網(wǎng)絡(luò)交換機配置常見命令

　　計算機網(wǎng)絡(luò)的高速發(fā)展,網(wǎng)絡(luò)應用需求量不斷增加,基于TCP/IP的以太網(wǎng)交換機和路由器成為不可缺少的通信設(shè)備.下面是學習啦小編跟大家分享的是網(wǎng)絡(luò)交換機配置常見命令，歡迎大家來閱讀學習。

　　網(wǎng)絡(luò)交換機配置常見命令

　　中國館交換機安全審計規(guī)范1

　　1交換機配置的安全2

　　1.1口令的安全性2

　　1.2口令加密服務(wù)2

　　1.3權(quán)限分級策略3

　　1.4VTY的訪問控制3

　　1.5配置端口的超時4

　　1.6VTP協(xié)議加密5

　　1.7路由協(xié)議加密5

　　1.8限制路由協(xié)議泛洪6

　　2交換機網(wǎng)絡(luò)服務(wù)安全配置7

　　2.1CDP協(xié)議7

　　2.2HTTP服務(wù)7

　　2.3BOOTP服務(wù)8

　　2.4SNMP配置安全9

　　2.5Figner服務(wù)10

　　2.6IP源路由10

　　3日志及信息管理11

　　3.1啟用日志服務(wù)器11

　　3.2Banner信息12

　　4交換機接口安全12

　　4.1Proxy ARP12

　　4.2IP Redirects13

　　4.3關(guān)閉IP Unreachable Messages14

　　4.4配置Portfast和BPDU Guard14

　　4.5配置端口安全15

　　4.6配置DHCP監(jiān)聽16

　　4.7配置ARP防護17

　　4.8配置IP Source Guard19

　　4.9關(guān)閉未使用接口20

　　5控制層面安全管理20

　　5.1COPP(Control Plane Protection)20

　　1 交換機配置的安全

　　1.1 口令的安全性

　　Ø 風險級別

　　高

　　Ø 風險描述

　　攻擊者可能利用暴力猜解口令登錄交換機。

　　Ø 檢查方法

　　詢問交換機管理人員口令長度與復雜度。

　　Ø 推薦值

　　口令長度應大于8位，且應由數(shù)字、字母、符號，三者相混合。

　　Ø 加固方法

　　在特權(quán)模式下使用enable secret命令更改口令。

　　Ø 注意事項

　　無

　　1.2 口令加密服務(wù)

　　Ø 風險級別

　　高

　　Ø 風險描述

　　未使用口令加密服務(wù)會對所有具有查看配置的用戶暴露除secret口令以外的任何口令。

　　Ø 檢查方法

　　使用show run命令查看配置文件，是否存在service password-encryption字段。

　　Ø 推薦值

　　使用口令加密服務(wù)。

　　Ø 加固方法

　　在特權(quán)模式下，使用service password-encryption命令開啟口令加密服務(wù)。

　　Ø 注意事項

　　無。

　　1.3 權(quán)限分級策略

　　Ø 風險級別

　　底

　　Ø 風險描述

　　單用戶的登陸配置方式可能會對口令和用戶的管理帶來不便。

　　Ø 檢查方法

　　使用show run命令，查看是否建立了不同權(quán)限的配置用戶。

　　Ø 推薦值

　　對不同角色,如：日志審計員、網(wǎng)絡(luò)管理員等，建立不同權(quán)限的用戶。

　　Ø 加固方法

　　在ACS上，建立不同權(quán)限的用戶。

　　Ø 注意事項

　　需要網(wǎng)絡(luò)管理員根據(jù)實際情況進行添加。

　　1.4 VTY的訪問控制

　　Ø 風險級別

　　中

　　Ø 風險描述

　　非授權(quán)的配置地址來源會訪問到交換機，為惡意的攻擊者提供了暴力猜解口令機會。

　　Ø 檢查方法

　　使用show run命令，查看是否建立了相應的ACL列表如：access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log，以及是否在VTY端口上應用，如：access-class 101 in。

　　Ø 推薦值

　　設(shè)定特定的IP地址訪問交換機。

　　Ø 加固方法

　　在特權(quán)模式下使用access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log命令設(shè)定授權(quán)IP地址的訪問控制策略，進入VTY接口，使用access-class 101 in命令應用該策略。

