- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-端口安全命令
本章節下載: 06-端口安全命令 (785.32 KB)
目 錄
1.1.2 display port-security access-user
1.1.3 display port-security authentication-profile
1.1.4 display port-security mac-address block
1.1.5 display port-security mac-address m-lag sync-from-peer
1.1.6 display port-security mac-address m-lag sync-to-peer
1.1.7 display port-security mac-address security
1.1.8 display port-security static-user
1.1.9 display port-security static-user connection
1.1.10 display port-security statistics
1.1.11 port-security access-user log enable
1.1.12 port-security authentication open
1.1.13 port-security authentication open global
1.1.14 port-security authentication-profile
1.1.15 port-security authentication-profile name
1.1.16 port-security authorization ignore
1.1.17 port-security authorization-fail offline
1.1.18 port-security auth-order
1.1.20 port-security escape critical-vsi
1.1.21 port-security free-vlan
1.1.22 port-security global escape critical-vsi
1.1.23 port-security intrusion-mode
1.1.24 port-security m-lag load-sharing-mode
1.1.25 port-security mac-address aging-type inactivity
1.1.26 port-security mac-address dynamic
1.1.27 port-security mac-address security
1.1.28 port-security mac-limit
1.1.29 port-security mac-move bypass-vlan-check
1.1.30 port-security mac-move permit
1.1.31 port-security max-mac-count
1.1.32 port-security nas-id-profile
1.1.35 port-security packet-detect arp-source-ip factor
1.1.36 port-security port-mode
1.1.37 port-security pre-auth domain
1.1.38 port-security static-user
1.1.39 port-security static-user match-mac acl
1.1.40 port-security static-user max-user
1.1.41 port-security static-user password
1.1.42 port-security static-user timer detect-period
1.1.43 port-security static-user timer offline-detect
1.1.44 port-security static-user update-ip enable
1.1.45 port-security static-user user-name-format
1.1.46 port-security static-user user-name-format mac-address
1.1.48 port-security timer autolearn aging
1.1.49 port-security timer blockmac
1.1.50 port-security timer disableport
1.1.51 port-security topology-change detect-period
1.1.52 port-security topology-change detect-retry
1.1.53 port-security topology-change free-mac-move
1.1.54 port-security triple-auth-order mac-dot1x-web
1.1.55 port-security url-unavailable domain
1.1.56 reset port-security static-user
1.1.57 reset port-security statistics
1.1.58 snmp-agent trap enable port-security
display port-security命令用來顯示端口安全的配置信息、運行情況和統計信息。
【命令】
display port-security [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的端口安全相關信息。interface-type interface-number表示端口類型和端口編號。若不指定本參數,則顯示所有端口的端口安全信息。
【使用指導】
端口上綁定端口安全認證模板後,端口安全認證模板下支持配置的功能在接口視圖下的相同配置不再生效。
【舉例】
# 顯示所有端口的端口安全相關狀態。
<Sysname> display port-security
Global port security parameters:
Port security : Enabled
M-LAG load sharing mode (criterion) : Distributed (local)
M-LAG member's authentication scope : Local M-LAG interfaces
M-LAG member configuration conflict : Unknown
AutoLearn aging time : 0 min
Disableport timeout : 20 sec
Blockmac timeout : 180 sec
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Enabled
Intrusion trap : Disabled
Address-learned trap : Enabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Enabled
Mac-auth-logoff trap : Disabled
Open authentication : Disabled
Traffic-statistics : Disabled
User aging period for preauth domain : 82800 sec
User aging period for Auth-Fail domain : 82800 sec
User aging period for critical domain : 82800 sec
Reauth period for preauth domain : 600 sec
Reauth period for Auth-Fail domain : 600 sec
MAC move for topology change protection : Denied
Topology change detection period : 5 sec
Max detection attempts : 3
OUI value list :
Index : 1 Value : 123401
Ten-GigabitEthernet1/0/1 is link-up
Authentication profile : p1
Port mode : userLogin
Pre-auth domain : test
URL-unavailable domain :domain1
NeedToKnow mode : Disabled
Intrusion protection mode : NoAction
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : 32
Current secure MAC addresses : 0
Authorization : Permitted
NAS-ID profile : Not configured
Free VLANs : Not configured
Open authentication : Disabled
MAC-move VLAN check bypass : Disabled
表1-1 display port-security命令顯示信息描述表
|
字段 |
描述 |
|
Port security |
端口安全的開啟狀態 |
|
M-LAG load sharing mode (criterion) |
本端M-LAG接口上的用戶處理模式 · Centralized:集中處理模式 · Distributed:分布處理模式 · 分布處理模式的匹配類型: · local:匹配本設備收到的報文 · odd source MAC:匹配源MAC地址為奇數的報文 · even source MAC:匹配源MAC地址為偶數的報文 |
|
M-LAG member's authentication scope |
端口安全M-LAG接口用戶報文處理範圍 · None:不處理任何M-LAG接口用戶 · Odd source MACs:隻處理源MAC地址為奇數的M-LAG接口用戶報文 · Even source MACs:隻處理源MAC地址為偶數的M-LAG接口用戶報文 · Local M-LAG interfaces:隻處理經由本地M-LAG接口上送的用戶報文 · All:處理所有M-LAG接口上送的用戶報文 |
|
M-LAG member configuration conflict |
兩台M-LAG設備配置檢查結果 · Conflicted :兩台M-LAG設備上的配置不匹配 · Not conflicted:兩台M-LAG設備上配置相匹配 · Unknown:無法檢測兩台M-LAG設備上的配置是否匹配 |
|
AutoLearn aging time |
Sticky MAC地址的老化時間,單位為分鍾或秒 |
|
Disableport timeout |
收到非法報文的端口暫時被關閉的時間,單位為秒 |
|
Blockmac timeout |
收到非法報文的端口將非法報文的源MAC地址加入阻塞MAC地址列表的時間,單位為秒 |
|
MAC move |
MAC遷移功能的開啟狀態 · Both port move and VLAN move are permitted:同時開啟了允許端口遷移和允許VLAN遷移功能 · Denied:未開啟MAC遷移功能 · Only port move is permitted:僅開啟允許端口遷移功能 · Only VLAN move is permitted:僅開啟允許VLAN遷移功能 |
|
Authorization fail |
授權失敗後用戶的狀態,包括下線(Offline)和保持在線(Online)兩種類型 |
|
NAS-ID profile |
全局引用的NAS-ID Profile |
|
Dot1x-failure trap |
802.1X用戶認證失敗的告警功能開啟狀態 |
|
Dot1x-logon trap |
802.1X用戶認證成功的告警功能開啟狀態 |
|
Dot1x-logoff trap |
802.1X用戶認證下線的告警功能開啟狀態 |
|
Intrusion trap |
發現非法報文的告警功能開啟狀態 |
|
Address-learned trap |
端口學習到新MAC地址的告警功能開啟狀態 |
|
Mac-auth-failure trap |
MAC地址認證用戶認證失敗的告警功能開啟狀態 |
|
Mac-auth-logon trap |
MAC地址認證用戶認證成功的告警功能開啟狀態 |
|
Mac-auth-logoff trap |
MAC地址認證用戶認證下線的告警功能開啟狀態 |
|
Open authentication |
端口安全全局開放認證模式功能開啟狀態 · Enabled:打開 · Disabled:關閉 |
|
Traffic-statistics |
(暫不支持)端口安全接入用戶的流量統計功能開啟狀態 · Enabled:開啟 · Disabled:關閉 |
|
User aging period for preauth domain |
認證前域中用戶的老化時間,單位為秒 |
|
User aging period for Auth-Fail domain |
認證失敗域中用戶的老化時間,單位為秒 |
|
User aging period for critical domain |
認證逃生域中用戶的老化時間,單位為秒 |
|
Reauth period for preauth domain |
認證前域中用戶的重認證周期,單位為秒 |
|
Reauth period for Auth-Fail domain |
認證失敗域中用戶的重認證周期,單位為秒 |
|
MAC move for topology change protection |
網絡拓撲改變時,隔離組內MAC遷移功能的開啟狀態: · Denied:不允許用戶在隔離組成員端口間遷移 · Permitted:允許用戶在隔離組成員端口間遷移 |
|
Topology change detection period |
網絡拓撲改變時的報文探測周期,單位為秒 |
|
Max detection attempts |
網絡拓撲改變時的報文探測最大次數 |
|
OUI value list |
允許通過認證的用戶的24位OUI值 |
|
Index |
OUI的索引 |
|
Value |
OUI值 |
|
Authentication profile |
端口綁定的端口安全認證模板。如果端口未綁定端口安全認證模板,則顯示為“Not configured” |
|
Port mode |
端口安全模式,包括以下幾種: · noRestriction · autoLearn · macAddressWithRadius · macAddressElseUserLoginSecure · macAddressElseUserLoginSecureExt · macAddressAndUserLoginSecureExt · secure · userLogin · userLoginSecure · userLoginSecureExt · macAddressOrUserLoginSecure · macAddressOrUserLoginSecureExt · userLoginWithOUI 關於各模式的具體涵義,請參考端口安全配置手冊 |
|
Pre-auth domain |
端口安全認證前用戶使用的域 |
|
URL-unavailable domain |
端口安全認證URL不可達時使用的逃生域 |
|
NeedToKnow mode |
Need To Know模式,包括以下幾種: · NeedToKnowOnly:表示僅允許目的MAC地址為已知MAC地址的單播報文通過 · NeedToKnowWithBroadcast:允許目的MAC地址為已知MAC地址的單播報文或廣播地址的報文通過 · NeedToKnowWithMulticast:允許目的MAC地址為已知MAC地址的單播報文,廣播地址或組播地址的報文通過 · NeedToKnowAuto:表示僅當有用戶上線後,才允許廣播地址報文、組播地址報文和目的MAC地址為已知MAC地址的單播報文通過 · Disabled:表示不進行NTK處理 |
|
Intrusion protection mode |
入侵檢測特性模式,包括以下幾種: · BlockMacAddress:表示將非法報文的源MAC地址加入阻塞MAC地址列表中 · DisablePort:表示將收到非法報文的端口永久關閉 · DisablePortTemporarily:表示將收到非法報文的端口暫時關閉一段時間 · NoAction:表示不進行入侵檢測處理 |
|
Security MAC address attribute |
安全MAC地址的相關屬性 |
|
Security MAC address learning mode |
安全MAC地址的學習方式: · Dynamic:動態類型 · Sticky:Sticky類型 |
|
Security MAC address aging type |
安全MAC地址的老化方式: · Periodical:按照配置的老化時間間隔進行老化 · Inactivity:無流量命中時老化 |
|
Max secure MAC addresses |
端口安全允許的最大安全MAC地址數目或上線用戶數 |
|
Current secure MAC addresses |
端口下保存的安全MAC地址數目 |
|
Authorization |
服務器的授權信息是否被忽略 · Permitted:表示當前端口應用RADIUS服務器或本地設備下發的授權信息 · Ignored:表示當前端口不應用RADIUS服務器或本地設備下發的授權信息 |
|
NAS-ID profile |
端口下引用的 NAS-ID Profile |
|
Free VLANs |
端口上配置的無需認證的VLAN,如果沒有配置,則顯示Not configured |
|
Open authentication |
端口安全端口開放認證模式功能開啟狀態 · Enabled:打開 · Disabled:關閉 |
|
MAC-move VLAN check bypass |
端口上MAC遷移時不檢查VLAN功能的開啟狀態 · Enabled:開啟 · Disabled:關閉 |
display port-security access-user命令用來顯示端口接入在線用戶的表項信息。
【命令】
display port-security access-user [ m-lag [ local | peer ] ] [ access-type { dot1x | mac-auth | web-auth | static } | domain domain-name | microsegment microsegment-id | online-type { auth-fail-domain | critical-domain | preauth-domain | success | url-unavailable-domain } | slot slot-number ] * [ brief ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
m-lag [ local | peer ]:顯示M-LAG組網中,M-LAG接口上在線用戶的信息。如果不指定該參數,則顯示設備上所有在線用戶的信息。如果不指定local和peer參數,則顯示本端M-LAG設備和對端M-LAG設備上在線用戶的信息
· local:顯示本端M-LAG設備上在線用戶的信息。
· peer:顯示對端M-LAG設備上在線用戶的信息。
access-type:接入類型。
· dot1x:顯示802.1X認證用戶的表項信息。
· mac-auth:顯示MAC地址認證用戶的表項信息。
· web-auth:顯示Web認證用戶的表項信息。
· static:顯示靜態用戶的表項信息。
· domain isp-name:顯示指定ISP域中的接入用戶的表項信息。isp-name表示ISP域名,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
· microsegment microsegment-id:顯示指定微分段內的接入用戶的表項信息。microsegment-id表示微分段ID,取值範圍為1~65535。
online-type:顯示指定類型的接入用戶信息。
· auth-fail-domain:顯示認證失敗域內的接入用戶信息。
· critical-domain:顯示認證逃生域內的接入用戶信息。
· preauth-domain:顯示認證前域內的接入用戶信息。
· success:顯示認證成功的接入用戶信息。
· url-unavailable-domain:顯示URL不可達逃生域內的接入用戶信息。
slot slot-number:顯示指定成員設備上的接入用戶信息。slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示所有成員設備上的接入用戶信息。
brief:顯示接入用戶的簡要信息。如果不指定該參數,則顯示接入用戶的詳細信息。
【使用指導】
認證失敗域、認證逃生域的詳細介紹,請參見“安全配置指導”中的“AAA”。
如果不指定任何參數,則顯示所有接入用戶的表項信息。
【舉例】
# 顯示名為test的ISP域內的接入用戶的詳細信息。
<Sysname> display port-security access-user domain test
Total access users: 2
Username : aaa
IP address : 10.12.12.254
IPv6 address : 2:1::3
MAC address : 00e0-fcc2-0175
State : Pre-authen
Authentication result : Unauthenticated
Access type : 802.1X authentication
M-LAG NAS-IP type : Local
M-LAG user state : Active
Authentication domain : abc
Authorization microsegment ID : N/A
Username : abc
IP address : 10.12.12.257
IPv6 address : 2:1::4
MAC address : 00e0-fcc2-0152
State : Successful
