选择区域语言: EN CN HK

08-安全命令参考

05-端口安全命令

本章节下载  (175.15 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5500/S5500-HI-D/Command/Command_Manual/H3C_S5500-HI-D_CR-Release_5101-6W100/08/201209/754412_30005_0.htm

05-端口安全命令


1 端口安全配置命令

1.1  端口安全配置命令

1.1.1  display port-security

【命令】

display port-security [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-list:以太网端口列表,表示多个以太网端口。表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security命令用来显示端口安全的配置信息、运行情况和统计信息。

需要注意的是,如果不指定参数interface interface-list,则显示所有端口的端口安全信息。

相关配置可参考命令port-security enableport-security port-modeport-security ntk-modeport-security intrusion-modeport-security max-mac-countport-security mac-address securityport-security authorization ignoreport-security ouiport-security trap

【举例】

# 显示所有端口的端口安全状态。

<Sysname> display port-security

 Equipment port-security is enabled

 AddressLearn trap is enabled

 Intrusion trap is enabled

 Dot1x logon trap is enabled

 Dot1x logoff trap is enabled

 Dot1x logfailure trap is enabled

 RALM logon trap is enabled

 RALM logoff trap is enabled

 RALM logfailure trap is enabled

 AutoLearn aging time is 1 minutes

 Disableport Timeout: 20s

 OUI value:

   Index is 1,  OUI value is 000d1a

   Index is 2,  OUI value is 003c12

 

GigabitEthernet1/0/1 is link-down

    Port mode is userLoginWithOUI

    NeedToKnow mode is NeedToKnowOnly

    Intrusion Portection mode is DisablePort

    Max MAC address number is 50

    Stored MAC address number is 0

    Authorization is ignored

 GigabitEthernet1/0/2 is link-down

    Port mode is noRestriction

    NeedToKnow mode is disabled

    Intrusion mode is NoAction

    Max MAC address number is not configured

    Stored MAC address number is 0

    Authorization is permitted

表1-1 display port-security命令显示信息描述表

字段

描述

Equipment port-security

端口安全的开启状态

AddressLearn trap

端口学习告警的开启状态。若为enabled,则表示端口学习到新MAC地址时发出告警信息

Intrusion trap

入侵检测告警的开启状态。若为enabled,则表示端口发现非法报文时发出告警信息

Dot1x logon trap

802.1X认证成功告警的开启状态。若为enabled,则表示802.1X用户认证成功时发出告警信息

Dot1x logoff trap

802. 1x认证用户下线告警的开启状态。若为enabled,则表示802.1X用户下线时发出告警信息

Dot1x logfailure

802. 1x认证失败告警的开启状态。若为enabled,则表示802.1X用户认证失败时发出告警信息

RALM logon trap

MAC地址认证成功告警的开启状态。若为enabled,则表示MAC地址认证成功时发出告警信息

RALM logoff trap

MAC地址认证用户下线告警的开启状态。若为enabled,则表示MAC地址认证用户下线时发出告警信息

RALM logfailure trap

MAC地址认证失败告警的开启状态。若为enabled,则表示MAC地址认证用户认证失败时发出告警信息

AutoLearn aging time

Sticky MAC地址的老化时间

Disableport Timeout

收到非法报文的端口暂时被关闭的时间,单位为秒

OUI value

允许通过认证的用户的24位OUI值

Index

OUI的索引

Port mode

端口安全模式,包括以下几种:

l      noRestrictions

l      autoLearn

l      macAddressWithRadius

l      macAddressElseUserLoginSecure

l      macAddressElseUserLoginSecureExt

l      secure

l      userLogin

l      userLoginSecure

l      userLoginSecureExt

l      macAddressOrUserLoginSecure

l      macAddressOrUserLoginSecureExt

l      userLoginWithOUI

NeedToKnow mode

Need To Know模式,包括以下三种:

l      NeedToKnowOnly:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过

l      NeedToKnowWithBroadcast:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过

l      NeedToKnowWithMulticast:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过

Intrusion mode

入侵检测特性模式,包括以下四种:

l      BlockMacAddress:表示将非法报文的源MAC地址加入阻塞MAC地址列表中

l      DisablePort:表示将收到非法报文的端口永久关闭

l      DisablePortTemporarily:表示将收到非法报文的端口暂时关闭一段时间

l      NoAction:表示不进行入侵检测处理

Max MAC address number

端口安全允许的最大MAC地址数目

Stored MAC address number

端口下保存的MAC地址数目

Authorization

服务器的授权信息是否被忽略的情况

l      permitted:表示当前端口应用RADIUS服务器下发的授权信息

l      ignored:表示当前端口不应用RADIUS服务器下发的授权信息

 

