- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-端口安全配置
本章節下載: 06-端口安全配置 (332.71 KB)
目 錄
1.1.4 端口安全對Guest VLAN和Auth-Fail VLAN的支持
1.10.2 端口安全userLoginWithOUI模式配置舉例
1.10.3 端口安全macAddressElseUserLoginSecure模式配置舉例
端口安全是一種基於MAC地址對網絡接入進行控製的安全機製,是對已有的802.1X認證和MAC地址認證的擴充。這種機製通過檢測端口收到的數據幀中的源MAC地址來控製非授權設備對網絡的訪問,通過檢測從端口發出的數據幀中的目的MAC地址來控製對非授權設備的訪問。
端口安全的主要功能是通過定義各種端口安全模式,讓設備學習到合法的源MAC地址,以達到相應的網絡管理效果。啟動了端口安全功能之後,當發現非法報文時,係統將觸發相應特性,並按照預先指定的方式進行處理,既方便用戶的管理又提高了係統的安全性。這裏的非法報文是指:
· MAC地址未被端口學習到的用戶報文;
· 未通過認證的用戶報文。
由於端口安全特性通過多種安全模式提供了802.1X和MAC地址認證的擴展和組合應用,因此在需要靈活使用以上兩種認證方式的組網環境下,推薦使用端口安全特性。而在僅需要802.1X、MAC地址認證特性來完成接入控製的組網環境下,推薦單獨使用以上兩個特性。關於802.1X、MAC地址認證特性的詳細介紹和具體配置請參見“安全配置指導”中的“802.1X”、“MAC地址認證”。
Need To Know特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀隻能被發送到已經通過認證或被端口學習到的MAC所屬的設備或主機上,從而防止非法設備竊聽網絡數據。
入侵檢測特性指通過檢測從端口收到的數據幀的源MAC地址,對接收非法報文的端口采取相應的安全策略,包括端口被暫時斷開連接、永久斷開連接或MAC地址被過濾(默認3分鍾,不可配),以保證端口的安全性。
Trap特性是指當端口有特定的數據包(由非法入侵,用戶上下線等原因引起)傳送時,設備將會發送Trap信息,便於網絡管理員對這些特殊的行為進行監控。
基本的端口安全模式可大致分為兩大類:控製MAC學習類和認證類。
· 控製MAC學習類無需認證,包括端口自動學習MAC地址和禁止MAC地址學習兩種模式。
· 認證類利用MAC地址認證和802.1X認證機製來實現,包括單獨認證和組合認證等多種模式。
配置了安全模式的端口上收到用戶報文後,首先查找MAC地址表,如果該報文的源MAC地址已經存在於MAC地址表中,則端口轉發該報文,否則根據端口所在安全模式進行相應的處理(學習、認證),並在發現非法報文後觸發端口執行相應的安全防護措施(Need To Know、入侵檢測)或發送Trap告警。關於各模式的具體工作機製,以及是否觸發Need To Know、入侵檢測的具體情況請參見表1-1。
|
安全模式 |
工作機製 |
NTK/入侵檢測 |
||
|
缺省情況 |
noRestrictions |
表示端口的安全功能關閉,端口處於無限製狀態 |
無效 |
|
|
端口控製MAC地址學習 |
autoLearn |
端口可通過手工配置或自動學習MAC地址。這些新的MAC地址被稱為安全MAC,並被添加到安全MAC地址表中 當端口下的安全MAC地址數超過端口安全允許學習的最大MAC地址數後,端口模式會自動轉變為secure模式。之後,該端口停止添加新的安全MAC,隻有源MAC地址為安全MAC地址、手工配置的MAC地址的報文,才能通過該端口 該模式下,端口禁止學習動態MAC地址 |
可觸發 |
|
|
secure |
禁止端口學習MAC地址,隻有源MAC地址為端口上的安全MAC地址、手工配置的MAC地址的報文,才能通過該端口 |
|||
|
端口采用802.1X認證 |
userLogin |
對接入用戶采用基於端口的802.1X認證 此模式下,端口下的第一個802.1X用戶認證成功後,其它用戶無須認證就可接入 |
無效 |
|
|
userLoginSecure |
對接入用戶采用基於MAC地址的802.1X認證 此模式下,端口最多隻允許一個802.1X認證用戶接入 |
可觸發 |
||
|
userLoginWithOUI |
該模式與userLoginSecure模式類似,但端口上除了允許一個802.1X認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC的OUI與設備上配置的OUI值相符 在用戶接入方式為有線的情況下,802.1X報文進行802.1X認證,非802.1X報文直接進行OUI匹配,802.1X認證成功和OUI匹配成功的報文都允許通過端口 |
|||
|
userLoginSecureExt |
對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
|||
|
端口采用MAC地址認證 |
macAddressWithRadius |
對接入用戶采用MAC地址認證 此模式下,端口允許多個用戶接入 |
可觸發 |
|
|
端口采用802.1X和MAC地址認證組合認證 |
macAddressOrUserLoginSecure |
端口同時處於userLoginSecure模式和macAddressWithRadius模式 在用戶接入方式為有線的情況下,非802.1X報文進行MAC地址認證,802.1X報文直接進行802.1X認證 |
可觸發 |
|
|
macAddressElseUserLoginSecure |
