12-端口安全-端口绑定操作
本章节下载 (297.37 KB)
目 录
1.2.5 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN
1.2.6 配置当前端口不应用RADIUS服务器下发的授权信息
1.4.2 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN配置举例
端口安全(Port Security)是一种对网络接入进行控制的安全机制,是对已有的802.1x认证和MAC地址认证的扩充。
Port Security的主要功能就是用户通过定义各种安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。
启动了端口安全功能之后,对于无线PoE注入器不能通过安全模式学习到其源MAC地址的报文,系统将视为非法报文;对于不能通过802.1x认证或MAC地址认证的事件,将被视为非法事件。
当发现非法报文或非法事件后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的维护工作量,极大地提高了系统的安全性和可管理性。
端口安全的特性包括:
l NTK特性:NTK(Need To Know)特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被无线PoE注入器发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
l Intrusion Protection特性:该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码,发现非法报文或非法事件,并采取相应的动作,包括暂时断开端口连接、永久断开端口连接或是过滤源地址是此MAC地址的报文,保证了端口的安全性。
l Trap特性:该特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
对于端口安全模式的具体描述,请参见表1-1。
安全模式类型 |
描述 |
特性说明 |
noRestriction |
此模式下,端口处于无限制状态 |
此模式下,NTK特性和Intrusion Protection特性不会被触发 |
autolearn |
此模式下,端口学习到的MAC地址会转变为Security MAC地址; 当端口下的Security MAC地址数超过port-security max-mac-count命令配置的数目后,端口模式会自动转变为secure模式; 之后,该端口不会再添加新的Security MAC,只有源MAC为Security MAC的报文,才能通过该端口 |
在左侧列出的模式下,当设备发现非法报文后,将触发NTK特性和Intrusion Protection特性 |
secure |
禁止端口学习MAC地址,只有源MAC为端口已经学习到的Security MAC、已配置的静态MAC的报文,才能通过该端口 |
|
userlogin |
对接入用户采用基于端口的802.1x认证 |
此模式下NTK特性和Intrusion Protection特性不会被触发 |
userLoginSecure |
对接入用户采用基于MAC的802.1x认证,认证成功后端口开启,但也只允许认证成功的用户报文通过; 此模式下,端口最多只允许接入一个经过802.1x认证的用户; 当端口从noRestriction模式进入此安全模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除 |
在左侧列出的模式下,当设备发现非法报文或非法事件后,将触发Need To Know特性和Intrusion Protection特性 |
userLoginSecureExt |
与userLoginSecure类似,但端口下的802.1x认证用户可以有多个 |
|
userLoginWithOUI |
与userLoginSecure类似,端口最多只允许一个802.1x认证用户,但同时,端口还允许一个OUI(Organizationally Unique Identifier 是一个全球唯一的标识符,是MAC地址的前24位)地址的报文通过; 当端口从noRestriction模式进入此模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除 |
|
macAddressWithRadius |
对接入用户采用MAC地址认证 |
|
macAddressOrUserLoginSecure |
MAC地址认证和802.1x认证可以同时共存,但802.1x认证优先级大于MAC地址认证; 接入用户通过MAC地址认证后,仍然可以进行802.1x认证; 接入用户通过802.1x认证后,不再进行MAC地址认证; 此模式下,端口最多只允许接入一个经过认证的802.1x用户,但端口下经过认证的MAC地址认证用户可以有多个 |
|
macAddressOrUserLoginSecureExt |
与macAddressOrUserLoginSecure类似,但此模式下,端口允许经过认证的802.1x用户可以有多个 |
|
macAddressElseUserLoginSecure |
接入用户可以进行MAC地址认证或802.1x认证,当其中一种方式认证成功则表明认证通过; 此模式下,端口最多只允许接入一个经过认证的802.1x用户,但端口下经过认证的MAC地址认证用户可以有多个 |
