- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-端口安全命令
本章節下載: 05-端口安全命令 (159.83 KB)
目 錄
1.1.2 display port-security mac-address block
1.1.3 display port-security mac-address security
1.1.4 port-security authorization ignore
1.1.6 port-security intrusion-mode
1.1.7 port-security mac-address security
1.1.8 port-security max-mac-count
1.1.11 port-security port-mode
1.1.12 port-security timer disableport
【命令】
display port-security [ interface interface-list ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
interface interface-list:以太網端口列表,表示多個以太網端口。表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。
【描述】
display port-security命令用來顯示端口安全的配置信息、運行情況和統計信息。
需要注意的是,如果不指定參數interface interface-list,則顯示所有端口的端口安全信息。
相關配置可參考命令port-security enable、port-security port-mode、port-security ntk-mode、port-security intrusion-mode、port-security max-mac-count、port-security mac-address security、port-security authorization ignore、port-security oui和port-security trap。
【舉例】
# 顯示所有端口的端口安全狀態。
<Sysname> display port-security
Equipment port-security is enabled
AddressLearn trap is enabled
Intrusion trap is enabled
Dot1x logon trap is enabled
Dot1x logoff trap is enabled
Dot1x logfailure trap is enabled
RALM logon trap is enabled
RALM logoff trap is enabled
RALM logfailure trap is enabled
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 000d1a
Index is 2, OUI value is 003c12
GigabitEthernet2/0/1 is link-down
Port mode is UserloginWithOUI
NeedtoKnow mode is NeedToKnowOnly
Intrusion Portection mode is DisablePort
Max MAC address number is 50
Stored MAC address number is 0
Authorization is ignored
GigabitEthernet2/0/2 is link-down
Port mode is noRestriction
NeedtoKnow mode is disabled
Intrusion mode is NoAction
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
表1-1 display port-security命令顯示信息描述表
|
字段 |
描述 |
|
Equipment port-security |
端口安全的開啟狀態 |
|
AddressLearn trap |
端口學習告警的開啟狀態。若為enabled,則表示端口學習到新MAC地址時發出告警信息 |
|
Intrusion trap |
入侵檢測告警的開啟狀態。若為enabled,則表示端口發現非法報文時發出告警信息 |
|
Dot1x logon trap |
802.1X認證成功告警的開啟狀態。若為enabled,則表示802.1X用戶認證成功時發出告警信息 |
|
Dot1x logoff trap |
802. 1x認證用戶下線告警的開啟狀態。若為enabled,則表示802.1X用戶下線時發出告警信息 |
|
Dot1x logfailure |
802. 1x認證失敗告警的開啟狀態。若為enabled,則表示802.1X用戶認證失敗時發出告警信息 |
|
RALM logon trap |
MAC地址認證成功告警的開啟狀態。若為enabled,則表示MAC地址認證成功時發出告警信息 |
|
RALM logoff trap |
MAC地址認證用戶下線告警的開啟狀態。若為enabled,則表示MAC地址認證用戶下線時發出告警信息 |
|
RALM logfailure trap |
MAC地址認證失敗告警的開啟狀態。若為enabled,則表示MAC地址認證用戶認證失敗時發出告警信息 |
|
Disableport Timeout |
收到非法報文的端口暫時被關閉的時間,單位為秒 |
|
OUI value |
允許通過認證的用戶的24位OUI值 |
|
Index |
OUI的索引 |
|
Port mode |
l 端口安全模式,包括以下幾種: l autolearn l macAddressWithRadius l macAddressElseUserLoginSecure l macAddressElseUserLoginSecureExt l secure l userLogin l userLoginSecure l userLoginSecureExt l macAddressOrUserLoginSecure l macAddressOrUserLoginSecureExt l userLoginWithOUI |