Authentication result : Authentication succeeded
Access type : Static user access
M-LAG NAS-IP type : Local
M-LAG user state : Active
Authentication domain : abc
Authorization microsegment ID : N/A
# 顯示認證前域內的接入用戶的詳細信息。
<Sysname> display port-security access-user online-type preauth-domain
Total access users: 1
Username : aaa
IP address : 10.12.12.254
IPv6 address : 2:1::4
MAC address : 00e0-fcc2-0175
State : Preauth domain
Authentication result : Unauthenticated
Access type : 802.1X authentication
M-LAG NAS-IP type : Local
M-LAG user state : Active
Authentication domain : abc
Authorization microsegment ID : N/A
表1-2 display port-security access-user命令顯示詳細信息描述表
|
字段 |
描述 |
|
Total access users |
接入用戶總數 |
|
Username |
接入用戶的用戶名 |
|
IP address |
接入用戶的IP地址 |
|
IPv6 address |
接入用戶的IPv6地址 |
|
MAC address |
接入用戶的MAC 地址 |
|
State |
接入用戶的狀態,取值包括: · Critical domain:處於逃生域中 · Auth-Fail domain:處於認證失敗域中 · Preauth domain:處於認證前域中 · Successful:認證成功 · Open:使用不存在的用戶名或者錯誤的密碼進行開放認證並接入 |
|
Authentication result |
接入用戶的認證結果,取值包括: · Unauthenticated:未認證 · Authentication succeeded:認證成功 · Authentication failed:認證失敗 · AAA server unavailable:AAA服務器不可達 · URL unavailable:URL不可達 |
|
Access type |
接入認證方式,取值包括: · 802.1X authentication:802.1X · MAC authentication:MAC地址認證 · Web authentication:Web認證 · Static user access:靜態用戶 |
|
M-LAG NAS-IP type |
M-LAG組網中,M-LAG接口上的用戶認證時采用的NAS-IP地址類型: · Local:本地NAS-IP地址,即使用本端M-LAG設備上的IP地址作為發送RADIUS報文使用的源IP地址 · Peer:對端NAS-IP地址,使用對端M-LAG設備上的IP地址作為發送RADIUS報文使用的源IP地址 |
|
M-LAG user state |
M-LAG組網中,M-LAG接口上的用戶狀態: · Active:激活狀態,此時由本端M-LAG設備與AAA服務器交互用戶認證信息 · Inactive:未激活狀態,此時由對端M-LAG設備與AAA服務器交互用戶認證信息 |
|
Authentication domain |
認證時所用的ISP域 |
|
Authorization microsegment ID |
授權的微分段ID |
# 顯示認證域test內的接入用戶的簡要信息。
<Sysname> display port-security access-user domain test brief
Total access users: 2
Username IP address MAC address State Access type
aaa 10.12.12.254 00e0-fcc2-0175 Preauth 802.1X
bbb 2:1::3 00e0-fcc2-0172 Preauth MAC-auth
表1-3 display port-security access-user brief命令顯示簡要信息描述表
|
字段 |
描述 |
|
Total access users |
接入用戶總數 |
|
Username |
接入用戶的用戶名 |
|
IP address |
接入用戶的IP地址。如果用戶同時擁有IPv4和IPv6地址,則本字段隻顯示IPv4地址;如果用戶隻有IPv6地址,則本字段顯示IPv6地址 |
|
MAC address |
接入用戶的MAC地址 |
|
State |
接入用戶的狀態,取值包括: · Critical:處於逃生域中 · Auth-Fail:處於認證失敗域中 · Preauth:處於認證前域中 · Successful:認證成功 |
|
Access type |
接入認證方式,取值包括: · 802.1X:802.1X · MAC-auth:MAC地址認證 · Web-auth:Web認證 · Static:靜態用戶 |
display port-security authentication-profile命令用來顯示端口安全認證模板的配置信息。
【命令】
display port-security authentication-profile [ name profile-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name profile-name:指定端口安全認證模板。profile-name為端口安全認證模板名稱,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則顯示所有端口安全認證模板的簡要配置。
【使用指導】
完成端口安全認證模板的配置後,可以使用本命令查看端口安全認證模板的配置信息是否正確。
【舉例】
# 顯示所有端口安全認證模板的配置信息。
<Sysname> display port-security authentication-profile
Total number: 2
Auth-profile 802.1x acc-profile MAC acc-profile
aaa1 bbb1 ccc1
aaa2 bbb2 ccc2
# 顯示端口安全認證模板auth1的配置信息。
<Sysname> display port-security authentication-profile name auth1
802.1x access profile : d1
MAC-authentication access profile : m1
Authentication order : dot1x-mac
Multi-authentication : Disabled
Parallel-authentication : Enabled
Pre-auth domain : test
URL-unavailable domain :domain1
MAC-move VLAN check bypass : Disabled
Total interfaces bound to the profile: 3
gigabitethernet 1/0/1
gigabitethernet 1/0/2
gigabitethernet 1/0/3
表1-4 display port-security authentication-profile命令顯示信息描述表
|
字段 |
描述 |
|
Auth-profile |
端口安全認證模板 |
|
802.1x acc-profile |
802.1X接入模板 |
|
MAC acc-profile |
MAC地址認證接入模板 |
|
802.1x access profile |
端口安全認證模板綁定的802.1X接入模板 |
|
MAC-authentication access profile |
端口安全認證模板綁定的MAC地址認證接入模板 |
|
Authentication order |
端口安全認證模式 |
|
Multi-authentication |
多步認證功能的開啟狀態 · Enabled:打開 · Disabled:關閉 |
|
Parallel-authentication |
802.1X和MAC地址認證並行認證功能的開啟狀態 · Enabled:打開 · Disabled:關閉 |
|
Pre-auth domain |
端口安全認證前用戶使用的域 |
|
URL-unavailable domain |
端口安全認證URL不可達時使用的逃生域 |
|
MAC-move VLAN check bypass |
MAC遷移時不檢查VLAN功能的開啟狀態 · Enabled:打開 · Disabled:關閉 |
|
Total interfaces bound to the profile |
綁定該端口安全認證模板的接口總數 |
display port-security mac-address block命令用來顯示阻塞MAC地址信息。
【命令】
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的阻塞MAC地址信息。interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:顯示阻塞MAC地址的個數。
【使用指導】
如果不指定任何參數,則顯示所有阻塞MAC地址的信息。
【舉例】
# 顯示所有阻塞MAC地址。
<Sysname> display port-security mac-address block
MAC ADDR Port VLAN ID
000f-3d80-0d2d XGE1/0/1 30
--- On slot 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
# 顯示所有阻塞MAC地址計數。
<Sysname> display port-security mac-address block count
--- On slot 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
表1-5 display port-security mac-address block命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
阻塞MAC地址 |
|
Port |
阻塞MAC地址所在端口 |
|
VLAN ID |
端口所屬VLAN |
|
number mac address(es) found |
當前阻塞MAC地址數目為number個 |
【相關命令】
· port-security intrusion-mode
display port-security mac-address m-lag sync-from-peer命令用來顯示端口安全從M-LAG對端同步過來的MAC地址表項信息。
【命令】
display port-security mac-address m-lag sync-from-peer [ user-mac mac-address ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
user-mac mac-address:顯示從對端同步過來的指定MAC地址的表項信息。其中mac-address表示用戶的MAC地址,格式為H-H-H。若不指定本參數,則顯示設備上所有從對端同步過來的MAC地址表項信息。
【使用指導】
執行本命令可以在本設備上查看從對端同步過來的MAC地址表項。
設備會將同步過來的MAC地址表項下發到驅動,提供給其它模塊解析使用。例如,ARP模塊可以通過該MAC地址表項建立用戶IP地址與微分段的對應關係。若下發驅動失敗,本命令將顯示失敗的原因,便於定位問題並進行處理。
【舉例】
# 顯示端口安全從M-LAG對端同步過來的MAC地址表項信息。
<Sysname> display port-security mac-address m-lag peer-link sync-from-peer
Total MAC address entries: 3
MAC state : AUTH
MAC address : 0010-9700-0001
VLAN ID : 3
VSI name : N/A
Authorization microsegment ID : 3
Flush failure reason: : VSI doesn't exist
MAC state : DOT1X
MAC address : 0010-9700-0002
VLAN ID : 3
VSI name : N/A
Authorization microsegment ID : 3
Flush failure reason : MAC addition failed(0x4001001)
MAC state : DOT1X
MAC address : 0010-9700-0004
VLAN ID : 3
VSI name : N/A
Authorization microsegment ID : 3
表1-6 display port-security mac-address m-lag sync-from-peer命令顯示信息描述表
|
字段 |
描述 |
|
Total MAC address entries |
從對端同步過來的MAC地址表項個數 |
|
MAC state |
MAC地址上線方式,取值包括: · DOT1X:通過802.1X認證上線 · AUTH:通過MAC地址認證或Web認證上線 |
|
MAC address |
接入用戶的MAC地址 |
|
VLAN ID |
接入用戶所屬VLAN |
|
VSI name |
接入用戶所屬VSI。若用戶不屬於任何VSI,則顯示為“N/A” |
|
Authorization microsegment ID |
接入用戶的授權微分段ID |
|
Flush failure reason |
MAC地址表項下發失敗的原因,取值包括: · VSI doesn't exist:VSI不存在 · MAC addition failed(error-code):MAC地址添加失敗(error-code表示失敗的錯誤碼,十六進製顯示) · MAC地址表項下發成功則不顯示本字段 |
【相關命令】
· display port-security mac-address m-lag sync-to-peer
display port-security mac-address m-lag sync-to-peer命令用來顯示端口安全M-LAG本端設備同步到對端的MAC地址表項信息。
【命令】
display port-security mac-address m-lag sync-to-peer [ interface interface-type interface-number | user-mac mac-address ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口上同步到對端的MAC地址表項信息。其中interface-type interface-number表示綁定的端口類型和端口編號。若不指定本參數,則顯示設備上所有端口上同步到對端的MAC地址表項信息。
user-mac mac-address:顯示同步到對端的指定MAC地址的表項信息。其中mac-address表示用戶的MAC地址,格式為H-H-H。若不指定本參數,則顯示設備上所有同步到對端的MAC地址的表項信息。
【使用指導】
M-LAG單掛組網中,本端用戶認證成功並獲得授權微分段上線後,本端用戶的MAC地址表項將被自動同步到對端設備上。對端設備獲得本端用戶的微分段信息後,將對來自本端用戶的訪問流量執行其所屬微分段對應的組策略,從而實現本端用戶可以訪問對端設備上的網絡資源。
執行本命令可以在本端設備上查看同步到對端設備的本端用戶MAC地址表項信息。
【舉例】
# 顯示M-LAG本端設備同步到對端的MAC地址表項信息。
<Sysname> display port-security mac-address m-lag sync-to-peer
Total MAC address entries: 1
MAC state : AUTH
MAC address : 0010-9700-0001
Access interface : Bridge-Aggregation1
VLAN ID : 3
VSI name : N/A
Authorization microsegment ID : 3
表1-7 display port-security mac-address m-lag sync-to-peer命令顯示信息描述表
|
字段 |
描述 |
|
Total MAC address entries |
同步到對端的MAC地址表項個數 |
|
MAC state |
MAC地址上線方式,取值包括: · DOT1X:通過802.1X認證上線 · AUTH:通過MAC地址認證或Web認證上線 |
|
MAC address |
接入用戶的MAC地址 |
|
Access interface |
用戶的接入接口名稱 |
|
VLAN ID |
接入用戶所屬VLAN |
|
VSI name |
接入用戶所屬VSI。若用戶不屬於任何VSI,則顯示為“N/A” |
|
Authorization microsegment ID |
接入用戶的授權微分段ID |
【相關命令】
· display port-security mac-address m-lag sync-from-peer
display port-security mac-address security命令用來顯示安全MAC地址信息。
【命令】
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:統計符合條件的安全MAC地址個數。
【使用指導】
當端口工作於autoLearn模式時,端口上通過自動學習或者靜態配置的安全MAC地址可通過該命令查看。
如果不指定任何參數,則顯示所有安全MAC地址的信息。
【舉例】
# 顯示所有安全MAC地址。
<Sysname> display port-security mac-address security
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME
0002-0002-0002 1 Secure XGE1/0/1 Not aged
--- Number of secure MAC addresses: 1 ---
# 顯示所有安全MAC地址計數。
<Sysname> display port-security mac-address security count
--- Number of secure MAC addresses: 1 ---
表1-8 display port-security mac-address security命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
安全MAC地址 |
|
VLAN ID |
端口所屬VLAN |
|
STATE |
添加的MAC地址類型 · Secure:表示該項是安全MAC地址 |
|
Port INDEX |
安全MAC地址所在端口 |
|
AGING TIME |
安全MAC地址的剩餘存活時間 · 對於靜態MAC地址,顯示為Not aged · 對於Sticky MAC地址,顯示為具體的剩餘存活時間,當存活時間小於60秒,顯示單位為秒;當存活時間大於等於60秒時,顯示單位為分鍾。缺省情況下為不進行老化,顯示為Not aged |
|
Number of secure MAC addresses |
當前保存的安全MAC地址數 |
【相關命令】
· port-security mac-address security
display port-security static-user命令用來顯示靜態用戶的配置信息。
【命令】
display port-security static-user [ domain isp-name | interface interface-type interface-number | { ip | ipv6 } start-ip-address [ end-ip-address ] | vpn-instance vpn-instance-name ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
domain isp-name:顯示指定域下的靜態用戶信息。isp-name表示ISP域名,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
interface interface-type interface-number:顯示指定接口下的靜態用戶配置信息。其中,interface-type表示接口類型,interface-number表示接口編號。
ip:顯示指定IPv4地址的靜態用戶的配置信息。
ipv6:顯示指定IPv6地址的靜態用戶的配置信息。
start-ip-address [ end-ip-address ]:顯示指定IP地址範圍的靜態用戶的配置信息。start-ip-address表示IP地址範圍的起始地址,end-ip-address表示IP地址範圍的結束地址。如果僅指定start-ip-address參數,而未指定end-ip-address參數,則表示靜態用戶的IP地址為start-ip-address。
vpn-instance vpn-instance-name:顯示接入指定VPN實例的靜態用戶配置信息。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示指定公網。
【使用指導】
如果不指定任何參數,則顯示所有靜態用戶的配置信息。
【舉例】
# 顯示所有靜態用戶的配置信息。
<Sysname> display port-security static-user
Global Static-user parameters:
Static user IP update : Disabled
Offline detect timer : 300 seconds
ARP detect period : 200 seconds
ACL number for matching MAC addresses : 4000
Ten-GigabitEthernet1/0/1 is link-up
