- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-端口安全命令
本章節下載: 04-端口安全命令 (216.47 KB)
1.1.2 display port-security mac-address block
1.1.3 display port-security mac-address security
1.1.4 display port-security preshared-key user
1.1.5 port-security authorization ignore
1.1.7 port-security intrusion-mode
1.1.8 port-security mac-address aging-type inactivity
1.1.9 port-security mac-address dynamic
1.1.10 port-security mac-address security
1.1.11 port-security max-mac-count
1.1.14 port-security port-mode
1.1.15 port-security preshared-key
1.1.16 port-security timer autolearn aging
1.1.17 port-security timer disableport
1.1.19 port-security tx-key-type 11key
【命令】
display port-security [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
interface interface-list:以太網端口列表,表示多個以太網端口。表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display port-security命令用來顯示端口安全的配置信息、運行情況和統計信息。
需要注意的是,如果不指定參數interface interface-list,則顯示所有端口的端口安全信息。
相關配置可參考命令port-security enable、port-security port-mode、port-security ntk-mode、port-security intrusion-mode、port-security max-mac-count、port-security mac-address security、port-security authorization ignore、port-security oui和port-security trap。
【舉例】
# 顯示所有端口的端口安全狀態。
<Sysname> display port-security
Equipment port-security is enabled
Trap is enabled
AutoLearn aging time is 1 minutes
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 000d1a
Index is 2, OUI value is 003c12
GigabitEthernet1/1 is link-down
Port mode is userLoginWithOUI
NeedToKnow mode is NeedToKnowOnly
Intrusion Portection mode is disableport-temporarily
Max MAC address number is 50
Stored MAC address number is 0
Authorization is ignored
Security MAC address learning mode is sticky
Security MAC address aging type is absolute
GigabitEthernet1/2 is link-down
GigabitEthernet1/3 is link-down
表1-1 display port-security命令顯示信息描述表
|
字段 |
描述 |
|
Equipment port-security |
端口安全的開啟狀態 |
|
Trap |
端口學習告警的開啟狀態。若為enabled,則表示端口學習到新MAC地址時發出告警信息 |
|
AutoLearn aging time |
Sticky MAC地址的老化時間 |
|
Disableport Timeout |
收到非法報文的端口暫時被關閉的時間,單位為秒 |
|
OUI value |
允許通過認證的用戶的24位OUI值 |
|
Index |
OUI的索引 |
|
Port mode |
· 端口安全模式,包括以下幾種: · noRestrictions · autoLearn · macAddressWithRadius · macAddressElseUserLoginSecure · macAddressElseUserLoginSecureExt · secure · userLogin · userLoginSecure · userLoginSecureExt · macAddressOrUserLoginSecure · macAddressOrUserLoginSecureExt · userLoginWithOUI · presharedKey · macAddressAndPresharedKey · userLoginSecureExtOrPresharedKey |
|
NeedToKnow mode |
Need To Know模式,包括以下三種: · NeedToKnowOnly:表示僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過 · NeedToKnowWithBroadcast:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過 · NeedToKnowWithMulticast:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過 |
|
Intrusion mode |
入侵檢測特性模式,包括以下四種: · BlockMacAddress:表示將非法報文的源MAC地址加入阻塞MAC地址列表中 · DisablePort:表示將收到非法報文的端口永久關閉 · DisablePortTemporarily:表示將收到非法報文的端口暫時關閉一段時間 · NoAction:表示不進行入侵檢測處理 |
|
Max MAC address number |
端口安全允許的最大MAC地址數目 |
|
Stored MAC address number |
端口下保存的MAC地址數目 |
|
Authorization |
