国家 / 地区

11-安全命令参考

04-端口安全命令

本章节下载  (216.47 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Command/Command_Manual/H3C_MSR_CR(V5)-R2516-V1.16/11/201807/1093944_30005_0.htm

04-端口安全命令


1 端口安全

1.1  端口安全配置命令

1.1.1  display port-security

【命令】

display port-security [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-list:以太网端口列表,表示多个以太网端口。表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security命令用来显示端口安全的配置信息、运行情况和统计信息。

需要注意的是,如果不指定参数interface interface-list,则显示所有端口的端口安全信息。

相关配置可参考命令port-security enableport-security port-modeport-security ntk-modeport-security intrusion-modeport-security max-mac-countport-security mac-address securityport-security authorization ignoreport-security ouiport-security trap

【举例】

# 显示所有端口的端口安全状态。

<Sysname> display port-security

 Equipment port-security is enabled

 Trap is enabled

 AutoLearn aging time is 1 minutes

 Disableport Timeout: 20s

 OUI value:

   Index is 1,  OUI value is 000d1a

   Index is 2,  OUI value is 003c12

 

 GigabitEthernet1/1 is link-down

    Port mode is userLoginWithOUI

    NeedToKnow mode is NeedToKnowOnly

    Intrusion Portection mode is disableport-temporarily

    Max MAC address number is 50

    Stored MAC address number is 0

    Authorization is ignored

    Security MAC address learning mode is sticky

    Security MAC address aging type is absolute

 GigabitEthernet1/2 is link-down

 GigabitEthernet1/3 is link-down

表1-1 display port-security命令显示信息描述表

字段

描述

Equipment port-security

端口安全的开启状态

Trap

端口学习告警的开启状态。若为enabled,则表示端口学习到新MAC地址时发出告警信息

AutoLearn aging time

Sticky MAC地址的老化时间

Disableport Timeout

收到非法报文的端口暂时被关闭的时间,单位为秒

OUI value

允许通过认证的用户的24位OUI值

Index

OUI的索引

Port mode

·     端口安全模式,包括以下几种:

·     noRestrictions

·     autoLearn

·     macAddressWithRadius

·     macAddressElseUserLoginSecure

·     macAddressElseUserLoginSecureExt

·     secure

·     userLogin

·     userLoginSecure

·     userLoginSecureExt

·     macAddressOrUserLoginSecure

·     macAddressOrUserLoginSecureExt

·     userLoginWithOUI

·     presharedKey

·     macAddressAndPresharedKey

·     userLoginSecureExtOrPresharedKey

NeedToKnow mode

Need To Know模式,包括以下三种:

·     NeedToKnowOnly:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过

·     NeedToKnowWithBroadcast:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过

·     NeedToKnowWithMulticast:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过

Intrusion mode

入侵检测特性模式,包括以下四种:

·     BlockMacAddress:表示将非法报文的源MAC地址加入阻塞MAC地址列表中

·     DisablePort:表示将收到非法报文的端口永久关闭

·     DisablePortTemporarily:表示将收到非法报文的端口暂时关闭一段时间

·     NoAction:表示不进行入侵检测处理

Max MAC address number

端口安全允许的最大MAC地址数目

Stored MAC address number

端口下保存的MAC地址数目

Authorization

服务器的授权信息是否被忽略的情况

·     permitted:表示当前端口应用RADIUS服务器下发的授权信息

·     ignored:表示当前端口不应用RADIUS服务器下发的授权信息

Security MAC address learning mode

安全MAC地址的学习模式

·     sticky:学习为Sticky MAC地址

·     dynamic:学习为动态类型的安全MAC地址

Security MAC address aging type

安全MAC地址的老化类型

·     absolute:定时老化

·     inactivity:无流量老化

 

1.1.2  display port-security mac-address block

【命令】

display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定端口的阻塞MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。

vlan vlan-id:显示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。

count:统计符合条件的阻塞MAC地址个数。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security mac-address block命令用来显示阻塞MAC地址信息。