1.1.2  display port-security mac-address block

【命令】

display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定端口的阻塞MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。

vlan vlan-id:显示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。

count:统计符合条件的阻塞MAC地址个数。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security mac-address block命令用来显示阻塞MAC地址信息。

需要注意的是,如果不指定任何参数,则显示所有阻塞MAC地址的信息。

相关配置可参考命令port-security intrusion-mode

【举例】

# 显示所有阻塞MAC地址。

<Sysname> display port-security mac-address block

MAC ADDR             From Port                            VLAN ID

000f-3d80-0d2d       GigabitEthernet1/0/1               30

 

--- On slot 1, 1 mac address(es) found ---

 

--- 1 mac address(es) found ---

# 显示所有阻塞MAC地址计数。

<Sysname> display port-security mac-address block count

 

--- On slot 1, 1 mac address(es) found ---

 

--- 1 mac address(es) found ---

# 显示指定VLAN中的阻塞MAC地址。

<Sysname> display port-security mac-address block vlan 30

MAC ADDR             From Port                         VLAN ID

000f-3d80-0d2d      GigabitEthernet1/0/1               30

 

--- On slot 1, 1 mac address(es) found ---

 

--- 1 mac address(es) found ---

# 显示指定端口下的阻塞MAC地址。

<Sysname> display port-security mac-address block interface gigabitethernet1/0/1

MAC ADDR             From Port                         VLAN ID

000f-3d80-0d2d      GigabitEthernet1/0/1               30

 

--- On slot 1, 1 mac address(es) found ---

 

--- 1 mac address(es) found ---

# 显示指定端口下的在指定VLAN中的阻塞MAC地址。

<Sysname> display port-security mac-address block interface gigabitethernet 1/0/1 vlan 30

MAC ADDR             From Port                           VLAN ID

 

000f-3d80-0d2d       GigabitEthernet1/0/1               30

--- On slot 1, 1 mac address(es) found ---

 

--- 1 mac address(es) found ---

表1-2 display port-security mac-address block命令显示信息描述表

字段

描述

MAC ADDR

阻塞MAC地址

From Port

阻塞MAC地址所在端口

VLAN ID

端口所属VLAN

1 mac address(es) found

当前阻塞MAC地址数目

 

1.1.3  display port-security mac-address security

【命令】

display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。

vlan vlan-id:显示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。

count:统计符合条件的安全MAC地址个数。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security mac-address security命令用来显示安全MAC地址信息。当端口工作于autoLearn模式时,端口上通过自动学习或者静态配置的安全MAC地址可通过该命令查看。

需要注意的是,如果不指定任何参数,则显示所有安全MAC地址的信息。

相关配置可参考命令port-security mac-address security

【举例】

# 显示所有安全MAC地址。

<Sysname> display port-security mac-address security

MAC ADDR        VLAN ID   STATE          PORT INDEX                          AGING TIME(s)

0002-0002-0002  1         Security       GigabitEthernet1/0/1              NOAGED

000d-88f8-0577  1         Security       GigabitEthernet1/0/1              NOAGED

 

  ---  2 mac address(es) found  ---

# 显示所有安全MAC地址计数。

<Sysname> display port-security mac-address security count

 2 mac address(es) found

# 显示指定VLAN中的安全MAC地址。

<Sysname> display port-security mac-address security vlan 1

MAC ADDR        VLAN ID   STATE          PORT INDEX                          AGING TIME(s)

0002-0002-0002  1         Security       GigabitEthernet1/0/1              NOAGED

000d-88f8-0577  1         Security       GigabitEthernet1/0/1              NOAGED

 

  ---  2 mac address(es) found  ---

# 显示指定端口下的安全MAC地址。

<Sysname> display port-security mac-address security interface gigabitethernet1/0/1

MAC ADDR        VLAN ID   STATE          PORT INDEX                         AGING TIME(s)

000d-88f8-0577  1         Security      GigabitEthernet1/0/1              NOAGED

 

  ---  1 mac address(es) found  ---

# 显示指定端口下的在指定VLAN中的安全MAC地址。

<Sysname> display port-security mac-address security interface gigabitethernet 1/0/1 vlan 1

