07-安全命令参考

05-端口安全命令

本章节下载  (198.88 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Command/Command_Manual/H3C_CR(E3703P61_R2509P61_R3709P61)-6W108/07/201707/1012792_30005_0.htm

05-端口安全命令


1 端口安全

1.1  端口安全配置命令

1.1.1  display port-security

【命令】

display port-security [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-list:端口列表,表示多个端口。表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security命令用来显示端口安全的配置信息、运行情况和统计信息。

需要注意的是,如果不指定参数interface interface-list,则显示所有端口的端口安全信息。

相关配置可参考命令port-security enableport-security port-modeport-security ntk-modeport-security intrusion-modeport-security max-mac-countport-security authorization ignoreport-security ouiport-security trap

【举例】

# 显示所有端口的端口安全状态。

<Sysname> display port-security

 Equipment port-security is enabled

 Trap is disabled

 Disableport Timeout: 20s

 OUI value:

   Index is 1,  OUI value is 123401

   Index is 2,  OUI value is 123402

   Index is 3,  OUI value is 123403

   Index is 4,  OUI value is 123404

   Index is 5,  OUI value is 123405

 

 Ten-GigabitEthernet1/0/2 is link-up

 WLAN-ESS1 is link-down

   Port mode is userLoginWithOUI

   NeedToKnow mode is disabled

   Intrusion Protection mode is NoAction

   Max MAC address number is not configured

   Stored MAC address number is 0

   Authorization is permitted

   Synchronization is disabled

表1-1 display port-security命令显示信息描述表

字段

描述

Equipment port-security

端口安全的开启状态

Trap

告警的开启状态

Disableport Timeout

收到非法报文的端口暂时被关闭的时间,单位为秒

OUI value

允许通过认证的用户的24位OUI值

Index

OUI的索引

Port mode

端口安全模式,包括以下几种:

·     noRestrictions

·     macAddressWithRadius

·     macAddressElseUserLoginSecure

·     macAddressElseUserLoginSecureExt

·     secure

·     userLogin

·     userLoginSecure

·     userLoginSecureExt

·     macAddressOrUserLoginSecure

·     macAddressOrUserLoginSecureExt

·     userLoginWithOUI

·     presharedKey

·     macAddressAndPresharedKey

·     userLoginSecureExtOrPresharedKey

·     WAPI

以上各模式的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。关于各模式的具体涵义,请参考“安全配置指导”中的“端口安全”

NeedToKnow mode

Need To Know模式,包括以下三种:

·     NeedToKnowOnly:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过

·     NeedToKnowWithBroadcast:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过

·     NeedToKnowWithMulticast:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过

Intrusion Protection mode

入侵检测特性模式,包括以下四种:

·     BlockMacAddress:表示将非法报文的源MAC地址加入阻塞MAC地址列表中

·     DisablePort:表示将收到非法报文的端口永久关闭

·     DisablePortTemporarily:表示将收到非法报文的端口暂时关闭一段时间

·     NoAction:表示不进行入侵检测处理

Max MAC address number

端口安全允许的最大MAC地址数目

Stored MAC address number

端口下保存的MAC地址数目

Authorization

服务器的授权信息是否被忽略的情况

·     permitted:表示当前端口应用RADIUS服务器下发的授权信息

·     ignored:表示当前端口不应用RADIUS服务器下发的授权信息

Synchronization

端口安全的双机热备功能的开启状态,目前仅支持802.1X双机热备

 

1.1.2  display port-security mac-address block

【命令】

display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定端口的阻塞MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。

vlan vlan-id:显示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。

count:统计符合条件的阻塞MAC地址个数。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security mac-address block命令用来显示阻塞MAC地址信息。

需要注意的是,如果不指定任何参数,则显示所有阻塞MAC地址的信息。

相关配置可参考命令port-security intrusion-mode

【举例】

# 显示所有阻塞MAC地址。

<Sysname> display port-security mac-address block

MAC ADDR             From Port                    VLAN ID

000f-e280-d70c      GigabitEthernet1/0/1       1

001b-11b8-12f4      GigabitEthernet1/0/1       1

000f-e289-4071      GigabitEthernet1/0/1       1

000f-e25b-48c4      GigabitEthernet1/0/1       1

00e0-fc12-3456      GigabitEthernet1/0/1       1

000f-e207-f2e0      GigabitEthernet1/0/1       1

  ---  6 mac address(es) found  ---

表1-2 display port-security mac-address block命令显示信息描述表

字段

描述

MAC ADDR

阻塞MAC地址

From Port

阻塞MAC地址所在端口

VLAN ID

端口所属VLAN

6 mac address(es) found

当前阻塞MAC地址数目

 

