- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-端口安全命令
本章節下載: 05-端口安全命令 (282.19 KB)
目 錄
1.1.2 display port-security mac-address block
1.1.3 display port-security mac-address security
1.1.4 port-security authorization ignore
1.1.5 port-security authorization-fail offline
1.1.7 port-security intrusion-mode
1.1.8 port-security mac-address security
1.1.9 port-security max-mac-count
1.1.10 port-security nas-id-profile
1.1.13 port-security port-mode
1.1.14 port-security timer disableport
1.1.15 snmp-agent trap enable port-security
display port-security命令用來顯示端口安全的配置信息、運行情況和統計信息。
【命令】
display port-security [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的端口安全相關信息。interface-type interface-number表示端口類型和端口編號。若不指定本參數,則顯示所有端口的端口安全信息。
【舉例】
# 顯示所有端口的端口安全相關狀態。
<Sysname> display port-security
Global port security parameters:
Port security : Enabled
AutoLearn aging time : 0 min
Disableport timeout : 20 s
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Enabled
Intrusion trap : Disabled
Address-learned trap : Enabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Enabled
Mac-auth-logoff trap : Disabled
OUI value list :
Index : 1 Value : 123401
GigabitEthernet1/0/1 is link-up
Port mode : userLogin
NeedToKnow mode : Disabled
Intrusion protection mode : NoAction
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : 32
Current secure MAC addresses : 0
Authorization : Permitted
NAS-ID profile : Not configured
表1-1 display port-security命令顯示信息描述表
|
字段 |
描述 |
|
Port security |
端口安全的開啟狀態 |
|
AutoLearn aging time |
Sticky MAC地址的老化時間,單位為分鍾 |
|
Disableport timeout |
收到非法報文的端口暫時被關閉的時間,單位為秒 |
|
MAC move |
(暫不支持)MAC遷移功能的開啟狀態 · 如果MAC遷移功能處於開啟狀態,則顯示Permitted · 如果MAC遷移功能處於關閉狀態,則顯示Denied |
|
Authorization fail |
授權失敗後用戶的狀態,包括下線(Offline)和保持在線(Online)兩種類型 |
|
NAS-ID profile |
全局引用的NAS-ID Profile |
|
Dot1x-failure trap |
(暫不支持)802.1X用戶認證失敗的告警功能開啟狀態 |
|
Dot1x-logon trap |
(暫不支持)802.1X用戶認證成功的告警功能開啟狀態 |
|
Dot1x-logoff trap |
(暫不支持)802.1X用戶認證下線的告警功能開啟狀態 |
|
Intrusion trap |
發現非法報文的告警功能開啟狀態 |
|
Address-learned trap |
端口學習到新MAC地址的告警功能開啟狀態 |
|
Mac-auth-failure trap |
(暫不支持)MAC地址認證用戶認證失敗的告警功能開啟狀態 |
|
Mac-auth-logon trap |
(暫不支持)MAC地址認證用戶認證成功的告警功能開啟狀態 |
|
Mac-auth-logoff trap |
(暫不支持)MAC地址認證用戶認證下線的告警功能開啟狀態 |
|
OUI value list |
允許通過認證的用戶的24位OUI值 |
|
Index |
OUI的索引 |
|
Value |
OUI值 |
|
Port mode |
端口安全模式,包括以下幾種: · noRestriction · autoLearn · secure 關於各模式的具體涵義,請參考端口安全配置手冊 |
|
NeedToKnow mode |
Need To Know模式,包括以下幾種: · NeedToKnowOnly:表示僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過 · NeedToKnowWithBroadcast:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過 · NeedToKnowWithMulticast:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過 · Disabled:表示不進行NTK處理 |
|
Intrusion protection mode |
入侵檢測特性模式,包括以下幾種: · BlockMacAddress:表示將非法報文的源MAC地址加入阻塞MAC地址列表中 · DisablePort:表示將收到非法報文的端口永久關閉 · DisablePortTemporarily:表示將收到非法報文的端口暫時關閉一段時間 · NoAction:表示不進行入侵檢測處理 |
|
Security MAC address attribute |
安全MAC地址的相關屬性 |
|
Security MAC address learning mode |
(暫不支持)安全MAC地址的學習方式: · Dynamic:動態類型 · Sticky:Sticky類型 |
|
Security MAC address aging type |
(暫不支持)安全MAC地址的老化方式: · Periodical:按照配置的老化時間間隔進行老化 · Inactivity:無流量命中時老化 |
|
Max secure MAC addresses |
端口安全允許的最大安全MAC地址數目或上線用戶數 |
|
Current secure MAC addresses |
端口下保存的安全MAC地址數目 |
|
Authorization |