需要注意的是,如果不指定任何参数,则显示所有阻塞MAC地址的信息。

相关配置可参考命令port-security intrusion-mode

【举例】

# 显示所有阻塞MAC地址。

<Sysname> display port-security mac-address block

MAC ADDR             From Port                  VLAN ID

0002-0002-0002      Ethernet1/1                1

000d-88f8-0577      Ethernet1/1                1

 

  ---  2 mac address(es) found  ---

# 显示所有阻塞MAC地址计数。

<Sysname> display port-security mac-address block count

 

--- 2 mac address(es) found ---

# 显示指定VLAN中的阻塞MAC地址。

<Sysname> display port-security mac-address block vlan 1

MAC ADDR             From Port                  VLAN ID

0002-0002-0002      Ethernet1/1                1

000d-88f8-0577      Ethernet1/1                1

 

  ---  2 mac address(es) found  ---

# 显示指定端口下的阻塞MAC地址。

<Sysname> display port-security mac-address block interface ethernet1/1

MAC ADDR             From Port                  VLAN ID

000d-88f8-0577      Ethernet1/1                1

 

  ---  1 mac address(es) found  ---

# 显示指定端口下的在指定VLAN中的阻塞MAC地址。

<Sysname> display port-security mac-address block interface ethernet 1/1 vlan 1

MAC ADDR             From Port                  VLAN ID

000d-88f8-0577      Ethernet1/1                1

 

  ---  1 mac address(es) found  ---

表1-2 display port-security mac-address block命令显示信息描述表

字段

描述

MAC ADDR

阻塞MAC地址

From Port

阻塞MAC地址所在端口

VLAN ID

端口所属VLAN

2 mac address(es) found

当前阻塞MAC地址数目

 

1.1.3  display port-security mac-address security

【命令】

display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。

vlan vlan-id:显示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。

count:统计符合条件的安全MAC地址个数。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security mac-address security命令用来显示安全MAC地址信息。当端口工作于autoLearn模式时,端口上通过自动学习或者静态配置的安全MAC地址可通过该命令查看。

需要注意的是,如果不指定任何参数,则显示所有安全MAC地址的信息。

相关配置可参考命令port-security mac-address security

【举例】

# 显示所有安全MAC地址。

<Sysname> display port-security mac-address security

MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)

0002-0002-0002  1         Security       Ethernet1/1              NOAGED

000d-88f8-0577  1         Security       Ethernet1/1              NOAGED

 

  ---  2 mac address(es) found  ---

# 显示所有安全MAC地址计数。

<Sysname> display port-security mac-address security count

 2 mac address(es) found

# 显示指定VLAN中的安全MAC地址。

<Sysname> display port-security mac-address security vlan 1

MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)

0002-0002-0002  1         Security       Ethernet1/1              NOAGED

000d-88f8-0577  1         Security       Ethernet1/1              NOAGED

 

  ---  2 mac address(es) found  ---

# 显示指定端口下的安全MAC地址。

<Sysname> display port-security mac-address security interface ethernet1/1

MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)

000d-88f8-0577  1         Security       Ethernet1/1              NOAGED

 

  ---  1 mac address(es) found  ---

# 显示指定端口下的在指定VLAN中的安全MAC地址。

<Sysname> display port-security mac-address security interface ethernet 1/1 vlan 1

MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)

000d-88f8-0577  1         Security       Ethernet1/1              NOAGED

 

  ---  1 mac address(es) found  ---

表1-3 display port-security mac-address security命令显示信息描述表

字段

描述

MAC ADDR

安全MAC地址

VLAN ID

端口所属VLAN

STATE

添加的MAC地址类型

·     Security:表示该项是安全MAC地址

PORT INDEX

安全MAC地址所在端口

AGING TIME(s)

安全MAC地址的存活时间

·     目前暂不区分动态、静态MAC地址,均显示为NOAGED

2 mac address(es) found

当前保存的安全MAC地址数目

 

1.1.4  display port-security preshared-key user

【命令】

display port-security preshared-key user [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定接口上端口安全的PSK用户信息。其中,interface-type interface-number表示接口类型和接口编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security preshared-key user命令用来显示端口安全的PSK用户信息。

