制。

命令模式

安全域配置模式

参数说明

使用指导配置实例

参数 <1-99>

说明

<100-199>

基于源和目标地址的access-list

<1300-1999>

基于源地址的access-list，可以指定协议端口

<2000-2699>

基于源和目标地址的access-list，可以指定协议端口

<2700-2999>

基于源和目标地址的access-list，只能适用于TCP和UDP协议，可以指定协议端口

基于源地址的access-list

对进入接口的数据包进行访问控制设定安全域启用 access-list 1，对进入接口的数据包进行访问控制 SmartHammer (config-security-policy)# ip access-group 1 in

提示

Access-list 本身没有缺省策略。在没有启用自适应安全过滤功能的情况下，启用空的 access-list 表示不对数据包进行过滤。

19.3 ip access-group out 命令格式

ip access-group (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) out no ip access-group out

命令功能

19-2

设定用户自定义安全域配置中的 access-list，对离开使用此安全域的接口的数据进行访问控制。

第 19 章自适应安全过滤命令

第三部分防火墙命令

命令模式

安全域配置模式

参数说明

参数 <1-99>

说明

<100-199>

基于源和目标地址的access-list

<1300-1999>

基于源地址的access-list，可以指定协议端口

<2000-2699>

基于源和目标地址的access-list，可以指定协议端口

<2700-2999>

基于源和目标地址的access-list，只能适用于 TCP和UDP协议，可以指定协议端口

基于源地址的access-list

使用指导

对离开接口的数据包进行访问控制，即对接口所接入的安全域进行保护

配置实例

设定安全域启用 access-list 2，对离开接口的数据包进行访问控制 SmartHammer (config-security-policy)# ip access-group 2 out

提示

Access-list 本身没有缺省策略。在没有启用自适应安全过滤功能的情况下，启用空的 access-list 表示不对数据包进行过滤。

19.4 ip security-level 命令格式

ip security-level <10-39> ip security-level <40-69> ip security-level <70-99> no ip security-level

命令功能

调整安全域的安全级别，限制级安全域使用安全级别范围为<10-39>，控制级安全域使用安全级别为<40-69>，保护级安全域使用安全级别为<70–99 >。

命令模式

安全域配置模式

参数说明

默认状态

参数 <10-39>

说明

<40-69>

控制级安全域安全级别，40最高，69最低

<70-99>

保护级安全域安全级别，99最高，70最低

限制级安全域安全级别，39最高，10最低

限制级安全域默认安全级别为 20，控制级安全域默认安全级别为 50， 19-3

第 19 章自适应安全过滤命令

第三部分防火墙命令

保护级安全域默认安全级别为 80。使用 no 命令后安全级别值恢复其安全域的默认安全级别。使用指导

与 ip service adaptive-security 结合使用。没有启用 adaptive-security 功能时没有意义。

配置实例

设置用户自定义控制级安全域安全级别为 89 SmartHammer (config-security-policy)# ip security-level 89

相关命令

ip service adaptive-security

19.5 ip security-policy 命令格式

ip security-policy ( general| restricted| controlled| protected| isolated| NAME) no ip security-policy NAME)]

[( general| restricted| controlled| protected| isolated|

命令功能

在指定接口上应用指定的安全域

命令模式

接口模式

参数说明

可以使用系统初始设定的安全域；也可以使用用户自定义的安全域。

默认状态

系统默认 ge0 接口使用 restricted 安全域，ge1 接口使用 protected 安全域，其他 ge 接口使用 controlled 安全域

配置实例

在接口上应用隔离安全域设置 SmartHammer(config-if)#ip security-policy isolated

19.6 local ip security-policy 命令格式

ip security-policy (unrestricted| general| restricted| controlled| protected| isolated| NAME) no local ip security-policy protected| isolated| NAME)]

19-4

命令功能

指定设备本身的安全域

命令模式

全局配置模式

[(unrestricted| general| restricted| controlled|

第 19 章自适应安全过滤命令

第三部分防火墙命令

参数说明

可以使用系统初始设定的安全域；也可以使用用户自定义的安全域。

默认状态

系统默认使用 protected 安全域

配置实例

在接口上应用隔离安全域设置 SmartHammer(config)#local ip security-policy isolated

19.7 ip servic adaptive-security 命令格式

ip servic adaptive-security no ip servic adaptive-security

命令功能

启用自适应安全过滤功能

命令模式

全局配置模式

默认状态

系统默认为开启。

使用指导

可通过调整各安全域安全级别达到对各安全域的访问控制和有效保护。

配置实例

设置启用自适应安全过滤功能 SmartHammer(config)#ip servic adaptive-security

19.8 show security-policy 命令格式

show security-policy [NAME]

命令功能

显示安全域设定

命令模式

特权模式

参数说明

指定安全域名称后将显示指定安全域设定，未指定名称则限制所有安全域设定。

19.9 debug acl 命令格式

debug acl no debug acl

19-5

第 19 章自适应安全过滤命令

19-6

命令功能

控制 ACL 调试信息

命令模式

特权模式

默认状态

ACL 的调试信息处于关闭状态

第三部分防火墙命令

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

20

第20章

基于状态的资源和连接控制命令

20.1 debug inspect 命令格式

{no} debug inspect (tcp|udp|icmp|generic|flow)

命令功能

调试 TCP、UDP、ICMP 其它协议或者基于 ACL 的流数限制 inspect 流程取消调试 inspect

命令模式参数说明

特权模式参数 (tcp|udp|icmp|generic|flow)

说明 TCP、UDP、ICMP其它协议,基于ACL 的流数限制的inspect调试

默认状态

无调试

使用指导

可以使用 debug 跟踪 inspect 的工作流程

配置实例

调试 TCP 的 inspect 流程，使用以下命令： SmartHammer(config)#debug ip inspect tcp

提示

调试不包括错误提示，并且打开后会在命令行上打印大量信息，消耗大量资源，影响设备正常工作，因此建议用户，当调试结束时，一定要用 no debug 命令禁用此功能

20.2 ip inspect idletime 命令格式

ip inspect idletime <0-2592000> (tcp|udp|icmp|generic) no ip inspect idletime (tcp|udp|icmp|generic|all)

20-1

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

命令功能

设置 tcp、Udp、Icmp、其它协议超时时间

命令模式

配置模式

参数说明

参数 <0-2592000>

说明各协议超时时间。值域范围为<0-2592000>，最长30天。

默认状态

tcp

TCP协议

udp

UDP协议

icmp

ICMP协议

generic

其它所有协议

默认状态下： TCP 连接超时时间 3600 seconds UDP 连接超时时间 30 seconds ICMP 连接超时时间 10 seconds generic 连接超时时间 30 seconds

使用指导

此命令用来设置，各协议的连接超时时间。此命令 TCP 针对连接(即 TCP 的三次握手成功)，UDP 针对有应答报文，ICMP 为半连接超时时间。

配置实例

设置各协议的连接超时时间，使用以下命令： SmartHammer(config)#ip inspect idletime 86400 tcp SmartHammer(config)#ip inspect idletime 180 udp SmartHammer(config)#ip inspect idletime 30 icmp SmartHammer(config)#ip inspect idletime 600 generic

恢复所有连接超时时间为缺省值，使用以下命令： SmartHammer(config)#no ip inspect idletime all

相关命令

ip inspect udp halfopen idletime <0-3600>

提示

如果配置 tcp 超时时间很小，会造成超时后设备断开 tcp 连接，而 Client 和 Server 一无所知，而继续发 Ack 报文，这样防火墙的状态检测会认为是非法报文。此命令对已经建立的连接无效，这些连接还按照以前的设置生效，新的连接会按照新的设置值生效。

20-2

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

20.3 ip inspect max <0-655360> 命令格式

ip inspect max <0-655360> no ip inspect max

命令功能

设置系统所允许的最大连接数目(包含半连接)，包括半连接和已建立连接。

命令模式

配置模式

参数说明

参数 <0-655360>

说明系统所有连接数目

默认状态

默认情况下允许最大连接数目 655360。

使用指导

可以用此命令来限制系统所允许的最大连接数目。如果配置了最大连接数目为 0，则将不会有任何连接建立。提示

配置实例

设置 SmartHammer 允许最大连接数目（为 50000），使用以下命令： SmartHammer(config)#ip inspect max

50000

恢复设置 SmartHammer 允许最大连接数目，使用以下命令： SmartHammer(config)#no ip inspect max

相关命令

ip inspect max <0-655360> (tcp|udp|icmp|generic) no ip inspect max (tcp|udp|icmp|generic)

20.4 ip inspect maxincomplete high NUMBER 命令格式

ip inspect maxincomplete high NUMBER no ip inspect maxincomplete high

命令功能

设置系统所允许的半连接数目高警戒线

命令模式

配置模式

参数说明

参数 NUMBER

说明系统半连接数目高警戒线。值域范围为<-1-655360>，其中-1代表不限制高警戒线。 20-3

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

默认状态

默认状态下为 500。

使用指导

此命令用来设置系统所允许的半连接数目高警戒线，当系统的半连接数目达到高警戒线时，会删除半连接直到达到低警戒线水平，以保护设备，同时也可以保证网络上存在大量半连接报文时，在高低警戒线间正常连接报文可以通过。请根据实际网络情况确定警戒线值。

提示

如果配置了高警戒线为-1，则不对系统的半连接进行限制；如果配置了高警戒线为 0，则不允许建立半连接，这也意味着不允许建立连接。恢复缺省值时，如果配置的低警戒线值高于缺省高警戒线，系统会提示配置错误。

配置实例

设置系统所允许的半连接数目高警戒线（为 1000），使用以下命令： SmartHammer(config)#ip inspect maxincomplete high 1000

恢复系统所允许的半连接数目高警戒线，使用以下命令： SmartHammer(config)#no ip inspect maxincomplete high

相关命令

ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic) no ip inspect maxincomplete high (tcp|udp|icmp|generic)

20.5 ip inspect maxincomplete low NUMBER 命令格式

ip inspect maxincomplete low NUMBER no ip inspect maxincomplete low

命令功能

设置系统所允许的半连接数目低警戒线

命令模式

配置模式

参数说明

默认状态

20-4

参数 NUMBER

说明系统半连接数目低警戒线。值域范围为<-1-655360>。

默认状态下为 400。

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

使用指导

此命令用来设置系统所允许的半连接数目低警戒线，当系统的半连接数目达到高警戒线时，会删除半连接直到达到低警戒线水平，以保护设备，同时也可以保证网络上存在大量半连接报文时，在高低警戒线间正常连接报文可以通过。请根据实际网络情况确定警戒线值。如果配置了低警戒线为-1，则当做 0 处理。提示

配置实例

恢复缺省值时，如果配置的高警戒线低于缺省低警戒线，则系统会提示配置错误。

设置系统所允许的半连接数目低警戒线（为 800），使用以下命令： SmartHammer(config)#ip inspect maxincomplete low 800

恢复系统所允许的半连接数目低警戒线，使用以下命令： SmartHammer(config)#no ip inspect maxincomplete low

相关命令

ip inspect maxincomplete high NUMBER ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic)

20.6 ip inspect one-minute high NUMBER 命令格式

ip inspect one-minute high NUMBER no ip inspect one-minute high

命令功能

设置系统所允许的每分钟半连接数目高警戒线

命令模式

配置模式

参数说明

参数 NUMBER

说明系统每分钟半连接数目高警戒线。值域范围为<-1-655360>，其中-1代表不限制高警戒线。

默认状态使用指导

默认状态下为 500。此命令用来设置系统所允许的每分钟半连接数目高警戒线，当系统的每分钟半连接数目达到高警戒线时，会删除半连接直到达到低警戒线水平，以保护设备，同时也可以保证网络上存在大量半连接报文时，在高低警戒线间正常连接报文可以通过。请根据实际网络情况确定警戒线值。 20-5

第 20 章基于状态的资源和连接控制命令

提示

第三部分防火墙命令

如果配置了高警戒线为-1，则不对系统的每分钟半连接进行限制；如果配置了高警戒线为 0，则不允许建立半连接，这也意味着不允许建立连接。恢复缺省值时，如果配置了低警戒线，并且低警戒线值高于此缺省值，系统会提示配置错误。

配置实例

设置系统所允许的每分钟半连接数目高警戒线（为 600），使用以下命令： SmartHammer(config)#ip inspect one-minute high 600

恢复系统所允许的每分钟半连接数目高警戒线，使用以下命令： SmartHammer(config)#no ip inspect one-minute high

相关命令

ip inspect one-minute low NUMBER ip inspect one-minute high NUMBER (tcp|udp|icmp|generic)

20.7 ip inspect one-minute low NUMBER 命令格式

ip inspect one-minute low NUMBER no ip inspect one-minute low

命令功能

设置系统所允许的每分钟半连接数目低警戒线

命令模式

配置模式

参数说明

参数 NUMBER

说明系统半连接数目低警戒线，值域范围为<-1-655360>。

默认状态

默认状态下为 400。

使用指导

此命令用来设置系统所允许的每分钟半连接数目低警戒线，当系统的每分钟半连接数目达到高警戒线时，会删除半连接直到达到低警戒线水平，以保护设备，同时也可以保证网络上存在大量半连接报文时，在高低警戒线间正常连接报文可以通过。请根据实际网络情况确定警戒线值。如果配置了低警戒线为-1，则当做 0 处理。提示

配置实例

20-6

恢复缺省值时，如果配置了高警戒线，并且高警戒线值低于此缺省值，系统会提示配置错误。

设置系统所允许的每分钟半连接数目低警戒线为 500，使用以下命令：

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

SmartHammer(config)#ip inspect one-minute low 500

恢复系统所允许的每分钟半连接数目低警戒线为缺省值，使用以下命令： SmartHammer(config)#no ip inspect one-minute low

相关命令

ip inspect one-minute high NUMBER ip inspect one-minute low NUMBER (tcp|udp|icmp|generic)

20.8 ip inspect max <0-655360> (tcp|udp|icmp|generic) 命令格式

ip inspect max <0-655360> (tcp|udp|icmp|generic) no ip inspect max (tcp|udp|icmp|generic|all)

命令功能

设置 TCP、UDP、ICMP、其它协议所允许的最多连接数目(包括连接和半连接)

命令模式

配置模式

参数说明

参数 <0-655360>

说明每协议的所有连接数目(包括连接和半连接)，值域范围为<0-655360>

tcp

TCP协议

udp

UDP协议

icmp

ICMP协议

generic

其它所有协议

默认状态

默认状态下为 655360。

使用指导

可以根据实际情况，合理分配 tcp、udp、icmp、generic(其它所有协议)，所占连接数目的比例。

提示

配置实例

如果配置了协议最大连接数目为 0，则将不会有任何该协议连接建立。

设置各协议所允许的连接数目，使用以下命令： SmartHammer(config)#ip inspect max 100000 tcp SmartHammer(config)#ip inspect max 50000 udp SmartHammer(config)#ip inspect max 1000 icmp SmartHammer(config)#ip inspect max 100000 generic

20-7

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

恢复各协议所允许的连接数目为缺省值，使用以下命令： SmartHammer(config)#no ip inspect max all

相关命令

ip inspect max

20.9 ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic) 命令格式

ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic) no ip inspect maxincomplete high (tcp|udp|icmp|generic|all)

命令功能

设置各协议所允许的半连接数目高警戒线

命令模式

配置模式

参数说明

参数 NUMBER

说明各协议半连接数目高警戒线。值域范围为<-1-655360>，其中-1代表不限制高警戒线。

tcp

TCP协议

udp

UDP协议

icmp

ICMP协议

generic

其它所有协议

默认状态

默认状态下为 500。

使用指导

此命令用来设置指定协议所允许的半连接数目高警戒线，当指定协议的半连接数目达到高警戒线时，会删除半连接直到达到低警戒线水平，以保护设备，同时也可以保证网络上存在大量指定协议半连接报文时，在高低警戒线间正常连接报文可以通过。请根据实际网络情况确定警戒线值。

提示

如果配置了高警戒线为-1，则不对指定协议的半连接进行限制；如果配置了高警戒线为 0，则不允许指定协议建立半连接，这也意味着不允许指定协议建立连接。恢复缺省值时，如果配置的低警戒线高于缺省的高警戒线，则系统会提示配置错误。

配置实例

设置各协议所允许的半连接数目高警戒线，使用以下命令： SmartHammer(config)#ip inspect maxincomplete high 1000 tcp SmartHammer(config)#ip inspect maxincomplete high 1000 udp SmartHammer(config)#ip inspect maxincomplete high 100 icmp SmartHammer(config)#ip inspect maxincomplete high 1000 generic

20-8

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

恢复各协议所允许的半连接数目高警戒线为缺省值，使用以下命令： SmartHammer(config)#no ip inspect maxincomplete high all

相关命令

ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic) ip inspect maxincomplete high NUMBER

20.10 ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic) 命令格式

ip inspect maxincomplete low NUMBER (tcp|udp|icmp|generic) no ip inspect maxincomplete low (tcp|udp|icmp|generic|all)

命令功能

设置 tcp、Udp、Icmp、其它协议所允许的半连接数目低警戒线

命令模式

配置模式

参数说明

默认状态使用指导

参数 NUMBER

各协议半连接数目低警戒线，值域范围为<-1-655360>。

说明

tcp

TCP协议

udp

UDP协议

icmp

ICMP协议

generic

其它所有协议

默认状态下为 400。此命令用来设置指定协议所允许的半连接数目低警戒线，当指定协议的半连接数目达到高警戒线时，会删除半连接直到达到低警戒线水平，以保护设备，同时也可以保证网络上存在大量指定协议半连接报文时，在高低警戒线间正常连接报文可以通过。请根据实际网络情况确定警戒线值。如果配置了低警戒线为-1，则当做 0 处理。提示

配置实例

恢复缺省值时，如果配置的高警戒线低于缺省的低警戒线，则系统会提示配置错误。

设置各协议所允许的半连接数目低警戒线，使用以下命令： SmartHammer(config)#ip inspect maxincomplete low 800 tcp SmartHammer(config)#ip inspect maxincomplete low 800 udp SmartHammer(config)#ip inspect maxincomplete low 80 icmp SmartHammer(config)#ip inspect maxincomplete low 800 generic