Static user max-user : 4294967295
Start IPv4 address : 10.1.1.6
End IPv4 address : 10.1.1.8
Interface : XGE1/0/1
MAC address : 00e0-fc12-3456
VPN instance : N/A
Domain name : local
VLAN ID : 10
ARP detection : Disabled
Keep online : Disabled
Start IPv6 address : 1:1::1:2
End IPv6 address : 1:1::1:4
Interface : XGE1/0/1
MAC address : 00e0-fc12-1234
VPN instance : N/A
Domain name : local
VLAN ID : 10
ARP detection : Disabled
Keep online : Disabled
表1-9 display port-security static-user命令顯示信息描述表
|
字段 |
描述 |
|
Global static user parameters |
靜態用戶全局配置 |
|
Static user IP update |
設備更新靜態用戶IP地址的狀態,取值包括: · Enabled:允許設備更新靜態用戶IP地址 · Disabled:禁止設備更新靜態用戶IP地址 |
|
Offline detect timer |
靜態用戶下線檢測定時器的值,單位為秒 |
|
ARP detect period |
ARP探測定時器的值,單位為秒 |
|
ACL number for matching MAC addresses |
靜態用戶MAC地址匹配的ACL編號,如果未配置,則不顯示本字段 |
|
Ten-GigabitEthernet1/0/1 is link-up |
接口Ten-GigabitEthernet1/0/1的鏈路狀況 |
|
Static user max-user |
當前接口允許接入的最大靜態用戶數 |
|
Start IPv4 address |
靜態用戶IPv4地址範圍的起始地址 |
|
End IPv4 address |
靜態用戶IPv4地址範圍的結束地址,如果未配置,則顯示為“N/A” |
|
Start IPv6 address |
靜態用戶IPv6地址範圍的起始地址 |
|
End IPv6 address |
靜態用戶IPv6地址範圍的結束地址,如果未配置,則顯示為“N/A” |
|
Interface |
靜態用戶的上線接口,如果未配置,則顯示為“N/A” |
|
MAC address |
靜態用戶的MAC地址,如果未配置,則顯示為“N/A” |
|
VPN instance |
靜態用戶所屬的VPN實例,如果未配置,則顯示為“N/A” |
|
Domain name |
靜態用戶所屬的ISP域,如果未配置,則顯示為“N/A” |
|
VLAN ID |
靜態用戶所屬的VLAN,如果未配置,則顯示為“N/A” |
|
ARP detection |
ARP探測功能的開啟狀態,取值包括: · Enabled:打開 · Disabled:關閉 |
|
Keep online |
靜態用戶保持在線功能的開啟狀態,取值包括: · Enabled:打開 · Disabled:關閉 |
【相關命令】
· port-security static-user
display port-security static-user connection命令用來顯示在線靜態用戶的信息。
【命令】
display port-security static-user connection [ [ m-lag [ local | peer ] ] [ interface interface-type interface-number | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | slot slot-number | user-name user-name ] | { ip | ipv6 } ip-address | mac mac-address ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
m-lag [ local | peer ]:顯示M-LAG組網中,M-LAG接口上端口安全在線用戶的信息。如果不指定該參數,則顯示設備上所有端口安全在線用戶的信息。如果不指定local和peer參數,則顯示本端M-LAG設備和對端M-LAG設備上端口安全在線用戶的信息
· local:顯示本端M-LAG設備上端口安全在線用戶的信息。
· peer:顯示對端M-LAG設備上端口安全在線用戶的信息。
interface interface-type interface-number:顯示指定接口下的靜態用戶信息。其中,interface-type表示接口類型。interface-number表示接口編號。
{ ip | ipv6 } ip-address:顯示指定IP地址的在線靜態用戶信息。指定ip時,ip-address表示靜態用戶的IPv4地址;指定ipv6時,ip-address表示靜態用戶的IPv6地址。
mac mac-address:顯示指定MAC地址的在線靜態用戶信息。其中,mac-address表示靜態用戶的MAC地址,格式為H-H-H。
online-type:顯示指定類型的靜態用戶信息。
· auth-fail-domain:顯示認證失敗域內的靜態用戶信息。
· critical-domain:顯示認證逃生域內的靜態用戶信息。
· preauth-domain:顯示認證前域內的靜態用戶信息。
· success:顯示認證成功的靜態用戶信息。
user-name name-string:顯示指定用戶名的在線靜態用戶信息。其中name-string表示用戶名,為1~253個字符的字符串,區分大小寫。
slot slot-number:顯示指定成員設備上的在線靜態用戶信息。slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示所有成員設備上的在線靜態用戶信息。
【使用指導】
如果未指定任何參數,則顯示設備上所有在線靜態用戶的信息。
【舉例】
# 顯示設備上所有在線靜態用戶的信息。
<Sysname> display port-security static-user connection
Total connections: 2
User MAC address: 0015-e9a6-7cfe
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Ten-GigabitEthernet1/0/1
Username: ias
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
IPv4 address source: User packet
IPv6 address source: User packet
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR:
Average input rate: 102400 bps
Peak input rate: 204800 bps
Average output rate: 102400 bps
Peak output rate: 204800 bps
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: RADIUS-request
Session timeout period: 2 sec
Offline detection: 100 sec (server-assigned)
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Port-down keep online: Enabled
User MAC address: 0016-e9a6-7cfe
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Ten-GigabitEthernet1/0/2
Username: i1s
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
IPv4 address source: User packet
IPv6 address source: User packet
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR:
Average input rate: 102400 bps
Peak input rate: 204800 bps
Average output rate: 102400 bps
Peak output rate: 204800 bps
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: RADIUS-request
Session timeout period: 2 sec
Offline detection: 100 sec (server-assigned)
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Port-down keep online: Enabled
表1-10 display port-security static-user connection顯示描述信息表
|
字段 |
描述 |
|
Total connections |
在線靜態用戶個數 |
|
User MAC address |
用戶的MAC地址 |
|
M-LAG NAS-IP type |
M-LAG組網中,M-LAG接口上的用戶認證時采用的NAS-IP地址類型: · Local:本地NAS-IP地址,即使用本端M-LAG設備上的IP地址作為發送RADIUS報文使用的源IP地址 · Peer:對端NAS-IP地址,使用對端M-LAG設備上的IP地址作為發送RADIUS報文使用的源IP地址 |
|
M-LAG user state |
M-LAG組網中,M-LAG接口上的用戶狀態: · Active:激活狀態,此時由本端M-LAG設備與AAA服務器交互用戶認證信息 · Inactive:未激活狀態,此時由對端M-LAG設備與AAA服務器交互用戶認證信息 |
|
Access interface |
用戶的接入接口名稱 |
|
Username |
用戶名 |
|
User access state |
用戶的接入狀態: · Auth-Fail domain:接入用戶處於認證失敗域中 · Critical domain:接入用戶處於認證逃生域中 · Preauth domain:接入用戶處於認證前域中 · Successful:MAC地址認證成功並接入 |
|
IPv4 address |
用戶的IPv4地址 |
|
IPv6 address |
用戶的IPv6地址 |
|
Initial VLAN |
初始VLAN |
|
Authorization untagged VLAN |
授權的untagged VLAN |
|
Authorization tagged VLAN |
授權的tagged VLAN |
|
Authorization VSI |
授權的VSI |
|
Authorization microsegment ID |
授權的微分段ID |
|
Authorization ACL number/name |
授權的靜態ACL的編號或名稱。若未授權靜態ACL,則顯示為N/A 若未授權成功,則在ACL編號或名稱後顯示“(NOT effective)” |
|
Authorization dynamic ACL name |
授權的動態ACL的名稱。若未授權動態ACL,則顯示N/A 若未授權成功,則在ACL名稱後顯示“(NOT effective)” |
|
Authorization user profile |
授權用戶的User profile名稱 |
|
Authorization CAR |
當服務器未授權用戶CAR屬性時,該字段顯示為N/A。 當服務器授權用戶CAR屬性,將分為以下四個字段: · Average input rate :上行平均速率,單位為bps · Peak input rate:上行峰值速率,單位為bps · Average output rate:下行平均速率,單位為bps · Peak output rate:下行峰值速率,單位為bps · 若未授權成功,則顯示為(NOT effective) · 若隻下發上、下行平均速率,則該上、下行峰值速率默認與其平均速率相同。目前不支持服務器單獨授權上、下行峰值速率 |
|
Authorization URL |
授權的重定向URL |
|
Authorization IPv6 URL |
授權的IPv6重定向URL |
|
Authorization temporary redirect |
表示是否授權暫時重定向功能 · Enabled:授權了暫時重定向功能,發送給用戶的HTTP/HTTPS重定向報文中攜帶的狀態碼為302 · Disabled:未授權暫時重定向功能,發送給用戶的HTTP/HTTPS重定向報文中攜帶的狀態碼為200 |
|
Start accounting |
表示開始計費請求的結果: · Successful:開始計費成功 · Failed:開始計費失敗 · 前域用戶不支持計費,本字段顯示為N/A |
|
Real-time accounting-update failures |
表示實時計費更新連續失敗的次數 |
|
Termination action |
服務器下發的終止動作類型: · Default:會話超時時間到達後,強製用戶下線 · RADIUS-request:會話超時時間到達後,請求靜態用戶進行重認證 · 用戶采用本地認證時,該字段顯示為Default |
|
Session timeout period |
服務器下發的會話超時時間,該時間到達之後,用戶所在的會話將會被刪除,之後,對該用戶所采取的動作,由Termination action字段的取值決定 |
|
Offline detection |
用戶進行下線檢測的屬性: · Ignore (command-configured):命令行配置該用戶不進行下線檢測 · timer (command-configured):命令行配置的下線檢測時間 · Ignore (server-assigned):RADIUS服務器授權該用戶不進行下線檢測 · timer (server-assigned):RADIUS服務器授權的下線檢測時間 |
|
Online from |
靜態用戶的上線時間 |
|
Online duration |
靜態用戶的在線時長 |
|
Port-down keep online |
端口狀態變為Down後,用戶繼續保持在線功能: · Enabled:處於開啟狀態。服務器授權下發了取值非0的私有屬性shutdown-keep-online · Disabled (offline):處於關閉狀態,用戶下線。服務器授權下發了取值為0的私有屬性shutdown-keep-online,或者沒有下發該屬性 |
display port-security statistics命令用來顯示端口安全的統計計數信息。
【命令】
display port-security statistics [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備上端口安全的統計計數信息。slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示所有成員設備上的統計信息。
【舉例】
# 查看端口安全的統計計數信息。
<Sysname> display port-security statistics
Slot ID: 0
Entries received from IPCIM:
Entries notified to be added : 0
Entries notified to be deleted : 0
Entries actually added : 0
Entries actually deleted : 0
表1-11 display port-security statistics顯示信息描述表
|
字段 |
描述 |
|
Slot ID |
單板所在槽位號 |
|
Entries received from IPCIM |
端口安全模塊收到來自IPCIM(IP Client Information Management,IP用戶信息管理)模塊的表項數,取值包括: · Entries notified to be added:IPCIM通知端口安全添加的用戶表項數 · Entries notified to be deleted:IPCIM通知端口安全刪除的用戶表項數 · Entries actually added:端口安全實際添加的用戶表項數 · Entries actually deleted:端口安全實際刪除的用戶表項數 |
【相關命令】
· reset port-security statistics
port-security access-user log enable命令用來開啟端口安全接入用戶日誌信息功能。
undo port-security access-user log enable命令用來關閉端口安全接入用戶日誌信息功能。
【命令】
port-security access-user log enable [ failed-authorization | mac-learning | violation | vlan-mac-limit ] *
undo port-security access-user log enable [ failed-authorization | mac-learning | violation | vlan-mac-limit ] *
【缺省情況】
端口安全接入用戶日誌信息功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
failed-authorization:802.1X或MAC地址認證用戶授權失敗時的日誌信息。
mac-learning:端口自動學習到MAC地址時的日誌信息。
violation:端口安全入侵檢測功能被觸發時的日誌信息。
vlan-mac-limit:VLAN內同時接入的MAC地址數達到最大值後有新MAC地址用戶接入時的日誌信息。
【使用指導】
為了防止設備輸出過多的端口安全接入用戶日誌信息,一般情況下建議關閉此功能。
配置本命令時,如果未指定任何參數,將同時開啟或關閉本命令所有參數對應日誌功能。
配置vlan-mac-limit參數後,隻有當VLAN內的MAC地址數從未達到上限變為達到上限,且有新用戶試圖接入時才會觸發日誌。如果MAC地址數已達到上限,隻有第1個新用戶試圖接入時才輸出日誌,後續用戶試圖接入時不會再次輸出日誌。
【舉例】
# 開啟端口安全入侵檢測功能被觸發時的日誌信息。
<Sysname> system-view
[Sysname] port-security access-user log enable violation
【相關命令】
· info-center source portsec logfile deny(網絡管理和監控/信息中心)
port-security authentication open命令用來開啟端口上端口安全的開放認證模式。
undo port-security authentication open命令用來關閉端口上端口安全的開放認證模式。
【命令】
port-security authentication open
undo port-security authentication open
【缺省情況】
端口上的端口安全開放認證模式處於關閉狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟端口上的端口安全開放認證模式後,端口上的802.1X、MAC地址認證用戶即使身份信息不正確(包含不存在的用戶名或者錯誤的密碼兩種情況)也可以正常接入並訪問網絡。在這種模式下接入的用戶被稱為open用戶,此類用戶不支持授權和計費,但可通過display dot1x connection open、display mac-authentication connection open命令查看相關信息。
端口上開啟端口安全的開放認證模式後,身份信息正確的用戶可正常上線,此類不屬於open用戶。
開放認證模式優先級低於802.1X的Auth-Fail VLAN和MAC地址認證的Guest VLAN,即如果端口上配置了802.1X的Auth-Fail VLAN或MAC地址認證的Guest VLAN,密碼錯誤的接入用戶會加入認證失敗VLAN,開放認證模式不生效。
開放認證模式優先級低於802.1X的Auth-Fail VSI和MAC地址認證的Guest VSI,即如果端口上配置了802.1X的Auth-Fail VSI或MAC地址認證的Guest VSI,密碼錯誤的接入用戶會加入認證失敗VSI,開放認證模式不生效。
有關802.1X、MAC地址認證的詳細介紹,請參見“安全配置指導”中的“802.1X”和“MAC地址認證”。
【舉例】
# 開啟端口Ten-GigabitEthernet1/0/1上的端口安全的開放認證模式。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security authentication open
【相關命令】
· display dot1x connection
· display mac-authentication connection
· port-security authentication open global
port-security authentication open global命令用來開啟全局端口安全的開放認證模式。
undo port-security authentication open global命令用來關閉全局端口安全的開放認證模式。
【命令】
port-security authentication open global
undo port-security authentication open global
【缺省情況】
端口安全的開放認證模式處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟全局端口安全開放認證模式之後,802.1X、MAC地址認證用戶即使身份信息不正確(包含不存在的用戶名或者錯誤的密碼兩種情況)也可以正常接入並訪問網絡。在這種模式下接入的用戶被稱為open用戶,此類用戶不支持授權和計費,但可通過display dot1x connection open、display mac-authentication connection open命令查看相關信息。
