• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-安全分册

05-端口安全命令

本章节下载 05-端口安全命令  (181.6 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/MESH/WH2530X-DAG/Command/Command_Manual/WH2530X-DAG_MESH_CM-5W100/05/200911/654772_30005_0.htm

05-端口安全命令


l    手册中标有请以设备实际情况为准的地方,请参见“用户手册”中的“特性差异化列表”部分的描述。

l    设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。

 

1 端口安全配置命令

1.1  端口安全配置命令

1.1.1  display port-security

【命令】

display port-security [ interface interface-list ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-list:以太网端口列表,表示多个以太网端口。表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

display port-security命令用来显示端口安全的配置信息、运行情况和统计信息。

需要注意的是,如果不指定参数interface interface-list,则显示所有端口的端口安全信息。

相关配置可参考命令port-security enableport-security port-modeport-security ntk-modeport-security intrusion-modeport-security max-mac-countport-security mac-address securityport-security authorization ignoreport-security ouiport-security trap

【举例】

# 显示所有端口的端口安全状态。

<Sysname> display port-security

 Equipment port-security is enabled

 AddressLearn trap is enabled

 Intrusion trap is enabled

 Dot1x logon trap is enabled

 Dot1x logoff trap is enabled

 Dot1x logfailure trap is enabled

 RALM logon trap is enabled

 RALM logoff trap is enabled

 RALM logfailure trap is enabled

 Disableport Timeout: 20s

 OUI value:

   Index is 1,  OUI value is 000d1a

   Index is 2,  OUI value is 003c12

 

Ethernet1/0/1 is link-down

    Port mode is UserloginWithOUI

    NeedtoKnow mode is NeedToKnowOnly

    Intrusion Portection is DisablePort

    Max MAC address number is 50

    Stored MAC address number is 0

    Authorization is ignored

Ethernet1/0/2 is link-down

    Port mode is noRestriction

    NeedtoKnow mode is disabled

    Intrusion mode is NoAction

    Max MAC address number is not configured

    Stored MAC address number is 0

    Authorization is permitted

WLAN-BSS5 is link-down

   Port mode is macAddressWithRadius

   NeedToKnow mode is disabled

   Intrusion Protection mode is NoAction

   Max MAC address number is not configured

   Stored MAC address number is 0

   Authorization is permitted

表1-1 display port-security命令显示信息描述表

字段

描述

Equipment port-security

端口安全的开启状态

AddressLearn trap

端口学习告警的开启状态。若为enabled,则表示端口学习到新MAC地址时发出告警信息

Intrusion trap

入侵检测告警的开启状态。若为enabled,则表示端口发现非法报文时发出告警信息

Dot1x logon trap

802.1X认证成功告警的开启状态。若为enabled,则表示802.1X用户认证成功时发出告警信息

Dot1x logoff trap

802. 1x认证用户下线告警的开启状态。若为enabled,则表示802.1X用户下线时发出告警信息

Dot1x logfailure

802. 1x认证失败告警的开启状态。若为enabled,则表示802.1X用户认证失败时发出告警信息

RALM logon trap

MAC地址认证成功告警的开启状态。若为enabled,则表示MAC地址认证成功时发出告警信息

RALM logoff trap

MAC地址认证用户下线告警的开启状态。若为enabled,则表示MAC地址认证用户下线时发出告警信息

RALM logfailure trap

MAC地址认证失败告警的开启状态。若为enabled,则表示MAC地址认证用户认证失败时发出告警信息

Disableport Timeout

收到非法报文的端口暂时被关闭的时间,单位为秒

OUI value

允许通过认证的用户的24位OUI值

Index

OUI的索引

Port mode

端口安全模式,包括以下几种:

l      macAddressWithRadius

l      macAddressElseUserLoginSecure

l      macAddressElseUserLoginSecureExt

l      secure

l      userLogin

l      userLoginSecure

l      userLoginSecureExt

l      macAddressOrUserLoginSecure

l      macAddressOrUserLoginSecureExt

l      userLoginWithOUI

l      presharedKey

l      macAddressAndPresharedKey

l      userLoginSecureExtOrPresharedKey

l      wapi

NeedtoKnow mode is NeedToKnowOnly

NeedtoKnow模式,包括以下三种:

l      NeedToKnowOnly:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过

l      NeedToKnowWithBroadcast:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过

l      NeedToKnowWithMulticast:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过