需要注意的是,如果不指定参数interface,则显示所有端口的端口安全PSK用户信息。

【举例】

# 显示所有端口下的PSK用户的相关信息。

<Sysname> display port-security preshared-key user

  Index     Mac-Address    VlanID     Interface

-----------------------------------------------------

      0  0000-1122-3344        1       wlan-bss-1

      1  0000-1133-2244        2       wlan-bss-2

# 显示指定端口WLAN-BSS1下PSK用户的相关信息。

<Sysname> display port-security preshared-key user interface wlan-bss 1

  Index     Mac-Address    VlanID     Interface

-----------------------------------------------------

      0  0000-1122-3344        1       wlan-bss-1

表1-4 display port-security preshared-key user命令显示信息描述表

字段

描述

Index

用户的编号

Mac-Address

用户的MAC地址

VlanID

用户所属的VLAN ID

Interface

用户的接入端口

 

1.1.5  port-security authorization ignore

【命令】

port-security authorization ignore

undo port-security authorization ignore

【视图】

以太网接口视图/WLAN-Ethernet接口视图/WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security authorization ignore命令用来配置端口不应用RADIUS服务器或设备本地下发的授权信息。undo port-security authorization ignore命令用来恢复缺省情况。

缺省情况下,端口应用RADIUS服务器或设备本地下发的授权信息。

当用户通过RADIUS认证或设备本地后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。

相关配置可参考命令display port-security

【举例】

# 配置端口GigabitEthernet1/1不应用RADIUS服务器或设备本地下发的授权信息。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/1

[Sysname-GigabitEthernet1/1] port-security authorization ignore

1.1.6  port-security enable

【命令】

port-security enable

undo port-security enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security enable命令用来使能端口安全功能。undo port-security enable命令用来关闭端口安全功能。

缺省情况下,端口安全功能未开启。

需要注意的是:

(1)     如果已全局开启了802.1X或MAC地址认证功能,则无法使能端口安全功能。

(2)     执行使能或关闭端口安全功能的命令后,端口上的如下配置会被自动恢复为以下缺省情况:

·     802.1X端口接入控制方式为macbased、802.1X端口的授权状态为auto

·     端口安全模式为noRestrictions。

(3)     端口上有用户在线的情况下,端口安全功能无法关闭。

相关配置可参考命令display port-security、“安全命令参考/802.1X”中的命令dot1xdot1x port-methoddot1x port-control以及“安全命令参考/MAC地址认证”中的命令mac-authentication

【举例】

# 使能端口安全功能。

<Sysname> system-view

[Sysname] port-security enable

1.1.7  port-security intrusion-mode

【命令】

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

undo port-security intrusion-mode

【视图】

二层以太网接口视图/WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃,实现在端口上过滤非法流量的作用。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。阻塞MAC地址列表可以通过display port-security mac-address block命令查看。

disableport:表示将收到非法报文的端口永久关闭。该参数仅二层以太网接口支持。

disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。

【描述】

port-security intrusion-mode命令用来配置入侵检测特性,对接收非法报文的端口采取相应的安全策略。undo port-security intrusion-mode命令用来恢复缺省情况。

缺省情况下,不进行入侵检测处理。

需要注意的是,可以通过执行undo shutdown命令将断开的端口连接恢复。

相关配置可参考命令display port-securitydisplay port-security mac-address blockport-security timer disableport

【举例】

# 配置端口GigabitEthernet1/1的入侵检测特性被触发后,将非法报文的源MAC地址置为阻塞MAC。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/1

[Sysname-GigabitEthernet1/1] port-security intrusion-mode blockmac

1.1.8  port-security mac-address aging-type inactivity

【命令】

port-security mac-address aging-type inactivity

undo port-security mac-address aging-type inactivity

【视图】

二层以太网接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security mac-address aging type inactivity命令用来配置安全MAC地址的老化方式为无流量老化。undo port-security mac-address aging type inactivity命令用来恢复缺省情况。