1.1.3  display port-security preshared-key user

【命令】

display port-security preshared-key user [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-type interface-number:显示指定接口上端口安全的PSK用户信息。其中,interface-type interface-number表示接口类型和接口编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-security preshared-key user命令用来显示端口安全的PSK用户信息。

需要注意的是,如果不指定参数interface,则显示所有端口的端口安全PSK用户信息。

【举例】

# 显示所有端口下的PSK用户的相关信息。

<Sysname> display port-security preshared-key user

  Index     Mac-Address    VlanID     Interface

-----------------------------------------------------

      0  000a-eba2-7f9d        1       WLAN-DBSS1:0

      1  000a-eba2-7f9d        2       WLAN-DBSS1:1

# 显示指定WLAN-DBSS端口下PSK用户的相关信息。

<Sysname> display port-security preshared-key user interface wlan-dbss1:0

  Index     Mac-Address    VlanID     Interface

-----------------------------------------------------

      0  000a-eba2-7f9d        1       WLAN-DBSS1:0

表1-3 display port-security preshared-key user命令显示信息描述表

字段

描述

Index

用户的编号

Mac-Address

用户的MAC地址

VlanID

用户所属的VLAN ID

Interface

用户的接入端口

 

1.1.4  port-security authorization ignore

【命令】

port-security authorization ignore

undo port-security authorization ignore

【视图】

二层以太网接口视图/WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security authorization ignore命令用来配置端口不应用RADIUS服务器或设备本地下发的授权信息。undo port-security authorization ignore命令用来恢复缺省情况。

缺省情况下,端口应用RADIUS服务器或设备本地下发的授权信息。

当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。

相关配置可参考命令display port-security

【举例】

# 配置端口WLAN-ESS1不应用RADIUS服务器或设备本地下发的授权信息。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] port-security authorization ignore

1.1.5  port-security enable

【命令】

port-security enable

undo port-security enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security enable命令用来使能端口安全功能。undo port-security enable命令用来关闭端口安全功能。

缺省情况下,端口安全功能处于开启状态。

需要注意的是:

(1)     如果已全局开启了802.1X或MAC地址认证功能,则无法使能端口安全功能。

(2)     执行使能或关闭端口安全功能的命令后,端口上的如下配置会被自动恢复为以下缺省情况:

·     802.1X端口接入控制方式为macbased、802.1X端口的授权状态为auto

·     端口安全模式为noRestrictions

(3)     端口上有用户在线的情况下,端口安全功能无法关闭。

相关配置可参考命令display port-security、“安全命令参考/802.1X”中的命令dot1x port-methoddot1x port-control以及“安全命令参考/MAC地址认证”中的命令mac-authentication

【举例】

# 使能端口安全功能。

<Sysname> system-view

[Sysname] port-security enable

1.1.6  port-security intrusion-mode

【命令】

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

undo port-security intrusion-mode

【视图】

二层以太网接口视图/WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃,实现在端口上过滤非法流量的作用。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。阻塞MAC地址列表可以通过display port-security mac-address block命令查看。

disableport:表示将收到非法报文的端口永久关闭。WLAN-ESS接口不支持该参数。

disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。

【描述】

port-security intrusion-mode命令用来配置入侵检测特性,对接收非法报文的端口采取相应的安全策略。undo port-security intrusion-mode命令用来恢复缺省情况。

缺省情况下,不进行入侵检测处理。

需要注意的是,可以通过执行undo shutdown命令将断开的端口连接恢复。

相关配置可参考命令display port-securityport-security timer disableport

【举例】

# 配置端口GigabitEthernet1/0/1的入侵检测特性被触发后,将非法报文的源MAC地址置为阻塞MAC。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security intrusion-mode blockmac

1.1.7  port-security max-mac-count

【命令】

port-security max-mac-count count-value

undo port-security max-mac-count

【视图】

二层以太网接口视图/WLAN-ESS接口视图/ WLAN-MESH接口视图

【缺省级别】

2:系统级

【参数】

count-value:端口允许转发的最大MAC地址数,取值范围为1~1024。

【描述】

port-security max-mac-count命令用来设置端口安全允许的最大MAC地址数。undo port-security max-mac-count命令用来恢复缺省情况。