20-9

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

恢复各协议所允许的半连接数目低警戒线为缺省值，使用以下命令： SmartHammer(config)#no ip inspect maxincomplete low all

相关命令

ip inspect maxincomplete high NUMBER (tcp|udp|icmp|generic)

20.11 ip inspect one-minute high NUMBER (tcp|udp|icmp|generic) 命令格式

ip inspect one-minute high NUMBER (tcp|udp|icmp|generic) no ip inspect one-minute high (tcp|udp|icmp|generic|all)

命令功能

设置 tcp、Udp、Icmp、其它协议所允许的每分钟半连接数目高警戒线

命令模式

配置模式

参数说明

参数 NUMBER

说明各协议每分钟半连接数目高警戒线。值域范围为<-1-655360>，其中-1 代表不限制高警戒线。

tcp

TCP协议

udp

UDP协议

icmp

ICMP协议

generic

其它所有协议

默认状态

默认状态下为 500。

使用指导

此命令用来设置指定协议所允许的每分钟半连接数目高警戒线，当指定协议的每分钟半连接数目达到高警戒线时，会删除半连接直到达到低警戒线水平，以保护设备，同时也可以保证网络上存在大量指定协议半连接报文时，在高低警戒线间正常连接报文可以通过。请根据实际网络情况确定警戒线值。

提示

如果配置了高警戒线为-1，则不对指定协议的每分钟半连接进行限制；如果配置了高警戒线为 0，则不允许建立半连接，这也意味着不允许建立连接。恢复缺省值时，如果配置的低警戒线高于缺省的高警戒线，则系统会提示配置错误。

配置实例

20-10

设置各协议所允许的每分钟半连接数目高警戒线，使用以下命令：

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

SmartHammer(config)#ip inspect one-minute high 1000 tcp SmartHammer(config)#ip inspect one-minute high 1000 udp SmartHammer(config)#ip inspect one-minute high 100 icmp SmartHammer(config)#ip inspect one-minute high 1000 generic

恢复各协议所允许的每分钟半连接数目高警戒线为缺省值，使用以下命令： SmartHammer(config)#no ip inspect one-minute high all

相关命令

ip inspect one-minute low NUMBER (tcp|udp|icmp|generic)

20.12 ip inspect one-minute low NUMBER (tcp|udp|icmp|generic) 命令格式

ip inspect one-minute low NUMBER (tcp|udp|icmp|generic) no ip inspect one-minute low (tcp|udp|icmp|generic|all)

命令功能

设置 tcp、Udp、Icmp、其它协议所允许的每分钟半连接数目低警戒线

命令模式

配置模式

参数说明

默认状态使用指导

参数 NUMBER

说明协议半连接数目低警戒线，值域范围为<-1-655360>。

tcp

TCP协议

udp

UDP协议

icmp

ICMP协议

generic

其它所有协议

默认状态下为 400。此命令用来设置指定协议所允许的每分钟半连接数目低警戒线，当指定协议的每分钟半连接数目达到高警戒线时，会删除半连接直到达到低警戒线水平，以保护设备，同时也可以保证网络上存在大量指定协议半连接报文时，在高低警戒线间正常连接报文可以通过。请根据实际网络情况确定警戒线值。如果配置了低警戒线为-1，则当做 0 处理。提示

配置实例

恢复缺省值时，如果配置的高警戒线低于缺省的低警戒线，则系统会提示配置错误。

设置各协议所允许的每分钟半连接数目低警戒线，使用以下命令： SmartHammer(config)#ip inspect one-minute low 800 tcp SmartHammer(config)#ip inspect one-minute low 800 udp

20-11

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

SmartHammer(config)#ip inspect one-minute low 80 icmp SmartHammer(config)#ip inspect one-minute low 800 generic

恢复所有协议所允许的每分钟半连接数目低警戒线为缺省值，使用以下命令： SmartHammer(config)#no ip inspect one-minute low all

相关命令

ip inspect one-minute high NUMBER (tcp|udp|icmp|generic)

20.13 ip inspect max flow list 命令格式

ip inspect max flow <0-655360> (src|dst|dst-dport) list ACCESS-LIST no ip inspect max flow list ACCESS-LIST

命令功能

设置基于 ACL 的主机连接数限制

命令模式

配置模式

参数说明

参数 <0-655360>

说明

(src|dst|dst-dport)

指定限制种类：源，目的或者目的+目的端口号

list ACCESS-LIST

ACL名称

限制的连接数目值，值域范围为<0-655360>。

默认状态

无限制

使用指导

如果限制某些(或某个)主机可以建立的流数，可以通过指定 src 关键字来限制。如果为保护某个(或某些)Server，限制它们可以接受的流数，可以通过指定 dst 关键字来限制。如果为保护某个(或某些)Server 上的特殊服务，限制它们可以接受的流数，可以通过指定 dst-dport 关键字来限制。如果需要取消对某些主机的流数限制，可以使用 no 命令。或者取消相应的 ACCESS-LIST 也可以。

提示

配置实例

如果 ACL 配置范围较大，会所有主机或者主机+端口号进行限制，会占用大量空间。

设置基于 ACL 的主机连接数限制，使用以下命令： SmartHammer(config)#ip inspect max flow 5 src list 88

20-12

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

取消基于 ACL 的主机连接数限制，使用以下命令： SmartHammer(config)#no ip inspect max flow list 88

相关命令

show ip inspect information (tcp|udp|icmp|generic|flow)

20.14 ip inspect tcp close-time 命令格式

ip inspect tcp close-time <0-2592000> no ip inspect tcp close-time

命令功能

设置 tcp 协议 close 超时时间

命令模式

配置模式

参数说明

参数 <0-2592000>

说明设置tcp协议close超时时间，单位为秒。值域范围为<0-2592000>。

默认状态

默认状态下为 5 seconds。

使用指导

如果 Client 发出 SynSent，Server 直接应答 Rst，则 Client 进入关闭状态。 closetime 就是收到 Rst 报文后的老化时间，对于连接关闭后。

配置实例

设置 tcp 协议 close 超时时间，使用以下命令： SmartHammer(config)#ip inspect tcp close-time 4

恢复 tcp 协议 close 超时时间为缺省值，使用以下命令： SmartHammer(config)#no ip inspect tcp close-time

相关命令

ip inspect tcp finwait-time <0-2592000> ip inspect tcp timewait-time <0-2592000> ip inspect tcp closewait-time <0-2592000>

20.15 ip inspect tcp closewait-time 命令格式

ip inspect tcp closewait-time <0-2592000> no ip inspect tcp closewait-time

命令功能

设置 tcp 协议 closewait 超时时间 20-13

第 20 章基于状态的资源和连接控制命令

命令模式参数说明

第三部分防火墙命令

配置模式参数 <0-2592000>

说明设置tcp协议closewait超时时间，单位为秒。值域范围为<0-2592000>。

默认状态

默认状态下为 5 seconds。

使用指导

Server 主动发 FIN 请求，Client 回应 ACK，整个 TCP 连接结束。

tcp closewait 超时时间是指当设备收到 Server 发送的 fin 报文后，进入 closewait 状态，直到收到 Client 发送的 ack 报文前的超时时间。配置实例

设置 tcp 协议 closewait 超时时间，使用以下命令： SmartHammer(config)#ip inspect tcp closewait-time 4

恢复 tcp 协议 closewait 超时时间为缺省值，使用以下命令： SmartHammer(config)#no ip inspect tcp closewait-time

相关命令

ip inspect tcp finwait-time <0-2592000> ip inspect tcp timewait-time <0-2592000> ip inspect tcp close-time <0-2592000>

20.16 ip inspect tcp finwait-time 命令格式

ip inspect tcp finwait-time <0-2592000> no ip inspect tcp finwait-time

命令功能

设置 tcp 协议 fin 超时时间

命令模式

配置模式

参数说明

参数 <0-2592000>

说明设置tcp协议fin超时时间，单位为秒。值域范围为<0-2592000>。

默认状态

20-14

默认状态下为 5 seconds。

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

使用指导

此命令设置 tcp finwait 超时时间，当设备收到 Client 发送的 fin 报文后，进入 finwait 状态，直到收到 Server 发送的 ack 报文前的等待时间。当收到 ack 后，继续等待 Server 的 fin 报文，也是 finwait 超时时间。

提示

配置实例

如果设置过小，可能导致 client 或者 server 的 tcp 状态机非正常老化。

设置 tcp 协议 fin 超时时间，使用以下命令： SmartHammer(config)#ip inspect tcp finwait-time 4

恢复 tcp 协议 fin 超时时间为缺省值，使用以下命令： SmartHammer(config)#no ip inspect tcp finwait-time

相关命令

ip inspect tcp closewait-time <0-2592000> ip inspect tcp timewait-time <0-2592000> ip inspect tcp close-time <0-2592000>

20.17 ip inspect udp halfopen idletime 命令格式

ip inspect udp halfopen idletime <0-3600> no ip inspect udp halfopen idletime

命令功能

设置 udp 协议半连接超时时间

命令模式

配置模式

参数说明

参数 <0-3600>

说明 udp协议半连接超时时间，单位为秒。值域范围为<0-3600>。

默认状态

默认状态下为 10 seconds。

使用指导

如果网络上出现大量 udp 半连接攻击，可以适当减小超时值，以快速老化 udp 半连接。

配置实例

设置 udp 协议半连接超时时间为 5seconds，使用以下命令： SmartHammer(config)#ip inspect udp halfopen idletime 5

恢复 udp 协议半连接超时时间为缺省值，使用以下命令： 20-15

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

SmartHammer(config)#no ip inspect udp halfopen idletime

20.18 ip inspect tcp synrecv-time 命令格式

ip inspect tcp synrecv-time <0-2592000> no ip inspect tcp synrecv-time

命令功能

设置 tcp 协议 synrecv 超时时间，等待 Client 对 Server 的确认

命令模式

配置模式

参数说明

参数 <0-2592000>

说明各协议超时时间。值域范围为<0-2592000>。

默认状态

默认状态下为 10 seconds。

使用指导

此命令用来设置设备收到 Server 发送的 ack 报文后，发送给 Client，然后等待的超时时间，如果 Client 为伪装，可以设置较小值。请根据实际网络情况确定。

配置实例

设置 tcp 协议 synrecv 超时时间，使用以下命令： SmartHammer(config)#ip inspect tcp synrecv-time 5

恢复 tcp 协议 synrecv 超时时间为缺省值，使用以下命令： SmartHammer(config)#no ip inspect tcp synrecv-time

相关命令

ip inspect tcp synsent-time <0-2592000>

提示

如果设置超时值过小，可能导致无法建立连接。可以设置较小值，防止 syn-flood 攻击。

20.19 ip inspect tcp synsent-time 命令格式

ip inspect tcp synsent-time <0-2592000> no ip inspect tcp synsent-time

命令功能

20-16

设置 tcp 协议 synsent 超时时间，等待 Server 应答确认的时间

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

命令模式参数说明

配置模式参数 <0-2592000>

说明各协议超时时间。值域范围为<0-2592000>。

默认状态

默认状态下为 20 seconds。

使用指导

此命令用来设置设备收到 Client 发送的 syn 报文后，发送给 Server，然后等待的超时时间，如果 Server 比较忙，可以设置较大值。请根据实际网络情况确定。

配置实例

设置 tcp 协议的设备等待 server 应答的超时时间，使用以下命令： SmartHammer(config)#ip inspect tcp synsent-time 30

恢复 tcp 协议 synsent 超时时间为缺省值，使用以下命令： SmartHammer(config)#no ip inspect tcp synsent-time

相关命令

ip inspect tcp synrecv-time <0-2592000>

如果设置超时值过小，可能导致无法建立连接。提示

可以设置较大值，防止 server 响应不过来。

20.20 ip inspect tcp timewait-time 命令格式

ip inspect tcp timewait-time <0-2592000> no ip inspect tcp timewait-time

命令功能

设置 tcp 协议 timewait 超时时间

命令模式

配置模式

参数说明

参数 <0-2592000>

说明设置tcp协议timewait超时时间，单位为秒。值域范围为<0-2592000>。

默认状态

默认状态下为 5 seconds。

20-17

第 20 章基于状态的资源和连接控制命令

使用指导

第三部分防火墙命令

Client 主动发 fin 请求，Server 会回应 ack,然后发送 fin 报文，Client 发 ack 回应，整个 tcp 连接结束。 tcp timewait 超时时间是指,当设备收到 Server 发送的 fin 报文后，进入 timewait 状态，直到收到 Client 发送的 ack 报文前的超时时间

配置实例

设置 tcp 协议 timewait 超时时间，使用以下命令： SmartHammer(config)#ip inspect tcp timewait-time 4

恢复 tcp 协议 timewait 超时时间为缺省值，使用以下命令： SmartHammer(config)#no ip inspect tcp timewait-time

相关命令

ip inspect tcp finwait-time <0-2592000> ip inspect tcp closewait-time <0-2592000> ip inspect tcp close-time <0-2592000>

20.21 show ip inspect information 命令格式

show ip inspect information

命令功能

显示 ip inspect 的配置信息

命令模式

特权模式，用户模式

使用指导

显示所有 ip inspect 的配置信息

配置实例

显示 ip inspect 的配置信息，使用以下命令： SmartHammer(config)#show ip inspect information

相关命令

show ip inspect information (tcp|udp|icmp|generic|flow)

20.22 show ip inspect information (tcp|udp|icmp|generic|flow) 命令格式

show ip inspect information (tcp|udp|icmp|generic|flow)

命令功能

分别显示 ip inspect 的各协议以及基于 ACL 的主机流限制配置信息

命令模式

特权模式，用户模式

参数说明

20-18

参数

说明

第 20 章基于状态的资源和连接控制命令

第三部分防火墙命令

(tcp|udp|icmp|generic|flow)

TCP、UDP、ICMP或者其它协议，基于ACL 的主机流限制配置信息。

使用指导

可以按协议显示配置信息，或者显示基于 ACL 的主机流限制配置信息。

配置实例

显示 ip inspect 的 tcp 协议配置信息，使用以下命令： SmartHammer(config)#show ip inspect information tcp

相关命令

show ip inspect information

20.23 show ip inspect statistics 命令格式

show ip inspect statistics

命令功能

显示 ip inspect 的统计信息

命令模式

特权模式，用户模式

使用指导

可以用来显示 inspect 对系统，tcp，udp，icmp，其它协议的连接和半连接统计。

配置实例

显示当前系统的连接和半连接统计，使用以下命令： SmartHammer(config)#show ip inspect statistics

相关命令

show ip inspect statistics (tcp|udp|icmp|generic|flow)

20.24 show ip inspect statistics (tcp|udp|icmp|generic|flow) 命令格式

show ip inspect statistics (tcp|udp|icmp|generic|flow)

命令功能

显示 inspect 的统计信息

命令模式

特权模式，用户模式

参数说明

使用指导

参数 (tcp|udp|icmp|generic|flow)

说明 TCP、UDP、ICMP和其它协议，基于ACL 的主机流限制统计信息。

可以分别用来显示 inspect 对 tcp，udp，icmp，其它协议的连接和半连接统计。还可以用来显示 inspect 对主机流数的统计。 20-19

第 20 章基于状态的资源和连接控制命令

配置实例

第三部分防火墙命令

显示基于 ACL 的主机连接数限制统计，使用以下命令： SmartHammer(config)#show ip inspect statistics flow

相关命令

show ip inspect statistics

20.25 show ip inspect idletime 命令格式

show ip inspect idletime (tcp|udp|icmp|generic)

命令功能

显示 TCP、UDP、ICMP 或者其它协议超时时间配置信息

命令模式

特权模式，用户模式

参数说明

参数 (tcp|udp|icmp|generic)

说明 TCP、UDP、ICMP或者其它协议超时时间配置信息。

使用指导

可以使用此功能显示对超时时间的配置信息。

配置实例

显示所有超时时间配置信息，使用以下命令： SmartHammer(config)#show ip inspect idletime

20-20

第 21 章 NAT 命令

第三部分防火墙命令

21

第21章

NAT 命令

21.1 clear ip nat translations 命令格式

clear ip nat translations

命令功能

清除目前的地址转换的连接信息，执行命令后会导致当前 NAT 转换的连接断开

命令模式

特权模式

配置实例

清除地址转换的连接信息 SmartHammer#clear ip nat translations

21.2 debug nat 命令格式

{no}debug nat

命令功能

在命令行终端输出地址转换的相关信息，用于调试地址转换功能

命令模式

特权模式

配置实例

对地址转换功能进行调试 SmartHammer#debug nat

21.3 ip nat destination (tcp|udp) A.B.C.D <0-65535> A.B.C.D [<0-65535>] 命令格式

{no}ip nat NAME destination (tcp|udp) A.B.C.D <0-65535> A.B.C.D [<0-65535>]

命令功能

配置针对目标地址的 NAT，将满足指定目标地址和目标端口的数据包的目标地址和端口进行转换，转换为另外的地址和端口

命令模式

全局配置模式

21-1

第 21 章 NAT 命令

参数说明

第三部分防火墙命令

参数

说明

NAME

NAT 规则链的名字

tcp

Transmission Control Protocol

udp

User Datagram Protocol

A.B.C.D

数据包的原有目标地址

<0-65535>

数据包的原有目标端口

A.B.C.D

转换后的目标地址

<0-65535>

转换后的目标端口，如不指定则端口不转换

使用指导

针对特定的服务端口，进行目标地址和目标端口的转换。可隐藏内部地址和服务端口

配置实例

配置一条 NAT 转换规则，将协议为 TCP，目标地址 200.1.1.1，端口为 80 的数据包的目标地址转换为 172.16.0.1，端口转换为 8080 SmartHammer(config)#ip nat outside destination tcp 200.1.1.1 80 172.16.0.1 8080

21.4 ip nat destination A.B.C.D (A.B.C.D|NAME) 命令格式

{no}ip nat NAME destination A.B.C.D (A.B.C.D|NAME)