MAC ADDR        VLAN ID   STATE          PORT INDEX                          AGING TIME(s)

000d-88f8-0577  1         Security      GigabitEthernet1/0/1              NOAGED

 

  ---  1 mac address(es) found  ---

表1-3 display port-security mac-address security命令显示信息描述表

字段

描述

MAC ADDR

安全MAC地址

VLAN ID

端口所属VLAN

STATE

添加的MAC地址类型

l      Security:表示该项是安全MAC地址

PORT INDEX

安全MAC地址所在端口

AGING TIME(s)

安全MAC地址的存活时间

l      目前暂不区分动态、静态MAC地址,均显示为NOAGED

2 mac address(es) found

当前保存的安全MAC地址数目

 

1.1.4  port-security authorization ignore

【命令】

port-security authorization ignore

undo port-security authorization ignore

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security authorization ignore命令用来配置端口不应用RADIUS服务器或设备本地下发的授权信息。undo port-security authorization ignore命令用来恢复缺省情况。

缺省情况下,端口应用RADIUS服务器或设备本地下发的授权信息。

当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。

相关配置可参考命令display port-security

【举例】

# 配置端口GigabitEthernet1/0/1不应用RADIUS服务器或设备本地下发的授权信息。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security authorization ignore

1.1.5  port-security enable

【命令】

port-security enable

undo port-security enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security enable命令用来使能端口安全功能。undo port-security enable命令用来关闭端口安全功能。

缺省情况下,端口安全功能处于关闭状态。

需要注意的是:

(1)        如果已全局开启了802.1X或MAC地址认证功能,则无法使能端口安全功能。

(2)        执行使能或关闭端口安全功能的命令后,端口上的如下配置会被自动恢复为以下缺省情况:

l              802.1X端口接入控制方式为macbased、802.1X端口的授权状态为auto

l              端口安全模式为noRestrictions。

(3)        端口上有用户在线的情况下,端口安全功能无法关闭。

相关配置可参考命令display port-security、“安全命令参考/802.1X”中的命令dot1xdot1x port-methoddot1x port-control以及“安全命令参考/MAC地址认证”中的命令mac-authentication

【举例】

# 使能端口安全功能。

<Sysname> system-view

[Sysname] port-security enable

1.1.6  port-security intrusion-mode

【命令】

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

undo port-security intrusion-mode

【视图】

二层以太网端口视图

【缺省级别】

2:系统级

【参数】

blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃,实现在端口上过滤非法流量的作用。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。阻塞MAC地址列表可以通过display port-security mac-address block命令查看。

disableport:表示将收到非法报文的端口永久关闭。

disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。

【描述】

port-security intrusion-mode命令用来配置入侵检测特性,对接收非法报文的端口采取相应的安全策略。undo port-security intrusion-mode命令用来恢复缺省情况。

缺省情况下,不进行入侵检测处理。

需要注意的是,可以通过执行undo shutdown命令将断开的端口连接恢复。

相关配置可参考命令display port-securitydisplay port-security mac-address blockport-security timer disableport

【举例】

# 配置端口GigabitEthernet1/0/1的入侵检测特性被触发后,将非法报文的源MAC地址置为阻塞MAC。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security intrusion-mode blockmac

1.1.7  port-security mac-address aging-type inactivity

【命令】

port-security mac-address aging-type inactivity

undo port-security mac-address aging-type inactivity

【视图】

二层以太网端口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security mac-address aging type inactivity命令用来配置安全MAC地址的老化方式为无流量老化。undo port-security mac-address aging type inactivity命令用来恢复缺省情况。

缺省情况下,安全MAC地址按照固定时间进行老化,即安全MAC地址的老化时间到达后立即老化,不论该安全MAC地址是否还有流量产生。

无流量老化方式下,设备会定期检测(检测周期不可配)端口上的安全MAC地址是否有流量产生,若某安全MAC地址在配置的老化时间内没有任何流量产生,则才会被老化。这种老化方式下,用户的安全MAC地址在老化时间到达之后,不会立即被删除掉,而是有一个缓冲期,该周期内若还有流量产生则继续保持该安全MAC地址的学习状态,可有效避免非法用户通过仿冒合法用户MAC地址乘机在合法用户的安全MAC地址老化之后占用端口资源。