服務器的授權信息是否被忽略的情況 · permitted:表示當前端口應用RADIUS服務器下發的授權信息 · ignored:表示當前端口不應用RADIUS服務器下發的授權信息 |
|
Security MAC address learning mode |
安全MAC地址的學習模式 · sticky:學習為Sticky MAC地址 · dynamic:學習為動態類型的安全MAC地址 |
|
Security MAC address aging type |
安全MAC地址的老化類型 · absolute:定時老化 · inactivity:無流量老化 |
【命令】
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
interface interface-type interface-number:顯示指定端口的阻塞MAC地址信息。其中,interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:統計符合條件的阻塞MAC地址個數。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display port-security mac-address block命令用來顯示阻塞MAC地址信息。
需要注意的是,如果不指定任何參數,則顯示所有阻塞MAC地址的信息。
相關配置可參考命令port-security intrusion-mode。
【舉例】
# 顯示所有阻塞MAC地址。
<Sysname> display port-security mac-address block
MAC ADDR From Port VLAN ID
0002-0002-0002 Ethernet1/1 1
000d-88f8-0577 Ethernet1/1 1
--- 2 mac address(es) found ---
# 顯示所有阻塞MAC地址計數。
<Sysname> display port-security mac-address block count
--- 2 mac address(es) found ---
# 顯示指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block vlan 1
MAC ADDR From Port VLAN ID
0002-0002-0002 Ethernet1/1 1
000d-88f8-0577 Ethernet1/1 1
--- 2 mac address(es) found ---
# 顯示指定端口下的阻塞MAC地址。
<Sysname> display port-security mac-address block interface ethernet1/1
MAC ADDR From Port VLAN ID
000d-88f8-0577 Ethernet1/1 1
--- 1 mac address(es) found ---
# 顯示指定端口下的在指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block interface ethernet 1/1 vlan 1
MAC ADDR From Port VLAN ID
000d-88f8-0577 Ethernet1/1 1
--- 1 mac address(es) found ---
表1-2 display port-security mac-address block命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
阻塞MAC地址 |
|
From Port |
阻塞MAC地址所在端口 |
|
VLAN ID |
端口所屬VLAN |
|
2 mac address(es) found |
當前阻塞MAC地址數目 |
【命令】
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
interface interface-type interface-number:顯示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:統計符合條件的安全MAC地址個數。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display port-security mac-address security命令用來顯示安全MAC地址信息。當端口工作於autoLearn模式時,端口上通過自動學習或者靜態配置的安全MAC地址可通過該命令查看。
需要注意的是,如果不指定任何參數,則顯示所有安全MAC地址的信息。
相關配置可參考命令port-security mac-address security。
【舉例】
# 顯示所有安全MAC地址。
<Sysname> display port-security mac-address security
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0002-0002-0002 1 Security Ethernet1/1 NOAGED
000d-88f8-0577 1 Security Ethernet1/1 NOAGED
--- 2 mac address(es) found ---
# 顯示所有安全MAC地址計數。
<Sysname> display port-security mac-address security count
2 mac address(es) found
# 顯示指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0002-0002-0002 1 Security Ethernet1/1 NOAGED
000d-88f8-0577 1 Security Ethernet1/1 NOAGED
--- 2 mac address(es) found ---
# 顯示指定端口下的安全MAC地址。
<Sysname> display port-security mac-address security interface ethernet1/1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000d-88f8-0577 1 Security Ethernet1/1 NOAGED
--- 1 mac address(es) found ---
# 顯示指定端口下的在指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security interface ethernet 1/1 vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000d-88f8-0577 1 Security Ethernet1/1 NOAGED
--- 1 mac address(es) found ---