缺省情况下,安全MAC地址按照固定时间进行老化,即在安全MAC地址的老化时间到达后立即老化,不论该安全MAC地址是否还有流量产生。

无流量老化方式下,设备会定期检测(检测周期不可配)端口上的安全MAC地址是否有流量产生,若某安全MAC地址在配置的老化时间内没有任何流量产生,则才会被老化,否则该安全MAC地址不会被老化,并在下一个老化周期内重复该检测过程。下一个周期内若还有流量产生则继续保持该安全MAC地址的学习状态,该方式可有效避免非法用户通过仿冒合法用户MAC地址乘机在合法用户的安全MAC地址老化时间到达之后占用端口资源。

此命令仅对于Sticky MAC地址以及动态类型的安全MAC地址有效。

相关配置可参考命令port-security timer autolearn agingport-security mac-address dynamic

【举例】

# 设置接口Ethernet1/1上的安全MAC地址的老化方式为无流量老化。

<Sysname> system-view

[Sysname] interface ethernet 1/1

[Sysname-Ethernet1/1] port-security mac-address aging-type inactivity

1.1.9  port-security mac-address dynamic

【命令】

port-security mac-address dynamic

undo port-security mac-address dynamic

【视图】

二层以太网接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security mac-address dynamic命令用来将Sticky MAC地址设置为动态类型的安全MAC地址。undo port-security mac-address dynamic命令用来恢复缺省情况。

缺省情况下,Sticky MAC地址能够被保存在配置文件中,设备重启后也不会丢失。

动态类型的安全MAC地址不会被保存在配置文件中,可通过执行display port-security mac-address security命令查看到,设备重启之后会丢失。在不希望设备上保存重启之前端口上已有的Sticky MAC地址的情况下,可将其设置为动态类型的安全MAC地址。

本命令成功执行后,指定端口上的Sticky MAC地址会立即被转换为动态类型的安全MAC地址,且将不能手工添加Sticky MAC地址。之后,若成功执行对应的undo命令,该端口上的动态类型的安全MAC地址会立即转换为Sticky MAC地址,且用户可以手工添加Sticky MAC地址。

相关配置可参考命令display port-security mac-address securitymac-address dynamic

【举例】

# 设置接口Ethernet1/1上的Sticky MAC地址为动态类型的安全MAC地址。

<Sysname> system-view

[Sysname] interface ethernet1/1

[Sysname-Ethernet1/1] port-security mac-address dynamic

1.1.10  port-security mac-address security

【命令】

在二层以太网接口视图下:

port-security mac-address security [ sticky ] mac-address vlan vlan-id

undo port-security mac-address security [ sticky ] mac-address vlan vlan-id

在系统视图下:

port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id

undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]

【视图】

二层以太网接口视图/系统视图

【缺省级别】

2:系统级

【参数】

sticky:表示要添加一个可老化的安全MAC地址(Sticky MAC地址)。Sticky MAC地址的老化时间可配(通过port-security timer autolearn aging命令),当老化时间到达时即被删除。若不指定本参数,则表示添加的是一个不老化的安全MAC地址。

mac-address:安全MAC地址,格式为H-H-H。

interface interface-type interface-number:指定添加安全MAC地址的接口。其中,interface-type interface-number表示接口类型和接口编号。

vlan vlan-id:指定安全MAC地址所属的VLAN。其中,vlan-id表示VLAN编号,取值范围为1~4094。

【描述】

port-security mac-address security命令用来添加安全MAC地址。undo port-security mac-address security命令用来删除匹配的安全MAC地址。

缺省情况下,未配置安全MAC地址。

手工配置添加的安全MAC地址在保存配置并设备重启后,不会被删除。因此,可以将网络中一些已知的、固定要接入某端口的主机或设备的MAC地址添加为安全MAC地址,这样在端口处于autoLearn安全模式时,此类源MAC地址为安全MAC地址的主机或设备的报文将被允许通过指定端口,而且还可避免与其它通过自动方式学习到端口上的MAC地址的报文争夺资源而被拒绝接收。

需要注意的是:

·     安全MAC地址的接口必须属于安全MAC地址所属的VLAN。

·     此命令只有在端口安全功能打开(使用命令port-security enable)且指定端口的端口安全模式为autoLearn(使用命令port-security port-mode autolearn)的时候才能配置成功。