缺省情况下,端口安全不限制本端口可转发的最大MAC地址数。

对于采用802.1X、MAC地址认证或者两者组合形式的认证类安全模式,端口允许的最大用户数取本命令配置的值与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的端口安全允许的最大MAC地址数与802.1X认证所允许的最大用户数的最小值。

需要注意的是:

·     无线端口上有用户在线时,无法更改端口安全允许的最大MAC地址数。

·     端口安全允许的最大MAC地址数不能小于当前端口下已保存的MAC地址数。

相关配置可参考命令display port-security

【举例】

# 在端口WLAN-ESS1上配置端口安全允许的最大MAC地址数为100。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] port-security max-mac-count 100

1.1.8  port-security nas-id-profile

【命令】

port-security nas-id-profile profile-name

undo port-security nas-id-profile

【视图】

系统视图/接口视图

【缺省级别】

3:管理级

【参数】

profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。该Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA命令”。

【描述】

port-security nas-id-profile命令用来指定接口或者全局的端口安全NAS-ID Profile。undo por-security nas-id-profile命令用来删除指定的NAS-ID Profile。

缺省情况下,未指定端口安全NAS-ID Profile。

需要注意的是:

·     系统视图下以及接口视图均最多只能配置一个端口安全NAS-ID Profile。

·     接口上的用户通过端口安全认证上线时,设备会根据如下优先级顺序查找向RADIUS服务器发送的NAS ID信息:AP管理模板下配置的NAS-ID值-->射频视图下配置的NAS-ID值-->本接口视图下配置的端口安全NAS-ID Profile-->系统视图下配置的端口安全NAS-ID Profile-->设备的名称。

【举例】

# 在接口WLAN-ESS2上指定名为aaa的端口安全NAS-ID Profile 。

<Sysname> system-view

[Sysname]interface wlan-ess2

[Sysname-WLAN-ESS2] port-security nas-id-profile aaa

1.1.9  port-security ntk-mode

【命令】

port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }

undo port-security ntk-mode

【视图】

二层以太网接口视图/WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过。

ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过。

ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过。

【描述】

port-security ntk-mode命令用来配置端口Need To Know特性。undo port-security ntk-mode命令用来恢复缺省配置。

缺省情况下,端口没有配置Need To Know特性,即所有报文都可成功发送。

Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。

需要注意的是,无线端口上有用户在线的情况下,无法更改Need To Know特性的配置。

相关配置可参考命令display port-security

【举例】

# 配置端口WLAN-ESS1的Need To Know特性为ntkonly,即仅发送目的地址为已认证的MAC地址的报文。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] port-security ntk-mode ntkonly

1.1.10  port-security oui

【命令】

port-security oui oui-value index index-value

undo port-security oui index index-value

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

oui-value:OUI值,输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位做为OUI值,忽略后24位。

index-value:标识此OUI的索引值,取值范围为1~16。

【描述】

port-security oui命令用来配置用户认证的OUI值,在端口安全模式为userLoginWithOUI时使用。undo port-security oui命令用来删除指定索引的OUI值。

缺省情况下,没有设置用户认证的OUI值。

OUI指的是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。因此,当需要允许某些特殊设备的(有线接入)报文总是可以通过认证或仅允许这些设备的(无线接入)报文可以进行认证的情况下,就可以通过本命令来指定这些设备的OUI值,例如,某公司仅允许A厂商的IP电话在企业网中使用,则该值就为A厂商设备的OUI。

相关配置可参考命令display port-security

【举例】

# 配置OUI值为000d2a,索引为4。

<Sysname> system-view

[Sysname] port-security oui 000d-2a10-0033 index 4

1.1.11  port-security port-mode

【命令】

port-security port-mode { mac-and-psk | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | psk | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-ext-or-psk | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui | wapi }

undo port-security port-mode

【视图】

二层以太网接口视图/WLAN-ESS接口视图/WLAN-MESH接口视图

【缺省级别】

2:系统级

【参数】

表1-4 安全模式的参数解释表

参数

安全模式

说明

mac-and-psk

macAddressAnd PresharedKey

接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

mac-authentication

macAddressWithRadius

对接入用户采用MAC地址认证

此模式下,端口允许多个用户接入

mac-else-userlogin-secure

macAddressElseUserLoginSecure

端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证;

