- 1CDH6.3.2 多 Spark 版本共存_cdh6.3.2按照spark3.2
- 2兴趣专业测试软件,霍兰德职业兴趣测试 在线工具
- 3idea如何配置数据库驱动,使用jdbc连接mysql8详解_idea sql8.0jdbc路径怎么写
- 4spring-boot源码分析--响应json 返回值处理_responseentity返回值处理
- 51-初识QT
- 6Istio 可以代替 Spring Cloud 吗?
- 7ransac算法 matlab,随机抽样一致性算法(RANSAC)
- 8java二进制转为汉字_Java 实现中文与二进制代码互转
- 9lora炼丹术 - 赛博丹炉
- 10Git- 连接远程仓库_git链接远程仓库
H3C S3100V2端口安全配置_port-security port-mode autolearn
赞
踩
一、端口安全简介
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:MAC地址未被端口学习到的用户报文; 未通过认证的用户报文。
1、端口安全模式描述:
| 安全模式 | 工作机制 | NTK/入侵检测 | ||
| 缺省情况 | noRestrictions | 表示端口的安全功能关闭,端口处于无限制状态 | 无效 | |
| 端口控制MAC地址学习 | autoLearn | 端口可通过手工配置或自动学习MAC地址。这些新的MAC地址被称为安全MAC,并被添加到安全MAC地址表中 当端口下的安全MAC地址数超过端口安全允许学习的最大MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 该模式下,端口禁止学习动态MAC地址 | 可触发 | |
| secure | 禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 | |||
| 配置任务 | 说明 | |
| 使能端口安全功能 | 必选 | |
| 配置端口安全允许的最大MAC地址数 | 可选 | |
| 配置端口安全模式 | 必选 | |
| 配置端口安全的特性 | 配置Need To Know特性 | 可选 根据实际组网需求选择其中一种或多种特性 |
| 配置入侵检测特性 | ||
| 配置Trap特性 | ||
| 配置安全MAC地址 | 可选 | |
| 配置当前端口不应用服务器下发的授权信息 | 可选 | |
二、步骤说明:
1、使能端口安全功能
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 使能端口安全功能 | port-security enable | 必选 缺省情况下,端口安全功能处于关闭状态 |
2、配置端口安全允许的最大MAC地址数
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入二层以太网端口视图 | interface interface-type interface-number | - |
| 配置端口安全允许的最大MAC地址数 | port-security max-mac-count count-value | 必选 缺省情况下,最大MAC地址数不受限制 |
3、配置端口安全安全模式
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 配置允许通过认证的用户OUI值 | port-security oui oui-value index index-value | 可选 缺省情况下,没有配置允许通过认证的用户OUI值 该命令仅在配置userlogin-withoui安全模式时必选 |
| 进入二层以太网端口视图 | interface interface-type interface-number | - |
| 配置端口的安全模式 | port-security port-mode { autolearn | mac-authentication| mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui } | 必选 缺省情况下,端口处于noRestrictions模式 |
4、配置入侵检测特性
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入二层以太网端口视图 | interface interface-type interface-number | - |
| 配置入侵检测特性 | port-security intrusion-mode { blockmac | disableport | disableport-temporarily } | 必选 缺省情况下,不进行入侵检测处理 |
| 退回系统视图 | quit | - |
| 配置系统暂时关闭端口连接的时间 | port-security timer disableport time-value | 可选 缺省情况下,系统暂时关闭端口连接的时间为20秒 |
5、配置安全MAC地址
在配置安全MAC地址之前,需要完成以下配置任务:
使能端口安全功能
设置端口安全允许的最大MAC地址数
配置端口安全模式为autoLearn
| 操作 | 命令 | 说明 | |
| 进入系统视图 | system-view | - | |
| 配置安全MAC地址的老化时间 | port-security timer autolearn aging time-value | 可选 缺省情况下,安全MAC地址不会老化 | |
| 配置安全MAC地址 | 在系统视图下 | port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id | 二者必选其一 缺省情况下,未配置安全MAC地址 |
| 在二层以太网端口视图下 | interface interface-type interface-number | ||
| port-security mac-address security [ sticky ] mac-address vlan vlan-id | |||
| quit | |||
| 进入二层以太网端口视图 | interface interface-type interface-number | - | |
| 配置安全地址的老化方式为无流量老化 | port-security mac-address aging-type inactivity | 可选 缺省情况下,安全MAC地址按照固定时间进行老化,即在配置的安全MAC地址的老化时间到达后立即老化 | |
| 将Sticky MAC地址设置为动态类型的安全MAC地址 | port-security mac-address dynamic | 可选 缺省情况下,Sticky MAC地址能够被保存在配置文件中,设备重启后也不会丢失 | |
案例:
[office-2F-UPS-S3100I]port-security enable #使能端口安全
interface Ethernet1/0/4
port access vlan 19
port-security max-mac-count 1 #最多允许1个MAC地址
port-security port-mode autolearn #端口安全模式
port-security intrusion-mode disableport #入侵检测,并执行对应操作
port-security mac-address security sticky f48e-38f8-e144 vlan 19 #检测到设备之后,自动绑定MAC和vlan
[office-2F-UPS-S3100I]display port-security interface Ethernet 1/0/4
Equipment port-security is enabled
Intrusion trap is enabled
AutoLearn aging time is 0 minutes
Disableport Timeout: 20s
OUI value:
Ethernet1/0/4 is link-down
Port mode is secure
NeedToKnow mode is disabled
Intrusion Protection mode is DisablePort
Max MAC address number is 1
Stored MAC address number is 1
Authorization is permitted
Security MAC address learning mode is sticky
Security MAC address aging type is absolute