Intrusion mode

入侵检测特性模式,包括以下四种:

l      BlockMacAddress:表示将非法报文的源MAC地址加入阻塞MAC地址列表中

l      DisablePort:表示将收到非法报文的端口永久关闭

l      DisablePortTemporarily:表示将收到非法报文的端口暂时关闭一段时间

l      NoAction:表示不进行入侵检测处理

Max MAC address number

端口下允许学习的安全MAC地址的最大数目

Stored MAC address number

端口下保存的安全MAC地址数目

Authorization

服务器的授权信息是否被忽略的情况

l      permitted:表示当前端口应用RADIUS服务器下发的授权信息

l      ignored:表示当前端口不应用RADIUS服务器下发的授权信息

 

1.1.2  display port-security mac-address block

【命令】

display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定端口的阻塞MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。

vlan vlan-id:显示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。

count:统计符合条件的阻塞MAC地址个数。

【描述】

display port-security mac-address block命令用来显示阻塞MAC地址信息。

需要注意的是,如果不指定任何参数,则显示所有阻塞MAC地址的信息。

相关配置可参考命令port-security intrusion-mode

【举例】

# 显示所有阻塞MAC地址。

<Sysname> display port-security mac-address block

MAC ADDR             From Port                  VLAN ID

0002-0002-0002      Ethernet1/0/1                1

000d-88f8-0577      Ethernet1/0/1                1

  ---  2 mac address(es) found  ---

# 显示所有阻塞MAC地址计数。

<Sysname> display port-security mac-address block count

 2 mac address(es) found

# 显示指定VLAN中的阻塞MAC地址。

<Sysname> display port-security mac-address block vlan 1

MAC ADDR            From Port                    VLAN ID

0002-0002-0002      Ethernet1/0/1                1

000d-88f8-0577      Ethernet1/0/1                1

  ---  2 mac address(es) found  ---

# 显示指定端口下的阻塞MAC地址。

<Sysname> display port-security mac-address block interface ethernet1/0/1

MAC ADDR            From Port                    VLAN ID

000d-88f8-0577      Ethernet1/0/1                1

  ---  1 mac address(es) found  ---

# 显示指定端口下的在指定VLAN中的阻塞MAC地址。

<Sysname> display port-security mac-address block interface ethernet 1/0/1 vlan 1

MAC ADDR            From Port                    VLAN ID

000d-88f8-0577      Ethernet1/0/1                1

  ---  1 mac address(es) found  ---

表1-2 display port-security mac-address block命令显示信息描述表

字段

描述

MAC ADDR

阻塞MAC地址

From Port

阻塞MAC地址所在端口

VLAN ID

端口所属VLAN

2 mac address(es) found

当前阻塞MAC地址数目

 

1.1.3  display port-security mac-address security

【命令】

display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。

vlan vlan-id:显示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。

count:统计符合条件的安全MAC地址个数。

【描述】

display port-security mac-address security命令用来显示安全MAC地址信息。

需要注意的是,如果不指定任何参数,则显示所有安全MAC地址的信息。

相关配置可参考命令port-security mac-address security

【举例】

# 显示所有安全MAC地址。

<Sysname> display port-security mac-address security

MAC ADDR        VLAN ID   STATE          PORT INDEX          AGING TIME(s)

 0002-0002-0002  1        Security       Ethernet1/0/1       NOAGED

 000d-88f8-0577  1        Security       Ethernet1/0/1       NOAGED

  ---  2 mac address(es) found  ---

# 显示所有安全MAC地址计数。

<Sysname> display port-security mac-address security count

2 mac address(es) found

# 显示指定VLAN中的安全MAC地址。

<Sysname> display port-security mac-address security vlan 1

MAC ADDR        VLAN ID   STATE          PORT INDEX          AGING TIME(s)