·     已添加的安全MAC地址,除非首先将其删除,否则不能重复添加或者修改其地址类型,例如已经在某端口上添加了一条安全MAC地址port-security mac-address security 1-1-1 vlan 10,则不能再添加一条安全MAC地址port-security mac-address security sticky 1-1-1 vlan 10。

·     在将Sticky MAC地址设置为动态类型的安全MAC地址后,不允许手工添加Sticky MAC地址。

相关配置可参考命令display port-securityport-security timer autolearn aging

【举例】

# 启动端口安全功能,配置端口GigabitEthernet1/1的安全模式为autoLearn,并在系统视图下为该端口添加一条安全MAC地址:0001-0001-0002,该安全MAC地址属于VLAN 10。

<Sysname> system-view

[Sysname] port-security enable

[Sysname] interface gigabitethernet 1/1

[Sysname-GigabitEthernet1/1] port-security max-mac-count 100

[Sysname-GigabitEthernet1/1] port-security port-mode autolearn

[Sysname-GigabitEthernet1/1] quit

[Sysname] port-security mac-address security 0001-0001-0002 interface gigabitethernet 1/1 vlan 10

# 启动端口安全功能,配置端口GigabitEthernet1/1的安全模式为autoLearn,并在接口视图下为该端口添加一条Sticky MAC地址:0001-0002-0003,该安全MAC地址属于VLAN 4。

<Sysname> system-view

[Sysname] port-security enable

[Sysname] interface gigabitethernet 1/1

[Sysname-GigabitEthernet1/1] port-security max-mac-count 100

[Sysname-GigabitEthernet1/1] port-security port-mode autolearn

[Sysname-GigabitEthernet1/1] port-security mac-address security sticky 0001-0002-0003 vlan 4

1.1.11  port-security max-mac-count

【命令】

port-security max-mac-count count-value

undo port-security max-mac-count

【视图】

以太网接口视图/WLAN-Ethernet接口视图/WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

count-value:端口允许转发的最大MAC地址数,取值范围为1~1024。

【描述】

port-security max-mac-count命令用来设置端口安全允许的最大MAC地址数。undo port-security max-mac-count命令用来恢复缺省情况。

缺省情况下,端口安全不限制本端口可转发的最大MAC地址数。

对于autoLearn安全模式,端口允许的最大用户数由本命令配置,包括端口上学习到的以及手工配置的安全MAC地址数;对于采用802.1X、MAC地址认证或者两者组合形式的认证类安全模式,端口允许的最大用户数取本命令配置的值与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的端口安全允许的最大MAC地址数与802.1X认证所允许的最大用户数的最小值。

需要注意的是:

·     当端口工作于autoLearn模式时,无法更改端口安全允许的最大MAC地址数。

·     无线端口上有用户在线时,无法更改端口安全允许的最大MAC地址数。

·     端口安全允许的最大MAC地址数不能小于当前端口下已保存的MAC地址数。

相关配置可参考命令display port-security

【举例】

# 在端口GigabitEthernet1/1上配置端口安全允许的最大MAC地址数为100。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/1

[Sysname-GigabitEthernet1/1] port-security max-mac-count 100

1.1.12  port-security ntk-mode

【命令】

port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }

undo port-security ntk-mode

【视图】

以太网接口视图/WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过。

ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过。

ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过。

【描述】

port-security ntk-mode命令用来配置端口Need To Know特性。undo port-security ntk-mode命令用来恢复缺省配置。

缺省情况下,端口没有配置Need To Know特性,即所有报文都可成功发送。

Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。

需要注意的是,无线端口上有用户在线的情况下,无法更改Need To Know特性的配置。

相关配置可参考命令display port-security

型号

命令

描述

MSR800

port-security ntk-mode

不支持

MSR 900

支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

支持

MSR 20

支持

MSR 30

支持

MSR 50

支持

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 配置端口GigabitEthernet1/1的Need To Know特性为ntkonly,即仅发送目的地址为已认证的MAC地址的报文。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/1