　　Ø 注意事項

　　需要網(wǎng)絡(luò)管理員確定授權(quán)的IP地址，且該IP地址可以訪問交換機。

　　1.5 配置端口的超時

　　Ø 風險級別

　　高

　　Ø 風險描述

　　管理員的疏忽可能會造成非授權(quán)者查看或修改交換機配置。

　　Ø 檢查方法

　　使用show run命令，查看con、vty、AUX端口是否配置了超時，如：exec-timeout 5 0。

　　Ø 推薦值

　　設(shè)置超時不大于5分鐘。

　　Ø 加固方法

　　分別進入con端口、VTY端口、AUX端口，使用exec-timeout 5 0命令配置端口超時。

　　Ø 注意事項

　　無

　　1.6 VTP協(xié)議加密

　　Ø 風險級別

　　高

　　Ø 風險描述

　　可以讓攻擊者通過VTP協(xié)議學習到網(wǎng)絡(luò)VLAN，從而進行二層網(wǎng)絡(luò)攻擊。

　　Ø 檢查方法

　　使用show vtp password檢查密碼是否配置。

　　Ø 推薦值

　　口令長度應大于8位，且應由數(shù)字、字母、符號，三者相混合。

　　Ø 加固方法

　　全局模式下

　　vtp password xxxxxxx。

　　Ø 注意事項

　　無

　　1.7 路由協(xié)議加密

　　Ø 風險級別

　　高

　　Ø 風險描述

　　攻擊者可以利用OSPF路由協(xié)議自動協(xié)商鄰居的特性學習到整網(wǎng)拓撲。

　　Ø 檢查方法

　　使用show run檢查OSPF相關(guān)配置。

　　Ø 推薦值

　　口令長度應大于8位，且應由數(shù)字、字母、符號，三者相混合。

　　Ø 加固方法

　　全局模式下

　　router ospf 100

　　area 0 authentication message-digest

　　接口模式下

　　ip ospf message-digest-key 1 md5 xxxxxxxx

　　Ø 注意事項

　　無

　　1.8 限制路由協(xié)議泛洪

　　Ø 風險級別

　　高

　　Ø 風險描述

　　攻擊者可以利用OSPF路由協(xié)議自動協(xié)商鄰居的特性學習到整網(wǎng)拓撲。

　　Ø 檢查方法

　　使用show run interface vlan xxx檢查。

　　Ø 推薦值

　　關(guān)閉網(wǎng)關(guān)接口泛洪LSA的特性。

　　Ø 加固方法

　　接口模式下

　　ip ospf database-filter all out

　　Ø 注意事項

　　僅在網(wǎng)關(guān)接口配置。

　　2 交換機網(wǎng)絡(luò)服務(wù)安全配置

　　2.1 CDP協(xié)議

　　Ø 風險級別

　　底

　　Ø 風險描述

　　蓄意攻擊者可能通過截取CDP包分析交換機的相關(guān)信息。

　　Ø 檢查方法

　　使用show cdp run 命令查看CDP協(xié)議的開啟情況。

　　Ø 推薦值

　　不使用CDP協(xié)議，如無法避免則應指定端口發(fā)布CDP包。

　　Ø 加固方法

　　在接口模式下

　　no cdp enable

　　Ø 注意事項

　　僅在接入層交換機access接口下配置。

　　2.2 HTTP服務(wù)

　　Ø 風險級別

　　高

　　Ø 風險描述

　　惡意攻擊者可以利用交換機開啟的HTTP服務(wù)發(fā)起攻擊從而影響交換機性能。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應的http server字段。

　　Ø 推薦值

　　關(guān)閉http服務(wù)。

　　Ø 加固方法

　　在特權(quán)模式下

　　no ip http server

　　Ø 注意事項

　　無

　　2.3 BOOTP服務(wù)

　　Ø 風險級別

　　中

　　Ø 風險描述

　　惡意攻擊者可以利用該服務(wù)發(fā)起DDOS攻擊。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應的BOOTP字段。

　　Ø 推薦值

　　關(guān)閉BOOTP服務(wù)。

　　Ø 加固方法

　　在特權(quán)模式下

　　no ip bootp server

　　Ø 注意事項

　　無

　　2.4 SNMP配置安全

　　Ø 風險級別

　　高

　　Ø 風險描述

　　惡意攻擊者可以利用默認的SNMP通信字截獲交換機管理信息，甚至可以通過SNMP管理破壞交換機配置。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應的snmp字段。

　　Ø 推薦值

　　修改默認的public、private通信字。

　　Ø 加固方法

　　在特權(quán)模式下使用命令snmp-server community XXX ro命令設(shè)定只讀通信字，使用snmp-server community XXX rw命令設(shè)定讀寫通信字。

