神州数码交换机CS6200命令（二）

1.基于流的重定向

QOS(Quality of Servcie)-服务品质保障，不产生新的带宽而是根据需求控制带宽

简易配置顺序：

1.配置分类表(class map)

对数据建立一个分类规则

2.配置策略表(policy map)

对数据建立一个策略表，关联分类表

3.将Qos应用到端口或者vlan

策略绑定到具体端口才可生效

Class map

建立class-map

Policy map

建立policy-map

举例：

在端口eth1/0/4，将网段192.168.10.0报文带宽限制为10M bit/s，突发值设为5

Bit/s,超过该数值报文一律丢弃

2.DHCP配置命令

(1)DHCP基本配置

Show ip dhcp binding

查看IP地址与相应的DHCP客户机硬件地址绑定信息，无特殊原因租期不到不会自动解除，

Clear ip dhcp binding

与show对应，可以删除自动绑定记录，DHCP地址池中所有地址都会重新分配

此时再次show ip dhcp binding，数据为空

Client-identifier

手工绑定ip，MAC，指定用户唯一标识，如：

Client-identifier xx-xx-xx-xx-xx-xx

Host xx.xx.xx.xx. (host用来指定对应ip地址)

Hardware-address

手工绑定硬件地址与ip地址

Hardware-address xx-xx-xx-xx-xx-xx

Host xx.xx.xx.xx

ip dhcp excluded-address xx.xx.xx.xx

排除地址池中的不用于动态分配的地址，方便其它用途

Service dhcp

打开DHCP服务器，不开启地址池设置无法生效

Ip dhcp pool xx

新建地址池

Domain-name xx

为客户机配置域名

Default-router xx.xx.xx.xx

为DHCP客户机配置默认网关，最多设置8个地址，最先设置地址优先级最高

Dns-server xx.xx.xx.xx

为DHCP客户机配置DNS服务器，最多设置8个，按照先后优先级排序同网关

Lease

设置租期时间，单位设置 天 /小时 /分钟

Network-address

设置地址池可分配的地址范围，一个地址池只能对应一个网段，如：

Network-address 192.168.1.0 24

Network-address 192.168.1.0 255.255.255.0

Ip dhcp conflict ping-detection enable

打开ping方式冲突检测功能之前需要先开启日志功能

Ip dhcp ping packets

timeout

设置ping检测地址冲突发送ping请求报文的最大个数，如

Ip dhcp ping packets 5

Ip dhcp ping timeout 100

(2)DHCP中继配置

Ip forward-protocol udp boots

配置DHCP中继转发指定该端口UDP广播报文，boots指的是67 DHCP广播报文，查看配置的支持广文报文转发的协议端口号

Ip helper-address

指定DHCP中继转发UDP报文目标地址，目标地址往往是所在设备的对端ip，查看相关配置命令：show ip helper-address

（3）DHCP Snooping配置命令

Ip dhcp snooping enable

开启DHCP snooping命令，开启后将监听所有非信任端口地DHCP Server包

Ip dhcp snooping limit-rate

首先启动DHCP snooping，设置叫交换机DHCP报文最大转发速率，范围0-100pps，缺省100

Ip dhcp snooping trust

设置端口为信任端口，端口上原本的防御动作会自动去除

Ip dhcp snooping action，进接口配置

Ip dhcp snooping action shutdown

端口检测到伪装DCHP Server时down掉端口，后面跟recovery可以指定恢复时间

Ip dhcp snooping action blackhole

Ip dhcp snooping action xx

设置防御动作数目限制，防止交换机被攻击而耗尽系统资源，默认为10

Ip dhcp snooping binding enable

开启监听绑定功能，开启后记录所有新人端口DHCP Server分配绑定信息，使用之前先开启bing：ip dhcp binding enable

Ip dhcp snooping bingding user-control，进接口配置

开启后DHCP snooping将把捕获的绑定信息直接作为信任用户允许访问所有资源

(4)DHCP option 43命令

Option 43 ascii xx

在ip dhcp pool模式下配置option 43字符串

Option 43 hex xx

在ip dhcp pool模式下配置option 43十六进制格式

Option 43 hex 0104XXXXXXXX

3.安全特性配置

DoS(Denial of Service)的缩写，意味拒绝服务

(1) 防IP Spoofing攻击，

Dosattack-check srcip-equal-dstip enable

开启检查ip源地址等于目的地址的功能

(2)防TCP非法标志攻击功能配置

Dosattack-check tcp-flags enable

开启检查TCP标志功能

Dosattack-check ipv4-first-fragment enable

开启检查IPv4分片功能，单独使用无作用

（3）防端口欺骗功能

Dosattack-check srcport-equal-dstport enable

开启防端口欺骗功能

Dosattack-check ipv4-first-fragement enable

开启检查IPv4分片功能，单独使用无效

（4）防TCP碎片攻击配置任务

Dosattack-check tcp-fragment enable

开启防TCP碎片攻击功能

Dosattack-check tcp-segment

设置允许通过的最小TCP报文段长度

（5）防ICMP碎片攻击功能配置

Dosattack-check icmp-attacking enable

开启ICMP碎片攻击功能

Dosattack-check icmpV4-size xx

设置允许通过的最大ICMPv4净荷长度，单独使用无作用

4.SSL配置

Ssl-安全通信协议

Ssl只在TCP上运行不可以在UDP或IP上运行

Ip http secure-server

启动SSL功能

Ip http secure-port

启动SSL使用的端口号

Ip http secure-ciphersuite

启动SSL使用的加密套件

Show ip http secure-server status

显示配置ssl信息