- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-端口安全操作
本章节下载 (262.09 KB)
目 录
1.2.5 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN
1.2.6 配置当前端口不应用RADIUS服务器下发的授权信息
1.4.2 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN配置举例
端口安全(Port Security)是一种对网络接入进行控制的安全机制,是对已有的802.1x认证和MAC地址认证的扩充。
Port Security的主要功能就是用户通过定义各种安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。
启动了端口安全功能之后,对于交换机不能通过安全模式学习到其源MAC地址的报文,系统将视为非法报文;对于不能通过802.1x认证或MAC地址认证的事件,将被视为非法事件。
当发现非法报文或非法事件后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的维护工作量,极大地提高了系统的安全性和可管理性。
端口安全的特性包括:
l NTK特性:NTK(Need To Know)特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被交换机发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
l Intrusion Protection特性:该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码,发现非法报文或非法事件,并采取相应的动作,包括暂时断开端口连接、永久断开端口连接或是过滤源地址是此MAC地址的报文,保证了端口的安全性。
l Trap特性:该特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
对于端口安全模式的具体描述,请参见表1-1。
|
安全模式类型 |
描述 |
特性说明 |
|
noRestriction |
此模式下,端口处于无限制状态 |
此模式下,NTK特性和Intrusion Protection特性不会被触发 |
|
autolearn |
此模式下,端口学习到的MAC地址会转变为Security MAC地址; 当端口下的Security MAC地址数超过port-security max-mac-count命令配置的数目后,端口模式会自动转变为secure模式; 之后,该端口不会再添加新的Security MAC,只有源MAC为Security MAC的报文,才能通过该端口 |
在左侧列出的模式下,当设备发现非法报文后,将触发NTK特性和Intrusion Protection特性 |
|
secure |
禁止端口学习MAC地址,只有源MAC为端口已经学习到的Security MAC、已配置的静态MAC的报文,才能通过该端口 |
|
|
userlogin |
对接入用户采用基于端口的802.1x认证 |
此模式下NTK特性和Intrusion Protection特性不会被触发 |
|
userLoginSecure |
对接入用户采用基于MAC的802.1x认证,认证成功后端口开启,但也只允许认证成功的用户报文通过; 此模式下,端口最多只允许接入一个经过802.1x认证的用户; 当端口从noRestriction模式进入此安全模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除 |
在左侧列出的模式下,当设备发现非法报文或非法事件后,将触发Need To Know特性和Intrusion Protection特性 |
|
userLoginSecureExt |
与userLoginSecure类似,但端口下的802.1x认证用户可以有多个 |
|
|
userLoginWithOUI |
与userLoginSecure类似,端口最多只允许一个802.1x认证用户,但同时,端口还允许一个OUI(Organizationally Unique Identifier 是一个全球唯一的标识符,是MAC地址的前24位)地址的报文通过; 当端口从noRestriction模式进入此模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除 |
|
|
macAddressWithRadius |
对接入用户采用MAC地址认证 |
|
|
macAddressOrUserLoginSecure |
MAC地址认证和802.1x认证可以同时共存,但802.1x认证优先级大于MAC地址认证; 接入用户通过MAC地址认证后,仍然可以进行802.1x认证; 接入用户通过802.1x认证后,不再进行MAC地址认证; 此模式下,端口最多只允许接入一个经过认证的802.1x用户,但端口下经过认证的MAC地址认证用户可以有多个 |
|
|
macAddressOrUserLoginSecureExt |
与macAddressOrUserLoginSecure类似,但此模式下,端口允许经过认证的802.1x用户可以有多个 |
|
|
macAddressElseUserLoginSecure |
接入用户可以进行MAC地址认证或802.1x认证,当其中一种方式认证成功则表明认证通过; 此模式下,端口最多只允许接入一个经过认证的802.1x用户,但端口下经过认证的MAC地址认证用户可以有多个 |
|
|
macAddressElseUserLoginSecureExt |
与macAddressElseUserLoginSecure类似,但此模式下,端口允许经过认证的802.1x用户可以有多个 |
