12-端口安全-端口绑定操作
本章节下载 (428.4 KB)
目 录
端口安全(Port Security)是一种对网络接入进行控制的安全机制,是对已有的802.1x认证和MAC地址认证的扩充。
Port Security的主要功能就是通过定义各种安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。
对于不能通过安全模式学习到源MAC地址的报文,将被视为非法报文;对于不能通过802.1x认证的事件,将被视为非法事件。
当发现非法报文或非法事件后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的维护工作量,极大地提高了系统的安全性和可管理性。
端口安全的特性包括:
(1) NTK:NTK(Need To Know)特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
(2) Intrusion Protection:该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码,发现非法报文或非法事件,并采取相应的动作,包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文,保证了端口的安全性。
(3) Device Tracking:该特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
对于端口安全模式的具体描述,请参见表1-1。
表1-1 端口安全模式描述表
安全模式类型 |
描述 |
特性说明 |
autolearn |
此模式下,端口学习到的MAC地址会转变为Security MAC地址; 当端口下的Security MAC地址数超过port-security max-mac-count命令配置的数目后,端口模式会自动转变为secure模式; 之后,该端口不会再添加新的Security MAC,只有源MAC为Security MAC或已配置的动态MAC的报文,才能通过该端口 |
在左侧列出的模式下,当设备发现非法报文后,将触发NTK特性和Intrusion Protection特性 |
secure |
止端口学习MAC地址,只有源MAC为端口已经学习到的Security MAC、已配置的静态MAC或已配置的动态MAC的报文,才能通过该端口 |
|
userlogin |
对接入用户采用基于端口的802.1x认证 |
此模式下NTK特性和Intrusion Protection特性不会被触发 |
userlogin-secure |
接入用户必须先通过802.1x认证,认证成功后端口开启,但也只允许认证成功的用户报文通过; 此模式下,端口最多只允许接入一个经过802.1x认证的用户; 当端口从正常模式进入此安全模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除 |
在左侧列出的模式下,当设备发现非法报文后,将触发Need To Know特性和Intrusion Protection特性 |
userlogin-withoui |
与userlogin-secure类似,端口最多只允许一个802.1x认证用户,但同时,端口还允许一个oui地址的报文通过; 当用户从端口的正常模式进入此模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除 |
|
mac-authentication |
基于MAC地址对接入用户进行认证 |
|
userlogin-secure-or-mac |
表示mac-authentication和userlogin-secure两种模式只要通过其中一种,即表明认证通过 |
|
mac-else-userlogin-secure |
表示先进行mac-authentication认证,如果成功则表明认证通过,如果失败则再进行userlogin-secure认证 |
|
userlogin-secure-ext |
与userlogin-secure类似,但端口下的802.1x认证用户可以有多个 |
|
userlogin-secure-or-mac-ext |
与userlogin-secure-or-mac类似,但端口下的802.1x认证用户可以有多个 |
|
mac-else-userlogin-secure-ext |
与mac-else-userlogin-secure类似,但端口下的802.1x认证用户可以有多个 |
表1-2 配置端口安全基本特性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能端口安全机制 |
port-security enable |
必选 |
设置用户认证的OUI值 |
port-security oui OUI-value index index-value |
可选 |
打开指定Trap信息的发送开关 |
port-security trap { addresslearned | intrusion | dot1xlogon | dot1xlogoff | dot1xlogfailure | ralmlogon | ralmlogoff | ralmlogfailure }* |
可选 缺省情况下,Trap信息的发送开关处于关闭状态 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口的安全模式 |
port-security port-mode mode |
必选 根据实际需要,用户可以配置不同的安全模式 |
设置端口允许接入的最大MAC地址数 |
port-security max-mac-count count-value |
可选 缺省情况下,最大MAC地址数不受限制 |
设置Need To Know特性的报文传送模式 |
port-security ntk-mode { ntkonly | ntk-withbroadcasts | ntk-withmulticasts } |
必选 缺省情况下,系统没有设置端口NTK特性的报文传送模式 |
设置Intrusion Protection特性被触发后,设备采取的相应动作 |
port-security intrusion-mode { disableport | disableport-temporarily | blockmac } |
必选 缺省情况下,系统没有设置设备采取的安全模式 |
配置当前端口不应用服务器下发的授权信息 |
port-security authorization ignore |
可选 缺省情况下,端口将应用服务器下发的授权信息 |
返回系统视图 |
quit |
- |
设置系统暂时断开端口连接的时间 |
port-security timer disableport timer |
可选 缺省情况下,时间值为20秒 |
& 说明:
port-security timer disableport timer命令设置的时间值,是port-security intrusion-mode命令设置为disableport-temporarily模式时,系统暂时断开端口连接的时间。
当用户使能端口安全特性后,为避免引起冲突,设备的802.1x认证和MAC地址认证将出现如下一些限制:
(1) dot1x port-control命令配置的接入控制的模式将自动转变为auto。
(2) 命令dot1x,dot1x port-method,dot1x port-control, mac-authentication不能再进行配置。
