- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-端口安全命令
本章節下載: 04-端口安全命令 (165.77 KB)
目 錄
1.1.2 display port-security mac-address block
1.1.3 display port-security mac-address security
1.1.4 port-security authorization ignore
1.1.6 port-security intrusion-mode
1.1.7 port-security mac-address security
1.1.8 port-security max-mac-count
1.1.11 port-security port-mode
1.1.12 port-security timer autolearn aging
1.1.13 port-security timer disableport
display port-security命令用來顯示端口安全的配置信息、運行情況和統計信息。
【命令】
display port-security [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的端口安全相關信息,interface-type interface-number表示端口類型和端口編號
【使用指導】
如果不指定interface參數,則顯示所有端口的端口安全信息。
【舉例】
# 顯示所有端口的端口安全相關狀態。
<Sysname> display port-security
Port security is enabled globally
AutoLearn aging time is 1 minutes
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 000d1a
Index is 2, OUI value is 003c12
Ten-GigabitEthernet1/0/1 is link-down
Port mode: userLoginWithOUI
NeedToKnow mode: NeedToKnowOnly
Intrusion portection mode: DisablePort
Max number of secure MAC addresses: 50
Current number of secure MAC addresses: 0
Authorization is ignored
Ten-GigabitEthernet1/0/2 is link-down
Port mode: noRestriction
NeedToKnow mode: disabled
Intrusion protection mode: NoAction
Max number of secure MAC addresses: Not configured
Current number of secure MAC addresses: 0
Authorization is permitted
表1-1 display port-security命令顯示信息描述表
|
字段 |
描述 |
|
Port security is enabled globally |
端口安全的開啟狀態 |
|
AutoLearn aging time |
Sticky MAC地址的老化時間,單位為分鍾 |
|
Disableport Timeout |
收到非法報文的端口暫時被關閉的時間,單位為秒 |
|
OUI value |
允許通過認證的用戶的24位OUI值 |
|
Index |
OUI的索引 |
|
Port mode |
端口安全模式,包括以下幾種: · noRestriction · autoLearn · macAddressWithRadius · macAddressElseUserLoginSecure · macAddressElseUserLoginSecureExt · secure · userLogin · userLoginSecure · userLoginSecureExt · macAddressOrUserLoginSecure · macAddressOrUserLoginSecureExt · userLoginWithOUI |
|
NeedToKnow mode |
Need To Know模式,包括以下四種: · NeedToKnowOnly:表示僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過 · NeedToKnowWithBroadcast:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過 · NeedToKnowWithMulticast:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過 · Disabled:表示不進行NTK處理 |
|
Intrusion protection mode |
入侵檢測特性模式,包括以下四種: · BlockMacAddress:表示將非法報文的源MAC地址加入阻塞MAC地址列表中 · DisablePort:表示將收到非法報文的端口永久關閉 · DisablePortTemporarily:表示將收到非法報文的端口暫時關閉一段時間 · NoAction:表示不進行入侵檢測處理 |
|
Max number of secure MAC addresses |
端口安全允許的最大安全MAC地址數目或上線用戶數 |
|
Current number of secure MAC addresses |
端口下保存的安全MAC地址數目 |
|
Authorization |
服務器的授權信息是否被忽略 · permitted:表示當前端口應用RADIUS服務器或本地設備下發的授權信息 · ignored:表示當前端口不應用RADIUS服務器或本地設備下發的授權信息 |
display port-security mac-address block命令用來顯示阻塞MAC地址信息。
【命令】
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的阻塞MAC地址信息,interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:顯示阻塞MAC地址的個數。
【使用指導】
如果不指定任何參數,則顯示所有阻塞MAC地址的信息。
