- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-端口安全命令
本章节下载: 06-端口安全命令 (149.65 KB)
目 录
1.1.2 display port-security mac-address block
1.1.3 display port-security mac-address security
1.1.4 port-security authorization ignore
1.1.6 port-security intrusion-mode
1.1.7 port-security mac-address security
1.1.8 port-security max-mac-count
1.1.11 port-security port-mode
1.1.12 port-security timer disableport
【命令】
display port-security [ interface interface-list ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口。表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
display port-security命令用来显示端口安全的配置信息、运行情况和统计信息。
需要注意的是,如果不指定参数interface interface-list,则显示所有端口的端口安全信息。
相关配置可参考命令port-security enable、port-security port-mode、port-security ntk-mode、port-security intrusion-mode、port-security max-mac-count、port-security mac-address security、port-security authorization ignore、port-security oui和port-security trap。
【举例】
# 显示所有端口的端口安全状态。
<Sysname> display port-security
Equipment port-security is enabled
AddressLearn trap is enabled
Intrusion trap is enabled
Dot1x logon trap is enabled
Dot1x logoff trap is enabled
Dot1x logfailure trap is enabled
RALM logon trap is enabled
RALM logoff trap is enabled
RALM logfailure trap is enabled
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 000d1a
Index is 2, OUI value is 003c12
Ethernet1/0/1 is link-down
Port mode is UserloginWithOUI
NeedtoKnow mode is needtoknowwithmulticast
Intrusion mode is disableport
Max MAC address number is 50
Stored MAC address number is 0
Authorization is ignored
Ethernet1/0/2 is link-down
Port mode is noRestriction
NeedtoKnow mode is disabled
Intrusion mode is no action
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
表1-1 display port-security命令显示信息描述表
|
字段 |
描述 |
|
Equipment port-security is enabled |
端口安全已经开启 |
|
AddressLearn trap is enabled |
端口学习告警已经开启 |
|
Intrusion trap is enabled |
入侵检测告警已经开启 |
|
Dot1x logon trap is enabled |
802.1X认证成功告警已经开启 |
|
Dot1x logoff trap is enabled |
802. 1x认证用户下线告警已经开启 |
|
Dot1x logfailure is enabled |
802. 1x认证失败告警已经开启 |
|
RALM logon trap is enabled |
MAC地址认证成功告警已经开启 |
|
RALM logoff trap is enabled |
MAC地址认证用户下线告警已经开启 |
|
RALM logfailure trap is enabled |
MAC地址认证失败告警已经开启 |
|
Disableport Timeout |
端口暂时被关闭的时间,单位为秒 |
|
OUI value |
24位的OUI值 |
|
Index |
OUI的索引 |
|
Port mode is UserloginWithOUI |
端口安全模式为UserloginWithOUI |
|
NeedtoKnow mode is needtoknowonly |
NeedtoKnow模式为needtoknowwithmulticast |
|
Intrusion mode is disableport |
入侵检测特性为disableport |
|
Max MAC address number |
端口下最大安全MAC地址数 |
|
Stored MAC address number |
保存的MAC地址数 |
|
Authorization is ignored |
服务器的授权信息将被忽略。缺省情况下,应用服务器的授权信息,显示“Authorization is permitted” |
【命令】
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
interface interface-type interface-number:显示指定端口的阻塞MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。
vlan vlan-id:显示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。
count:统计符合条件的阻塞MAC地址个数。
【描述】
display port-security mac-address block命令用来显示阻塞MAC地址信息。
需要注意的是,如果不指定任何参数,则显示所有阻塞MAC地址的信息。
相关配置可参考命令port-security intrusion-mode。
【举例】
# 显示所有阻塞MAC地址。
<Sysname> display port-security mac-address block
MAC ADDR From Port VLAN ID
0002-0002-0002 Ethernet1/0/1 1
000d-88f8-0577 Ethernet1/0/2 1
--- 2 mac address(es) found ---
# 显示所有阻塞MAC地址计数。
<Sysname> display port-security mac-address block count
2 mac address(es) found
# 显示指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block vlan 1
MAC ADDR From Port VLAN ID
0002-0002-0002 Ethernet1/0/1 1