命令功能

配置针对目标地址的 NAT，将满足指定目标地址的数据包的目标地址进行转换，转换为另外一个固定地址或一组地址

命令模式

全局配置模式

参数说明

参数

说明

NAME

NAT 规则链的名字

A.B.C.D

数据包的原有目标地址

A.B.C.D

转换后的目标地址

NAME

转换后的地址池的名字，由 ip nat pool 定义

使用指导

针对目标地址的转换，可隐藏内部地址

配置实例

配置一条 NAT 转换规则，将目标地址 200.1.1.1 的数据包的目标地址转换为 172.16.0.1 SmartHammer(config)#ip nat outside destination 200.1.1.1 172.16.0.1

再配置一条 NAT 转换规则，将目标地址 200.1.1.2 的数据包的目标地址转换为到一个地址池中 21-2

第 21 章 NAT 命令

第三部分防火墙命令

SmartHammer(config)#ip nat outside destination 200.1.1.2 webserver

21.5 ip nat destination list 命令格式

{no}ip nat NAME destination

list <2700-2999> (A.B.C.D|local)

[<0-65535>]

命令功能

配置针对目标地址的 NAT，将满足指定 access-list 的数据包的目标地址和端口进行转换，目标地址转换为指定的地址或设备接口地址，如配置了端口，将目标端口转换为指定的端口

命令模式

全局配置模式

参数说明

参数

说明

NAME

NAT 规则链的名字

<2700-2999>

Access-list 的名字

A.B.C.D

转换后的目标地址

local

转换为设备接口地址

<0-65535>

转换后的目标端口，如不指定则端口不转换

使用指导

用于数据的重定向，目标主机必须提供相应的功能支持，一般情况下不使用此功能

配置实例

配置一条 NAT 转换规则，将满足 access-list 2700 的数据包的目标地址转换为 172.16.0.1，端口转换为 8080 SmartHammer(config)#ip nat outside destination list 2700 172.16.0.1 8080

再配置一条 NAT 转换规则，将满足 access-list 2701 的数据包的目标地址转换为设备接口地址 SmartHammer(config)#ip nat outside destination list 2701 local

21.6 ip nat source list 命令格式

{no}ip nat NAME source list (<1-99>|<100-199>|<1300-1999>|<2000-2699>|<2700-2999>) (A.B.C.D|interface|pool NAME)

命令功能

配置针对源地址的 NAT，将满足指定 access-list 的数据包的源地址进行转换，转换为指定的地址、出口地址或地址池

命令模式

全局配置模式 21-3

第 21 章 NAT 命令

参数说明

第三部分防火墙命令

参数

说明

<1-99>

基于源地址的 access-list

<100-199>

基于源和目标地址的 access-list

<1300-1999>

基于源地址的 access-list，可以指定协议端口

<2000-2699>

基于源和目标地址的 access-list，可以指定协议端口

<2700-2999>

基于源和目标地址的 access-list，只能适用于 TCP 和 UDP 协议，可以指定协议端口

A.B.C.D

转换后的源地址

interface

转换为出口 interface 的地址

pool NAME

转换后的源地址池

使用指导

动态地址转换，可用于弥补公有地址不足的缺陷，同时对内部主机进行保护

配置实例

配置一条 NAT 转换规则，将满足 access-list 1 的数据包的源地址转换为 200.1.1.1 SmartHammer(config)#ip nat inside source list 1 200.1.1.1

再配置一条 NAT 转换规则，将满足 access-list 3 的数据包的源地址转换为出口 interface 的地址 SmartHammer(config)#ip nat inside source list 3 interface

再配置一条 NAT 转换规则，将满足 access-list 2 的数据包的源地址转换为地址池 pool1 中的地址 SmartHammer(config)#ip nat inside source list 2 pool pool1

21.7 ip nat source static 命令格式

{no}ip nat NAME source static A.B.C.D A.B.C.D

命令功能

配置静态地址转换，正向将前一个地址转换为后一个地址，反向将后一个地址转换为前一个地址。

命令模式

全局配置模式

参数说明

参数 NAME

21-4

说明 NAT 规则链的名称

第 21 章 NAT 命令

第三部分防火墙命令

A.B.C.D

正向转换的源地址，一般为内部地址

A.B.C.D

正向转换时转换后的源地址，一般为外部地址

使用指导

配置一对一静态地址映射

配置实例

配置一条静态 NAT 转换规则，将内部地址 172.16.0.1 映射为外部地址 200.0.0.1 SmartHammer(config)#ip nat inside source static 172.16.0.1 200.0.0.1

21.8 ip nat pool netmask 命令格式

ip nat pool NAME A.B.C.D A.B.C.D netmask A.B.C.D no ip nat pool NAME

命令功能

配置地址池，与 NAT 功能配合使用

命令模式

全局配置模式

参数说明

参数

说明

NAME

地址池的名称

A.B.C.D

地址池的起始地址

A.B.C.D

地址池的终止地址

A.B.C.D

地址掩码

使用指导

配置一个地址范围。掩码是网络掩码，仅用来对起始和终止地址进行校验

配置实例

配置一个地址池，范围为 200.0.0.1 到 200.0.0.100 SmartHammer(config)#ip nat pool pool1 200.0.0.1 200.0.0.100 netmask 255.255.255.0

21.9 ip nat 命令格式

{no}ip nat NAME

命令功能

在接口上启用 NAT 规则链

命令模式

以太网接口模式

参数说明

参数

说明

NAME

NAT规则链的名称 21-5

第 21 章 NAT 命令

第三部分防火墙命令

使用指导

源地址转换在出口配置，目标地址转换在进口配置

配置实例

在接口上启用 NAT 规则链 nat1 SmartHammer(config-if)#ip nat nat1

21.10 show ip nat 命令格式

show ip nat

命令功能

显示 NAT 的配置信息

命令模式

特权模式

配置实例

显示 NAT 的配置信息 SmartHammer#show ip nat

21.11 show ip nat pool 命令格式

show ip nat pool

命令功能

显示 NAT 地址池的配置信息

命令模式

特权模式

配置实例

显示 NAT 地址池的配置信息 SmartHammer#show ip nat pool

21.12 show ip nat statistics 命令格式

show ip nat statistics

命令功能

显示地址转换的连接数统计

命令模式

特权模式

配置实例

显示地址转换的连接数统计 SmartHammer#show ip nat statistics

21-6

第 21 章 NAT 命令

第三部分防火墙命令

21.13 show ip nat translations 命令格式

show ip nat translations

命令功能

显示地址转换的连接信息

命令模式

特权模式

配置实例

显示地址转换的连接信息 SmartHammer#show ip nat translations

21-7

第 22 章链路层过滤命令

第三部分防火墙命令

22

第22章

链路层过滤命令

22.1 debug acl 命令格式

{no}debug acl

命令功能

在命令行终端输出包过滤的相关信息，用于调试包过滤功能。

命令模式

特权模式

配置实例

对包过滤功能进行调试 SmartHammer#debug acl

22.2 ethernet access-group Num (in|out) 命令格式

ethernet access-group (<200-299>|<700-799>) (in|out) no ip access-group (in|out)

命令功能

启用接口 access-list，在链路层对进入接口的数据包进行访问控制

命令模式

接口模式

参数说明

使用指导

参数 <200-299>

说明

<700-799>

基于MAC的过滤

基于二层协议和MAC的过滤

在链路层对进入接口的数据包进行访问控制 ethernet access-group 指定的 acess-list 没有缺省策略。启用空的 access-list 表示不对数据包进行过滤。提示

链路层过滤与自适应安全过滤没有关系，自适应安全过滤是 IP 层的基于状态的包过滤，而链路层过滤是链路层的包过滤，没有状态。

22-1

第 22 章链路层过滤命令

配置实例

第三部分防火墙命令

在进入接口启用 access-list 200，对进入接口的数据包进行访问控制. SmartHammer(config-if)#ethernet access-group 200 in

22-2

第四部分

VPN 命令

第四部分 VPN 命令

第 23 章 IPSec VPN 命令

23

第23章

IPSec VPN 命令

23.1 crypto ipsec transform-set 命令格式

crypto ipsec transform-set transform-set-name transform1 [[transform2] transform3] no crypto transform-set transform-set-name

命令功能

定义一套转换集

命令模式

全局配置模式

参数说明

参数 transform-set-name

转换集名

说明

转换集

转换集

转换集

使用指导

转换集是可接受的安全协议和算法组合。两端路由器通过协商达成共识使用某个相同的转换集进行 IPSec 通信。

配置实例

配置使用 md5/3des 的 esp 协议算法组合，使用以下命令： SmartHammer(config)#crypto ipsec transform-set test esp-3des esp-md5-hmac SmartHammer(cfg-crypto-trans)# exit

23.2 crypto isakmp enable 命令格式

{no} crypto isakmp enable

命令功能

配置允许 IKE 协商

命令模式

全局配置模式

23-1

第 23 章 IPSec VPN 命令

第四部分 VPN 命令

默认状态

不允许 IKE 协商

使用指导

IKE 协商默认为允许，IKE 不需要在不同的接口上分别启用，而是在路由器的所有接口上启用.

配置实例

配置禁止 IKE 协商，使用以下命令： SmartHammer(config)#no crypto isakmp enable

23.3 crypto isakmp policy 命令格式

{no} crypto isakmp policy <1-1000>

命令功能

配置 ISAKMP SA 协商策略的参数

命令模式

全局配置模式

参数说明

参数 <1-1000>

说明策略优先级编号

默认状态

默认使用 3des 加密,md5 哈希算法, DH 数组 group 2

使用指导

IKE 策略定义了 IKE 协商的一组参数。两端 VPN 设备通过 IKE 协议协商相同的策略，IKE 策略用来定义 IKE 协商过程中的参数，这些参数用于建立 isakmp SA。

可以配置多条不同的 IKE 协商策略供两端 VPN 设备协商提示

配置实例

配置一条 isakmp sa 协商策略，使用以下命令： SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#exit

23.4 crypto isakmp key

23-2

命令格式

{no} crypto isakmp key key-string address A.B.C.D

命令功能

配置 IPSec 通信对端的共享密钥

第四部分 VPN 命令

命令模式参数说明

默认状态

第 23 章 IPSec VPN 命令

全局配置模式参数 key-string

密钥字符

说明

A.B.C.D

对端VPN设备的IP地址

无

使用指导

如果配置 A.B.C.D 为 0.0.0.0，则对所有地址的 IKE 协商都将使用相同的密钥，这将非常不安全

配置实例

设置对 IP 为 1.1.1.1 的对端使用密钥 SmartHammer，使用以下命令： SmartHammer(config)#crypto isakmp key SmartHammer address 1.1.1.1

23.5 crypto map local-address 命令格式

{no} crypto map NAME local-address IFNAME

命令功能

指定本地地址

命令模式

全局配置模式

参数说明

参数 NAME

说明 Crypto map 名

<0-65535>

序列号

默认状态

默认本地地址为所绑定接口的 IP 地址

使用指导

指定本地地址，用于 IKE 协商已经 IPsec 隧道模式的本地地址

配置实例

配置名为 test，序列号为 0 的自动协商策略，使用以下命令： SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# exit

相关命令

{no} crypto map NAME <0-65535> manual

23.6 crypto map NAME 命令格式

{no} crypto map NAME <0-65535> isakmp

23-3

第 23 章 IPSec VPN 命令

第四部分 VPN 命令

命令功能

配置 IPSec SA 自动协商策略

命令模式

全局配置模式

参数说明

参数 NAME

说明 Crypto map 名

<0-65535>

序列号

使用指导

配置 IPSec SA 自动协商策略，配置进入 crypto map 模式

配置实例

配置名为 test，序列号为 0 的自动协商策略，使用以下命令： SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# exit

相关命令

{no} crypto map NAME <0-65535> manual

23.7 crypto map WORD 命令格式

{no} crypto map WORD

命令功能

启用 IPSec 通信保护

命令模式

接口配置模式

参数说明

配置实例

参数 WORD

说明 Map名

在接口 eth0 上启用名为 test 的 IPSec 保护通信，使用以下命令： SmartHammer(config)#interface ge0 SmartHammer(config-if)#crypto map test SmartHammer(config-if)#exit

23.8 encryption

23-4

命令格式

encryption (3des | des | blowfish | twofish)

命令功能

配置 isakmp 策略的加密算法

命令模式

ISAKMP 配置模式

第四部分 VPN 命令

参数说明

第 23 章 IPSec VPN 命令

参数 3des

说明 3des算法

des

Des算法

blowfish

Blowfish算法

twofish

Twofish算法

默认状态

3des 算法

使用指导

des 算法不安全，应避免使用

配置实例

配置使用 3des 算法，使用以下命令： SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#encryption 3des SmartHammer(config-isakmp)#exit

23.9 group 命令格式

{no} group (1|2|modp1536|modp2048|modp4096)

命令功能

配置 isakmp 协商策略 DH 数组

命令模式

ISAKMP 配置模式

参数说明

默认状态

参数 1

使用第一组DH数组

说明

2

使用第二组DH数组

modp1536

使用1536位的DH数组

modp2048

使用2048位的DH数组

modp4096

使用4096位的DH数组

group1

使用指导

1024 位的第二组和 768 位的第一组数都是不太安全的数组，应避免使用

配置实例

配置 isakmp 协商策略使用 1536 位的 DH 组，使用以下命令： SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#group modp1536 SmartHammer(config-isakmp)#exit

23-5

第 23 章 IPSec VPN 命令

第四部分 VPN 命令

23.10 hash 命令格式

{no} hash (md5|sha)

命令功能

配置 isakmp 策略的 hash 算法

命令模式

ISAKMP 配置模式

参数说明

参数 md5

说明 Md5哈希算法

sha

Sha-1哈希算法

默认状态

md5 算法

使用指导

Md5 算法为 128 位，sha 为 192 位

配置实例

配置 isakmp hash 算法为 md5，使用以下命令： SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#hash md5 SmartHammer(config-isakmp)#exit

23.11 ip domain-name 命令格式

ip domain-name WORD

命令功能

配置防火墙所属的域名

命令模式

全局配置模式

参数说明

23-6

参数 WORD

说明域名

使用指导

配置防火墙所属的域名，可以配置未向域名机构注册的域名，不影响 IKE 的协商。

配置实例

配置防火墙所属的域名为 test.com，使用以下命令：

相关命令

SmartHammer(config) ip domain-name test.com

第四部分 VPN 命令

第 23 章 IPSec VPN 命令

23.12 lifetime 命令格式

{no} lifetime <60-86400>

命令功能

配置 isakmp sa 的生存期

命令模式

ISAKMP 配置模式

参数说明

默认状态使用指导配置实例

参数 <60-86400>

说明生存期，单位为秒

86400 秒生存期越短越安全配置 isakmp 协商策略生存期 3600 秒，使用以下命令： SmartHammer(config)#crypto isakmp policy 1 SmartHammer(config-isakmp)#lifetime 3600 SmartHammer(config-isakmp)#exit

23.13 mode 命令格式

{no} mode (tunnel|transport)

命令功能

配置转换集使用的模式，隧道或传输模式

命令模式

IPSEC 变换集配置模式

参数说明

参数 tunnel

说明

transport

传输模式

隧道模式

默认状态

隧道模式

配置实例

设置使用传输模式，使用以下命令： SmartHammer(config)#crypto ipsec transform-set test esp-3des esp-md5-hmac SmartHammer(cfg-crypto-trans)# mode transport SmartHammer(cfg-crypto-trans)# exit

23-7

第 23 章 IPSec VPN 命令

第四部分 VPN 命令

23.14 match address 命令格式

{no} match address (<100-199> | <2000-2699>)

命令功能

配置要匹配的 IPSec 通信的 access list

命令模式

IPSEC MAP 配置模式

参数说明

参数 <100-199>

说明

<2000-2699>

扩展的access list号

标准的access list号

默认状态

无

使用指导

使用该指令选择需要进行 IPSec 保护的通信流量

配置实例

配置 IPSec 保护 access list 为 101 的流量，使用以下命令： SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# match address 101 SmartHammer(config-crypto-map)# exit

23.15 set peer 命令格式

{no} set peer A.B.C.D

命令功能

配置 IPSec 通信的对端地址

命令模式

IPSEC MAP 配置模式

参数说明

默认状态

参数 A.B.C.D

说明对端IP地址

无

使用指导

配置 IPSec 通信的对端地址，如果用户 IP 地址不固定，则将此项为 0.0.0.0，可以达到动态 VPN 的效果。

配置实例

配置 IPSec 通信的对端地址 10.0.0.1，使用以下命令： SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# set peer 10.0.0.1

23-8

第四部分 VPN 命令

第 23 章 IPSec VPN 命令

SmartHammer(config-crypto-map)# exit

23.16 set pfs 命令格式

{no} set pfs (group1|group2|modp1536|modp2048|modp4096)

命令功能

配置 PFS 使用的 DH 数组

命令模式

IPSEC MAP 配置模式

参数说明

参数

说明

group1

使用第一组DH数组

group2

使用第二组DH数组

modp1536

使用1536位的DH数组

modp2048

使用2048位的DH数组

modp4096

使用4096位的DH数组

使用指导

避免使用不安全的第一组和第二组 DH 数组

配置实例

配置 pfs 使用 modp1536 的 DH 数组 SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# set pfs modp1536 SmartHammer(config-crypto-map)# exit

23.17 set transform-set 命令格式

{no} set transform-set TAG

命令功能

配置 ipsec sa 协商的转换集

命令模式

IPSEC MAP 配置模式

参数说明

参数 TAG

说明变换集名

使用指导

可以配置一个变换集

配置实例

配置使用名为 test 的变换集，使用以下命令： SmartHammer(config)#crypto map test 0 isakmp

23-9

第 23 章 IPSec VPN 命令

第四部分 VPN 命令

SmartHammer(config-crypto-map)# set transform-set test SmartHammer(config-crypto-map)# exit

23.18 set security-association lifetime 命令格式

{no} set security-association lifetime <120-86400>

命令功能

配置 IPSec SA 的生存期

命令模式

IPSEC MAP 配置模式

参数说明

默认状态

参数 <120-86400>

说明生存期，单位秒

3600 秒

使用指导

配置 IPSec SA 的生存期，生存期越短越安全，但同时对性能的影响也越大。

配置实例

设置 IPSec SA 生存期为 300 秒，使用以下命令： SmartHammer(config)#crypto map test 0 isakmp SmartHammer(config-crypto-map)# set security-association lifetime 300 SmartHammer(config-crypto-map)# exit