[Sysname-GigabitEthernet1/1] port-security ntk-mode ntkonly

1.1.13  port-security oui

【命令】

port-security oui oui-value index index-value

undo port-security oui index index-value

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

oui-value:OUI值,输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位做为OUI值,忽略后24位。

index-value:标识此OUI的索引值,取值范围为1~16。

【描述】

port-security oui命令用来配置用户认证的OUI值,在端口安全模式为userLoginWithOUI时使用。undo port-security oui命令用来删除指定索引的OUI值。

缺省情况下,没有设置用户认证的OUI值。

OUI指的是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。因此,当需要允许某些特殊设备的(有线接入)报文总是可以通过认证或仅允许这些设备的(无线接入)报文可以进行认证的情况下,就可以通过本命令来指定这些设备的OUI值,例如,某公司仅允许A厂商的IP电话在企业网中使用,则该值就为A厂商设备的OUI。

相关配置可参考命令display port-security

【举例】

# 配置OUI值为000d2a,索引为4。

<Sysname> system-view

[Sysname] port-security oui 000d-2a10-0033 index 4

1.1.14  port-security port-mode

【命令】

port-security port-mode { autolearn | mac-and-psk | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | psk | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-ext-or-psk | userlogin-secure-or-mac | userlogin-secure-or-mac-ext |  userlogin-withoui }

undo port-security port-mode

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

表1-5 安全模式的参数解释表

参数

安全模式

说明

autolearn

autoLearn

端口可通过手工配置或自动学习MAC地址。这些新的MAC地址被称为安全MAC,并被添加到安全MAC地址表中

当端口下的安全MAC地址数超过端口安全允许的最大MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

mac-and-psk

macAddressAnd PresharedKey

接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

mac-authentication

macAddressWithRadius

对接入用户采用MAC地址认证

此模式下,端口允许多个用户接入

mac-else-userlogin-secure

macAddressElseUserLoginSecure

端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证;

在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证;在用户接入方式为无线的情况下,非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.1X认证

mac-else-userlogin-secure-ext

macAddressElseUserLoginSecureExt

与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

psk

presharedKey

接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口

secure

secure

禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

userlogin

userLogin

对接入用户采用基于端口的802.1X认证

此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入

userlogin-secure

userLoginSecure

对接入用户采用基于MAC地址的802.1X认证

此模式下,端口最多只允许一个802.1X认证用户接入

userlogin-secure-ext

userLoginSecureExt

对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户

userlogin-secure-ext-or-psk

userLoginSecureExtOrPresharedKey

接入用户与设备进行交互,选择进行基于MAC(macbased)的802.1X认证或者仅进行预共享密钥协商

userlogin-secure-or-mac

macAddressOrUserLoginSecure

端口同时处于userLoginSecure模式和macAddressWithRadius模式

在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证,802.1X报文直接进行802.1X认证;;

在用户接入方式为无线的情况下,802.1X认证优先级大于MAC地址认证:报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证

userlogin-secure-or-mac-ext

macAddressOrUserLoginSecureExt

与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

userlogin-withoui

userLoginWithOUI

与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符

在用户接入方式为有线的情况下,802.1X报文进行802.1X认证,非802.1X报文直接进行OUI匹配,802.1X认证成功和OUI匹配成功的报文都允许通过端口;

在用户接入方式为无线的情况下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口

 

【描述】

port-security port-mode命令用来配置端口安全模式。undo port-security port-mode命令用来恢复缺省情况。

缺省情况下,端口处于noRestrictions模式,此时该端口下端口安全特性不生效。

需要注意的是:

·     presharedKey、macAddressAndPresharedKey和userlLoginSecureExtOrPresharedKey安全模式只能在WLAN-BSS、WLAN-Ethernet类型的接口下配置。

·     端口安全模式与端口下的802.1X认证使能、端口接入控制方式、端口接入控制模式以及端口下的MAC地址认证使能配置互斥。

·     当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。

·     配置端口安全autoLearn模式时,首先需要通过命令port-security max-mac-count设置端口安全允许的最大MAC地址数。

·     端口上有用户在线的情况下,端口安全模式无法改变。

表1-6 接口支持的端口安全模式列表

接口类型

支持的端口安全模式

二层以太网接口

autolearnmac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extsecureuserloginuserlogin-secureuserlogin-secure-extuserlogin-secure-or-macuserlogin-secure-or-mac-extuserlogin-withoui