000d-88f8-0577 Ethernet1/0/2 1
--- 2 mac address(es) found ---
# 显示指定端口下的阻塞MAC地址。
<Sysname> display port-security mac-address block interface ethernet1/0/2
MAC ADDR From Port VLAN ID
000d-88f8-0577 Ethernet1/0/2 1
--- 1 mac address(es) found ---
# 显示指定端口下的在指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block interface ethernet 1/0/2 vlan 1
MAC ADDR From Port VLAN ID
000d-88f8-0577 Ethernet1/0/2 1
--- 1 mac address(es) found ---
表1-2 display port-security mac-address block命令显示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
阻塞MAC地址 |
|
From Port |
阻塞MAC地址所在端口 |
|
VLAN ID |
端口所属VLAN |
|
2 mac address(es) found |
当前阻塞MAC地址数目 |
【命令】
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
interface interface-type interface-number:显示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。
vlan vlan-id:显示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。
count:统计符合条件的安全MAC地址个数。
【描述】
display port-security mac-address security命令用来显示安全MAC地址信息。
需要注意的是,如果不指定任何参数,则显示所有安全MAC地址的信息。
相关配置可参考命令port-security mac-address security。
【举例】
# 显示所有安全MAC地址。
<Sysname> display port-security mac-address security
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0002-0002-0002 1 Security Ethernet1/0/1 NOAGED
000d-88f8-0577 1 Security Ethernet1/0/2 NOAGED
--- 2 mac address(es) found ---
# 显示所有安全MAC地址计数。
<Sysname> display port-security mac-address count
2 mac address(es) found
# 显示指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0002-0002-0002 1 Security Ethernet1/0/1 NOAGED
000d-88f8-0577 1 Security Ethernet1/0/2 NOAGED
--- 2 mac address(es) found ---
# 显示指定端口下的安全MAC地址。
<Sysname> display port-security mac-address security interface ethernet1/0/2
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000d-88f8-0577 1 Security Ethernet1/0/2 NOAGED
--- 1 mac address(es) found ---
# 显示指定端口下的在指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security interface ethernet 1/0/2 vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000d-88f8-0577 1 Security Ethernet1/0/2 NOAGED
--- 1 mac address(es) found ---
表1-3 display port-security mac-address命令显示信息描述表
|
字段 |
描述 |
|
MAC ADDR |
安全MAC地址 |
|
VLAN ID |
端口所属VLAN |
|
STATE |
添加的MAC地址类型 |
|
PORT INDEX |
安全MAC地址所在端口 |
|
AGING TIME(s) |
安全MAC地址的存活时间 |
|
2 mac address(es) found |
当前保存的安全MAC地址数目 |
【命令】
port-security authorization ignore
undo port-security authorization ignore
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
port-security authorization ignore命令用来配置端口不应用RADIUS服务器下发的授权信息。undo port-security port-mode ignore命令用来恢复缺省情况。
缺省情况下,端口应用RADIUS服务器下发的授权信息。
当用户通过RADIUS认证后,RADIUS服务器会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。
相关配置可参考命令display port-security。
【举例】
# 配置端口Ethernet1/0/1不应用RADIUS服务器下发的授权信息。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] port-security authorization ignore
【命令】
port-security enable
undo port-security enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
port-security enable命令用来使能端口安全功能。undo port-security enable命令用来关闭端口安全功能。
缺省情况下,端口安全功能处于关闭状态。
需要注意的是:
(1) 如果已全局开启了802.1X或MAC地址认证功能,则无法使能端口安全功能。
(2) 端口安全功能使能后,端口的如下配置会被自动恢复为(括号内的)缺省情况,且以下配置不能再进行手动配置,只能随端口安全模式的改变由系统配置:
l 802.1X认证(关闭)、端口接入控制方式(macbased)、端口接入控制模式(auto);
l MAC地址认证(关闭)。
(3) 端口安全功能关闭时,端口的如下配置会被自动恢复为(括号内的)缺省情况:
l 端口安全模式(noRestrictions);
l 802.1X认证(关闭)、端口接入控制方式(macbased)、端口接入控制模式(auto);
l MAC地址认证(关闭)。
(4) 端口上有用户在线的情况下,端口安全功能无法关闭。
相关配置可参考命令display port-security、“安全分册/802.1X命令”中的命令dot1x、dot1x port-method和dot1x port-control以及“安全分册/MAC地址认证命令”中的命令mac-authentication。