此命令仅对于Sticky MAC地址以及动态类型的安全MAC地址有效。

相关配置可参考命令port-security timer autolearn agingport-security mac-address dynamic

【举例】

# 设置二层以太网端口GigabitEthernet1/0/1上的安全MAC地址的老化方式为无流量老化。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security mac-address aging-type inactivity

1.1.8  port-security mac-address dynamic

【命令】

port-security mac-address dynamic

undo port-security mac-address dynamic

【视图】

二层以太网端口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security mac-address dynamic命令用来将Sticky MAC地址设置为动态类型的安全MAC地址。undo port-security mac-address dynamic命令用来恢复缺省情况。

缺省情况下,Sticky MAC地址能够被保存在配置文件中,设备重启后也不会丢失。

动态类型的安全MAC地址不会被保存在配置文件中,可通过执行display port-security mac-address security命令查看到,设备重启之后会丢失。在不希望设备上保存重启之前端口上已有的Sticky MAC地址的情况下,可将其设置为动态类型的安全MAC地址。

本命令成功执行后,指定端口上的Sticky MAC地址会立即被转换为动态类型的安全MAC地址。之后,若成功执行对应的undo命令,该端口上的Sticky MAC地址又会立即恢复为缺省情况。

相关配置可参考命令display port-security mac-address securitymac-address dynamic

【举例】

# 设置二层以太网端口GigabitEthernet1/0/1上的Sticky MAC地址为动态类型的安全MAC地址。

<Sysname> system-view

[Sysname] interface gigabitethernet1/0/1

[Sysname-GigabitEthernet1/0/1] port-security mac-address dynamic

1.1.9  port-security mac-address security

【命令】

在二层以太网端口视图下:

port-security mac-address security [ sticky ] mac-address vlan vlan-id

undo port-security mac-address security [ sticky ] mac-address vlan vlan-id

在系统视图下:

port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id

undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]

【视图】

二层以太网端口视图/系统视图

【缺省级别】

2:系统级

【参数】

sticky:表示要添加一个可老化的安全MAC地址(Sticky MAC地址)。Sticky MAC地址的老化时间可配(通过port-security timer autolearn aging命令),当老化时间到达时即被删除。若不指定本参数,则表示添加的是一个不老化的安全MAC地址。

mac-address:安全MAC地址,格式为H-H-H。

interface interface-type interface-number:指定添加安全MAC地址的端口。其中,interface-type interface-number表示端口类型和端口编号。

vlan vlan-id:指定安全MAC地址所属的VLAN。其中,vlan-id表示VLAN编号,取值范围为1~4094。

【描述】

port-security mac-address security命令用来添加安全MAC地址。undo port-security mac-address security命令用来删除匹配的安全MAC地址。

缺省情况下,未配置安全MAC地址。

手工配置添加的安全MAC地址在保存配置并设备重启后,不会被删除。因此,可以将网络中一些已知的、固定要接入某端口的主机或设备的MAC地址添加为安全MAC地址,这样在端口处于autoLearn安全模式时,此类源MAC地址为安全MAC地址的主机或设备的报文将被允许通过指定端口,而且还可避免与其它通过自动方式学习到端口上的MAC地址的报文争夺资源而被拒绝接收。

需要注意的是:

l              安全MAC地址的端口必须属于安全MAC地址所属的VLAN。

l              此命令只有在端口安全功能打开(使用命令port-security enable)且指定端口的端口安全模式为autoLearn(使用命令port-security port-mode autolearn)的时候才能配置成功。

l              已添加的安全MAC地址,除非首先将其删除,否则不能重复添加或者修改其地址类型,例如已经在某端口上添加了一条安全MAC地址port-security mac-address security 1-1-1 vlan 10,则不能再添加一条安全MAC地址port-security mac-address security sticky 1-1-1 vlan 10。

l              在将Sticky MAC地址设置为动态类型的安全MAC地址后,不允许手工添加Sticky MAC地址。

相关配置可参考命令display port-securityport-security timer autolearn aging

【举例】

# 启动端口安全功能,配置端口GigabitEthernet1/0/1的安全模式为autoLearn,并在系统视图下为该端口添加一条安全MAC地址:0001-0001-0002,该安全MAC地址属于VLAN 10。

<Sysname> system-view

[Sysname] port-security enable

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100

[Sysname-GigabitEthernet1/0/1] port-security port-mode autolearn

[Sysname-GigabitEthernet1/0/1] quit

[Sysname] port-security mac-address security 0001-0001-0002 interface gigabitethernet 1/0/1 vlan 10