23-10

第四部分 VPN 命令

第 24 章 L2TP 命令

24

第24章

L2TP 命令

24.1 clear l2tp tunnel 命令格式

clear l2tp tunnel [A.B.C.D]

命令功能

强制关闭 L2TP 隧道

命令模式

特权模式

参数说明

参数

说明

[A.B.C.D]

L2TP隧道对端的IP地址，可选参数

使用指导

使用该命令将强制关闭 L2TP 隧道。如果指定了隧道 IP，则只强制关闭指定的 L2TP 隧道；如果不指定隧道 IP，则强制关闭所有 L2TP 隧道。

配置实例

关闭对端地址为 10.1.1.4 的 L2TP 隧道，使用如下命令： SmartHammer#clear l2tp tunnel 10.1.1.4

关闭所有 L2TP 隧道，使用如下命令： SmartHammer#clear l2tp tunnel

24.2 clear l2tp session 命令格式

clear l2tp session

命令功能

强制关闭所有 L2TP 会话

命令模式

特权模式

使用指导

使用该命令将强制关闭所有 L2TP 会话

24-1

第 24 章 L2TP 命令

配置实例

第四部分 VPN 命令

关闭所有 L2TP 会话，使用如下命令： SmartHammer#clear l2tp session

24.3 debug l2tp 命令格式

{no}debug l2tp [ratelimit||event|packet|session|tunnel]

命令功能

显示 L2TP 模块的调试信息

命令模式

特权模式

参数说明

参数

说明

tunnel

显示 L2TP tunnel 阶段的调试信息

session

显示 L2TP session 阶段的调试信息

packet

显示接收和发送的 L2TP 报文

ratelimit

限制 debug 信息在屏幕的打印速率

event

L2tp 关键事件

显示 l2tp 所有的 debug 信息

使用指导

可以使用 debug l2tp 指令调试所有的 L2TP 问题。由于 L2TP session 中承载的是 PPP 会话，所以如果要调试 PPP 阶段的问题，请配合使用 debug ppp 指令。

配置实例

SmartHammer#debug l2tp SmartHammer#terminal moniter

24.4 end 命令格式

end

命令功能

终止配置模式

命令模式

L2TP 模板配置模式

使用指导

使用该命令将终止配置模式，回到特权模式。

配置实例

SmartHammer (config-sub)# end SmartHammer#

24-2

第四部分 VPN 命令

第 24 章 L2TP 命令

24.5 exit 命令格式

exit

命令功能

退出 L2TP 模板配置模式

命令模式

L2TP 模板配置模式

使用指导

使用该命令将退出 L2TP 模板配置模式，回到上一级配置模式。

配置实例

SmartHammer (config-sub)# exit SmartHammer(config)#

24.6 l2tp peer ip password 命令格式

l2tp peer ip A.B.C.D password WORD

命令功能

配置隧道对端的认证密码

命令模式

全局配置模式

参数说明

使用指导

参数

说明

A.B.C.D

隧道对端的IP地址

WORD

隧道双方认证的密码

LAC 和 LNS 之间的隧道认证过程类似于 PPP 使用的 CHAP 认证方式。在建立 L2TP 隧道的过程中， LNS 和 LAC 中的任何一方都可以要求对方认证。 LNS 在接收到对端 LAC 的 SCCRQ 报文后，如果配置了对隧道对端进行认证，则给对端发送 challenge，并使用配置的对端密码对 LAC 进行认证；如果对端 LAC 向 LNS 发送 challenge，要求 LNS 认证，则 LNS 也必须给对端响应同样的密码进行认证。所以，只要隧道双方有一方要求认证，就必须配置隧道的密码。另外 AVP 加密也使用该密码对 AVP 进行加密和解密。由于 L2TP 客户端软件不支持隧道认证，因此默认配置为不要求对端认证。

配置实例

在全局配置模式下配置隧道对端 10.1.4.2 的认证密码为 123456，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#l2tp peer ip 10.1.4.2 password 123456

24-3

第 24 章 L2TP 命令

第四部分 VPN 命令

24.7 hello-time 命令格式

{no}hello-time <1-3600>

命令功能

配置隧道活动探测时间

命令模式

L2TP 模板配置模式

参数说明

参数

说明

<1-3600>

隧道活动探测时间，以秒为单位

默认状态

60秒

使用指导

在 L2TP 隧道建立之后，如果超过隧道活动探测时间没有报文的交互，则 LAC 或 LNS 发送一个 Hello 控制报文，探测隧道的活动性，对该控制报文，对方是必须应答的。如果 3 次重发后得不到应答，则认为该隧道已经不可用，将强制关闭该隧道。LAC 和 LNS 的 Hello 报文发送是独立的，其时间可以不同。用 no hello-time NUM 命令可以取消该配置，如果不配置 hello-time，则隧道不进行活动性探测。默认不发送 hello 报文探测隧道活动性。

配置实例

在 L2TP 模板 lns0 中配置隧道活动探测时间为 150，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# hello-time 150

24.8 list

24-4

命令格式

list

命令功能

列出 L2TP 模板配置模式下可以使用的所有命令

命令模式

L2TP 模板配置模式

使用指导

使用该命令将列出 L2TP 模板配置模式下可以使用的所有命令，及其简单说明。

配置实例

SmartHammer(config-sub)# list

第四部分 VPN 命令

第 24 章 L2TP 命令

24.9 listen address 命令格式

{no} listen address A.B.C.D

命令功能

配置 L2TP 监听的接口地址

命令模式

L2TP 模板配置模式

参数说明

参数 A.B.C.D

说明 A.B.C.D为L2TP监听的接口地址

使用指导

L2TP 客户端或者 LAC 在发送隧道连接请求时，会指定要连接的 LNS 地址。 LNS 则在指定的地址上监听 L2TP 连接请求。这个地址必须是一个活动接口的地址，而且必须配置。

配置实例

在 L2TP 模板 lns0 中配置监听地址为 10.1.1.2，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# listen address 10.1.1.2

24.10 localname 命令格式

localname NAME

命令功能

配置隧道的本地名称

命令模式

L2TP 模板配置模式

参数说明

参数 NAME

使用指导

说明隧道的本地名称

一条 L2TP 隧道建立后，会有一个本端分配的数字标识，有一个对端分配的数字标识，有一个本地名，有一个对端所赋予的远端名。这四项唯一标志一条隧道。使用 no localname NAME 可以取消对 L2TP 隧道本地名的设置，使其恢复到缺省配置。L2TP 隧道本地名的缺省值为防火墙的主机名。

配置实例

在 L2TP 模板 lns0 中配置隧道本地名称为 lns10.1.1.2，使用如下命令： SmartHammer#configure terminal

24-5

第 24 章 L2TP 命令

第四部分 VPN 命令

SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# localname lns10.1.1.2

24.11 max session 命令格式

max session <1-8192>

命令功能

配置 L2TP 会话数上限

命令模式

L2TP 模板配置模式

参数说明

参数 <1-8192>

说明最大允许的 L2TP 会话数

默认状态

500

使用指导

在一个 L2TP 隧道内可以有多个 L2TP 会话，而每个 L2TP 会话对应于一个 PPP 会话，用户可以根据需要限制 L2TP 会话的个数，从而限制承载的 PPP 会话的个数。如果 L2TP 会话数达到该限制，将不再接受 L2TP 会话连接请求。

配置实例

在 L2TP 模板 lns0 中配置使用该模板的 L2TP 会话数最多为 200，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# max session 200

24.12 max tunnel 命令格式

max tunnel <1-8192>

命令功能

配置 L2TP 隧道数上限

命令模式

L2TP 模板配置模式

参数说明

默认状态

24-6

参数

说明

<1-8192>

最大允许的L2TP隧道连接数

500

第四部分 VPN 命令

第 24 章 L2TP 命令

使用指导

用户可以根据需要限制 L2TP 隧道的个数。如果 L2TP 隧道数达到该限制，将不再接受 L2TP 隧道连接请求。

配置实例

在 L2TP 模板 lns0 中配置使用该模板的 L2TP 隧道数最多为 100，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# max tunnel 100

24.13 ppp profile 命令格式

{no} ppp profile [NAME]

命令功能

配置 L2TP 模板使用的 ppp-profile

命令模式

L2TP 模板配置模式

参数说明

参数 NAME

使用指导

说明 ppp-profile 名

L2TP 协议是基于 PPP 的应用，L2TP 会话中传输的就是 PPP 会话，因此必须要有 PPP 的支持。L2TP 模板中所使用的 PPP 相关的参数在 PPP profile 中配置。使用 no ppp-profile NAME 命令可以取消对名为 NAME 的 ppp-profile 的使用。

配置实例

在 L2TP 模板 lns0 中配置使用名称为 l2tp0 的 PPP Profile，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# ppp profile l2tp0

24.14 receive-window 命令格式

receive-window <1-300>

命令功能

配置隧道接收窗口的大小

命令模式

L2TP 模板配置模式

参数说明

参数

说明 24-7

第 24 章 L2TP 命令

第四部分 VPN 命令

<1-300>

隧道接收窗口的大小

默认状态

4

使用指导

L2TP 隧道的控制报文是可靠传输的，对所发送的每个控制报文都需要对方进行确认。为了提高吞吐量，允许 LAC 或 LNS 在得到确认之前连续发送一窗口的控制报文，然后对端可以予以一次性确认。这个窗口大小由对端的接收窗口大小来规定，也就是说，对方的接收窗口大小就是本方的发送窗口大小。默认情况下，这个值是 4。可以通过命令改变这个默认窗口大小。接收窗口的值对 LAC 和 LNS 而言是独立的，可以设置为不同的值。

配置实例

在 L2TP 模板 lns0 中配置接收窗口大小为 10，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# receive-window 10

24.15 show l2tp session 命令格式

show l2tp session

命令功能

显示所有 L2TP 会话的统计信息

命令模式

特权模式

使用指导

使用该命令将显示所有 L2TP 会话的统计信息。

配置实例

显示所有 L2TP 会话，使用如下命令： SmartHammer#show l2tp session

24.16 show l2tp subcriber-template 命令格式

show l2tp subscribe-template [NAME]

命令功能

显示配置的 L2TP 模板的信息

命令模式

特权模式

参数说明

参数 [NAME]

24-8

说明 L2TP模板名，可选参数

第四部分 VPN 命令

第 24 章 L2TP 命令

[NAME]

L2TP模板名，可选参数

使用指导

使用该命令将显示 L2TP 模板的配置信息。如果指定了模板名，则只显示指定 L2TP 模板的配置信息；如果没有指定模板名，则显示所有 L2TP 模板的配置信息。

配置实例

显示名称为 lns0 的 L2TP 模板，使用如下命令： SmartHammer#show l2tp subsrciber-template lns0

显示所有 L2TP 模板，使用如下命令： SmartHammer#show l2tp subsrciber-template

24.17 show l2tp tunnel 命令格式

show l2tp tunnel [A.B.C.D]

命令功能

显示 L2TP 隧道的信息

命令模式

特权模式

参数说明

参数 [NAME]

使用指导

配置实例

说明 L2TP隧道对端名，可选参数

使用该命令将显示 L2TP 隧道的信息。如果指定了 L2TP 隧道对端的 IP 地址，则只显示指定隧道的信息；如果没有指定 L2TP 隧道对端 IP 地址，则显示所有 L2TP 隧道的统计信息。显示对端地址为 10.1.1.4 的 L2TP 隧道，使用如下命令： SmartHammer#show l2tp tunnel 10.1.1.4

显示所有 L2TP 隧道，使用如下命令： SmartHammer#show l2tp tunnel

24.18 show vpdn 命令格式

show vpdn

命令功能

显示启用的 VPDN 的信息 24-9

第 24 章 L2TP 命令

第四部分 VPN 命令

命令模式

特权模式

使用指导

使用该命令将显示所有启用的 VPDN 的信息。

配置实例

显示所有启用的 VPDN，使用如下命令： SmartHammer#show vpdn

24.19 subscriber-template l2tp 命令格式

{no}subscriber-template l2tp NAME

命令功能

配置 L2TP 模板。使用对应的 no subscriber-template l2tp NAME 可以删除一个已建立的名为 NAME 的 L2TP 模板。

命令模式

配置模式

参数说明

参数 NAME

使用指导

说明 L2TP 模板名

使用该命令将进入 l2tp 模板配置模式。如果该模板不存在，则会自动创建该模板，然后进入模板配置模式。 no subscriber-template l2tp NAME 命令将删除该模板。如果该模板已经启用，则必须先禁用，然后才能删除该模板。

配置实例

配置名称为 lns0 的 L2TP 模板，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0

24.20 tunnel authentication

24-10

命令格式

{no}tunnel authentication

命令功能

配置对 L2TP 隧道对端进行认证

命令模式

L2TP 模板配置模式

第四部分 VPN 命令

第 24 章 L2TP 命令

使用指导

L2TP 隧道建立过程中，可以要求隧道对端认证。如果不配置隧道认证，则接到对端的连接请求时，不要求对端认证。如果配置了隧道认证，则必须使用 l2tp peer ip A.B.C.D password WORD 命令配置对端认证的密码，在收到对端的连接请求时，将使用所配置的密码对对端进行认证。默认不要求认证。

配置实例

在 L2TP 模板 lns0 中配置对接入的隧道对端进行认证，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# tunnel authentication

24.21 unique-ip 命令格式

{no} unique-ip

命令功能

配置 L2TP 隧道 IP 地址唯一性检测

命令模式

L2TP 模板配置模式

使用指导

如果配置对 L2TP 隧道的 IP 地址唯一性进行检测，那么将检查对端的 IP 地址，每个 IP 地址只允许建立一条隧道。缺省配置为不检测隧道 IP 地址的唯一性，也就是说每个 IP 地址可以允许建立多条隧道。

配置实例

在 L2TP 模板 lns0 中配置检测隧道对端的 IP 地址唯一性，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template l2tp lns0 SmartHammer(config-sub)# unique-ip

24.22 vpdn enable l2tp subscriber-template 命令格式

vpdn enable l2tp subscriber-template NAME

命令功能

启用 L2TP VPDN，使用名称为 NAME 的 L2TP 模板。

命令模式

全局配置模式

参数说明

参数 NAME

说明 L2TP 模板名

24-11

第 24 章 L2TP 命令

使用指导

第四部分 VPN 命令

该命令将开启 L2TP VPDN 功能，并使用指定的 L2TP 模板。必须保证要使用的 L2TP 模板已经创建并配置完整和正确。 no vpdn enable l2tp subscriber-template [NAME]命令将禁用开启的 L2TP VPDN，并强制所有使用该 L2TP 模板的 L2TP 隧道关闭。可以同时启用多个 L2TP 模板，但是每个 L2TP 模板中配置的监听地址必须不同。

配置实例

启用名称为 lns0 的 L2TP 模板，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#vpdn enable l2tp subsrciber-template lns0

24.23 write memory 命令格式

write memory

命令功能

保存配置

命令模式

L2TP 模板配置模式

使用指导

使用该命令可以将当前修改的配置保存下来。如果不使用该命令，当前修改的配置只是当前有效，系统重启后修改的部分将丢失。

配置实例

SmartHammer (config-sub)# write memory

24.24 write terminal

24-12

命令格式

write terminal

命令功能

显示配置

命令模式

L2TP 模板配置模式

使用指导

使用该命令可以将当前的配置显示在终端上。

配置实例

SmartHammer (config-sub)# write terminal

第五部分

接入认证命令

第 25 章 PPP Profile 命令

第五部分接入认证命令

25

第25章

PPP Profile 命令

25.1 aaa-group 命令格式

{no}aaa-group NAME

命令功能

配置PPP profile使用的AAA模板

命令模式

PPP Profile 配置模式

参数说明

参数 NAME

说明 AAA认证和计费模板名

使用指导

该命令配置 PPP profile 使用的 AAA 模板，所有使用该 PPP profile 的用户都使用这个 AAA 模板进行认证和计费。如果已经有使用该 PPP profile 的用户在线，则必须先让用户下线，才能从 PPP profile 中删除该 AAA 模板。

配置实例

配置 PPP profile 使用的 AAA 模板为 hammer SmartHammer(config-ppp)# aaa-group hammer

25.2 aaa-group by 命令格式

aaa-group NAME by GROUP

命令功能

配置 PPP profile 使用的 AAA 模板，只有用户名与 GROUP 模式匹配字符串相匹配的用户才使用该 AAA 模板进行认证和计费。GROUP 为一个模式匹配字符串，即以一个正则表达式来表示一个或一组用户，例如^h 代表以 h 开头，e$代表以 e 结尾等。使用 no aaa-group NAME 命令可以取消 PPP profile 对名为 NAME 的 AAA 模板的使用。

命令模式

PPP Profile 配置模式

25-1

第 25 章 PPP Profile 命令

参数说明

使用指导

第五部分接入认证命令

参数

说明

NAME

AAA认证和计费模板名

GROUP

模式匹配字符串

该命令配置 PPP profile 使用的 AAA 模板，该命令可以用来对不同的用户使用不同的 AAA 模板进行认证。如果已经有使用该 PPP profile 的用户在线，则必须先让用户下线，才能从 PPP profile 中删除该 AAA 模板。

配置实例

例如：配置只有用户名以@a.com 结束的用户使用 AAA 模板 hammer 进行认证和计费。 SmartHammer(config-ppp)# aaa-group hammer by @a.com$

25.3 accounting-interval 命令格式

accounting-interval <60-3600> no accounting-interval [NUM]

命令功能

指定对 PPP 用户采用 Radius 实时计费方式时的计费间隔

命令模式

PPP Profile 配置模式

参数说明

参数 <60-3600>

说明实时计费的时间间隔，以秒为单位

默认状态

60 秒

使用指导

该命令指定向 Radius 计费服务器发送实时计费报文的间隔，只在使用 Radius 服务器进行认证时才起作用，即指定的 AAA 模板为 Radius 认证模板。如果不配置该命令，则不会向 Radius 计费服务器发送实时计费报文。

