目  录

第1章 端口安全配置命令

1.1 端口安全配置命令

1.1.1 display port-security

1.1.2 display port-security mac-address block

1.1.3 display port-security mac-address security

1.1.4 port-security authorization ignore

1.1.5 port-security enable

1.1.6 port-security intrusion-mode

1.1.7 port-security mac-address security

1.1.8 port-security max-mac-count

1.1.9 port-security ntk-mode

1.1.10 port-security oui

1.1.11 port-security port-mode

1.1.12 port-security timer disableport

1.1.13 port-security trap

第1章  端口安全配置命令

1.1  端口安全配置命令

1.1.1  display port-security

【命令】

display port-security [ interface interface-list ]

【视图】

任意视图

【参数】

interface interface-list：以太网端口列表，表示多个以太网端口。表示方式为interface-list ＝ { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中，interface-type为端口类型，interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致，并且终止端口号必须大于起始端口号。

【描述】

display port-security命令用来显示端口安全的配置信息、运行情况和统计信息。

需要注意的是，如果不指定参数interface interface-list则显示所有端口的端口安全信息。

相关配置可参考命令port-security enable、port-security port-mode、port-security ntk-mode、port-security intrusion-mode、port-security max-mac-count、port-security mac-address security、port-security authorization ignore、port-security oui和port-security trap。

【举例】

# 显示所有端口的端口安全状态。

<Sysname> display port-security

 Equipment port-security is enabled

 AddressLearn trap is enabled

 Intrusion trap is enabled

 Dot1x logon trap is enabled

 Dot1x logoff trap is enabled

 Dot1x logfailure trap is enabled

 RALM logon trap is enabled

 RALM logoff trap is enabled

 RALM logfailure trap is enabled

 Disableport Timeout: 20s

 OUI value:

   Index is 1,  OUI value is 000d1a

   Index is 2,  OUI value is 003c12

GigabitEthernet1/0/1 is link-down

    Port mode is UserloginWithOUI

    NeedtoKnow mode is needtoknowonly

    Intrusion mode is disableport

    Max MAC address number is 50

    Stored MAC address number is 0

    Authorization is ignored

 GigabitEthernet1/0/2 is link-down

    Port mode is noRestriction

    NeedtoKnow mode is disabled

    Intrusion mode is no action

    Max MAC address number is not configured

    Stored MAC address number is 0

    Authorization is permitted

表1-1 display port-security命令显示信息描述表

1.1.2  display port-security mac-address block

【命令】

display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]

【视图】

任意视图

【参数】

interface interface-type interface-number：显示指定端口的阻塞MAC地址信息。其中，interface-type interface-number表示端口类型和端口编号。

vlan vlan-id：显示指定VLAN的阻塞MAC地址信息。其中，vlan-id表示VLAN编号，取值范围为1～4094。

count：统计符合条件的阻塞MAC地址个数。

【描述】

display port-security mac-address block命令用来显示阻塞MAC地址信息。

需要注意的是，如果不指定任何参数，则显示所有阻塞MAC地址的信息。

相关配置可参考命令port-security intrusion-mode。

【举例】

# 显示所有阻塞MAC地址。

<Sysname> display port-security mac-address block

MAC ADDR             From Port                  VLAN ID

0002-0002-0002      GigabitEthernet1/0/1     1

000d-88f8-0577      GigabitEthernet1/0/1     1

  ---  2 mac address(es) found  ---

# 显示所有阻塞MAC地址计数。

<Sysname> display port-security mac-address block count

 2 mac address(es) found

# 显示指定VLAN中的阻塞MAC地址。

<Sysname> display port-security mac-address block vlan 1

MAC ADDR             From Port                  VLAN ID

0002-0002-0002      GigabitEthernet1/0/1     1

000d-88f8-0577      GigabitEthernet1/0/1     1

  ---  2 mac address(es) found  ---

# 显示指定端口下的阻塞MAC地址。

<Sysname> display port-security mac-address block interface GigabitEthernet1/0/1

MAC ADDR             From Port                  VLAN ID

000d-88f8-0577      GigabitEthernet1/0/1     1

  ---  1 mac address(es) found  ---

# 显示指定端口下的在指定VLAN中的阻塞MAC地址。

<Sysname> display port-security mac-address block interface GigabitEthernet 1/0/1 vlan 1