端口同時處於macAddressWithRadius模式和userLoginSecure模式,但MAC地址認證優先級大於802.1X認證; 在用戶接入方式為有線的情況下,非802.1X報文進行MAC地址認證。802.1X報文先進行MAC地址認證,如果MAC地址認證失敗再進行802.1X認證 |
|||
|
macAddressOrUserLoginSecureExt |
與macAddressOrUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|||
|
macAddressElseUserLoginSecureExt |
與macAddressElseUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|||
· 當多個用戶通過認證時,端口下所允許的最大用戶數根據不同的端口安全模式,取端口安全所允許的最大MAC地址數與相應模式下允許認證用戶數的最小值。例如,userLoginSecureExt模式下,端口下所允許的最大用戶為配置的端口安全所允許的最大MAC地址數與802.1X認證所允許的最大用戶數的最小值。
· 手工配置MAC地址的具體介紹請參見“二層技術-以太網交換命令參考”中的“MAC地址表”。
由於安全模式種類較多,為便於記憶,部分端口安全模式名稱的構成可按如下規則理解:
· “userLogin”表示基於端口的802.1X認證;
· “macAddress”表示MAC地址認證;
· “Else”之前的認證方式先被采用,失敗後根據請求認證的報文協議類型決定是否轉為“Else”之後的認證方式。
· “Or”連接的兩種認證方式無固定生效順序,設備根據請求認證的報文協議類型決定認證方式;
· 攜帶“Secure”的userLogin表示基於MAC地址的802.1X認證。
· 攜帶“Ext”表示可允許多個802.1X用戶認證成功,不攜帶則表示僅允許一個802.1X用戶認證成功。
802.1X認證的Guest VLAN是指允許用戶在未認證的情況下,可以訪問的指定VLAN。802.1X的Auth-Fail VLAN與MAC地址認證的Guest VLAN是指允許用戶在認證失敗的情況下,可以訪問的指定VLAN。
· 對於支持802.1X認證的安全模式來說,可配置Guest VLAN和Auth-Fail VLAN。關於802.1X認證的Guest VLAN和Auth-Fail VLAN的具體介紹請參見“安全配置指導”中的“802.1X”。
· 對於支持MAC地址認證的安全模式來說,可配置Guest VLAN。關於MAC地址認證Guest VLAN的具體介紹請參見“安全配置指導”中的“MAC地址認證”。
若端口上同時配置了802.1X認證的Auth-Fail VLAN與MAC地址認證的Guest VLAN,則後生成的Auth-Fail VLAN表項會覆蓋先生成的Guest VLAN表項,但後生成的Guest VLAN表項不能覆蓋先生成的Auth-Fail VLAN表項。
表1-2 端口安全配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
使能端口安全功能 |
必選 |
||
|
配置端口安全允許的最大MAC地址數 |
可選 |
||
|
配置端口安全模式 |
必選 |
||
|
配置端口安全的特性 |
配置Need To Know特性 |
可選 根據實際組網需求選擇其中一種或多種特性 |
|
|
配置入侵檢測特性 |
|||
|
配置Trap特性 |
|||
|
配置安全MAC地址 |
可選 |
||
|
配置當前端口不應用服務器下發的授權信息 |
可選 |
||
在使能端口安全功能之前,需要關閉全局的802.1X和MAC地址認證功能。
表1-3 使能端口安全功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能端口安全功能 |
port-security enable |
必選 缺省情況下,端口安全功能處於關閉狀態 |
執行使能或關閉端口安全功能的命令後,端口上的如下配置會被自動恢複為以下缺省情況:
· 802.1X端口接入控製方式為macbased、802.1X端口的授權狀態為auto。
· 端口安全模式為noRestrictions。
當端口安全功能處於使能狀態時,端口上的802.1X功能以及MAC地址認證功能將不能被手動開啟,且802.1X端口接入控製方式和端口接入控製模式也不能被修改,隻能隨端口安全模式的改變由係統更改。
在端口上有用戶在線的情況下,端口安全功能無法關閉。
· 有關802.1X認證配置的詳細介紹可參見“安全配置指導”中的“802.1X”。
· 有關MAC地址認證配置的詳細介紹可參見“安全配置指導”中的“MAC地址認證”。
端口安全允許某個端口下有多個用戶接入,但是允許的用戶數不能超過規定的最大值。
配置端口允許的最大MAC地址數有兩個作用:
· 控製端口允許接入網絡的最大用戶數。最終端口上允許接入的用戶數為此處配置的最大MAC地址數和相應認證類安全模式下允許的用戶數的較小值;
· 控製autoLearn模式下端口能夠添加的最大安全MAC地址數。
表1-4 配置端口安全允許的最大MAC地址數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口安全允許的最大MAC地址數 |
port-security max-mac-count count-value |
必選 缺省情況下,最大MAC地址數不受限製 |
端口安全允許的最大MAC地址數與“二層技術-以太網交換配置指導/MAC地址表”中配置的端口最多可以學習到的MAC地址數無關,且不受其影響。
在配置端口安全模式之前,端口上需要滿足以下條件:
· 802.1X認證關閉。
· MAC地址認證關閉。
· 端口未加入聚合組或業務環回組。
(如果以上條件不滿足,則係統會提示錯誤信息,且不能進行端口安全模式的配置;如果端口上已經配置了端口安全模式,則以上配置就不允許改變。)