在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证;在用户接入方式为无线的情况下,非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.1X认证

mac-else-userlogin-secure-ext

macAddressElseUserLoginSecureExt

与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

psk

presharedKey

接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口

secure

secure

禁止端口学习MAC地址,只有源MAC地址为手工配置的MAC地址的报文,才能通过该端口

userlogin

userLogin

对接入用户采用基于端口的802.1X认证

此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入

userlogin-secure

userLoginSecure

对接入用户采用基于MAC地址的802.1X认证

此模式下,端口最多只允许一个802.1X认证用户接入

userlogin-secure-ext

userLoginSecureExt

对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户

userlogin-secure-ext-or-psk

userLoginSecureExtOrPresharedKey

接入用户与设备进行交互,选择进行基于MACmacbased)的802.1X认证或者仅进行预共享密钥协商

userlogin-secure-or-mac

macAddressOrUserLoginSecure

端口同时处于userLoginSecure模式和macAddressWithRadius模式

·     在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证,802.1X报文直接进行802.1X认证;

·     在用户接入方式为无线的情况下,802.1X认证优先级大于MAC地址认证:报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证

userlogin-secure-or-mac-ext

macAddressOrUserLoginSecureExt

与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

userlogin-withoui

userLoginWithOUI

与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符

·     在用户接入方式为有线的情况下,802.1X报文进行802.1X认证,非802.1X报文直接进行OUI匹配,802.1X认证成功和OUI匹配成功的报文都允许通过端口;

·     在用户接入方式为无线的情况下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口

wapi

WAPI

对接入用户采用WAPI认证

 

【描述】

port-security port-mode命令用来配置端口安全模式。undo port-security port-mode命令用来恢复缺省情况。

缺省情况下,端口处于noRestrictions模式,此时该端口下端口安全特性不生效。

需要注意的是:

·     端口安全模式的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

·     端口安全模式与端口下的802.1X认证使能、端口接入控制方式、端口接入控制模式以及端口下的MAC地址认证使能配置互斥。

·     当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。

·     端口上有用户在线的情况下,端口安全模式无法改变。

表1-5 接口支持的端口安全模式列表

接口类型

支持的端口安全模式

二层以太网接口

mac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extsecureuserloginuserlogin-secureuserlogin-secure-extuserlogin-secure-or-macuserlogin-secure-or-mac-extuserlogin-withoui

WLAN-ESS

mac-and-pskmac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extpskuserlogin-secureuserlogin-secure-extuserlogin-secure-ext-or-pskuserlogin-secure-or-macuserlogin-secure-or-mac-extuserlogin-withouiwapi

总结:

·     presharedKey、macAddressAndPresharedKey和userlLoginSecureExtOrPresharedKey安全模式只能在WLAN-ESS类型的接口下配置。

·     WAPI安全模式只能在WLAN-ESS类型的接口下配置。

·     secure和userLogin安全模式只能在二层以太网类型的接口下配置。

·     userloginWithOUI安全模式只能在二层以太网及WLAN-ESS类型的接口下配置。

 

相关配置可参考命令display port-security

【举例】

# 配置无线端口WLAN-ESS1的端口安全模式为presharedKey

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] port-security port-mode psk

1.1.12  port-security preshared-key

【命令】

port-security preshared-key { pass-phrase | raw-key } [ cipher | simple ] key

undo port-security preshared-key

【视图】

WLAN-ESS接口视图/WLAN-MESH接口视图

【缺省级别】

2:系统级

【参数】

pass-phrase:以字符串方式输入预共享密钥。

raw-key:以十六进制数方式输入预共享密钥。

cipher key:以密文方式设置预共享密钥。

simple key:以明文方式设置预共享密钥。

key:设置的明文密钥或密文密钥,区分大小写。明文密钥为8~63个字符的字符串或者长度为64位的合法十六进制数;密文密钥为8~117个字符的字符串。不指定ciphersimple时,表示以明文方式设置共享密钥。

【描述】

port-security preshared-key命令用来配置预共享密钥。undo port-security preshared-key命令用来删除预共享密钥。

以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

缺省情况下,无预共享密钥。

【举例】

# 在接口WLAN-ESS1下配置预共享密钥为明文的字符串abcdefgh。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] port-security preshared-key pass-phrase simple abcdefgh

# 在接口WLAN-ESS1下配置预共享密钥为明文的十六进制数1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcd。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] port-security preshared-key raw-key 1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef

# 在接口WLAN-ESS1下配置预共享密钥为密文的wrWR2LZofLzlEY9ZdYsidw==。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] port-security preshared-key raw-key cipher wrWR2LZofLzlEY9ZdYsidw==