|
NeedtoKnow mode is NeedToKnowOnly |
NeedtoKnow模式,包括以下三種: l NeedToKnowOnly:表示僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過 l NeedToKnowWithBroadcast:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過 l NeedToKnowWithMulticast:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過 |
|
Intrusion mode |
入侵檢測特性模式,包括以下四種: l BlockMacAddress:表示將非法報文的源MAC地址加入阻塞MAC地址列表中 l DisablePort:表示將收到非法報文的端口永久關閉 l DisablePortTemporarily:表示將收到非法報文的端口暫時關閉一段時間 l NoAction:表示不進行入侵檢測處理 |
|
Max MAC address number |
端口下允許學習的安全MAC地址的最大數目 |
|
Stored MAC address number |
端口下保存的安全MAC地址數目 |
|
Authorization |
服務器的授權信息是否被忽略的情況 l permitted:表示當前端口應用RADIUS服務器下發的授權信息 l ignored:表示當前端口不應用RADIUS服務器下發的授權信息 |
【命令】
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
interface interface-type interface-number:顯示指定端口的阻塞MAC地址信息。其中,interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:統計符合條件的阻塞MAC地址個數。
【描述】
display port-security mac-address block命令用來顯示阻塞MAC地址信息。
需要注意的是,如果不指定任何參數,則顯示所有阻塞MAC地址的信息。
相關配置可參考命令port-security intrusion-mode。
【舉例】
# 顯示所有阻塞MAC地址。
<Sysname> display port-security mac-address block
MAC ADDR From Port VLAN ID
--- On slot 0, no mac address found ---
--- On slot 1, no mac address found ---
--- On slot 2, no mac address found ---
000f-3d80-0d2d GigabitEthernet3/0/1 30
--- On slot 3, 1 mac address(es) found ---
--- 1 mac address(es) found ---
# 顯示所有阻塞MAC地址計數。
<Sysname> display port-security mac-address block count
--- On slot 0, no mac address found ---
--- On slot 1, no mac address found ---
--- On slot 2, no mac address found ---
--- On slot 3, 1 mac address(es) found ---
--- 1 mac address(es) found ---
# 顯示指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block vlan 1
MAC ADDR From Port VLAN ID
--- On slot 0, no mac address found ---
--- On slot 1, no mac address found ---
--- On slot 2, no mac address found ---
000f-3d80-0d2d GigabitEthernet3/0/1 30
--- On slot 3, 1 mac address(es) found ---
--- 1 mac address(es) found ---
# 顯示指定端口下的阻塞MAC地址。
<Sysname> display port-security mac-address block interface gigabitethernet2/0/1
MAC ADDR From Port VLAN ID
000d-88f8-0577 GigabitEthernet2/0/1 1
--- On slot 2, 1 mac address(es) found ---
--- 1 mac address(es) found ---
# 顯示指定端口下的在指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block interface gigabitethernet 2/0/1 vlan 1
MAC ADDR From Port VLAN ID
000d-88f8-0577 GigabitEthernet2/0/1 1
--- On slot 2, 1 mac address(es) found ---
--- 1 mac address(es) found ---
表1-2 display port-security mac-address block命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
阻塞MAC地址 |
|
From Port |
阻塞MAC地址所在端口 |
|
VLAN ID |
端口所屬VLAN |
|
2 mac address(es) found |
當前阻塞MAC地址數目 |
【命令】