· 對於autoLearn模式,還需要提前設置端口安全允許的最大MAC地址數。但是如果端口已經工作在autoLearn模式下,則無法更改端口安全允許的最大MAC地址數。
· 在端口安全功能未使能的情況下,端口安全模式可以進行配置但不會生效。
· 端口上有用戶在線的情況下,端口安全模式無法改變。
表1-5 配置端口安全安全模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置允許通過認證的用戶OUI值 |
port-security oui oui-value index index-value |
可選 缺省情況下,沒有配置允許通過認證的用戶OUI值 該命令僅在配置userlogin-withoui安全模式時必選 |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口的安全模式 |
port-security port-mode { autolearn | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui } |
必選 缺省情況下,端口處於noRestrictions模式 |
· OUI(Organizationally Unique Identifier)是MAC地址的前24位(二進製),是IEEE(Institute of Electrical and Electronics Engineers,電氣和電子工程師學會)為不同設備供應商分配的一個全球唯一的標識符。
· 允許通過認證的用戶OUI值可以配置多個,但在端口安全模式為userLoginWithOUI時,端口除了可以允許一個802.1X的接入用戶通過認證之外,僅允許其中一個OUI值所屬的用戶通過認證。
· 當端口安全已經使能且當前端口安全模式不是noRestrictions時,若要改變端口安全模式,必須首先執行undo port-security port-mode命令恢複端口安全模式為noRestrictions模式。
該功能用來限製認證端口上出方向的報文轉發。即,用戶通過認證後,以此MAC為目的地址的報文都可以正常轉發。可以設置以下三種方式:
· ntkonly:僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過。
· ntk-withbroadcasts:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過。
· ntk-withmulticasts:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過。
配置了Need To Know的端口在以上任何一種方式下都不允許目的MAC地址未知的單播報文通過。
表1-6 配置Need To Know特性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口Need To Know特性 |
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly } |
必選 缺省情況下,端口沒有配置Need To Know特性,即所有報文都可成功發送 |
並非所有的端口安全模式都支持Need To Know特性,配置時需要先了解各模式對此特性的支持情況。
當設備檢測到一個非法的用戶通過端口試圖訪問網絡時,該特性用於配置設備可能對其采取的安全措施,包括以下三種方式:
· blockmac:表示將非法報文的源MAC地址加入阻塞MAC地址列表中,源MAC地址為阻塞MAC地址的報文將被丟棄。此MAC地址在被阻塞3分鍾(係統默認,不可配)後恢複正常。
· disableport:表示將收到非法報文的端口永久關閉。
· disableport-temporarily:表示將收到非法報文的端口暫時關閉一段時間。關閉時長可通過port-security timer disableport命令配置。
表1-7 配置入侵檢測特性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置入侵檢測特性 |
port-security intrusion-mode { blockmac | disableport | disableport-temporarily } |
必選 缺省情況下,不進行入侵檢測處理 |
|
退回係統視圖 |
quit |
- |
|
配置係統暫時關閉端口連接的時間 |
port-security timer disableport time-value |
可選 缺省情況下,係統暫時關閉端口連接的時間為20秒 |
macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下工作的端口,對於同一個報文,隻有MAC地址認證和802.1X認證均失敗後,才會觸發入侵檢測特性。
該特性用於端口上發生關鍵事件時觸發告警開關輸出對應的Trap信息,包括以下幾種情況:
· addresslearned:端口學習到新MAC地址時發出告警信息。
· dot1xlogfailure/dot1xlogon/dot1xlogoff:802.1X用戶認證失敗/認證成功/下線時發出告警日誌。
· ralmlogfailure/ralmlogon/ralmlogoff:MAC地址認證用戶認證失敗/認證成功/下線時發出告警信息。
· intrusion:發現非法報文時發出告警信息。
表1-8 配置Trap特性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
打開指定告警信息的開關 |