全局開啟端口安全的開放認證模式後,身份信息正確的用戶可正常上線,此類不屬於open用戶。
開放認證模式優先級低於802.1X的Auth-Fail VLAN和MAC地址認證的Guest VLAN,即如果端口上配置了802.1X的Auth-Fail VLAN或MAC地址認證的Guest VLAN,密碼錯誤的接入用戶會加入認證失敗VLAN,開放認證模式不生效。
開放認證模式優先級低於802.1X的Auth-Fail VSI和MAC地址認證的Guest VSI,即如果端口上配置了802.1X的Auth-Fail VSI或MAC地址認證的Guest VSI,密碼錯誤的接入用戶會加入認證失敗VSI,開放認證模式不生效。
有關802.1X、MAC地址認證的詳細介紹,請參見“安全”中的“802.1X”和“MAC地址認證”。
【舉例】
# 開啟全局端口安全的開放認證模式。
<Sysname> system-view
[Sysname] port-security authentication open global
【相關命令】
· display dot1x connection
· display mac-authentication connection
· port-security authentication open
port-security authentication-profile命令用來配置接口綁定端口安全認證模板。
undo port-security authentication-profile命令用來恢複缺省配置。
【命令】
port-security authentication-profile profile-name
undo port-security authentication-profile profile-name
【缺省情況】
接口未綁定端口安全認證模板。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:端口安全認證模板名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
接口綁定端口安全認證模板後,將使用端口安全認證模板下的配置對接入用戶進行認證:
· 對於接口視圖和端口安全認證模板視圖下均支持配置的功能(命令行形式可能存在差異),無論當前端口安全認證模板下是否已配置,接口下的此類功能配置都會被立即刪除。如需使用上述功能,請在接口綁定的端口安全認證模板視圖下配置。
· 對於接口視圖下支持但認證模板視圖下不支持的配置,在接口下配置後仍會正常生效。
· 端口采用的認證方式由端口安全認證模板下綁定的接入模板類型(802.1X接入模板、MAC地址認證接入模板)決定。
必須在係統視圖下先通過port-security authentication-profile name命令創建端口安全認證模板,接口才能成功綁定該端口安全認證模板。
一個端口安全認證模板可以被不同接口綁定,但一個接口隻能綁定一個端口安全認證模板,如需綁定其它端口安全認證模板,請先解除原有綁定。
【舉例】
# 在端口GigabitEthernet1/0/1下綁定端口安全認證模板123。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security authentication-profile 123
【相關命令】
· display port-security authentication-profile
port-security authentication-profile name命令用來創建端口安全認證模板並進入認證模板視圖。如果認證模板已創建,則直接進入認證模板視圖。
undo port-security authentication-profile name命令用來刪除端口安全認證模板。
【命令】
port-security authentication-profile name profile-name
undo port-security authentication-profile name profile-name
【缺省情況】
未創建端口安全認證模板。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:端口安全認證模板名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
為了實現用戶快速完成端口安全認證配置,設備使用端口安全認證模板統一管理接入認證的配置信息。通過在認證模板下綁定802.1X和MAC地址認證接入模板、配置認證順序等,滿足用戶基本的接入控製需求。
當接口上綁定的認證模板已經生效,刪除已引用的認證模板會導致在線用戶異常掉線。
【舉例】
# 創建名稱為aaa的端口安全認證模板,並進入該認證模板視圖。
<Sysname> system-view
[Sysname] port-security authentication-profile name aaa
[Sysname-portsec-auth-prof-aaa]
【相關命令】
· display port-security authentication-profile
port-security authorization ignore命令用來配置端口不應用RADIUS服務器或設備本地下發的授權信息。
undo port-security authorization ignore命令用來恢複缺省情況。
【命令】
port-security authorization ignore
undo port-security authorization ignore
【缺省情況】
端口應用RADIUS服務器或設備本地下發的授權信息。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
當用戶通過RADIUS認證或本地認證後,RADIUS服務器或設備會根據用戶帳號配置的相關屬性進行授權,比如動態下發VLAN等。若不希望接受這類動態下發的屬性,則可通過配置本命令來忽略。
對於通過802.1X或MAC地址認證的用戶,配置本命令後隻會忽略除Termination-Action和Session-Timeout之外的其它授權屬性;對於通過Web認證的用戶,配置本命令後會忽略所有下發的授權屬性。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1不應用RADIUS服務器或設備本地下發的授權信息。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security authorization ignore
【相關命令】
· display port-security
port-security authorization-fail offline命令用來開啟授權失敗用戶下線功能。
undo port-security authorization-fail offline命令用來關閉授權失敗用戶下線功能。
【命令】
port-security authorization-fail offline [ quiet-period ]
undo port-security authorization-fail offline
【缺省情況】
授權失敗用戶下線功能處於關閉狀態,即授權失敗後用戶保持在線。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
quiet-period:表示開啟用戶授權失敗下線靜默功能。802.1X認證或MAC地址認證用戶下線後,設備將其加入對應認證類型的靜默隊列,並根據對應認證類型的靜默定時器的值來確定用戶認證失敗以後,設備停止對其提供認證服務的時間間隔。在靜默期間,設備不對來自認證失敗用戶的報文進行認證處理,直接丟棄;靜默期後,設備再次收到該用戶的報文,則對其進行認證處理。若不指定此參數,用戶授權下線後,設備再次收到該用戶的報文就對其進行認證處理。
【使用指導】
如果配置為授權失敗用戶下線,當下發的授權ACL、User Profile不存在或者ACL、User Profile下發失敗時,將強製用戶下線。
如果配置為授權失敗用戶保持在線,當下發的授權ACL、User Profile不存在或者ACL、User Profile下發失敗時,用戶保持在線,授權ACL、User Porfile不生效,設備打印日誌信息。
若開啟本功能時指定了quiet-period參數則需要先完成如下配置:
· 對於802.1X用戶,通過dot1x quiet-period命令開啟802.1X認證靜默定時器功能,並通過dot1x timer quiet-period命令設置靜默定時器的值。
· 對於MAC地址認證用戶,通過mac-authentication timer quiet命令配置MAC地址認證靜默定時器的值。
【舉例】
# 開啟授權失敗用戶下線功能。
<Sysname> system-view
[Sysname] port-security authorization-fail offline
【相關命令】
· display port-security
· dot1x quiet-period(安全命令參考/802.1X)
· dot1x timer quiet-period(安全命令參考/802.1X)
· mac-authentication timer(安全命令參考/MAC地址認證)
port-security auth-order命令用來配置端口安全認證順序。
undo port-security auth-order命令用來恢複缺省配置。
【命令】
port-security auth-order { dot1x-mac [ parallel ] | mac-dot1x [ multiple ] }
undo port-security auth-order
【缺省情況】
端口收到源MAC地址未知的報文後,按照802.1X認證完成後再進行MAC地址認證的順序進行處理。
【視圖】
端口安全認證模板視圖
【缺省用戶角色】
network-admin
【參數】
dot1x-mac:端口完成802.1X認證後再進行MAC地址認證。
parallel:開啟端口MAC地址認證和802.1X認證並行處理功能,即802.1X認證和MAC地址認證可以同步進行,任一認證成功後即可上線。如果未指定本參數,則用戶完成802.1X認證後才能進行MAC地址認證。
mac-dot1x:端口完成MAC地址認證後再進行802.1X認證。
multiple:開啟端口多步認證功能,即用戶隻有通過MAC地址認證成功後才能進行802.1X認證,且二者均認證成功後才能上線。如果未指定本參數,則用戶通過任一方式認證成功後即可上線。
【使用指導】
端口采用802.1X和MAC地址組合認證功能時,用戶可以根據需要自行配置端口的接入認證順序。
· dot1x-mac認證順序下,如果想要端口加入到802.1X Guest VLAN或Guest VSI之前進行MAC地址認證並下發授權VLAN或授權VSI,可以通過port-security auth-order dot1x-mac parallel開啟端口MAC地址認證和802.1X認證並行處理功能,並配置端口延遲加入802.1X Guest VLAN或端口延遲加入802.1X Guest VSI功能。關於端口延遲加入802.1X Guest VLAN和端口延遲加入802.1X Guest VSI配置命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
· mac-dot1x認證順序下,如果希望接入用戶隻有在MAC地址認證和802.1X認證均認證成功後才能上線,可以通過port-security auth-order mac-dot1x multiple開啟端口多步認證功能。
端口采用802.1X和MAC地址組合認證功能時,必須先同時開啟802.1X和MAC地址認證功能,並配置802.1X認證端口的接入控製方式為macbased。
通過配置port-security auth-order命令修改端口的接入認證順序後,將導致正在認證的用戶認證失敗,用戶需要重新觸發認證才能上線。為了避免造成認證用戶無法上線,請勿隨意配置本功能修改認證方式順序。
開啟了MAC地址認證和802.1X認證並行處理功能後,不建議配置端口的MAC地址認證延遲功能。
【舉例】
# 在安全認證模板123上開啟MAC地址認證和802.1X認證多步認證功能。
<Sysname> system-view
[Sysname] port-security authentication-profile name 123
[Sysname-portsec-auth-profile-123] port-security auth-order mac-dot1x multiple
【相關命令】
· mac-authentication parallel-with-dot1x
· port-security triple-auth-order mac-dot1x-web
· port-security port-mode mac-and-userlogin-secure-ext
port-security enable命令用來使能端口安全。
undo port-security enable命令用來關閉端口安全。
【命令】
port-security enable
undo port-security enable
【缺省情況】
端口安全功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
如果已全局開啟了802.1X或MAC地址認證,則無法使能端口安全。
執行使能或關閉端口安全的命令後,端口上的相關配置將會恢複為如下情況:
· 802.1X端口接入控製方式恢複為macbased;
· 802.1X端口的授權狀態恢複為auto。
端口上有用戶在線的情況下,若關閉端口安全,則在線用戶將會下線。
【舉例】
# 使能端口安全。
<Sysname> system-view
[Sysname] port-security enable
【相關命令】
· display port-security
· dot1x(安全命令參考/802.1X)
· dot1x port-control(安全命令參考/802.1X)
· dot1x port-method(安全命令參考/802.1X)
· mac-authentication(安全命令參考/MAC地址認證)
port-security escape critical-vsi命令用來開啟端口上的端口安全逃生到Critical VSI功能。
undo port-security escape critical-vsi命令用來關閉端口上的端口安全逃生到Critical VSI功能。
【命令】
port-security escape critical-vsi
undo port-security escape critical-vsi
【缺省情況】
端口上的端口安全逃生到Critical VSI功能處於關閉狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
要實現端口安全逃生到Critical VSI的功能,端口上需要配置對應的802.1X Critical VSI或MAC地址認證Critical VSI,否則逃生無法生效,802.1X用戶或MAC地址認證用戶不能訪問任何VXLAN中的資源。關於802.1X Critical VSI和MAC地址認證Critical VSI的詳細介紹和具體配置請參見“安全配置指導”中的“802.1X”、“MAC地址認證”。
在指定端口上配置端口逃生到Critical VSI時,請保證該端口上沒有Web認證、802.1X Guest VLAN、Auth-Fail VLAN、Critical VLAN或MAC地址認證的Guest VLAN、Critical VLAN的配置,否則端口逃生VSI無法成功配置。
在VXLAN網絡中,當802.1X或MAC地址認證接入用戶采用RADIUS遠程認證/授權方式,且RADIUS服務器異常(服務器可達但認證/授權失敗)時,可開啟端口安全逃生到Critical VSI功能。
開啟端口上的端口安全逃生到Critical VSI功能後:
· 設備本端口上新上線的802.1X和MAC地址認證用戶將無需認證,直接被自動授權訪問端口上的802.1X Critical VSI或MAC地址認證Critical VSI關聯的VXLAN;已在線的用戶不受影響。
· 如果同時配置了MAC地址認證的強製端口上授權了重定向URL的MAC地址認證用戶下線功能(通過mac-authentication critical vsi critical-vsi-name url-user-logoff命令,詳細配置請參見“安全配置指導”中的“MAC地址認證”),所有端口上被授權了重定向URL的MAC地址認證用戶將被強製下線。
如下情況中的新上線的802.1X或MAC地址認證用戶不支持逃生:
· 802.1X客戶端采用的認證類型(EAP中繼或EAP終結)與設備配置不一致;
· 802.1X用戶的MAC地址不在端口綁定的MAC地址綁定表項中;
· 用戶MAC地址為全0、全F(廣播MAC)和組播MAC。
關閉端口上的端口安全逃生到Critical VSI功能後:
· 若全局端口安全逃生到Critical VSI功能開啟,則通過該端口接入的Critical VSI內的用戶不會被刪除。
· 若全局端口安全逃生到Critical VSI功能未開啟,則通過該端口接入的Critical VSI內的用戶將會被刪除,用戶再上線時為正常的認證流程。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上開啟端口安全逃生到Critical VSI功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security escape critical-vsi
Please make sure the port is configured with the 802.1X and MAC authentication critical VSIs. Continue? [Y/N]:y
【相關命令】
· dot1x critical vsi(安全命令參考/802.1X)
· mac-authentication guest-vsi(安全命令參考/MAC地址認證)
· port-security global escape critical-vsi
· vsi(VXLAN命令參考/VXLAN)
port-security free-vlan命令用來配置端口安全的Free VLAN。
undo port-security free-vlan命令用來恢複缺省配置。
【命令】
port-security free-vlan vlan-id-list
undo port-security free-vlan vlan-id-list
【缺省情況】
未配置端口安全的Free VLAN,即開啟802.1X認證、MAC地址認證或配置了端口安全相關認證模式的端口接收的任意VLAN內的用戶報文都需要進行相應的認證。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
vlan-id-list:指定無需進行802.1X或MAC地址認證的VLAN列表。表示方式為vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值範圍為1~4094,vlan-id2的值要大於或等於vlan-id1的值,&<1-10>表示前麵的參數最多可以重複輸入10次。
【使用指導】
開啟802.1X認證、MAC地址認證或端口安全功能並配置了端口安全模式為userLogin、userLoginSecure、userLoginWithOUI、userLoginSecureExt、macAddressWithRadius、macAddressOrUserLoginSecure、macAddressElseUserLoginSecure、macAddressOrUserLoginSecureExt或macAddressElseUserLoginSecureExt時,若需要對指定VLAN的流量不進行認證,直接轉發,可配置端口安全的Free VLAN。
可以通過多次執行本命令,配置端口安全的多個Free VLAN。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1配置Free VLAN為VLAN 2和VLAN 3,即設備接收到這兩個VLAN內的報文不觸發802.1X或MAC地址認證。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security free-vlan 2 3
【相關命令】
· display port-security
port-security global escape critical-vsi命令用來開啟全局的端口安全逃生到Critical VSI功能。
undo port-security global escape critical-vsi命令用來關閉全局配置的端口安全逃生到Critical VSI功能。
【命令】
port-security global escape critical-vsi
undo port-security global escape critical-vsi
【缺省情況】
全局端口安全逃生到Critical VSI功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
要實現端口安全逃生到Critical VSI的功能,端口上需要配置對應的802.1X Critical VSI或MAC地址認證Critical VSI,否則逃生無法生效,802.1X用戶或MAC地址認證用戶不能訪問任何VXLAN中的資源。
配置全局逃生到Critical VSI時,請保證設備各端口上沒有Web認證、802.1X Guest VLAN、Auth-Fail VLAN、Critical VLAN或MAC地址認證的Guest VLAN、Critical VLAN的配置,否則該端口的逃生功能無法正常使用。
在VXLAN網絡中,當802.1X或MAC地址認證接入用戶采用RADIUS遠程認證/授權方式,且RADIUS服務器異常(服務器可達但認證/授權失敗)時,可開啟全局端口安全逃生到Critical VSI功能。
開啟全局的端口安全逃生到Critical VSI功能後:
· 設備所有端口上新上線的802.1X和MAC地址認證用戶將無需認證,直接被自動授權訪問對應端口上的802.1X Critical VSI或MAC地址認證Critical VSI關聯的VXLAN;已在線的用戶不受影響。
· 所有端口上被授權了重定向URL的MAC地址認證用戶將被強製下線。
如下情況中的新上線的802.1X或MAC地址認證用戶不支持逃生:
· 802.1X客戶端采用的認證類型(EAP中繼或EAP終結)與設備配置不一致;
· 802.1X用戶的MAC地址不在端口綁定的MAC地址綁定表項中;
· 用戶MAC地址為全0、全F(廣播MAC)和組播MAC。
關閉全局的端口安全逃生到Critical VSI功能後:
· 若端口上逃生到Critical VSI功能開啟,則通過該端口接入的Critical VSI內的用戶不會被刪除。
· 若端口上逃生到Critical VSI功能未開啟,則通過該端口接入的Critical VSI內的用戶將會被刪除,用戶再上線時為正常的認證流程。
【舉例】
# 開啟全局端口安全逃生到Critical VSI功能。
<Sysname> system-view
[Sysname] port-security global escape critical-vsi
Please make sure critical VSI settings exist. Continue? [Y/N]:y
【相關命令】
· dot1x critical vsi(安全命令參考/802.1X)
· mac-authentication guest-vsi(安全命令參考/MAC地址認證)
· port-security escape critical-vsi
· vsi(VXLAN命令參考/VXLAN)
port-security intrusion-mode命令用來配置入侵檢測特性,對接收到非法報文的端口采取相應的安全策略。
undo port-security intrusion-mode命令用來恢複缺省情況。
【命令】
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
undo port-security intrusion-mode
【缺省情況】
對接收到非法報文的端口不進行入侵檢測處理。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
blockmac:表示將非法報文的源MAC地址加入阻塞MAC地址列表中,源MAC地址為阻塞MAC地址的報文將被丟棄,實現在端口上過濾非法流量的作用。此MAC地址在被阻塞一段時間後恢複正常。阻塞時長可通過port-security timer blockmac命令配置。阻塞MAC地址列表可以通過display port-security mac-address block命令查看。
disableport:表示將收到非法報文的端口永久關閉。
disableport-temporarily:表示將收到非法報文的端口暫時關閉一段時間。關閉時長可通過port-security timer disableport命令配置。
【使用指導】
可以通過執行undo shutdown命令重新開啟被入侵檢測特性臨時或永久斷開的端口。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的入侵檢測特性檢測到非法報文後,將非法報文的源MAC地址置為阻塞MAC。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security intrusion-mode blockmac
【相關命令】
· display port-security
· display port-security mac-address block
· port-security timer blockmac
· port-security timer disableport
port-security m-lag load-sharing-mode命令用來配置M-LAG組網中M-LAG接口上用戶認證的負載分擔模式。
undo port-security m-lag load-sharing-mode命令用來恢複缺省情況。
【命令】
port-security m-lag load-sharing-mode { centralized | distributed { even-mac | local | odd-mac } }
undo port-security m-lag load-sharing-mode
【缺省情況】
M-LAG接口上用戶認證的負載分擔模式為集中處理模式。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
centralized:集中處理模式,本端和對端M-LAG接口上送的用戶報文都集中到M-LAG主設備處理。
distributed { even-mac | local | odd-mac }:分布處理模式及分布規則,M-LAG接口上的用戶報文根據分布規則分布到兩台M-LAG設備上處理。
even-mac:分布處理偶MAC用戶,本端和對端M-LAG接口上送的源MAC地址為偶數的用戶報文在本端M-LAG設備處理。
local:分布處理本地上送用戶,本端M-LAG接口上送的用戶報文在本端M-LAG設備處理。
odd-mac:分布處理奇MAC用戶,本端和對端M-LAG接口上送的源MAC地址為奇數的用戶報文在本端M-LAG設備處理。
【使用指導】
本命令僅對802.1X、MAC地址認證和Web認證用戶生效。
在M-LAG組網中,配置M-LAG接口上用戶認證的負載分擔模式後,若用戶在本端M-LAG設備上通過認證,需要將用戶數據同步發送到對端M-LAG設備進行備份。當一端M-LAG設備發生故障時,對端M-LAG設備可以使用備份的用戶數據接替處理業務,從而保證用戶業務的正常運行。
為保證所有M-LAG接口上送的用戶報文都有M-LAG設備處理,且同一用戶的報文同時隻在一台M-LAG設備上處理,可以按如下方式配置兩台M-LAG設備上用戶認證的負載分擔模式:
· 兩台M-LAG設備都配置集中處理模式。
· 兩台M-LAG設備都配置分布處理模式且分布規則為local。
· 兩台M-LAG設備都配置分布處理模式且其中一台M-LAG設備配置分布規則為odd-mac,另一台M-LAG設備配置分布規則為even-mac。
M-LAG場景下,兩台M-LAG設備通過交換各自的配置信息,檢查配置是否衝突,檢查過程不影響M-LAG設備轉發報文。若配置衝突,將不允許新用戶上線。
為防止配置衝突導致用戶下線,請勿在端口安全、802.1X、MAC地址認證或Web認證使能的情況下,修改M-LAG接口上用戶認證的負載分擔模式配置。
當指定M-LAG接口上用戶認證的負載分擔模式為local時,必須保證與M-LAG接口相連的接入設備上,配置的聚合負載分擔類型為按報文的目的IP地址進行聚合負載分擔、按報文的目的MAC地址進行聚合負載分擔、按報文的源IP地址進行聚合負載分擔或按報文的源MAC地址進行聚合負載分擔,否則會導致用戶數據處理異常。
對於802.1X認證場景,還必須保證與M-LAG接口相連的接入設備上配置缺省聚合負載分擔時忽略除報文的源MAC地址之外的其它字段。
集中處理模式下,如果M-LAG接口單邊接入,即當前M-LAG係統中僅一台M-LAG設備配置了M-LAG接口且由該M-LAG接口轉發流量,則端口安全不允許用戶從該M-LAG口上線。因此,在M-LAG接口單邊接入的情況下,為了保證用戶能夠正常上線,請不要配置集中處理模式。
關於M-LAG的詳細介紹請參見“二層技術-以太網交換配置指導”中的“M-LAG”;關於聚合負載分擔的詳細介紹請參見“二層技術-以太網交換配置指導”中的“以太網鏈路聚合”。
【舉例】
# 配置M-LAG接口上用戶認證的負載分擔模式為分布處理本地上送用戶。
<Sysname> system-view
[Sysname] port-security m-lag load-sharing-mode distributed local
Changing the load sharing mode will log off all online users on M-LAG interfaces. Continue? [Y/N]:y
[Sysname]
【相關命令】
· display port-security
· link-aggregation global load-sharing mode(二層技術-以太網交換命令參考/以太網鏈路聚合)
· link-aggregation load-sharing ignore(二層技術-以太網交換命令參考/以太網鏈路聚合)
port-security mac-address aging-type inactivity命令用來配置安全MAC地址的老化方式為無流量老化。
undo port-security mac-address aging-type inactivity命令用來恢複缺省情況。
【命令】
port-security mac-address aging-type inactivity
undo port-security mac-address aging-type inactivity
【缺省情況】
安全MAC地址按照配置的老化時間進行老化,即在安全MAC地址的老化時間到達後立即老化,不論該安全MAC地址是否還有流量產生。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
無流量老化方式下,設備會定期檢測端口上的安全MAC地址是否有流量產生,若某安全MAC地址在一定的老化檢測周期內沒有任何流量產生,則將會被老化,否則該安全MAC地址不會被老化,並在下一個老化檢測周期內重複該檢測過程。下一個周期內若還有流量產生則繼續保持該安全MAC地址的學習狀態,該方式可有效避免非法用戶通過仿冒合法用戶MAC地址乘機在合法用戶的安全MAC地址老化時間到達之後占用端口資源。
在二層以太網接口上,老化檢測機製由port-security timer autolearn aging命令配置的安全MAC地址老化時間決定:
· 如果配置的老化時間大於等於60秒,則老化檢測周期為30秒。若某安全MAC地址在N個連續的老化檢測周期內無流量產生,則將會被老化。N為老化時間以半分鍾向上取整。例如,安全MAC地址老化時間為80秒,則N為3。
· 如果配置的老化時間小於60秒,則老化檢測周期就等於老化時間。若某安全MAC地址在老化檢測周期內無流量產生,則將會被老化。
在二層聚合接口上,老化檢測機製由port-security timer autolearn aging命令配置的安全MAC地址老化時間和補償時間共同決定:
· 如果配置的老化時間大於等於60秒,則老化檢測周期為30秒。若某安全MAC地址在N個連續的老化檢測周期+“補償時長”內無流量產生,則才會被老化。其中,補償時長為固定的90秒,用於提高對二層聚合成員端口上安全MAC地址流量檢測的準確度;N為老化時間以半分鍾向上取整。
例如,安全MAC地址老化時間為80秒,則N為3。那麼當該安全MAC地址在(3*30+90)180秒內無流量產生時,才會被老化;否則,進入下一個檢測周期,且後續不再增加補償時長。
· 如果配置的老化時間小於60秒,則老化檢測周期就等於老化時間。若某安全MAC地址在老化檢測周期內無流量產生,則將會被老化。
需要注意的是,配置了安全MAC地址為無流量老化之後,由於補償機製的存在,第一輪檢測過程中,二層聚合接口上的安全MAC地址的實際存活時間會包含補償時長。
此命令僅對於Sticky MAC地址以及動態類型的安全MAC地址有效。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的安全MAC地址的老化方式為無流量老化。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security mac-address aging-type inactivity
【相關命令】
· display port-security
port-security mac-address dynamic命令用來將Sticky MAC地址設置為動態類型的安全MAC地址。
undo port-security mac-address dynamic命令用來恢複缺省情況。
【命令】
port-security mac-address dynamic
undo port-security mac-address dynamic
【缺省情況】
端口學習到的是Sticky類型的安全MAC,它能夠被保存在配置文件中,設備重啟後也不會丟失。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
動態類型的安全MAC地址不會被保存在配置文件中,可通過執行display port-security mac-address security命令查看到,設備重啟之後會丟失。在不希望設備上保存重啟之前端口上已有的Sticky MAC地址的情況下,可將其設置為動態類型的安全MAC地址。
本命令成功執行後,指定端口上的Sticky MAC地址會立即被轉換為動態類型的安全MAC地址,且將不能手工添加Sticky MAC地址。之後,若成功執行對應的undo命令,該端口上的動態類型的安全MAC地址會立即轉換為Sticky MAC地址,且用戶可以手工添加Sticky MAC地址。
【舉例】
# 將端口Ten-GigabitEthernet1/0/1上的Sticky MAC地址設置為動態類型的安全MAC地址。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security mac-address dynamic
【相關命令】
· display port-security
· display port-security mac-address security
port-security mac-address security命令用來添加安全MAC地址。
undo port-security mac-address security命令用來刪除指定的安全MAC地址。
【命令】
在二層以太網接口/二層聚合接口視圖下:
port-security mac-address security [ sticky ] mac-address vlan vlan-id
undo port-security mac-address security [ sticky ] mac-address vlan vlan-id
在係統視圖下:
port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id
undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]
【缺省情況】
未配置安全MAC地址。
【視圖】
係統視圖
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
sticky:表示要添加一個可老化的安全MAC地址(Sticky MAC地址)。若不指定本參數,則表示添加的是一個不老化的靜態安全MAC地址。
mac-address:安全MAC地址,格式為H-H-H。
interface interface-type interface-number:指定添加安全MAC地址的接口。其中,interface-type interface-number表示接口類型和接口編號。
vlan vlan-id:指定安全MAC地址所屬的VLAN。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
【使用指導】
Sticky MAC地址的老化時間可通過port-security timer autolearn aging命令配置。當Sticky MAC地址的老化時間到達時,Sticky MAC地址即被刪除。
手工配置添加的安全MAC地址在保存配置並設備重啟後,不會被刪除。因此,可以將網絡中一些已知的、固定要接入某端口的主機或設備的MAC地址添加為安全MAC地址,這樣在端口處於autoLearn安全模式時,此類源MAC地址為安全MAC地址的主機或設備的報文將被允許通過指定端口,而且還可避免與其它通過自動方式學習到端口上的MAC地址的報文爭奪資源而被拒絕接收。
成功添加安全MAC地址的前提為:端口安全處於開啟狀態;端口的端口安全模式為autoLearn;當前的端口允許指定的VLAN通過或已加入該VLAN,且該VLAN已存在。
已添加的安全MAC地址,除非首先將其刪除,否則不能重複添加或者修改其地址類型,例如已經在某端口上添加了一條安全MAC地址port-security mac-address security 1-1-1 vlan 10,則不能再添加一條安全MAC地址port-security mac-address security sticky 1-1-1 vlan 10。
所有的靜態安全MAC地址均不老化,除非被管理員通過命令行手工刪除,或因為配置的改變(端口的安全模式被改變,或端口安全功能被關閉)而被係統自動刪除。
【舉例】
# 使能端口安全,配置端口Ten-GigabitEthernet1/0/1的安全模式為autoLearn,並指定端口安全允許的最大MAC地址數為100。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security max-mac-count 100
[Sysname-Ten-GigabitEthernet1/0/1] port-security port-mode autolearn
# 為該端口添加一條Sticky MAC地址0001-0002-0003,該安全MAC地址屬於VLAN 4。
[Sysname-Ten-GigabitEthernet1/0/1] port-security mac-address security sticky 0001-0002-0003 vlan 4
[Sysname-Ten-GigabitEthernet1/0/1] quit
# 在係統視圖下為端口Ten-GigabitEthernet1/0/1添加一條安全MAC地址0001-0001-0002,該安全MAC地址屬於VLAN 10。
[Sysname] port-security mac-address security 0001-0001-0002 interface ten-gigabitethernet 1/0/1 vlan 10
【相關命令】
· display port-security
· port-security timer autolearn aging
port-security mac-limit命令用來設置端口上指定VLAN內端口安全功能允許同時接入的最大MAC地址數。
undo port-security mac-limit命令用來恢複缺省情況。
【命令】
port-security mac-limit max-number per-vlan vlan-id-list
undo port-security mac-limit max-number per-vlan vlan-id-list
【缺省情況】
端口上端口安全功能允許同時接入的最大MAC地址數為2147483647。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
max-number:端口上端口安全功能允許同時接入的MAC地址數的最大值,取值範圍為1~2147483647。
per-vlan vlan-id-list:指定VLAN列表內每個VLAN內允許同時接入的MAC地址數的最大值。表示方式為vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值範圍為1~4094,vlan-id2的值要大於或等於vlan-id1的值,&<1-10>表示前麵的參數最多可以重複輸入10次。
【使用指導】
端口上端口安全功能允許接入的MAC地址包括:
· 端口上MAC地址認證成功用戶的MAC地址;MAC地址認證Guest VLAN、Critical VLAN中用戶的MAC地址;MAC地址認證Guest VSI和Critical VSI中的用戶的MAC地址;MAC地址認證Critical微分段中的用戶的MAC地址。
· 802.1X認證成功用戶的MAC地址;802.1X認證Guest VLAN、Auth-Fail VLAN、Critical VLAN中用戶的MAC地址;802.1X認證Guest VSI、Auth-Fail VSI、Critical VSI中用戶的MAC地址。
· Web認證成功用戶的MAC地址,Web認證Auth-Fail VLAN中用戶的MAC地址。
由於係統資源有限,如果當前端口上允許接入的MAC地址數過多,接入MAC地址之間會發生資源的爭用,因此適當地配置該值可以使屬於當前端口的用戶獲得可靠的性能保障。當指定VLAN內,端口允許接入的MAC地址數超過最大值後,該VLAN內新接入的MAC地址將被拒絕。
通過本命令配置端口上指定VLAN內端口安全功能允許同時接入的最大MAC地址數,不能小於當前端口上相應VLAN已存在的MAC地址數;否則,本次配置不生效。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1上,VLAN 1、VLAN 5和VLAN 10~VLAN 20上每個VLAN最多允許同時接入32個MAC地址認證或802.1X認證用戶。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security mac-limit 32 per-vlan 1 5 10 to 20
【相關命令】
· display mac-authentication
· display dot1x
port-security mac-move bypass-vlan-check命令用來開啟MAC遷移時不檢查VLAN功能。
undo port-security mac-move bypass-vlan-check命令用來恢複缺省情況。
【命令】
port-security mac-move bypass-vlan-check
undo port-security mac-move bypass-vlan-check
【缺省情況】
MAC遷移時不檢查VLAN功能處於關閉狀態,即當上線用戶通過MAC遷移方式在本端口進行認證時,設備會檢查用戶所在VLAN是否包含在本端口所允許通過的VLAN中。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
端口安全認證模板視圖
【缺省用戶角色】
network-admin
【使用指導】
如果設備開啟了MAC遷移功能,且用戶上線的端口配置了MAC VLAN,則建議在MAC遷移的目的端口開啟本功能。
端口開啟MAC VLAN功能後,若用戶上線成功並授權了VLAN,則當用戶通過MAC遷移方式在其它端口上線時,用戶發送的802.1X或MAC地址認證報文中會攜帶初始認證端口授權的VLAN信息。此時新端口會對用戶認證的報文中攜帶的VLAN信息進行檢查,如果用戶所在VLAN不在新端口允許通過的VLAN範圍內,則不允許用戶進行MAC遷移。執行port-security mac-move bypass-vlan-check命令後,新端口不對用戶認證的報文中攜帶的VLAN信息進行檢查,不論用戶所在VLAN是否在端口允許通過的VLAN範圍內,都允許用戶進行MAC遷移。