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
interface interface-type interface-number:顯示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:統計符合條件的安全MAC地址個數。
【描述】
display port-security mac-address security命令用來顯示安全MAC地址信息。
需要注意的是,如果不指定任何參數,則顯示所有安全MAC地址的信息。
相關配置可參考命令port-security mac-address security。
【舉例】
# 顯示所有安全MAC地址。
<Sysname> display port-security mac-address security
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0002-0002-0002 1 Security GigabitEthernet2/0/1 NOAGED
000d-88f8-0577 1 Security GigabitEthernet2/0/1 NOAGED
--- 2 mac address(es) found ---
# 顯示所有安全MAC地址計數。
<Sysname> display port-security mac-address count
2 mac address(es) found
# 顯示指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0002-0002-0002 1 Security GigabitEthernet2/0/1 NOAGED
000d-88f8-0577 1 Security GigabitEthernet2/0/1 NOAGED
--- 2 mac address(es) found ---
# 顯示指定端口下的安全MAC地址。
<Sysname> display port-security mac-address security interface gigabitethernet2/0/1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000d-88f8-0577 1 Security GigabitEthernet2/0/1 NOAGED
--- 1 mac address(es) found ---
# 顯示指定端口下的在指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security interface gigabitethernet 2/0/1 vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000d-88f8-0577 1 Security GigabitEthernet2/0/1 NOAGED
--- 1 mac address(es) found ---
表1-3 display port-security mac-address命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
安全MAC地址 |
|
VLAN ID |
端口所屬VLAN |
|
STATE |
添加的MAC地址類型 l Security:表示該項是安全MAC地址 |
|
PORT INDEX |
安全MAC地址所在端口 |
|
AGING TIME(s) |
安全MAC地址的存活時間 l NOAGED:表示該安全MAC地址不會被老化 |
|
2 mac address(es) found |
當前保存的安全MAC地址數目 |
【命令】
port-security authorization ignore
undo port-security authorization ignore
【視圖】
以太網端口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
port-security authorization ignore命令用來配置端口不應用RADIUS服務器下發的授權信息。undo port-security port-mode ignore命令用來恢複缺省情況。
缺省情況下,端口應用RADIUS服務器下發的授權信息。
當用戶通過RADIUS認證後,RADIUS服務器會根據用戶帳號配置的相關屬性進行授權,比如動態下發VLAN等。
相關配置可參考命令display port-security。
【舉例】
# 配置端口GigabitEthernet2/0/1不應用RADIUS服務器下發的授權信息。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security authorization ignore
【命令】
port-security enable
undo port-security enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
port-security enable命令用來使能端口安全功能。undo port-security enable命令用來關閉端口安全功能。
缺省情況下,端口安全功能處於關閉狀態。
需要注意的是:
(1) 如果已全局開啟了802.1X或MAC地址認證功能,則無法使能端口安全功能。
(2) 端口安全功能使能後,端口的如下配置會被自動恢複為(括弧內的)缺省情況,且以下配置不能再進行手動配置,隻能隨端口安全模式的改變由係統配置:
l 802.1X認證(關閉)、端口接入控製方式(macbased)、端口接入控製模式(auto);
l MAC地址認證(關閉)。
(3) 端口安全功能關閉時,端口的如下配置會被自動恢複為(括弧內的)缺省情況:
l 端口安全模式(noRestrictions);
l 802.1X認證(關閉)、端口接入控製方式(macbased)、端口接入控製模式(auto);
l MAC地址認證(關閉)。
(4) 端口上有用戶在線的情況下,端口安全功能無法關閉。
相關配置可參考命令display port-security、“安全分冊/802.1X命令”中的命令dot1x、dot1x port-method和dot1x port-control以及“安全分冊/MAC地址認證命令”中的命令mac-authentication。
