端口安全典型配置指导.docx
- 文档编号:596160
- 上传时间:2022-10-11
- 格式:DOCX
- 页数:23
- 大小:20.40KB
端口安全典型配置指导.docx
《端口安全典型配置指导.docx》由会员分享,可在线阅读,更多相关《端口安全典型配置指导.docx(23页珍藏版)》请在冰豆网上搜索。
端口安全典型配置指导
第1章端口安全典型配置指导
1.1端口安全autolearn模式典型配置指导
在端口安全autolearn模式下,端口学习到的MAC地址被保存在安全MAC地址表项中。
当端口下的安全MAC地址数超过端口允许学习的最大安全MAC地址数后,端口模式会自动转变为secure模式。
之后,该端口不会再添加新的安全MAC,只有源MAC地址为安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口。
1.1.1组网图
图1-1端口安全autolearn模式配置组网图
1.1.2应用要求
在交换机的端口GigabitEthernet1/0/1上对接入用户做如下的限制:
●允许64个用户自由接入,不进行认证,将学习到的用户MAC地址添加为安全MAC地址;
●当安全MAC地址数量达到64后,停止学习;当再有新的MAC地址接入时,触发入侵检测,并将此端口关闭30秒;
1.1.3适用产品、版本
表1-1配置适用的产品与软硬件版本关系
产品
软件版本
硬件版本
S5500-SI系列以太网交换机
Release1207软件版本
全系列硬件版本
(除S5500-20TP-SI)
Release1301软件版本
S5500-20TP-SI
S5500-EI系列以太网交换机
Release2102软件版本
全系列硬件版本
1.1.4配置过程和解释
#使能端口安全功能。
[Switch]port-securityenable
#打开入侵检测Trap开关。
[Switch]port-securitytrapintrusion
#设置端口允许的最大安全MAC地址数为64。
[Switch]interfaceGigabitEthernet1/0/1
[Switch-GigabitEthernet1/0/1]port-securitymax-mac-count64
#设置端口安全模式为autoLearn。
[Switch-GigabitEthernet1/0/1]port-securityport-modeautolearn
#设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30秒。
[Switch-GigabitEthernet1/0/1]port-securityintrusion-modedisableport-temporarily
[Switch-GigabitEthernet1/0/1]quit
[Switch]port-securitytimerdisableport30
(1)验证配置结果
上述配置完成后,可以用display命令显示端口安全配置情况,如下:
Equipmentport-securityisenabled
Intrusiontrapisenabled
DisableportTimeout:
30s
OUIvalue:
GigabitEthernet1/0/1islink-up
PortmodeisautoLearn
NeedToKnowmodeisdisabled
IntrusionProtectionmodeisDisablePortTemporarily
MaxMACaddressnumberis64
StoredMACaddressnumberis0
Authorizationispermitted
可以看到端口的最大安全MAC数为64,端口模式为autoLearn,入侵检测Trap开关打开,入侵保护动作为DisablePortTemporarily,入侵发生后端口禁用时间为30秒。
配置完成后,允许地址学习,学习到的MAC地址数可以用上述命令显示,如学习到5个,那么存储的安全MAC地址数就为5,可以在端口视图下用displaythis命令查看学习到的MAC地址,如:
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]displaythis
#
interfaceGigabitEthernet1/0/1
port-securitymax-mac-count64
port-securityport-modeautolearn
port-securitymac-addresssecurity0002-0000-0015vlan1
port-securitymac-addresssecurity0002-0000-0014vlan1
port-securitymac-addresssecurity0002-0000-0013vlan1
port-securitymac-addresssecurity0002-0000-0012vlan1
port-securitymac-addresssecurity0002-0000-0011vlan1
#
当学习到的MAC地址数达到64后,用命令displayport-securityinterface可以看到端口模式变为secure,再有新的MAC地址到达将触发入侵保护,Trap信息如下:
#May203:
15:
55:
8712000SwitchPORTSEC/1/VIOLATION:
Traph3cSecureViolation
Aintrusionoccurs!