　　Ø 注意事項

　　相關(guān)使用SNMP的網(wǎng)管軟件或安全監(jiān)控平臺通信字需一并進行修改。

　　2.5 Figner服務(wù)

　　Ø 風險級別

　　中

　　Ø 風險描述

　　UNIX用戶查找服務(wù)，允許遠程列出系統(tǒng)用戶的信息，有助于幫助攻擊者收集用戶信息，建議關(guān)閉。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應的Figner字段。

　　Ø 推薦值

　　關(guān)閉Figner服務(wù)。

　　Ø 加固方法

　　在特權(quán)模式下

　　no ip finger

　　no service finger

　　Ø 注意事項

　　無

　　2.6 IP源路由

　　Ø 風險級別

　　中

　　Ø 風險描述

　　IP source routing功能的開啟允許數(shù)據(jù)包本身指定傳輸路徑，對攻擊者來說好的特性，攻擊者可以通過該功能跳躍NAT設(shè)備，進入內(nèi)網(wǎng)。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應的字段。

　　Ø 推薦值

　　關(guān)閉IP源路由。

　　Ø 加固方法

　　在特權(quán)模式下

　　no ip source-route

　　Ø 注意事項

　　僅三層設(shè)備上配置

　　3 日志及信息管理

　　3.1 啟用日志服務(wù)器

　　Ø 風險級別

　　低

　　Ø 風險描述

　　沒有審計日志可能會對網(wǎng)絡(luò)的監(jiān)控，突發(fā)事件的處理帶來不便。

　　Ø 檢查方法

　　使用show run命令查看配置文件中的logging字段。

　　Ø 推薦值

　　開啟交換機日志審計，并且設(shè)定日志服務(wù)器。

　　Ø 加固方法

　　在特權(quán)模式下使用logging on、logg facility local6命令開啟審計日志功能，使用logg X.X.X.X命令指定日志服務(wù)器和CiscoWorks。

　　Ø 注意事項

　　首先需要在系統(tǒng)內(nèi)建立日志服務(wù)器和CiscoWorks。

　　3.2 Banner信息

　　Ø 風險級別

　　低

　　Ø 風險描述

　　帶有敏感信息的banner可能會給蓄意攻擊者提供交換機信息。

　　Ø 檢查方法

　　使用show run命令查看banner信息。

　　Ø 推薦值

　　不顯示交換機的信息，如：交換機型號、軟件、所有者等。

　　Ø 加固方法

　　在特權(quán)模式下使用banner命令設(shè)定信息。

　　Ø 注意事項

　　無。

　　4 交換機接口安全

　　4.1 Proxy ARP

　　Ø 風險級別

　　中

　　Ø 風險描述

　　三層網(wǎng)關(guān)作為第二層地址解析的代理，代理ARP功能如果使用不當會對網(wǎng)絡(luò)造成影響。

　　Ø 檢查方法

　　使用show run interface vlan XXX命令查看。

　　Ø 推薦值

　　關(guān)閉Proxy ARP

　　Ø 加固方法

　　在接口模式下

　　no ip proxy-arp

　　Ø 注意事項

　　配置在各匯聚層交換機上，僅在用戶網(wǎng)關(guān)上關(guān)閉Proxy ARP服務(wù)。

　　4.2 IP Redirects

　　Ø 風險級別

　　中

　　Ø 風險描述

　　三層設(shè)備會對特定的包發(fā)送ICMP REDIRECT MESSAGE，對攻擊者來說，有助于了解網(wǎng)絡(luò)拓撲，對非可信的網(wǎng)絡(luò)關(guān)閉。

　　Ø 檢查方法

　　使用show run interface vlan xxx命令查看。

　　Ø 推薦值

　　關(guān)閉ip redirects。

　　Ø 加固方法

　　在接口模式下

　　no ip redirects

　　Ø 注意事項

　　配置在各匯聚層交換機上，僅在用戶網(wǎng)關(guān)上關(guān)閉ip redirects服務(wù)。

　　4.3 關(guān)閉IP Unreachable Messages

　　Ø 風險級別

　　中

　　Ø 風險描述

　　如果發(fā)送者的目標地址不可達，三層設(shè)備會通告原因給發(fā)送方，對于攻擊者來說，可以了解網(wǎng)絡(luò)信息，并且利用該特性發(fā)出的大量的錯誤目地包，將會導致交換機CPU利用率升高，對交換機進行DOS攻擊。