|
macAddressElseUserLoginSecureExt |
与macAddressElseUserLoginSecure类似,但此模式下,端口允许经过认证的802.1x用户可以有多个 |
|
macAddressAndUserLoginSecure |
对接入用户先进行MAC地址认证,当MAC地址认证成功后,再进行802.1x认证。只有在这两种认证都成功的情况下,才允许该用户接入网络; 此模式下,端口最多只允许一个用户接入网络 |
|
macAddressAndUserLoginSecureExt |
与macAddressAndUserLoginSecure类似,但此模式下,端口允许接入网络的用户可以有多个 |
l 当端口工作在userlogin-withoui模式下时,即使OUI地址不匹配,也不会触发Intrusion Protection特性。
l 在macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下,接入用户在MAC地址认证失败后,该用户的MAC地址将被设置为静默MAC。如果此时,该接入用户还要进行802.1x认证,则在静默期间,无线PoE注入器不处理该用户的认证功能,静默之后无线PoE注入器才允许该用户进行802.1x认证。
l 对于工作在端口安全模式下的端口,当该端口接收到源MAC地址和已配置的动态MAC匹配的二层转发报文时,无线PoE注入器将允许报文通过该端口。
表1-2 端口安全配置任务简介
配置任务 |
说明 |
详细配置 |
|
启动端口安全功能 |
必选 |
||
配置端口允许的最大MAC地址数 |
可选 |
||
配置端口安全模式 |
必选 |
||
配置端口安全的相关特性 |
配置NTK特性 |
可选 根据实际组网需求选择其中一种或多种特性 |
|
配置Intrusion Protection特性 |
|||
配置Trap特性 |
|||
端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN |
可选 |
||
配置当前端口不应用RADIUS服务器下发的授权信息 |
可选 |
||
配置Security MAC地址 |
可选 |
在启动端口安全功能之前,需要关闭全局的802.1x和MAC地址认证功能。
表1-3 启动端口安全功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启动端口安全功能 |
port-security enable |
必选 缺省情况下,端口安全功能处于关闭状态 |
当用户启动端口安全功能后,端口的如下配置会被自动恢复为(括弧内的)缺省情况:
l 802.1x认证(关闭)、端口接入控制方式(macbased)、端口接入控制模式(auto);
l MAC地址认证(关闭)。
且以上配置不能再进行手动配置,只能随端口安全模式的改变由系统配置。
l 关于802.1x认证的详细介绍,请参见“802.1x及System-Guard”中的相关内容。
l 关于MAC地址认证的详细介绍,请参见“MAC地址认证”中的相关内容。
端口安全允许某个端口下有多个用户通过认证,但是允许的用户数不能超过设置的最大值。
配置端口允许的最大MAC地址数有两个作用:
l 控制能够通过某端口接入网络的最大用户数;
l 控制端口安全能够添加的Security MAC地址数。
该配置与MAC地址管理中配置的端口最多可以学习到的MAC地址数无关。
表1-4 配置端口允许接入的最大MAC地址数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口允许接入的最大MAC地址数 |
port-security max-mac-count count-value |
必选 缺省情况下,最大MAC地址数不受限制 |
表1-5 配置端口安全模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置用户认证的OUI值 |
port-security oui OUI-value index index-value |
可选 在端口安全模式为userLoginWithOUI时,端口除了可以允许一个802.1x的接入用户通过认证之外,还可以允许一个指定OUI值的源MAC地址的用户通过认证 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口的安全模式 |
port-security port-mode { autolearn | mac-and-userlogin-secure | mac-and-userlogin-secure-ext | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui } |
必选 缺省情况下,端口处于noRestriction模式,此时该端口处于无限制状态 根据实际需要,用户可以配置不同的安全模式 |
l 当用户配置端口安全模式为autolearn时,首先需要使用port-security max-mac-count命令设置端口允许接入的最大MAC地址数。
l 当端口工作于autoLearn模式时,无法更改端口允许接入的最大MAC地址数。
l 在用户配置端口安全模式为autolearn后,不能在该端口上配置静态或黑洞MAC地址。
l 当端口安全模式不是noRestriction时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestriction模式。