# 启动端口安全功能,配置端口GigabitEthernet1/0/1的安全模式为autoLearn,并在端口视图下为该端口添加一条Sticky MAC地址:0001-0002-0003,该安全MAC地址属于VLAN 4。

<Sysname> system-view

[Sysname] port-security enable

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100

[Sysname-GigabitEthernet1/0/1] port-security port-mode autolearn

[Sysname-GigabitEthernet1/0/1] port-security mac-address security sticky 0001-0002-0003 vlan 4

1.1.10  port-security max-mac-count

【命令】

port-security max-mac-count count-value

undo port-security max-mac-count

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

count-value:端口允许转发的最大MAC地址数,取值范围为1~1024。

【描述】

port-security max-mac-count命令用来设置端口安全允许的最大MAC地址数。undo port-security max-mac-count命令用来恢复缺省情况。

缺省情况下,端口安全不限制本端口可转发的最大MAC地址数。

对于autoLearn安全模式,端口允许的最大用户数由本命令配置,包括端口上学习到的以及手工配置的安全MAC地址数;对于采用802.1X、MAC地址认证或者两者组合形式的认证类安全模式,端口允许的最大用户数取本命令配置的值与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的端口安全允许的最大MAC地址数与802.1X认证所允许的最大用户数的最小值。

需要注意的是:

l              当端口工作于autoLearn模式时,无法更改端口安全允许的最大MAC地址数。

l              端口安全允许的最大MAC地址数不能小于当前端口下已保存的MAC地址数。

相关配置可参考命令display port-security

【举例】

# 在端口GigabitEthernet1/0/1上配置端口安全允许的最大MAC地址数为100。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100

1.1.11  port-security ntk-mode

【命令】

port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }

undo port-security ntk-mode

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过。

ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过。

ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过。

【描述】

port-security ntk-mode命令用来配置端口Need To Know特性。undo port-security ntk-mode命令用来恢复缺省配置。

缺省情况下,端口没有配置Need To Know特性,即所有报文都可成功发送。

Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。

相关配置可参考命令display port-security

【举例】

# 配置端口GigabitEthernet1/0/1的Need To Know特性为ntkonly,即仅发送目的地址为已认证的MAC地址的报文。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security ntk-mode ntkonly

1.1.12  port-security oui

【命令】

port-security oui oui-value index index-value

undo port-security oui index index-value

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

oui-value:OUI值,输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位做为OUI值,忽略后24位。

index-value:标识此OUI的索引值,取值范围为1~16。

【描述】

port-security oui命令用来配置用户认证的OUI值,在端口安全模式为userLoginWithOUI时使用。undo port-security oui命令用来删除指定索引的OUI值。

缺省情况下,没有设置用户认证的OUI值。

OUI指的是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。因此,当需要允许某些特殊设备的(有线接入)报文总是可以通过认证或仅允许这些设备的(无线接入)报文可以进行认证的情况下,就可以通过本命令来指定这些设备的OUI值,例如,某公司仅允许A厂商的IP电话在企业网中使用,则该值就为A厂商设备的OUI。

需要注意的是,本命令设置的OUI值,只在端口安全模式为userLoginWithOUI时生效。

相关配置可参考命令display port-security

【举例】

# 配置OUI值为000d2a,索引为4。

<Sysname> system-view

[Sysname] port-security oui 000d-2a10-0033 index 4

1.1.13  port-security port-mode

【命令】

port-security port-mode { autolearn | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }

undo port-security port-mode

【视图】

二层以太网端口视图

【缺省级别】

2:系统级

【参数】

表1-4 安全模式的参数解释表

参数

安全模式

说明

autolearn

autoLearn

端口可通过手工配置或自动学习MAC地址。这些新的MAC地址被称为安全MAC,并被添加到安全MAC地址表中

当端口下的安全MAC地址数超过端口安全允许的最大MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

mac-authentication

macAddressWithRadius

对接入用户采用MAC地址认证

此模式下,端口允许多个用户接入

mac-else-userlogin-secure

macAddressElseUserLoginSecure

端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证;