　　Ø 檢查方法

　　使用show run interface vlan XXX命令查看。

　　Ø 推薦值

　　關(guān)閉ip unreachables

　　Ø 加固方法

　　在接口模式下

　　no ip unreachables

　　Ø 注意事項

　　配置在各匯聚層交換機上,僅在用戶網(wǎng)關(guān)上關(guān)閉ip unreachables服務(wù)。

　　4.4 配置Portfast和BPDU Guard

　　Ø 風險級別

　　高

　　Ø 功能描述

　　在交換機的配置中，對連接主機的端口應該啟用spanning-tress portfast和portfast bpduguard功能。啟用portfast功能后，端口的狀態(tài)會從blocking直接進入到forwarding，能夠大大縮短一個端口從連接到轉(zhuǎn)發(fā)的時間周期。啟用portfast bpduguard功能，當portfast端口上受到BPDU時，會自動關(guān)閉端口，可以避免網(wǎng)絡(luò)邊緣“非法”交換機的連接和HUB的串聯(lián)。

　　Ø 檢查方法

　　使用show run interface fx/x/x命令查看。

　　Ø 推薦值

　　開啟portfast和bpduguard

　　Ø 加固方法

　　在接口模式下使用

　　spanning-tree portfast

　　spanning-tree bpduguard enable

　　Ø 注意事項

　　僅在接入層交換機access接口下配置

　　4.5 配置端口安全

　　Ø 風險級別

　　高

　　Ø 功能描述

　　建議在所有access端口上使用端口安全特性，防止MAC地址泛洪，MAC地址欺騙等常見二層攻擊，該特性可實現(xiàn)如下功能。

　　l 包括限制端口上最大可以通過的MAC地址數(shù)量

　　l 端口上學習或通過特定MAC地址

　　l 對于超過規(guī)定數(shù)量的MAC處理進行違背處理

　　Ø 檢查方法

　　使用show run interface fx/x/x，show port-security命令查看。

　　Ø 推薦值

　　開啟端口安全

　　Ø 加固方法

　　在接口模式下使用

　　switchport port-security //開啟端口安全功能//

　　switchport port-security violation restrict //將來自未受權(quán)主機的幀丟棄//

　　switchport port-security aging static //設(shè)置MAC永不超時//

　　switchport port-security mac-address 0010.c6ce.0e86 //靜態(tài)綁定MAC//

　　Ø 注意事項

　　僅在接入層交換機access接口下配置

　　4.6 配置DHCP監(jiān)聽

　　Ø 風險級別

　　高

　　Ø 功能描述

　　采用DHCP可以自動為用戶設(shè)置網(wǎng)絡(luò)IP地址，掩碼，網(wǎng)關(guān)，DNS,WINS等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)中設(shè)置，提高了管理效率。由于DHCP的重要性，正對DHCP的攻擊會對網(wǎng)絡(luò)造成嚴重影響。DHCP的攻擊主要包括兩種：

　　l DHCP服務(wù)器的冒充：(假冒DHCP服務(wù)器加入網(wǎng)絡(luò))

　　l 針對DHCP服務(wù)器的DOS攻擊：(攻擊者發(fā)出洪水般的DHCP請求知道DHCP服務(wù)器資源耗竭)

　　DHCP Snooping描述

　　針對這兩種攻擊，Cisco交換機支持DHCP snooping功能對DHCP的保護

　　DHCP Snooping技術(shù)是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可以信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址，IP地址，租用期,VLAN ID等接口信息，DHCP Snooping并且能提供DHCP必要的保護。

　　Ø 檢查方法

　　使用show ip dhcp snooping，show run命令查看配置中相應的字段。

　　Ø 推薦值

　　開啟DHCP Snooping

　　Ø 加固方法

　　全局命令

　　ip dhcp snooping//全局啟動dhcp snooping//

　　ip dhcp snooping vlan 301-331,535-549 //定義對哪些VLAN進行DHCP監(jiān)聽//

　　在接口模式下

　　ip dhcp snooping trust//一般連接DHCP服務(wù)器和交換機上連端口//

　　no ip dhcp snooping trust //接口默認為非信任接口，無法接受DHCP respone信息，這樣可以杜絕非法DHCP Server接入內(nèi)網(wǎng)//

　　ip dhcp snooping limit rate 30 //定義dhcp包的轉(zhuǎn)發(fā)速率(每秒數(shù)據(jù)包數(shù)PPS)，超過就接口就shutdown，默認不限制//