port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon } |
必選 缺省情況下,所有告警信息的開關處於關閉狀態 |
安全MAC地址是一種特殊的MAC地址,不會因為端口狀態的變化而被丟失。在同一個VLAN內,一個安全MAC地址隻能被添加到一個端口上,利用該特點,可以實現同一VLAN內MAC地址與端口的綁定。
安全MAC地址可以通過以下兩種途徑生成:
· 由autoLearn安全模式下的使能端口安全功能的端口自動學習。
· 通過命令行手動添加。
缺省情況下,所有的安全MAC地址均不老化,除非被管理員通過命令行手工刪除,或因為配置的改變(端口的安全模式被改變,或端口安全功能被關閉)而被係統自動刪除。但是,安全MAC地址不老化會帶來一些問題,比如合法用戶離開端口後,若有非法用戶仿冒合法用戶源MAC接入,會導致合法用戶不能繼續接入;或者雖然該合法用戶已離開,但仍然占用端口MAC地址資源,而導致其它合法用戶不能接入。因此,讓某一類安全MAC地址能夠定期老化,可提高端口接入的安全性和端口資源的利用率。我們將這類可老化的安全MAC地址稱為Sticky MAC。
表1-9 安全MAC地址相關屬性列表
|
生成方式 |
是否可老化 |
配置保存機製 |
老化機製 |
|
手工添加(未指定sticky關鍵字) |
不老化,稱之為靜態類型的安全MAC地址 |
安全MAC地址在保存配置文件並重啟設備後,仍然存在 |
無 |
|
手工添加(指定sticky關鍵字) |
可老化(老化時間可配),稱之為Sticky MAC地址 · 若老化時間為0,則表示不老化(缺省) · 若老化時間不為0,則表示安全MAC地址會老化 Sticky MAC地址可通過配置轉換為動態類型的MAC地址 |
· Sticky MAC地址在保存配置文件並重啟設備後,仍然存在,且其老化定時器會重新開始計時。(缺省) · 動態類型的安全MAC地址不能被保存在配置文件中,設備重啟後會被丟失 |
· 定時老化(缺省) · 無流量老化 說明:無論是Sticky MAC地址還是動態類型的安全MAC地址,均遵循此老化機製 |
|
端口自動學習 |
|||
|
· 動態類型的安全MAC地址與Sticky MAC地址可通過配置相互轉換,兩者本質相同,僅配置保存方式不同。 · 無流量老化方式下,設備會定期檢測(檢測周期不可配)端口上的安全MAC地址是否有流量產生,若某安全MAC地址在配置的Sticky MAC地址老化時間內沒有任何流量產生,則才會被老化。 · 當端口下的安全MAC地址數目超過端口允許學習的最大安全MAC地址數後,該端口不會再添加新的安全MAC地址,僅接收並允許數據幀中的源MAC地址為安全MAC地址的報文和源MAC地址為手工配置的MAC地址的報文訪問網絡設備。 |
|||
在配置安全MAC地址之前,需要完成以下配置任務:
· 使能端口安全功能
· 設置端口安全允許的最大MAC地址數
· 配置端口安全模式為autoLearn
表1-10 配置安全MAC地址
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
配置安全MAC地址的老化時間 |
port-security timer autolearn aging time-value |
可選 缺省情況下,安全MAC地址不會老化 |
|
|
配置安全MAC地址 |
在係統視圖下 |
port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id |
二者必選其一 缺省情況下,未配置安全MAC地址 |
|
在二層以太網端口視圖下 |
interface interface-type interface-number |
||
|
port-security mac-address security [ sticky ] mac-address vlan vlan-id |
|||
|
quit |
|||
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
|
配置安全地址的老化方式為無流量老化 |
port-security mac-address aging-type inactivity |
可選 缺省情況下,安全MAC地址按照固定時間進行老化,即在配置的安全MAC地址的老化時間到達後立即老化 |
|
|
將Sticky MAC地址設置為動態類型的安全MAC地址 |
port-security mac-address dynamic |
可選 缺省情況下,Sticky MAC地址能夠被保存在配置文件中,設備重啟後也不會丟失 |
|
· 無流量老化方式下,設備會定期檢測(檢測周期固定,不可配)端口上的安全MAC地址是否有流量產生,若某安全MAC地址在配置的安全MAC地址老化時間內沒有任何流量產生,則才會被老化。
· 動態類型的安全MAC地址不會被保存在配置文件中,可通過執行display port-security mac-address security命令查看到,設備重啟之後會丟失。
802.1X用戶或MAC地址認證用戶在RADIUS服務器或設備上通過認證時,服務器或設備會把授權信息下發給用戶。通過此配置可實現基於端口是否忽略RADIUS服務器或設備本地下發的授權信息。
表1-11 配置當前端口不應用下發的授權信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口不應用RADIUS服務器或設備本地下發的授權信息 |
port-security authorization ignore |
必選 缺省情況下,端口應用RADIUS服務器或設備本地下發的授權信息 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後端口安全的運行情況,通過查看顯示信息驗證配置的效果。