在已经配置了安全模式的端口下,将不能再进行以下配置:
l 配置最大MAC地址学习个数;
l 配置镜像反射端口;
l 配置端口汇聚。
表1-6 配置NTK特性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置Need To Know特性 |
port-security ntk-mode { ntkonly | ntk-withbroadcasts | ntk-withmulticasts } |
必选 缺省情况下,没有配置Need To Know特性,即所有报文都可成功发送 |
表1-7 配置Intrusion Protection特性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
设置Intrusion Protection特性被触发后,无线PoE注入器采取的相应动作 |
port-security intrusion-mode { blockmac | disableport | disableport-temporarily } |
必选 缺省情况下,没有配置Intrusion Protection特性 |
退回系统视图 |
quit |
- |
设置系统暂时断开端口连接的时间 |
port-security timer disableport timer |
可选 缺省情况下,系统暂时断开端口连接的时间为20秒 |
port-security timer disableport命令设置的时间值,是port-security intrusion-mode命令设置为disableport-temporarily模式时,系统暂时断开端口连接的时间。
当用户在同一端口上配置NTK特性和配置port-security intrusion-mode blockmac命令后,无线PoE注入器将无法禁止目的MAC地址为非法MAC地址的报文从该端口发出,也就是说NTK特性对目的MAC地址为非法MAC地址的报文不起作用。
表1-8 配置Trap特性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
打开指定Trap信息的发送开关 |
port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon } |
必选 缺省情况下,Trap信息的发送开关处于关闭状态 |
Guest VLAN是用户在认证失败的情况下,可以访问的指定VLAN(有关Guest VLAN的详细介绍请参见“802.1x及System-Guard”)。
对于支持Guest VLAN的macAddressOrUserLoginSecure安全模式来说,每个端口下可连接一个或多个认证用户,但同一时刻每个端口最多只允许一个用户通过安全认证。具体情况如下:
(1) 当端口上连接的首个认证用户触发802.1x认证或MAC地址认证时:
l 如果该用户未通过802.1x认证或MAC地址认证,则该端口会被加入到Guest VLAN,此后所有在该端口接入的用户将被授权访问Guest VLAN里的资源。
l 若该用户通过了802.1x认证或MAC地址认证,因为端口同一时刻只允许接入一个经过认证的用户,其他用户的认证请求将不再进行处理(后续认证用户认证失败,但端口不会加入Guest VLAN)。
(2) 当某端口已经加入Guest VLAN后:
l 该端口下连的认证用户仍然可以进行802.1x认证,如果有一个用户认证成功,该端口会离开Guest VLAN、回到配置的VLAN中(加入Guest VLAN之前所在的VLAN,即“初始VLAN”)。并且不再处理该端口下其他用户的认证请求。
l 同样,该端口仍然允许进行MAC地址认证,但此时MAC地址认证不是由用户报文来触发MAC地址认证,而是由无线PoE注入器每隔一定时间自动利用该端口下学习到的Guest VLAN内的首个MAC地址触发MAC地址认证,如果认证成功,端口会离开Guest VLAN。
表1-9 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置在端口加入Guest VLAN后,无线PoE注入器触发MAC地址认证的周期 |
port-security timer guest-vlan-reauth interval |
可选 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口启用macAddressOrUserLoginSecure安全模式 |
port-security port-mode userlogin-secure-or-mac |
必选 |
指定某个已创建的VLAN为当前端口可访的Guest VLAN |
port-security guest-vlan vlan-id |
必选 |
需要注意的是:
l 指定某VLAN为当前端口可访的Guest VLAN前,需要确保该VLAN已经创建、并且该VLAN内包含用户需要访问的资源。
l 若当前端口下有接入用户正在进行认证或已经通过认证,则无法为其指定Guest VLAN。
l 当指定了端口可访问的Guest VLAN后,若端口下挂的用户认证失败,该端口将被加入到Guest VLAN中。
l 每个端口下可连接一个或多个认证用户,若该端口指定了可访问的Guest VLAN则同一时刻每个端口最多只允许一个用户通过安全认证(其余的802.1x认证用户的客户端会显示认证失败;由于MAC地址认证时没有客户端,因此认证失败且无任何提示)。