當在Trunk類型端口下開啟MAC遷移時不檢查VLAN功能,並對用戶進行802.1X認證時,需要執行dot1x eapol untag命令配置端口發送802.1X協議報文不攜帶VLAN Tag功能。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1下開啟MAC遷移時不檢查VLAN功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security mac-move bypass-vlan-check
【相關命令】
· display port-security
· dot1x eapol untag(安全命令參考/802.1X)
· port-security mac-move permit
port-security mac-move permit命令用來開啟允許MAC遷移功能。
undo port-security mac-move permit命令用來關閉允許MAC遷移功能。
【命令】
port-security mac-move permit [ port | vlan ]
undo port-security mac-move permit
【缺省情況】
允許MAC遷移功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
port:表示允許用戶進行端口遷移。
vlan:表示允許用戶進行VLAN遷移。
【使用指導】
允許MAC遷移功能是指,允許在線的802.1X用戶、MAC地址認證用戶或Web認證用戶遷移到設備的其它端口上或遷移到同一端口下的其它VLAN(指不同於上一次發起認證時所在的VLAN)接入後可以重新認證上線。
遷移到其它端口上接入的功能對係統中的所有802.1X認證用戶和MAC地址認證用戶生效:
· MAC遷移功能處於關閉狀態時,如果用戶從某一端口上線成功,則該用戶在未從當前端口下線的情況下無法在設備的其它端口上(無論該端口是否與當前端口屬於同一VLAN)發起認證,也無法上線。
· MAC遷移功能處於開啟狀態時,如果用戶從某一端口上線成功,則允許該在線用戶在設備的其它端口上(無論該端口是否與當前端口屬於同一VLAN)發起認證。如果該用戶在後接入的端口上認證成功,則當前端口會將該用戶立即進行下線處理(不論用戶在當前端口上通過哪種方式進行認證),保證該用戶僅在一個端口上處於上線狀態。
遷移到同一端口下其它VLAN接入的功能隻在用戶報文攜帶VLAN Tag的情況下生效:
· MAC遷移功能處於關閉狀態時,在用戶報文攜帶VLAN Tag的情況下,如果用戶從端口下的某個VLAN上線成功,則當該用戶遷移到同一端口下的其它VLAN內發起認證時,用戶認證失敗。
· MAC遷移功能處於開啟狀態時,在用戶報文攜帶VLAN Tag的情況下,如果用戶從端口下的某個VLAN上線成功,則當該用戶遷移到同一端口下的其它VLAN內發起認證時,用戶認證成功,並且端口會對遷移前的在線用戶立即進行下線處理,保證該用戶僅在一個VLAN上處於上線狀態。
如果用戶進行MAC地址遷移前,服務器在線用戶數已達到上限,則用戶MAC地址遷移不成功。
對於遷移到同一端口下的其它VLAN內接入的用戶,MAC地址認證的多VLAN模式優先級高於MAC遷移功能。當開啟端口的多VLAN模式(通過mac-authentication host-mode multi-vlan命令)後,設備直接允許用戶在新的VLAN通過,無需再次認證。
如果不指定任何參數,則表示同時開啟端口遷移和VLAN遷移功能。
【舉例】
# 開啟允許MAC遷移功能。
<Sysname> system-view
[Sysname] port-security mac-move permit
【相關命令】
· display port-security
· mac-authentication host-mode(安全命令參考/MAC地址認證)
port-security max-mac-count命令用來設置端口安全允許的最大安全MAC地址數。
undo port-security max-mac-count命令用來恢複缺省情況。
【命令】
port-security max-mac-count max-count [ vlan [ vlan-id-list ] ]
undo port-security max-mac-count [ vlan [ vlan-id-list ] ]
【缺省情況】
端口安全不限製本端口可保存的最大安全MAC地址數。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
max-count:端口允許的最大安全MAC地址數,取值範圍為1~2147483647。端口安全允許的最大安全MAC地址數不能小於當前端口下已保存的MAC地址數。
vlan [ vlan-id-list ]:指定端口所屬VLAN。vlan-id-list是VLAN列表,表示方式為vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值範圍為1~4094,&<1-10>表示前麵的參數最多可以重複輸入10次。vlan-id2的值必須大於或等於vlan-id1的值。若不指定vlan參數,則表示限製當前端口上允許的最大安全MAC地址數。若不指定vlan-id-list,則表示限製當前端口上每個VLAN內允許通過的最大安全MAC地址數。
【使用指導】
對於autoLearn安全模式,端口允許的最大安全MAC地址數由本命令配置,包括端口上學習到的以及手工配置的安全MAC地址數;對於采用802.1X、MAC地址認證或者兩者組合形式的認證類安全模式,端口允許的最大用戶數取本命令配置的值與相應模式下允許認證用戶數的最小值。例如,userLoginSecureExt模式下,端口下所允許的最大安全MAC地址數為配置的端口安全允許的最大安全MAC地址數與802.1X認證所允許的最大用戶數的最小值。
當端口工作於autoLearn模式時,無法更改端口安全允許的最大安全MAC地址數。
vlan [ vlan-id-list ]參數配置僅對端口安全的autolearn模式生效。
端口允許的VLAN內最大安全MAC地址數不能小於當前VLAN內已保存的MAC地址數。
對於端口上的同一VLAN,後配置的最大安全MAC地址數覆蓋前麵配置的最大安全MAC地址數。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上配置端口安全允許的最大安全MAC地址數為100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security max-mac-count 100
【相關命令】
· display port-security
port-security nas-id-profile命令用來指定全局/端口引用的NAS-ID Profile。
undo port-security nas-id-profile命令用來恢複缺省情況。
【命令】
port-security nas-id-profile profile-name
undo port-security nas-id-profile
【缺省情況】
未指定引用的NAS-ID Profile。
【視圖】
係統視圖
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:標識指定VLAN和NAS-ID綁定關係的Profile名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具體情況請參考“安全命令參考”中的“AAA”。
NAS-ID Profile可以在係統視圖下或者接口視圖下進行配置引用,接口上的配置優先,若接口上沒有配置,則使用係統視圖下的全局配置。
如果指定了NAS-ID Profile,則此Profile中定義的綁定關係優先使用;如果未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係,則使用設備名作為NAS-ID。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上指定名為aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security nas-id-profile aaa
# 在係統視圖下指定名為aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] port-security nas-id-profile aaa
【相關命令】
· aaa nas-id profile(安全命令參考/AAA)
port-security ntk-mode命令用來配置端口Need To Know特性。
undo port-security ntk-mode命令用來恢複缺省情況。
【命令】
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkauto | ntkonly }
undo port-security ntk-mode
【缺省情況】
端口未配置Need To Know特性,即所有報文都可成功發送。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
ntk-withbroadcasts:允許廣播地址報文、目的MAC地址為已知MAC地址的單播報文通過。
ntk-withmulticasts:允許廣播地址報文、組播地址報文和目的MAC地址為已知MAC地址的單播報文通過。
ntkauto:僅當有用戶上線後,才允許廣播地址報文、組播地址報文和目的MAC地址為已知MAC地址的單播報文通過。
ntkonly:僅允許目的MAC地址為已知MAC地址的單播報文通過。
【使用指導】
Need To Know特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀隻能被發送到已知MAC地址的設備或主機上,從而防止非法設備竊聽網絡數據。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的Need To Know特性為ntkonly,即僅允許目的MAC地址為已知MAC地址的單播報文通過。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security ntk-mode ntkonly
【相關命令】
· display port-security
port-security oui命令用來配置允許通過認證的用戶的OUI值。
undo port-security oui命令用來刪除指定索引的OUI值。
【命令】
port-security oui index index-value mac-address oui-value
undo port-security oui index index-value
【缺省情況】
不存在允許通過認證的用戶OUI值。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
index-value:標識此OUI的索引值,取值範圍為1~16。
oui-value:OUI值,輸入格式為H-H-H的48位MAC地址。係統會自動取輸入的前24位作為OUI值,忽略後24位。
【使用指導】
OUI是MAC地址的前24位(二進製),是IEEE為不同設備供應商分配的一個全球唯一的標識符。當需要允許某些廠商的設備(如IP電話或打印機)無需認證即可接入網絡時,則可以通過本命令來指定這些設備的OUI值。
可通過多次執行本命令,配置多個OUI值。
配置的OUI值隻在端口安全模式為userLoginWithOUI時生效。在userLoginWithOUI模式下,端口上除了允許一個802.1X認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC地址的OUI與設備上配置的某個OUI值相符。
【舉例】
# 配置一個允許通過認證的用戶OUI值為000d2a,索引為4。
<Sysname> system-view
[Sysname] port-security oui index 4 mac-address 000d-2a10-0033
【相關命令】
· display port-security
port-security packet-detect arp-source-ip factor命令用來配置計算ARP探測報文源IP地址所需的地址和掩碼。
undo port-security packet-detect arp-source-ip factor命令用來恢複缺省情況。
【命令】
port-security packet-detect arp-source-ip factor ip-address { mask | mask-length }
undo port-security packet-detect arp-source-ip factor
【缺省情況】
未配置計算ARP探測報文源IP地址所需的地址和掩碼,ARP探測報文的源IP地址固定為0.0.0.0。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip-address { mask | mask-length }:指定計算ARP探測報文源IP地址所需的地址和掩碼。mask表示IP地址的掩碼,點分十進製形式,掩碼不能配置為255.255.255.255;mask-length表示IP地址的掩碼長度,取值範圍為0~31。
【使用指導】
缺省情況下,設備使用0.0.0.0作為ARP探測報文的源IP地址,但網絡中可能存在部分用戶不支持回應源IP地址為0.0.0.0的ARP探測報文,此時可以通過本命令中指定的IP地址和用戶IP地址計算出新的源IP地址。
ARP探測報文的源IP地址由用戶地址和本命令中指定的IP地址計算得出,計算公式為:IP = (用戶IP & 配置mask) | (配置IP & ~配置mask),其中“~mask”表示反向掩碼,如255.255.255.0的反向掩碼為0.0.0.255。例如,當用戶IP地址為192.168.8.1/24時,如果本命令配置的IP地址為1.1.1.11/255.255.255.0,則ARP探測報文的源IP地址為192.168.8.11/24。
本命令配置的IP地址的掩碼長度必須大於或等於用戶IP地址的掩碼長度,且掩碼不能配置為255.255.255.255,否則將導致ARP探測報文的源IP地址與目的IP地址相同。
本命令僅對配置後上線的新用戶生效。
【舉例】
# 配置計算ARP探測報文源IP地址所需的地址和掩碼為0.0.0.11/24。
<Sysname> system-view
[Sysname] port-security packet-detect arp-source-ip factor 0.0.0.11 24
【相關命令】
· mac-authentication packet-detect retry
· dot1x packet-detect retry
port-security port-mode命令用來配置端口安全模式。
undo port-security port-mode命令用來恢複缺省情況。
【命令】
port-security port-mode { autolearn | mac-and-userlogin-secure-ext | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }
undo port-security port-mode
【缺省情況】
端口處於noRestrictions模式,此時該端口的安全功能關閉,端口處於不受端口安全限製的狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
表1-12 安全模式的參數解釋表
|
參數 |
安全模式 |
說明 |
|
autolearn |
autoLearn |
端口可通過手工配置或自動學習MAC地址。手工配置或自動學習到的MAC地址被稱為安全MAC,並被添加到安全MAC地址表中 當端口下的安全MAC地址數超過端口安全允許的最大安全MAC地址數後,端口模式會自動轉變為secure模式。之後,該端口停止添加新的安全MAC,隻有源MAC地址為安全MAC地址、通過命令mac-address dynamic或mac-address static手工配置的MAC地址的報文,才能通過該端口 |
|
mac-and-userlogin-secure-ext |
macAddressAndUserLoginSecureExt |
對接入用戶先進行MAC地址認證,認證成功後作為臨時MAC地址認證用戶,僅能訪問802.1X Guest VLAN或Guest VSI的資源。之後,端口收到同一MAC地址的802.1X協議報文時,再進行802.1X認證。802.1X認證成功後,臨時MAC地址認證用戶下線,802.1X用戶上線成功 |
|
mac-authentication |
macAddressWithRadius |
對接入用戶采用MAC地址認證 此模式下,端口允許多個用戶接入 |
|
mac-else-userlogin-secure |
macAddressElseUserLoginSecure |
端口同時處於macAddressWithRadius模式和userLoginSecure模式,但MAC地址認證優先級大於802.1X認證。允許端口下一個802.1X認證用戶及多個MAC地址認證用戶接入 非802.1X報文直接進行MAC地址認證。802.1X報文先進行MAC地址認證,如果MAC地址認證失敗再進行802.1X認證 |
|
mac-else-userlogin-secure-ext |
macAddressElseUserLoginSecureExt |
與macAddressElseUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|
secure |
secure |
禁止端口學習MAC地址,隻有源MAC地址為端口上的安全MAC地址、手工配置的MAC地址的報文,才能通過該端口 |
|
userlogin |
userLogin |
對接入用戶采用基於端口的802.1X認證 此模式下,端口下的第一個802.1X用戶認證成功後,其它用戶無須認證就可接入 |
|
userlogin-secure |
userLoginSecure |
對接入用戶采用基於MAC地址的802.1X認證 此模式下,端口最多隻允許一個802.1X認證用戶接入 |
|
userlogin-secure-ext |
userLoginSecureExt |
對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
|
userlogin-secure-or-mac |
macAddressOrUserLoginSecure |
端口同時處於userLoginSecure模式和macAddressWithRadius模式,且允許一個802.1X認證用戶及多個MAC地址認證用戶接入 此模式下,802.1X認證優先級大於MAC地址認證:報文首先觸發802.1X認證,默認情況下,如果802.1X認證失敗再進行MAC地址認證;若開啟了端口的MAC地址認證和802.1X認證並行處理功能,則端口配置了802.1X單播觸發功能的情況下,當端口收到源MAC地址未知的報文,會向該MAC地址單播發送EAP-Request幀來觸發802.1X認證,但不等待802.1X認證處理完成,就同時進行MAC地址認證 |
|
userlogin-secure-or-mac-ext |
macAddressOrUserLoginSecureExt |
與macAddressOrUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|
userlogin-withoui |
userLoginWithOUI |
與userLoginSecure模式類似,但端口上除了允許一個802.1X認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC的OUI與設備上配置的OUI值相符 此模式下,報文首先進行OUI匹配,OUI匹配失敗的報文再進行802.1X認證,OUI匹配成功和802.1X認證成功的報文都允許通過端口 |
二層以太網聚合接口不支持配置secure、userlogin-withoui模式。
【使用指導】
端口安全模式與端口下的802.1X認證使能、端口接入控製方式、端口授權狀態以及端口下的MAC地址認證使能配置互斥。
當端口安全已經使能且當前端口安全模式不是noRestrictions時,若要改變端口安全模式,必須首先執行undo port-security port-mode命令恢複端口安全模式為noRestrictions模式。
配置端口安全autoLearn模式時,首先需要通過命令port-security max-mac-count(不指定VLAN參數)設置當前端口上允許的最大安全MAC地址數。
端口上有用戶在線的情況下,端口安全模式無法改變。
開啟了MAC地址認證延遲功能的端口上不建議同時配置端口安全的模式為mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否則MAC地址認證延遲功能不生效。MAC地址認證延遲功能的具體配置請參見“安全命令參考”中的“MAC地址認證”。
配置端口安全macAddressAndUserLoginSecureExt模式時,為了保證802.1X客戶端可以發起認證,建議通過dot1x unicast-trigger命令開啟端口上的802.1X單播觸發功能。此模式下,MAC地址認證的Guest VLAN或Guest VSI不生效,如有需要請配置802.1X Guest VLAN或Guest VSI。此外,配置本模式後,如果不需要對臨時MAC地址認證用戶進行計費,請單獨為MAC地址認證用戶配置ISP域,並指定計費方式為不計費。
端口安全處於macAddressAndUserLoginSecureExt認證模式下時,如果配置了802.1X Guest VLAN功能,必須通過port-security mac-move permit命令開啟允許VLAN遷移功能,否則當初始VLAN和Guest VLAN不同時,MAC地址認證成功後,用戶無法再通過802.1X認證上線。
【舉例】
# 使能端口安全,並配置端口Ten-GigabitEthernet1/0/1的端口安全模式為secure。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security port-mode secure
# 將端口Ten-GigabitEthernet1/0/1的端口安全模式改變為userLogin。
[Sysname-Ten-GigabitEthernet1/0/1] undo port-security port-mode