表1-12 端口安全顯示和維護
|
操作 |
命令 |
|
顯示端口安全的配置信息、運行情況和統計信息 |
display port-security [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
|
顯示安全MAC地址信息 |
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ] |
|
顯示阻塞MAC地址信息 |
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ] |
在Device的端口GE1/0/1上對接入用戶做如下的限製:
· 允許64個用戶自由接入,不進行認證,將學習到的用戶MAC地址添加為Sticky安全MAC地址,老化時間為30分鍾;
· 當安全MAC地址數量達到64後,停止學習;當再有新的MAC地址接入時,觸發入侵檢測,並將此端口關閉30秒。
圖1-1 端口安全autoLearn模式組網圖
(1) 具體的配置步驟
<Device> system-view
# 使能端口安全功能。
[Device] port-security enable
# 設置Sticky MAC地址的老化時間為30分鍾。
[Device] port-security timer autolearn aging 30
# 打開入侵檢測Trap開關。
[Device] port-security trap intrusion
[Device] interface gigabitethernet 1/0/1
# 設置端口安全允許的最大MAC地址數為64。
[Device-GigabitEthernet1/0/1] port-security max-mac-count 64
# 設置端口安全模式為autoLearn。
[Device-GigabitEthernet1/0/1] port-security port-mode autolearn
# 設置觸發入侵檢測特性後的保護動作為暫時關閉端口,關閉時間為30秒。
[Device-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
[Device-GigabitEthernet1/0/1] quit
[Device] port-security timer disableport 30
(2) 驗證配置結果
上述配置完成後,可以用display命令顯示端口安全配置情況,如下:
[Device] display port-security interface gigabitethernet 1/0/1
Equipment port-security is enabled
Intrusion trap is enabled
AutoLearn aging time is 30 minutes
Disableport Timeout: 30s
OUI value:
GigabitEthernet1/0/1 is link-up
Port mode is autoLearn
NeedToKnow mode is disabled
Intrusion Protection mode is DisablePortTemporarily
Max MAC address number is 64
Stored MAC address number is 0
Authorization is permitted
Security MAC address learning mode is sticky
Security MAC address aging type is absolute
可以看到端口安全所允許的最大MAC數為64,端口模式為autoLearn,入侵檢測Trap開關打開,入侵保護動作為DisablePortTemporarily,入侵發生後端口禁用時間為30秒。
配置完成後,允許地址學習,學習到的MAC地址數可以用上述命令顯示,如學習到5個,那麼存儲的安全MAC地址數就為5,可以在端口視圖下用display this命令查看學習到的MAC地址,如:
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] display this
#
interface GigabitEthernet1/0/1
port-security max-mac-count 64
port-security port-mode autolearn
port-security mac-address security sticky 0002-0000-0015 vlan 1
port-security mac-address security sticky 0002-0000-0014 vlan 1
port-security mac-address security sticky 0002-0000-0013 vlan 1
port-security mac-address security sticky 0002-0000-0012 vlan 1
port-security mac-address security sticky 0002-0000-0011 vlan 1
#
當學習到的MAC地址數達到64後,用命令display port-security interface可以看到端口模式變為secure,再有新的MAC地址到達將觸發入侵保護,Trap信息如下:
#Jan 14 10:39:47:135 2011 Device PORTSEC/4/VIOLATION: Trap1.3.6.1.4.1.25506.2.26.1.
3.2<hh3cSecureViolation>:
An intrusion occurs!