1.1.13  port-security remote-auth-proxy enable

【命令】

port-security remote-auth-proxy enable

undo port-security remote-auth-proxy enable

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security remote-auth-proxy enable命令用来在WLAN-ESS接口上启动远程认证代理功能。该功能启动后,设备将不处理该接口上收到的802.1X认证请求,而是将该认证请求透传给上游设备(IAG插卡),由上游设备(IAG插卡)处理。undo port-security remote-auth-proxy enable命令用来恢复缺省配置。

缺省情况下,接口上未启动远程认证代理功能,即由设备自己处理接口上收到的802.1X认证请求。

远程认证代理功能仅在userLogin、userLoginSecure、userLoginSecureExt模式下生效,其它模式无效。

【举例】

# 在接口WLAN-ESS2上启动远程认证代理功能。

<Sysname> system-view

[Sysname] interface wlan-ess 2

[Sysname-WLAN-ESS2] port-security remote-auth-proxy enable

1.1.14  port-security synchronization enable

本命令的支持情况与设备型号有关,请参见“命令参考导读”的“命令行及参数差异情况”部分的介绍。

 

【命令】

port-security synchronization enable

undo port-security synchronization enable

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security synchronization enable命令用来开启端口安全的双机热备功能。目前,仅支持端口安全管理下的802.1X认证的双机热备功能。undo port-security synchronization enable命令用来恢复缺省情况。

缺省情况下,端口安全的双机备份功能处于关闭状态。

若互为备份的两台设备上接口编号相同的WLAN-ESS接口上都开启了端口安全的双机热备功能,则在本端设备的接口上线的802.1X用户信息会实时备份到对端设备上相同编号的接口上。对于开启了端口安全双机热备功能的WLAN-ESS接口,其动态创建的WLAN-DBSS接口会自动拷贝WLAN-ESS接口的端口安全双机热备配置。

若WLAN-ESS接口上已经使能了无线服务模板,则不能更改其上的端口安全双机热备配置。

【举例】

# 开启接口WLAN-ESS0上的端口安全双机热备功能。

<Sysname> system-view

[Sysname] interface wlan-ess 0

[Sysname-WLAN-ESS0] port-security synchronization enable

1.1.15  port-security timer disableport

【命令】

port-security timer disableport time-value

undo port-security timer disableport

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:端口静默时间,取值范围为20~300,单位为秒。

【描述】

port-security timer disableport命令用来配置系统暂时关闭端口连接的时间。undo port-security timer disableport命令用来恢复缺省情况。

缺省情况下,系统暂时关闭端口连接的时间为20秒。

port-security intrusion-mode设置为disableport-temporarily模式时,系统暂时关闭端口连接的时间由该命令配置。

相关配置可参考命令display port-security

【举例】

# 配置端口WLAN-ESS1的入侵检测特性被触发后,收到非法报文的端口暂时关闭30秒。

<Sysname> system-view

[Sysname] port-security timer disableport 30

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] port-security intrusion-mode disableport-temporarily

1.1.16  port-security trap

【命令】

port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

undo port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

addresslearned:端口学习告警。在端口学习到新MAC地址时发出告警信息。

dot1xlogfailure:802.1X认证失败告警。

dot1xlogon:802.1X认证成功告警。

dot1xlogoff:802.1X认证用户下线告警。

intrusion:发现非法报文告警。

ralmlogfailure:MAC地址认证失败告警。

ralmlogoff:MAC地址认证用户下线告警。

ralmlogon:MAC地址认证成功告警。

说明

RALM(RADIUS Authenticated Login using MAC-address)是指基于MAC地址的RADIUS认证。

 

【描述】

port-security trap命令用来打开指定告警信息的发送开关。undo port-security trap命令用来关闭指定告警信息的发送开关。

缺省情况下,所有告警信息的发送开关处于关闭状态。

告警信息的发送过程使用了设备的Trap特性。Trap特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于用户对这些特殊的行为进行监控。

相关配置可参考命令display port-security

【举例】

# 打开端口学习告警信息开关。

<Sysname> system-view

[Sysname] port-security trap addresslearned

1.1.17  port-security tx-key-type 11key

【命令】

port-security tx-key-type 11key

undo port-security tx-key-type

【视图】

WLAN-ESS接口视图/WLAN-MESH接口视图

【缺省级别】

2:系统级

【参数】

【描述】

port-security tx-key-type 11key命令用来使能11key类型的密钥协商功能。undo port-security tx-key-type命令关闭11key类型的密钥协商功能。

缺省情况下,11key类型的密钥协商功能处于关闭状态。

【举例】

# 在接口WLAN-ESS1下使能11key类型的密钥协商功能。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] port-security tx-key-type 11key

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们