表1-3 display port-security mac-address security命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
安全MAC地址 |
|
VLAN ID |
端口所屬VLAN |
|
STATE |
添加的MAC地址類型 · Security:表示該項是安全MAC地址 |
|
PORT INDEX |
安全MAC地址所在端口 |
|
AGING TIME(s) |
安全MAC地址的存活時間 · 目前暫不區分動態、靜態MAC地址,均顯示為NOAGED |
|
2 mac address(es) found |
當前保存的安全MAC地址數目 |
【命令】
display port-security preshared-key user [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
interface interface-type interface-number:顯示指定接口上端口安全的PSK用戶信息。其中,interface-type interface-number表示接口類型和接口編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display port-security preshared-key user命令用來顯示端口安全的PSK用戶信息。
需要注意的是,如果不指定參數interface,則顯示所有端口的端口安全PSK用戶信息。
【舉例】
# 顯示所有端口下的PSK用戶的相關信息。
<Sysname> display port-security preshared-key user
Index Mac-Address VlanID Interface
-----------------------------------------------------
0 0000-1122-3344 1 wlan-bss-1
1 0000-1133-2244 2 wlan-bss-2
# 顯示指定端口WLAN-BSS1下PSK用戶的相關信息。
<Sysname> display port-security preshared-key user interface wlan-bss 1
Index Mac-Address VlanID Interface
-----------------------------------------------------
0 0000-1122-3344 1 wlan-bss-1
表1-4 display port-security preshared-key user命令顯示信息描述表
|
字段 |
描述 |
|
Index |
用戶的編號 |
|
Mac-Address |
用戶的MAC地址 |
|
VlanID |
用戶所屬的VLAN ID |
|
Interface |
用戶的接入端口 |
【命令】
port-security authorization ignore
undo port-security authorization ignore
【視圖】
以太網接口視圖/WLAN-Ethernet接口視圖/WLAN-BSS接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
port-security authorization ignore命令用來配置端口不應用RADIUS服務器或設備本地下發的授權信息。undo port-security authorization ignore命令用來恢複缺省情況。
缺省情況下,端口應用RADIUS服務器或設備本地下發的授權信息。
當用戶通過RADIUS認證或設備本地後,RADIUS服務器或設備會根據用戶帳號配置的相關屬性進行授權,比如動態下發VLAN等。
相關配置可參考命令display port-security。
【舉例】
# 配置端口GigabitEthernet1/1不應用RADIUS服務器或設備本地下發的授權信息。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] port-security authorization ignore
【命令】
port-security enable
undo port-security enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
port-security enable命令用來使能端口安全功能。undo port-security enable命令用來關閉端口安全功能。
缺省情況下,端口安全功能未開啟。
需要注意的是:
(1) 如果已全局開啟了802.1X或MAC地址認證功能,則無法使能端口安全功能。
(2) 執行使能或關閉端口安全功能的命令後,端口上的如下配置會被自動恢複為以下缺省情況:
· 802.1X端口接入控製方式為macbased、802.1X端口的授權狀態為auto;
· 端口安全模式為noRestrictions。
(3) 端口上有用戶在線的情況下,端口安全功能無法關閉。
相關配置可參考命令display port-security、“安全命令參考/802.1X”中的命令dot1x、dot1x port-method和dot1x port-control以及“安全命令參考/MAC地址認證”中的命令mac-authentication。
【舉例】
# 使能端口安全功能。
<Sysname> system-view
[Sysname] port-security enable
【命令】
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
undo port-security intrusion-mode
【視圖】
二層以太網接口視圖/WLAN-BSS接口視圖
【缺省級別】
2:係統級
【參數】
blockmac:表示將非法報文的源MAC地址加入阻塞MAC地址列表中,源MAC地址為阻塞MAC地址的報文將被丟棄,實現在端口上過濾非法流量的作用。此MAC地址在被阻塞3分鍾(係統默認,不可配)後恢複正常。阻塞MAC地址列表可以通過display port-security mac-address block命令查看。
disableport:表示將收到非法報文的端口永久關閉。該參數僅二層以太網接口支持。
disableport-temporarily:表示將收到非法報文的端口暫時關閉一段時間。關閉時長可通過port-security timer disableport命令配置。
【描述】
port-security intrusion-mode命令用來配置入侵檢測特性,對接收非法報文的端口采取相應的安全策略。undo port-security intrusion-mode命令用來恢複缺省情況。
缺省情況下,不進行入侵檢測處理。
需要注意的是,可以通過執行undo shutdown命令將斷開的端口連接恢複。