|
|
macAddressAndUserLoginSecure |
对接入用户先进行MAC地址认证,当MAC地址认证成功后,再进行802.1x认证。只有在这两种认证都成功的情况下,才允许该用户接入网络; 此模式下,端口最多只允许一个用户接入网络 |
|
|
macAddressAndUserLoginSecureExt |
与macAddressAndUserLoginSecure类似,但此模式下,端口允许接入网络的用户可以有多个 |
l 当端口工作在userlogin-withoui模式下时,即使OUI地址不匹配,也不会触发Intrusion Protection特性。
l 在macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下,接入用户在MAC地址认证失败后,该用户的MAC地址将被设置为静默MAC。如果此时,该接入用户还要进行802.1x认证,则在静默期间,交换机不处理该用户的认证功能,静默之后交换机才允许该用户进行802.1x认证。
l 对于工作在端口安全模式下的端口,当该端口接收到源MAC地址和已配置的动态MAC匹配的二层转发报文时,交换机将允许报文通过该端口。
表1-2 端口安全配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
|
启动端口安全功能 |
必选 |
||
|
配置端口允许的最大MAC地址数 |
可选 |
||
|
配置端口安全模式 |
必选 |
||
|
配置端口安全的相关特性 |
配置NTK特性 |
可选 根据实际组网需求选择其中一种或多种特性 |
|
|
配置Intrusion Protection特性 |
|||
|
配置Trap特性 |
|||
|
端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN |
可选 |
||
|
配置当前端口不应用RADIUS服务器下发的授权信息 |
可选 |
||
|
配置Security MAC地址 |
可选 |
||
在启动端口安全功能之前,需要关闭全局的802.1x和MAC地址认证功能。
表1-3 启动端口安全功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动端口安全功能 |
port-security enable |
必选 缺省情况下,端口安全功能处于关闭状态 |
当用户启动端口安全功能后,端口的如下配置会被自动恢复为(括弧内的)缺省情况:
l 802.1x认证(关闭)、端口接入控制方式(macbased)、端口接入控制模式(auto);
l MAC地址认证(关闭)。
且以上配置不能再进行手动配置,只能随端口安全模式的改变由系统配置。
l 关于802.1x认证的详细介绍,请参见“802.1x及System-Guard”中的相关内容。
l 关于MAC地址认证的详细介绍,请参见“MAC地址认证”中的相关内容。
端口安全允许某个端口下有多个用户通过认证,但是允许的用户数不能超过设置的最大值。
配置端口允许的最大MAC地址数有两个作用:
l 控制能够通过某端口接入网络的最大用户数;
l 控制端口安全能够添加的Security MAC地址数。
该配置与MAC地址管理中配置的端口最多可以学习到的MAC地址数无关。
表1-4 配置端口允许接入的最大MAC地址数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口允许接入的最大MAC地址数 |
port-security max-mac-count count-value |
必选 缺省情况下,最大MAC地址数不受限制 |
表1-5 配置端口安全模式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置用户认证的OUI值 |
port-security oui OUI-value index index-value |
可选 在端口安全模式为userLoginWithOUI时,端口除了可以允许一个802.1x的接入用户通过认证之外,还可以允许一个指定OUI值的源MAC地址的用户通过认证 |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口的安全模式 |
port-security port-mode { autolearn|mac-and-userlogin-secure | mac-and-userlogin-secure-ext | mac-authentication|mac-else-userlogin-secure|mac-else-userlogin-secure-ext | secure|userlogin | userlogin-secure |userlogin-secure-ext |userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui } |
必选 缺省情况下,端口处于noRestriction模式,此时该端口处于无限制状态 根据实际需要,用户可以配置不同的安全模式 |
l 当用户配置端口安全模式为autolearn时,首先需要使用port-security max-mac-count命令设置端口允许接入的最大MAC地址数。
l 当端口工作于autoLearn模式时,无法更改端口允许接入的最大MAC地址数。
l 在用户配置端口安全模式为autolearn后,不能在该端口上配置静态或黑洞MAC地址。
l 当端口安全模式不是noRestriction时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestriction模式。
在已经配置了安全模式的端口下,将不能再进行以下配置:
l 配置最大MAC地址学习个数;
l 配置镜像反射端口;
l 配置端口汇聚。