【舉例】
# 顯示所有阻塞MAC地址。
<Sysname> display port-security mac-address block
MAC ADDR Port VLAN ID
0002-0002-0002 Ten-GigabitEthernet1/0/1 1
000d-88f8-0577 Ten-GigabitEthernet1/0/1 1
--- 2 mac address(es) found ---
# 顯示所有阻塞MAC地址。(IRF設備)
<Sysname> display port-security mac-address block
MAC ADDR Port VLAN ID
000f-3d80-0d2d Ten-GigabitEthernet1/0/1 30
--- On slot 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
# 顯示所有阻塞MAC地址計數。
<Sysname> display port-security mac-address block count
--- 2 mac address(es) found ---
# 顯示所有阻塞MAC地址計數。(IRF設備)
<Sysname> display port-security mac-address block count
--- On slot 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
# 顯示指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block vlan 1
MAC ADDR Port VLAN ID
0002-0002-0002 Ten-GigabitEthernet1/0/1 1
000d-88f8-0577 Ten-GigabitEthernet1/0/1 1
--- 2 mac address(es) found ---
# 顯示指定VLAN中的阻塞MAC地址。(IRF設備)
<Sysname> display port-security mac-address block vlan 30
MAC ADDR Port VLAN ID
000f-3d80-0d2d Ten-GigabitEthernet1/0/1 30
--- On slot 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
# 顯示指定端口下的阻塞MAC地址。
<Sysname> display port-security mac-address block interface ten-gigabitethernet 1/0/1
MAC ADDR Port VLAN ID
000d-88f8-0577 Ten-GigabitEthernet1/0/1 1
--- 1 mac address(es) found ---
# 顯示指定端口下的阻塞MAC地址。(IRF設備)
<Sysname> display port-security mac-address block interface ten-gigabitethernet 1/0/1
MAC ADDR Port VLAN ID
000f-3d80-0d2d Ten-GigabitEthernet1/0/1 30
--- On slot 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
# 顯示指定端口下的在指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block interface ten-gigabitethernet 1/0/1 vlan 1
MAC ADDR Port VLAN ID
000d-88f8-0577 Ten-GigabitEthernet1/0/1 1
--- 1 mac address(es) found ---
# 顯示指定端口下的在指定VLAN中的阻塞MAC地址。(IRF設備)
<Sysname> display port-security mac-address block interface ten-gigabitethernet 1/0/1 vlan 30
MAC ADDR Port VLAN ID
000f-3d80-0d2d Ten-GigabitEthernet1/0/1 30
--- On slot 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
表1-2 display port-security mac-address block命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
阻塞MAC地址 |
|
Port |
阻塞MAC地址所在端口 |
|
VLAN ID |
端口所屬VLAN |
|
number mac address(es) found |
當前阻塞MAC地址數目為number個 |
【相關命令】
· port-security intrusion-mode
display port-security mac-address security命令用來顯示安全MAC地址信息。
【命令】
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:統計符合條件的安全MAC地址個數。
【使用指導】
當端口工作於autoLearn模式時,端口上通過自動學習或者靜態配置的安全MAC地址可通過該命令查看。
如果不指定任何參數,則顯示所有安全MAC地址的信息。
【舉例】
# 顯示所有安全MAC地址。
<Sysname> display port-security mac-address security
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME
0002-0002-0002 1 Security Ten-GigabitEthernet1/0/1 NOAGED
000d-88f8-0577 1 Security Ten-GigabitEthernet1/0/1 28
--- 2 mac address(es) found ---
# 顯示所有安全MAC地址計數。
<Sysname> display port-security mac-address security count
--- 2 mac address(es) found ---