相關配置可參考命令display port-security、display port-security mac-address block和port-security timer disableport。
【舉例】
# 配置端口GigabitEthernet1/1的入侵檢測特性被觸發後,將非法報文的源MAC地址置為阻塞MAC。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] port-security intrusion-mode blockmac
【命令】
port-security mac-address aging-type inactivity
undo port-security mac-address aging-type inactivity
【視圖】
二層以太網接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
port-security mac-address aging type inactivity命令用來配置安全MAC地址的老化方式為無流量老化。undo port-security mac-address aging type inactivity命令用來恢複缺省情況。
缺省情況下,安全MAC地址按照固定時間進行老化,即在安全MAC地址的老化時間到達後立即老化,不論該安全MAC地址是否還有流量產生。
無流量老化方式下,設備會定期檢測(檢測周期不可配)端口上的安全MAC地址是否有流量產生,若某安全MAC地址在配置的老化時間內沒有任何流量產生,則才會被老化,否則該安全MAC地址不會被老化,並在下一個老化周期內重複該檢測過程。下一個周期內若還有流量產生則繼續保持該安全MAC地址的學習狀態,該方式可有效避免非法用戶通過仿冒合法用戶MAC地址乘機在合法用戶的安全MAC地址老化時間到達之後占用端口資源。
此命令僅對於Sticky MAC地址以及動態類型的安全MAC地址有效。
相關配置可參考命令port-security timer autolearn aging和port-security mac-address dynamic。
【舉例】
# 設置接口Ethernet1/1上的安全MAC地址的老化方式為無流量老化。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] port-security mac-address aging-type inactivity
【命令】
port-security mac-address dynamic
undo port-security mac-address dynamic
【視圖】
二層以太網接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
port-security mac-address dynamic命令用來將Sticky MAC地址設置為動態類型的安全MAC地址。undo port-security mac-address dynamic命令用來恢複缺省情況。
缺省情況下,Sticky MAC地址能夠被保存在配置文件中,設備重啟後也不會丟失。
動態類型的安全MAC地址不會被保存在配置文件中,可通過執行display port-security mac-address security命令查看到,設備重啟之後會丟失。在不希望設備上保存重啟之前端口上已有的Sticky MAC地址的情況下,可將其設置為動態類型的安全MAC地址。
本命令成功執行後,指定端口上的Sticky MAC地址會立即被轉換為動態類型的安全MAC地址,且將不能手工添加Sticky MAC地址。之後,若成功執行對應的undo命令,該端口上的動態類型的安全MAC地址會立即轉換為Sticky MAC地址,且用戶可以手工添加Sticky MAC地址。
相關配置可參考命令display port-security mac-address security和mac-address dynamic。
【舉例】
# 設置接口Ethernet1/1上的Sticky MAC地址為動態類型的安全MAC地址。
<Sysname> system-view
[Sysname] interface ethernet1/1
[Sysname-Ethernet1/1] port-security mac-address dynamic
【命令】
在二層以太網接口視圖下:
port-security mac-address security [ sticky ] mac-address vlan vlan-id
undo port-security mac-address security [ sticky ] mac-address vlan vlan-id
在係統視圖下:
port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id
undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]
【視圖】
二層以太網接口視圖/係統視圖
【缺省級別】
2:係統級
【參數】
sticky:表示要添加一個可老化的安全MAC地址(Sticky MAC地址)。Sticky MAC地址的老化時間可配(通過port-security timer autolearn aging命令),當老化時間到達時即被刪除。若不指定本參數,則表示添加的是一個不老化的安全MAC地址。
mac-address:安全MAC地址,格式為H-H-H。
interface interface-type interface-number:指定添加安全MAC地址的接口。其中,interface-type interface-number表示接口類型和接口編號。
vlan vlan-id:指定安全MAC地址所屬的VLAN。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
【描述】
port-security mac-address security命令用來添加安全MAC地址。undo port-security mac-address security命令用來刪除匹配的安全MAC地址。
缺省情況下,未配置安全MAC地址。
手工配置添加的安全MAC地址在保存配置並設備重啟後,不會被刪除。因此,可以將網絡中一些已知的、固定要接入某端口的主機或設備的MAC地址添加為安全MAC地址,這樣在端口處於autoLearn安全模式時,此類源MAC地址為安全MAC地址的主機或設備的報文將被允許通過指定端口,而且還可避免與其它通過自動方式學習到端口上的MAC地址的報文爭奪資源而被拒絕接收。
需要注意的是:
· 安全MAC地址的接口必須屬於安全MAC地址所屬的VLAN。
· 此命令隻有在端口安全功能打開(使用命令port-security enable)且指定端口的端口安全模式為autoLearn(使用命令port-security port-mode autolearn)的時候才能配置成功。