l 当端口已经指定了Guest VLAN的情况下、若要改变端口安全模式,必须首先执行undo port-security guest-vlan 命令取消给该端口指定的Guest VLAN。
l 端口只有在macAddressOrUserLoginSecure安全模式下才能指定其可访问的Guest VLAN。
l 若用户在端口同时指定Guest VLAN和配置port-security intrusion-mode disableport命令,当认证失败后,只触发入侵检测特性,不会再将该端口加入Guest VLAN。
l 建议不要在端口上将指定Guest VLAN功能和配置port-security intrusion-mode blockmac命令同时使用。因为如果认证失败,触发入侵检测blockmac特性后,该接入用户发出的报文将被丢弃,用户无法访问Guest VLAN。
802.1x用户或MAC地址认证用户在RADIUS服务器上通过认证时,服务器会把授权信息下发给设备端。用户可以配置端口是否忽略RADIUS服务器下发的授权信息。
表1-10 配置当前端口不应用RADIUS服务器下发的授权信息
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置当前端口不应用RADIUS服务器下发的授权信息 |
port-security authorization ignore |
必选 缺省情况下,端口应用RADIUS服务器下发的授权信息 |
在autolearn模式下,可通过手工配置或通过动态进行学习、在该端口上产生一张Security MAC地址转发表(表中的MAC地址称为Security MAC)。缺省情况下,Security MAC地址转发表中的表项不会老化。一个Security MAC地址只能被添加到一个端口上,利用该特点可以实现同一VLAN内Security MAC地址与端口间的绑定。
当配置端口的安全模式为autolearn之后,端口的MAC地址学习方式将会发生如下变化:
l 端口原有的动态MAC被删除;
l 当端口的Security MAC没有达到配置的最大数目时,端口新学到的MAC地址会被添加为Security MAC;
l 当端口的Security MAC到达配置的最大数目时,端口将不会继续学习MAC地址,端口状态将从autolearn状态转变为secure状态。
用户手动配置的Security MAC地址会写入配置文件,端口Up或Down时不会丢失。保存配置文件后,即使无线PoE注入器重启,Security MAC地址也可以恢复。
在手动添加Security MAC地址表项之前,需完成以下任务:
l 启动端口安全功能;
l 配置端口允许接入的最大MAC地址数;
l 配置端口的安全模式为autolearn。
表1-11 配置Security MAC地址
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
添加Security MAC地址 |
系统视图下 |
mac-address security mac-address interface interface-type interface-number vlan vlan-id |
二者必选其一 缺省情况下,未配置Security MAC地址 |
以太网端口视图下 |
interface interface-type interface-number |
||
mac-address security mac-address vlan vlan-id |
缺省情况下,端口自动学习的Security MAC表项是不会老化的,只有当关闭端口安全功能或端口的安全模式不再是autolearn之后,端口学习到的Security MAC地址表项才会删除。
如果用户希望端口自动学习的Security MAC地址表项也能进行老化,可以通过配置合适的老化时间来有效的实现Security MAC地址表项的老化。当Security MAC地址表项的存在时间超过设置的老化时间时,无线PoE注入器就会把Security MAC地址表项删除。
表1-12 配置端口自动学习到的Security MAC地址表项的老化时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启动端口安全功能 |
port-security enable |
- |
配置端口自动学习到的Security MAC地址的老化时间 |
port-security timer autolearn age |
必选 缺省情况下,端口自动学习到的Security MAC地址的老化时间为0,即不进行老化处理。 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口允许接入的最大MAC地址数 |
port-security max-mac-count count-value |
必选 缺省情况下,最大MAC地址数不受限制 |
配置端口的安全模式为autolearn |
port-security port-mode autolearn |
必选 缺省情况下,端口处于noRestriction模式,此时该端口处于无限制状态 |
配置Security MAC地址表项的老化时间后,可通过display mac-address security命令查看端口学习到的Security MAC地址表项信息时,虽然老化时间显示为“NOAGED”,但此时无线PoE注入器已经开始对Security MAC地址表项进行老化处理了。