服務器的授權信息是否被忽略 · Permitted:表示當前端口應用RADIUS服務器或本地設備下發的授權信息 · Ignored:表示當前端口不應用RADIUS服務器或本地設備下發的授權信息 |
|
NAS-ID profile |
端口下引用的 NAS-ID Profile |
display port-security mac-address block命令用來顯示阻塞MAC地址信息。
【命令】
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的阻塞MAC地址信息。interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:顯示阻塞MAC地址的個數。
【使用指導】
如果不指定任何參數,則顯示所有阻塞MAC地址的信息。
【舉例】
# 顯示所有阻塞MAC地址。(集中式設備)
<Sysname> display port-security mac-address block
MAC ADDR Port VLAN ID
0002-0002-0002 GE1/0/1 1
000d-88f8-0577 GE1/0/1 1
--- 2 mac address(es) found ---
# 顯示所有阻塞MAC地址。(分布式設備-獨立運行模式)(集中式IRF設備)
<Sysname> display port-security mac-address block
MAC ADDR Port VLAN ID
--- On slot 0, no MAC address found ---
MAC ADDR Port VLAN ID
000f-3d80-0d2d GE1/0/1 30
--- On slot 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
# 顯示所有阻塞MAC地址。(分布式設備-IRF模式)
<Sysname> display port-security mac-address block
MAC ADDR Port VLAN ID
--- On slot 0 in chassis 1, no MAC address found ---
MAC ADDR Port VLAN ID
000f-3d80-0d2d GE1/0/1 30
--- On slot 1 in chassis 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
# 顯示所有阻塞MAC地址計數。(集中式設備)
<Sysname> display port-security mac-address block count
--- 2 mac address(es) found ---
# 顯示所有阻塞MAC地址計數。(分布式設備-獨立運行模式)(集中式IRF設備)
<Sysname> display port-security mac-address block count
--- On slot 0, no MAC address found ---
--- On slot 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
# 顯示所有阻塞MAC地址計數。(分布式設備-IRF模式)
<Sysname> display port-security mac-address block count
--- On slot 0 in chassis 1, no MAC address found ---
--- On slot 1 in chassis 1, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
表1-2 display port-security mac-address block命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
阻塞MAC地址 |
|
Port |
阻塞MAC地址所在端口 |
|
VLAN ID |
端口所屬VLAN |
|
number mac address(es) found |
當前阻塞MAC地址數目為number個 |
【相關命令】
· port-security intrusion-mode
display port-security mac-address security命令用來顯示安全MAC地址信息。
【命令】
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口類型和端口編號。
vlan vlan-id:顯示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
count:統計符合條件的安全MAC地址個數。
【使用指導】
當端口工作於autoLearn模式時,端口上通過自動學習或者靜態配置的安全MAC地址可通過該命令查看。
如果不指定任何參數,則顯示所有安全MAC地址的信息。
【舉例】
# 顯示所有安全MAC地址。
<Sysname> display port-security mac-address security
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME
0002-0002-0002 1 Security GE1/0/1 NOAGED
000d-88f8-0577 1 Security GE1/0/1 28
--- 2 mac address(es) found ---
# 顯示所有安全MAC地址計數。
<Sysname> display port-security mac-address security count
--- 2 mac address(es) found ---
表1-3 display port-security mac-address security命令顯示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
安全MAC地址 |
|
VLAN ID |
端口所屬VLAN |
|
STATE |
添加的MAC地址類型 · Security:表示該項是安全MAC地址 |
|
PORT INDEX |
安全MAC地址所在端口 |
|
AGING TIME |
安全MAC地址的剩餘存活時間 · 對於靜態MAC地址,顯示為NOAGED · 對於Sticky MAC地址,顯示為具體的剩餘存活時間,單位為分鍾。缺省情況下為不進行老化,顯示為NOAGED |
|
number mac address(es) found |
當前保存的安全MAC地址數目為number個 |
【相關命令】
· port-security mac-address security
port-security authorization ignore命令用來配置端口不應用RADIUS服務器或設備本地下發的授權信息。
undo port-security authorization ignore命令用來恢複缺省情況。
【命令】
port-security authorization ignore
undo port-security authorization ignore
【缺省情況】
端口應用RADIUS服務器或設備本地下發的授權信息。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