　　Ø 注意事項

　　僅在接入層就交換機上配置，交換機上連端口以及連接DHCP服務(wù)器的端口需配置成Trust接口

　　4.7 配置ARP防護

　　Ø 風險級別

　　高

　　Ø 功能描述

　　ARP協(xié)議是在TCP/IP協(xié)議棧中最常用的協(xié)議，但由于ARP協(xié)議自身設(shè)計的缺陷，基于ARP的攻擊成為攻擊者最為常用的一種攻擊手段，簡單而有效。常見的ARP攻擊有ARP欺騙和ARP泛洪兩種。

　　DAI描述

　　思科Dynamic ARP Inspection(DAI)在交換機上提供IP地址和MAC地址的綁定，并動態(tài)建立綁定關(guān)系。DAI以DHCP Snooping綁定表為基礎(chǔ)，對于沒有使用DHCP的服務(wù)器個別機器可以采用靜態(tài)添加ARP access-list實現(xiàn)。DAI配置正對VLAN,對于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉。通過DAI可以控制某個端口的ARP請求報文數(shù)量。通過這些技術(shù)可以防范“中間人”攻擊。

　　配置DAI后：

　　在配置DAI技術(shù)的接口上，用戶端采用靜態(tài)指定地址的方式接入網(wǎng)絡(luò)

　　由于DAI檢查DHCP Snooping綁定表中的IP和MAC對應關(guān)系，ARP欺騙攻擊。

　　DAI默認對ARP請求報文做了速度限制，客戶端無法進行人為或者病毒進行的IP掃描，探測等行為，如果發(fā)生這些行為，交換機馬上報警或直接切斷掃描機器。

　　配置了DAI后用戶獲取IP地址后，用戶不能修改IP或MAC，因為dhcp綁定表中有了合法的IP和MAC以及端口的對應關(guān)系，如果你用靜態(tài)的話修改之后發(fā)ARP請求時因為啟用了DAI，所以會檢測ARP請求包中的IP和MAC對應關(guān)系，當發(fā)現(xiàn)對應表中不一致的IP MAC對應時，將發(fā)不出ARP請求。

　　注意：DAI只檢查ARP包。

　　Ø 檢查方法

　　使用show ip arp inspection，show run命令查看配置中相應的字段。

　　Ø 推薦值

　　開啟ARP inspection

　　Ø 加固方法

　　全局命令

　　ip arp inspection vlan 301-331,545-549 //定義對哪些VLAN進行ARP檢測//

　　ip arp inspection validate src-mac ip //檢查ARP包中的源MAC和IP//

　　在接口模式下

　　ip arp inspection trust//一般連接交換機上連端口//

　　no ip arp inspection trust //接口默認為非信任接口，檢查所有ARP數(shù)據(jù)包//

　　ip arp inspection limit rate 30 //定義接口每秒 ARP 報文數(shù)量,超過的話接口就errordisable //

　　Ø 注意事項

　　僅在接入層交換機山配置，交換機上連端口需配置成Trust接口。

　　4.8 配置IP Source Guard

　　Ø 風險級別

　　高

　　Ø 功能描述

　　IP Source Guard技術(shù)配置在交換機上僅支持2層端口上的配置，通過下面的機制可以防范IP/MAC欺騙：

　　l IP Source Guard使用DHCP Snooping綁定表信息。

　　l 配置在交換機端口上，并對該端口生效。

　　l IP Souce Guard運作機制類似DAI，但是IP Source Guard不僅僅檢查ARP報文，(DAI只檢查ARP報文)所有經(jīng)過定義IP Source Guard檢查的端口的報文都要檢測。

　　l IP Source Guard檢查接口所通過的流量的IP地址和MAC地址是否在DHCP Snooping綁定表，如果不在綁定表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP服務(wù)器支持Option 82，同時使用網(wǎng)絡(luò)設(shè)備需支持Option 82信息。

　　Ø 檢查方法

　　使用show run inertface X/X/X命令查看配置中相應的字段。

　　Ø 推薦值

　　開啟IP Source Guard

　　Ø 加固方法

　　在接口模式下

　　ip verify source port-security //在端口啟用ip source guard //

　　Ø 注意事項

　　僅接用戶端口配置，連接服務(wù)器或打印機端口不配

　　4.9 關(guān)閉未使用接口

　　Ø 風險級別

　　高

　　Ø 功能描述

　　防止非法人員接入網(wǎng)絡(luò)