· 已添加的安全MAC地址,除非首先將其刪除,否則不能重複添加或者修改其地址類型,例如已經在某端口上添加了一條安全MAC地址port-security mac-address security 1-1-1 vlan 10,則不能再添加一條安全MAC地址port-security mac-address security sticky 1-1-1 vlan 10。
· 在將Sticky MAC地址設置為動態類型的安全MAC地址後,不允許手工添加Sticky MAC地址。
相關配置可參考命令display port-security和port-security timer autolearn aging。
【舉例】
# 啟動端口安全功能,配置端口GigabitEthernet1/1的安全模式為autoLearn,並在係統視圖下為該端口添加一條安全MAC地址:0001-0001-0002,該安全MAC地址屬於VLAN 10。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] port-security max-mac-count 100
[Sysname-GigabitEthernet1/1] port-security port-mode autolearn
[Sysname-GigabitEthernet1/1] quit
[Sysname] port-security mac-address security 0001-0001-0002 interface gigabitethernet 1/1 vlan 10
# 啟動端口安全功能,配置端口GigabitEthernet1/1的安全模式為autoLearn,並在接口視圖下為該端口添加一條Sticky MAC地址:0001-0002-0003,該安全MAC地址屬於VLAN 4。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] port-security max-mac-count 100
[Sysname-GigabitEthernet1/1] port-security port-mode autolearn
[Sysname-GigabitEthernet1/1] port-security mac-address security sticky 0001-0002-0003 vlan 4
【命令】
port-security max-mac-count count-value
undo port-security max-mac-count
【視圖】
以太網接口視圖/WLAN-Ethernet接口視圖/WLAN-BSS接口視圖
【缺省級別】
2:係統級
【參數】
count-value:端口允許轉發的最大MAC地址數,取值範圍為1~1024。
【描述】
port-security max-mac-count命令用來設置端口安全允許的最大MAC地址數。undo port-security max-mac-count命令用來恢複缺省情況。
缺省情況下,端口安全不限製本端口可轉發的最大MAC地址數。
對於autoLearn安全模式,端口允許的最大用戶數由本命令配置,包括端口上學習到的以及手工配置的安全MAC地址數;對於采用802.1X、MAC地址認證或者兩者組合形式的認證類安全模式,端口允許的最大用戶數取本命令配置的值與相應模式下允許認證用戶數的最小值。例如,userLoginSecureExt模式下,端口下所允許的最大用戶為配置的端口安全允許的最大MAC地址數與802.1X認證所允許的最大用戶數的最小值。
需要注意的是:
· 當端口工作於autoLearn模式時,無法更改端口安全允許的最大MAC地址數。
· 無線端口上有用戶在線時,無法更改端口安全允許的最大MAC地址數。
· 端口安全允許的最大MAC地址數不能小於當前端口下已保存的MAC地址數。
相關配置可參考命令display port-security。
【舉例】
# 在端口GigabitEthernet1/1上配置端口安全允許的最大MAC地址數為100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] port-security max-mac-count 100
【命令】
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }
undo port-security ntk-mode
【視圖】
以太網接口視圖/WLAN-BSS接口視圖
【缺省級別】
2:係統級
【參數】
ntk-withbroadcasts:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過。
ntk-withmulticasts:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過。
ntkonly:僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過。
【描述】
port-security ntk-mode命令用來配置端口Need To Know特性。undo port-security ntk-mode命令用來恢複缺省配置。
缺省情況下,端口沒有配置Need To Know特性,即所有報文都可成功發送。
Need To Know特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀隻能被發送到已經通過認證的設備上,從而防止非法設備竊聽網絡數據。
需要注意的是,無線端口上有用戶在線的情況下,無法更改Need To Know特性的配置。
相關配置可參考命令display port-security。
|
型號 |
命令 |
描述 |
|
MSR800 |
port-security ntk-mode |
不支持 |
|
MSR 900 |
支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置端口GigabitEthernet1/1的Need To Know特性為ntkonly,即僅發送目的地址為已認證的MAC地址的報文。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] port-security ntk-mode ntkonly
【命令】
port-security oui oui-value index index-value
undo port-security oui index index-value
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
oui-value:OUI值,輸入格式為H-H-H的48位MAC地址。係統會自動取輸入的前24位做為OUI值,忽略後24位。
index-value:標識此OUI的索引值,取值範圍為1~16。
【描述】
port-security oui命令用來配置用戶認證的OUI值,在端口安全模式為userLoginWithOUI時使用。undo port-security oui命令用來刪除指定索引的OUI值。
