- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-端口安全配置
本章節下載: 06-端口安全配置 (443.15 KB)
目 錄
1.8.5 將Sticky MAC地址設置為動態類型的安全MAC地址
1.17.2 端口安全userLoginWithOUI模式配置舉例
1.17.3 端口安全macAddressElseUserLoginSecure模式配置舉例
端口安全通過對已有的802.1X認證和MAC地址認證進行融合和擴充,在端口上為使用不同認證方式的用戶提供基於MAC地址的網絡接入控製。
· 通過檢測端口收到的數據幀中的源MAC地址來控製非授權設備或主機對網絡的訪問。
· 通過檢測從端口發出的數據幀中的目的MAC地址來控製對非授權設備的訪問。
· 通過定義各種端口安全模式,控製端口上的MAC地址學習或定義端口上的組合認證方式,讓設備學習到合法的源MAC地址,以達到相應的網絡管理效果。
Need To Know特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀隻能被發送到已經通過認證或被端口學習到的MAC所屬的設備或主機上,從而防止非法設備竊聽網絡數據。
入侵檢測特性對端口接收到的數據幀進行檢測,源MAC地址未被端口學習到的報文或未通過認證的報文,被認為是非法報文,如果發現非法報文,則對接收非法報文的端口采取相應的安全策略,包括端口被暫時斷開連接、永久斷開連接或MAC地址被過濾(默認3分鍾,不可配),以保證端口的安全性。
端口安全模式分為兩大類:控製MAC學習類和認證類。
· 控製MAC學習類:無需認證,包括端口自動學習MAC地址和禁止MAC地址學習兩種模式。
· 認證類:利用MAC地址認證和802.1X認證機製來實現,包括單獨認證和組合認證等多種模式。
配置了安全模式的端口上收到用戶報文後,首先查找MAC地址表,如果該報文的源MAC地址已經存在於MAC地址表中,則端口轉發該報文,否則根據端口所采用的安全模式進行MAC地址學習或者觸發相應的認證,並在發現非法報文後觸發端口執行相應的安全防護措施(Need To Know、入侵檢測)或發送Trap告警。缺省情況下,端口出方向的報文轉發不受端口安全限製,若觸發了端口Need To Know,則才受相應限製。關於各模式的具體工作機製,以及是否觸發Need To Know、入侵檢測的具體情況請參見表1-1。
|
端口安全采用方式 |
安全模式 |
觸發的安全防護措施 |
|
|
關閉端口安全特性 |
noRestrictions(缺省情況) 表示端口的安全功能關閉,端口處於無限製狀態 |
無 |
|
|
autoLearn |
NTK/入侵檢測 |
||
|
secure |
|||
|
userLogin |
無 |
||
|
userLoginSecure |
NTK/入侵檢測 |
||
|
userLoginSecureExt |
|||
|
userLoginWithOUI |
|||
|
macAddressWithRadius |
NTK/入侵檢測 |
||
|
Or |
macAddressOrUserLoginSecure |
NTK/入侵檢測 |
|
|
macAddressOrUserLoginSecureExt |
|||
|
Else |
macAddressElseUserLoginSecure |
||
|
macAddressElseUserLoginSecureExt |
|||
由於安全模式種類較多,為便於記憶,部分端口安全模式的名稱可按如下規則理解:
· “userLogin”表示基於端口的802.1X認證。userLogin之後,若攜帶“Secure”,則表示基於MAC地址的802.1X認證;若攜帶“Ext”,則表示可允許多個802.1X用戶認證成功,否則表示僅允許一個802.1X用戶認證成功。
· “macAddress”表示MAC地址認證。
· “Else”之前的認證方式先被采用,失敗後根據請求認證的報文協議類型決定是否轉為“Else”之後的認證方式。
· “Or”之後的認證方式先被采用,失敗後轉為“Or”之前的認證方式。
· autoLearn
該模式下,端口不會將自動學習到的MAC地址添加為MAC地址表中的動態MAC地址,而是將這些地址添加到安全MAC地址表中,稱之為安全MAC地址。也可以通過port-security mac-address security命令手工配置端口下的安全MAC地址。
隻有源MAC地址為安全MAC地址、通過命令mac-address dynamic或mac-address static手工配置的MAC地址的報文,才能通過該端口。當端口下的安全MAC地址數超過端口安全允許學習的最大安全MAC地址數後,端口模式會自動轉變為secure模式。之後,該端口停止添加新的安全MAC。
· secure
該模式下,禁止端口學習MAC地址,隻有源MAC地址為端口上的安全MAC地址、通過命令mac-address dynamic或mac-address static手工配置的MAC地址的報文,才能通過該端口。有關MAC地址的詳細配置,請參見“二層技術-以太網交換”中的“MAC地址表”。
· userLogin
此模式下,端口對接入用戶采用基於端口的802.1X認證方式。端口下支持接入多個802.1X用戶,且第一個802.1X用戶認證成功後,其它用戶無須認證就可接入。
· userLoginSecure
此模式下,端口對接入用戶采用基於MAC地址的802.1X認證方式,且最多隻允許一個802.1X認證用戶接入。
· userLoginSecureExt
該模式與userLoginSecure模式類似,但端口支持多個802.1X認證用戶接入。
· userLoginWithOUI
該模式與userLoginSecure模式類似,但端口上除了允許一個802.1X認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC的OUI與設備上配置的OUI值相符。
此模式下,報文首先進行OUI匹配,OUI匹配失敗的報文再進行802.1X認證,OUI匹配成功和802.1X認證成功的報文都允許通過端口。