# 顯示指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME
0002-0002-0002 1 Security Ten-GigabitEthernet1/0/1 NOAGED
000d-88f8-0577 1 Security Ten-GigabitEthernet1/0/1 28
--- 2 mac address(es) found ---
# 顯示指定端口下的安全MAC地址。
<Sysname> display port-security mac-address security interface ten-gigabitethernet 1/0/1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME
000d-88f8-0577 1 Security Ten-GigabitEthernet1/0/1 NOAGED
--- 1 mac address(es) found ---
# 顯示指定端口下的在指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security interface ten-gigabitethernet 1/0/1 vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME
000d-88f8-0577 1 Security Ten-GigabitEthernet1/0/1 NOAGED
--- 1 mac address(es) found ---
表1-3 display port-security mac-address security命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
安全MAC地址 |
|
VLAN ID |
端口所屬VLAN |
|
STATE |
添加的MAC地址類型 · Security:表示該項是安全MAC地址 |
|
PORT INDEX |
安全MAC地址所在端口 |
|
AGING TIME |
安全MAC地址的存活時間 · 對於靜態MAC地址,顯示為NOAGED · 對於Sticky MAC地址,顯示為剩餘的存活時間,單位為分鍾。缺省情況下為不進行老化,顯示為NOAGED |
|
number mac address(es) found |
當前保存的安全MAC地址數目為number個 |
【相關命令】
· port-security mac-address security
port-security authorization ignore命令用來配置端口不應用RADIUS服務器或設備本地下發的授權信息。
undo port-security authorization ignore命令用來恢複缺省情況。
【命令】
port-security authorization ignore
undo port-security authorization ignore
【缺省情況】
端口應用RADIUS服務器或設備本地下發的授權信息。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
當用戶通過RADIUS認證或本地認證後,RADIUS服務器或設備會根據用戶帳號配置的相關屬性進行授權,比如動態下發VLAN等。若不希望接受這類動態下發的屬性,則可通過配置本命令來忽略。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1不應用RADIUS服務器或設備本地下發的授權信息。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security authorization ignore
【相關命令】
· display port-security
port-security enable命令用來使能端口安全。
undo port-security enable命令用來關閉端口安全。
【命令】
port-security enable
undo port-security enable
【缺省情況】
端口安全處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
如果已全局開啟了802.1X或MAC地址認證,則無法使能端口安全。
執行使能或關閉端口安全的命令後,端口上的相關配置將會恢複為如下情況:
· 802.1X端口接入控製方式恢複為macbased;
· 802.1X端口的授權狀態恢複為auto;
· 端口安全模式恢複為noRestrictions。
端口上有用戶在線的情況下,若關閉端口安全,則在線用戶將會下線。
【舉例】
# 使能端口安全。
<Sysname> system-view
[Sysname] port-security enable
【相關命令】
· display port-security
· dot1x(安全命令參考/802.1X)
· dot1x port-control(安全命令參考/802.1X)
· dot1x port-method(安全命令參考/802.1X)
· mac-authentication(安全命令參考/MAC地址認證)
port-security intrusion-mode命令用來配置入侵檢測特性,對接收到非法報文的端口采取相應的安全策略。
undo port-security intrusion-mode命令用來缺省情況。
【命令】
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
undo port-security intrusion-mode
【缺省情況】
對接收到非法報文的端口不進行入侵檢測處理。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
blockmac:表示將非法報文的源MAC地址加入阻塞MAC地址列表中,源MAC地址為阻塞MAC地址的報文將被丟棄,從而實現在端口上過濾非法流量的作用。此MAC地址在被阻塞3分鍾(係統默認,不可配)後恢複正常。阻塞MAC地址列表可以通過display port-security mac-address block命令查看。
disableport:表示將收到非法報文的端口永久關閉。
disableport-temporarily:表示將收到非法報文的端口暫時關閉一段時間。關閉時長可通過port-security timer disableport命令配置。
【使用指導】