WLAN-BSS

mac-and-pskmac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extpskuserlogin-secureuserlogin-secure-extuserlogin-secure-ext-or-pskuserlogin-secure-or-macuserlogin-secure-or-mac-ext

WLAN-Ethernet

mac-and-pskmac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extpskuserlogin-secureuserlogin-secure-extuserlogin-secure-ext-or-pskuserlogin-secure-or-macuserlogin-secure-or-mac-ext

总结:

·     presharedKey、macAddressAndPresharedKey和userlLoginSecureExtOrPresharedKey安全模式只能在WLAN-BSS和WLAN-Ethernet类型的接口下配置。

·     autoLearn、secure、userLogin和userloginWithOUI安全模式只能在二层以太网类型的接口下配置。

 

相关配置可参考命令display port-security

MSR系列路由器各款型在二层以太网接口对于autolearnuserloginsecure三种端口安全模式的支持情况有所不同,详细差异信息如下:

型号

命令

参数

描述

MSR800

port-security port-mode

autolearn、secure

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

不支持

MSR 30

MSR30-11E/F支持

MSR 50

不支持

MSR 2600

不支持

MSR3600-51F

支持

 

型号

命令

参数

描述

MSR800

port-security port-mode

userlogin

支持

MSR 900

支持

MSR900-E

支持

MSR 930

支持

MSR 20-1X

支持

MSR 20

支持

MSR 30

安装FSW二层交换模块后支持(MSR30-11E/F不支持)

MSR 50

安装FSW二层交换模块后支持

MSR 2600

支持

MSR3600-51F

不支持

 

MSR系列路由器各款型支持的二层交换模块对于autolearnuserloginsecure三种端口安全模式的支持情况有所不同,详细差异信息如下:

型号

命令

参数

描述

SIC-4FSW/SIC-4FSW-POE

port-security port-mode

autolearn、secure

不支持

DSIC-9FSW/DSIC-9FSW-POE

不支持

XMIM-16FSW/XMIM-24FSW

不支持

MIM-16FSW/FIC-16FSW/DMIM-24FSW/FIC-24FSW

支持

 

型号

命令

参数

描述

SIC-4FSW/SIC-4FSW-POE

port-security port-mode

userlogin

支持

DSIC-9FSW/DSIC-9FSW-POE

支持

XMIM-16FSW/XMIM-24FSW

支持

MIM-16FSW/FIC-16FSW/DMIM-24FSW/FIC-24FSW

支持

 

【举例】

# 使能端口安全功能,并配置端口GigabitEthernet1/1的端口安全模式为secure。

<Sysname> system-view

[Sysname] port-security enable

[Sysname] interface gigabitethernet 1/1

[Sysname-GigabitEthernet1/1] port-security port-mode secure

# 将端口GigabitEthernet1/1的端口安全模式改变为userLogin。

[Sysname-GigabitEthernet1/1] undo port-security port-mode

[Sysname-GigabitEthernet1/1] port-security port-mode userlogin

# 配置无线端口WLAN-BSS1的端口安全模式为presharedKey。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] port-security port-mode psk

1.1.15  port-security preshared-key

【命令】

port-security preshared-key { pass-phrase | raw-key } [ cipher | simple ] key

undo port-security preshared-key

【视图】

WLAN-BSS接口视图/WLAN-Ethernet接口视图

【缺省级别】

2:系统级

【参数】

pass-phrase:以字符串方式输入预共享密钥。

raw-key:以十六进制数方式输入预共享密钥。

cipher key:以密文方式设置预共享密钥。

simple key:以明文方式设置预共享密钥。

key:设置的明文密钥或密文密钥,区分大小写。明文密钥为8~63个字符的字符串或者长度为64位的合法十六进制数;密文密钥为8~117个字符的字符串。不指定ciphersimple时,表示以明文方式设置共享密钥。