【舉例】
# 使能端口安全功能。
<Sysname> system-view
[Sysname] port-security enable
【命令】
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
undo port-security intrusion-mode
【視圖】
二層以太網端口視圖
【缺省級別】
2:係統級
【參數】
blockmac:表示將非法報文的源MAC地址加入阻塞MAC地址列表中,源MAC地址為阻塞MAC地址的報文將被丟棄,實現在端口上過濾非法流量的作用。此MAC地址在被阻塞3分鍾(係統默認,不可配)後恢複正常。阻塞MAC地址列表可以通過display port-security mac-address block命令查看。
disableport:表示將收到非法報文的端口永久關閉。
disableport-temporarily:表示將收到非法報文的端口暫時關閉一段時間。關閉時長可通過port-security timer disableport命令配置。
【描述】
port-security intrusion-mode命令用來配置入侵檢測特性,對接收非法報文的端口采取相應的安全策略。undo port-security intrusion-mode命令用來缺省情況。
缺省情況下,不進行入侵檢測處理。
需要注意的是,可以通過執行undo shutdown命令將斷開的端口連接恢複。
相關配置可參考命令display port-security、display port-security mac-address block和port-security timer disableport。
【舉例】
# 配置端口GigabitEthernet2/0/1的入侵檢測特性被觸發後,將非法報文的源MAC地址置為阻塞MAC。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security intrusion-mode blockmac
【命令】
在二層以太網端口視圖下:
port-security mac-address security mac-address vlan vlan-id
在係統視圖下:
port-security mac-address security mac-address interface interface-type interface-number vlan vlan-id
undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]
【視圖】
二層以太網端口視圖/係統視圖
【缺省級別】
2:係統級
【參數】
mac-address:安全MAC地址,格式為H-H-H。
interface interface-type interface-number:指定添加安全MAC地址的端口。其中,interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:指定安全MAC地址所屬的VLAN。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
【描述】
port-security mac-address security命令用來添加安全MAC地址。undo port-security mac-address security命令用來刪除匹配的安全MAC地址。
缺省情況下,未配置安全MAC地址。
需要注意的是:
l 安全MAC地址的端口必須屬於安全MAC地址所屬的VLAN。
l 此命令隻有在端口安全功能打開(使用命令port-security enable)且指定端口的端口安全模式為autoLearn(使用命令port-security port-mode autolearn)的時候才能配置成功。
l 刪除安全MAC地址的命令隻能在係統視圖下執行。
相關配置可參考命令display port-security。
【舉例】
# 啟動端口安全功能,配置端口GigabitEthernet2/0/1的安全模式為autoLearn,並在係統視圖下為該端口添加一條安全MAC地址:0001-0001-0002,該安全MAC地址屬於VLAN 10。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security max-mac-count 100
[Sysname-GigabitEthernet2/0/1] port-security port-mode autolearn
[Sysname-GigabitEthernet2/0/1] quit
[Sysname] port-security mac-address security 0001-0001-0002 interface gigabitethernet 2/0/1 vlan 10
# 啟動端口安全功能,配置端口GigabitEthernet2/0/1的安全模式為autoLearn,並在端口視圖下為該端口添加一條安全MAC地址:0001-0002-0003,該安全MAC地址屬於VLAN 4。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security max-mac-count 100
[Sysname-GigabitEthernet2/0/1] port-security port-mode autolearn
[Sysname-GigabitEthernet2/0/1] port-security mac-address security 0001-0002-0003 vlan 4
【命令】
port-security max-mac-count count-value
undo port-security max-mac-count
【視圖】
以太網端口視圖
【缺省級別】
2:係統級
【參數】
count-value:端口允許的最大安全MAC地址數,取值範圍為1~1024。
【描述】
port-security max-mac-count命令用來設置autoLearn模式下端口允許轉發的最大安全MAC地址數。undo port-security max-mac-count命令用來恢複缺省情況。