MAC ADDR             From Port                  VLAN ID

000d-88f8-0577      GigabitEthernet1/0/1     1

  ---  1 mac address(es) found  ---

表1-2 display port-security mac-address block命令显示信息描述表

1.1.3  display port-security mac-address security

【命令】

display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]

【视图】

任意视图

【参数】

interface interface-type interface-number：显示指定端口的安全MAC地址信息。其中，interface-type interface-number表示端口类型和端口编号。

vlan vlan-id：显示指定VLAN的安全MAC地址信息。其中，vlan-id表示VLAN编号，取值范围为1～4094。

count：统计符合条件的安全MAC地址个数。

【描述】

display port-security mac-address security命令用来显示安全MAC地址信息。

需要注意的是，如果不指定任何参数，则显示所有安全MAC地址的信息。

相关配置可参考命令port-security mac-address security。

【举例】

# 显示所有安全MAC地址。

<Sysname> display port-security mac-address security

MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)

0002-0002-0002 1          Security      GigabitEthernet1/0/1   NOAGED

000d-88f8-0577 1          Security      GigabitEthernet1/0/1   NOAGED

  ---  2 mac address(es) found  ---

# 显示所有安全MAC地址计数。

<Sysname> display port-security mac-address count

 2 mac address(es) found

# 显示指定VLAN中的安全MAC地址。

<Sysname> display port-security mac-address security vlan 1

MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)

0002-0002-0002 1         Security       GigabitEthernet1/0/1   NOAGED

000d-88f8-0577 1         Security       GigabitEthernet1/0/1   NOAGED

  ---  2 mac address(es) found  ---

# 显示指定端口下的安全MAC地址。

<Sysname> display port-security mac-address security interface GigabitEthernet1/0/1

MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)

000d-88f8-0577  1         Security      GigabitEthernet1/0/1   NOAGED

  ---  1 mac address(es) found  ---

# 显示指定端口下的在指定VLAN中的安全MAC地址。

<Sysname> display port-security mac-address security interface GigabitEthernet 1/0/1 vlan 1

MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)

000d-88f8-0577  1         Security       GigabitEthernet1/0/1  NOAGED

  ---  1 mac address(es) found  ---

表1-3 display port-security mac-address命令显示信息描述表

1.1.4  port-security authorization ignore

【命令】

port-security authorization ignore

undo port-security authorization ignore

【视图】

二层以太网端口视图

【参数】

无

【描述】

port-security authorization ignore命令用来配置端口不应用RADIUS服务器下发的授权信息。undo port-security port-mode ignore命令用来恢复缺省情况。

缺省情况下，端口应用RADIUS服务器下发的授权信息。

相关配置可参考命令display port-security。

【举例】

# 配置端口GigabitEthernet1/0/1不应用RADIUS服务器下发的授权信息。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security authorization ignore

1.1.5  port-security enable

【命令】

port-security enable

undo port-security enable

【视图】

系统视图

【参数】

无

【描述】

port-security enable命令用来使能端口安全功能。undo port-security enable命令用来关闭端口安全功能。

缺省情况下，端口安全功能处于关闭状态。

需要注意的是：

(1)        如果已全局开启了802.1x或MAC地址认证功能，则无法使能端口安全功能。

(2)        端口安全功能使能后，端口的如下配置会被自动恢复为（括弧内的）缺省情况，且以下配置不能再进行手动配置，只能随端口安全模式的改变由系统配置：

l              802.1x认证（关闭）、端口接入控制方式（macbased）、端口接入控制模式（auto）；

l              MAC地址认证（关闭）。

(3)        端口安全功能关闭时，端口的如下配置会被自动恢复为（括弧内的）缺省情况：

l              端口安全模式（noRestrictions）；

l              802.1x认证（关闭）、端口接入控制方式（macbased）、端口接入控制模式（auto）；

l              MAC地址认证（关闭）。

(4)        端口上有用户在线的情况下，端口安全功能无法关闭。

相关配置可参考命令display port-security、“802.1x-HABP-MAC地址认证命令”中的命令dot1x、dot1x port-method、dot1x port-control和mac-authentication。