0002-0002-0002  1         Security       Ethernet1/0/1       NOAGED

000d-88f8-0577  1         Security       Ethernet1/0/1       NOAGED

 

  ---  2 mac address(es) found  ---

# 显示指定端口下的安全MAC地址。

<Sysname> display port-security mac-address security interface ethernet1/0/1

MAC ADDR        VLAN ID   STATE            PORT INDEX          AGING TIME(s)

000d-88f8-0577  1         Security         Ethernet1/0/1       NOAGED

 

  ---  1 mac address(es) found  ---

# 显示指定端口下的在指定VLAN中的安全MAC地址。

<Sysname> display port-security mac-address security interface ethernet 1/0/1 vlan 1

MAC ADDR        VLAN ID   STATE          PORT INDEX          AGING TIME(s)

000d-88f8-0577  1         Security       Ethernet1/0/1       NOAGED

 

  ---  1 mac address(es) found  ---

表1-3 display port-security mac-address命令显示信息描述表

字段

描述

MAC ADDR

安全MAC地址

VLAN ID

端口所属VLAN

STATE

添加的MAC地址类型

Security:表示该项是安全MAC地址

PORT INDEX

安全MAC地址所在端口

AGING TIME(s)

安全MAC地址的存活时间

NOAGED:表示该安全MAC地址不会被老化

2 mac address(es) found

当前保存的安全MAC地址数目

 

1.1.4  display port-security preshared-key user

【命令】

display port-security preshared-key user [ interface interface-type interface-number ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定接口上端口安全的PSK用户信息。其中,interface-type interface-number表示接口类型和接口编号。

【描述】

display port-security preshared-key user命令用来显示端口安全的PSK用户信息。

需要注意的是,如果不指定参数interface,则显示所有端口的端口安全PSK用户信息。

命令display port-security preshared-key user只适用于WLAN-BSS类型的接口。

 

【举例】

# 显示所有端口下的PSK用户的相关信息。

<Sysname> display port-security preshared-key user

  Index     Mac-Address    VlanID     Interface

-----------------------------------------------------

      0  0000-1122-3344        1       WLAN-BSS 1

      1  0000-1133-2244        2       WLAN-BSS 2

# 显示指定端口WLAN-BSS1下PSK用户的相关信息。

<Sysname> display port-security preshared-key user interface WLAN-BSS 1

  Index     Mac-Address    VlanID     Interface

-----------------------------------------------------

      0  0000-1122-3344        1       WLAN-BSS 1

表1-4 display port-security preshared-key user命令显示信息描述表

字段

描述

Index

用户的编号

Mac-Address

用户的MAC地址

VlanID

用户所属的VLAN ID

Interface

用户的接入端口

 

1.1.5  port-security authorization ignore

【命令】

port-security authorization ignore

undo port-security authorization ignore

【视图】

以太网接口视图/WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security authorization ignore命令用来配置端口不应用RADIUS服务器下发的授权信息。undo port-security port-mode ignore命令用来恢复缺省情况。

缺省情况下,端口应用RADIUS服务器下发的授权信息。

当用户通过RADIUS认证后,RADIUS服务器会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。

相关配置可参考命令display port-security

【举例】

# 配置端口Ethernet1/0/1不应用RADIUS服务器下发的授权信息。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] port-security authorization ignore

1.1.6  port-security enable

【命令】

port-security enable

undo port-security enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security enable命令用来使能端口安全功能。undo port-security enable命令用来关闭端口安全功能。

缺省情况下,端口安全功能处于关闭状态。

需要注意的是:

(1)        如果已全局开启了802.1X或MAC地址认证功能,则无法使能端口安全功能。

(2)        端口安全功能使能后,端口的如下配置会被自动恢复为(括弧内的)缺省情况,且以下配置不能再进行手动配置,只能随端口安全模式的改变由系统配置:

l              802.1X认证(关闭)、端口接入控制方式(macbased、端口接入控制模式(auto);

l              MAC地址认证(关闭)。

(3)        端口安全功能关闭时,端口的如下配置会被自动恢复为(括弧内的)缺省情况:

l              端口安全模式(noRestrictions);

l              802.1X认证(关闭)、端口接入控制方式(macbased、端口接入控制模式(auto);

l              MAC地址认证(关闭)。

(4)        端口上有用户在线的情况下,端口安全功能无法关闭。

相关配置可参考命令display port-security、“安全分册/802.1X命令”中的命令dot1xdot1x port-methoddot1x port-control以及“安全分册/MAC地址认证命令”中的命令mac-authentication

【举例】

# 使能端口安全功能。

<Sysname> system-view

[Sysname] port-security enable

1.1.7  port-security intrusion-mode

【命令】

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

undo port-security intrusion-mode

【视图】

二层以太网接口视图/WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃,实现在端口上过滤非法流量的作用。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。阻塞MAC地址列表可以通过display port-security mac-address block命令查看。

disableport:表示将收到非法报文的端口永久关闭。需要注意的是,WLAN-BSS口暂不支持disableport参数。

disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。

【描述】

port-security intrusion-mode命令用来配置入侵检测特性,对接收非法报文的端口采取相应的安全策略。undo port-security intrusion-mode命令用来缺省情况。

缺省情况下,不进行入侵检测处理。

需要注意的是,可以通过执行undo shutdown命令将断开的端口连接恢复。

相关配置可参考命令display port-securitydisplay port-security mac-address blockport-security timer disableport

【举例】

# 配置端口Ethernet1/0/1的入侵检测特性被触发后,将非法报文的源MAC地址置为阻塞MAC。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] port-security intrusion-mode blockmac

1.1.8  port-security max-mac-count

【命令】

port-security max-mac-count count-value

undo port-security max-mac-count

【视图】

以太网接口视图

【缺省级别】

2:系统级

【参数】

count-value:端口允许的最大安全MAC地址数,取值范围为1~1024。

【描述】

port-security max-mac-count命令用来设置autoLearn模式下端口允许转发的最大安全MAC地址数。undo port-security max-mac-count命令用来恢复缺省情况。

缺省情况下,最大安全MAC地址数不受限制。

需要注意的是:

l              当端口工作于autoLearn模式时,无法更改端口允许的最大安全MAC地址数。

l              无线端口上有用户在线时,无法更改端口允许的最大安全MAC地址数。

l              端口允许的最大安全MAC地址数不统计手工设置的静态MAC地址。

l              端口允许的最大安全MAC地址数不能小于当前端口下已保存的MAC地址数。

相关配置可参考命令display port-security

【举例】

# 配置端口Ethernet1/0/1允许的最大安全MAC地址数为100。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] port-security max-mac-count 100

1.1.9  port-security ntk-mode

【命令】

port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }

undo port-security ntk-mode

【视图】

以太网接口视图/WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

ntk-withbroadcasts:仅发送目的地址为已认证的MAC地址或广播地址的报文。

ntk-withmulticasts:仅发送目的地址为已认证的MAC地址、广播地址或组播地址的报文。

ntkonly:仅发送目的地址为已认证的MAC地址的报文。

【描述】

port-security ntk-mode命令用来配置端口NeedToKnow特性。undo port-security ntk-mode命令用来恢复缺省配置。

缺省情况下,端口没有配置NeedToKnow特性,即所有报文都可成功发送。

NeedToKnow特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。

需要注意的是,无线端口上有用户在线的情况下,无法更改NeedToKnow特性的配置。

相关配置可参考命令display port-security

【举例】

# 配置端口Ethernet1/0/1的NeedToKnow特性为ntkonly,即仅发送目的地址为已认证的MAC地址的报文

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] port-security ntk-mode ntkonly

1.1.10  port-security oui

【命令】

port-security oui oui-value index index-value

undo port-security oui index index-value

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

oui-value:OUI值,输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位做为OUI值,忽略后24位。

index-value:标识此OUI的索引值,取值范围为1~16。

【描述】

port-security oui命令用来配置用户认证的OUI值,在端口安全模式为UserLoginWithOUI时使用。undo port-security oui命令用来删除指定索引的OUI值。