IfIndex:
9437207
Port:
9437207
MACAddr:
VLANID:
1
IfAdminStatus:
1
并且可以通过下述命令看到端口安全将此端口关闭:
GigabitEthernet1/0/1currentstate:
PortSecurityDisabled
IPPacketFrameType:
PKTFMT_ETHNT_2,HardwareAddress:
000f-cb00-5558
Description:
GigabitEthernet1/0/1Interface
......
30秒后,端口状态恢复:
[Switch-GigabitEthernet1/0/1]displayinterfacegigabitethernet1/0/1
GigabitEthernet1/0/1currentstate:
UP
IPPacketFrameType:
PKTFMT_ETHNT_2,HardwareAddress:
000f-cb00-5558
Description:
GigabitEthernet1/0/1Interface
......
此时,如手动删除几条安全MAC地址后,端口安全的状态重新恢复为autoLearn,可以继续学习MAC地址。
1.1.5完整配置
#
port-securityenable
port-securitytrapintrusion
port-securitytimerdisableport30
#
interfaceGigabitEthernet1/0/1
port-securitymax-mac-count64
port-securityport-modeautolearn
port-securityintrusion-modedisableport-temporarily
#
1.1.6配置注意事项
●在使能端口安全功能之前,需要关闭全局的802.1x和MAC地址认证功能。
●端口安全模式的配置与端口加入聚合组互斥。
●当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC地址数与相应模式下允许认证用户数的最小值。
●端口上有用户在线的情况下,端口安全功能无法关闭。
1.2端口安全userLoginWithOUI模式典型配置指导
在端口安全userLoginWithOUI模式下,端口必须通过802.1x认证才能开启,且只允许认证成功的用户报文通过。
除此之外,端口还允许一个指定OUI的源MAC地址的报文认证通过。
1.2.1组网图
图1-2端口安全userLoginWithOUI模式组网图
1.2.2组网需求
客户端通过端口GigabitEthernet1/0/1连接到交换机上,交换机通过RADIUS服务器对客户端进行身份认证,如果认证成功,客户端被授权允许访问Internet资源。
交换机的管理者希望对接入用户的端口GigabitEthernet1/0/1做如下限制:
●允许一个802.1x用户上线;
●最多可以配置16个OUI值,还允许端口上有一个与OUI值匹配的MAC地址用户通过。
1.2.3适用产品、版本
表1-2配置适用的产品与软硬件版本关系
产品
软件版本
硬件版本
S5500-SI系列以太网交换机
Release1207软件版本
全系列硬件版本
(除S5500-20TP-SI)
Release1301软件版本
S5500-20TP-SI
S5500-EI系列以太网交换机
Release2102软件版本
全系列硬件版本
1.2.4配置过程和解释
&说明:
●下述配置步骤包含了部分AAA/RADIUS协议配置命令,具体介绍请参见“AAA–RADIUS-HWTACACS配置”。
●接入用户和RADIUS服务器上的配置略。
(1)具体的配置步骤
●配置RADIUS协议
#创建名为radsun的RADIUS方案。
[Switch]radiusschemeradsun
#设置主认证RADIUS服务器的IP地址为,主计费RADIUS服务器的IP地址为
[Switch-radius-radsun]primaryauthentication
[Switch-radius-radsun]primaryaccounting
#设置从认证RADIUS服务器的IP地址为,从计费RADIUS服务器的IP地址为
[Switch-radius-radsun]secondaryauthentication
[Switch-radius-radsun]secondaryaccounting
#设置与认证RADIUS服务器交互报文时的加密密码为name。
[Switch-radius-radsun]keyauthenticationname
#设置与计费RADIUS服务器交互报文时的加密密码为money。
[Switch-radius-radsun]keyaccountingmoney
#设置RADIUS服务器应答超时时间为5秒,RADIUS报文的超时重传次数的最大值为5。
[Switch-radius-radsun]timerresponse-timeout5
[Switch-radius-radsun]retry5
#设置向RADIUS服务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 端口 安全 典型 配置 指导
![提示](https://static.bdocx.com/images/bang_tan.gif)