【举例】

# 使能端口安全功能。

<Sysname> system-view

[Sysname] port-security enable

1.1.6  port-security intrusion-mode

【命令】

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

undo port-security intrusion-mode

【视图】

二层以太网端口视图

【参数】

blockmac：表示将非法报文的源MAC地址加入阻塞MAC地址列表中，源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟（系统默认，不可配）后恢复正常。

disableport：表示将收到非法报文的端口永久关闭。

disableport-temporarily：表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。

【描述】

port-security intrusion-mode命令用来配置入侵检测特性。undo port-security intrusion-mode命令用来缺省情况。

缺省情况下，不进行入侵检测处理。

相关配置可参考命令display port-security和port-security timer disableport。

【举例】

# 配置端口GigabitEthernet1/0/1的入侵检测特性被触发后，将非法报文的源MAC地址置为阻塞MAC。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security intrusion-mode blockmac

1.1.7  port-security mac-address security

【命令】

在二层以太网端口视图下：

port-security mac-address security mac-address vlan vlan-id

在系统视图下：

port-security mac-address security mac-address interface interface-type interface-number vlan vlan-id

undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]

【视图】

二层以太网端口视图/系统视图

【参数】

mac-address：安全MAC地址，格式为H-H-H。

interface interface-type interface-number：指定添加安全MAC地址的端口。其中，interface-type interface-number表示端口类型和端口编号。

vlan vlan-id：指定安全MAC地址所属的VLAN。其中，vlan-id表示VLAN编号，取值范围为1～4094。

【描述】

port-security mac-address security命令用来添加安全MAC地址。undo port-security mac-address security命令用来删除匹配的安全MAC地址。

缺省情况下，未配置安全MAC地址。

需要注意的是：

l              此命令只有在端口安全功能打开且指定端口的端口安全模式为autoLearn的时候才能配置成功。

l              删除安全MAC地址的命令只能在系统视图下执行。

相关配置可参考命令display port-security。

【举例】

# 在系统视图下为端口GigabitEthernet1/0/1添加一条安全MAC地址：0001-0001-0002，该安全MAC地址属于VLAN10。

<Sysname> system-view

[Sysname] port-security mac-address security 0001-0001-0002 interface gigabitethernet 1/0/1 vlan 10

# 在端口视图下为端口GigabitEthernet1/0/1添加一条安全MAC地址：0001-0002-0003，该安全MAC弟子属于VLAN4。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security mac-address security 0001-0002-0003 vlan 4

1.1.8  port-security max-mac-count

【命令】

port-security max-mac-count count-value

undo port-security max-mac-count

【视图】

二层以太网端口视图

【参数】

count-value：端口允许的最大安全MAC地址数，取值范围为1～1024。

【描述】

port-security max-mac-count命令用来设置端口允许的最大安全MAC地址数。undo port-security max-mac-count命令用来恢复缺省情况。

缺省情况下，最大安全MAC地址数不受限制。

需要注意的是：

l              该值未配置的情况下，不能开启autoLearn模式。

l              端口允许的最大安全MAC地址数不统计手工设置的静态MAC地址，而且手工设置的静态MAC地址也不受此数目限制。

l              端口允许的最大安全MAC地址数不能小于当前端口下已保存的MAC地址数。

相关配置可参考命令display port-security。

【举例】

# 配置端口GigabitEthernet1/0/1允许的最大安全MAC地址数为100。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100

1.1.9  port-security ntk-mode

【命令】

port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }

undo port-security ntk-mode

【视图】

以太网端口视图

【参数】

ntk-withbroadcasts：仅发送目的地址为已认证的MAC地址或广播地址的报文。

ntk-withmulticasts：仅发送目的地址为已认证的MAC地址、广播地址或组播地址的报文。

ntkonly：仅发送目的地址为已认证的MAC地址的报文。

【描述】

port-security ntk-mode命令用来配置端口NeedToKnow特性。undo port-security ntk-mode命令用来恢复缺省配置。

缺省情况下，端口没有配置NeedToKnow特性，即所有报文都可成功发送。

相关配置可参考命令display port-security。

【举例】

# 配置端口GigabitEthernet1/0/1的NeedToKnow特性为ntkonly。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security ntk-mode ntkonly