OUI(Organizationally Unique Identifier,全球統一標識符)是MAC地址的前24位(二進製),是IEEE(Institute of Electrical and Electronics Engineers,電氣和電子工程師學會)為不同設備供應商分配的一個全球唯一的標識符。
macAddressWithRadius:端口對對接入用戶采用MAC地址認證,且允許多個用戶接入。
· macAddressOrUserLoginSecure
端口同時處於userLoginSecure模式和macAddressWithRadius模式,且允許一個802.1X認證用戶及多個MAC地址認證用戶接入。
此模式下,802.1X認證優先級大於MAC地址認證:報文首先觸發802.1X認證,默認情況下,如果802.1X認證失敗再進行MAC地址認證。
· macAddressOrUserLoginSecureExt
與macAddressOrUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶。
· macAddressElseUserLoginSecure
端口同時處於macAddressWithRadius模式和userLoginSecure模式,但MAC地址認證優先級大於802.1X認證。允許端口下一個802.1X認證用戶及多個MAC地址認證用戶接入。
非802.1X報文直接進行MAC地址認證。802.1X報文先進行MAC地址認證,如果MAC地址認證失敗再進行802.1X認證。
· macAddressElseUserLoginSecureExt
與macAddressElseUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶。
本特性僅在安裝了二層交換卡的款型上支持。
MSR5660/5680上安裝多塊HMIM-24GSW、HMIM-24GSWP、HMIM-8GSW和HMIM-8GSWF二層以太網交換模塊,支持同一設備跨槽位進行二層轉發。
若MSR5660/5680上安裝了MPU-100-G主控板,則不支持本特性。
由於端口安全特性通過多種安全模式提供了802.1X和MAC地址認證的擴展和組合應用,因此在需要靈活使用以上兩種認證方式的組網環境下,推薦使用端口安全特性。無特殊組網要求的情況下,無線環境中通常使用端口安全特性。而在僅需要802.1X、MAC地址認證特性來完成接入控製的組網環境下,推薦單獨使用相關特性。關於802.1X、MAC地址認證特性的詳細介紹和具體配置請參見“安全配置指導”中的“802.1X”、“MAC地址認證”。
(1) 配置端口安全基本功能
¡ 使能端口安全
¡ 配置端口安全模式
¡ (可選)配置Need To Know特性
¡ (可選)配置入侵檢測特性
(2) (可選)配置端口安全擴展功能
以上端口安全擴展功能,在未使能端口安全,但開啟802.1X或MAC地址認證功能的情況下也適用。
(3) (可選)配置端口安全告警功能
· 當端口安全處於使能狀態時,不能開啟端口上的802.1X以及MAC地址認證,且不能修改802.1X端口接入控製方式和端口授權狀態,它們隻能隨端口安全模式的改變由係統更改。
· 可以通過undo port-security enable命令關閉端口安全。但需要注意的是,在端口上有用戶在線的情況下,關閉端口會導致在線用戶下線。
· 執行使能或關閉端口安全的命令後,端口上的如下配置會被自動恢複為以下缺省情況:
¡ 802.1X端口接入控製方式為macbased;
¡ 802.1X端口的授權狀態為auto。
有關802.1X認證配置的詳細介紹可參見“安全配置指導”中的“802.1X”。有關MAC地址認證配置的詳細介紹可參見“安全配置指導”中的“MAC地址認證”。
在使能端口安全之前,需要關閉全局的802.1X和MAC地址認證。
(1) 進入係統視圖。
system-view
(2) 使能端口安全。
port-security enable
缺省情況下,端口安全功能處於關閉狀態。
· 在端口安全未使能的情況下,端口安全模式可以進行配置但不會生效。
· 端口上有用戶在線的情況下,改變端口的安全模式會導致在線用戶會下線。
· 如果端口上已經配置了端口安全模式,則不允許開啟802.1X認證和MAC地址認證。
· 當端口安全已經使能且當前端口安全模式不是noRestrictions時,若要改變端口安全模式,必須首先執行undo port-security port-mode命令恢複端口安全模式為noRestrictions模式。
在配置端口安全模式之前,端口上首先需要滿足以下條件:
· 802.1X認證關閉。
· MAC地址認證關閉。
· 端口未加入聚合組。
· 對於autoLearn模式,還需要提前設置端口安全允許的最大安全MAC地址數。但是如果端口已經工作在autoLearn模式下,則無法更改端口安全允許的最大安全MAC地址數。
(1) 進入係統視圖。
system-view
(2) 配置允許通過認證的用戶OUI值。
port-security oui index index-value mac-address oui-value
缺省情況下,不存在允許通過認證的用戶OUI值。
該命令僅在端口安全模式為userLoginWithOUI時必選。在這種情況下,端口除了可以允許一個802.1X的接入用戶通過認證之外,僅允許一個與某OUI值匹配的用戶通過認證。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 配置端口的安全模式。
port-security port-mode { autolearn | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }
缺省情況下,端口處於noRestrictions模式。
端口安全允許某個端口下有多個用戶接入,但是允許的用戶數不能超過規定的最大值。
配置端口允許的最大安全MAC地址數有兩個作用:
· 控製端口允許接入網絡的最大用戶數。對於采用802.1X、MAC地址認證或者兩者組合形式的認證類安全模式,端口允許的最大用戶數取本命令配置的值與相應模式下允許認證用戶數的最小值;
· 控製autoLearn模式下端口能夠添加的最大安全MAC地址數。