完成上述配置后,在任意视图下执行display命令,可以显示配置端口安全后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-13 端口安全配置显示
操作 |
命令 |
说明 |
显示端口安全配置的相关信息 |
display port-security [ interface interface-list ] |
display命令可以在任意视图下执行 |
显示Security MAC地址的配置信息 |
display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] |
在无线PoE注入器的端口Ethernet1/0/1上对接入用户做如下的限制:
l 允许最多80个用户自由接入,不进行认证,将学习到的用户MAC地址添加为Security MAC地址;
l 为确保用户Host能够接入,将该用户的MAC地址0001-0002-0003作为Security MAC地址,添加到VLAN 1中;
l 当Security MAC地址数量达到80后,停止学习;当再有新的MAC地址接入时,触发Intrusion Protection特性,并将此端口关闭30秒。
图1-1 端口安全配置组网图
# 进入系统视图。
<WP> system-view
# 启动端口安全功能。
[WP] port-security enable
# 进入以太网Ethernet1/0/1端口视图。
[WP] interface Ethernet 1/0/1
# 设置端口允许接入的最大MAC地址数为80。
[WP-Ethernet1/0/1] port-security max-mac-count 80
# 配置端口的安全模式为autolearn。
[WP-Ethernet1/0/1] port-security port-mode autolearn
# 将Host 的MAC地址0001-0002-0003作为Security MAC添加到VLAN 1中。
[WP-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1
# 设置Intrusion Protection特性被触发后,暂时关闭该端口,关闭时间为30秒。
[WP-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily
[WP-Ethernet1/0/1] quit
[WP] port-security timer disableport 30
如图1-2所示,无线PoE注入器的端口Ethernet1/0/2下连接着PC和打印机两台设备,这两台设备不同时使用。为了保证接入设备的安全访问,采用端口安全的macAddressOrUserLoginSecure安全模式,并在该安全模式下应用Guest VLAN。
l PC通过802.1x认证接入网络,打印机接入网络时根据MAC地址进行MAC地址认证。
l WP的端口Ethernet1/0/3连接Internet网络,该端口在VLAN 1内。正常情况下,设备接入WP的端口Ethernet1/0/2也在VLAN 1内。
l VLAN 10为Guest VLAN,在该VLAN内包含一个用于客户端软件下载和升级的Update Server。当用户认证失败后,端口Ethernet1/0/2将会加入VLAN 10,此时用户只能访问VLAN 10。当用户认证成功后,端口Ethernet1/0/2会回到VLAN 1。
图1-2 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN组网图
下述各配置步骤包含了大部分AAA/RADIUS协议配置命令,对这些命令的介绍,请参见“AAA配置”。此外,802.1x客户端和RADIUS服务器上的配置略。
# 配置RADIUS方案2000。
<WP> system-view
[WP] radius scheme 2000
[WP-radius-2000] primary authentication 10.11.1.1 1812
[WP-radius-2000] primary accounting 10.11.1.1 1813
[WP-radius-2000] key authentication abc
[WP-radius-2000] key accounting abc
[WP-radius-2000] user-name-format without-domain
[WP-radius-2000] quit
# 配置认证域system,该域使用已配置的RADIUS方案2000。
[WP] domaim system
[WP-isp-system] scheme radius-scheme 2000
[WP-isp-system] quit
# 配置采用MAC地址用户名进行认证,并指定不使用带有分隔符的小写形式的MAC地址作为验证的用户名和密码。
[WP] mac-authentication authmode usernameasmacaddress usernameformat without-hyphen lowercase
# 配置MAC地址认证用户所使用的ISP域。
[WP] mac-authentication domain system
# 配置端口安全功能
[WP] port-security enable