[Sysname-Ten-GigabitEthernet1/0/1] port-security port-mode userlogin
【相關命令】
· display port-security
· port-security max-mac-count
port-security pre-auth domain命令用來配置端口安全用戶的認證前域。
undo port-security pre-auth domain命令用來恢複缺省情況。
【命令】
port-security pre-auth domain isp-name
undo port-security pre-auth domain
【缺省情況】
未配置端口安全用戶的認證前域。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
端口安全認證模板視圖
【缺省用戶角色】
network-admin
【參數】
isp-name:ISP域名,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指導】
認證前域是指,802.1X用戶、MAC地址認證以及Web地址用戶進入認證流程前所處的ISP域。認證前域應用場景包括:
· 首次接入網絡(僅適用於802.1X、Web認證用戶);
· 認證失敗且未配置認證失敗域;
· 服務器不可達且未配置逃生域。
接口上配置了認證前域時,在此接口上接入的認證用戶將被授予指定認證前域內配置的相關授權屬性(目前包括ACL、VLAN、VSI和微分段),並根據授權信息獲得相應的網絡訪問權限。若此用戶後續認證成功,則會被AAA下發新的授權信息。
如果當前認證前域中的ACL、VLAN、VSI和微分段授權配置發生變化,則新配置僅對新生成的認證前用戶生效,已經存在的用戶繼續使用舊配置。
當接口下同時使能802.1X和MAC地址認證功能時,MAC地址認證失敗且未配置認證失敗域,如果此時觸發802.1X認證,用戶仍將以MAC地址認證用戶身份加入前域。
802.1X用戶和MAC地址認證用戶支持前域授權VLAN、ACL、VSI和微分段ID,Web認證用戶支持前域授權VLAN、ACL和微分段ID。
前域用戶屬於在線用戶,會占用接口的在線用戶數量。
前域用戶不支持DM、COA、session-control等AAA服務器觸發的功能。
【舉例】
# 配置端口安全用戶的認證前域為bbb。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security pre-auth domain bbb
【相關命令】
· display port-security
port-security static-user命令用來配置端口接入認證的靜態用戶。
undo port-security static-user命令用來恢複缺省情況。
【命令】
port-security static-user { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ domain isp-name | [ interface interface-type interface-number [ detect ] ] vlan vlan-id | mac mac-address | keep-online ] *
undo port-security static-user { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
【缺省情況】
未配置靜態用戶。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip:指定靜態用戶的IPv4地址。
ipv6:指定靜態用戶的IPv6地址。
start-ip-address [ end-ip-address ]:指定靜態用戶所屬的IP地址範圍。start-ip-address表示IP地址範圍的起始地址,end-ip-address表示IP地址範圍的結束地址。如果僅指定start-ip-address參數,而未指定end-ip-address參數,則表示靜態用戶的IP地址為start-ip-address。
vpn-instance vpn-instance-name:指定靜態用戶接入的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示指定公網。
domain isp-name:指定靜態用戶所屬的ISP域。isp-name表示ISP域名,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
interface interface-type interface-number:指定靜態用戶所屬接口。其中,interface-type表示接口類型,interface-number表示接口編號。
detect:指定允許設備定期發送ARP報文觸發未上線靜態用戶進行認證。
vlan vlan-id:指定靜態用戶所屬的VLAN。vlan-id表示靜態用戶當前所屬VLAN的VLAN ID,取值範圍為1~4094。
mac mac-address:指定靜態用戶的MAC地址。mac-address表示靜態用戶的MAC地址,格式為H-H-H。keep-online:指定該靜態用戶保持在線,不對其進行下線探測。如果未指定本參數,則表示開啟靜態用戶下線探測功能。
【使用指導】
配置本功能時,需要注意:
· 公網或同一私網下,配置靜態用戶的IP地址範圍不能相互重疊。
· 通過undo port-security static-user命令刪除靜態用戶配置時,刪除的IP地址範圍必須與配置命令完全一致,不能僅刪除配置的IP地址範圍中的一部分地址。
· 新配置隻對未上線的靜態用戶生效,刪改配置不會影響在線靜態用戶的狀態。
設備支持配置的靜態用戶數為50000個。
當接口達到靜態用戶最大數限製時,新接入的靜態用戶無法上線,且用戶也不會通過其它類型的接入認證方式上線。
【舉例】
# 配置靜態用戶的IP地址範圍是20.20.20.20~20.20.20.30,IP地址處於該範圍內的用戶可作為靜態用戶認證上線。
<Sysname> system-view
[Sysname] port-security static-user ip 20.20.20.20 20.20.20.30
【相關命令】
· display port-security static-user
port-security static-user match-mac acl用來配置靜態用戶MAC地址的匹配規則。
undo port-security static-user match-mac acl命令用來恢複缺省情況。
【命令】
port-security static-user match-mac acl acl-number
undo port-security static-user match-mac acl
【缺省情況】
未配置靜態用戶MAC地址的匹配規則。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
配置靜態用戶的IP地址範圍後,匹配上靜態用戶IP的終端能作為靜態用戶認證上線,但在實際使用中存在以下問題:
· 終端發送的第一個報文不可控,當終端首先發送的是不攜帶IP地址的二層報文時,終端無法匹配上靜態用戶的IP,反而會先觸發MAC地址認證。
· 當用戶終端支持IPv4和IPv6雙棧協議時,如果僅配置了靜態用戶的IPv4地址,但終端首先發送的是IPv6報文,則同樣會先觸發MAC地址認證。
為了解決如上問題,可以選擇將MAC地址作為靜態用戶的匹配條件。
配置本功能後,MAC地址匹配上指定ACL規則的用戶將隻允許作為靜態用戶認證上線,不允許觸發其它方式的認證。
本命令中指定的ACL必須是二層ACL,且隻能配置指定源MAC地址範圍的permit類型的規則。
【舉例】
# 配置靜態用戶MAC地址的匹配規則為ACL 4001。
<Sysname> system-view
[Sysname] port-security static-user match-mac acl 4001
【相關命令】
· port-security static-user
· acl
port-security static-user max-user命令用來配置端口上最多允許同時接入的靜態用戶數。
undo port-security static-user max-user命令用來恢複缺省情況。
【命令】
port-security static-user max-user max-number
undo port-security static-user max-user
【缺省情況】
端口上最多允許同時接入的靜態用戶數為4294967295。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
max-number:端口允許同時接入的靜態用戶數的最大值,取值範圍為1~4294967295。
【使用指導】
由於係統資源有限,如果當前端口上接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使屬於當前端口的用戶獲得可靠的性能保障。當接入此端口的靜態用戶數達到最大值後,新接入的靜態用戶將被拒絕通過此端口上線。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1最多允許同時接入32個靜態用戶。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[sysname-Ten-GigabitEthernet1/0/1] port-security static-user max-user 32
【相關命令】
· display port-security static-user
port-security static-user password命令配置靜態用戶密碼
undo port-security static-user password命令用來恢複缺省情況。
【命令】
port-security static-user password { cipher | simple } string
undo port-security static-user password
【缺省情況】
未配置靜態用戶密碼。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:字符串形式,區分大小寫,字符串中不能包含“?”和空格。明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串。
【使用指導】
通過本命令配置靜態用戶的密碼,靜態用戶觸發認證後,接入設備會將配置的密碼發送到認證服務器進行認證。
本功能僅對配置成功後新上線的用戶生效。
【舉例】
# 配置靜態用戶的明文密碼為123456。
<Sysname> system-view
[Sysname] port-security static-user password simple 123456
【相關命令】
· display port-security static-user
port-security static-user timer detect-period命令用來配置設備主動發送ARP報文觸發靜態用戶認證的周期。
undo port-security static-user timer detect-period命令用來恢複缺省情況。
【命令】
port-security static-user timer detect-period time-value
undo port-security static-user timer detect-period
【缺省情況】
設備主動發送ARP報文觸發靜態用戶認證的周期為3分鍾。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:表示設備主動發送ARP報文觸發靜態用戶認證的周期,取值範圍為60~2147483647,單位為秒。
【使用指導】
通過port-security static-user命令配置靜態用戶信息時,如果指定了detect參數,則表示開啟ARP探測功能。配置ARP探測定時器的值後,設備會每隔此時間間隔對port-security static-user命令配置的IP地址發送ARP報文,觸發未上線靜態用戶進行認證。
如果配置的靜態用戶數量過多,建議將ARP探測定時器設置為較大值,避免第一輪IP地址未全部探測完就開啟了第二輪探測。
通過本命令修改ARP探測周期後,新配置需要等待已觸發的探測超時後才生效。
【舉例】
# 配置設備主動發送ARP報文觸發靜態用戶認證的周期為100秒。
<Sysname> system-view
[Sysname] port-security static-user timer detect-period 100
【相關命令】
· display port-security static-user
port-security static-user timer offline-detect命令用來配置靜態用戶下線檢測定時器的值。
undo port-security static-user timer offline-detect命令用來恢複缺省情況。
【命令】
port-security static-user timer offline-detect time-value
undo port-security static-user timer offline-detect
【缺省情況】
靜態用戶下線檢測定時器的值為5分鍾。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:表示下線檢測定時器的值,取值範圍為60~2147483647,單位為秒。
【使用指導】
通過port-security static-user命令配置靜態用戶時,如果未指定keep online參數,則會對在線靜態用戶開啟下線探測功能。若設備在一個下線檢測定時器間隔之內,沒有收到某在線靜態用戶的報文,將切斷該用戶的連接,同時通知RADIUS服務器停止對其計費。
【舉例】
# 配置靜態用戶下線檢測定時器的值為100秒。
<Sysname> system-view
[Sysname] port-security static-user timer offline-detect 100
【相關命令】
· display port-security static-user
port-security static-user update-ip enable 命令用來允許設備更新靜態用戶的IP地址。
undo port-security static-user update-ip enable 命令用來恢複缺省情況。
【命令】
port-security static-user update-ip enable
undo port-security static-user update-ip enable
【缺省情況】
不允許設備更新靜態用戶的IP地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
通過port-security static-user命令配置靜態用戶的IP地址範圍後,IP地址處於此範圍內的終端將作為靜態用戶進行認證。終端作為靜態用戶在線後,某些終端可能會向接入認證設備發送異常的ARP報文,這類異常ARP報文的源地址不是靜態用戶的IP地址,觸發設備更新終端的IP地址,更新地址後終端不再是靜態用戶,導致終端下線。
本功能需要配合DHCP Snooping、ARP Snooping、DHCPv6 Snooping或ND Snooping功能使用,隻有使能相應的Snooping功能,才能收到該Snooping模塊通知的IP地址的變化情況。
缺省情況下,當收到異常ARP報文時,若源地址非靜態用戶的IP地址,設備不會更新靜態用戶的IP地址,避免導致在線靜態用戶下線。當想要跟蹤終端IP地址的變化情況時,可以選擇開啟本功能,允許設備更新靜態用戶的IP地址。
【舉例】
# 配置允許設備更新靜態用戶的IP地址。
<Sysname> system-view
[Sysname] port-security static-user update-ip enable
【相關命令】
· display port-security static-user
port-security static-user user-name-format命令配置靜態用戶上線時使用的用戶名形式。
undo port-security static-user user-name-format命令用來恢複缺省情況。
【命令】
port-security static-user user-name-format { ip-address | mac-address | system-name }
undo port-security static-user user-name-format
【缺省情況】
靜態用戶的用戶名為接入設備名稱Sysname和用戶IP地址的結合,格式為SysnameIP。例如,接入設備名稱為test,用戶的IP地址為1.1.1.1,則靜態用戶的用戶名為test1.1.1.1。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:表示使用靜態用戶的IP地址作為用戶名。例如,靜態用戶的IP地址為1.1.1.1,則用戶名為1.1.1.1。
mac-address:表示使用靜態用戶的MAC地址作為用戶名。例如,靜態用戶的MAC地址為1a46-6209-0100,若未配置MAC賬號格式,則用戶名默認為1a46-6209-0100。
system-name:表示使用靜態用戶的接入設備的名稱作為用戶名。例如,接入設備的名稱為test,則用戶名為test。
【使用指導】
通過本命令配置靜態用戶的用戶名,靜態用戶觸發認證後,接入設備會將配置的用戶名發送到認證服務器進行認證。
如果靜態用戶名包括設備名,那麼當設備名長度超過16個字節時,係統僅會取設備名的前16個字節。
當靜態用戶使用的用戶名為IP或MAC地址時,設備上不能開啟MAC地址認證自動恢複功能,否則當設備重啟或故障恢複時,靜態用戶會被當作MAC地址認證用戶恢複上線。MAC地址認證自動恢複功能的詳細介紹請參見“安全配置指導”中的“MAC地址認證”。
本功能配置成功後僅對新上線的靜態用戶生效。
多次配置本命令,則最後一次配置的命令生效。
【舉例】
# 配置靜態用戶上線時使用IP地址作為用戶名。
<Sysname> system-view
[Sysname] port-security static-user user-name-format ip-address
【相關命令】
· display port-security static-user
port-security static-user user-name-format mac-address配置靜態用戶用戶名為MAC地址時的賬號格式。
undo port-security static-user user-name-format mac-address命令用來恢複缺省情況。
【命令】
port-security static-user user-name-format mac-address { one-section | { six-section | three-section } delimiter { colon | hyphen } } [ uppercase ] [ password-with-mac ]
undo port-security static-user user-name-format mac-address
【缺省情況】
使用用戶的MAC地址作為用戶名時,密碼為空。MAC地址格式為三段式,以短橫線作為分隔符,且字母為小寫。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
one-section:表示一段式MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。
six-section:表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX。
three-section:表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。
delimiter:指定六段式或三段式MAC地址使用的分隔符。
· colon:表示使用冒號作為分隔符。
· hyphen:表示使用短橫線作為分隔符。
uppercase:表示MAC地址中的字母為大寫。如果未指定本參數,則表示使用MAC地址的小寫格式。
password-with-mac:指定MAC地址作為用戶名時,同時作為密碼。如果未指定本參數時,則表示使用port-security static-user password配置的密碼。
【使用指導】
本命令優先級高於port-security static-user user-name-format和port-security static-user password。
【舉例】
# 配置靜態用戶認證時使用的用戶名為六段式MAC地址,MAC地址格式為大寫字母,且使用短橫線作為分隔符,同時配置使用靜態用戶的MAC地址作為密碼。
<Sysname> system-view
[Sysname] port-security static-user user-name-format mac-address six-section delimiter hyphen uppercase password-with-mac
【相關命令】
· display port-security static-user
port-security timer命令用來配置端口非認證成功在線用戶的定時器參數。
undo port-security timer命令用來恢複缺省情況。
【命令】
port-security timer { reauth-period { auth-fail-domain | preauth-domain } | user-aging { auth-fail-domain | critical-domain | preauth-domain } } time-value
undo port-security timer { reauth-period { auth-fail-domain | preauth-domain } | user-aging { auth-fail-domain | critical-domain | preauth-domain } }
【缺省情況】
周期性重認證定時器的值為600秒,用戶老化定時器的值為23小時。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
reauth-period:周期性重認證定時器。
preauth-domain:認證前域。
auth-fail-domain:認證失敗域。