端口安全允許的最大安全MAC地址數與“二層技術-以太網交換配置指導/MAC地址表”中配置的端口最多可以學習到的MAC地址數無關,且不受其影響。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口安全允許的最大安全MAC地址數。
port-security max-mac-count max-count
缺省情況下,端口安全不限製本端口可保存的最大安全MAC地址數。
安全MAC地址是一種特殊的MAC地址,保存配置後重啟設備,不會丟失。在同一個VLAN內,一個安全MAC地址隻能被添加到一個端口上。
安全MAC地址可以通過以下兩種途徑生成:
· 由autoLearn安全模式下的使能端口安全功能的端口自動學習。
· 通過命令行手動添加。
缺省情況下,所有的安全MAC地址均不老化,除非被管理員通過命令行手工刪除,或因為配置的改變(端口的安全模式被改變,或端口安全功能被關閉)而被係統自動刪除。但是,安全MAC地址不老化會帶來一些問題:合法用戶離開端口後,若有非法用戶仿冒合法用戶源MAC接入,會導致合法用戶不能繼續接入;雖然該合法用戶已離開,但仍然占用端口MAC地址資源,而導致其它合法用戶不能接入。因此,讓某一類安全MAC地址能夠定期老化,可提高端口接入的安全性和端口資源的利用率。
表1-2 安全MAC地址相關屬性列表
|
類型 |
生成方式 |
配置保存機製 |
老化機製 |
|
靜態 |
手工添加(未指定sticky關鍵字) |
安全MAC地址在保存配置文件並重啟設備後,仍然存在 |
不老化 |
|
Sticky |
手工添加(指定sticky關鍵字),或端口自動學習 |
Sticky MAC地址在保存配置文件並重啟設備後,仍然存在,且其老化定時器會重新開始計時 Sticky MAC地址可通過配置轉換為動態類型的MAC地址。動態類型的安全MAC地址不能被保存在配置文件中,設備重啟後會被丟失 |
支持兩種老化機製: · 定時老化。若老化時間為0,則表示不老化(缺省) · 無流量老化。設備會定期檢測(檢測周期不可配)端口上的安全MAC地址是否有流量產生,若某安全MAC地址在配置的Sticky MAC地址老化時間內沒有任何流量產生,則才會被老化 |
當端口下的安全MAC地址數目超過端口允許學習的最大安全MAC地址數後,端口安全模式變為secure模式。該模式下,禁止端口學習MAC地址,隻有源MAC地址為端口上的安全MAC地址或通過命令mac-address dynamic或mac-address static手工配置的MAC地址的報文,才能通過該端口。
在配置安全MAC地址之前,需要完成以下配置任務:
· 設置端口安全允許的最大MAC地址數。
· 配置端口安全模式為autoLearn。
· 當前的接口必須允許指定的VLAN通過或已加入該VLAN,且該VLAN已存在。
(1) 進入係統視圖。
system-view
(2) 配置安全MAC地址的老化時間。
port-security timer autolearn aging time-value
缺省情況下,安全MAC地址不會老化。
(3) 在係統視圖或接口視圖下配置安全MAC地址。
¡ 在係統視圖下配置安全MAC地址。
port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id
¡ 依次執行以下命令在接口視圖下配置安全MAC地址。
interface interface-type interface-number
port-security mac-address security [ sticky ] mac-address vlan vlan-id
缺省情況下,未配置安全MAC地址。
與相同VLAN綁定的同一個MAC地址不允許同時指定為靜態類型的安全MAC地址和Sticky MAC地址。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置安全地址的老化方式為無流量老化。
port-security mac-address aging-type inactivity
缺省情況下,安全MAC地址按照配置的老化時間進行老化,即在配置的安全MAC地址的老化時間到達後立即老化,不論該安全MAC地址是否還有流量產生。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 將Sticky MAC地址設置為動態類型的安全MAC地址。
port-security mac-address dynamic
缺省情況下,Sticky MAC地址能夠被保存在配置文件中,設備重啟後也不會丟失。
Need To Know特性用來限製認證端口上出方向的報文轉發,可支持的限製方式如下:
· ntkonly:僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過。
· ntk-withbroadcasts:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過。
· ntk-withmulticasts:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過。
配置了Need To Know的端口在以上任何一種方式下都不允許目的MAC地址未知的單播報文通過。
並非所有的端口安全模式都支持Need To Know特性,配置時需要先了解各模式對此特性的支持情況,具體請參見表1-1。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口Need To Know特性。
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }
缺省情況下,端口沒有配置Need To Know特性,即所有報文都可成功發送。
當設備檢測到一個非法的用戶通過端口試圖訪問網絡時,入侵檢測特性用於配置設備可能對其采取的安全措施,包括以下三種方式:
· blockmac:表示將非法報文的源MAC地址加入阻塞MAC地址列表中,源MAC地址為阻塞MAC地址的報文將被丟棄。此MAC地址在被阻塞3分鍾(係統默認,不可配)後恢複正常。
· disableport:表示將收到非法報文的端口永久關閉。