# 配置自动进行MAC认证的周期为60秒
[WP] port-security timer guest-vlan-reauth 60
# 配置VLAN 10
[WP] vlan 10
[WP–vlan10] port Ethernet 1/0/1
# 端口Ethernet 1/0/2上配置macAddressOrUserLoginSecure模式。
[WP] interface Ethernet1/0/2
[WP-Ethernet1/0/2] port-security port-mode userlogin-secure-or-mac
# 端口上配置Guest VLAN。
[WP-Ethernet1/0/2] port-security guest-vlan 10
通过命令display current-configuration或者display interface ethernet 1/0/2可以查看Guest VLAN配置情况。当用户认证失败后,通过命令display vlan 10可以查看端口配置的Guest VLAN是否生效。
绑定是一种简单的安全机制,通过无线PoE注入器上的绑定功能,可以对端口转发的报文进行过滤控制。当端口接收到报文后查找绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。目前无线PoE注入器提供灵活的绑定策略,包括:
l 端口+IP绑定:将报文的接收端口和用户的IP地址绑定。此时,无线PoE注入器只对从该端口收到的指定IP地址的用户发出的报文进行转发。
l 端口+MAC地址绑定:将报文的接收端口和用户的MAC地址绑定。此时,无线PoE注入器只对从该端口收到的指定MAC地址的用户发出的报文进行转发。
l 端口+MAC地址+IP绑定:将用户的MAC地址、IP地址和报文的接收端口绑定。此时,端口若收到源IP地址与指定的IP地址相同的报文,则只有该报文的源MAC地址与指定的MAC地址相同时,报文才能被转发;端口接收的其它报文(源IP地址不在IP-MAC-端口绑定关系表中的报文)可正常转发。
l IP+MAC地址绑定:将IP地址和MAC地址绑定。此时,如果无线PoE注入器收到的报文的源IP地址与指定的IP地址相同,则只有该报文的源MAC地址也与指定的MAC地址相同时,该报文才能被转发。同理,如果报文的源MAC地址与指定的MAC地址相同,则也只有报文的源IP地址与指定的IP地址相同时,该报文才能被转发。
l 所有与端口相关的绑定都是只针对端口的,当一个端口被绑定后,仅该端口被限制,其他端口不受绑定影响。
l 目前,无线PoE注入器支持基于IPv4和IPv6地址的端口绑定,也就是说上文所说的IP地址,既可以为IPv4地址,也可以为IPv6地址。
表2-1 端口绑定配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
将用户的MAC地址和IP地址绑定到指定端口上 |
系统视图下 |
am user-bind mac-addr mac-address { ip-addr ip-address | ipv6 ipv6-address } [ interface interface-type interface-number ] |
二者必选其一 缺省情况下,未将用户的MAC地址和IP地址绑定到指定端口上 |
以太网端口视图下 |
interface interface-type interface-number |
||
am user-bind { mac-addr mac-address [ ip-addr ip-address | ipv6 ipv6-address ] | ip-addr ip-address | ipv6 ipv6-address } |
l 对同一个MAC地址和IP地址,系统只允许在端口上进行一次绑定操作。
l 不能同时对一个端口进行“端口+IP+MAC”和“端口+IP”的绑定。
完成上述配置后,在任意视图下执行display命令,可以显示配置端口绑定后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表2-2 端口绑定配置显示
操作 |
命令 |
说明 |
显示端口绑定的配置信息 |
display am user-bind [ interface interface-type interface-number | ip-addr ip-addr | mac-addr mac-addr ] |
display命令可以在任意视图下执行 |
显示IPv6端口绑定的配置信息 |
display am user-bind ipv6 [ interface interface-type interface-number | ipv6-address | mac-addr mac-address | unit unit-id ] |
为了防止小区内有恶意用户盗用Host 1的IP地址,需要将Host 1的MAC地址和IP地址绑定到WP A上的Ethernet1/0/1端口。
图2-1 端口绑定配置组网图
配置WP A。
# 进入系统视图。
<WPA> system-view
# 进入Ethernet1/0/1端口视图。
[WPA] interface Ethernet 1/0/1
# 将Host 1的MAC地址和IP地址绑定到Ethernet1/0/1端口。
[WPA-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!