05-端口安全命令
本章节下载: 05-端口安全命令 (198.88 KB)
1.1.2 display port-security mac-address block
1.1.3 display port-security preshared-key user
1.1.4 port-security authorization ignore
1.1.6 port-security intrusion-mode
1.1.7 port-security max-mac-count
1.1.8 port-security nas-id-profile
1.1.11 port-security port-mode
1.1.12 port-security preshared-key
1.1.13 port-security remote-auth-proxy enable
1.1.14 port-security synchronization enable
1.1.15 port-security timer disableport
1.1.17 port-security tx-key-type 11key
2:系统级
interface interface-list:端口列表,表示多个端口。表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display port-security命令用来显示端口安全的配置信息、运行情况和统计信息。
需要注意的是,如果不指定参数interface interface-list,则显示所有端口的端口安全信息。
相关配置可参考命令port-security enable、port-security port-mode、port-security ntk-mode、port-security intrusion-mode、port-security max-mac-count、port-security authorization ignore、port-security oui和port-security trap。
# 显示所有端口的端口安全状态。
<Sysname> display port-security
Equipment port-security is enabled
Trap is disabled
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 123401
Index is 2, OUI value is 123402
Index is 3, OUI value is 123403
Index is 4, OUI value is 123404
Index is 5, OUI value is 123405
Ten-GigabitEthernet1/0/2 is link-up
WLAN-ESS1 is link-down
Port mode is userLoginWithOUI
NeedToKnow mode is disabled
Intrusion Protection mode is NoAction
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
Synchronization is disabled
表1-1 display port-security命令显示信息描述表
允许通过认证的用户的24位OUI值 |
|
OUI的索引 |
|
· macAddressElseUserLoginSecure · macAddressElseUserLoginSecureExt · macAddressOrUserLoginSecureExt · userLoginSecureExtOrPresharedKey 以上各模式的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。关于各模式的具体涵义,请参考“安全配置指导”中的“端口安全” |
|
Need To Know模式,包括以下三种: · NeedToKnowOnly:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 · NeedToKnowWithBroadcast:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 · NeedToKnowWithMulticast:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
|
· BlockMacAddress:表示将非法报文的源MAC地址加入阻塞MAC地址列表中 · DisablePort:表示将收到非法报文的端口永久关闭 · DisablePortTemporarily:表示将收到非法报文的端口暂时关闭一段时间 · NoAction:表示不进行入侵检测处理 |
|
端口安全允许的最大MAC地址数目 |
|
端口下保存的MAC地址数目 |
|
· permitted:表示当前端口应用RADIUS服务器下发的授权信息 · ignored:表示当前端口不应用RADIUS服务器下发的授权信息 |
|
2:系统级
interface interface-type interface-number:显示指定端口的阻塞MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。
vlan vlan-id:显示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。
count:统计符合条件的阻塞MAC地址个数。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display port-security mac-address block命令用来显示阻塞MAC地址信息。
需要注意的是,如果不指定任何参数,则显示所有阻塞MAC地址的信息。
相关配置可参考命令port-security intrusion-mode。
# 显示所有阻塞MAC地址。
<Sysname> display port-security mac-address block
MAC ADDR From Port VLAN ID
000f-e280-d70c GigabitEthernet1/0/1 1
001b-11b8-12f4 GigabitEthernet1/0/1 1
000f-e289-4071 GigabitEthernet1/0/1 1
000f-e25b-48c4 GigabitEthernet1/0/1 1
00e0-fc12-3456 GigabitEthernet1/0/1 1
000f-e207-f2e0 GigabitEthernet1/0/1 1
--- 6 mac address(es) found ---
表1-2 display port-security mac-address block命令显示信息描述表
阻塞MAC地址 |
|
阻塞MAC地址所在端口 |
|
当前阻塞MAC地址数目 |
2:系统级
interface interface-type interface-number:显示指定接口上端口安全的PSK用户信息。其中,interface-type interface-number表示接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display port-security preshared-key user命令用来显示端口安全的PSK用户信息。
需要注意的是,如果不指定参数interface,则显示所有端口的端口安全PSK用户信息。
# 显示所有端口下的PSK用户的相关信息。
<Sysname> display port-security preshared-key user
Index Mac-Address VlanID Interface
-----------------------------------------------------