· disableport-temporarily:表示將收到非法報文的端口暫時關閉一段時間。關閉時長可通過port-security timer disableport命令配置。
macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下工作的端口,對於同一個報文,隻有MAC地址認證和802.1X認證均失敗後,才會觸發入侵檢測特性。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置入侵檢測特性 。
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
缺省情況下,不進行入侵檢測處理。
(4) (可選)依次執行以下命令配置係統暫時關閉端口的時間。
quit
port-security timer disableport time-value
缺省情況下,係統暫時關閉端口的時間為20秒。
802.1X用戶或MAC地址認證用戶通過本地認證或RADIUS認證時,本地設備或遠程RADIUS服務器會把授權信息下發給用戶。通過此配置可實現端口是否忽略這類下發的授權信息。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置當前端口不應用RADIUS服務器或設備本地下發的授權信息。
port-security authorization ignore
缺省情況下,端口應用RADIUS服務器或設備本地下發的授權信息。
允許MAC遷移功能是指,允許在線的802.1X用戶或MAC地址認證用戶移動到設備的其它端口上接入後可以重新認證上線。缺省情況下,如果用戶從某一端口上線成功,則該用戶在未從當前端口下線的情況下無法在設備的其它端口上(無論該端口是否與當前端口屬於同一VLAN)發起認證,也無法上線。若開啟了允許MAC地址遷移功能,則允許在線用戶離開當前端口在設備的其它端口上(無論該端口是否與當前端口屬於同一VLAN)發起認證。如果該用戶在後接入的端口上認證成功,則當前端口會將該用戶立即進行下線處理,保證該用戶僅在一個端口上處於上線狀態。如果服務器在線用戶數已達到上限,將無法進行MAC地址遷移。
通常,不建議開啟該功能,隻有在用戶漫遊遷移需求的情況下建議開啟此功能。
(1) 進入係統視圖。
system-view
(2) 開啟允許MAC遷移功能。
port-security mac-move permit
缺省情況下,允許MAC遷移功能處於關閉狀態。
接口上開啟授權失敗用戶下線功能後,當服務器下發的授權信息(目前僅支持ACL、User Profile)在設備上不存在或者設備下發授權信息失敗時,設備將強製用戶下線。該功能用於配合服務器上的用戶授權控製策略,它僅允許接口上成功下發了授權信息的用戶在線。
對於授權VLAN失敗的情況,設備會直接讓用戶下線,與此功能無關。
(1) 進入係統視圖。
system-view
(2) 開啟授權失敗用戶下線功能。
port-security authorization-fail offline
缺省情況下,授權失敗用戶下線功能處於關閉狀態,即授權失敗後用戶保持在線。
用戶的接入VLAN可標識用戶的接入位置,而在某些應用環境中,網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來標識用戶的接入位置,因此接入設備上需要建立用戶接入VLAN與指定的NAS-ID之間的綁定關係。這樣,當用戶上線時,設備會將與用戶接入VLAN匹配的NAS-ID填充在RADIUS請求報文中的NAS-Identifier屬性中發送給RADIUS服務器。
NAS-ID Profile可以在係統視圖下或者接口視圖下進行配置,接口上的配置優先,若接口上沒有配置,則使用係統視圖下的全局配置。
如果指定了NAS-ID Profile,則此Profile中定義的綁定關係優先使用;如果未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係,則使用設備名作為NAS-ID。
NAS-ID與VLAN的綁定關係的配置請參考“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 在係統視圖或接口視圖下指定引用的NAS-ID Profile。
¡ 係統視圖下指定引用的NAS-ID Profile。
port-security nas-id-profile profile-name
¡ 依次執行以下命令在接口視圖下指定引用的NAS-ID Profile。
interface interface-type interface-number
port-security nas-id-profile profile-name
缺省情況下,未指定引用的NAS-ID Profile。
開啟端口安全告警功能後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
(1) 進入係統視圖。
system-view
(2) 打開指定告警信息的開關。
snmp-agent trap enable port-security [ address-learned | dot1x-failure | dot1x-logoff | dot1x-logon | intrusion | mac-auth-failure | mac-auth-logoff | mac-auth-logon ] *
缺省情況下,所有告警信息的開關處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後端口安全的運行情況,通過查看顯示信息驗證配置的效果。
|
操作 |
命令 |
|
顯示端口安全的配置信息、運行情況和統計信息 |
display port-security [ interface interface-type interface-number ] |
|
顯示安全MAC地址信息 |
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] |
|
顯示阻塞MAC地址信息 |
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] |
在Device的端口GigabitEthernet1/0/1上對接入用戶做如下的限製:
· 允許64個用戶自由接入,不進行認證,將學習到的用戶MAC地址添加為Sticky MAC地址,老化時間為30分鍾;
· 當安全MAC地址數量達到64後,停止學習;當再有新的MAC地址接入時,觸發入侵檢測,並將此端口關閉30秒。
圖1-1 端口安全autoLearn模式組網圖
# 使能端口安全。
<Device> system-view
[Device] port-security enable
# 設置安全MAC地址的老化時間為30分鍾。
[Device] port-security timer autolearn aging 30
# 設置端口安全允許的最大安全MAC地址數為64。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] port-security max-mac-count 64
# 設置端口安全模式為autoLearn。
[Device-GigabitEthernet1/0/1] port-security port-mode autolearn
# 設置觸發入侵檢測特性後的保護動作為暫時關閉端口,關閉時間為30秒。
[Device-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
[Device-GigabitEthernet1/0/1] quit
[Device] port-security timer disableport 30
上述配置完成後,可以使用如下顯示命令查看端口安全的配置情況。
[Device] display port-security interface gigabitethernet 1/0/1
Global port security parameters:
Port security : Enabled
AutoLearn aging time : 30 min
Disableport timeout : 30 s
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Disabled
Intrusion trap : Disabled
Address-learned trap : Disabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Disabled
Mac-auth-logoff trap : Disabled
OUI value list :
Index : 1 Value : 123401
GigabitEthernet1/0/1 is link-up
Port mode : autoLearn
NeedToKnow mode : Disabled
Intrusion protection mode : DisablePortTemporarily
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : 64
Current secure MAC addresses : 0
Authorization : Permitted
NAS-ID profile : Not configured
可以看到端口安全所允許的最大安全MAC地址數為64,端口模式為autoLearn,入侵檢測保護動作為DisablePortTemporarily,入侵發生後端口被禁用時間為30秒。
配置生效後,端口允許地址學習,學習到的MAC地址數可在上述顯示信息的“Current secure MAC addresses”字段查看到,具體的MAC地址信息可以在接口視圖下用display this命令查看。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] display this
#
interface GigabitEthernet1/0/1
port link-mode bridge
port-security max-mac-count 64
port-security port-mode autolearn
port-security mac-address security sticky 0002-0000-0015 vlan 1
port-security mac-address security sticky 0002-0000-0014 vlan 1
port-security mac-address security sticky 0002-0000-0013 vlan 1
port-security mac-address security sticky 0002-0000-0012 vlan 1
port-security mac-address security sticky 0002-0000-0011 vlan 1
#
當學習到的MAC地址數達到64後,用命令display port-security interface可以看到端口模式變為secure,再有新的MAC地址到達將觸發入侵保護,可以通過命令display interface看到此端口關閉。30秒後,端口狀態恢複。此時,如果手動刪除幾條安全MAC地址後,端口安全的狀態重新恢複為autoLearn,可以繼續學習MAC地址。
客戶端通過端口GigabitEthernet1/0/1連接到Device上,Device通過RADIUS服務器對客戶端進行身份認證,如果認證成功,客戶端被授權允許訪問Internet資源。
· IP地址為192.168.1.2的RADIUS服務器作為主認證服務器和從計費服務器,IP地址為192.168.1.3的RADIUS服務器作為從認證服務器和主計費服務器。認證共享密鑰為name,計費共享密鑰為money。
· 所有接入用戶都使用ISP域sun的認證/授權/計費方法,該域最多可同時接入30個用戶;
· 係統向RADIUS服務器重發報文的時間間隔為5秒,重發次數為5次,發送實時計費報文的時間間隔為15分鍾,發送的用戶名不帶域名。
· 端口GigabitEthernet1/0/1同時允許一個802.1X用戶以及一個與指定OUI值匹配的設備接入。
圖1-2 端口安全userLoginWithOUI模式組網圖
· 下述配置步驟包含了部分AAA/RADIUS協議配置命令,具體介紹請參見“安全配置指導”中的“AAA”。