非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.1X认证

mac-else-userlogin-secure-ext

macAddressElseUserLoginSecureExt

与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

secure

secure

禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

userlogin

userLogin

对接入用户采用基于端口的802.1X认证

此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入

userlogin-secure

userLoginSecure

对接入用户采用基于MAC地址的802.1X认证

此模式下,端口最多只允许一个802.1X认证用户接入

userlogin-secure-ext

userLoginSecureExt

对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户

userlogin-secure-or-mac

macAddressOrUserLoginSecure

端口同时处于userLoginSecure模式和macAddressWithRadius模式

在用户接入方式为有线的情况下,非802.1X报文直接进行MAC地址认证,802.1X报文直接进行802.1X认证

userlogin-secure-or-mac-ext

macAddressOrUserLoginSecureExt

与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

userlogin-withoui

userLoginWithOUI

与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符

在用户接入方式为有线的情况下,802.1X报文进行802.1X认证,非802.1X报文直接进行OUI匹配,802.1X认证成功和OUI匹配成功的报文都允许通过端口

 

【描述】

port-security port-mode命令用来配置端口安全模式。undo port-security port-mode命令用来恢复缺省情况。

缺省情况下,端口处于noRestrictions模式,此时该端口下端口安全特性不生效。

需要注意的是:

l              端口安全模式与端口下的802.1X认证使能、端口接入控制方式、端口接入控制模式以及端口下的MAC地址认证使能配置互斥。

l              当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。

l              配置端口安全autoLearn模式时,首先需要通过命令port-security max-mac-count设置端口安全允许的最大MAC地址数。

l              端口上有用户在线的情况下,端口安全模式无法改变。

相关配置可参考命令display port-security

【举例】

# 使能端口安全功能,并配置端口GigabitEthernet1/0/1的端口安全模式为secure。

<Sysname> system-view

[Sysname] port-security enable

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security port-mode secure

# 将端口GigabitEthernet1/0/1的端口安全模式改变为userLogin。

[Sysname-GigabitEthernet1/0/1] undo port-security port-mode

[Sysname-GigabitEthernet1/0/1] port-security port-mode userlogin

1.1.14  port-security timer autolearn aging

【命令】

port-security timer autolearn aging time-value

undo port-security timer autolearn aging

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:动态安全MAC地址的老化时间,取值范围为0~129600,单位为分钟,取值为0表示不会老化。

【描述】

port-security timer autolearn aging命令用来配置Sticky MAC地址的老化时间。undo port-security timer autolearn aging命令用来恢复缺省情况。

缺省情况下,Sticky MAC地址不会老化。

该老化时间对所有端口学习到的和手工添加的Sticky MAC地址有效。

相关配置可参考命令display port-securityport-security mac-address security

【举例】

# 配置Sticky MAC地址的老化时间为30分钟。

<Sysname> system-view

[Sysname] port-security timer autolearn aging 30

1.1.15  port-security timer disableport

【命令】

port-security timer disableport time-value

undo port-security timer disableport

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:端口静默时间,取值范围为20~300,单位为秒。

【描述】

port-security timer disableport命令用来配置系统暂时关闭端口连接的时间。undo port-security timer disableport命令用来恢复缺省情况。

缺省情况下,系统暂时关闭端口连接的时间为20秒。

port-security intrusion-mode设置为disableport-temporarily模式时,系统暂时关闭端口连接的时间由该命令配置。

相关配置可参考命令display port-security

【举例】

# 配置端口GigabitEthernet1/0/1的入侵检测特性被触发后,收到非法报文的端口暂时关闭30秒。

<Sysname> system-view

[Sysname] port-security timer disableport 30

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily

1.1.16  port-security trap

【命令】

port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

undo port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

addresslearned:端口学习告警。在端口学习到新MAC地址时发出告警信息。

dot1xlogfailure:802.1X认证失败告警。

dot1xlogon:802.1X认证成功告警。

dot1xlogoff:802.1X认证用户下线告警。

intrusion:发现非法报文告警。

ralmlogfailure:MAC地址认证失败告警。

ralmlogoff:MAC地址认证用户下线告警。

ralmlogon:MAC地址认证成功告警。

RALM(RADIUS Authenticated Login using MAC-address)是指基于MAC地址的RADIUS认证。

 

【描述】

port-security trap命令用来打开指定告警信息的发送开关。undo port-security trap命令用来关闭指定告警信息的发送开关。

缺省情况下,所有告警信息的发送开关处于关闭状态。

告警信息的发送过程使用了设备的Trap特性。Trap特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于用户对这些特殊的行为进行监控。

相关配置可参考命令display port-security

【举例】

# 打开端口学习告警信息开关。

<Sysname> system-view

[Sysname] port-security trap addresslearned

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!