【举例】
# 使能端口安全功能。
<Sysname> system-view
[Sysname] port-security enable
【命令】
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
undo port-security intrusion-mode
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。阻塞MAC地址列表可以通过display port-security mac-address block命令查看。
disableport:表示将收到非法报文的端口永久关闭。
disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。
【描述】
port-security intrusion-mode命令用来配置入侵检测特性,对接收非法报文的端口采取相应的安全策略。undo port-security intrusion-mode命令用来缺省情况。
缺省情况下,不进行入侵检测处理。
需要注意的是,可以通过执行undo shutdown命令将断开的端口连接恢复。
相关配置可参考命令display port-security、display port-security mac-address block和port-security timer disableport。
【举例】
# 配置端口Ethernet1/0/1的入侵检测特性被触发后,将非法报文的源MAC地址置为阻塞MAC。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] port-security intrusion-mode blockmac
【命令】
在二层以太网端口视图下:
port-security mac-address security mac-address vlan vlan-id
在系统视图下:
port-security mac-address security mac-address interface interface-type interface-number vlan vlan-id
undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]
【视图】
二层以太网端口视图/系统视图
【缺省级别】
2:系统级
【参数】
mac-address:安全MAC地址,格式为H-H-H。
interface interface-type interface-number:指定添加安全MAC地址的端口。其中,interface-type interface-number表示端口类型和端口编号。
vlan vlan-id:指定安全MAC地址所属的VLAN。其中,vlan-id表示VLAN编号,取值范围为1~4094。
【描述】
port-security mac-address security命令用来添加安全MAC地址。undo port-security mac-address security命令用来删除匹配的安全MAC地址。
缺省情况下,未配置安全MAC地址。
需要注意的是:
l 安全MAC地址的端口必须属于安全MAC地址所属的VLAN。
l 此命令只有在端口安全功能打开且指定端口的端口安全模式为autoLearn的时候才能配置成功。
l 删除安全MAC地址的命令只能在系统视图下执行。
相关配置可参考命令display port-security。
【举例】
# 启动端口安全功能,配置端口Ethernet1/0/1的安全模式为autoLearn,并在系统视图下为该端口添加一条安全MAC地址:0001-0001-0002,该安全MAC地址属于VLAN 10。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] port-security max-mac-count 100
[Sysname-Ethernet1/0/1] port-security port-mode autolearn
[Sysname-Ethernet1/0/1] quit
[Sysname] port-security mac-address security 0001-0001-0002 interface ethernet 1/0/1 vlan 10
# 启动端口安全功能,配置端口Ethernet1/0/1的安全模式为autoLearn,并在端口视图下为该端口添加一条安全MAC地址:0001-0002-0003,该安全MAC地址属于VLAN 4。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] port-security max-mac-count 100
[Sysname-Ethernet1/0/1] port-security port-mode autolearn
[Sysname-Ethernet1/0/1] port-security mac-address security 0001-0002-0003 vlan 4
【命令】
port-security max-mac-count count-value
undo port-security max-mac-count
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
count-value:端口允许的最大安全MAC地址数,取值范围为1~1024。
【描述】
port-security max-mac-count命令用来设置端口允许的最大安全MAC地址数。undo port-security max-mac-count命令用来恢复缺省情况。
缺省情况下,最大安全MAC地址数不受限制。
需要注意的是:
l 当端口工作于autoLearn模式时,无法更改端口允许的最大安全MAC地址数。
l 端口允许的最大安全MAC地址数不统计手工设置的静态MAC地址。
l 端口允许的最大安全MAC地址数不能小于当前端口下已保存的MAC地址数。
相关配置可参考命令display port-security。
【举例】
# 配置端口Ethernet1/0/1允许的最大安全MAC地址数为100。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] port-security max-mac-count 100
【命令】
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }
undo port-security ntk-mode
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
ntk-withbroadcasts:仅发送目的地址为已认证的MAC地址或广播地址的报文。
ntk-withmulticasts:仅发送目的地址为已认证的MAC地址、广播地址或组播地址的报文。
ntkonly:仅发送目的地址为已认证的MAC地址的报文。
【描述】
port-security ntk-mode命令用来配置端口NeedToKnow特性。undo port-security ntk-mode命令用来恢复缺省配置。
缺省情况下,端口没有配置NeedToKnow特性,即所有报文都可成功发送。
NeedToKnow特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
相关配置可参考命令display port-security。
H3C S3610&S5510系列交换机不支持ntkonly模式和ntk-withbroadcasts模式,仅支持ntk-withmulticasts模式。
【举例】