配置实例

在 PPP Profile p1 中配置 PPP 用户的实时计费间隔为 100，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# accounting-interval 100

25-2

第 25 章 PPP Profile 命令

第五部分接入认证命令

25.4 address local 命令格式

{no}address local A.B.C.D/M

命令功能

指定 PPP 本地的地址和掩码

命令模式

PPP Profile 配置模式

参数说明

参数

说明

A.B.C.D/M

使用指导

A.B.C.D为PPP 本地的地址，M 为掩码长度

该命令用来指定 PPP 本地的地址和掩码。给 PPP 用户分配的地址必须在该地址和掩码确定的地址范围之内，所以配置的地址池也必须在该地址范围内，但是不能包括该地址。例如：PPP 本地地址为 172.16.1.1，掩码长度为 24，那么给客户端分配的地址将在 172.16.1.1/24 网段范围内，但是不包括 172.16.1.1。

任意接口地址都不能配置在该地址范围内。提示

配置实例

在 PPP Profile p1 中配置 PPP 的本地地址为 192.168.1.1，掩码为 16，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address local 192.168.1.1/16

25.5 address pool dhcp 命令格式

{no}address pool dhcp

命令功能

指定使用 dhcp 服务器给 PPP 用户分配地址的方式

命令模式

PPP Profile 配置模式

使用指导

使用基于 PPP 的拨号方式时，PPP 在客户端认证通过后将给客户端分配一个 IP 地址。该地址可以由 PPP 从本地地址池中分配，也可以由指定的 dhcp 服务器或 radius 服务器分配。 25-3

第 25 章 PPP Profile 命令

第五部分接入认证命令

这三种地址分配方式是互斥的，只能使用其中一种。如果已经配置了一种地址分配方式，想要改变为另外一种，则必须先删除原有的地址分配方式，才可以配置新的地址分配方式。配置该命令时，PPP 用户的地址将由 dhcp 服务器分配。可以使用内置的 dhcp 服务器或者通过 dhcp relay 使用其它网段的 dhcp 服务器，因此必须保证启用了 dhcp 服务器或者 dhcp relay。删除该地址分配方式将导致已经使用该地址分配方式的所有用户下线。配置实例

在 PPP Profile p1 中配置 PPP 用户使用 DHCP 服务器动态分配 IP 地址，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address pool dhcp

25.6 address pool local 命令格式

{no} address pool local <0-255>

命令功能

配置使用本地地址池给客户端分配 IP 地址，以及使用的 IP 地址池

命令模式

PPP Profile 配置模式

参数说明

使用指导

参数

说明

<0-255>

IP地址池的ID

使用基于 PPP 的拨号方式时，PPP 在客户端认证通过后将给客户端分配一个 IP 地址。该地址可以由 PPP 从本地地址池中分配，也可以由指定的 dhcp 服务器或 radius 服务器分配。这三种地址分配方式是互斥的，只能使用其中一种。如果已经配置了一种地址分配方式，想要改变为另外一种，则必须先删除原有的地址分配方式，才可以配置新的地址分配方式。配置该命令时，PPP 用户的地址将由 PPP 从本地地址池中分配。本地地址池可以配置多个。如果已经有使用该 PPP Profile 的用户在线，则必须先让用户下线，才能删除配置的本地地址池。

配置实例

在 PPP Profile p1 中配置 PPP 用户使用本地配置的 IP 地址池 0 动态分配 IP 地址，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address pool local 0

25-4

第 25 章 PPP Profile 命令

第五部分接入认证命令

25.7 address pool radius 命令格式

{no}address pool radius

命令功能

指定使用 radius 服务器给 PPP 用户分配地址的方式

使用指导

使用基于 PPP 的拨号方式时，PPP 在客户端认证通过后将给客户端分配一个 IP 地址。该地址可以由 PPP 从本地地址池中分配，也可以由指定的 dhcp 服务器或 radius 服务器分配。这三种地址分配方式是互斥的，只能使用其中一种。如果已经配置了一种地址分配方式，想要改变为另外一种，则必须先删除原有的地址分配方式，才可以配置新的地址分配方式。配置该命令时，PPP 用户的地址将由 radius 服务器分配。因此必须保证使用的 radius 服务器具有地址分配功能。删除该地址分配方式将导致已经使用该地址分配方式的所有用户下线。

配置实例

在 PPP Profile p1 中配置 PPP 用户使用 RADIUS 服务器动态分配 IP 地址，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address pool radius

25.8 address pool static 命令格式

address pool static <0-255> no address pool static [<0-255>]

命令功能

指定 PPP 用户使用静态配置 IP 地址时，可以使用的地址池范围

命令模式

PPP Profile 配置模式

参数说明

参数 <0-255>

使用指导

说明地址池的ID

配置该命令时，PPP 用户可以给自己配置静态的 IP 地址，但是配置的静态 IP 地址必须在该静态地址池范围内。该地址分配方式可以与以上的三种动态地址分配方式一起使用，但是不能配置与动态地址池重叠的地址。 25-5

第 25 章 PPP Profile 命令

第五部分接入认证命令

如果 PPP 用户配置的静态 IP 地址不在该静态地址池范围内，则用户不能上线。

配置实例

在 PPP Profile p1 中配置 PPP 用户可以静态配置使用地址池 10 中的 IP 地址，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# address pool static 10

25.9 authentication 命令格式

authentication (mschap-v2|mschap|chap|pap) no authentication

命令功能

指定对 PPP 用户进行认证时使用的认证方式

命令模式

PPP Profile 配置模式

参数说明

参数

说明

mschap-v2

Mschap-v2认证方式

mschap

Mschap 认证方式

chap

Chap 认证方式

pap

Pap 认证方式

默认状态

缺省使用 pap 认证

使用指导

PPP 可以支持多种认证方式，包括：pap、chap、mschap（微软的 CHAP 认证）和 mschap-v2（微软的 CHAP 认证第二版）。本地认证只支持 pap 和 chap 两种认证方式，radius 认证可以支持上述四种认证方式。如果不配置该指令，将使用默认认证方式 pap。

配置实例

在 PPP Profile p1 中配置 PPP 用户使用 chap 认证方式，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# authentication chap

25-6

第 25 章 PPP Profile 命令

第五部分接入认证命令

25.10 clear ppp interface 命令格式

clear ppp interface <0-8191>

命令功能

强制清除指定的 PPP 虚拟接口设备

命令模式

特权模式

使用指导

每个 PPP 用户都对应一个 PPP 虚拟设备，使用该命令将强制清除指定的 PPP 虚拟设备对应的 PPP 用户。

配置实例

如果要清除名为 ppp1 的虚拟设备对应的 PPP 用户，使用如下命令： SmartHammer#clear ppp interface 1

25.11 clear ppp user 命令格式

clear ppp user [NAME]

命令功能

强制 PPP 用户下线

命令模式

特权模式

参数说明

使用指导

参数

说明

[NAME]

PPP用户名，可选参数

使用该命令将强制指定的 PPP 用户下线。如果指定了用户名，则只强制指定的 PPP 用户下线；如果不指定用户名，则强制所有 PPP 用户下线。PPP 用户下线将导致对应的 L2TP 或 PPPoE 会话关闭。

配置实例

如果要清除名为 a1 的 PPP 用户，使用如下命令： SmartHammer#clear ppp user a1

如果要清除所有 PPP 用户，使用如下命令： SmartHammer#clear ppp user

25-7

第 25 章 PPP Profile 命令

第五部分接入认证命令

25.12 debug ppp 命令格式

{no}debug ppp [(lcp|auth|ipcp|acct|dhcp|packet)]

命令功能

显示 PPP 模块的调试信息

命令模式

特权模式

参数说明

使用指导

参数

说明

lcp

显示lcp阶段的调试信息

auth

显示认证阶段的调试信息

ipcp

显示ipcp阶段的调试信息

acct

显示计费阶段的调试信息

dhcp

显示dhcp分配地址阶段的调试信息

packet

显示接收和发送的PPP报文信息

以上参数针对 PPP 的各个阶段进行调试，您可以使用 debug ppp 指令显示 ppp 所有阶段的调试信息。该指令可以配合 PPPoE 和 L2TP 的调试指令一起使用。

配置实例

SmartHammer#debug ppp SmartHammerr# terminal moniter

25.13 dns 命令格式

dns A.B.C.D [E.F.G.H] no dns [A.B.C.D]

命令功能

指定 PPP 用户使用的 DNS 服务器地址

命令模式

PPP Profile 配置模式

参数说明

25-8

参数

说明

A.B.C.D

第一个DNS服务器的地址

[E.F.G.H]

第二个DNS服务器的地址

第 25 章 PPP Profile 命令

第五部分接入认证命令

使用指导

该命令指定 PPP 用户使用的 DNS 服务器地址，可以配置两个 DNS 服务器。如果不使用 dhcp 服务器给 PPP 用户分配地址的方式，或者 dhcp 服务器没有配置 DNS 服务器，则 PPP 用户使用该命令配置的 DNS 服务器。如果模板配置使用 dhcp 服务器分配地址的方式，而且 dhcp 服务器配置了 DNS 服务器，则 PPP 用户使用 dhcp 服务器指定的 DNS 服务器。

配置实例

在 PPP Profile p1 中配置 PPP 用户使用 DNS 服务器 10.1.1.1，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# dns 10.1.1.1

25.14 echo-time 命令格式

echo-time <60-3600> no echo-time

命令功能

指定探测 PPP 用户异常下线的时间间隔

命令模式

PPP Profile 配置模式

参数说明

参数

说明

<60-3600>

异常下线探测时间间隔，以秒为单位

默认状态

60 秒

使用指导

该命令指定探测 PPP 用户异常下线的时间间隔，每隔这个时间段，服务器端就会向用户端发送 echo request 探测报文，若用户在线就必须发送 echo reply 回应报文。如果超过三次没有收到回应报文，就认为用户已经异常下线。如果没有配置该命令，则默认使用的探测时间间隔是 60 秒。

配置实例

在 PPP Profile p1 中配置检测 PPP 用户异常下线的时间间隔为 100，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# echo-time 100

25-9

第 25 章 PPP Profile 命令

第五部分接入认证命令

25.15 end 命令格式

end

命令功能

终止配置模式

命令模式

PPP Profile 配置模式

使用指导

使用该命令将终止 PPP Profile 配置模式，回到特权模式。

配置实例

SmartHammer(config-ppp)# end SmartHammer#

25.16 exit 命令格式

exit

命令功能

退出 PPP PROFILE 配置模式

命令模式

PPP Profile 配置模式

使用指导

使用该命令将退出 PPP Profile 配置模式，回到上一级配置模式。

配置实例

SmartHammer(config-ppp)# exit SmartHammer(config)#

25.17 idle-time 命令格式

idle-time <60-3600> no idle-time

命令功能

指定 PPP 用户的最大空闲时间限制。

命令模式

PPP Profile 配置模式

参数说明

参数 <60-3600>

25-10

说明空闲时间限制，以秒为单位

第 25 章 PPP Profile 命令

第五部分接入认证命令

使用指导

该命令指定 PPP 用户的最大空闲时间限制，单位为秒。在这段时间内如果用户没有流量，则强制下线。如果没有配置该命令，则不检测用户的空闲时间。

配置实例

在 PPP Profile p1 中配置 PPP 用户最大空闲时间为 300，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# idle-time 300

25.18 ip pool 命令格式

ip pool <0-255> A.B.C.D (NUM|E.F.G.H) no ip pool <0-255>

命令功能

配置地址池范围

命令模式

全局配置模式

参数说明

使用指导

参数

说明

<0-255>

地址池的ID

A.B.C.D

地址池的起始地址

NUM

地址池中的地址数

E.F.G.H

地址池的结束地址

地址池最多可以配置 256 个，通过 ID 标志，ID 可以配置为 0－255 之间。地址池相互之间不能有重叠。PPP Profile 中的本地地址池使用此处配置的地址池。如果该地址池已经被 PPP Profile 使用，则必须先从 PPP Profile 中取消，才能删除该地址池。

配置实例

配置地址池 0 的范围为 192.168.1.1 到 192.168.1.100，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ip pool 0 192.168.1.1 192.168.1.100

还可以使用以下命令： SmartHammer(config)#configure terminal SmartHammer(config)#ip pool 0 192.168.1.1 100

25-11

第 25 章 PPP Profile 命令

第五部分接入认证命令

25.19 list 命令格式

list

命令功能

列出 PPP PROFILE 配置模式下可以使用的所有命令

命令模式

PPP Profile 配置模式

使用指导

使用该命令将列出 PPP Profile 配置模式下可以使用的所有命令，及其简单说明。

配置实例

SmartHammer(config-ppp)# list

25.20 max-user 命令格式

max-user <1-8192> no max-user

命令功能

配置使用该 PPP Profile 的最大用户数

命令模式

PPP Profile 配置模式

参数说明

参数 <1-8192>

说明最大允许的PPP用户数

默认状态

500

使用指导

用户可以根据需要限制 PPP 用户的个数。如果 PPP 用户数达到该限制，将不再接受 PPP 用户连接请求。

配置实例

在 PPP Profile p1 中配置使用该 PPP Profile 的用户数最多为 1000，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# max-user 1000

25.21 ppp-profile 命令格式 25-12

{no} ppp-profile NAME

第 25 章 PPP Profile 命令

第五部分接入认证命令

命令功能

配置 PPP 接入用户的 profile

命令模式

全局配置模式

参数说明

参数 NAME

使用指导

说明 ppp-profile名

使用该命令将进入 ppp-profile 的配置模式。如果该 profile 不存在，则会自动创建该 profile，然后进入配置模式。no ppp-profile NAME 命令将删除该 profile。如果该 profile 已经被其它模板使用，例如已经在 L2TP 的模板中配置了，则必须先从使用它的模板中删除，然后才能删除该 profile。

配置实例

配置名称为 p1 的 PPP Profile，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1

25.22 show ip pool 命令格式

show ip pool <0-255>

命令功能

显示配置的 IP 地址池信息

命令模式

特权模式

参数说明

参数

说明

<0-255>

地址池的ID，可选参数

使用指导

使用该命令将显示配置的 IP 地址池的信息。如果指定了地址池 ID，则只显示指定地址池的信息；如果没有指定地址池 ID，则显示所有地址池的信息。

配置实例

如果要显示配置的 IP 地址池 0 的信息，使用如下命令： SmartHammer#show ip pool 0

如果要显示所有 IP 地址池的信息，使用如下命令： SmartHammer#show ip pool

25-13

第 25 章 PPP Profile 命令

第五部分接入认证命令

25.23 show ppp profile 命令格式

show ppp profile [NAME]

命令功能

显示 ppp-profile 的信息

命令模式

特权模式

参数说明

使用指导

参数

说明

[NAME]

ppp-profile名，可选参数

使用该命令将显示配置的 ppp-profile 的信息。如果指定了 ppp-profile 名，则只显示指定 ppp-profile 的信息；如果没有指定 ppp-profile 名，则显示所有 ppp-profile 的信息。

配置实例

如果要显示配置的名为 ppp0 的 PPP Profile 的信息，使用如下命令： SmartHammer#show ppp profile ppp0

如果要显示所有 PPP Profile 的信息，使用如下命令： SmartHammer#show ppp profile

25.24 show ppp total 命令格式

show ppp total

命令功能

显示总的 PPP 用户数

命令模式

特权模式

使用指导

使用该命令只显示总的 PPP 用户数。

配置实例

如果要显示 PPP 用户的总数，使用如下命令： SmartHammer#show ppp total

25.25 show ppp summary 命令格式

25-14

show ppp summary

第 25 章 PPP Profile 命令

第五部分接入认证命令

命令功能

显示所有 PPP 用户的摘要信息

命令模式

特权模式

使用指导

使用该命令将显示所有 PPP 用户的摘要信息。

配置实例

如果要显示所有 PPP 用户的摘要信息，使用如下命令： SmartHammer#show ppp summary

25.26 show ppp user 命令格式

show ppp user [NAME]

命令功能

显示 PPP 用户的详细信息

命令模式

特权模式

参数说明

使用指导

参数

说明

[NAME]

PPP用户名，可选参数

使用该命令将显示 PPP 用户的详细信息。如果指定了用户名，则只显示指定 PPP 用户的信息；如果没有指定用户名，则显示所有 PPP 用户的详细信息。

配置实例

如果要显示名为 a1 的 PPP 用户的详细信息，使用如下命令： SmartHammer#show ppp user a1

如果要显示所有 PPP 用户的详细信息，使用如下命令： SmartHammer#show ppp user

25.27 show ppp interface 命令格式

show ppp interface <0-8191>

命令功能

显示 PPP 虚拟设备的信息

命令模式

特权模式

25-15

第 25 章 PPP Profile 命令

参数说明

第五部分接入认证命令

参数 <0-8191>

说明 PPP虚拟设备号

使用指导

每个 PPP 用户都对应一个 PPP 虚拟设备，使用该命令将显示指定的 PPP 虚拟设备对应的 PPP 用户。

配置实例

如果要显示名为 ppp1 的虚拟设备对应的 PPP 用户，使用如下命令： SmartHammer#show ppp interface 1

25.28 traffic to id priority rate 命令格式

traffic to id WORD priority <0-7> rate <64-102400> no traffic to id NAME

命令功能

根据 Radius 认证服务器返回属性为用户设定的带宽限制和优先级。

命令模式

PPP Profile 配置模式

参数说明

使用指导

参数

说明

NAME

PPP用户所在的组ID

<0-7>

优先级，数字越小优先级越高

<64-102400>

提供的带宽，单位为Kbit

该命令只在使用 radius 服务器对 PPP 户进行认证时才起作用。配置该命令时，PPP 将根据 Radius 服务器返回的 FilterID 属性值，给用户设定带宽限制和优先级。如果 Radius 认证服务器返回的 FilterID 属性值与设定的 id 名相同，则给用户提供指定的带宽和优先级服务。该命令可以与下面的 traffic to name 命令同时使用，但该命令的优先级较高，即首先按返回的 FilterID 属性值匹配，如果没有匹配成功的话再按用户名匹配，如果二者都没有匹配成功，则不对用户作出优先级和带宽限制。