IfIndex: 9437185
Port: 9437185
MAC Addr: 00:02:00:00:00:32
VLAN ID: 1
IfAdminStatus: 1
並且可以通過下述命令看到端口安全將此端口關閉:
[Device-GigabitEthernet1/0/1] display interface gigabitethernet 1/0/1
GigabitEthernet1/0/1 current state: DOWN ( Port Security Disabled )
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-cb00-5558
Description: GigabitEthernet1/0/1 Interface
......
30秒後,端口狀態恢複:
[Device-GigabitEthernet1/0/1] display interface gigabitethernet 1/0/1
GigabitEthernet1/0/1 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-cb00-5558
Description: GigabitEthernet1/0/1 Interface
......
此時,如手動刪除幾條安全MAC地址後,端口安全的狀態重新恢複為autoLearn,可以繼續學習MAC地址。
客戶端通過端口GE1/0/1連接到Device上,Device通過RADIUS服務器對客戶端進行身份認證,如果認證成功,客戶端被授權允許訪問Internet資源。
· IP地址為192.168.1.2的RADIUS服務器作為主認證/備份計費服務器,IP地址為192.168.1.3的RADIUS服務器作為備份認證/主計費服務器。認證共享密鑰為name,計費共享密鑰為money。
· 所有接入用戶都使用ISP域sun的缺省認證/授權/計費方案,該域最多可容納30個用戶;
· 係統向RADIUS服務器重發報文的時間間隔為5秒,重發次數為5次,發送實時計費報文的時間間隔為15分鍾,發送的用戶名不帶域名。
Device的管理者希望對接入用戶的端口GE1/0/1做如下限製:
· 允許一個802.1X用戶上線;
· 最多可以配置16個OUI值,還允許端口上有一個與OUI值匹配的MAC地址用戶通過。
圖1-2 端口安全userLoginWithOUI模式組網圖
· 下述配置步驟包含了部分AAA/RADIUS協議配置命令,具體介紹請參見“安全配置指導”中的“AAA”。
· 客戶端和RADIUS服務器之間路由可達,認證相關的配置略。
(1) 具體的配置步驟
· 配置RADIUS協議
<Device> system-view
# 配置RADIUS方案。
[Device] radius scheme radsun
[Device-radius-radsun] primary authentication 192.168.1.2
[Device-radius-radsun] primary accounting 192.168.1.3
[Device-radius-radsun] secondary authentication 192.168.1.3
[Device-radius-radsun] secondary accounting 192.168.1.2
[Device-radius-radsun] key authentication name
[Device-radius-radsun] key accounting money
[Device-radius-radsun] timer response-timeout 5
[Device-radius-radsun] retry 5
[Device-radius-radsun] timer realtime-accounting 15
[Device-radius-radsun] user-name-format without-domain
[Device-radius-radsun] quit
# 配置ISP域。
[Device] domain sun
[Device-isp-sun] authentication default radius-scheme radsun
[Device-isp-sun] authorization default radius-scheme radsun
[Device-isp-sun] accounting default radius-scheme radsun
[Device-isp-sun] access-limit enable 30
[Device-isp-sun] quit
· 配置802.1X
# 配置802.1X的認證方式為CHAP。(該配置可選,缺省情況下802.1X的認證方式為CHAP)
[Device] dot1x authentication-method chap
· 配置端口安全特性
# 使能端口安全功能。
[Device] port-security enable
# 添加5個OUI值。
[Device] port-security oui 1234-0100-1111 index 1
[Device] port-security oui 1234-0200-1111 index 2
[Device] port-security oui 1234-0300-1111 index 3
[Device] port-security oui 1234-0400-1111 index 4
[Device] port-security oui 1234-0500-1111 index 5
[Device] interface gigabitethernet 1/0/1
# 設置端口安全模式為userLoginWithOUI。
[Device-GigabitEthernet1/0/1] port-security port-mode userlogin-withoui
[Device-GigabitEthernet1/0/1] quit
(2) 驗證配置結果
查看名為radsun的RADIUS方案的配置信息:
[Device] display radius scheme radsun
SchemeName : radsun
Index : 1 Type : standard
Primary Auth Server:
IP: 192.168.1.2 Port: 1812 State: active
Encryption Key : N/A
VPN instance : N/A
Probe username :N/A
Probe interval : N/A
Primary Acct Server:
IP: 192.168.1.3 Port: 1813 State: active
Encryption Key : N/A
VPN instance : N/A
Second Auth Server:
IP: 192.168.1.3 Port: 1812 State: active
Encryption Key : N/A
VPN instance : N/A
Probe username :N/A
Probe interval : N/A
Second Acct Server:
IP: 192.168.1.2 Port: 1813 State: active
Encryption Key : N/A
VPN instance : N/A
Auth Server Encryption Key : ******
Acct Server Encryption Key : ******
Accounting-On packet disable, send times : 5 , interval : 3s
Interval for timeout(second) : 5
Retransmission times for timeout : 5
Interval for realtime accounting(minute) : 15
Retransmission times of realtime-accounting packet : 5
Retransmission times of stop-accounting packet : 500
Quiet-interval(min) : 5
Username format : without-domain
Data flow unit : Byte
Packet unit : one
查看名為sun的ISP域的配置信息:
[Device] display domain sun
Domain : sun
State : Active
Access-limit : 30
Accounting method : Required
Default authentication scheme : radius:radsun