# 配置端口Ethernet1/0/1的NeedToKnow特性为ntk-withmulticasts,即仅发送目的地址为已认证的MAC地址、广播地址或组播地址的报文。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] port-security ntk-mode ntk-withmulticasts
【命令】
port-security oui oui-value index index-value
undo port-security oui index index-value
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
oui-value:OUI值,输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位做为OUI值,忽略后24位。
index-value:标识此OUI的索引值,取值范围为1~16。
【描述】
port-security oui命令用来配置用户认证的OUI值,在端口安全模式为UserLoginWithOUI时使用。undo port-security oui命令用来删除指定索引的OUI值。
缺省情况下,没有设置用户认证的OUI值。
需要注意的是,本命令设置的OUI值,只在端口安全模式为userLoginWithOUI时生效。
相关配置可参考命令display port-security。
【举例】
# 配置OUI值为000d2a,索引为4。
<Sysname> system-view
[Sysname] port-security oui 000d-2a10-0033 index 4
【命令】
port-security port-mode { autolearn | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }
undo port-security port-mode
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
autolearn:设置端口安全模式为autoLearn模式。
mac-authentication:设置端口安全模式为macAddressWithRadius模式。
mac-else-userlogin-secure:设置端口安全模式为macAddressElseUserLoginSecure模式。
mac-else-userlogin-secure-ext:设置端口安全模式为macAddressElseUserLoginSecureExt模式。
secure:设置端口安全模式为secure模式。
userlogin:设置端口安全模式为userLogin模式。
userlogin-secure:设置端口安全模式为userLoginSecure模式。
userlogin-secure-ext:设置端口安全模式为userLoginSecureExt模式。
userlogin-secure-or-mac:设置端口安全模式为macAddressOrUserLoginSecure模式。
userlogin-secure-or-mac-ext:设置端口安全模式为macAddressOrUserLoginSecureExt模式。
userlogin-withoui:设置端口安全模式为userLoginWithOUI。
【描述】
port-security port-mode命令用来配置端口安全模式。undo port-security port-mode命令用来恢复缺省情况。
缺省情况下,端口处于noRestrictions模式,此时该端口下端口安全特性不生效。
需要注意的是:
l 端口安全模式与端口下的802.1X认证使能、端口接入控制方式、端口接入控制模式以及端口下的MAC地址认证使能配置互斥。
l 当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。
l 配置端口安全autoLearn模式时,首先需要通过命令port-security max-mac-count设置端口允许的最大安全MAC地址数。
l 端口上有用户在线的情况下,端口安全模式无法改变。
相关配置可参考命令display port-security。
【举例】
# 使能端口安全功能,并配置端口Ethernet1/0/1的端口安全模式为secure。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] port-security port-mode secure
# 将端口Ethernet1/0/1的端口安全模式改变为userLogin。
[Sysname-Ethernet1/0/1] undo port-security port-mode
[Sysname-Ethernet1/0/1] port-security port-mode userlogin
【命令】
port-security timer disableport time-value
undo port-security timer disableport
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-value:端口静默时间,取值范围为20~300,单位为秒。
【描述】
port-security timer disableport命令用来配置系统暂时关闭端口连接的时间。undo port-security timer disableport命令用来恢复缺省情况。
缺省情况下,系统暂时关闭端口连接的时间为20秒。
当port-security intrusion-mode设置为disableport-temporarily模式时,系统暂时关闭端口连接的时间由该命令配置。
相关配置可参考命令display port-security。
【举例】
# 配置端口Ethernet1/0/1的入侵检测特性被触发后,收到非法报文的端口暂时关闭30秒。
<Sysname> system-view
[Sysname] port-security timer disableport 30
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily
【命令】
port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }
undo port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
addresslearned:端口学习告警。在端口学习到新MAC地址时发出告警信息。
dot1xlogfailure:802.1X认证失败告警。
dot1xlogon:802.1X认证成功告警。
dot1xlogoff:802.1X认证用户下线告警。
intrusion:发现非法报文告警。
ralmlogfailure:MAC地址认证失败告警。
ralmlogoff:MAC地址认证用户下线告警。
ralmlogon:MAC地址认证成功告警。
RALM(RADIUS Authenticated Login using MAC-address)是指基于MAC地址的RADIUS认证。
【描述】
port-security trap命令用来打开指定告警信息的发送开关。undo port-security trap命令用来关闭指定告警信息的发送开关。
缺省情况下,所有告警信息的发送开关处于关闭状态。
该过程使用了设备的Trap特性。Trap特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于用户对这些特殊的行为进行监控。
相关配置可参考命令display port-security。
【举例】
# 打开端口学习告警信息开关。
<Sysname> system-view
[Sysname] port-security trap addresslearned
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