配置实例

在 PPP Profile p1 中配置 ID 为 13 的 PPP 用户的优先级为 3，最大带宽为 100Kbit，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# traffic to id 13 priority 3 rate 100

25-16

第 25 章 PPP Profile 命令

第五部分接入认证命令

25.29 traffic to name priority rate 命令格式

traffic to name PATTERN priority <0-7> rate <64-102400> no traffic to name PATTERN

命令功能

根据用户名为用户设定带宽限制和优先级。

命令模式

PPP Profile 配置模式

参数说明

使用指导

参数

说明

PATTERN

模式匹配字符串

<0-7>

优先级，数字越小优先级越高

<64-102400>

提供的带宽，单位为 Kbit

配置该命令时，PPP 将根据用户名给用户设定带宽限制和优先级。如果用户名和设定的 PATTERN 模式匹配，则给用户提供指定的带宽和优先级服务。该命令可以与上面的 traffic to id 命令同时使用，但该命令的优先级较低，即首先按返回的 FilterID 属性值匹配，如果没有匹配成功的话再按用户名匹配，如果二者都没有匹配成功，则不对用户作出优先级和带宽限制。

配置实例

在 PPP Profile p1 中配置名称为 a* 的 PPP 用户的优先级为 3，最大带宽为 100Kbit，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# traffic to name a* priority 3 rate 100

25.30 unique-user-name 命令格式

{no}unique-user-name

命令功能

定义检测 PPP 用户名的唯一性。

命令模式

PPP Profile 配置模式

使用指导

如果没有配置该命令，可以允许使用相同用户名的多个 PPP 用户同时在线。配置该命令后，则同一个用户名只允许一个用户在线。

配置实例

在 PPP Profile p1 中配置检测 PPP 用户名唯一性，使用如下命令： SmartHammer#configure terminal

25-17

第 25 章 PPP Profile 命令

第五部分接入认证命令

SmartHammer(config)#ppp-profile p1 SmartHammer(config-ppp)# unique-user-name

25.31 wins 命令格式

wins A.B.C.D [E.F.G.H] no wins [A.B.C.D]

命令功能

指定 PPP 用户使用的 WINS 服务器地址

命令模式

PPP Profile 配置模式

参数说明

使用指导

参数

说明

A.B.C.D

第一个WINS服务器的地址

[E.F.G.H]

第二个WINS服务器的地址

该命令指定 PPP 用户使用的 WINS 服务器地址，可以配置两个 WINS 服务器。如果不使用 dhcp 服务器给 PPP 用户分配地址的方式，或者 dhcp 服务器没有配置 WINS 服务器，则 PPP 用户使用该命令配置的 WINS 服务器。如果模板配置使用 dhcp 服务器分配地址的方式，而且 dhcp 服务器配置了 WINS 服务器，则 PPP 用户使用 dhcp 服务器指定的 WINS 服务器。

配置实例

在 PPP Profile p1 中配置 PPP 用户使用 WINS 服务器 10.1.1.1，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#ppp-profile p1 SmartHammer(config)#wins 10.1.1.1

25.32 write memory

25-18

命令格式

write memory

命令功能

保存配置

命令模式

PPP Profile 配置模式

使用指导

使用该命令可以将当前修改的配置保存下来。如果不使用该命令，当前修改的配置只是当前有效，系统重启后修改的部分将丢失。

配置实例

SmartHammer(config-ppp)# write memory

第 25 章 PPP Profile 命令

第五部分接入认证命令

25.33 write terminal 命令格式

write terminal

命令功能

显示配置

命令模式

PPP Profile 配置模式

使用指导

使用该命令可以将当前的配置显示在终端上。

配置实例

SmartHammer(config-ppp)# write terminal

25-19

第 26 章 PPPoE 认证命令

第五部分接入认证命令

26

第26章

PPPoE 认证命令

26.1 acname 命令格式

acname NAME no acname [NAME]

命令功能

定义 PPPoE 接入服务器名

命令模式

PPPoE 认证模板配置模式

参数说明

参数

说明 PPPOE 接入服务器名

NAME

使用指导

使用该命令将指定 PPPoE 接入服务器名，在 PPPOE 用户端将可以选择使用该接入服务器。

配置实例

在 PPPOE 模板 pppoe0 中配置 PPPoE 接入服务器名为 ac0，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# acname ac0

26.2 debug pppoe 命令格式

{no}debug pppoe [(session|packet)]

命令功能

显示 PPPoE 模块的调试信息

命令模式

特权模式

参数说明

参数

说明

session

显示PPPoE discovery阶段的调试信息 26-1

第 26 章 PPPoE 认证命令

第五部分接入认证命令

packet

显示接收和发送的PPPoE报文

使用指导

您可以使用 debug pppoe 指令调试所有的 PPPoE 问题。由于 PPPoE session 阶段承载的是 PPP 会话，所以如果要调试 PPP 阶段的问题，请配合使用 debug ppp 指令。

配置实例

SmartHammer#debug pppoe SmartHammer#terminal moniter

26.3 end 命令格式

end

命令功能

终止配置模式

命令模式

PPPoE 认证模板配置模式

使用指导

使用该命令将终止 PPPoE 模板配置模式，回到特权模式。

配置实例

SmartHammer(config-sub)# end SmartHammer#

26.4 exit 命令格式

exit

命令功能

退出 PPPoE 模板配置模式

命令模式

PPPoE 认证模板配置模式

使用指导

使用该命令将退出 PPPoE 模板配置模式，回到上一级配置模式。

配置实例

SmartHammer(config-sub)# exit SmartHammer(config)#

26.5 hurl 命令格式

hurl WORD no hurl [WORD]

26-2

第 26 章 PPPoE 认证命令

第五部分接入认证命令

命令功能

指定 PPPoE 认证服务使用的强制门户网站 URL

命令模式

PPPoE 认证模板配置模式

参数说明

使用指导

参数

说明

WORD

强制门户 URL 地址，必须以http://开始

如果使用该命令指定了 PPPoE 认证服务使用的强制门户网站 URL，则当 PPPOE 用户认证通过之后，将向用户端强制推送该门户网站。如果没有配置该命令，则不向用户端推送门户网站。

配置实例

在 PPPOE 模板 pppoe0 中配置推送 URL 为 http://www.harbournetworks.com 的强制门户网页，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# hurl http://www.harbournetworks.com

26.6 list 命令格式

list

命令功能

列出 PPPoE 模板配置模式下可以使用的所有命令

命令模式

PPPoE 认证模板配置模式

使用指导

使用该命令将列出 PPPoE 模板配置模式下可以使用的所有命令，及其简单说明。

配置实例

SmartHammer(config-sub)# list

26.7 ppp profile 命令格式

ppp profile NAME no ppp profile [NAME]

命令功能

配置 PPPoE 模板使用的 ppp-profile 26-3

第 26 章 PPPoE 认证命令

命令模式参数说明

第五部分接入认证命令

PPPoE 认证模板配置模式参数 NAME

使用指导

说明 ppp-profile 名

PPPoE 是基于 PPP 的接入方式，PPPoE 会话中传输的就是 PPP 会话，因此必须要有 PPP 的支持。PPPoE 模板中所使用的 PPP 相关的参数在 PPP profile 中配置。使用 no ppp-profile NAME 命令可以取消对名为 NAME 的 ppp-profile 的使用。

配置实例

在 PPPOE 模板 pppoe0 中配置使用名称为 ppp0 的 PPP Profile，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# ppp profile ppp0

26.8 service 命令格式

service WORD no service [WORD]

命令功能

定义 PPPoE 认证服务

命令模式

PPPoE 认证模板配置模式

参数说明

参数 WORD

说明 PPPoE 认证服务

使用指导

PPPoE 服务用来表示 PPPoE 服务器提供的服务类型，在 PPPOE 用户端将可以选择使用该服务。PPPoE 模板中必须配置至少一个服务。

配置实例

在 PPPOE 模板 pppoe0 中配置 PPPoE 服务名为 service0，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# service service0

26-4

第 26 章 PPPoE 认证命令

第五部分接入认证命令

26.9 show pppoe interface 命令格式

show pppoe interface [IFNAME]

命令功能

显示启用 PPPOE 认证服务的接口信息

命令模式

特权模式

参数说明

参数 [IFNAME]

说明接口名，可选参数

使用指导

使用该命令将显示启用了 PPPoE 服务的接口信息。如果指定了接口名，则只显示指定接口的信息；如果没有指定接口名，则显示所有启用了 PPPOE 服务的接口信息。

配置实例

如果在接口 ge0 上启用了 PPPoE 认证，要显示该接口下 PPPoE 的信息，使用如下命令： SmartHammer#show pppoe interface ge0

如果要显示所有启用了 PPPoE 认证的接口的信息，使用如下命令： SmartHammer#show pppoe interface

26.10 show pppoe subscribe-template 命令格式

show pppoe subscribe-template [NAME]

命令功能

显示 PPPOE 模板的信息

命令模式

特权模式

参数说明

参数 [template-name]

说明 PPPOE模板名，可选参数

使用指导

使用该命令将显示 PPPOE 模板的信息。如果指定了模板名，则只显示指定 PPPOE 模板的信息；如果没有指定模板名，则显示所有 PPPOE 模板的信息。

配置实例

显示名称为 pppoe0 的 PPPoE 模板，使用如下命令： 26-5

第 26 章 PPPoE 认证命令

第五部分接入认证命令

SmartHammer#show pppoe subsrciber-template pppoe0

显示所有 PPPoE 模板，使用如下命令： SmartHammer#show pppoe subsrciber-template

26.11 subscriber-template pppoe 命令格式

subscriber-template pppoe NAME no subscriber-template pppoe [NAME]

命令功能

配置 PPPOE 模板

命令模式

全局配置模式

参数说明

参数 NAME

说明 PPPoE subsciber-template名

使用指导

使用该命令将进入 PPPOE 模板配置模式。如果该模板不存在，则会自动创建该模板，然后进入模板配置模式。no subscriber-template pppoe NAME 命令将删除该模板。如果该模板已经启用，则必须先禁用，然后才能删除该模板。

配置实例

配置名称为 pppoe0 的 PPPOE 模板，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#subsrciber-template pppoe pppoe0

26.12 unique-mac 命令格式

{no} unique-mac

命令功能

配置 PPPoE 服务器检测用户 mac 地址唯一性。

命令模式

PPPoE 认证模板配置模式

使用指导

如果没有配置该命令，PPPoE 服务可以允许使用相同 mac 地址的多个用户同时在线。配置该命令后，则同一个 mac 地址只允许一个用户在线。

配置实例

在 PPPOE 模板 pppoe0 中配置检测用户 mac 地址唯一性，使用如下命令： SmartHammer#configure terminal

26-6

第 26 章 PPPoE 认证命令

第五部分接入认证命令

SmartHammer(config)#subsrciber-template ppppoe pppoe0 SmartHammer(config-sub)# unique-mac

26.13 write memory 命令格式

write memory

命令功能

保存配置

命令模式

PPPoE 认证模板配置模式

使用指导

使用该命令可以将当前修改的配置保存下来。如果不使用该命令，当前修改的配置只是当前有效，系统重启后修改的部分将丢失。

配置实例

SmartHammer(config-sub)# write memory

26.14 write terminal 命令格式

write terminal

命令功能

显示配置

命令模式

PPPoE 认证模板配置模式

使用指导

使用该命令可以将当前的配置显示在终端上。

配置实例

SmartHammer(config-sub)# write terminal

26.15 pppoe max-session 命令格式

pppoe max-session <1-8192> no pppoe max-session

命令功能

指定该接口下最大允许的 PPPOE 连接数

命令模式

以太网接口配置模式

26-7

第 26 章 PPPoE 认证命令

参数说明

第五部分接入认证命令

参数 <1-8192>

说明最大允许的 PPPOE 连接数

默认状态

500

使用指导

使用该命令将指定接口下最大允许的 PPPOE 连接数，如果连接数达到该限制，将不再接受 PPPOE 客户端的连接请求。如果没有配置该命令，则默认的最大连接数限制为 500 个。

配置实例

配置接口 ge0 下最多允许 1000 个 PPPOE 连接，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#interface ge0 SmartHammer(config-if)#pppoe max-session 1000

26.16 pppoe subscriber-template 命令格式

pppoe subscriber-template NAME no pppoe subscriber-template [NAME]

命令功能

在接口下开启 PPPoE 认证服务，并指定 PPPOE 认证使用的模板

命令模式

以太网接口配置模式

参数说明

参数 NAME

说明 PPPOE 认证模板名

使用指导

使用该命令将在接口下启用 PPPOE 服务，并使用指定的 PPPOE 模板。必须保证要使用的 PPPOE 模板已经创建并配置完整和正确。no pppoe subscriber-template [NAME]命令将停止接口下开启的 PPPOE 接入认证服务，并强制该接口下所有的 PPPOE 用户下线。一个接口下每次只能启用一个 PPPOE 模板，如果要改变接口下启用的 PPPOE 模板，必须先停止已经启用的模板，然后再启用新的模板。

配置实例

配置接口 ge0 下开启 PPPoE 认证服务，并使用 PPPOE 模板 pppoe0，使用如下命令： SmartHammer#configure terminal SmartHammer(config)#interface ge0 SmartHammer(config-if)#pppoe subscriber-template pppoe0

26-8

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

27

第27章

WEB&Portal 认证命令

27.1 aaa-group 命令格式

{no}aaa-group NAME

命令功能

配置该 WEB 接入认证模板使用的 AAA 认证和计费模板，所有使用该用该接入认证模板的用户都使用的这个 AAA 认证和计费模板。使用 no aaa-group NAME 命令可以取消在该 WEB 接入认证模板下对名为 NAME 的 AAA 认证和计费模板的引用。

命令模式参数说明

webauth 认证模板配置模式参数 NAME

说明 AAA认证和计费模板名

使用指导

配置 web 认证使用的 AAA 认证信息

配置实例

配置 WEB 接入认证模板使用的 AAA 认证和计费模板为 hammer SmartHammer(config-sub)# aaa-group hammer

27.2 aaa-group by 命令格式

aaa-group NAME by GROUP

命令功能

配置该 WEB 接入认证模板使用的 AAA 认证和计费模板，只有用户与 GROUP 匹配的 WEB 接入认证用户使用该 AAA 模板，GROUP 为一个模式匹配，即以一个正则表达式来表示一个或一组用户，例如^h 代表以 h 开头，e$代表以 e 结尾等。使用 no aaa-group NAME 命令可以取消在该 WEB 接入认证模板下对名为 NAME 的 AAA 认证和计费模板的引用。

命令模式

webauth 认证模板配置模式

27-1

第 27 章 WEB&Portal 认证命令

参数说明

参数

第五部分接入认证命令

NAME

说明 AAA 认证和计费模板名

GROUP

与该 AAA 模板匹配的用户组名

使用指导

使用正则表达式选择 aaa-group

配置实例

配置只有用户名以@a.com 结束的 WEB 接入认证用户使用 AAA 模板 hammer 中的配置。 SmartHammer (config-sub)# aaa-group hammer by @a.com$

27.3 access-server default 命令格式

{no}access-server A.B.C.D default

命令功能

配置 access server 的地址

命令模式

Portal 配置模式

参数说明

参数

说明

A.B.C.D

Access-server 的地址， access server 和 portal server 在一台设备上时，可不用配置

默认状态

127.0.0.1

使用指导

如 access server 与 portal server 使用同一台设备，可以不配置或配置为 127.0.0.1

配置实例

配置 access server 的地址为 127.0.0.1 SmartHammer(config-portal-server)# access-server 127.0.0.1

27.4 accounting-interval 命令格式

accounting-interval <1-10000> no accounting-interval

27-2

命令功能

配置间歇计费间隔，使用 no accounting-interval 可以取消对间歇计费的设置，使其恢复到缺省配置。

命令模式

webauth 认证模板配置模式

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

参数说明

参数 <1-10000>

说明间歇计费间隔，单位秒

默认状态

unlimited

使用指导

使用间歇计费，避免用户异常下线产生的超长计费

配置实例

配置采用间歇计费，且间歇计费间隔为 120 秒 SmartHammer(config-sub)# accounting-interval 120

27.5 authentification 命令格式

authentification (pap|chap) no authentification

命令功能

配置认证方式

命令模式

Portal 配置模式

参数说明

参数

说明

pap

PAP 认证

chap

CHAP 认证

默认状态

chap

使用指导

pap 为明文方式传递口令信息，chap 为加密方式传递口令信息

配置实例

配置 portal server 与 access server 之间的认证方式为 chap SmartHammer(config-portal-server)# authentification chap

27.6 authentication-url 命令格式

authentication-url URL no authentication-url

命令功能

配置 Portal server 的认证 URL

命令模式

webauth 认证模板配置模式 27-3

第 27 章 WEB&Portal 认证命令

参数说明

第五部分接入认证命令

参数

说明

URL

认证 URL，portal server 内置时，应配置为 http[s]://接口地址/

使用指导

配置认证页面的 URL

配置实例

配置认证 URL 为http://192.168.0.1/ SmartHammer(config-sub)# authentication-url http://192.168.0.1/

27.7 clear user webauth 命令格式

clear user webauth

命令功能

强制清除所有 WEB 用户

命令模式

特权模式

使用指导

依据用户名清除 WEB 用户

配置实例

将所有 WEB 用户都强制下线 SmartHammer#clear user webauth

27.8 clear user webauth USER 命令格式

clear user webauth USER

命令功能

清除指定的 WEB 用户

命令模式

特权模式

参数说明

参数 USER

说明用户名

使用指导

清除 WEB 用户

配置实例

将指定的 WEB 用户强制下线 SmartHammer#clear user webauth zhang

27-4

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

27.9 clear user webauth USER INTERFACE 命令格式

clear user webauth USER INTERFACE

命令功能

强制清除指定接口上的 WEB 用户

命令模式

webauth 认证模板配置模式

参数说明

参数 USER

说明用户名

INTERFACE

WEB认证接口名称

使用指导

依据用户名和接口清除 WEB 用户

配置实例

强制用户 zhang 下线 SmartHammer#clear user webauth zhang ge0

27.10 dns-server 命令格式

{no}dns-server

命令功能

配置用户的 DNS，在没有认证的情况下，确保用户的 DNS 请求能正常通过。这个参数必须配置，否则用户在未认证情况下输入域名后不能被重定向至认证页面。

命令模式

webauth 认证模板配置模式

参数说明

参数

说明

A.B.C.D [E.F.G.H]