表1-6 配置NTK特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置Need To Know特性 |
port-security ntk-mode { ntkonly | ntk-withbroadcasts | ntk-withmulticasts } |
必选 缺省情况下,没有配置Need To Know特性,即所有报文都可成功发送 |
表1-7 配置Intrusion Protection特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
设置Intrusion Protection特性被触发后,交换机采取的相应动作 |
port-security intrusion-mode { blockmac | disableport | disableport-temporarily } |
必选 缺省情况下,没有配置Intrusion Protection特性 |
|
退回系统视图 |
quit |
- |
|
设置系统暂时断开端口连接的时间 |
port-security timer disableport timer |
可选 缺省情况下,系统暂时断开端口连接的时间为20秒 |
port-security timer disableport命令设置的时间值,是port-security intrusion-mode命令设置为disableport-temporarily模式时,系统暂时断开端口连接的时间。
当用户在同一端口上配置NTK特性和配置port-security intrusion-mode blockmac命令后,交换机将无法禁止目的MAC地址为非法MAC地址的报文从该端口发出,也就是说NTK特性对目的MAC地址为非法MAC地址的报文不起作用。
表1-8 配置Trap特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
打开指定Trap信息的发送开关 |
port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon } |
必选 缺省情况下,Trap信息的发送开关处于关闭状态 |
Guest VLAN是用户在认证失败的情况下,可以访问的指定VLAN(有关Guest VLAN的详细介绍请参见“802.1x及System-Guard”)。
对于支持Guest VLAN的macAddressOrUserLoginSecure安全模式来说,每个端口下可连接一个或多个认证用户,但同一时刻每个端口最多只允许一个用户通过安全认证。具体情况如下:
(1) 当端口上连接的首个认证用户触发802.1x认证或MAC地址认证时:
l 如果该用户未通过802.1x认证或MAC地址认证,则该端口会被加入到Guest VLAN,此后所有在该端口接入的用户将被授权访问Guest VLAN里的资源。
l 若该用户通过了802.1x认证或MAC地址认证,因为端口同一时刻只允许接入一个经过认证的用户,其他用户的认证请求将不再进行处理(后续认证用户认证失败,但端口不会加入Guest VLAN)。
(2) 当某端口已经加入Guest VLAN后:
l 该端口下连的认证用户仍然可以进行802.1x认证,如果有一个用户认证成功,该端口会离开Guest VLAN、回到配置的VLAN中(加入Guest VLAN之前所在的VLAN,即“初始VLAN”)。并且不再处理该端口下其他用户的认证请求。
l 同样,该端口仍然允许进行MAC地址认证,但此时MAC地址认证不是由用户报文来触发MAC地址认证,而是由交换机每隔一定时间自动利用该端口下学习到的Guest VLAN内的首个MAC地址触发MAC地址认证,如果认证成功,端口会离开Guest VLAN。
表1-9 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置在端口加入Guest VLAN后,交换机触发MAC地址认证的周期 |
port-security timer guest-vlan-reauth interval |
可选 |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口启用macAddressOrUserLoginSecure安全模式 |
port-security port-mode userlogin-secure-or-mac |
必选 |
|
指定某个已创建的VLAN为当前端口可访的Guest VLAN |
port-security guest-vlan vlan-id |
必选 |
需要注意的是:
l 指定某VLAN为当前端口可访的Guest VLAN前,需要确保该VLAN已经创建、并且该VLAN内包含用户需要访问的资源。
l 若当前端口下有接入用户正在进行认证或已经通过认证,则无法为其指定Guest VLAN。
l 当指定了端口可访问的Guest VLAN后,若端口下挂的用户认证失败,该端口将被加入到Guest VLAN中。
l 每个端口下可连接一个或多个认证用户,若该端口指定了可访问的Guest VLAN则同一时刻每个端口最多只允许一个用户通过安全认证(其余的802.1x认证用户的客户端会显示认证失败;由于MAC地址认证时没有客户端,因此认证失败且无任何提示)。
l 当端口已经指定了Guest VLAN的情况下、若要改变端口安全模式,必须首先执行undo port-security guest-vlan 命令取消给该端口指定的Guest VLAN。
l 端口只有在macAddressOrUserLoginSecure安全模式下才能指定其可访问的Guest VLAN。
l 若用户在端口同时指定Guest VLAN和配置port-security intrusion-mode disableport命令,当认证失败后,只触发入侵检测特性,不会再将该端口加入Guest VLAN。