缺省情況下,沒有設置用戶認證的OUI值。
OUI指的是MAC地址的前24位(二進製),是IEEE為不同設備供應商分配的一個全球唯一的標識符。因此,當需要允許某些特殊設備的(有線接入)報文總是可以通過認證或僅允許這些設備的(無線接入)報文可以進行認證的情況下,就可以通過本命令來指定這些設備的OUI值,例如,某公司僅允許A廠商的IP電話在企業網中使用,則該值就為A廠商設備的OUI。
相關配置可參考命令display port-security。
【舉例】
# 配置OUI值為000d2a,索引為4。
<Sysname> system-view
[Sysname] port-security oui 000d-2a10-0033 index 4
【命令】
port-security port-mode { autolearn | mac-and-psk | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | psk | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-ext-or-psk | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }
undo port-security port-mode
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
表1-5 安全模式的參數解釋表
|
參數 |
安全模式 |
說明 |
|
autolearn |
autoLearn |
端口可通過手工配置或自動學習MAC地址。這些新的MAC地址被稱為安全MAC,並被添加到安全MAC地址表中 當端口下的安全MAC地址數超過端口安全允許的最大MAC地址數後,端口模式會自動轉變為secure模式。之後,該端口停止添加新的安全MAC,隻有源MAC地址為安全MAC地址、手工配置的MAC地址的報文,才能通過該端口 |
|
mac-and-psk |
macAddressAnd PresharedKey |
接入用戶必須先進行MAC地址認證,通過認證後使用預先配置的預共享密鑰與設備協商,協商成功後可訪問端口 |
|
mac-authentication |
macAddressWithRadius |
對接入用戶采用MAC地址認證 此模式下,端口允許多個用戶接入 |
|
mac-else-userlogin-secure |
macAddressElseUserLoginSecure |
端口同時處於macAddressWithRadius模式和userLoginSecure模式,但MAC地址認證優先級大於802.1X認證; 在用戶接入方式為有線的情況下,非802.1X報文延遲30秒之後進行MAC地址認證;在用戶接入方式為無線的情況下,非802.1X報文直接進行MAC地址認證。802.1X報文先進行MAC地址認證,如果MAC地址認證失敗再進行802.1X認證 |
|
mac-else-userlogin-secure-ext |
macAddressElseUserLoginSecureExt |
與macAddressElseUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|
psk |
presharedKey |
接入用戶必須使用設備上預先配置的靜態密鑰,即PSK(Pre-Shared Key,預共享密鑰)與設備進行協商,協商成功後可訪問端口 |
|
secure |
secure |
禁止端口學習MAC地址,隻有源MAC地址為端口上的安全MAC地址、手工配置的MAC地址的報文,才能通過該端口 |
|
userlogin |
userLogin |
對接入用戶采用基於端口的802.1X認證 此模式下,端口下的第一個802.1X用戶認證成功後,其它用戶無須認證就可接入 |
|
userlogin-secure |
userLoginSecure |
對接入用戶采用基於MAC地址的802.1X認證 此模式下,端口最多隻允許一個802.1X認證用戶接入 |
|
userlogin-secure-ext |
userLoginSecureExt |
對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
|
userlogin-secure-ext-or-psk |
userLoginSecureExtOrPresharedKey |
接入用戶與設備進行交互,選擇進行基於MAC(macbased)的802.1X認證或者僅進行預共享密鑰協商 |
|
userlogin-secure-or-mac |
macAddressOrUserLoginSecure |
端口同時處於userLoginSecure模式和macAddressWithRadius模式 在用戶接入方式為有線的情況下,非802.1X報文延遲30秒之後進行MAC地址認證,802.1X報文直接進行802.1X認證;; 在用戶接入方式為無線的情況下,802.1X認證優先級大於MAC地址認證:報文首先進行802.1X認證,如果802.1X認證失敗再進行MAC地址認證 |
|
userlogin-secure-or-mac-ext |
macAddressOrUserLoginSecureExt |
與macAddressOrUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|
userlogin-withoui |
userLoginWithOUI |
與userLoginSecure模式類似,但端口上除了允許一個802.1X認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC的OUI與設備上配置的OUI值相符 在用戶接入方式為有線的情況下,802.1X報文進行802.1X認證,非802.1X報文直接進行OUI匹配,802.1X認證成功和OUI匹配成功的報文都允許通過端口; 在用戶接入方式為無線的情況下,報文首先進行OUI匹配,OUI匹配失敗的報文再進行802.1X認證,OUI匹配成功和802.1X認證成功的報文都允許通過端口 |
【描述】
port-security port-mode命令用來配置端口安全模式。undo port-security port-mode命令用來恢複缺省情況。
缺省情況下,端口處於noRestrictions模式,此時該端口下端口安全特性不生效。
需要注意的是:
· presharedKey、macAddressAndPresharedKey和userlLoginSecureExtOrPresharedKey安全模式隻能在WLAN-BSS、WLAN-Ethernet類型的接口下配置。
· 端口安全模式與端口下的802.1X認證使能、端口接入控製方式、端口接入控製模式以及端口下的MAC地址認證使能配置互斥。