缺省情况下,没有设置用户认证的OUI值。

OUI指的是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。因此,当需要允许某些特殊设备的(有线接入)报文总是可以通过认证或仅允许这些设备的(无线接入)报文可以进行认证的情况下,就可以通过本命令来指定这些设备的OUI值,例如,某公司仅允许A厂商的IP电话在企业网中使用,则该值就为A厂商设备的OUI。

需要注意的是,本命令设置的OUI值,只在端口安全模式为userLoginWithOUI时生效。

相关配置可参考命令display port-security

【举例】

# 配置OUI值为000d2a,索引为4。

<Sysname> system-view

[Sysname] port-security oui 000d-2a10-0033 index 4

1.1.11  port-security port-mode

【命令】

port-security port-mode { mac-and-psk | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | psk | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-ext-or-psk | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui | wapi }

undo port-security port-mode

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

表1-5 安全模式的参数解释表

参数

安全模式

说明

mac-and-psk

macAddressAnd PresharedKey

接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

mac-authentication

macAddressWithRadius

对接入用户采用MAC地址认证

mac-else-userlogin-secure

macAddressElseUserLoginSecure

端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证;

对于非802.1X报文直接进行MAC地址认证。对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证

mac-else-userlogin-secure-ext

macAddressElseUserLoginSecureExt

与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

psk

presharedKey

接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口

secure

secure

禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口

userlogin

userLogin

对接入用户采用基于端口的802.1X认证

此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线

userlogin-secure

userLoginSecure

端口必须通过802.1X认证才能开启,且只允许认证成功的用户报文通过;

此模式下,端口最多只允许一个802.1X认证用户接入

userlogin-secure-ext

userLoginSecureExt

对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户

userlogin-secure-ext-or-psk

userLoginSecureExtOrPresharedKey

接入用户与设备进行交互,选择进行基于MAC(macbased)的802.1X认证或者仅进行预共享密钥协商

userlogin-secure-or-mac

macAddressOrUserLoginSecure

端口同时处于userLoginSecure模式和macAddressWithRadius模式,但802.1X认证优先级大于MAC地址认证

l      在用户接入方式为有线的情况下,对于非802.1X报文直接进行MAC地址认证。对于802.1X报文直接进行802.1X认证;

l      在用户接入方式为无线的情况下,报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证

userlogin-secure-or-mac-ext

macAddressOrUserLoginSecureExt

与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

userlogin-withoui

userLoginWithOUI

与userLoginSecure模式类似,端口最多只允许一个802.1X认证用户接入

l      在用户接入方式为有线的情况下,端口还允许一个指定OUI的源MAC地址的报文认证通过;

l      在用户接入方式为无线的情况下,端口首先对报文进行OUI检查,OUI检查失败后再进行802.1X认证

wapi

WAPI

对接入用户采用WAPI认证

 

【描述】

port-security port-mode命令用来配置端口安全模式。undo port-security port-mode命令用来恢复缺省情况。

缺省情况下,端口处于noRestrictions模式,此时该端口下端口安全特性不生效。

需要注意的是:

l              presharedKey、macAddressAndPresharedKey和userlLoginSecureExtOrPresharedKey和WAPI安全模式只能在WLAN-BSS类型的接口下配置。

l              secure、userLogin和userloginWithOUI安全模式只能在二层以太网类型的接口下配置。

表1-6 接口支持的端口安全模式列表

接口类型

支持的端口安全模式

二层以太网接口

mac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extsecureuserloginuserlogin-secureuserlogin-secure-extuserlogin-secure-or-macuserlogin-secure-or-mac-extuserlogin-withoui

WLAN-BSS

mac-and-pskmac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extpskuserlogin-secureuserlogin-secure-extuserlogin-secure-ext-or-pskuserlogin-secure-or-macuserlogin-secure-or-mac-extwapi