Default authorization scheme : radius:radsun
Default accounting scheme : radius:radsun
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Authorization attributes:
查看端口安全的配置信息:
[Device] display port-security interface gigabitethernet 1/0/1
Equipment port-security is enabled
Trap is disabled
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 123401
Index is 2, OUI value is 123402
Index is 3, OUI value is 123403
Index is 4, OUI value is 123404
Index is 5, OUI value is 123405
GigabitEthernet1/0/1 is link-up
Port mode is userLoginWithOUI
NeedToKnow mode is disabled
Intrusion Protection mode is NoAction
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
Security MAC address learning mode is sticky
Security MAC address aging type is absolute
配置完成後,如果有802.1X用戶上線,則可以看到存儲的安全MAC地址數為1。還可以通過下述命令查看802.1X用戶的情況:
[Device] display dot1x interface gigabitethernet 1/0/1
Equipment 802.1X protocol is enabled
CHAP authentication is enabled
EAD quick deploy is disabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Reauth Period 3600 s
The maximal retransmitting times 2
EAD quick deploy configuration:
EAD timeout: 30m
The maximum 802.1X user resource number is 1024 per slot
Total current used 802.1X resource number is 1
GigabitEthernet1/0/1 is link-up
802.1X protocol is enabled
Handshake is enabled
Handshake secure is disabled
802.1X unicast-trigger is enabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: NOT configured
Auth-Fail VLAN: NOT configured
Critical VLAN: NOT configured
Critical recovery-action: NOT configured
Max number of on-line users is 256
EAPOL Packet: Tx 16331, Rx 102
Sent EAP Request/Identity Packets : 16316
EAP Request/Challenge Packets: 6
EAP Success Packets: 4, Fail Packets: 5
Received EAPOL Start Packets : 6
EAPOL LogOff Packets: 2
EAP Response/Identity Packets : 80
EAP Response/Challenge Packets: 6
Error Packets: 0
1. Authenticated user : MAC address: 0002-0000-0011
Controlled User(s) amount to 1
此外,端口還允許一個與OUI值匹配的MAC地址的用戶通過,可以通過下述命令查看:
[Device] display mac-address interface gigabitethernet 1/0/1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
1234-0300-0011 1 Learned GigabitEthernet1/0/1 AGING
--- 1 mac address(es) found ---
客戶端通過端口GE1/0/1連接到Device上,Device通過RADIUS服務器對客戶端進行身份認證。如果認證成功,客戶端被授權允許訪問Internet資源。
Device的管理者希望對接入用戶的端口GE1/0/1做如下的限製:
· 可以有多個MAC認證用戶上線;
· 如果是802.1X用戶請求認證,先進行MAC地址認證,MAC地址認證失敗,再進行802.1X認證。802.1X用戶限製為1個;
· MAC地址認證用戶使用MAC地址作為用戶名和密碼,其中MAC地址帶連字符、字母小寫;
· 上線的MAC地址認證用戶和802.1X認證用戶總和不能超過64個;
· 為防止報文發往未知目的MAC地址,啟動Need To Know特性。
同圖1-2所示。
· RADIUS認證/計費及ISP域的配置同1.10.2 ,這裏不再贅述。
· 接入用戶和RADIUS服務器之間路由可達,認證相關的配置略。
(1) 具體的配置步驟
<Device> system-view
# 使能端口安全功能。
[Device] port-security enable
# 配置MAC地址認證用戶名格式:使用帶連字符的MAC地址作為用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain sun
[Device] interface gigabitethernet 1/0/1
# 配置802.1X的認證方式為CHAP。(該配置可選,缺省情況下802.1X的認證方式為CHAP)
[Device] dot1x authentication-method chap
# 設置端口安全允許的最大MAC地址數為64。
[Device-GigabitEthernet1/0/1] port-security max-mac-count 64
# 設置端口安全模式為macAddressElseUserLoginSecure。
[Device-GigabitEthernet1/0/1] port-security port-mode mac-else-userlogin-secure
# 設置端口Need To Know模式為ntkonly。
[Device-GigabitEthernet1/0/1] port-security ntk-mode ntkonly
[Device-GigabitEthernet1/0/1] quit
(2) 驗證配置結果
查看端口安全的配置信息:
[Device] display port-security interface gigabitethernet 1/0/1
Equipment port-security is enabled
Trap is disabled
Disableport Timeout: 20s
OUI value:
GigabitEthernet1/0/1 is link-up
Port mode is macAddressElseUserLoginSecure
NeedToKnow mode is NeedToKnowOnly
Intrusion Protection mode is NoAction
Max MAC address number is 64
Stored MAC address number is 0
Authorization is permitted
Security MAC address learning mode is sticky
Security MAC address aging type is absolute
查看MAC地址認證情況:
[Device] display mac-authentication interface gigabitethernet 1/0/1
MAC address authentication is enabled.