缺省情況下,最大安全MAC地址數不受限製。
需要注意的是:
l 當端口工作於autoLearn模式時,無法更改端口允許的最大安全MAC地址數。
l 端口允許的最大安全MAC地址數不統計手工設置的靜態MAC地址。
l 端口允許的最大安全MAC地址數不能小於當前端口下已保存的MAC地址數。
相關配置可參考命令display port-security。
【舉例】
# 配置端口GigabitEthernet2/0/1允許的最大安全MAC地址數為100。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security max-mac-count 100
【命令】
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }
undo port-security ntk-mode
【視圖】
以太網端口視圖
【缺省級別】
2:係統級
【參數】
ntk-withbroadcasts:僅發送目的地址為已認證的MAC地址或廣播地址的報文。
ntk-withmulticasts:僅發送目的地址為已認證的MAC地址、廣播地址或組播地址的報文。
ntkonly:僅發送目的地址為已認證的MAC地址的報文。
【描述】
port-security ntk-mode命令用來配置端口NeedToKnow特性。undo port-security ntk-mode命令用來恢複缺省配置。
缺省情況下,端口沒有配置NeedToKnow特性,即所有報文都可成功發送。
NeedToKnow特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀隻能被發送到已經通過認證的設備上,從而防止非法設備竊聽網絡數據。
相關配置可參考命令display port-security。
【舉例】
# 配置端口GigabitEthernet2/0/1的NeedToKnow特性為ntkonly,即僅發送目的地址為已認證的MAC地址的報文。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security ntk-mode ntkonly
【命令】
port-security oui oui-value index index-value
undo port-security oui index index-value
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
oui-value:OUI值,輸入格式為H-H-H的48位MAC地址。係統會自動取輸入的前24位做為OUI值,忽略後24位。
index-value:標識此OUI的索引值,取值範圍為1~16。
【描述】
port-security oui命令用來配置用戶認證的OUI值,在端口安全模式為UserLoginWithOUI時使用。undo port-security oui命令用來刪除指定索引的OUI值。
缺省情況下,沒有設置用戶認證的OUI值。
OUI指的是MAC地址的前24位(二進製),是IEEE為不同設備供應商分配的一個全球唯一的標識符。因此,當需要允許某些特殊設備的(有線接入)報文總是可以通過認證或僅允許這些設備的(無線接入)報文可以進行認證的情況下,就可以通過本命令來指定這些設備的OUI值,例如,某公司僅允許A廠商的IP電話在企業網中使用,則該值就為A廠商設備的OUI。
需要注意的是,本命令設置的OUI值,隻在端口安全模式為userLoginWithOUI時生效。
相關配置可參考命令display port-security。
【舉例】
# 配置OUI值為000d2a,索引為4。
<Sysname> system-view
[Sysname] port-security oui 000d-2a10-0033 index 4
【命令】
port-security port-mode { autolearn | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }
undo port-security port-mode
【視圖】
端口視圖
【缺省級別】
2:係統級
【參數】
表1-4 安全模式的參數解釋表
|
參數 |
安全模式 |
說明 |
|
autolearn |
autoLearn |
此模式下,端口通過配置或學習到的安全MAC地址被保存在安全MAC地址表項中 當端口下的安全MAC地址數超過端口允許學習的最大安全MAC地址數後,端口模式會自動轉變為secure模式。之後,該端口停止添加新的安全MAC,隻有源MAC地址為安全MAC地址、已配置的靜態MAC地址的報文,才能通過該端口 |
|
mac-authentication |
macAddressWithRadius |
對接入用戶采用MAC地址認證 |
|
mac-else-userlogin-secure |
macAddressElseUserLoginSecure |
端口同時處於macAddressWithRadius模式和userLoginSecure模式,但MAC地址認證優先級大於802.1X認證; 對於非802.1X報文直接進行MAC地址認證。對於802.1X報文先進行MAC地址認證,如果MAC地址認證失敗進行802.1X認證 |
|
mac-else-userlogin-secure-ext |
macAddressElseUserLoginSecureExt |
與macAddressElseUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|
secure |
secure |
禁止端口學習MAC地址,隻有源MAC地址為端口上的安全MAC地址、已配置的靜態MAC地址的報文,才能通過該端口 |
|
userlogin |
userLogin |
對接入用戶采用基於端口的802.1X認證 此模式下,端口允許多個802.1X認證用戶接入,但隻有一個用戶在線 |
|
userlogin-secure |
userLoginSecure |
端口必須通過802.1X認證才能開啟,且隻允許認證成功的用戶報文通過; 此模式下,端口最多隻允許一個802.1X認證用戶接入 |