可以通過執行undo shutdown命令重新開啟被入侵檢測特性臨時或永久斷開的端口。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的入侵檢測特性檢測到非法報文後,將非法報文的源MAC地址置為阻塞MAC。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security intrusion-mode blockmac
【相關命令】
· display port-security
· display port-security mac-address block
· port-security timer disableport
port-security mac-address security命令用來添加安全MAC地址。
undo port-security mac-address security命令用來刪除指定的安全MAC地址。
【命令】
在以太網接口視圖下:
port-security mac-address security [ sticky ] mac-address vlan vlan-id
undo port-security mac-address security [ sticky ] mac-address vlan vlan-id
在係統視圖下:
port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id
undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]
【缺省情況】
未配置安全MAC地址。
【視圖】
以太網接口視圖/係統視圖
【缺省用戶角色】
network-admin
【參數】
sticky:表示要添加一個可老化的安全MAC地址(Sticky MAC地址)。Sticky MAC地址的老化時間可通過port-security timer autolearn aging命令配置。當Sticky MAC地址的老化時間到達時,Sticky MAC地址即被刪除。若不指定本參數,則表示添加的是一個不老化的安全MAC地址。
mac-address:安全MAC地址,格式為H-H-H。
interface interface-type interface-number:指定添加安全MAC地址的接口。其中,interface-type interface-number表示接口類型和接口編號。
vlan vlan-id:指定安全MAC地址所屬的VLAN。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
【使用指導】
手工配置添加的安全MAC地址在保存配置並設備重啟後,不會被刪除。因此,可以將網絡中一些已知的、固定要接入某端口的主機或設備的MAC地址添加為安全MAC地址,這樣在端口處於autoLearn安全模式時,此類源MAC地址為安全MAC地址的主機或設備的報文將被允許通過指定端口,而且還可避免與其它通過自動方式學習到端口上的MAC地址的報文爭奪資源而被拒絕接收。
需要注意的是:
· 成功添加安全MAC地址的前提為:端口安全處於開啟狀態;端口的端口安全模式為autoLearn;當前的接口允許指定的VLAN通過或已加入該VLAN,且該VLAN已存在。
· 已添加的安全MAC地址,除非首先將其刪除,否則不能重複添加或者修改其地址類型,例如已經在某端口上添加了一條安全MAC地址port-security mac-address security 1-1-1 vlan 10,則不能再添加一條安全MAC地址port-security mac-address security sticky 1-1-1 vlan 10。
【舉例】
# 使能端口安全,配置端口Ten-GigabitEthernet1/0/1的安全模式為autoLearn,並指定端口安全允許的最大MAC地址數為100。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface ten-gigabitethernet1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security max-mac-count 100
[Sysname-Ten-GigabitEthernet1/0/1] port-security port-mode autolearn
# 為該端口添加一條Sticky MAC地址0001-0002-0003,該安全MAC地址屬於VLAN 4。
[Sysname-Ten-GigabitEthernet1/0/1] port-security mac-address security sticky 0001-0002-0003 vlan 4
[Sysname-Ten-GigabitEthernet1/0/1] quit
# 在係統視圖下為端口Ten-GigabitEthernet1/0/1添加一條安全MAC地址0001-0001-0002,該安全MAC地址屬於VLAN 10。
[Sysname] port-security mac-address security 0001-0001-0002 interface ten-gigabitethernet 1/0/1 vlan 10
【相關命令】
· display port-security
· port-security timer autolearn aging
port-security max-mac-count命令用來設置端口安全允許的最大安全MAC地址數。
undo port-security max-mac-count命令用來恢複缺省情況。
【命令】
port-security max-mac-count count-value
undo port-security max-mac-count
【缺省情況】
端口安全不限製本端口可保存的最大安全MAC地址數。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
count-value:端口允許的最大安全MAC地址數,取值範圍為1~1024。
【使用指導】
對於autoLearn安全模式,端口允許的最大安全MAC地址數由本命令配置,包括端口上學習到的以及手工配置的安全MAC地址數;對於采用802.1X、MAC地址認證或者兩者組合形式的認證類安全模式,端口允許的最大用戶數取本命令配置的值與相應模式下允許認證用戶數的最小值。例如,userLoginSecureExt模式下,端口下所允許的最大安全MAC地址數為配置的端口安全允許的最大安全MAC地址數與802.1X認證所允許的最大用戶數的最小值。
需要注意的是:
· 當端口工作於autoLearn模式時,無法更改端口安全允許的最大安全MAC地址數。