& 说明:
l 关于802.1x认证的详细介绍,请参见《H3C S3600系列以太网交换机 操作手册》的802.1x模块。
l 对已经配置了端口安全功能的端口,不能再将其加入到端口汇聚组中。
l 对已经加入了某个汇聚组的端口,不能再配置port-security port-mode mode命令。
Security MAC是一种特殊的MAC地址,其特性类似于静态MAC地址。在同一个VLAN内,一个Security MAC地址只能被添加到一个端口上,利用该特点,可以实现同一VLAN内MAC地址与端口的绑定。
Security MAC可以由启用Port-Security功能的端口自动学习,也可以由命令行或者MIB手动配置。手动配置的Security MAC与端口自动学习的Security MAC没有区别。
在添加Security MAC地址之前,需要先配置端口的安全模式为autolearn。配置端口的安全模式为autolearn之后,端口的MAC地址学习方式将会发生变化:
l 端口原有的动态MAC被删除;
l 当端口的Security MAC没有达到配置的最大数目时,端口新学到的MAC地址会被添加为Security MAC;
l 当端口的Security MAC到达配置的最大数目时,端口将不会继续学习MAC地址,端口状态将从autolearn状态转变为secure状态。
& 说明:
配置的Security MAC地址会写入配置文件,端口Up或Down时不会丢失。保存配置文件后,即使交换机重启,Security MAC地址也可以恢复。
表1-3 配置Security MAC地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能端口安全机制 |
port-security enable |
必选 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
设置端口允许接入的最大Security MAC地址数 |
port-security max-mac-count count-value |
必选 缺省情况下,最大Security MAC地址数不受限制 |
配置端口的安全模式为autolearn |
port-security port-mode autolearn |
必选 |
添加Security MAC地址 |
mac-address security mac-address [ interface interface-type interface-number ] vlan vlan-id |
必选 该命令可以在以太网端口视图下或系统视图下执行。如果是在系统视图下执行该命令,则需要配置interface interface-type interface-number参数 |
请注意:
(1) 在同一端口下,port-security port-mode autolearn命令不能与以下特性同时配置:
l 静态或黑洞MAC地址;
l Voice VLAN功能;
l 802.1x特性;
l 端口汇聚;
l 配置镜像反射端口。
(2) port-security max-mac-count count-value命令不能与配置端口最大动态MAC地址学习数的命令mac-address max-mac-count count同时配置。
完成上述配置后,在任意视图下执行display命令,可以显示配置端口安全后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-4 端口安全配置显示
操作 |
命令 |
说明 |
显示端口安全配置的相关信息 |
display port-security [ interface interface-list ] |
display命令可以在任意视图下执行 |
显示Security MAC地址的配置信息 |
display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] |
l Switch A上的Ethernet1/0/1端口安全机制处于使能状态;
l 该端口允许接入的最大MAC地址数为80,端口的安全模式为autolearn;
l 将用户PC1的MAC地址0001-0002-0003作为Security MAC地址,添加到VLAN 1中。
图1-1 端口安全配置组网图
配置Switch A。
# 进入系统视图。
<H3C> system-view
# 使能端口安全机制。
[H3C] port-security enable
# 进入以太网Ethernet1/0/1端口视图。
[H3C] interface Ethernet1/0/1
# 设置端口允许接入的最大MAC地址数为80。
[H3C-Ethernet1/0/1] port-security max-mac-count 80
# 配置端口的安全模式为autolearn。
[H3C-Ethernet1/0/1] port-security port-mode autolearn
# 将PC1的MAC地址0001-0002-0003作为Security MAC添加到VLAN 1中。
[H3C-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1
通过端口绑定特性,网络管理员可以将合法用户的MAC地址和IP地址绑定到指定的端口上。进行绑定操作后,只有指定MAC地址或IP地址的用户发出的报文才能通过该端口转发,提高了系统的安全性,增强了对网络安全的监控。
表2-1 端口绑定配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
将合法用户的MAC地址和IP地址绑定到指定端口上 |
am user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number |
可选 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
将合法用户的MAC地址和IP地址绑定到当前端口上 |
am user-bind mac-addr mac-address ip-addr ip-address |
可选 |
& 说明:
对同一个MAC地址,系统只允许进行一次绑定操作。
完成上述配置后,在任意视图下执行display命令,可以显示配置端口绑定后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表2-2 端口绑定配置显示
操作 |
命令 |
说明 |
显示端口绑定的配置信息 |
display am user-bind [ interface interface-type interface-number | mac-addr mac-addr | ip-addr ip-addr ] |
display命令可以在任意视图下执行 |
为了防止小区内有恶意用户盗用PC1的IP地址,将PC1的MAC地址和IP地址绑定到Switch A上的Ethernet1/0/1端口。
图2-1 端口安全配置组网图
配置Switch A。
# 进入系统视图。
<H3C> system-view
# 进入Ethernet1/0/1端口视图。
[H3C] interface Ethernet1/0/1
# 将PC1的MAC地址和IP地址绑定到Ethernet1/0/1端口。
[H3C-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!