|
userlogin-secure-ext |
userLoginSecureExt |
對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
|
userlogin-secure-or-mac |
macAddressOrUserLoginSecure |
端口同時處於userLoginSecure模式和macAddressWithRadius模式,但802.1X認證優先級大於MAC地址認證 在用戶接入方式為有線的情況下,對於非802.1X報文直接進行MAC地址認證。對於802.1X報文直接進行802.1X認證 |
|
userlogin-secure-or-mac-ext |
macAddressOrUserLoginSecureExt |
與macAddressOrUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|
userlogin-withoui |
userLoginWithOUI |
與userLoginSecure模式類似,端口最多隻允許一個802.1X認證用戶接入 在用戶接入方式為有線的情況下,端口還允許一個指定OUI的源MAC地址的報文認證通過 |
【描述】
port-security port-mode命令用來配置端口安全模式。undo port-security port-mode命令用來恢複缺省情況。
缺省情況下,端口處於noRestrictions模式,此時該端口下端口安全特性不生效。
需要注意的是:
l 端口安全模式與端口下的802.1X認證使能、端口接入控製方式、端口接入控製模式以及端口下的MAC地址認證使能配置互斥。
l 當端口安全已經使能且當前端口安全模式不是noRestrictions時,若要改變端口安全模式,必須首先執行undo port-security port-mode命令恢複端口安全模式為noRestrictions模式。
l 配置端口安全autoLearn模式時,首先需要通過命令port-security max-mac-count設置端口允許的最大安全MAC地址數。
l 端口上有用戶在線的情況下,端口安全模式無法改變。
相關配置可參考命令display port-security。
【舉例】
# 使能端口安全功能,並配置端口GigabitEthernet2/0/1的端口安全模式為secure。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security port-mode secure
# 將端口GigabitEthernet2/0/1的端口安全模式改變為userLogin。
[Sysname-GigabitEthernet2/0/1] undo port-security port-mode
[Sysname-GigabitEthernet2/0/1] port-security port-mode userlogin
【命令】
port-security timer disableport time-value
undo port-security timer disableport
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
time-value:端口靜默時間,取值範圍為20~300,單位為秒。
【描述】
port-security timer disableport命令用來配置係統暫時關閉端口連接的時間。undo port-security timer disableport命令用來恢複缺省情況。
缺省情況下,係統暫時關閉端口連接的時間為20秒。
當port-security intrusion-mode設置為disableport-temporarily模式時,係統暫時關閉端口連接的時間由該命令配置。
相關配置可參考命令display port-security。
【舉例】
# 配置端口GigabitEthernet2/0/1的入侵檢測特性被觸發後,收到非法報文的端口暫時關閉30秒。
<Sysname> system-view
[Sysname] port-security timer disableport 30
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security intrusion-mode disableport-temporarily
【命令】
port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }
undo port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
addresslearned:端口學習告警。在端口學習到新MAC地址時發出告警信息。
dot1xlogfailure:802.1X認證失敗告警。
dot1xlogon:802.1X認證成功告警。
dot1xlogoff:802.1X認證用戶下線告警。
intrusion:發現非法報文告警。
ralmlogfailure:MAC地址認證失敗告警。
ralmlogoff:MAC地址認證用戶下線告警。
ralmlogon:MAC地址認證成功告警。
RALM(RADIUS Authenticated Login using MAC-address)是指基於MAC地址的RADIUS認證。
【描述】
port-security trap命令用來打開指定告警信息的發送開關。undo port-security trap命令用來關閉指定告警信息的發送開關。
缺省情況下,所有告警信息的發送開關處於關閉狀態。
該過程使用了設備的Trap特性。Trap特性是指當端口有特定的數據包(由非法入侵,用戶不正常上下線等原因引起)傳送時,設備將會發送Trap信息,便於用戶對這些特殊的行為進行監控。
相關配置可參考命令display port-security。
【舉例】
# 打開端口學習告警信息開關。
<Sysname> system-view
[Sysname] port-security trap addresslearned
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