l 建议不要在端口上将指定Guest VLAN功能和配置port-security intrusion-mode blockmac命令同时使用。因为如果认证失败,触发入侵检测blockmac特性后,该接入用户发出的报文将被丢弃,用户无法访问Guest VLAN。
802.1x用户或MAC地址认证用户在RADIUS服务器上通过认证时,服务器会把授权信息下发给设备端。用户可以配置端口是否忽略RADIUS服务器下发的授权信息。
表1-10 配置当前端口不应用RADIUS服务器下发的授权信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口不应用RADIUS服务器下发的授权信息 |
port-security authorization ignore |
必选 缺省情况下,端口应用RADIUS服务器下发的授权信息 |
在autolearn模式下,可通过手工配置或通过动态进行学习、在该端口上产生一张Security MAC地址转发表(表中的MAC地址称为Security MAC)。缺省情况下,Security MAC地址转发表中的表项不会老化。一个Security MAC地址只能被添加到一个端口上,利用该特点可以实现同一VLAN内Security MAC地址与端口间的绑定。
当配置端口的安全模式为autolearn之后,端口的MAC地址学习方式将会发生如下变化:
l 端口原有的动态MAC被删除;
l 当端口的Security MAC没有达到配置的最大数目时,端口新学到的MAC地址会被添加为Security MAC;
l 当端口的Security MAC到达配置的最大数目时,端口将不会继续学习MAC地址,端口状态将从autolearn状态转变为secure状态。
用户手动配置的Security MAC地址会写入配置文件,端口Up或Down时不会丢失。保存配置文件后,即使交换机重启,Security MAC地址也可以恢复。
在手动添加Security MAC地址表项之前,需完成以下任务:
l 启动端口安全功能;
l 配置端口允许接入的最大MAC地址数;
l 配置端口的安全模式为autolearn。
表1-11 配置Security MAC地址
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
添加Security MAC地址 |
系统视图下 |
mac-address security mac-address interface interface-type interface-number vlan vlan-id |
二者必选其一 缺省情况下,未配置Security MAC地址 |
|
以太网端口视图下 |
interface interface-type interface-number |
||
|
mac-address security mac-address vlan vlan-id |
|||
缺省情况下,端口自动学习的Security MAC表项是不会老化的,只有当关闭端口安全功能或端口的安全模式不再是autolearn之后,端口学习到的Security MAC地址表项才会删除。
如果用户希望端口自动学习的Security MAC地址表项也能进行老化,可以通过配置合适的老化时间来有效的实现Security MAC地址表项的老化。当Security MAC地址表项的存在时间超过设置的老化时间时,交换机就会把Security MAC地址表项删除。
表1-12 配置端口自动学习到的Security MAC地址表项的老化时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动端口安全功能 |
port-security enable |
- |
|
配置端口自动学习到的Security MAC地址的老化时间 |
port-security timer autolearn age |
必选 缺省情况下,端口自动学习到的Security MAC地址的老化时间为0,即不进行老化处理。 |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口允许接入的最大MAC地址数 |
port-security max-mac-count count-value |
必选 缺省情况下,最大MAC地址数不受限制 |
|
配置端口的安全模式为autolearn |
port-security port-mode autolearn |
必选 缺省情况下,端口处于noRestriction模式,此时该端口处于无限制状态 |
配置Security MAC地址表项的老化时间后,可通过display mac-address security命令查看端口学习到的Security MAC地址表项信息时,虽然老化时间显示为“NOAGED”,但此时交换机已经开始对Security MAC地址表项进行老化处理了。
完成上述配置后,在任意视图下执行display命令,可以显示配置端口安全后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-13 端口安全配置显示
|
操作 |
命令 |
说明 |
|
显示端口安全配置的相关信息 |
display port-security [ interface interface-list ] |
display命令可以在任意视图下执行 |
|
显示Security MAC地址的配置信息 |
display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] |
在交换机的端口Ethernet1/0/1上对接入用户做如下的限制:
l 允许最多80个用户自由接入,不进行认证,将学习到的用户MAC地址添加为Security MAC地址;