0 000a-eba2-7f9d 1 WLAN-DBSS1:0
1 000a-eba2-7f9d 2 WLAN-DBSS1:1
# 显示指定WLAN-DBSS端口下PSK用户的相关信息。
<Sysname> display port-security preshared-key user interface wlan-dbss1:0
Index Mac-Address VlanID Interface
-----------------------------------------------------
0 000a-eba2-7f9d 1 WLAN-DBSS1:0
表1-3 display port-security preshared-key user命令显示信息描述表
用户的MAC地址 |
|
port-security authorization ignore
undo port-security authorization ignore
2:系统级
port-security authorization ignore命令用来配置端口不应用RADIUS服务器或设备本地下发的授权信息。undo port-security authorization ignore命令用来恢复缺省情况。
缺省情况下,端口应用RADIUS服务器或设备本地下发的授权信息。
当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。
相关配置可参考命令display port-security。
# 配置端口WLAN-ESS1不应用RADIUS服务器或设备本地下发的授权信息。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] port-security authorization ignore
2:系统级
port-security enable命令用来使能端口安全功能。undo port-security enable命令用来关闭端口安全功能。
(1) 如果已全局开启了802.1X或MAC地址认证功能,则无法使能端口安全功能。
(2) 执行使能或关闭端口安全功能的命令后,端口上的如下配置会被自动恢复为以下缺省情况:
· 802.1X端口接入控制方式为macbased、802.1X端口的授权状态为auto。
相关配置可参考命令display port-security、“安全命令参考/802.1X”中的命令dot1x port-method和dot1x port-control以及“安全命令参考/MAC地址认证”中的命令mac-authentication。
# 使能端口安全功能。
[Sysname] port-security enable
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
undo port-security intrusion-mode
2:系统级
blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃,实现在端口上过滤非法流量的作用。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。阻塞MAC地址列表可以通过display port-security mac-address block命令查看。
disableport:表示将收到非法报文的端口永久关闭。WLAN-ESS接口不支持该参数。
disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。
port-security intrusion-mode命令用来配置入侵检测特性,对接收非法报文的端口采取相应的安全策略。undo port-security intrusion-mode命令用来恢复缺省情况。
需要注意的是,可以通过执行undo shutdown命令将断开的端口连接恢复。
相关配置可参考命令display port-security和port-security timer disableport。
# 配置端口GigabitEthernet1/0/1的入侵检测特性被触发后,将非法报文的源MAC地址置为阻塞MAC。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-security intrusion-mode blockmac
port-security max-mac-count count-value
undo port-security max-mac-count
二层以太网接口视图/WLAN-ESS接口视图/ WLAN-MESH接口视图
2:系统级
count-value:端口允许转发的最大MAC地址数,取值范围为1~1024。
port-security max-mac-count命令用来设置端口安全允许的最大MAC地址数。undo port-security max-mac-count命令用来恢复缺省情况。
对于采用802.1X、MAC地址认证或者两者组合形式的认证类安全模式,端口允许的最大用户数取本命令配置的值与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的端口安全允许的最大MAC地址数与802.1X认证所允许的最大用户数的最小值。
· 无线端口上有用户在线时,无法更改端口安全允许的最大MAC地址数。
· 端口安全允许的最大MAC地址数不能小于当前端口下已保存的MAC地址数。
相关配置可参考命令display port-security。
# 在端口WLAN-ESS1上配置端口安全允许的最大MAC地址数为100。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] port-security max-mac-count 100
【命令】
port-security nas-id-profile profile-name
undo port-security nas-id-profile
【视图】
系统视图/接口视图
【缺省级别】
3:管理级
【参数】
profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。该Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA命令”。
【描述】
port-security nas-id-profile命令用来指定接口或者全局的端口安全NAS-ID Profile。undo por-security nas-id-profile命令用来删除指定的NAS-ID Profile。
缺省情况下,未指定端口安全NAS-ID Profile。
需要注意的是:
· 系统视图下以及接口视图均最多只能配置一个端口安全NAS-ID Profile。
· 接口上的用户通过端口安全认证上线时,设备会根据如下优先级顺序查找向RADIUS服务器发送的NAS ID信息:AP管理模板下配置的NAS-ID值-->射频视图下配置的NAS-ID值-->本接口视图下配置的端口安全NAS-ID Profile-->系统视图下配置的端口安全NAS-ID Profile-->设备的名称。
【举例】
# 在接口WLAN-ESS2上指定名为aaa的端口安全NAS-ID Profile 。
<Sysname> system-view
[Sysname]interface wlan-ess2
[Sysname-WLAN-ESS2] port-security nas-id-profile aaa
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }
2:系统级
ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过。
ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过。
ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过。