　　Ø 檢查方法

　　使用show ip int brief命令查看。

　　Ø 推薦值

　　配置成Acess接口

　　Ø 加固方法

　　在接口模式下

　　shut down

　　Ø 注意事項

　　僅在接入層交換機未使用接口上配置。

　　5 控制層面安全管理

　　5.1 COPP(Control Plane Protection)

　　Ø 風險級別

　　中

　　Ø 風險描述

　　交換機控制引擎是整個設(shè)備的大腦，負責處理所有控制層面的信息。而網(wǎng)絡(luò)黑客有可能偽裝成特定類型的需要控制層面處理的數(shù)據(jù)包直接對路由設(shè)備進行攻擊，因為路由設(shè)備的控制引擎處理能力是有限，即使是最強大硬件架構(gòu)也難以處理大量的惡意DDoS攻擊流量，所以需要部署適當?shù)姆粗拼胧?，對設(shè)備控制引擎提供保護。

　　檢查方法

　　使用show run命令查看配置文件中的logging字段。

　　Ø 推薦值

　　開啟COPP

　　Ø 加固方法

　　ip access-list copp-system-acl-telnet

　　10 permit tcp any any eq telnet

　　20 permit tcp any eq telnet any

　　ip access-list copp-system-acl-ssh

　　10 permit tcp any any eq 22

　　20 permit tcp any eq 22 any

　　ip access-list copp-system-acl-snmp

　　10 permit udp any any eq snmp

　　20 permit udp any any eq snmptrap

　　ip access-list copp-system-acl-ospf

　　10 permit ospf any any

　　ip access-list copp-system-acl-tacacs

　　10 permit tcp any any eq tacacs

　　20 permit tcp any eq tacacs any

　　ip access-list copp-system-acl-radius

　　10 permit udp any any eq 1812

　　20 permit udp any any eq 1813

　　30 permit udp any any eq 1645

　　40 permit udp any any eq 1646

　　50 permit udp any eq 1812 any

　　60 permit udp any eq 1813 any

　　70 permit udp any eq 1645 any

　　80 permit udp any eq 1646 any

　　ip access-list copp-system-acl-ntp

　　10 permit udp any any eq ntp

　　20 permit udp any eq ntp any

　　ip access-list copp-system-acl-icmp

　　10 permit icmp any any echo

　　20 permit icmp any any echo-reply

　　ip access-list copp-system-acl-traceroute

　　10 permit icmp any any ttl-exceeded

　　20 permit icmp any any port-unreachable

　　class-map type control-plane match-any copp-system-class-critical

　　match access-group name copp-system-acl-ospf

　　class-map type control-plane match-any copp-system-class-exception

　　match exception ip option

　　match exception ip icmp unreachable

　　class-map type control-plane match-any copp-system-class-management

　　match access-group name copp-system-acl-ntp

　　match access-group name copp-system-acl-radius

　　match access-group name copp-system-acl-ssh

　　match access-group name copp-system-acl-tacacs

　　match access-group name copp-system-acl-telnet

　　class-map type control-plane match-any copp-system-class-monitoring

　　match access-group name copp-system-acl-icmp

　　match access-group name copp-system-acl-traceroute

　　class-map type control-plane match-any copp-system-class-normal

　　match protocol arp

　　class-map type control-plane match-any copp-system-class-redirect

　　match redirect dhcp-snoop

　　match redirect arp-inspect

　　policy-map type control-plane copp-system-policy

　　class copp-system-class-critical

　　police cir 39600 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-management

　　police cir 10000 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-exception

　　police cir 360 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-normal

　　police cir 680 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-redirect

　　police cir 280 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-monitoring

　　police cir 130 kbps bc 1000 ms conform transmit violate drop

　　class class-default

　　police cir 100 kbps bc 250 ms conform transmit violate drop

　　control-plane

　　service-policy input copp-system-policy

網(wǎng)絡(luò)交換機配置常見命令相關(guān)文章：

1.華為quidway交換機配置命令有哪些

2.華為交換機配置的命令有哪些

3.網(wǎng)絡(luò)交換機怎么設(shè)置

4.千兆網(wǎng)絡(luò)交換機設(shè)置技巧

5.華為s3700交換機DHCP配置命令有哪些

6.華為交換機aaa配置命令是什么

7.網(wǎng)絡(luò)交換機安全小技巧