當用戶通過RADIUS認證或本地認證後,RADIUS服務器或設備會根據用戶帳號配置的相關屬性進行授權,比如動態下發VLAN等。若不希望接受這類動態下發的屬性,則可通過配置本命令來忽略。
對於通過802.1X或MAC地址認證的用戶,配置本命令後隻會忽略除Termination-Action和Session-Timeout之外的其它授權屬性。
【舉例】
# 配置端口GigabitEthernet1/0/1不應用RADIUS服務器或設備本地下發的授權信息。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security authorization ignore
【相關命令】
· display port-security
port-security authorization-fail offline命令用來開啟授權失敗用戶下線功能。
undo port-security authorization-fail offline命令用來關閉授權失敗用戶下線功能。
【命令】
port-security authorization-fail offline
undo port-security authorization-fail offline
【缺省情況】
授權失敗用戶下線功能處於關閉狀態,即授權失敗後用戶保持在線。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
如果配置為授權失敗用戶下線,當下發的授權ACL、User Profile不存在或者ACL、User Profile下發失敗時,將強製用戶下線。
如果配置為授權失敗用戶保持在線,當下發的授權ACL、User Profile不存在或者ACL、User Profile下發失敗時,用戶保持在線,授權ACL、User Porfile不生效,設備打印日誌信息。
【舉例】
# 開啟授權失敗用戶下線功能。
<Sysname> system-view
[Sysname] port-security authorization-fail offline
【相關命令】
· display port-security
port-security enable命令用來使能端口安全。
undo port-security enable命令用來關閉端口安全。
【命令】
port-security enable
undo port-security enable
【缺省情況】
端口安全功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
如果已全局開啟了802.1X或MAC地址認證,則無法使能端口安全。
端口上有用戶在線的情況下,若關閉端口安全,則在線用戶將會下線。
【舉例】
# 使能端口安全。
<Sysname> system-view
[Sysname] port-security enable
【相關命令】
· display port-security
port-security intrusion-mode命令用來配置入侵檢測特性,對接收到非法報文的端口采取相應的安全策略。
undo port-security intrusion-mode命令用來恢複缺省情況。
【命令】
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
undo port-security intrusion-mode
【缺省情況】
對接收到非法報文的端口不進行入侵檢測處理。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
blockmac:表示將非法報文的源MAC地址加入阻塞MAC地址列表中,源MAC地址為阻塞MAC地址的報文將被丟棄,實現在端口上過濾非法流量的作用。此MAC地址在被阻塞3分鍾(係統默認,不可配)後恢複正常。阻塞MAC地址列表可以通過display port-security mac-address block命令查看。
disableport:表示將收到非法報文的端口永久關閉。
disableport-temporarily:表示將收到非法報文的端口暫時關閉一段時間。關閉時長可通過port-security timer disableport命令配置。
【使用指導】
可以通過執行undo shutdown命令重新開啟被入侵檢測特性臨時或永久斷開的端口。
【舉例】
# 配置端口GigabitEthernet1/0/1的入侵檢測特性檢測到非法報文後,將非法報文的源MAC地址置為阻塞MAC。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security intrusion-mode blockmac
【相關命令】
· display port-security
· display port-security mac-address block
· port-security timer disableport
port-security mac-address security命令用來添加安全MAC地址。
undo port-security mac-address security命令用來刪除指定的安全MAC地址。
【命令】
在二層以太網接口視圖下:
port-security mac-address security mac-address vlan vlan-id
undo port-security mac-address security mac-address vlan vlan-id
在係統視圖下:
port-security mac-address security mac-address interface interface-type interface-number vlan vlan-id
undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]
【缺省情況】
未配置安全MAC地址。
【視圖】
係統視圖
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
mac-address:安全MAC地址,格式為H-H-H。
interface interface-type interface-number:指定添加安全MAC地址的接口。其中,interface-type interface-number表示接口類型和接口編號。
vlan vlan-id:指定安全MAC地址所屬的VLAN。其中,vlan-id表示VLAN編號,取值範圍為1~4094。
【使用指導】
手工配置添加的安全MAC地址在保存配置並設備重啟後,不會被刪除。因此,可以將網絡中一些已知的、固定要接入某端口的主機或設備的MAC地址添加為安全MAC地址,這樣在端口處於autoLearn安全模式時,此類源MAC地址為安全MAC地址的主機或設備的報文將被允許通過指定端口,而且還可避免與其它通過自動方式學習到端口上的MAC地址的報文爭奪資源而被拒絕接收。
成功添加安全MAC地址的前提為:端口安全處於開啟狀態;端口的端口安全模式為autoLearn;當前的端口允許指定的VLAN通過或已加入該VLAN,且該VLAN已存在。
已添加的安全MAC地址,除非首先將其刪除,否則不能重複添加,例如已經在某端口上添加了一條安全MAC地址port-security mac-address security 1-1-1 vlan 10,則不能再添加一條安全MAC地址port-security mac-address security 1-1-1 vlan 10。
