登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S3600系列以太网交换机 操作手册-RELEASE 1510(V1.04)

12-端口安全-端口绑定操作

本章节下载  (428.4 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S3600/S3600-SI/Configure/Operation_Manual/S3600-SI_OM(V1.04)/200711/317161_30005_0.htm

12-端口安全-端口绑定操作

  录

第1章 端口安全... 1-1

1.1 端口安全简介.. 1-1

1.1.1 端口安全概述.. 1-1

1.1.2 端口安全的特性.. 1-1

1.1.3 端口安全的模式.. 1-1

1.2 端口安全配置.. 1-3

1.2.1 配置端口安全基本特性.. 1-3

1.2.2 配置Security MAC地址.. 1-4

1.3 端口安全配置显示.. 1-6

1.4 端口安全配置举例.. 1-6

第2章 端口绑定... 2-1

2.1 端口绑定配置.. 2-1

2.1.1 端口绑定简介.. 2-1

2.1.2 端口绑定配置.. 2-1

2.2 端口绑定配置显示.. 2-1

2.3 端口绑定配置举例.. 2-2

 

第1章  端口安全

1.1  端口安全简介

1.1.1  端口安全概述

端口安全(Port Security)是一种对网络接入进行控制的安全机制,是对已有的802.1x认证和MAC地址认证的扩充。

Port Security的主要功能就是通过定义各种安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。

对于不能通过安全模式学习到源MAC地址的报文,将被视为非法报文;对于不能通过802.1x认证的事件,将被视为非法事件。

当发现非法报文或非法事件后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的维护工作量,极大地提高了系统的安全性和可管理性。

1.1.2  端口安全的特性

端口安全的特性包括:

(1)        NTK:NTK(Need To Know)特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。

(2)        Intrusion Protection:该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码,发现非法报文或非法事件,并采取相应的动作,包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文,保证了端口的安全性。

(3)        Device Tracking:该特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。

1.1.3  端口安全的模式

对于端口安全模式的具体描述,请参见表1-1

表1-1 端口安全模式描述表

安全模式类型

描述

特性说明

autolearn

此模式下,端口学习到的MAC地址会转变为Security MAC地址;

当端口下的Security MAC地址数超过port-security max-mac-count命令配置的数目后,端口模式会自动转变为secure模式;

之后,该端口不会再添加新的Security MAC,只有源MAC为Security MAC或已配置的动态MAC的报文,才能通过该端口

在左侧列出的模式下,当设备发现非法报文后,将触发NTK特性和Intrusion Protection特性

secure

止端口学习MAC地址,只有源MAC为端口已经学习到的Security MAC、已配置的静态MAC或已配置的动态MAC的报文,才能通过该端口

userlogin

对接入用户采用基于端口的802.1x认证

此模式下NTK特性和Intrusion Protection特性不会被触发

userlogin-secure

接入用户必须先通过802.1x认证,认证成功后端口开启,但也只允许认证成功的用户报文通过;

此模式下,端口最多只允许接入一个经过802.1x认证的用户;

当端口从正常模式进入此安全模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除

在左侧列出的模式下,当设备发现非法报文后,将触发Need To Know特性和Intrusion Protection特性

userlogin-withoui

userlogin-secure类似,端口最多只允许一个802.1x认证用户,但同时,端口还允许一个oui地址的报文通过;

当用户从端口的正常模式进入此模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除

mac-authentication

基于MAC地址对接入用户进行认证

userlogin-secure-or-mac

表示mac-authenticationuserlogin-secure两种模式只要通过其中一种,即表明认证通过

mac-else-userlogin-secure

表示先进行mac-authentication认证,如果成功则表明认证通过,如果失败则再进行userlogin-secure认证

userlogin-secure-ext

userlogin-secure类似,但端口下的802.1x认证用户可以有多个

userlogin-secure-or-mac-ext

userlogin-secure-or-mac类似,但端口下的802.1x认证用户可以有多个

mac-else-userlogin-secure-ext

mac-else-userlogin-secure类似,但端口下的802.1x认证用户可以有多个

 