· 保證客戶端和RADIUS服務器之間路由可達。
(1) 配置AAA
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme radsun
[Device-radius-radsun] primary authentication 192.168.1.2
[Device-radius-radsun] primary accounting 192.168.1.3
[Device-radius-radsun] secondary authentication 192.168.1.3
[Device-radius-radsun] secondary accounting 192.168.1.2
[Device-radius-radsun] key authentication simple name
[Device-radius-radsun] key accounting simple money
[Device-radius-radsun] timer response-timeout 5
[Device-radius-radsun] retry 5
[Device-radius-radsun] timer realtime-accounting 15
[Device-radius-radsun] user-name-format without-domain
[Device-radius-radsun] quit
# 配置ISP域。
[Device] domain sun
[Device-isp-sun] authentication lan-access radius-scheme radsun
[Device-isp-sun] authorization lan-access radius-scheme radsun
[Device-isp-sun] accounting lan-access radius-scheme radsun
[Device-isp-sun] quit
(2) 配置802.1X
# 配置802.1X的認證方式為CHAP。(該配置可選,缺省情況下802.1X的認證方式為CHAP)
[Device] dot1x authentication-method chap
# 指定端口上接入的802.1X用戶使用強製認證域sun。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] dot1x mandatory-domain sun
[Device-GigabitEthernet1/0/1] quit
(3) 配置端口安全
# 使能端口安全。
[Device] port-security enable
# 添加5個OUI值。(最多可添加16個,此處僅為示例。最終,端口僅允許一個與某OUI值匹配的用戶通過認證)
[Device] port-security oui index 1 mac-address 1234-0100-1111
[Device] port-security oui index 2 mac-address 1234-0200-1111
[Device] port-security oui index 3 mac-address 1234-0300-1111
[Device] port-security oui index 4 mac-address 1234-0400-1111
[Device] port-security oui index 5 mac-address 1234-0500-1111
# 設置端口安全模式為userLoginWithOUI。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] port-security port-mode userlogin-withoui
[Device-GigabitEthernet1/0/1] quit
# 查看名稱為radsun的RADIUS方案的配置信息。
[Device] display radius scheme radsun
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name : radsun
Index : 0
Primary authentication server:
IP : 192.168.1.2 Port: 1812
VPN : Not configured
State: Active
Test profile: Not configured
Primary accounting server:
IP : 192.168.1.3 Port: 1813
VPN : Not configured
State: Active
Second authentication server:
IP : 192.168.1.3 Port: 1812
VPN : Not configured
State: Active
Test profile: Not configured
Second accounting server:
IP : 192.168.1.2 Port: 1813
VPN : Not configured
State: Active
Accounting-On function : Disabled
extended function : Disabled
retransmission times : 50
retransmission interval(seconds) : 3
Timeout Interval(seconds) : 5
Retransmission Times : 5
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 15
NAS IP Address : Not configured
VPN : Not configured
User Name Format : without-domain
Data flow unit : Megabyte
Packet unit : One
Attribute 15 check-mode : Strict
Attribute 25 : Standard