User name format is MAC address in lowercase,like xx-xx-xx-xx-xx-xx
Fixed username: mac
Fixed password: not configured
Offline detect period is 60s
Quiet period is 5s
Server response timeout value is 100s
The max allowed user number is 1024 per slot
Current user number amounts to 3
Current domain is mac
Silent MAC User info:
MAC Addr From Port Port Index
GigabitEthernet1/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 3, failed: 7
Max number of on-line users is 256
Current online user number is 3
MAC ADDR Authenticate state Auth Index
1234-0300-0011 MAC_AUTHENTICATOR_SUCCESS 13
1234-0300-0012 MAC_AUTHENTICATOR_SUCCESS 14
1234-0300-0013 MAC_AUTHENTICATOR_SUCCESS 15
查看802.1X認證情況:
<Device> display dot1x interface gigabitethernet 1/0/1
Equipment 802.1X protocol is enabled
CHAP authentication is enabled
EAD quick deploy is disabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
The maximal retransmitting times 2
EAD quick deploy configuration:
EAD timeout: 30m
Total maximum 802.1X user resource number is 1024 per slot
Total current used 802.1X resource number is 1
GigabitEthernet1/0/1 is link-up
802.1X protocol is enabled
Handshake is enabled
Handshake secure is disabled
802.1X unicast-trigger is enabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: NOT configured
Auth-Fail VLAN: NOT configured
Critical VLAN: NOT configured
Critical recovery-action: NOT configured
Max number of on-line users is 256
EAPOL Packet: Tx 16331, Rx 102
Sent EAP Request/Identity Packets : 16316
EAP Request/Challenge Packets: 6
EAP Success Packets: 4, Fail Packets: 5
Received EAPOL Start Packets : 6
EAPOL LogOff Packets: 2
EAP Response/Identity Packets : 80
EAP Response/Challenge Packets: 6
Error Packets: 0
1. Authenticated user : MAC address: 0002-0000-0011
Controlled User(s) amount to 1
此外,因為設置了Need To Know特性,目的MAC地址未知、廣播和多播報文都被丟棄。
無法配置端口安全模式。
[Device-GigabitEthernet1/0/1] port-security port-mode autolearn
Error:When we change port-mode, we should first change it to noRestrictions, then change it to the other.
在當前端口安全模式已配置的情況下,無法直接對端口安全模式進行設置。
首先設置端口安全模式為noRestrictions狀態。
[Device-GigabitEthernet1/0/1] undo port-security port-mode
[Device-GigabitEthernet1/0/1] port-security port-mode autolearn
無法配置端口安全MAC地址。
[Device-GigabitEthernet1/0/1] port-security mac-address security 1-1-2 vlan 1
Error: Security MAC address configuration failed.
端口安全模式為非autoLearn時,不能對安全MAC地址進行設置。
設置端口安全模式為autoLearn狀態。
[Device-GigabitEthernet1/0/1] undo port-security port-mode
[Device-GigabitEthernet1/0/1] port-security max-mac-count 64
[Device-GigabitEthernet1/0/1] port-security port-mode autolearn
[Device-GigabitEthernet1/0/1] port-security mac-address security 1-1-2 vlan 1
802.1X或MAC地址認證用戶在線的情況下,更換端口安全模式失敗。
[Device-GigabitEthernet1/0/1] undo port-security port-mode
Error:Cannot configure port-security for there is 802.1X user(s) on line on port GigabitEthernet1/0/1.
有802.1X或MAC認證用戶在線的情況下,禁止更換端口安全模式。
斷開端口與用戶的連接後再進行端口安全模式更換,可以通過cut命令強製切斷連接。
[Device-GigabitEthernet1/0/1] quit
[Device] cut connection interface gigabitethernet 1/0/1
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] undo port-security port-mode
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