【描述】

port-security preshared-key命令用来配置预共享密钥。undo port-security preshared-key命令用来删除预共享密钥。

以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

缺省情况下,无预共享密钥。

【举例】

# 在接口WLAN-BSS1下配置预共享密钥为明文的字符串abcdefgh。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] port-security preshared-key pass-phrase simple abcdefgh

# 在接口WLAN-BSS1下配置预共享密钥为明文的十六进制数1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcd。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] port-security preshared-key raw-key 1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef

# 在接口WLAN-BSS1下配置预共享密钥为密文的wrWR2LZofLzlEY9ZdYsidw==。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] port-security preshared-key raw-key cipher wrWR2LZofLzlEY9ZdYsidw==

1.1.16  port-security timer autolearn aging

【命令】

port-security timer autolearn aging time-value

undo port-security timer autolearn aging

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:安全MAC地址的老化时间,取值范围为0~129600,单位为分钟,取值为0表示不会老化。

【描述】

port-security timer autolearn aging命令用来配置安全MAC地址的老化时间。undo port-security timer autolearn aging命令用来恢复缺省情况。

缺省情况下,安全MAC地址不会老化。

该老化时间对所有端口学习到的安全MAC地址和手工添加的Sticky MAC地址有效。

相关配置可参考命令display port-securityport-security mac-address security

【举例】

# 配置Sticky MAC地址的老化时间为30分钟。

<Sysname> system-view

[Sysname] port-security timer autolearn aging 30

1.1.17  port-security timer disableport

【命令】

port-security timer disableport time-value

undo port-security timer disableport

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:端口静默时间,取值范围为20~300,单位为秒。

【描述】

port-security timer disableport命令用来配置系统暂时关闭端口连接的时间。undo port-security timer disableport命令用来恢复缺省情况。

缺省情况下,系统暂时关闭端口连接的时间为20秒。

port-security intrusion-mode设置为disableport-temporarily模式时,系统暂时关闭端口连接的时间由该命令配置。

相关配置可参考命令display port-security

【举例】

# 配置端口GigabitEthernet1/1的入侵检测特性被触发后,收到非法报文的端口暂时关闭30秒。

<Sysname> system-view

[Sysname] port-security timer disableport 30

[Sysname] interface gigabitethernet 1/1

[Sysname-GigabitEthernet1/1] port-security intrusion-mode disableport-temporarily

1.1.18  port-security trap

【命令】

port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

undo port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

addresslearned:端口学习告警。在端口学习到新MAC地址时发出告警信息。

dot1xlogfailure:802.1X认证失败告警。

dot1xlogon:802.1X认证成功告警。

dot1xlogoff:802.1X认证用户下线告警。

intrusion:发现非法报文告警。

ralmlogfailure:MAC地址认证失败告警。

ralmlogoff:MAC地址认证用户下线告警。

ralmlogon:MAC地址认证成功告警。

RALM(RADIUS Authenticated Login using MAC-address)是指基于MAC地址的RADIUS认证。

 

【描述】

port-security trap命令用来打开指定告警信息的发送开关。undo port-security trap命令用来关闭指定告警信息的发送开关。

缺省情况下,所有告警信息的发送开关处于关闭状态。

告警信息的发送过程使用了设备的Trap特性。Trap特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于用户对这些特殊的行为进行监控。

相关配置可参考命令display port-security

【举例】

# 打开端口学习告警信息开关。

<Sysname> system-view

[Sysname] port-security trap addresslearned

1.1.19  port-security tx-key-type 11key

【命令】

port-security tx-key-type 11key

undo port-security tx-key-type

【视图】

WLAN-BSS接口视图/WLAN-Ethernet接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security tx-key-type 11key命令用来使能11key类型的密钥协商功能。undo port-security tx-key-type命令关闭11key类型的密钥协商功能。

缺省情况下,11key类型的密钥协商功能处于关闭状态。

【举例】

# 在接口WLAN-BSS1下使能11key类型的密钥协商功能。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] port-security tx-key-type 11key

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!