Attribute Remanent-Volume unit : Mega
------------------------------------------------------------------
# 查看端口安全的配置信息。
[Device] display port-security interface gigabitethernet 1/0/1
Global port security parameters:
Port security : Enabled
AutoLearn aging time : 30 min
Disableport timeout : 30 s
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Disabled
Intrusion trap : Disabled
Address-learned trap : Disabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Disabled
Mac-auth-logoff trap : Disabled
OUI value list :
Index : 1 Value : 123401
Index : 2 Value : 123402
Index : 3 Value : 123403
Index : 4 Value : 123404
Index : 5 Value : 123405
GigabitEthernet1/0/1 is link-up
Port mode : userLoginWithOUI
NeedToKnow mode : Disabled
Intrusion protection mode : NoAction
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : Not configured
Current secure MAC addresses : 1
Authorization :Permitted
NAS-ID profile : Not configured
配置完成後,如果有802.1X用戶上線,則可以通過上述顯示信息看到當前端口保存的MAC地址數為1。還可以通過display dot1x命令查看該802.1X用戶的在線情況。
此外,端口還允許一個MAC地址與OUI值匹配的用戶通過,可以通過下述命令查看。
[Device] display mac-address interface gigabitethernet 1/0/1
MAC Address VLAN ID State Port/NickName Aging
1234-0300-0011 1 Learned GE1/0/1 Y
客戶端通過端口GigabitEthernet1/0/1連接到Device上,Device通過RADIUS服務器對客戶端進行身份認證。如果認證成功,客戶端被授權允許訪問Internet資源。
· 可以有多個MAC認證用戶接入;
· 如果是802.1X用戶請求認證,先進行MAC地址認證,MAC地址認證失敗,再進行802.1X認證。最多隻允許一個802.1X用戶接入;
· MAC地址認證設置用戶名格式為用戶MAC地址的形式;
· 上線的MAC地址認證用戶和802.1X認證用戶總和不能超過64個;
· 為防止報文發往未知目的MAC地址,啟動ntkonly方式的Need To Know特性。
圖1-3 端口安全macAddressElseUserLoginSecure模式組網圖
· RADIUS認證/計費及ISP域的配置同“1.17.2 端口安全userLoginWithOUI模式配置舉例”,這裏不再贅述。
· 保證接入用戶和RADIUS服務器之間路由可達。
# 使能端口安全。
<Device> system-view
[Device] port-security enable
# 配置MAC認證的用戶名和密碼,使用帶連字符“-”的MAC地址格式,其中字母大寫。
[Device] mac-authentication user-name-format mac-address with-hyphen uppercase
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain sun
# 配置802.1X的認證方式為CHAP。(該配置可選,缺省情況下802.1X的認證方式為CHAP)
[Device] dot1x authentication-method chap
# 設置端口安全允許的最大MAC地址數為64。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] port-security max-mac-count 64
# 設置端口安全模式為macAddressElseUserLoginSecure。
[Device-GigabitEthernet1/0/1] port-security port-mode mac-else-userlogin-secure
# 指定端口上接入的802.1X用戶使用強製認證域sun。
[Device-GigabitEthernet1/0/1] dot1x mandatory-domain sun
# 設置端口Need To Know模式為ntkonly。
[Device-GigabitEthernet1/0/1] port-security ntk-mode ntkonly
[Device-GigabitEthernet1/0/1] quit
# 查看端口安全的配置信息。
[Device] display port-security interface gigabitethernet 1/0/1
Global port security parameters:
Port security : Enabled
AutoLearn aging time : 30 min
Disableport timeout : 30 s
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Disabled
Intrusion trap : Disabled