l 为确保用户Host能够接入,将该用户的MAC地址0001-0002-0003作为Security MAC地址,添加到VLAN 1中;
l 当Security MAC地址数量达到80后,停止学习;当再有新的MAC地址接入时,触发Intrusion Protection特性,并将此端口关闭30秒。
图1-1 端口安全配置组网图
# 进入系统视图。
<Switch> system-view
# 启动端口安全功能。
[Switch] port-security enable
# 进入以太网Ethernet1/0/1端口视图。
[Switch] interface Ethernet 1/0/1
# 设置端口允许接入的最大MAC地址数为80。
[Switch-Ethernet1/0/1] port-security max-mac-count 80
# 配置端口的安全模式为autolearn。
[Switch-Ethernet1/0/1] port-security port-mode autolearn
# 将Host 的MAC地址0001-0002-0003作为Security MAC添加到VLAN 1中。
[Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1
# 设置Intrusion Protection特性被触发后,暂时关闭该端口,关闭时间为30秒。
[Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily
[Switch-Ethernet1/0/1] quit
[Switch] port-security timer disableport 30
如图1-2所示,交换机的端口Ethernet1/0/2下连接着PC和打印机两台设备,这两台设备不同时使用。为了保证接入设备的安全访问,采用端口安全的macAddressOrUserLoginSecure安全模式,并在该安全模式下应用Guest VLAN。
l PC通过802.1x认证接入网络,打印机接入网络时根据MAC地址进行MAC地址认证。
l Switch的端口Ethernet1/0/3连接Internet网络,该端口在VLAN 1内。正常情况下,设备接入Switch的端口Ethernet1/0/2也在VLAN 1内。
l VLAN 10为Guest VLAN,在该VLAN内包含一个用于客户端软件下载和升级的Update Server。当用户认证失败后,端口Ethernet1/0/2将会加入VLAN 10,此时用户只能访问VLAN 10。当用户认证成功后,端口Ethernet1/0/2会回到VLAN 1。
图1-2 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN组网图
下述各配置步骤包含了大部分AAA/RADIUS协议配置命令,对这些命令的介绍,请参见“AAA配置”。此外,802.1x客户端和RADIUS服务器上的配置略。
# 配置RADIUS方案2000。
<Switch> system-view
[Switch] radius scheme 2000
[Switch-radius-2000] primary authentication 10.11.1.1 1812
[Switch-radius-2000] primary accounting 10.11.1.1 1813
[Switch-radius-2000] key authentication abc
[Switch-radius-2000] key accounting abc
[Switch-radius-2000] user-name-format without-domain
[Switch-radius-2000] quit
# 配置认证域system,该域使用已配置的RADIUS方案2000。
[Switch] domaim system
[Switch-isp-system] scheme radius-scheme 2000
[Switch-isp-system] quit
# 配置采用MAC地址用户名进行认证,并指定不使用带有分隔符的小写形式的MAC地址作为验证的用户名和密码。
[Switch] mac-authentication authmode usernameasmacaddress usernameformat without-hyphen lowercase
# 配置MAC地址认证用户所使用的ISP域。
[Switch] mac-authentication domain system
# 配置端口安全功能
[Switch] port-security enable
# 配置自动进行MAC认证的周期为60秒
[Switch] port-security timer guest-vlan-reauth 60
# 配置VLAN 10
[Switch] vlan 10
[Switch–vlan10] port Ethernet 1/0/1
# 端口Ethernet 1/0/2上配置macAddressOrUserLoginSecure模式。
[Switch] interface Ethernet1/0/2
[Switch-Ethernet1/0/2] port-security port-mode userlogin-secure-or-mac
# 端口上配置Guest VLAN。
[Switch-Ethernet1/0/2] port-security guest-vlan 10
通过命令display current-configuration或者display interface ethernet 1/0/2可以查看Guest VLAN配置情况。当用户认证失败后,通过命令display vlan 10可以查看端口配置的Guest VLAN是否生效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