1.1.10  port-security oui

【命令】

port-security oui oui-value index index-value

undo port-security oui index index-value

【视图】

系统视图

【参数】

oui-value：OUI值，输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位做为OUI值，忽略后24位。

index-value：标识此OUI的索引值，取值范围为1～16。

【描述】

port-security oui命令用来配置用户认证的OUI值，在端口安全模式为UserLoginWithOUI时使用。undo port-security oui命令用来删除指定索引的OUI值。

缺省情况下，没有设置用户认证的OUI值。

需要注意的是，本命令设置的OUI值，只在端口安全模式为userLoginWithOUI时生效。

相关配置可参考命令display port-security。

【举例】

# 配置OUI值为000d2a，索引为4。

<Sysname> system-view

[Sysname] port-security oui 000d-2a10-0033 index 4

1.1.11  port-security port-mode

【命令】

port-security port-mode { autolearn | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }

undo port-security port-mode

【视图】

端口视图

【参数】

autolearn：设置端口安全模式为autoLearn模式。

mac-authentication：设置端口安全模式为macAddressWithRadius模式。

mac-else-userlogin-secure：设置端口安全模式为macAddressElseUserLoginSecure模式。

mac-else-userlogin-secure-ext：设置端口安全模式为macAddressElseUserLoginSecureExt模式。

secure：设置端口安全模式为secure模式。

userlogin：设置端口安全模式为userLogin模式。

userlogin-secure：设置端口安全模式为userLoginSecure模式。

userlogin-secure-ext：设置端口安全模式为userLoginSecureExt模式。

userlogin-secure-or-mac：设置端口安全模式为macAddressOrUserLoginSecure模式。

userlogin-secure-or-mac-ext：设置端口安全模式为macAddressOrUserLoginSecureExt模式。

userlogin-withoui：设置端口安全模式为userLoginWithOUI。

【描述】

port-security port-mode命令用来配置端口安全模式。undo port-security port-mode命令用来恢复缺省情况。

缺省情况下，端口处于noRestrictions模式，此时该端口下端口安全特性不生效。

需要注意的是：

l              端口安全模式与端口下的802.1x认证使能、端口接入控制方式、端口接入控制模式以及端口下的MAC地址认证使能配置互斥。

l              当端口安全已经使能且当前端口安全模式不是noRestrictions时，若要改变端口安全模式，必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。

l              端口上有用户在线的情况下，端口安全模式无法改变。

相关配置可参考命令display port-security。

【举例】

# 配置端口GigabitEthernet1/0/1的端口安全模式为secure。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security port-mode secure

# 将端口GigabitEthernet1/0/1的端口安全模式改变为userLogin。

[Sysname-GigabitEthernet1/0/1] undo port-security port-mode

[Sysname-GigabitEthernet1/0/1] port-security port-mode userlogin

1.1.12  port-security timer disableport

【命令】

port-security timer disableport time-value

undo port-security timer disableport

【视图】

系统视图

【参数】

time-value：端口静默时间，取值范围为20～300，单位为秒。

【描述】

port-security timer disableport命令用来配置系统暂时关闭端口连接的时间。undo port-security timer disableport命令用来恢复缺省情况。

缺省情况下，系统暂时关闭端口连接的时间为20秒。

相关配置可参考命令display port-security。

【举例】

# 配置系统暂时关闭端口连接的时间为30秒。

<Sysname> system-view

[Sysname] port-security timer disableport 30

1.1.13  port-security trap

【命令】

port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

undo port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

【视图】

系统视图

【参数】

addresslearned：端口学习告警。在端口学习到新MAC地址时发出告警信息。

dot1xlogfailure：802.1x认证失败告警。

dot1xlogon：802.1x认证成功告警。

dot1xlogoff：802.1x认证用户下线告警。

intrusion：发现非法报文告警。

ralmlogfailure：MAC地址认证失败告警。

ralmlogoff：MAC地址认证用户下线告警。

ralmlogon：MAC地址认证成功告警。

【描述】

port-security trap命令用来打开指定告警功能。undo port-security trap命令用来关闭指定告警功能。

缺省情况下，所有告警功能处于关闭状态。

相关配置可参考命令display port-security。

【举例】

# 打开端口学习告警功能。

<Sysname> system-view

[Sysname] port-security trap addresslearned