域名服务器的地址

使用指导

辅助实施域名重定向

配置实例

配置用户使用的 DNS 为 10.1.0.4 SmartHammer(config-sub)# dns-server 10.1.0.4

27-5

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

27.11 debug portal 命令格式

{no}debug portal [(login|auth|acct|logoff|force_off|keep_alive|session|packet|memory )]

命令功能

对 portal server 进行调试

命令模式

特权模式

参数说明

参数 login

说明调试Portal server的用户上线

auth

调试Portal server的认证过程

acct

调试Portal server的计费信息

logoff

调试Portal server的用户下线

force_off

调试Portal server的强制下线

session

调试Portal server的报文交互

packet

调试Portal server的协议报文

memory

调试Portal server的内存使用情况

使用指导

在调制 portal server 功能时使用

配置实例

对 portal server 的协议报文进行调试 SmartHammer#debug portal packet

27.12 debug webauth 命令格式

{no}debug webauth [(login|auth|acct|logoff|force_off|keep_alive|session|packet|memory )]

命令模式参数说明

27-6

特权模式参数 login

调试WEB认证模块的用户上线

说明

auth

调试WEB认证模块的认证过程

acct

调试WEB认证模块的计费信息

logoff

调试WEB认证模块的用户下线

force_off

调试WEB认证模块的强制下线

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

session

调试WEB认证模块的报文交互

packet

调试WEB认证模块的协议报文

memory

调试WEB认证模块的内存使用情况

使用指导

在调整 WEB 认证功能时使用

配置实例

对 WEB 认证模块的协议报文进行调试 SmartHammer#debug webauth packet

27.13 idle-time 命令格式

idle-time <60-3600> no idle-time [NUM]

命令功能

配置用户最大闲置时间，使用 no idle-timeout 可以取消对最大闲置时间的设置，使其恢复到缺省配置。

命令模式

webauth 认证模板配置模式

参数说明

参数

说明

<60-3600>

用户最大闲置时间，单位秒

默认状态

unlimited

使用指导

用户不使用网络时，强制用户下线，在以时长计费的配置环境中保护用户的利益。

配置实例

配置用户最大闲置时间为 200 秒，上线用户超过 200 秒没有流量，设备强制用户下线。 SmartHammer(config-sub)# idle-timeout 200

27.14 keep-alive 命令格式

keep-alive <30-600> no keep-alive [SECOND]

命令功能

在线检测时间间隔，推荐配置，否则用户异常下线还会被计费。

命令模式

Portal 配置模式 27-7

第 27 章 WEB&Portal 认证命令

参数说明

第五部分接入认证命令

参数

说明

<30-600>

在线检测时间间隔，单位为秒

默认状态

不检测

使用指导

配置 keep-alive 用来定期检测用户的在线状态，如发现用户没有按时刷新状态，会强制用户下线。

如不配置 keep-alive，用户异常下线会引起超长计费提示

配置实例

配置 keepalive 时间为 60 秒 SmartHammer(config-portal-server)#keep-alive 60

27.15 portal-url 命令格式

portal-url URL no portal-url

命令功能

配置认证后强制弹出的 WEB 页面

命令模式

Portal 配置模式

参数说明

参数

说明

URL

WEB 页面的 URL

使用指导

用于在用户认证成功后弹出广告页面或提示页面

配置实例

配置认证后弹出的 WEB 页面为http://www.harbournetworks.com SmartHammer(config-portal-server)# portal-url http://www.harbournetworks.com

27.16 show webauth interface

27-8

命令格式

show webauth interface [IFNAME]

命令功能

显示启用 webauth 认证的接口信息

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

命令模式参数说明

特权模式参数 [IFNAME]

说明接口名称

使用指导

用于显示 WEB 认证接口的信息

配置实例

显示 WEB 认证接口的信息 SmartHammer#show webauth interface

27.17 show webauth regex_user 命令格式

show webauth regex_user [USER]

命令功能

显示 WEB 认证上线用户

命令模式

特权模式

参数说明

参数 USER

说明用户名，正则表达式

使用指导

使用正则表达式清除 WEB 认证用户

配置实例

显示名字为 wang 开头的用户及其上线信息 SmartHammer#show webauth regex_user ^wang

27.18 show webauth subscriber-template 命令格式

show webauth subscriber-template [template-name]

命令功能

显示 WEB 接入认证的模板信息

命令模式

特权模式

参数说明

参数 template-name

说明模板名称

27-9

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

使用指导

用户显示 WEB 认证模块的配置信息

配置实例

显示 WEB 认证模块 sub1 的信息 SmartHammer#show webauth subscriber-template sub1

27.19 show webauth subscriber-template id 命令格式

show webauth subscriber-template TEMPLATE id <1-65536>

命令功能

显示指定模板上线用户的带宽控制信息，由 traffic to id 设定

命令模式

特权模式

参数说明

配置实例

参数 TEMPLATE

说明

<1-65536>

带宽控制编号，由traffic to id设定

模板名称

显示 WEB 认证模板 sub1 中定义的 trffice id 1 的信息 SmartHammer#show webauth subscriber-template sub1 id 1

27.20 show webauth subscriber-template regex 命令格式

show webauth subscriber-template TEMPLATE regex NAME

命令功能

显示指定模板上线用户的带宽控制信息，由 traffic to name 设定

命令模式

特权模式

参数说明

配置实例

参数 TEMPLATE

说明

NAME

带宽控制编号，由traffic to name设定

模板名称

显示 WEB 认证模板 sub1 中定义的 trffice name zhang 的信息 SmartHammer#show webauth subscriber-template sub1 regex ^zhang$

27.21 show webauth summary 命令格式

27-10

show webauth summary

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

命令功能

显示 WEB 接入认证概要信息

命令模式

特权模式

使用指导

用户显示 WEB 认证的统计信息

配置实例

显示 WEB 认证的统计信息 SmartHammer#show webauth summary

27.22 show webauth user 命令格式

show webauth user [USER]

命令功能

显示 WEB 认证在线用户信息

命令模式

特权模式

参数说明

参数 USER

说明用户名，精确匹配

使用指导

用于显示 WEB 认证用户的信息

配置实例

显示用户 john 的信息 SmartHammer#show webauth user john

27.23 traffic to id priority rate 命令格式

traffic to id NAME priority <0-7> rate <64-102400> no traffic to id NAME

命令功能

配置接入用户的 QOS。如果该用户认证成功后，从 Radius 返回的 FilterID 属性值和设定的 NAME 相同，则按照定义的带宽和优先级提供给用户。使用 no traffic to id NAME 可以取消对该 FilterID 的 QOS 限制。

命令模式参数说明

webauth 认证模板配置模式参数

说明

NAME

需要做 QOS 的 FilterID 值

<0-7>

用户优先级 27-11

第 27 章 WEB&Portal 认证命令

<64-102400>

第五部分接入认证命令

分配给用户的带宽，单位为 Kbit

使用指导

对用户进行带宽限制

配置实例

配置 filterID 为 7 的用户的优先级为 3，带宽为 128K SmartHammer(config-sub)# traffic to id 7 priority 3 rate 128

27.24 traffic to name priority rate 命令格式

traffic to name PATTERN priority <0-7> rate <64-102400> no traffic to name PATTERN

命令功能

配置接入用户的 QOS。如果该用户的用户名和设定的某个 PATTERN 模式匹配，则按照定义的带宽和优先级提供给用户。PATTERN 为一个模式匹配，即以一个正则表达式来表示一个或一组用户，例如^h 代表以 h 开头，e$代表以 e 结尾等。使用 no traffic to name PATTERN 可以取消对该用户名（组）的 QOS 限制。

命令模式

webauth 认证模板配置模式

参数说明

参数

说明

PATTERN

需要做 QOS 的用户名（组）

<0-7>

用户优先级

<64-102400>

分配给用户的带宽，单位为 Kbit

使用指导

本命令与上面的 traffic to id 命令可以同时使用，但本命令具有较低的优先级，即 WEB 接入认证服务首先按返回的 FilterID 属性值匹配，如果没有匹配成功的话再按用户名匹配，如果二者都没有匹配成功，则不对用户作 QOS。

配置实例

配置对所有用户名以@a.com 结束的接入用户设置优先级为 3，分配带宽为 800Kbit SmartHammer(config-sub)# traffic to name @a.com$ priority 3 rate 800

27.25 unique-verify

27-12

命令格式

{no}unique-verify

命令功能

设置用户名唯一性检查，no unique-verify 将取消该模板下用户名唯一性检查

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

查。命令模式

webauth 认证模板配置模式

使用指导

限制不同的用户用相同的用户名登录

配置实例

设置用户名唯一性检查 SmartHammer(config-sub)# unique-verify

27.26 webauth authorize 命令格式

{no}webauth authorize A.B.C.D MAC

命令功能

配置免认证用户

命令模式

以太网接口配置模式

参数说明

参数

说明

A.B.C.D

免认证用户 IP 地址

MAC

免认证用户 MAC 地址

使用指导

在启用 web 认证功能的接口下，直接给予访问网络的权限而无需认证

配置实例

在接口 eth0 上配置免认证用户（172.16.0.1,00:11:22:33:44:55） SmartHammer(config-if)#webauth authorize 172.16.0.1 00:11:22:33:44:55

27.27 webauth max-session 命令格式

webauth max-session <1-8000> no webauth max-session [NUM]

命令功能

配置接口上 WEB 认证的用户数限制

命令模式

以太网接口配置模式

参数说明

参数

说明

<1-8000>

用户数

27-13

第 27 章 WEB&Portal 认证命令

第五部分接入认证命令

使用指导

对通过本接口认证上线的用户数进行限制

配置实例

配置接口的上线用户数为 1000 SmartHammer(config-if)#webauth max-session 1000

相关命令

webauth subscriber-template WORD

27.28 webauth subscriber-template 命令格式

{no}webauth subscriber-template WORD

命令功能

在接口上启用 WEB 认证功能

命令模式

以太网接口配置模式

参数说明

参数

说明

WORD

WEB 认证模板

使用指导

在接口上启用 WEB 认证

配置实例

在接口上启用 WEB 模板 sub1 SmartHammer(config-if)#webauth subscriber-template sub1

27-14

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

28

第28章

IEEE802.1X 接入认证命令

28.1 aaa-group 命令格式

{no}aaa-group NAME

命令功能

配置该 IEEE802.1x 接入认证模板使用的 AAA 认证和计费模板。使用 no aaa-group NAME 命令可以取消在该 IEEE802.1x 接入认证模板下对名为 NAME 的 AAA 认证和计费模板的引用。

命令模式参数说明

802.1x 认证模板配置模式参数 NAME

说明指定的AAA认证和计费模板名

使用指导

所有使用该 IEEE802.1x 接入认证模板的用户都使用的这个 AAA 认证和计费模板。

配置实例

配置 IEEE802.1x 接入认证模板使用的 AAA 认证和计费模板为 dot1x SmartHammer(config-sub)# aaa-group dot1x

相关命令

aaa-group NAME by GROUP

1)在 IEEE802.1x 接入认证模板下必须要配置使用 AAA 认证和计费模板，否则无法进行接入认证。提示

2)在同一个 IEEE802.1x 接入认证模板下可以配置使用多个 AAA 模板。 3)不以 by GROUP 为后缀使用的 AAA 认证和计费模板，表示所有接入用户可以匹配该模板。 4)以 by GROUP 为后缀使用的 AAA 认证和计费模板，表示只有用户名和 GROUP 可以匹配的用户，可以使用该模板，用于对多 ISP 的支持。

28-1

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

28.2 aaa-group by 命令格式

aaa-group NAME by GROUP

命令功能

配置该 IEEE802.1x 接入认证模板使用的 AAA 认证和计费模板。使用 no aaa-group NAME 命令可以取消在该 IEEE802.1x 接入认证模板下对名为 NAME 的 AAA 认证和计费模板的引用。

命令模式参数说明

使用指导

802.1x 认证模板配置模式参数 NAME

说明指定的AAA认证和计费模板名

GROUP

用户组

属于 GROUP 组的使用该 IEEE802.1x 接入认证模板的用户，使用的这个 AAA 认证和计费模板。 GROUP 为一个模式匹配，即以一个正则表达式来表示一个或一组用户，例如^h 代表以 h 开头，e$代表以 e 结尾等。

配置实例

配置用户名以 harbournet 结束的 IEEE802.1x 接入认证用户使用的 AAA 认证和计费模板为 dot1x SmartHammer(config-sub)# aaa-group dot1x by harbournet$

相关命令

aaa-group NAME

1)在 IEEE802.1x 接入认证模板下必须要配置使用 AAA 认证和计费模板，否则无法进行接入认证。提示

2)在同一个 IEEE802.1x 接入认证模板下可以配置使用多个 AAA 模板。 3)不以 by GROUP 为后缀使用的 AAA 认证和计费模板，表示所有接入用户可以匹配该模板。 4)以 by GROUP 为后缀使用的 AAA 认证和计费模板，表示只有用户名和 GROUP 可以匹配的用户，可以使用该模板，用于对多 ISP 的支持。

28.3 accounting-interval 命令格式

accounting-interval <1-10000> no accounting-interval [NUM]

28-2

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

命令功能

配置间歇计费间隔，使用 no accounting-interval 可以取消对间歇计费的设置，使其恢复到缺省配置。

命令模式

802.1x 认证模板配置模式

参数说明

参数 <1-10000>

说明间歇计费间隔，单位秒

默认状态

unlimited

使用指导

使用 Radius 计费服务器进行计费时，一般在计费开始时发送计费开始报文，在计费结束时发送计费结束报文（携带用户上线时长和流量），供 Radius 计费服务器计算用户计费信息。为了保证用户计费信息的准确性和实时性，可以设置用户上线后，每隔一段时间发送一次 Radius 间隔计费报文，也携带用户上线时长和流量。

配置实例

配置采用间歇计费，且间歇计费间隔为 120 秒。 SmartHammer(config-sub)# accounting-interval 120

28.4 authentication-style 命令格式

authentication-style (eap|chap)

命令功能

配置认证方式。使用 no authentication-style 可以取消对认证方式的设置，使其恢复到缺省配置。

命令模式

802.1x 认证模板配置模式

参数说明

默认状态配置实例

参数 eap

说明 EAP/MD5认证方式

chap

CHAP认证

eap 采用 EAP 认证方式 SmartHammer(config-sub)# authentication-style eap

28-3

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

28.5 clear user dot1x 命令格式

clear user dot1x [WORD]

命令功能

强制 SamrtHammer 设备上所有 IEEE802.1x 接入认证用户下线，或所有用户名为 WORD 的 IEEE802.1x 接入认证用户下线。

命令模式

特权模式

参数说明

参数 [WORD]

说明强制下线的IEEE802.1x接入认证用户的用户名

使用指导

使用 clear user dot1x 命令将强制 SamrtHammer 设备上所有 IEEE802.1x 接入认证用户都下线。

配置实例

只让用户名为 z1 的用户下线： SmartHammer#clear user dot1x z1

28.6 debug dot1x 命令格式

{no}debug dot1x [(login|auth|acct|force_off|keep_alive|session|packet)]

命令功能

实现对 IEEE802.1x 用户接入的调试。由于 debug 命令会在命令行上打印大量信息，占用很多 CPU 资源，因此强烈建议用户，当调试结束时，一定要用 no debug dot1x 命令禁用此功能。

命令模式

特权模式

参数说明

28-4

参数 login

说明

auth

调试IEEE802.1x接入认证用户认证阶段问题

acct

调试IEEE802.1x接入认证用户计费问题

force_off

调试IEEE802.1x接入认证用户异常下线（强制用户下线）

keep_alive

调试 IEEE802.1x 接入认证用户异常下线（Keep alive报文无回应）

session

调试IEEE802.1x接入认证用户异常下线（会话阶段问题）

packet

调试IEEE802.1x接入认证报文

调试IEEE802.1x接入认证用户接入阶段问题

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

使用指导

以上参数针对 IEEE802.1x 接入认证各个阶段进行调试，您可以使用 debug dot1x 指令调试所有的 IEEE802.1x 接入认证问题。

配置实例

SmartHammer#debug dot1x

28.7 dot1x authorize 命令格式

{no}dot1x authorize A.B.C.D MAC

命令功能

添加在接口启用 IEEE802.1x 接入认证时的免认证用户，no dot1x authorize A.B.C.D MAC 指令将取消该用户的免认证功能。

命令模式

以太网接口模式、VLAN 接口模式

参数说明

参数 A.B.C.D MAC

说明免认证用户的IP地址免认证用户的MAC地址，以XX:XX:XX:XX:XX:XX形式输入

使用指导

在启用 IEEE802.1x 认证的端口下仍然可以有用户可以不使用 IEEE802.1x 认证上网，例如，您有一些服务器需要放问网络，这时您可以使用 dot1x authorize A.B.C.D XX:XX:XX:XX:XX:XX 指令配置免认证用户。

配置实例

配置接在启用 IEEE802.1x 认证的端口下 IP 为 192.168.0.191，MAC 为 00-10-dc-4e-a8-41 的机器可以不用认证，就可以上网： SmartHammer(config-if)#dot1x authorize 192.168.0.191 00:10:dc:4e:a8:41

28.8 dot1x max-session 命令格式

dot1x max-session <1-8000> no dot1x max-session [NUM]

命令功能

设置启用 IEEE802.1x 接入认证的接口最大可接入的 IEEE802.1x 接入认证用户数，no dot1x max-session 指令将取消在接口下最大可接入的 IEEE802.1x 接入认证用户数设置，恢复为缺省配置。