1.2  端口安全配置

1.2.1  配置端口安全基本特性

表1-2 配置端口安全基本特性

操作

命令

说明

进入系统视图

system-view

-

使能端口安全机制

port-security enable

必选

设置用户认证的OUI值

port-security oui OUI-value index index-value

可选

打开指定Trap信息的发送开关

port-security trap { addresslearned | intrusion | dot1xlogon | dot1xlogoff | dot1xlogfailure | ralmlogon | ralmlogoff | ralmlogfailure }*

可选

缺省情况下,Trap信息的发送开关处于关闭状态

进入以太网端口视图

interface interface-type interface-number

-

配置端口的安全模式

port-security port-mode mode

必选

根据实际需要,用户可以配置不同的安全模式

设置端口允许接入的最大MAC地址数

port-security max-mac-count count-value

可选

缺省情况下,最大MAC地址数不受限制

设置Need To Know特性的报文传送模式

port-security ntk-mode { ntkonly | ntk-withbroadcasts | ntk-withmulticasts }

必选

缺省情况下,系统没有设置端口NTK特性的报文传送模式

设置Intrusion Protection特性被触发后,设备采取的相应动作

port-security intrusion-mode { disableport | disableport-temporarily | blockmac }

必选

缺省情况下,系统没有设置设备采取的安全模式

配置当前端口不应用服务器下发的授权信息

port-security authorization ignore

可选

缺省情况下,端口将应用服务器下发的授权信息

返回系统视图

quit

-

设置系统暂时断开端口连接的时间

port-security timer disableport timer

可选

缺省情况下,时间值为20秒

 

&  说明:

port-security timer disableport timer命令设置的时间值,是port-security intrusion-mode命令设置为disableport-temporarily模式时,系统暂时断开端口连接的时间。

 

当用户使能端口安全特性后,为避免引起冲突,设备的802.1x认证和MAC地址认证将出现如下一些限制:

(1)        dot1x port-control命令配置的接入控制的模式将自动转变为auto。

(2)        命令dot1xdot1x port-methoddot1x port-controlmac-authentication不能再进行配置。

&  说明:

l      关于802.1x认证的详细介绍,请参见《H3C S3600系列以太网交换机 操作手册》的802.1x模块。

l      对已经配置了端口安全功能的端口,不能再将其加入到端口汇聚组中。

l      对已经加入了某个汇聚组的端口,不能再配置port-security port-mode mode命令。

 

1.2.2  配置Security MAC地址

Security MAC是一种特殊的MAC地址,其特性类似于静态MAC地址。在同一个VLAN内,一个Security MAC地址只能被添加到一个端口上,利用该特点,可以实现同一VLAN内MAC地址与端口的绑定。

Security MAC可以由启用Port-Security功能的端口自动学习,也可以由命令行或者MIB手动配置。手动配置的Security MAC与端口自动学习的Security MAC没有区别。

在添加Security MAC地址之前,需要先配置端口的安全模式为autolearn配置端口的安全模式为autolearn之后,端口的MAC地址学习方式将会发生变化:

l              端口原有的动态MAC被删除;

l              当端口的Security MAC没有达到配置的最大数目时,端口新学到的MAC地址会被添加为Security MAC;

l              当端口的Security MAC到达配置的最大数目时,端口将不会继续学习MAC地址,端口状态将从autolearn状态转变为secure状态。

&  说明:

配置的Security MAC地址会写入配置文件,端口Up或Down时不会丢失。保存配置文件后,即使交换机重启,Security MAC地址也可以恢复。

 

表1-3 配置Security MAC地址

操作

命令

说明

进入系统视图

system-view

-

使能端口安全机制

port-security enable

必选

进入以太网端口视图

interface interface-type interface-number

-

设置端口允许接入的最大Security MAC地址数

port-security max-mac-count count-value

必选

缺省情况下,最大Security MAC地址数不受限制

配置端口的安全模式为autolearn

port-security port-mode autolearn

必选

添加Security MAC地址

mac-address security mac-address [ interface interface-type interface-number ] vlan vlan-id