· 端口安全允許的最大安全MAC地址數不能小於當前端口下已保存的MAC地址數。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上配置端口安全允許的最大安全MAC地址數為100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security max-mac-count 100
【相關命令】
· display port-security
port-security ntk-mode命令用來配置端口Need To Know特性。
undo port-security ntk-mode命令用來恢複缺省情況。
【命令】
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }
undo port-security ntk-mode
【缺省情況】
端口沒有配置Need To Know特性,即所有報文都可成功發送。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
ntk-withbroadcasts:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過。
ntk-withmulticasts:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過。
ntkonly:僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過。
【使用指導】
Need To Know特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀隻能被發送到已經通過認證的設備上,從而防止非法設備竊聽網絡數據。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的Need To Know特性為ntkonly,即僅發送目的地址為已認證的MAC地址的報文。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security ntk-mode ntkonly
【相關命令】
· display port-security
port-security oui命令用來配置允許通過認證的用戶的OUI值。
undo port-security oui命令用來刪除指定索引的OUI值。
【命令】
port-security oui index index-value mac-address oui-value
undo port-security oui index index-value
【缺省情況】
不存在允許通過認證的用戶OUI值。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
index-value:標識此OUI的索引值,取值範圍為1~16。
oui-value:OUI值,輸入格式為H-H-H的48位MAC地址。係統會自動取輸入的前24位做為OUI值,忽略後24位。
【使用指導】
OUI是MAC地址的前24位(二進製),是IEEE為不同設備供應商分配的一個全球唯一的標識符。當需要允許某些特殊設備的(有線接入)報文總是可以通過認證的情況下,就可以通過本命令來指定這些設備的OUI值,例如,某公司僅允許A廠商的IP電話在本企業網內使用,則可以通過本命令將A廠商設備的OUI值設置為認證的OUI值。
可通過多次執行本命令,配置多個OUI值。
配置的OUI值隻在端口安全模式為userLoginWithOUI時生效。在userLoginWithOUI模式下,端口上除了允許一個802.1X認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC地址的OUI與設備上配置的某個OUI值相符。
【舉例】
# 配置一個允許通過認證的用戶OUI值為000d2a,索引為4。
<Sysname> system-view
[Sysname] port-security oui index 4 mac-address 000d-2a10-0033
【相關命令】
· display port-security
port-security port-mode命令用來配置端口安全模式。
undo port-security port-mode命令用來恢複缺省情況。
【命令】
port-security port-mode { autolearn | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }
undo port-security port-mode
【缺省情況】
端口處於noRestrictions模式,此時該端口的安全功能關閉,端口處於不受端口安全限製的狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
表1-4 安全模式的參數解釋表
|
參數 |
安全模式 |
說明 |
|
autolearn |
autoLearn |
端口可通過手工配置或自動學習MAC地址。手工配置或自動學習到的MAC地址被稱為安全MAC,並被添加到安全MAC地址表中 當端口下的安全MAC地址數超過端口安全允許的最大安全MAC地址數後,端口模式會自動轉變為secure模式。之後,該端口停止添加新的安全MAC,隻有源MAC地址為安全MAC地址、通過命令mac-address dynamic或mac-address static手工配置的MAC地址的報文,才能通過該端口 |
|
mac-authentication |
macAddressWithRadius |
對接入用戶采用MAC地址認證 此模式下,端口允許多個用戶接入 |
|
mac-else-userlogin-secure |
macAddressElseUserLoginSecure |
端口同時處於macAddressWithRadius模式和userLoginSecure模式,但MAC地址認證優先級大於802.1X認證。允許端口下一個802.1X認證用戶及多個MAC地址認證用戶接入 非802.1X報文直接進行MAC地址認證。802.1X報文先進行MAC地址認證,如果MAC地址認證失敗再進行802.1X認證 |
|
mac-else-userlogin-secure-ext |
macAddressElseUserLoginSecureExt |
與macAddressElseUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|