Address-learned trap : Disabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Disabled
Mac-auth-logoff trap : Disabled
OUI value list
GigabitEthernet1/0/1 is link-up
Port mode : macAddressElseUserLoginSecure
NeedToKnow mode : NeedToKnowOnly
Intrusion protection mode : NoAction
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : 64
Current secure MAC addresses : 0
Authorization : Permitted
NAS-ID profile : Not configured
配置完成後,如果有用戶認證上線,則可以通過下述顯示信息看到當前端口上的用戶認證信息。
# 查看MAC地址認證信息。
[Device] display mac-authentication interface gigabitethernet 1/0/1
Global MAC authentication parameters:
MAC authenticaiton : Enabled
User name format : MAC address in uppercase(XX-XX-XX-XX-XX-XX)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 180 s
Server timeout : 100 s
Authentication domain : sun
Online MAC-auth users : 3
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Host mode : Single VLAN
Max online users : 4294967295
Authentication attempts : successful 3, failed 7
Current online users : 0
MAC address Auth state
1234-0300-0011 Authenticated
1234-0300-0012 Authenticated
1234-0300-0013 Authenticated
# 查看802.1X認證信息。
[Device] display dot1x interface gigabitethernet 1/0/1
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
SmartOn supp timeout : 30 s
SmartOn retry counts : 3
EAD assistant function : Disabled
EAD timeout : 30 min
Domain delimiter : @
Online 802.1X users : 1
GigabitEthernet1/0/1 is link-up
802.1X authenticaiton : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : MAC-based
Multicast trigger : Enabled
Mandatory auth domain : sun
Guest VLAN : Not configured
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Re-auth server-unreachable : Logoff
Max online users : 4294967295
SmartOn : Disabled
EAPOL packets: Tx 16331, Rx 102
Sent EAP Request/Identity packets : 16316
EAP Request/Challenge packets: 6
EAP Success packets: 4
EAP Failure packets: 5
Received EAPOL Start packets : 6
EAPOL LogOff packets: 2
EAP Response/Identity packets : 80
EAP Response/Challenge packets: 6
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0002-0000-0011 Authenticated
此外,因為設置了Need To Know特性,目的MAC地址未知、廣播和多播報文都被丟棄。
無法設置端口的端口安全模式。
在當前端口的端口安全模式已配置的情況下,無法直接對端口安全模式進行設置。
首先設置端口安全模式為noRestrictions狀態,再設置新的端口安全模式。
[Device-GigabitEthernet1/0/1] undo port-security port-mode
[Device-GigabitEthernet1/0/1] port-security port-mode autolearn
無法配置安全MAC地址。
端口安全模式為非autoLearn時,不能對安全MAC地址進行設置。
設置端口安全模式為autoLearn狀態。
[Device-GigabitEthernet1/0/1] undo port-security port-mode
[Device-GigabitEthernet1/0/1] port-security max-mac-count 64
[Device-GigabitEthernet1/0/1] port-security port-mode autolearn
[Device-GigabitEthernet1/0/1] port-security mac-address security 1-1-2 vlan 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