所有的靜態安全MAC地址均不老化,除非被管理員通過命令行手工刪除,或因為配置的改變(端口的安全模式被改變,或端口安全功能被關閉)而被係統自動刪除。
【舉例】
# 使能端口安全,配置端口GigabitEthernet1/0/1的安全模式為autoLearn,並指定端口安全允許的最大MAC地址數為100。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100
[Sysname-GigabitEthernet1/0/1] port-security port-mode autolearn
# 為該端口添加一條Sticky MAC地址0001-0002-0003,該安全MAC地址屬於VLAN 4。
[Sysname-GigabitEthernet1/0/1] port-security mac-address security sticky 0001-0002-0003 vlan 4
[Sysname-GigabitEthernet1/0/1] quit
# 在係統視圖下為端口GigabitEthernet1/0/1添加一條安全MAC地址0001-0001-0002,該安全MAC地址屬於VLAN 10。
[Sysname] port-security mac-address security 0001-0001-0002 interface gigabitethernet 1/0/1 vlan 10
【相關命令】
· display port-security
· port-security timer autolearn aging
port-security max-mac-count命令用來設置端口安全允許的最大安全MAC地址數。
undo port-security max-mac-count命令用來恢複缺省情況。
【命令】
port-security max-mac-count max-count
undo port-security max-mac-count
【缺省情況】
端口安全不限製本端口可保存的最大安全MAC地址數。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
max-count:端口允許的最大安全MAC地址數,取值範圍為1~2147483647。端口安全允許的最大安全MAC地址數不能小於當前端口下已保存的MAC地址數。
【使用指導】
對於autoLearn安全模式,端口允許的最大安全MAC地址數由本命令配置,包括端口上學習到的以及手工配置的安全MAC地址數。
當端口工作於autoLearn模式時,無法更改端口安全允許的最大安全MAC地址數。
無線端口上有用戶在線時,無法更改端口安全允許的最大安全MAC地址數。
【舉例】
# 在端口GigabitEthernet1/0/1上配置端口安全允許的最大安全MAC地址數為100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100
【相關命令】
· display port-security
port-security nas-id-profile命令用來指定全局/端口引用的NAS-ID Profile。
undo port-security nas-id-profile命令用來恢複缺省情況。
【命令】
port-security nas-id-profile profile-name
undo port-security nas-id-profile
【缺省情況】
未指定引用的NAS-ID Profile。
【視圖】
係統視圖
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:標識指定VLAN和NAS-ID綁定關係的Profile名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具體情況請參考“用戶接入與認證命令參考”中的“AAA”。
NAS-ID Profile可以在係統視圖下或者接口視圖下進行配置引用,接口上的配置優先,若接口上沒有配置,則使用係統視圖下的全局配置。
如果指定了NAS-ID Profile,則此Profile中定義的綁定關係優先使用;如果未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係,則使用設備名作為NAS-ID。
【舉例】
# 在端口GigabitEthernet1/0/1上指定名為aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security nas-id-profile aaa
# 在係統視圖下指定名為aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] port-security nas-id-profile aaa
【相關命令】
· aaa nas-id profile(安全命令參考/AAA)
port-security ntk-mode命令用來配置端口Need To Know特性。
undo port-security ntk-mode命令用來恢複缺省情況。
【命令】
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }
undo port-security ntk-mode
【缺省情況】
端口未配置Need To Know特性,即所有報文都可成功發送。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
ntk-withbroadcasts:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過。
ntk-withmulticasts:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過。
ntkonly:僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過。
【使用指導】
Need To Know特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀隻能被發送到已經通過認證的設備上,從而防止非法設備竊聽網絡數據。
無線端口上有用戶在線的情況下,無法更改Need To Know特性的配置。
【舉例】
# 配置端口GigabitEthernet1/0/1的Need To Know特性為ntkonly,即僅發送目的地址為已認證的MAC地址的報文。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security ntk-mode ntkonly
【相關命令】
· display port-security
port-security oui命令用來配置允許通過認證的用戶的OUI值。
undo port-security oui命令用來刪除指定索引的OUI值。
【命令】
port-security oui index index-value mac-address oui-value
undo port-security oui index index-value
【缺省情況】
不存在允許通過認證的用戶OUI值。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