必选

该命令可以在以太网端口视图下或系统视图下执行。如果是在系统视图下执行该命令,则需要配置interface interface-type interface-number参数

 

请注意:

(1)        在同一端口下,port-security port-mode autolearn命令不能与以下特性同时配置:

l              静态或黑洞MAC地址;

l              Voice VLAN功能;

l              802.1x特性;

l              端口汇聚;

l              配置镜像反射端口。

(2)        port-security max-mac-count count-value命令不能与配置端口最大动态MAC地址学习数的命令mac-address max-mac-count count同时配置。

1.3  端口安全配置显示

完成上述配置后,在任意视图下执行display命令,可以显示配置端口安全后的运行情况。通过查看显示信息,用户可以验证配置的效果。

表1-4 端口安全配置显示

操作

命令

说明

显示端口安全配置的相关信息

display port-security [ interface interface-list ]

display命令可以在任意视图下执行

显示Security MAC地址的配置信息

display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]

 

1.4  端口安全配置举例

1. 组网需求

l              Switch A上的Ethernet1/0/1端口安全机制处于使能状态;

l              该端口允许接入的最大MAC地址数为80,端口的安全模式为autolearn

l              将用户PC1的MAC地址0001-0002-0003作为Security MAC地址,添加到VLAN 1中。

2. 组网图

图1-1 端口安全配置组网图

3. 配置步骤

配置Switch A。

# 进入系统视图。

<H3C> system-view

# 使能端口安全机制。

[H3C] port-security enable

# 进入以太网Ethernet1/0/1端口视图。

[H3C] interface Ethernet1/0/1

# 设置端口允许接入的最大MAC地址数为80。

[H3C-Ethernet1/0/1] port-security max-mac-count 80

# 配置端口的安全模式为autolearn

[H3C-Ethernet1/0/1] port-security port-mode autolearn

# 将PC1的MAC地址0001-0002-0003作为Security MAC添加到VLAN 1中。

[H3C-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1

 

第2章  端口绑定

2.1  端口绑定配置

2.1.1  端口绑定简介

通过端口绑定特性,网络管理员可以将合法用户的MAC地址和IP地址绑定到指定的端口上。进行绑定操作后,只有指定MAC地址或IP地址的用户发出的报文才能通过该端口转发,提高了系统的安全性,增强了对网络安全的监控。

2.1.2  端口绑定配置

表2-1 端口绑定配置

操作

命令

说明

进入系统视图

system-view

-

将合法用户的MAC地址和IP地址绑定到指定端口上

am user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number

可选

进入以太网端口视图

interface interface-type interface-number

-

将合法用户的MAC地址和IP地址绑定到当前端口上

am user-bind mac-addr mac-address ip-addr ip-address

可选

 

&  说明:

对同一个MAC地址,系统只允许进行一次绑定操作。

 

2.2  端口绑定配置显示

完成上述配置后,在任意视图下执行display命令,可以显示配置端口绑定后的运行情况。通过查看显示信息,用户可以验证配置的效果。

表2-2 端口绑定配置显示

操作

命令

说明

显示端口绑定的配置信息

 display am user-bind [ interface interface-type interface-number | mac-addr mac-addr | ip-addr ip-addr ]

display命令可以在任意视图下执行

 

2.3  端口绑定配置举例

1. 组网需求

为了防止小区内有恶意用户盗用PC1的IP地址,将PC1的MAC地址和IP地址绑定到Switch A上的Ethernet1/0/1端口。

2. 组网图

图2-1 端口安全配置组网图

3. 配置步骤

配置Switch A。

# 进入系统视图。

<H3C> system-view

# 进入Ethernet1/0/1端口视图。

[H3C] interface Ethernet1/0/1

# 将PC1的MAC地址和IP地址绑定到Ethernet1/0/1端口。

[H3C-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1

 

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们