命令模式

以太网接口模式、VLAN 接口模式

28-5

第 28 章 IEEE802.1X 接入认证命令

参数说明

参数 <1-8000>

第五部分接入认证命令

说明该接口下最大可接入的IEEE802.1x接入认证用户数

默认状态

500

配置实例

设置接口最大可接入的 IEEE802.1x 接入认证用户数为 2000 SmartHammer(config-if)# dot1x max-session 2000

相关命令

dot1x subscriber-template WORD

28.9 dot1x subscriber-template 命令格式

dot1x subscriber-template WORD no dot1x subscriber-template [WORD]

命令功能

在接口下启用 IEEE802.1x 接入认证服务，no dot1x subscriber-template 指令将在接口下停用 IEEE802.1x 接入认证服务, 同时该端口下所有接入的 IEEE802.1x 用户将下线。

命令模式

以太网接口模式、VLAN 接口模式

参数说明

参数 WORD

说明将启用的IEEE802.1x接入认证模板名

默认状态

disable

使用指导

配置完一个 IEEE802.1x 接入认证模板后必须要在 SmartHammer 设备的某一个端口上启用它，才可以对该端口下所有接入认证用户使用该模板。用户可以配置多个 IEEE802.1x 接入认证模板，但在一个以太网端口下一次只可以使用一个 IEEE802.1x 接入认证模板。

提示

配置实例

在 IEEE802.1x 接入认证模板下必须要配置使用 AAA 认证和计费模板，否则无法进行接入认证。

在接口下启用 IEEE802.1x 接入认证服务，使用的模板名为 hammer SmartHammer(config-if)#dot1x subscriber-template hammer

28-6

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

28.10 end 命令格式

end

命令功能

退出到特权模式

命令模式

802.1x 认证模板配置模式

配置实例

SmartHammer (config-sub)# end SmartHammer#

28.11 exit 命令格式

exit

命令功能

退出本配置模式，到上级配置模式

命令模式

802.1x 认证模板配置模式

配置实例

SmartHammer(config-sub)# exit SmartHammer(config)#

28.12 idle-timeout 命令格式

idle-timeout <60-3600> no idle-timeout [NUM]

命令功能

配置用户最大闲置时间，使用 no idle-timeout 可以取消对最大闲置时间的设置，使其恢复到缺省配置。

命令模式

802.1x 认证模板配置模式

参数说明

参数 <60-3600>

说明用户最大闲置时间，单位秒

默认状态

unlimited

使用指导

当接入用户在设定的 Idle Timeout 时间内没有流量发生，为了在按时长计费的情况下，确保不会因为接入用户忘记下线而对用户多计费的情况， SmartHammer 设备会强制用户下线，并向计费服务器发送计费信息。 28-7

第 28 章 IEEE802.1X 接入认证命令

配置实例

第五部分接入认证命令

配置用户最大闲置时间为 200 秒，上线用户超过 200 秒没有流量， SmartHammer 设备强制用户下线。 SmartHammer(config-sub)# idle-timeout 200

28.13 keep-alive 命令格式

keep-alive <1-10000> no keep-alive [NUM]

命令功能

配置用户异常下线检测间隔，使用 no keep-alive 可以取消对异常下线检测间隔的设置，使其恢复到缺省配置。

命令模式

802.1x 认证模板配置模式

参数说明

参数 <1-10000>

说明用户异常下线检测间隔，单位秒

默认状态

unlimited

使用指导

SmartHammer 设备每隔 KeepAlive 时间间隔向接入用户的 PC 机发送 KeepAlive 报文，如果接入用户 PC 机返回应答报文，表示接入用户仍在线上；如果接入用户 PC 机没有返回应答报文，表示接入用户 PC 机出现死机情况或其他情况导致用户与 SmartHammer 设备之间网络不通，这时用户也无法正常使用网络，为了不增加用户的费用，当用户 3 个 Keep Alive 时间不给回应，则 SmartHammer 设备认为用户出现异常，强制用户下线，并向计费服务器发送计费信息。

配置实例

配置用户异常下线检测间隔为 300 秒，每隔 300 秒 SmartHammer 设备会发送 keep-alive 报文检测客户端是否在线，如果超过 3*300 秒客户端没有回应报文，SmartHammer 设备强制用户下线。 SmartHammer(config-sub)# keep-alive 300

28.14 list

28-8

命令格式

list

命令功能

列出本模式下所有命令

命令模式

802.1x 认证模板配置模式

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

配置实例

SmartHammer(config-sub)# list

28.15 show dot1x interface 命令格式

show dot1x interface [IFNAME]

命令功能

显示启用 IEEE802.1x 接入认证的端口信息

命令模式

特权模式

参数说明

参数 IFNAME

配置实例

说明端口名

SmartHammer#show dot1x interface ============================================= interface

ge1

<enable IEEE802.1x> Subscriber Template Name: Max Session:

hammer

2000

===============================================================

28.16 show dot1x subscribe-template 命令格式

show dot1x subscribe-template [NAME]

命令功能

显示启用 IEEE802.1x 接入认证的端口信息

命令模式

特权模式

参数说明

参数 NAME

配置实例

说明模板名

SmartHammer#show dot1x subscribe-template ============================================================== Subscriber Template Name: hammer Keep alive Time

: 120

Radius Accounting Interval AAA GROUP Authentication-style

: 120

: dot1x : eap

===============================================================

28-9

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

28.17 show dot1x summary 命令格式

show dot1x summary

命令功能

显示 IEEE802.1x 接入认证概要信息

命令模式

特权模式

配置实例

SmartHammer#show dot1x summary ============================================================== Subscriber Template Name: hammer Keep alive Time

: 120

Radius Accounting Interval AAA GROUP

: 120

: dot1x

Authentication-style

: eap

----------------------------------------------------------interface

:

ge1

maxsession

:

2000

total users

:

1

----------------------------------------------------------Total Interface Total Users

: 1 : 1

==============================================================

28.18 show dot1x user 命令格式

show dot1x user [WORD]

命令功能

显示 IEEE802.1x 接入认证上线用户信息

命令模式

特权模式

参数说明

参数 WORD

配置实例

说明用户名

SmartHammer#show dot1x user ============================================================== User Name: (hammer) Start Time: Tue Jan 13 14:19:57 2004 Standing Time: 637 Bytes Out : 8646 IP Address: 192.168.1.200 00:0b:db:64:4a:a3

28-10

Bytes In: 9786 MAC Address:

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

Subscribe Template Used: hammer AAA GROUP : dot1x ============================================================== total user :1

28.19 subscriber-template dot1x 命令格式

{no}subscriber-template dot1x NAME

命令功能

配置 IEEE802.1x 接入认证模板，使用 no subscriber-template dot1x NAME 可以删除一个已建立的，名为 NAME 的 IEEE802.1x 接入认证模板。

命令模式

配置模式

参数说明

参数 NAME

配置实例

说明模板名

配置 IEEE802.1x 接入认证模板 hammer SmartHammer(config)#subscriber-template dot1x hammer SmartHammer(config-sub)#

28.20 traffic to id priority rate 命令格式

traffic to id NAME priority <0-7> rate <64-102400> no traffic to id NAME

命令功能

按照 FilterID 属性值配置接入用户的 QOS。使用 no traffic to id NAME 可以取消对该 FilterID 的 QOS 限制。

命令模式参数说明

802.1x 认证模板配置模式参数 NAME

说明需要做QOS的FilterID值

<0-7>

用户优先级

<64-102400>

分配给用户的带宽，单位为Kbit

默认状态

无

使用指导

如果该用户认证成功后，从 Radius 返回的 FilterID 属性值和设定的 NAME 相同，则按照定义的带宽和优先级提供给用户。 28-11

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

本命令与下面的 traffic to name 命令可以同时使用，但本命令具有较高的优先级，即 IEEE802.1x 接入认证服务首先按返回的 FilterID 属性值匹配，如果没有匹配成功的话再按用户名匹配，如果二者都没有匹配成功，则不对用户作 QOS。配置实例

配置对从 Radius 返回的 FilterID 属性值为 hammer 的接入用户设置优先级为 2，分配带宽为 600Kbit SmartHammer(config-sub)# traffic to id hammer priority 2 rate 600

相关命令

traffic to name PATTERN priority <0-7> rate <64-102400>

提示

1)如果一个接入认证用户的用户名以及从 Radius 服务器返回的 FilterID 属性都无法匹配您所配置的这些与 QoS 相关命令，那么，对该接入用户不作 QoS，该用户可以使用的带宽为该端口下最大带宽。 2)配置接入用户的 QoS 时， traffic to id 命令与 traffic to name 命令可以同时使用，但 traffic to id 命令具有较高的优先级，即 IEEE802.1x 接入认证服务首先按返回的 FilterID 属性值匹配，如果没有匹配成功的话再按用户名匹配，如果二者都没有匹配成功，则不对用户作 QoS。

28.21 traffic to name priority rate 命令格式

traffic to name PATTERN priority <0-7> rate <64-102400> no traffic to name PATTERN

命令功能

按照接入用户名配置接入用户的 QOS。使用 no traffic to name PATTERN 可以取消对该用户名（组）的 QOS 限制。

命令模式参数说明

802.1x 认证模板配置模式参数 PATTERN

说明需要做QOS的用户名（组）

<0-7>

用户优先级

<64-102400>

分配给用户的带宽，单位为Kbit

默认状态

无

使用指导

如果该用户的用户名和设定的某个 PATTERN 模式匹配，则按照定义的带宽和优先级提供给用户。 PATTERN 为一个模式匹配，即以一个正则表达式来表示一个或一组用户，

28-12

第 28 章 IEEE802.1X 接入认证命令

第五部分接入认证命令

例如^h 代表以 h 开头，e$代表以 e 结尾等。

配置实例

配置对所有用户名以@a.com 结束的接入用户设置优先级为 3，分配带宽为 800Kbit SmartHammer(config-sub)# traffic to name @a.com$ priority 3 rate 800

相关命令

traffic to id NAME priority <0-7> rate <64-102400>

提示

配置接入用户的 QoS 时，traffic to id 命令与 traffic to name 命令可以同时使用，但 traffic to id 命令具有较高的优先级，即 IEEE802.1x 接入认证服务首先按返回的 FilterID 属性值匹配，如果没有匹配成功的话再按用户名匹配，如果二者都没有匹配成功，则不对用户作 QoS。

28.22 unique-verify 命令格式

{no}unique-verify

命令功能

设置用户名唯一性检查，no unique-verify 将取消该模板下用户名唯一性检查。

命令模式

802.1x 认证模板配置模式

默认状态

无

使用指导

为了防止用户帐号被占用的情况，可以设置用户名唯一性参数，保证同时相同的用户名只允许一个用户在线。

配置实例

设置用户名唯一性检查 SmartHammer(config-sub)# unique-verify

28.23 write memory 命令格式

write memory

命令功能

保存配置

28-13

第 28 章 IEEE802.1X 接入认证命令

命令模式

802.1x 认证模板配置模式

使用指导

当用户完成配置以后，如果想下次重新启动设备后，当前配置不丢失，请一定用该命令进行保存配置的操作。

配置实例

SmartHammer(config-sub)# write memory

28.24 write terminal

28-14

第五部分接入认证命令

命令格式

write terminal

命令功能

查看当前正在使用的配置文件。

命令模式

802.1x 认证模板配置模式

配置实例

SmartHammer(config-sub)# write terminal

第六部分

交换转发服务命令

第 29 章 NetFlow 命令

第六部分交换转发服务命令

29

第29章

NetFlow 命令

29.1 clear ip flow stat 命令格式

clear ip flow stat

命令功能

清除流输出的统计

命令模式

特权模式

默认状态

默认情况下当流输出打开时,每 12 小时清除统计一次。

使用指导

可以用此命令清除流输出统计信息。只是清除当前防火墙的流输出统计。提示

配置实例

清除当前流输出的统计信息，使用以下命令： SmartHammer#clear ip flow stat

相关命令

ip flow-export A.B.C.D PORT

29.2 ip flow-collect 命令格式

ip flow-collect no ip flow-collect

命令功能

在接口上设置流收集。在接口上关闭流收集。

命令模式

接口模式

默认状态

默认情况下流收集关闭。

29-1

第 29 章 NetFlow 命令

使用指导

第六部分交换转发服务命令

可以用此命令设置从指定接口收集流信息。

只是收集从指定接口流入的流信息。提示

配置实例

在接口 ge1 上收集流信息，使用以下命令： SmartHammer(config)#interface ge1 SmartHammer(config-if)#ip flow-collect

关闭接口 ge1 上收集流信息，使用以下命令： SmartHammer(config)#interface ge1 SmartHammer(config)#no ip flow-collect

相关命令

29-2

ip flow-export A.B.C.D PORT

第 29 章 NetFlow 命令

第六部分交换转发服务命令

29.3 ip flow-export 命令格式

ip flow-export A.B.C.D PORT no ip flow-export

命令功能

设置流输出的目的地址和接收端口号。关闭流输出。

命令模式

配置模式

参数说明

参数 A.B.C.D

收集流的目的地址

PORT

收集流的端口号

说明

默认状态

默认情况下流输出关闭

使用指导

可以用此命令来设置需要收集流的 IP 地址和端口号。如果配置了输出流，对系统性能会产生一定影响。提示

配置实例

设置 SmartHammer 输出收集的流，使用以下命令： SmartHammer(config)#ip flow-export 192.168.0.20 9898

关闭 SmartHammer 流输出，使用以下命令： SmartHammer(config)#no ip flow-export

相关命令

ip flow flow-collect

29.4 show ip flows info 命令格式

show ip flows info

命令功能

显示当前收集到的流信息

命令模式

特权模式，用户模式

29-3

第 29 章 NetFlow 命令

使用指导

第六部分交换转发服务命令

可以用此命令显示当前收集到的流。

提示

配置实例

显示收集到的流的五元组信息，连接状态、接口信息以及接收到流中第一个和最后一个报文的时间。

显示当前收集到的流，使用以下命令： SmartHammer#show ip flows info

29.5 show ip flow stat 命令格式

show ip flows stat

命令功能

显示当前流输出统计信息

命令模式

特权模式，用户模式

使用指导

可以用此命令显示当前流输出的统计信息。

提示

配置实例

显示流输出的流数统计，version 5 的 udp 报文数目，以及上一次流输出统计的清除时间。

显示当前流输出的统计，使用以下命令： SmartHammer#show ip flows stat

29-4

第七部分

路由协议命令

第 30 章静态路由命令

第七部分路由协议命令

30

第30章

静态路由命令

30.1 ip route A.B.C.D/M 命令格式

{no} ip route A.B.C.D/M (A.B.C.D|INTERFACE) [<1-255>]

命令功能

配置一条静态路由

命令模式

全局配置模式

参数说明

参数 A.B.C.D/M

目的网段的IP地址及子网掩码

A.B.C.D

下一跳的IP地址

INTERFACE

下一跳接口名称

<1-255>

metric值

说明

使用指导

用于配置静态路由规则

配置实例

配置静态路由，将目标地址为 200.1.1.0/24 网段的数据包路由至 192.168.0.1 SmartHammer(config)#ip route 200.1.1.0/24 192.168.0.1

30.2 ip route A.B.C.D A.B.C.D 命令格式

{no} ip route A.B.C.D A.B.C.D (A.B.C.D|INTERFACE) [<1-255>]

命令功能

配置一条静态路由

命令模式

全局配置模式

参数说明

参数 A.B.C.D

目的网段的网络地址

说明

A.B.C.D

目的网段的网络掩码

A.B.C.D

下一跳的IP地址 30-1

第 30 章静态路由命令

第七部分路由协议命令

INTERFACE

下一跳接口名称

<1-255>

metric值

使用指导

用于配置静态路由规则

配置实例

配置静态路由，将目标地址为 200.1.2.0/24 网段的数据包路由至 192.168.0.2。 SmartHammer(config)#ip route 200.1.2.0 255.255.255.0 192.168.0.2

30.3 show ip route 命令格式

show ip route [(A.B.C.D| A.B.C.D/M)]

命令功能

显示静态路由的配置信息

命令模式

特权模式

参数说明

参数 A.B.C.D

目的地址

A.B.C.D

目的地址及掩码

使用指导

用于显示静态路由的配置信息

配置实例

显示静态路由配置信息 SmartHammer# show ip route

30-2

说明

第 31 章策略路由命令

第七部分路由协议命令

31

第31章

策略路由命令

31.1 list nexthop 命令格式

{no} list (<1-99> |<100-199> |<1300-1999> |<2000-2699> |<2700-2999>) nexthop (A.B.C.D|INTERFACE)

命令功能

配置策略路由规则

命令模式

策略路由配置模式

参数说明

参数 <1-99>

基于源地址的access-list

说明

<100-199>

基于源和目标地址的access-list

<1300-1999>

基于源地址的access-list，可以指定协议端口

<2000-2699>

基于源和目标地址的access-list，可以指定协议端口

<2700-2999>

基于源和目标地址的access-list，只能适用于 TCP和UDP协议，可以指定协议端口

A.B.C.D

下一跳地址

INTERFACE

Interface的名称

使用指导

用于配置策略路由的路由规则

配置实例

配置策略路由规则，将满足 access-list 1 的数据包路由至 200.0.0.1 SmartHammer(config-policy-map)#list 1 nexthop 200.0.0.1

31.2 show ip policy-map 命令格式

show ip policy-map [NAME]

命令功能

显示 policy-map 的配置信息

命令模式

特权模式 31-1

第 31 章策略路由命令

参数说明

第七部分路由协议命令

参数 NAME

说明 Policy-map的模板名

使用指导

用于显示策略路由的配置信息

配置实例

显示 policy-map map1 的配置信息 SmartHammer#show ip policy-map map1

31.3 show ip traffic-map memory 命令格式

show ip policy-map [NAME] memory

命令功能

显示 policy-map 的内存使用情况

命令模式

特权模式

参数说明

参数 NAME

说明 Policy-map的模板名

使用指导

用于显示策略路由功能的内存使用情况

配置实例

显示 policy-map map1 的内存使用情况 SmartHammer#show ip policy-map map1 memory

31-2

Smart Hammer Order

Overview

More details

Related Documents

Smart Hammer Order

Smart Hammer Soft

Smart Hammer M504 User

Scott Hammer

Hammer Lawsuit

Hammer Mill.ppt