· 當端口安全已經使能且當前端口安全模式不是noRestrictions時,若要改變端口安全模式,必須首先執行undo port-security port-mode命令恢複端口安全模式為noRestrictions模式。
· 配置端口安全autoLearn模式時,首先需要通過命令port-security max-mac-count設置端口安全允許的最大MAC地址數。
· 端口上有用戶在線的情況下,端口安全模式無法改變。
|
接口類型 |
支持的端口安全模式 |
|
二層以太網接口 |
autolearn、mac-authentication、mac-else-userlogin-secure、mac-else-userlogin-secure-ext、secure、userlogin、userlogin-secure、userlogin-secure-ext、userlogin-secure-or-mac、userlogin-secure-or-mac-ext、userlogin-withoui |
|
WLAN-BSS |
mac-and-psk、mac-authentication、mac-else-userlogin-secure、mac-else-userlogin-secure-ext、psk、userlogin-secure、userlogin-secure-ext、userlogin-secure-ext-or-psk、userlogin-secure-or-mac、userlogin-secure-or-mac-ext |
|
WLAN-Ethernet |
mac-and-psk、mac-authentication、mac-else-userlogin-secure、mac-else-userlogin-secure-ext、psk、userlogin-secure、userlogin-secure-ext、userlogin-secure-ext-or-psk、userlogin-secure-or-mac、userlogin-secure-or-mac-ext |
|
總結: · presharedKey、macAddressAndPresharedKey和userlLoginSecureExtOrPresharedKey安全模式隻能在WLAN-BSS和WLAN-Ethernet類型的接口下配置。 · autoLearn、secure、userLogin和userloginWithOUI安全模式隻能在二層以太網類型的接口下配置。 |
|
相關配置可參考命令display port-security。
MSR係列路由器各款型在二層以太網接口對於autolearn、userlogin和secure三種端口安全模式的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
port-security port-mode |
autolearn、secure |
不支持 |
|
MSR 900 |
不支持 |
||
|
MSR900-E |
不支持 |
||
|
MSR 930 |
不支持 |
||
|
MSR 20-1X |
不支持 |
||
|
MSR 20 |
不支持 |
||
|
MSR 30 |
僅MSR30-11E/F支持 |
||
|
MSR 50 |
不支持 |
||
|
MSR 2600 |
不支持 |
||
|
MSR3600-51F |
支持 |
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
port-security port-mode |
userlogin |
支持 |
|
MSR 900 |
支持 |
||
|
MSR900-E |
支持 |
||
|
MSR 930 |
支持 |
||
|
MSR 20-1X |
支持 |
||
|
MSR 20 |
支持 |
||
|
MSR 30 |
安裝FSW二層交換模塊後支持(MSR30-11E/F不支持) |
||
|
MSR 50 |
安裝FSW二層交換模塊後支持 |
||
|
MSR 2600 |
支持 |
||
|
MSR3600-51F |
不支持 |
MSR係列路由器各款型支持的二層交換模塊對於autolearn、userlogin和secure三種端口安全模式的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
SIC-4FSW/SIC-4FSW-POE |
port-security port-mode |
autolearn、secure |
不支持 |
|
DSIC-9FSW/DSIC-9FSW-POE |
不支持 |
||
|
XMIM-16FSW/XMIM-24FSW |
不支持 |
||
|
MIM-16FSW/FIC-16FSW/DMIM-24FSW/FIC-24FSW |
支持 |
|
型號 |
命令 |
參數 |
描述 |
|
SIC-4FSW/SIC-4FSW-POE |
port-security port-mode |
userlogin |
支持 |
|
DSIC-9FSW/DSIC-9FSW-POE |
支持 |
||
|
XMIM-16FSW/XMIM-24FSW |
支持 |
||
|
MIM-16FSW/FIC-16FSW/DMIM-24FSW/FIC-24FSW |
支持 |
【舉例】
# 使能端口安全功能,並配置端口GigabitEthernet1/1的端口安全模式為secure。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] port-security port-mode secure
# 將端口GigabitEthernet1/1的端口安全模式改變為userLogin。
[Sysname-GigabitEthernet1/1] undo port-security port-mode
[Sysname-GigabitEthernet1/1] port-security port-mode userlogin
# 配置無線端口WLAN-BSS1的端口安全模式為presharedKey。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security port-mode psk
【命令】
port-security preshared-key { pass-phrase | raw-key } [ cipher | simple ] key
undo port-security preshared-key
【視圖】
WLAN-BSS接口視圖/WLAN-Ethernet接口視圖
【缺省級別】
2:係統級
【參數】
pass-phrase:以字符串方式輸入預共享密鑰。
raw-key:以十六進製數方式輸入預共享密鑰。
cipher key:以密文方式設置預共享密鑰。
simple key:以明文方式設置預共享密鑰。
key:設置的明文密鑰或密文密鑰,區分大小寫。明文密鑰為8~63個字符的字符串或者長度為64位的合法十六進製數;密文密鑰為8~117個字符的字符串。不指定cipher或simple時,表示以明文方式設置共享密鑰。