port-security ntk-mode命令用来配置端口Need To Know特性。undo port-security ntk-mode命令用来恢复缺省配置。
缺省情况下,端口没有配置Need To Know特性,即所有报文都可成功发送。
Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
需要注意的是,无线端口上有用户在线的情况下,无法更改Need To Know特性的配置。
相关配置可参考命令display port-security。
# 配置端口WLAN-ESS1的Need To Know特性为ntkonly,即仅发送目的地址为已认证的MAC地址的报文。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] port-security ntk-mode ntkonly
port-security oui oui-value index index-value
undo port-security oui index index-value
2:系统级
oui-value:OUI值,输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位做为OUI值,忽略后24位。
index-value:标识此OUI的索引值,取值范围为1~16。
port-security oui命令用来配置用户认证的OUI值,在端口安全模式为userLoginWithOUI时使用。undo port-security oui命令用来删除指定索引的OUI值。
OUI指的是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。因此,当需要允许某些特殊设备的(有线接入)报文总是可以通过认证或仅允许这些设备的(无线接入)报文可以进行认证的情况下,就可以通过本命令来指定这些设备的OUI值,例如,某公司仅允许A厂商的IP电话在企业网中使用,则该值就为A厂商设备的OUI。
相关配置可参考命令display port-security。
# 配置OUI值为000d2a,索引为4。
[Sysname] port-security oui 000d-2a10-0033 index 4
二层以太网接口视图/WLAN-ESS接口视图/WLAN-MESH接口视图
2:系统级
接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口 |
||
对接入用户采用MAC地址认证 |
||
端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证; 在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证;在用户接入方式为无线的情况下,非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.1X认证 |
||
与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
||
接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口 |
||
禁止端口学习MAC地址,只有源MAC地址为手工配置的MAC地址的报文,才能通过该端口 |
||
此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入 |
||
对接入用户采用基于MAC地址的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
||
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
||
接入用户与设备进行交互,选择进行基于MAC(macbased)的802.1X认证或者仅进行预共享密钥协商 |
||
端口同时处于userLoginSecure模式和macAddressWithRadius模式 · 在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证,802.1X报文直接进行802.1X认证; · 在用户接入方式为无线的情况下,802.1X认证优先级大于MAC地址认证:报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 |
||
与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
||
与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符 · 在用户接入方式为有线的情况下,802.1X报文进行802.1X认证,非802.1X报文直接进行OUI匹配,802.1X认证成功和OUI匹配成功的报文都允许通过端口; · 在用户接入方式为无线的情况下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口 |
||
port-security port-mode命令用来配置端口安全模式。undo port-security port-mode命令用来恢复缺省情况。
缺省情况下,端口处于noRestrictions模式,此时该端口下端口安全特性不生效。
· 端口安全模式的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
· 端口安全模式与端口下的802.1X认证使能、端口接入控制方式、端口接入控制模式以及端口下的MAC地址认证使能配置互斥。
· 当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。
mac-authentication、mac-else-userlogin-secure、mac-else-userlogin-secure-ext、secure、userlogin、userlogin-secure、userlogin-secure-ext、userlogin-secure-or-mac、userlogin-secure-or-mac-ext、userlogin-withoui |
|
mac-and-psk、mac-authentication、mac-else-userlogin-secure、mac-else-userlogin-secure-ext、psk、userlogin-secure、userlogin-secure-ext、userlogin-secure-ext-or-psk、userlogin-secure-or-mac、userlogin-secure-or-mac-ext、userlogin-withoui、wapi |
|
· presharedKey、macAddressAndPresharedKey和userlLoginSecureExtOrPresharedKey安全模式只能在WLAN-ESS类型的接口下配置。 · WAPI安全模式只能在WLAN-ESS类型的接口下配置。 · secure和userLogin安全模式只能在二层以太网类型的接口下配置。 · userloginWithOUI安全模式只能在二层以太网及WLAN-ESS类型的接口下配置。 |
相关配置可参考命令display port-security。
# 配置无线端口WLAN-ESS1的端口安全模式为presharedKey。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] port-security port-mode psk
port-security preshared-key { pass-phrase | raw-key } [ cipher | simple ] key
undo port-security preshared-key
WLAN-ESS接口视图/WLAN-MESH接口视图
2:系统级
pass-phrase:以字符串方式输入预共享密钥。
raw-key:以十六进制数方式输入预共享密钥。
cipher key:以密文方式设置预共享密钥。