critical-domain:逃生域。
user-aging:用戶老化定時器。
time-value:整數形式。周期性重認證定時器的取值範圍是0或30~7200,單位為秒,0表示不開啟重認證;用戶老化定時器的取值範圍是0或60~4294860,單位是秒,0表示不老化。
【使用指導】
周期性重認證定時器(reauth-period)不為0時,表示端口自動開啟周期性重認證功能,設備端以此間隔為周期對端口上的在線用戶發起重認證。
用戶老化定時器(user-aging)不為0時,表示指定類型的ISP域內的用戶表項會老化。到達配置的老化時間後,用戶將離開指定的域。
重認證定時器對Web認證用戶不生效。
通過authen-radius-recover online命令保持在線的逃生用戶受用戶老化定時器控製,用戶老化定時器超時後保持在線的逃生用戶依然會下線。authen-radius-recover online命令的詳細介紹請參見“安全命令參考”中的“AAA”。
【舉例】
# 配置認證前域用戶老化時間為60秒。
<Sysname> system-view
[Sysname] port-security timer user-aging preauth-domain 60
【相關命令】
· display port-security
· authen-radius-recover online(安全命令參考/AAA)
port-security timer autolearn aging命令用來配置安全MAC地址的老化時間。
undo port-security timer autolearn aging命令用來恢複缺省情況。
【命令】
port-security timer autolearn aging [ second ] time-value
undo port-security timer autolearn aging
【缺省情況】
安全MAC地址不會老化。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
second:指定安全MAC地址老化時間單位為秒。如果未指定本參數,則表示安全MAC地址老化時間單位為分鍾。
time-value:安全MAC地址的老化時間。若單位為分鍾,則取值範圍為0~129600,取值為0表示不會老化。若單位為秒,則取值範圍10~7776000。
【使用指導】
安全MAC地址的老化時間對所有端口學習到的安全MAC地址以及手工添加的Sticky MAC地址均有效。
當指定的安全MAC地址老化時間單位為秒時,若配置的老化時間大於等於60秒,則安全MAC地址的實際老化時間會以半分鍾向上取整,例如,配置老化時間為80秒,則實際老化時間為90秒;若配置的老化時間小於60秒,則安全MAC地址的實際老化時間為用戶配置時間。
較短的老化時間可提高端口接入的安全性和端口資源的利用率,但也會影響在線用戶的在線穩定性,因此需要結合當前的網絡環境和設備的性能合理設置老化時間。
當配置的安全MAC地址老化時間小於60秒,且安全MAC地址老化方式為無流量老化時,建議端口安全允許的最大安全MAC地址數不要配置過大,否則可能影響設備性能。
【舉例】
# 配置安全MAC地址的老化時間為30分鍾。
<Sysname> system-view
[Sysname] port-security timer autolearn aging 30
# 配置安全MAC地址的老化時間為50秒。
<Sysname> system-view
[Sysname] port-security timer autolearn aging second 50
【相關命令】
· display port-security
· port-security mac-address security
port-security timer blockmac命令用來配置將非法報文的源MAC地址加入阻塞MAC地址列表的時間。
undo port-security timer blockmac命令用來恢複缺省情況。
【命令】
port-security timer blockmac time-value
undo port-security timer blockmac
【缺省情況】
將非法報文的源MAC地址加入阻塞MAC地址列表的時間為180秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:將非法報文的源MAC地址加入阻塞MAC地址列表的時間,取值範圍為1~3600,單位為秒。
【使用指導】
當通過port-security intrusion-mode命令設置入侵檢測特性模式為blockmac時,將非法報文的源MAC地址加入阻塞MAC地址列表的時間由該命令配置。
【舉例】
# 配置將非法報文的源MAC地址加入阻塞MAC地址列表的時間為60秒。
<Sysname> system-view
[Sysname] port-security timer blockmac 60
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security intrusion-mode blockmac
【相關命令】
· display port-security
· port-security intrusion-mode
port-security timer disableport命令用來配置係統暫時關閉端口的時間。
undo port-security timer disableport命令用來恢複缺省情況。
【命令】
port-security timer disableport time-value
undo port-security timer disableport
【缺省情況】
係統暫時關閉端口的時間為20秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:端口關閉的時間,取值範圍為20~300,單位為秒。
【使用指導】
當port-security intrusion-mode設置為disableport-temporarily模式時,係統暫時關閉端口的時間由該命令配置。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的入侵檢測特性檢測到非法報文後,將收到非法報文的端口暫時關閉30秒。
<Sysname> system-view
[Sysname] port-security timer disableport 30
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
· display port-security
· port-security intrusion-mode
port-security topology-change detect-period命令用來配置網絡拓撲改變時,設備主動發送ARP/NS探測報文的周期。
undo port-security topology-change detect-period命令用來恢複缺省情況。
【命令】
port-security topology-change detect-period time-value
undo port-security topology-change detect-period
【缺省情況】
網絡拓撲改變時,設備主動發送ARP/NS探測報文的周期為5秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:設備主動發送ARP/NS探測報文的周期,取值範圍為1~3600,單位為秒。
【使用指導】
當隔離組的某成員端口收到STP模塊發送的TC事件報文,且允許在線用戶在隔離組的成員端口間遷移時,設備會每隔一個探測周期通過另一個成員端口向該成員端口上的在線用戶發送ARP/NS報文。
如果端口上的在線用戶較多,建議將探測周期設置為較大值,避免第一輪探測報文未發送完就開啟了第二輪探測。
通過本命令修改探測周期後,新配置的探測周期需要等已觸發的探測周期超時後才生效。
【舉例】
# 配置網絡拓撲改變時,設備主動發送ARP/NS探測報文的周期為100秒。
<Sysname> system-view
[Sysname] port-security topology-change detect-period 100
【相關命令】
· display port-security
· port-security topology-change free-mac-move
· port-security topology-change retry
port-security topology-change detect-retry命令用來配置當網絡拓撲改變時,設備發送探測報文的最大次數。
undo port-security topology-change detect-retry命令用來恢複缺省情況。
【命令】
port-security topology-change detect-retry retries
undo port-security topology-change detect-retry
【缺省情況】
當網絡拓撲改變時,設備發送探測報文的最大次數為3。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
retries:設備發送探測報文的最大次數,取值範圍為1~10。
【使用指導】
當隔離組的某成員端口收到STP模塊發送的TC事件報文,且允許用戶在隔離組的成員端口間遷移時,設備會每隔一個探測周期通過另一個成員端口向該成員端口上的認證用戶發送ARP/NS探測報文。如果探測報文發送次數達到本命令配置的最大值時,仍未收到用戶的回應報文,則設備認為本隔離組所在網絡拓撲不變,不遷移該用戶。
【舉例】
# 配置當網絡拓撲改變時,設備發送探測報文的最大次數為8。
<Sysname> system-view
[Sysname] port-security topology-change detect-retry 8
【相關命令】
· display port-security
· port-security topology-change detect-period
· port-security topology-change free-mac-move
port-security topology-change free-mac-move命令用來配置網絡拓撲改變時,允許用戶在隔離組的成員端口間免認證遷移。
undo port-security topology-change free-mac-move命令用來恢複缺省情況。
【命令】
port-security topology-change free-mac-move
undo port-security topology-change free-mac-move
【缺省情況】
網絡拓撲改變時,不允許用戶在隔離組的成員端口間免認證遷移。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
網絡拓撲改變時,STP(Spanning Tree Protocol,生成樹協議)模塊會發送TC(Topology Change,拓撲改變)事件報文通知相關設備網絡拓撲發生變化。
開啟本功能後,當TC隔離組內的網絡拓撲改變,導致成員端口上的在線用戶流量轉發異常時,設備可以根據報文探測結果或TC隔離組成員端口狀態遷移用戶,避免某些用戶無法主動發送用戶報文觸發遷移,同時通過免認證實現遷移用戶的快速重新上線。
本功能實現過程如下:
· 當隔離組的某成員端口處於UP狀態且收到TC事件報文後,設備將查詢從該端口上線的認證用戶,並通過隔離組的另一個成員端口向這些用戶發送ARP/NS探測報文:
¡ 如果另一個成員端口收到了用戶的回應報文,則該用戶將跳過認證流程,直接遷移到另一個成員端口上線。
¡ 如果另一個成員端口在探測達到最大次數時仍未收到回應報文,則設備認為本隔離組所在網絡拓撲不變,不遷移用戶。
· 當由於隔離組的某成員端口DOWN導致網絡拓撲改變時,設備不會等收到STP模塊發送的TC事件報文,也不會主動從另一個成員端口探測用戶,會立即將用戶從該成員端口免認證遷移到另一個成員端口。遷移後,可通過在新端口上開啟下線檢測或ARP/NS報文探測功能判斷用戶是否能正常上線。
關於TC隔離組的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“生成樹”。
本功能僅對靜態用戶、MAC地址認證用戶和802.1X用戶生效。
建議隔離組兩個成員端口上的所有配置保持一致,否則可能導致用戶遷移失敗。
【舉例】
# 配置網絡拓撲改變時,允許用戶在隔離組的成員端口間免認證遷移。
<Sysname> system-view
[Sysname] port-security topology-change free-mac-move
【相關命令】
· port-security topology-change detect-period
· port-security topology-change retry
· stp tc-group(二層技術-以太網交換命令參考/生成樹)
port-security triple-auth-order mac-dot1x-web命令用來配置Triple認證環境下,端口的認證順序為MAC地址認證、802.1X認證和Web認證。
undo port-security triple-auth-order命令用來恢複缺省情況。
【命令】
port-security triple-auth-order mac-dot1x-web
undo port-security triple-auth-order
【缺省情況】
Triple認證環境下,不同類型的終端報文最先觸發的認證方式不同。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令僅在Triple認證環境中生效。Triple認證允許在接入用戶的二層端口上同時開啟Web認證、MAC地址認證和802.1X認證功能,不同類型的終端報文可觸發不同的認證過程,具體介紹請參見“安全配置指導”中的“Triple配置”。配置本功能後,任意終端報文,都將先觸發MAC地址認證。
端口允許多種認證過程同時進行,且某一種認證失敗不會影響同時進行的其它認證過程。一旦終端通過某一種認證,其它認證過程的進行情況有所不同:
· 如果終端通過MAC地址認證,仍可以進行802.1X認證,但不會再進行Web認證。如果802.1X認證成功,則端口上生成的802.1X認證用戶信息會覆蓋已存在的MAC地址認證用戶信息。否則,用戶依然保持MAC地址認證在線,且允許再次觸發802.1X認證,但不能再次觸發Web認證。
· 如果MAC地址認證失敗,終端通過了802.1X認證或者Web認證,則端口上其他認證會立即終止,且不能被再次觸發。
配置本功能後,將導致正在認證的用戶認證失敗,用戶需要重新觸發認證才能上線。為了避免造成認證用戶無法上線,請勿隨意配置本功能修改認證方式順序。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的認證順序為MAC地址認證、802.1X認證、Web認證。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security triple-auth-order mac-dot1x-web
【相關命令】
· mac-authentication
· dot1x
· web-auth enable
port-security url-unavailable domain命令用來配置端口安全用戶重定向URL不可達時的逃生域。
undo port-security url-unavailable domain命令用來恢複缺省情況。
【命令】
port-security url-unavailable domain isp-name
undo port-security url-unavailable domain
【缺省情況】
未指定端口安全用戶認證過程中重定向URL不可達時的逃生域。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
端口安全認證模板視圖
【缺省用戶角色】
network-admin
【參數】
isp-name:ISP域名,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指導】
本特性僅適用於MAC地址認證和Web認證用戶。
在用戶認證過程中,當重定向URL指定的Web服務器不可達時,用戶將無法到達指定的Web認證頁麵,從而無法正常上線。配置URL不可達逃生域後,在重定向URL不可達時,用戶可以在逃生域中上線,並訪問其中的資源。
本功能與802.1X、MAC地址認證和Web認證模塊的Guest VLAN/VSI、Auth-fail VLAN/VSI、Critical VLAN/VSI/微分段以及逃生策略模板功能互斥。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上配置端口安全用戶重定向URL不可達時的逃生域為bbb。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] port-security url-unavailable domain bbb
【相關命令】
· display port-security
reset port-security static-user強製在線靜態用戶下線。
【命令】
reset port-security static-user [ interface interface-type interface-number | { ip | ipv6 } ip-address | mac mac-address | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | user-name user-name ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:強製指定接口下的在線靜態用戶下線。其中,interface-type表示接口類型,interface-number表示接口編號。
{ ip | ipv6 } ip-address:強製指定IP地址的在線靜態用戶下線。指定ip時,ip-address表示靜態用戶的IPv4地址;指定ipv6時,ip-address表示靜態用戶的IPv6地址。
mac mac-address:強製指定MAC地址的在線靜態用戶下線。mac-address表示靜態用戶的MAC地址,格式為H-H-H。
online-type:表示強製指定類型的在線靜態用戶下線。
· auth-fail-domain:表示強製認證失敗域內的在線靜態用戶下線。
· critical-domain:表示強製認證逃生域內的在線靜態用戶下線。
· preauth-domain:表示強製認證前域內的在線靜態用戶下線。
· success:表示強製認證成功的在線靜態用戶下線。
user-name user-name:強製指定用戶名的在線靜態用戶下線。user-name表示靜態用戶的用戶名,為1~253個字符的字符串,區分大小寫。
【使用指導】
如果未指定任何參數,則表示強製所有的在線靜態用戶下線。
【舉例】
# 強製接口Ten-GigabitEthernet1/0/1上的所有在線靜態用戶下線。
<Sysname> reset port-security static-user interface ten-gigabitethernet 1/0/1
【相關命令】
· display port-security static-user
reset port-security statistics命令用來清除端口安全的統計計數信息。
【命令】
reset port-security statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【舉例】
# 清除端口安全的統計計數信息。
<Sysname> reset port-security statistics
【相關命令】
· display port-security statistics
snmp-agent trap enable port-security命令用來開啟端口安全告警功能。
undo snmp-agent trap enable port-security命令用來關閉指定的端口安全告警功能。
【命令】
snmp-agent trap enable port-security [ address-learned | dot1x-failure | dot1x-logoff | dot1x-logon | intrusion | mac-auth-failure | mac-auth-logoff | mac-auth-logon ] *
undo snmp-agent trap enable port-security [ address-learned | dot1x-failure | dot1x-logoff | dot1x-logon | intrusion | mac-auth-failure | mac-auth-logoff | mac-auth-logon ] *
【缺省情況】
端口安全的所有告警功能均處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
address-learned:表示端口學習到新MAC地址時的告警功能。
dot1x-failure:表示802.1X用戶認證失敗時的告警功能。
dot1x-logon:表示802.1X用戶認證成功時的告警功能。
dot1x-logoff:表示802.1X用戶認證下線時的告警功能。
intrusion:表示發現非法報文時的告警功能。
mac-auth-failure:表示MAC地址認證用戶認證失敗時的告警功能。
mac-auth-logoff:表示MAC地址認證用戶認證下線時的告警功能。
mac-auth-logon:表示MAC地址認證用戶認證成功時的告警功能。
【使用指導】
如果不指定任何參數,則表示開啟或關閉所有類型的端口安全告警功能。
指定intrusion參數時,必須同時配置入侵檢測特性(通過命令port-security intrusion-mode),該告警功能才生效。
開啟端口安全模塊的告警功能後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
【舉例】
# 開啟端口學習到新MAC地址時的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable port-security address-learned
【相關命令】
· display port-security
· port-security enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