【描述】
port-security preshared-key命令用來配置預共享密鑰。undo port-security preshared-key命令用來刪除預共享密鑰。
以明文或密文方式設置的共享密鑰,均以密文的方式保存在配置文件中。
缺省情況下,無預共享密鑰。
【舉例】
# 在接口WLAN-BSS1下配置預共享密鑰為明文的字符串abcdefgh。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security preshared-key pass-phrase simple abcdefgh
# 在接口WLAN-BSS1下配置預共享密鑰為明文的十六進製數1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcd。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security preshared-key raw-key 1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef
# 在接口WLAN-BSS1下配置預共享密鑰為密文的wrWR2LZofLzlEY9ZdYsidw==。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security preshared-key raw-key cipher wrWR2LZofLzlEY9ZdYsidw==
【命令】
port-security timer autolearn aging time-value
undo port-security timer autolearn aging
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
time-value:安全MAC地址的老化時間,取值範圍為0~129600,單位為分鍾,取值為0表示不會老化。
【描述】
port-security timer autolearn aging命令用來配置安全MAC地址的老化時間。undo port-security timer autolearn aging命令用來恢複缺省情況。
缺省情況下,安全MAC地址不會老化。
該老化時間對所有端口學習到的安全MAC地址和手工添加的Sticky MAC地址有效。
相關配置可參考命令display port-security和port-security mac-address security。
【舉例】
# 配置Sticky MAC地址的老化時間為30分鍾。
<Sysname> system-view
[Sysname] port-security timer autolearn aging 30
【命令】
port-security timer disableport time-value
undo port-security timer disableport
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
time-value:端口靜默時間,取值範圍為20~300,單位為秒。
【描述】
port-security timer disableport命令用來配置係統暫時關閉端口連接的時間。undo port-security timer disableport命令用來恢複缺省情況。
缺省情況下,係統暫時關閉端口連接的時間為20秒。
當port-security intrusion-mode設置為disableport-temporarily模式時,係統暫時關閉端口連接的時間由該命令配置。
相關配置可參考命令display port-security。
【舉例】
# 配置端口GigabitEthernet1/1的入侵檢測特性被觸發後,收到非法報文的端口暫時關閉30秒。
<Sysname> system-view
[Sysname] port-security timer disableport 30
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] port-security intrusion-mode disableport-temporarily
【命令】
port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }
undo port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
addresslearned:端口學習告警。在端口學習到新MAC地址時發出告警信息。
dot1xlogfailure:802.1X認證失敗告警。
dot1xlogon:802.1X認證成功告警。
dot1xlogoff:802.1X認證用戶下線告警。
intrusion:發現非法報文告警。
ralmlogfailure:MAC地址認證失敗告警。
ralmlogoff:MAC地址認證用戶下線告警。
ralmlogon:MAC地址認證成功告警。
RALM(RADIUS Authenticated Login using MAC-address)是指基於MAC地址的RADIUS認證。
【描述】
port-security trap命令用來打開指定告警信息的發送開關。undo port-security trap命令用來關閉指定告警信息的發送開關。
缺省情況下,所有告警信息的發送開關處於關閉狀態。
告警信息的發送過程使用了設備的Trap特性。Trap特性是指當端口有特定的數據包(由非法入侵,用戶不正常上下線等原因引起)傳送時,設備將會發送Trap信息,便於用戶對這些特殊的行為進行監控。
相關配置可參考命令display port-security。
【舉例】
# 打開端口學習告警信息開關。
<Sysname> system-view
[Sysname] port-security trap addresslearned
【命令】
port-security tx-key-type 11key
undo port-security tx-key-type
【視圖】
WLAN-BSS接口視圖/WLAN-Ethernet接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
port-security tx-key-type 11key命令用來使能11key類型的密鑰協商功能。undo port-security tx-key-type命令關閉11key類型的密鑰協商功能。
缺省情況下,11key類型的密鑰協商功能處於關閉狀態。
【舉例】
# 在接口WLAN-BSS1下使能11key類型的密鑰協商功能。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security tx-key-type 11key
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