secure |
secure |
禁止端口學習MAC地址,隻有源MAC地址為端口上的安全MAC地址、手工配置的MAC地址的報文,才能通過該端口 |
|
userlogin |
userLogin |
對接入用戶采用基於端口的802.1X認證 此模式下,端口下的第一個802.1X用戶認證成功後,其它用戶無須認證就可接入 |
|
userlogin-secure |
userLoginSecure |
對接入用戶采用基於MAC地址的802.1X認證 此模式下,端口最多隻允許一個802.1X認證用戶接入 |
|
userlogin-secure-ext |
userLoginSecureExt |
對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
|
userlogin-secure-or-mac |
macAddressOrUserLoginSecure |
端口同時處於userLoginSecure模式和macAddressWithRadius模式,且允許一個802.1X認證用戶及多個MAC地址認證用戶接入 在用戶接入方式為有線的情況下,非802.1X報文直接進行MAC地址認證,802.1X報文直接進行802.1X認證 |
|
userlogin-secure-or-mac-ext |
macAddressOrUserLoginSecureExt |
與macAddressOrUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|
userlogin-withoui |
userLoginWithOUI |
與userLoginSecure模式類似,但端口上除了允許一個802.1X認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC的OUI與設備上配置的OUI值相符 在用戶接入方式為有線的情況下,802.1X報文進行802.1X認證,非802.1X報文直接進行OUI匹配,802.1X認證成功和OUI匹配成功的報文都允許通過端口 |
【使用指導】
· 端口安全模式與端口下的802.1X認證使能、端口接入控製方式、端口授權狀態以及端口下的MAC地址認證使能配置互斥。
· 當端口安全已經使能且當前端口安全模式不是noRestrictions時,若要改變端口安全模式,必須首先執行undo port-security port-mode命令恢複端口安全模式為noRestrictions模式。
· 配置端口安全autoLearn模式時,首先需要通過命令port-security max-mac-count設置端口安全允許的最大安全MAC地址數。
· 端口上有用戶在線的情況下,端口安全模式無法改變。
【舉例】
# 使能端口安全,並配置端口Ten-GigabitEthernet1/0/1的端口安全模式為secure。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security port-mode secure
# 將端口Ten-GigabitEthernet1/0/1的端口安全模式改變為userLogin。
[Sysname-Ten-GigabitEthernet1/0/1] undo port-security port-mode
[Sysname-Ten-GigabitEthernet1/0/1] port-security port-mode userlogin
【相關命令】
· display port-security
· port-security max-mac-count
port-security timer autolearn aging命令用來配置安全MAC地址的老化時間。
undo port-security timer autolearn aging命令用來恢複缺省情況。
【命令】
port-security timer autolearn aging time-value
undo port-security timer autolearn aging
【缺省情況】
安全MAC地址不會老化。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:安全MAC地址的老化時間,取值範圍為0~129600,單位為分鍾,取值為0表示不會老化。
【使用指導】
安全MAC地址的老化時間對所有端口學習到的安全MAC地址以及手工添加的Sticky MAC地址均有效。
較短的老化時間可提高端口接入的安全性和端口資源的利用率,但也會影響在線用戶的在線穩定性,因此需要結合當前的網絡環境和設備的性能合理設置老化時間。
【舉例】
# 配置安全MAC地址的老化時間為30分鍾。
<Sysname> system-view
[Sysname] port-security timer autolearn aging 30
【相關命令】
· display port-security
· port-security mac-address security
port-security timer disableport命令用來配置係統暫時關閉端口的時間。
undo port-security timer disableport命令用來恢複缺省情況。
【命令】
port-security timer disableport time-value
undo port-security timer disableport
【缺省情況】
係統暫時關閉端口的時間為20秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:端口關閉的時間,取值範圍為20~300,單位為秒。
【使用指導】
當port-security intrusion-mode設置為disableport-temporarily模式時,係統暫時關閉端口的時間由該命令配置。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的入侵檢測特性檢測到非法報文後,將收到非法報文的端口暫時關閉30秒。
<Sysname> system-view
[Sysname] port-security timer disableport 30
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
· display port-security
· port-security intrusion-mode
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