 

l              端口安全模式与端口下的802.1X认证使能、端口接入控制方式、端口接入控制模式以及端口下的MAC地址认证使能配置互斥。

l              当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。

l              端口上有用户在线的情况下,端口安全模式无法改变。

相关配置可参考命令display port-security

【举例】

# 使能端口安全功能,并配置端口Ethernet1/0/1的端口安全模式为secure。

<Sysname> system-view

[Sysname] port-security enable

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] port-security port-mode secure

# 将端口Ethernet1/0/1的端口安全模式改变为userLogin

[Sysname-Ethernet1/0/1] undo port-security port-mode

[Sysname-Ethernet1/0/1] port-security port-mode userlogin

# 配置无线端口WLAN-BSS1的端口安全模式为userLogin-secure

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] port-security port-mode userLogin-secure

1.1.12  port-security pre-shared-key

【命令】

port-security preshared-key { pass-phrase | raw-key } key

undo port-security preshared-key

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

pass-phrase:以字符串方式输入预共享密钥。

raw-key:以十六进制数方式输入预共享密钥。

key:预共享密钥。

l              若类型为字符串,则为8~63个字符的可显示字符串;

l              若类型为十六进制数,则为长度是64位的合法十六进制数。

【描述】

port-security preshared-key命令用来配置预共享密钥。undo port-security preshared-key命令用来删除预共享密钥。

缺省情况下,无预共享密钥。

【举例】

# 在接口WLAN-BSS1下配置预共享密钥为abcdefgh。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] port-security preshared-key pass-phrase abcdefgh

# 在接口WLAN-BSS-1下配置如下预共享密钥:

123456789abcdefg123456789abcdefg123456789abcdefg123456789abcdefg。

[Sysname-WLAN-BSS1] port-security preshared-key raw-key

123456789abcdefg123456789abcdefg123456789abcdefg123456789abcdefg

1.1.13  port-security timer disableport

【命令】

port-security timer disableport time-value

undo port-security timer disableport

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:端口静默时间,取值范围为20~300,单位为秒。

【描述】

port-security timer disableport命令用来配置系统暂时关闭端口连接的时间。undo port-security timer disableport命令用来恢复缺省情况。

缺省情况下,系统暂时关闭端口连接的时间为20秒。

port-security intrusion-mode设置为disableport-temporarily模式时,系统暂时关闭端口连接的时间由该命令配置。

相关配置可参考命令display port-security

【举例】

# 配置端口Ethernet1/0/1的入侵检测特性被触发后,收到非法报文的端口暂时关闭30秒。

<Sysname> system-view

[Sysname] port-security timer disableport 30

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily

1.1.14  port-security trap

【命令】

port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

undo port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

addresslearned:端口学习告警。在端口学习到新MAC地址时发出告警信息。

dot1xlogfailure:802.1X认证失败告警。

dot1xlogon:802.1X认证成功告警。

dot1xlogoff:802.1X认证用户下线告警。

intrusion:发现非法报文告警。

ralmlogfailure:MAC地址认证失败告警。

ralmlogoff:MAC地址认证用户下线告警。

ralmlogon:MAC地址认证成功告警。

RALM(RADIUS Authenticated Login using MAC-address)是指基于MAC地址的RADIUS认证。

 

【描述】

port-security trap命令用来打开指定告警信息的发送开关。undo port-security trap命令用来关闭指定告警信息的发送开关。

缺省情况下,所有告警信息的发送开关处于关闭状态。

该过程使用了设备的Trap特性。Trap特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于用户对这些特殊的行为进行监控。

相关配置可参考命令display port-security

【举例】

# 打开端口学习告警信息开关。

<Sysname> system-view

[Sysname] port-security trap addresslearned

1.1.15  port-security tx-key-type

【命令】

port-security tx-key-type 11key

undo port-security tx-key-type

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security tx-key-type命令用来使能11key类型的密钥协商功能。undo port-security tx-key-type命令关闭11key类型的密钥协商功能。

缺省情况下,11key类型的密钥协商功能处于关闭状态。

【举例】

# 在接口WLAN-BSS1下使能11key类型的密钥协商功能。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] port-security tx-key-type 11key

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们