simple key:以明文方式设置预共享密钥。
key:设置的明文密钥或密文密钥,区分大小写。明文密钥为8~63个字符的字符串或者长度为64位的合法十六进制数;密文密钥为8~117个字符的字符串。不指定cipher或simple时,表示以明文方式设置共享密钥。
port-security preshared-key命令用来配置预共享密钥。undo port-security preshared-key命令用来删除预共享密钥。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 在接口WLAN-ESS1下配置预共享密钥为明文的字符串abcdefgh。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] port-security preshared-key pass-phrase simple abcdefgh
# 在接口WLAN-ESS1下配置预共享密钥为明文的十六进制数1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcd。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] port-security preshared-key raw-key 1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef
# 在接口WLAN-ESS1下配置预共享密钥为密文的wrWR2LZofLzlEY9ZdYsidw==。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] port-security preshared-key raw-key cipher wrWR2LZofLzlEY9ZdYsidw==
【命令】
port-security remote-auth-proxy enable
undo port-security remote-auth-proxy enable
【视图】
WLAN-ESS接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
port-security remote-auth-proxy enable命令用来在WLAN-ESS接口上启动远程认证代理功能。该功能启动后,设备将不处理该接口上收到的802.1X认证请求,而是将该认证请求透传给上游设备(IAG插卡),由上游设备(IAG插卡)处理。undo port-security remote-auth-proxy enable命令用来恢复缺省配置。
缺省情况下,接口上未启动远程认证代理功能,即由设备自己处理接口上收到的802.1X认证请求。
远程认证代理功能仅在userLogin、userLoginSecure、userLoginSecureExt模式下生效,其它模式无效。
【举例】
# 在接口WLAN-ESS2上启动远程认证代理功能。
<Sysname> system-view
[Sysname] interface wlan-ess 2
[Sysname-WLAN-ESS2] port-security remote-auth-proxy enable
本命令的支持情况与设备型号有关,请参见“命令参考导读”的“命令行及参数差异情况”部分的介绍。
port-security synchronization enable
undo port-security synchronization enable
WLAN-ESS接口视图
2:系统级
port-security synchronization enable命令用来开启端口安全的双机热备功能。目前,仅支持端口安全管理下的802.1X认证的双机热备功能。undo port-security synchronization enable命令用来恢复缺省情况。
若互为备份的两台设备上接口编号相同的WLAN-ESS接口上都开启了端口安全的双机热备功能,则在本端设备的接口上线的802.1X用户信息会实时备份到对端设备上相同编号的接口上。对于开启了端口安全双机热备功能的WLAN-ESS接口,其动态创建的WLAN-DBSS接口会自动拷贝WLAN-ESS接口的端口安全双机热备配置。
若WLAN-ESS接口上已经使能了无线服务模板,则不能更改其上的端口安全双机热备配置。
# 开启接口WLAN-ESS0上的端口安全双机热备功能。
[Sysname] interface wlan-ess 0
[Sysname-WLAN-ESS0] port-security synchronization enable
port-security timer disableport time-value
undo port-security timer disableport
2:系统级
time-value:端口静默时间,取值范围为20~300,单位为秒。
port-security timer disableport命令用来配置系统暂时关闭端口连接的时间。undo port-security timer disableport命令用来恢复缺省情况。
当port-security intrusion-mode设置为disableport-temporarily模式时,系统暂时关闭端口连接的时间由该命令配置。
相关配置可参考命令display port-security。
# 配置端口WLAN-ESS1的入侵检测特性被触发后,收到非法报文的端口暂时关闭30秒。
[Sysname] port-security timer disableport 30
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] port-security intrusion-mode disableport-temporarily
2:系统级
addresslearned:端口学习告警。在端口学习到新MAC地址时发出告警信息。
dot1xlogfailure:802.1X认证失败告警。
dot1xlogon:802.1X认证成功告警。
dot1xlogoff:802.1X认证用户下线告警。
intrusion:发现非法报文告警。
ralmlogfailure:MAC地址认证失败告警。
ralmlogoff:MAC地址认证用户下线告警。
ralmlogon:MAC地址认证成功告警。
RALM(RADIUS Authenticated Login using MAC-address)是指基于MAC地址的RADIUS认证。
port-security trap命令用来打开指定告警信息的发送开关。undo port-security trap命令用来关闭指定告警信息的发送开关。
告警信息的发送过程使用了设备的Trap特性。Trap特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于用户对这些特殊的行为进行监控。
相关配置可参考命令display port-security。
# 打开端口学习告警信息开关。
[Sysname] port-security trap addresslearned
port-security tx-key-type 11key
undo port-security tx-key-type
WLAN-ESS接口视图/WLAN-MESH接口视图
2:系统级
port-security tx-key-type 11key命令用来使能11key类型的密钥协商功能。undo port-security tx-key-type命令关闭11key类型的密钥协商功能。
缺省情况下,11key类型的密钥协商功能处于关闭状态。
# 在接口WLAN-ESS1下使能11key类型的密钥协商功能。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] port-security tx-key-type 11key
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!