index-value:標識此OUI的索引值,取值範圍為1~16。
oui-value:OUI值,輸入格式為H-H-H的48位MAC地址。係統會自動取輸入的前24位作為OUI值,忽略後24位。
【使用指導】
OUI是MAC地址的前24位(二進製),是IEEE為不同設備供應商分配的一個全球唯一的標識符。當需要允許某些特殊設備的(有線接入)報文總是可以通過認證,或僅允許這些設備的(無線接入)報文可以進行認證的情況下,就可以通過本命令來指定這些設備的OUI值,例如,某公司僅允許A廠商的IP電話在本企業網內使用,則可以通過本命令將A廠商設備的OUI值設置為認證的OUI值。
可通過多次執行本命令,配置多個OUI值。
配置的OUI值隻在端口安全模式為userLoginWithOUI時生效。在userLoginWithOUI模式下,端口上除了允許一個802.1X認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC地址的OUI與設備上配置的某個OUI值相符。
【舉例】
# 配置一個允許通過認證的用戶OUI值為000d2a,索引為4。
<Sysname> system-view
[Sysname] port-security oui index 4 mac-address 000d-2a10-0033
【相關命令】
· display port-security
port-security port-mode命令用來配置端口安全模式。
undo port-security port-mode命令用來恢複缺省情況。
【命令】
port-security port-mode { autolearn | secure }
undo port-security port-mode
【缺省情況】
端口處於noRestrictions模式,此時該端口的安全功能關閉,端口處於不受端口安全限製的狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
表1-4 安全模式的參數解釋表
|
參數 |
安全模式 |
說明 |
|
autolearn |
autoLearn |
端口可通過手工配置或自動學習MAC地址。手工配置或自動學習到的MAC地址被稱為安全MAC,並被添加到安全MAC地址表中 當端口下的安全MAC地址數超過端口安全允許的最大安全MAC地址數後,端口模式會自動轉變為secure模式。之後,該端口停止添加新的安全MAC,隻有源MAC地址為安全MAC地址、通過命令mac-address dynamic或mac-address static手工配置的MAC地址的報文,才能通過該端口 |
|
secure |
secure |
禁止端口學習MAC地址,隻有源MAC地址為端口上的安全MAC地址、手工配置的MAC地址的報文,才能通過該端口 |
【使用指導】
端口安全模式與端口接入控製方式、端口授權狀態配置互斥。
當端口安全已經使能且當前端口安全模式不是noRestrictions時,若要改變端口安全模式,必須首先執行undo port-security port-mode命令恢複端口安全模式為noRestrictions模式。
配置端口安全autoLearn模式時,首先需要通過命令port-security max-mac-count設置端口安全允許的最大安全MAC地址數。
端口上有用戶在線的情況下,端口安全模式無法改變。
【舉例】
# 使能端口安全,並配置端口GigabitEthernet1/0/1的端口安全模式為secure。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security port-mode secure
# 將端口GigabitEthernet1/0/1的端口安全模式改變為userLogin。
[Sysname-GigabitEthernet1/0/1] undo port-security port-mode
[Sysname-GigabitEthernet1/0/1] port-security port-mode userlogin
【相關命令】
· display port-security
· port-security max-mac-count
port-security timer disableport命令用來配置係統暫時關閉端口的時間。
undo port-security timer disableport命令用來恢複缺省情況。
【命令】
port-security timer disableport time-value
undo port-security timer disableport
【缺省情況】
係統暫時關閉端口的時間為20秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-value:端口關閉的時間,取值範圍為20~300,單位為秒。
【使用指導】
當port-security intrusion-mode設置為disableport-temporarily模式時,係統暫時關閉端口的時間由該命令配置。
【舉例】
# 配置端口GigabitEthernet1/0/1的入侵檢測特性檢測到非法報文後,將收到非法報文的端口暫時關閉30秒。
<Sysname> system-view
[Sysname] port-security timer disableport 30
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
· display port-security
· port-security intrusion-mode
snmp-agent trap enable port-security命令用來開啟端口安全告警功能。
undo snmp-agent trap enable port-security命令用來關閉指定的端口安全告警功能。
【命令】
snmp-agent trap enable port-security [ address-learned | intrusion ] *
undo snmp-agent trap enable port-security [ address-learned | intrusion ] *
【缺省情況】
端口安全的所有告警功能均處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
address-learned:表示端口學習到新MAC地址時的告警功能。
intrusion:表示發現非法報文時的告警功能。
【使用指導】
如果不指定任何參數,則表示開啟或關閉所有類型的端口安全告警功能。
指定intrusion參數時,必須同時配置了入侵檢測特性(通過命令port-security intrusion-mode),該告警功能才生效。
開啟端口安全模塊的告警功能後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
【舉例】
# 開啟端口學習到新MAC地址時的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable port-security address-learned
【相關命令】
· display port-security
· port-security enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
